Task Manager: EXGMI.EXE, EXGMAIL.EXE e altri!

MaRaUdEr!!! · 04-04-2007, 10:35

Ciao ragazzi,
innanzitutto complimenti e un grazie a tutti coloro che giorno dopo giorno aiutano noi comuni mortali a risolvere problemi legari a virus, worm, trojan e quant'altro...grazie davvero

Passiamo al mio problema...è da un pò di tempo che nel task manager mi trovo dei processi del tipo:

22EXYM50_2.6.EXE
40EXGMAIL50.1.EXE

e altri che hanno come nome EXGMI, EXYP...ogni volta blocco il processo ma questi vengono lanciati di nuovo, ovviamente i numeri prima e dopo l'exe cambiano ogni volta.
Il mio antivirus (Trend office scan) ha identificato dei file nella dir C:\Documents and setting\nome utente\impostazioni locali\temp dei file exe
dannosi...se provo ad entrare in questa dir vedo una sfilza di file.exe e dei file CFG. Ho provato a cancellarli, ma dopo un giorno siamo punto e a capo!

cosa può essere!?

Grazie mille

c.m.g · 04-04-2007, 13:46

scarica ccleaner e fagli una passata cancellando tutti i temporanei, se non funziona, fallo da provvisoria.
usa un browser più sicuro tipo opera o firefox.
disattiva il servizio di ripristino configurazione di sistema.
attento a quello che installi, specie se è di dubbia provvenienza.

MaRaUdEr!!! · 04-04-2007, 14:46

Quote:

Originariamente inviato da c.m.g

scarica ccleaner e fagli una passata cancellando tutti i temporanei, se non funziona, fallo da provvisoria.
usa un browser più sicuro tipo opera o firefox.
disattiva il servizio di ripristino configurazione di sistema.
attento a quello che installi, specie se è di dubbia provvenienza.

Intanto grazie per il supporto...

Ho scaricato ccleaner e gli ho fatto fare un giro completo...quando parli di "provvisoria"...intendi in modalità provvisoria!??!

Uso già firefox

Come faccio a disattivare il servizio di ripristino? lo stesso problema mi si è posto sia su questa macchina (win2003 server) che su un xp pro...

grazie mille

wizard1993 · 04-04-2007, 15:18

Quote:

Originariamente inviato da MaRaUdEr!!!

Intanto grazie per il supporto...

Ho scaricato ccleaner e gli ho fatto fare un giro completo...quando parli di "provvisoria"...intendi in modalità provvisoria!??!

Uso già firefox

Come faccio a disattivare il servizio di ripristino? lo stesso problema mi si è posto sia su questa macchina (win2003 server) che su un xp pro...

grazie mille

fai una scan online con il kaspersky e con ewido, poi posta il log di hijackthis;
per disattivare il ripristino
http://www.sicurezzainrete.com/disab...em_restore.htm

MaRaUdEr!!! · 04-04-2007, 17:27

Quote:

Originariamente inviato da wizard1993

fai una scan online con il kaspersky e con ewido, poi posta il log di hijackthis;
per disattivare il ripristino
http://www.sicurezzainrete.com/disab...em_restore.htm

ecco il log di hijackthis...ho passato il kaspersky online e mi ha trovato due spyware...però vedo questi file che si lanciano continuamente (a caso) ogni tot di ore...

