files sospetti...

[occhiodifalco]

Ciao amici

Mi hanno velocizzato alice da 700 a 1500.

Ho notato dopo questo Up (può essere una coincidenza) che all'avvio
il pc tenta di collegarsi ad internet (cosa che prima non aveva mai fatto) con un programma:

rundl32.exe (Da non confondersi con rundll.exe!)

Ovviamente lo blocco con zone alarm.....
lo trovo nella cartella c:\documents and setting
lo cancello e quando riavvio 'sto strnz è di nuovo lì

Ho scansionato l'hd ma l'antivirus (aggiornato) non mi dice nulla...

Inoltre ho notato nello start up del registro un eseguibile della
svcSystem denominato irdsvr.exe
se provo a cancellarlo lui dopo 3 secondi riappare...

Ho provato con le scansioni antivirus trovate in rete della Symantec, Mcafee
e altre due che non ricordo
(oltre che col mio AntiVir Guard)
ma non ho segnalazioni di virus (anche se in rete trovo info poco rassicuranti sui suddetti files)


Ne sapete qualcosa?
Consigli?

Grazie per chi vorrà rispondermi
Ciao a tutti

[bluepix]

Penso che se non posti un log di Hijackthis è praticamente impossibile darti un suggerimento

ciao

[occhiodifalco]

Ciao Bluepix

Grazie per la velocità

Ecco quello che mi hai chiesto
(ma siete dei maghi! Come fate a racapezzarvi da un file log così intricato?
Beati voi!!!)


Logfile of HijackThis v1.99.1
Scan saved at 0.48.36, on 04/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\DeltTray.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\lrdsvr.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Sandro\Desktop\Ivan Graziani\Sys Clean\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programmi\DAP\DAPIEBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [AdwareAlert] C:\Programmi\AdwareAlert\AdwareAlert.Exe -boot
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\nbj.exe"
O4 - HKCU\..\Run: [svcSystem] C:\WINDOWS\System32\lrdsvr.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Windows Update.hta
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\ms.exe (file missing)
O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\ms.exe (file missing)
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Sha...in/AvSniff.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093556709461
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents...1/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FBA1590-64DB-40B4-8799-EB103ABEA71F}: NameServer = 217.141.108.202 151.99.125.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Ancora GRAZIE!

[3dsst]

da fixare:
C:\WINDOWS\System32\lrdsvr.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKCU\..\Run: [svcSystem] C:\WINDOWS\System32\lrdsvr.exe
O4 - Global Startup: Windows Update.hta
O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\ms.exe (file missing
O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\ms.exe (file missing)
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

oltre all'antivirus non hai fatto scansioni con degli antispyware?
cmq secondo hai almeno un virus o spyware che sarebbe sto lrdsvr.exe e poi anche sto rundll32.exe stmctrl.dll nn va bene cmq fixa le voci riportate

[BravoGT83]

Quote:

Originariamente inviato da bluepix

Penso che se non posti un log di Hijackthis è praticamente impossibile darti un suggerimento

ciao

ben detto

[BravoGT83]

tutti quelli che ha detto 3dsst

O17 - HKLM\System\CCS\Services\Tcpip\..\{8FBA1590-64DB-40B4-8799-EB103ABEA71F}: NameServer = 217.141.108.202 151.99.125.1

molto sospetto conosci l'ip?.

[tutmosi3]

Quote:

Originariamente inviato da BravoGT83

tutti quelli che ha detto 3dsst

O17 - HKLM\System\CCS\Services\Tcpip\..\{8FBA1590-64DB-40B4-8799-EB103ABEA71F}: NameServer = 217.141.108.202 151.99.125.1

molto sospetto conosci l'ip?.

