Sospetto blaster: cartelle xerox e frontpage + conto alla rovescia

Steno79 · 23-05-2005, 22:52

Un saluto a tutti! Sono secoli che non mi connettevo più a questo sito, e mi dispiace un po' doverlo fare solo a seguito di un problema, ma necessito di sentire ulteriori pareri

Sul mio nuovo portatile credo di aver contratto una strana forma di Worm Blaster...

Ho circa 6 svchost.exe in esecuzione nel Task (PS: WinXP SP2), e se ne chiudo tre o quattro parte il conto alla rovescia irreversibile che chiude la sessione ed il pc; inoltre ho le due cartelle "xerox" e "microsoft frontpage" site nella cartella Programmi che non vogliono sapere di esser cancellate. Già provato a formattare, non si risolve nulla. Nessun antivirus rileva alcunchè, nè i classici strumenti di rimozione del worm blaster mi sono d'aiuto (non rilevano nulla)

Vi posto l'HiJack:

Logfile of HijackThis v1.99.1
Scan saved at 22.51.31, on 23/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Arcade\PCMService.exe
C:\acer\epm\epm-dm.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Launch Manager\QtZgAcer.EXE
C:\WINDOWS\system32\ELAN.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\acer\eRecovery\Monitor.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Steno\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programmi\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINDOWS\system32\ELAN.exe
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1116862652328
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A5A5AA1-B883-4A9D-AC1D-1F8D0AAEB940}: NameServer = 193.70.152.15 193.70.152.25
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

Nella speranza di ottenere qualche risposta in più, vi faccio i miei migliori saluti!!

juninho85 · 23-05-2005, 23:55

e tutto normale,sia i riavvi in seguito alla chiusura dei svchost che la impossibilità di rimozione di frontpage e xerox,il tuo log di hijackthis e lindo come una mutanda stesa dopo la lavata

task- · 24-05-2005, 10:20

svchost sono tutti quei piccoli servizi utili o inutili di windows (basta che vai in services, metà buona di quella roba è un svchost + qualceh signla), nessun virus mai si potrà chiamare con quel nome, ed è normale hce windows si riavvii quando glieli chiudi, perchè gli chiudi servizi che sono a lui vitali. Sulla cartella xerox è uno dei + grandi misteri dell'informatica moderna, ad oggi nessuna ha ancora capito/scoeprto prechè win crei la cartella xerorx (che è uan specie d programma di editing se non sbaglio) quando si installa ed in seguito la protegga... [ prova a scrivere xrerox in google... ]

Steno79 · 24-05-2005, 19:42

Ho capito

Grazie mille per le vostre risposte; ero terrorizzato all'idea di esser affetto da un nuovo virus del quale ancora non vi fosse rimedio!

(adesso capisco perchè i vari removal tool continuavano a dare esiti negativi: ero io il testardo

)

Ho trovato anche la pagina dove verificare il response di HiJack, molto molto comoda! Credo che utilizzerò molto questo nuovo programmino anche a lavoro...!

Ciao e grazie di nuovo!

juninho85 · 24-05-2005, 22:29

Quote:

Originariamente inviato da Steno79

Ho trovato anche la pagina dove verificare il response di HiJack, molto molto comoda! Credo che utilizzerò molto questo nuovo programmino anche a lavoro...!

Ciao e grazie di nuovo!

bello eh?!

23-05-2005, 22:52	#1
Steno79 Senior Member Iscritto dal: Dec 2001 Città: Firenze Messaggi: 215	Sospetto blaster: cartelle xerox e frontpage + conto alla rovescia Un saluto a tutti! Sono secoli che non mi connettevo più a questo sito, e mi dispiace un po' doverlo fare solo a seguito di un problema, ma necessito di sentire ulteriori pareri Sul mio nuovo portatile credo di aver contratto una strana forma di Worm Blaster... Ho circa 6 svchost.exe in esecuzione nel Task (PS: WinXP SP2), e se ne chiudo tre o quattro parte il conto alla rovescia irreversibile che chiude la sessione ed il pc; inoltre ho le due cartelle "xerox" e "microsoft frontpage" site nella cartella Programmi che non vogliono sapere di esser cancellate. Già provato a formattare, non si risolve nulla. Nessun antivirus rileva alcunchè, nè i classici strumenti di rimozione del worm blaster mi sono d'aiuto (non rilevano nulla) Vi posto l'HiJack: Logfile of HijackThis v1.99.1 Scan saved at 22.51.31, on 23/05/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Acer\eManager\anbmServ.exe C:\Programmi\Synaptics\SynTP\SynTPLpr.exe C:\Programmi\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\rundll32.exe C:\Programmi\Arcade\PCMService.exe C:\acer\epm\epm-dm.exe C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe C:\Programmi\Launch Manager\QtZgAcer.EXE C:\WINDOWS\system32\ELAN.exe C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programmi\Alwil Software\Avast4\ashServ.exe C:\Programmi\acer\eRecovery\Monitor.exe C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe C:\Programmi\Alwil Software\Avast4\ashWebSv.exe C:\Programmi\Outlook Express\msimn.exe C:\Programmi\Internet Explorer\IEXPLORE.EXE C:\Programmi\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\Steno\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [PCMService] "C:\Programmi\Arcade\PCMService.exe" O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\QtZgAcer.EXE O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINDOWS\system32\ELAN.exe O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1116862652328 O17 - HKLM\System\CCS\Services\Tcpip\..\{5A5A5AA1-B883-4A9D-AC1D-1F8D0AAEB940}: NameServer = 193.70.152.15 193.70.152.25 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) Nella speranza di ottenere qualche risposta in più, vi faccio i miei migliori saluti!! __________________ "...Parla sempre come se non ci fosse un domani per pentirsi di quel che si è detto..." Sei un motociclista? Allora non puoi mancare nel GASS1!! Vieni con noi!

24-05-2005, 19:42	#4
Steno79 Senior Member Iscritto dal: Dec 2001 Città: Firenze Messaggi: 215	Ho capito Grazie mille per le vostre risposte; ero terrorizzato all'idea di esser affetto da un nuovo virus del quale ancora non vi fosse rimedio! (adesso capisco perchè i vari removal tool continuavano a dare esiti negativi: ero io il testardo ) Ho trovato anche la pagina dove verificare il response di HiJack, molto molto comoda! Credo che utilizzerò molto questo nuovo programmino anche a lavoro...! Ciao e grazie di nuovo! __________________ "...Parla sempre come se non ci fosse un domani per pentirsi di quel che si è detto..." Sei un motociclista? Allora non puoi mancare nel GASS1!! Vieni con noi!

23-05-2005, 23:55	#2
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28998	e tutto normale,sia i riavvi in seguito alla chiusura dei svchost che la impossibilità di rimozione di frontpage e xerox,il tuo log di hijackthis e lindo come una mutanda stesa dopo la lavata

24-05-2005, 10:20	#3
task- Senior Member Iscritto dal: Feb 2004 Messaggi: 497	svchost sono tutti quei piccoli servizi utili o inutili di windows (basta che vai in services, metà buona di quella roba è un svchost + qualceh signla), nessun virus mai si potrà chiamare con quel nome, ed è normale hce windows si riavvii quando glieli chiudi, perchè gli chiudi servizi che sono a lui vitali. Sulla cartella xerox è uno dei + grandi misteri dell'informatica moderna, ad oggi nessuna ha ancora capito/scoeprto prechè win crei la cartella xerorx (che è uan specie d programma di editing se non sbaglio) quando si installa ed in seguito la protegga... [ prova a scrivere xrerox in google... ]

Strumenti
Mostra una versione stampabile Invia questa pagina per email