Logfile of HijackThis v1.99.1
Scan saved at 17:23:10, on 04/04/2007
Platform: Windows 2003 SP1 (WinNT 5.02.3790)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\cisvc.exe
c:\program files\dell printers\Additional Color Laser Software\Status Monitor\DLSDBNT.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\database\oracle\10.2.0\db_1\bin\nmesrvc.exe
C:\database\oracle\10.2.0\db_1\bin\nmesrvc.exe
C:\database\oracle\10.2.0\db_1\BIN\TNSLSNR.exe
c:\database\oracle\10.2.0\db_1\bin\ORACLE.EXE
c:\database\oracle\10.2.0\db_1\bin\ORACLE.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\database\oracle\10.2.0\db_1\perl\5.8.3\bin\MSWin32-x86-multi-thread\perl.exe
C:\database\oracle\10.2.0\db_1\perl\5.8.3\bin\MSWin32-x86-multi-thread\perl.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Vocollect\VoiceConsole2.2\tools\apache-tomcat-5.5.15\bin\tomcat5.exe
C:\database\oracle\10.2.0\db_1\jdk\bin\java.exe
C:\database\oracle\10.2.0\db_1\jdk\bin\java.exe
c:\program files\dell printers\Additional Color Laser Software\Status Monitor\DLPWDNT.EXE
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\QL662.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
c:\program files\dell printers\Additional Color Laser Software\Status Monitor\DLPSP.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\OfficeScan Client\Pop3Trap.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\database\oracle\10.2.0\db_1\bin\emagent.exe
C:\database\oracle\10.2.0\db_1\bin\emagent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\SkypePM.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\prato.f\LOCALS~1\Temp\85exym50rec.0.exe
C:\Documents and Settings\prato.f\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?linkid=677
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [DLPSP] "c:\program files\dell printers\Additional Color Laser Software\Status Monitor\DLPSP.EXE"
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferito portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1166780720886
O17 - HKLM\System\CCS\Services\Tcpip\..\{733169E1-67AE-4701-9A10-977E14C37199}: NameServer = 192.168.0.254,195.110.128.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\SYSTEM32\dimsntfy.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Dell Printer Status Watcher (DLPWD) - Dell Inc. - c:\program files\dell printers\Additional Color Laser Software\Status Monitor\DLPWDNT.EXE
O23 - Service: Dell Printer Status Database (DLSDB) - Dell Inc. - c:\program files\dell printers\Additional Color Laser Software\Status Monitor\DLSDBNT.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OracleDBConsolePICKPRE - Oracle Corporation - C:\database\oracle\10.2.0\db_1\bin\nmesrvc.exe
O23 - Service: OracleDBConsoleVOCOLLECT - Oracle Corporation - C:\database\oracle\10.2.0\db_1\bin\nmesrvc.exe
O23 - Service: OracleDBConsoleWHC0 - Oracle Corporation - C:\database\oracle\10.2.0\db_1\bin\nmesrvc.exe
O23 - Service: OracleOraDb10g_home1TNSListener - Unknown owner - C:\database\oracle\10.2.0\db_1\BIN\TNSLSNR.exe
O23 - Service: OracleServicePICKPRE - Oracle Corporation - c:\database\oracle\10.2.0\db_1\bin\ORACLE.EXE
O23 - Service: OracleServiceVOCOLLECT - Oracle Corporation - c:\database\oracle\10.2.0\db_1\bin\ORACLE.EXE
O23 - Service: OracleServiceWHC0 - Oracle Corporation - c:\database\oracle\10.2.0\db_1\bin\ORACLE.EXE
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: VoiceConsole22 - Unknown owner - C:\Program Files\Vocollect\VoiceConsole2.2\tools\apache-tomcat-5.5.15\bin\tomcat5.exe" //RS//VoiceConsole22 (file missing)

wizard1993 · 04-04-2007, 17:34

fixa
C:\WINDOWS\TEMP\QL662.EXE
04- HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

e pulisci i file temporanei con ccleaner; poi fai una scan on line con bitdefender

MaRaUdEr!!! · 05-04-2007, 10:45

Quote:

Originariamente inviato da wizard1993

fixa
C:\WINDOWS\TEMP\QL662.EXE
04- HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

e pulisci i file temporanei con ccleaner; poi fai una scan on line con bitdefender

sto provando a fare uno scan online con bitdefender ma il tastino I AGREE non va...

strano però...perchè sto comunque usando IE (con firefox non va...)

cmq ora la situazione sembra migliorata...anche se rimangono questi maledetti EXE!!!

c.m.g · 05-04-2007, 11:05

Quote:

Originariamente inviato da MaRaUdEr!!!

Intanto grazie per il supporto...

Ho scaricato ccleaner e gli ho fatto fare un giro completo...quando parli di "provvisoria"...intendi in modalità provvisoria!??!