Anche io starei all'erta su quegli IP.
Ciao

[bluepix]

Quote:

Originariamente inviato da BravoGT83

tutti quelli che ha detto 3dsst

O17 - HKLM\System\CCS\Services\Tcpip\..\{8FBA1590-64DB-40B4-8799-EB103ABEA71F}: NameServer = 217.141.108.202 151.99.125.1

molto sospetto conosci l'ip?.

volevo solo segnalare a tutti gli amici che la riga sopra indicata contiene i riferimenti al proprio provider Internet.
In questo caso 217.141.108.202 è Telcom Italia (rete Interbusiness), il secondo(credo) sia l'indirizzo del server DHCP.

[3dsst]

Quote:

Originariamente inviato da bluepix

volevo solo segnalare a tutti gli amici che la riga sopra indicata contiene i riferimenti al proprio provider Internet.
In questo caso 217.141.108.202 è Telcom Italia (rete Interbusiness), il secondo(credo) sia l'indirizzo del server DHCP.

[lord2]

crypserv.exe = sospetto

[bluepix]

Quote:

Originariamente inviato da lord2

crypserv.exe = sospetto

sembra un programma regolare

http://www.neuber.com/taskmanager/pr...pserv.exe.html

deve essere installato un prodotto di crypting

[occhiodifalco]

Ho fatto come mi avete detto e pare che sua andato tutto a buon fine!

Grazie di cuore!

Questo "Crypserv.exe" io non lo conosco..... e non ho installato nessun prog. di crittografia.... che mi consigliate? Lo butto?

Baci

[Dëck†]

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE

Anche questa linea a mio parere non rappresenta un pericolo (Download Accelerator)....

[occhiodifalco]

Quote:

Originariamente inviato da Dëck†

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE

Anche questa linea a mio parere non rappresenta un pericolo (Download Accelerator)....

Bravo Dëck†... è proprio lui!

e questo.... Crypserv.exe lo butto?
mi fremono le mani.... lo butto?
allora.... posso buttarlo?

[bluepix]

prova a cambiargli nome....... se vedi che questo non da fastidio al PC....
buuuuuuuuuuuuutttttttttaaaaaaaaaaaaalllllllllllooooooooooooo ahahahah

[Dëck†]

Quote:

Originariamente inviato da occhiodifalco

Bravo Dëck†... è proprio lui!

e questo.... Crypserv.exe lo butto?
mi fremono le mani.... lo butto?
allora.... posso buttarlo?

Come già detto da Bluepix fa parte di un prodotto per criptare dati. Ho anche però trovato qualche possibile relazione con w32/Dyfuca.l spyware...Il mio consiglio quindi, se non hai mai installato questo programma, è di rimuoverlo.

[Dëck†]

Quote:

Originariamente inviato da bluepix

prova a cambiargli nome....... se vedi che questo non da fastidio al PC....
buuuuuuuuuuuuutttttttttaaaaaaaaaaaaalllllllllllooooooooooooo ahahahah

[3dsst]

Quote:

Originariamente inviato da Dëck†

Come già detto da Bluepix fa parte di un prodotto per criptare dati. Ho anche però trovato qualche possibile relazione con w32/Dyfuca.l spyware...Il mio consiglio quindi, se non hai mai installato questo programma, è di rimuoverlo.

[occhiodifalco]

Ho buttato Crypserv.exe e tutto il resto.
Ho solo tenuto la stringa relativa a download accelerator plus con relativo programma (anche se un programma cercavermi e cercatrojan [ ] me lo ha indicato come un "cattivone".....)

Devo dire che ora tutto và che è una meraviglia..... anzi, mi sembra più veloce di prima!

Grazie a tutti voi che mi avete gentilmente risposto
Devo a voi se il mio PC è guarito.

Vi offro una bella bevuta virtuale

Baci e buone cose.

[juninho85]

Quote:

Originariamente inviato da occhiodifalco

Ho buttato Crypserv.exe e tutto il resto.
Ho solo tenuto la stringa relativa a download accelerator plus con relativo programma (anche se un programma cercavermi e cercatrojan [ ] me lo ha indicato come un "cattivone".....)
.

e infatti lo è