Uso già firefox

Come faccio a disattivare il servizio di ripristino? lo stesso problema mi si è posto sia su questa macchina (win2003 server) che su un xp pro...

grazie mille

si parlo di modalità provvisoria.

c.m.g · 05-04-2007, 11:08

Quote:

Originariamente inviato da MaRaUdEr!!!

sto provando a fare uno scan online con bitdefender ma il tastino I AGREE non va...

strano però...perchè sto comunque usando IE (con firefox non va...)

cmq ora la situazione sembra migliorata...anche se rimangono questi maledetti EXE!!!

ma l'hai usato ccleaner?

entra in questa cartella e cancela tutti i file, in particolare questo indicato C:\WINDOWS\TEMP\QL662.EXE
anche questo file devi eliminare C:\DOCUME~1\prato.f\LOCALS~1\Temp\85exym50rec.0.exe, ma se usi ccleaner il gioco è fatto.

david-1984 · 24-04-2007, 18:37

ciao, ho lo stesso virus sul pc di un mio amico, potresti darmi un occhiata al questo log per vedere cosa c'è che non va?
grazie

Logfile of HijackThis v1.99.1
Scan saved at 18.35.44, on 24/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programmi\D-Link AirPlus\AirPlus.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Toio\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [hrnqowqf] C:\WINDOWS\system32\jvyoitue.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: www.hastalavista.it
O15 - Trusted Zone: www.pornoaccesso.com
O16 - DPF: {16E166F9-35E8-4CA5-B50D-5CEFABF45B09} - http://www.hastalavista.it/dialers/118/AUTO_118N.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Bugs Bunny · 24-04-2007, 20:06

beh hai un po' di roba... cancella:

O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)

O4 - HKLM\..\Run: [hrnqowqf] C:\WINDOWS\system32\jvyoitue.exe

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe

O15 - Trusted Zone: www.hastalavista.it

O15 - Trusted Zone: www.pornoaccesso.com

O16 - DPF: {16E166F9-35E8-4CA5-B50D-5CEFABF45B09} - http://www.hastalavista.it/dialers/118/AUTO_118N.exe

O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)

Bugs Bunny · 24-04-2007, 20:07

e ovviamente cancella

C:\WINDOWS\system32\jvyoitue.exe
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\taskdir.exe

(script di the avenger)

Files to delete:

C:\WINDOWS\system32\jvyoitue.exe
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\taskdir.exe

david-1984 · 24-04-2007, 22:49

Quote:

Originariamente inviato da Bugs Bunny

e ovviamente cancella

C:\WINDOWS\system32\jvyoitue.exe
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\taskdir.exe

(script di the avenger)

Files to delete:

C:\WINDOWS\system32\jvyoitue.exe
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\taskdir.exe

grazie mille.... ti faccio un ulteriore domanda.
dove posso imparare a leggere questi script?per non dover chiedere ogni volta....

wizard1993 · 25-04-2007, 09:48

Quote:

Originariamente inviato da david-1984

grazie mille.... ti faccio un ulteriore domanda.
dove posso imparare a leggere questi script?per non dover chiedere ogni volta....

è un lavoraccio; comunque se vuoi tutta la documentazione
http://swandog46.geekstogo.com/avengernotes.htm

per chi ha filemaker ed è interessato a non girarsi più di tanto le scatole con avenger, ho elaborato un programma per fare gli script

04-04-2007, 10:35	#1
MaRaUdEr!!! Utente sospeso Iscritto dal: Jul 2003 Città: BolOgNa - RoMa Messaggi: 3574	Task Manager: EXGMI.EXE, EXGMAIL.EXE e altri! Ciao ragazzi, innanzitutto complimenti e un grazie a tutti coloro che giorno dopo giorno aiutano noi comuni mortali a risolvere problemi legari a virus, worm, trojan e quant'altro...grazie davvero Passiamo al mio problema...è da un pò di tempo che nel task manager mi trovo dei processi del tipo: 22EXYM50_2.6.EXE 40EXGMAIL50.1.EXE e altri che hanno come nome EXGMI, EXYP...ogni volta blocco il processo ma questi vengono lanciati di nuovo, ovviamente i numeri prima e dopo l'exe cambiano ogni volta. Il mio antivirus (Trend office scan) ha identificato dei file nella dir C:\Documents and setting\nome utente\impostazioni locali\temp dei file exe dannosi...se provo ad entrare in questa dir vedo una sfilza di file.exe e dei file CFG. Ho provato a cancellarli, ma dopo un giorno siamo punto e a capo! cosa può essere!? Grazie mille __________________ Nel mercatino...concluso con più di 70 utenti! Mobo: AsRock 970 PRO3 socket AM3+ - Procio: Amd Fx-8300 + Arctic Freezer A32 - Ram: WORK IN PROGRESS - Ali: XFX 750W P1-750X-XXB9 pro core - Hd. WESTERN DIGITAL CAVIAR R3 320GB 16MB + Maxtor 250gb + Seagate 500gb - Sk.Video: Asus Geforce GTX 780 TI - Sk. Audio: Creative X-Fi Extreme Music con Creative 5700 - Case: CM Haf Mini - Monitor: Samsung 27

04-04-2007, 13:46	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	scarica ccleaner e fagli una passata cancellando tutti i temporanei, se non funziona, fallo da provvisoria. usa un browser più sicuro tipo opera o firefox. disattiva il servizio di ripristino configurazione di sistema. attento a quello che installi, specie se è di dubbia provvenienza. __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

04-04-2007, 17:34	#6
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	fixa C:\WINDOWS\TEMP\QL662.EXE 04- HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w e pulisci i file temporanei con ccleaner; poi fai una scan on line con bitdefender __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

24-04-2007, 18:37	#10
david-1984 Member Iscritto dal: Jan 2005 Città: legnano Messaggi: 282	ciao, ho lo stesso virus sul pc di un mio amico, potresti darmi un occhiata al questo log per vedere cosa c'è che non va? grazie Logfile of HijackThis v1.99.1 Scan saved at 18.35.44, on 24/04/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\Symantec AntiVirus\DefWatch.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programmi\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programmi\File comuni\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\Programmi\D-Link AirPlus\AirPlus.exe C:\WINDOWS\system32\svchost.exe C:\Documents and Settings\Toio\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.msn.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [hrnqowqf] C:\WINDOWS\system32\jvyoitue.exe O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe O4 - Global Startup: D-Link AirPlus.lnk = ? O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O15 - Trusted Zone: www.hastalavista.it O15 - Trusted Zone: www.pornoaccesso.com O16 - DPF: {16E166F9-35E8-4CA5-B50D-5CEFABF45B09} - http://www.hastalavista.it/dialers/118/AUTO_118N.exe O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Ultima modifica di david-1984 : 24-04-2007 alle 19:01.

24-04-2007, 20:06	#11
Bugs Bunny Senior Member Iscritto dal: Aug 2005 Città: Genova Messaggi: 3397	beh hai un po' di roba... cancella: O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file) O4 - HKLM\..\Run: [hrnqowqf] C:\WINDOWS\system32\jvyoitue.exe O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe O15 - Trusted Zone: www.hastalavista.it O15 - Trusted Zone: www.pornoaccesso.com O16 - DPF: {16E166F9-35E8-4CA5-B50D-5CEFABF45B09} - http://www.hastalavista.it/dialers/118/AUTO_118N.exe O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing) __________________ Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software

24-04-2007, 20:07	#12
Bugs Bunny Senior Member Iscritto dal: Aug 2005 Città: Genova Messaggi: 3397	e ovviamente cancella C:\WINDOWS\system32\jvyoitue.exe C:\WINDOWS\system\smss.exe C:\WINDOWS\system32\taskdir.exe (script di the avenger) Files to delete: C:\WINDOWS\system32\jvyoitue.exe C:\WINDOWS\system\smss.exe C:\WINDOWS\system32\taskdir.exe __________________ Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software

Strumenti
Mostra una versione stampabile Invia questa pagina per email