svchost si ciuccia tutta la connessione!

[angaran]

Ciao ragazzi,
ho un problemone, da qualche tempo non riesco più a navigare. Ho questo problema: quando mi connetto e accendo il browser non riesco a navigare perchè c'è un servizio di windows ( forse ....) svchost.com che, monitorando con li firewall sygate, ho visto che si ciuccia tutta la banda scaricando qualcosa da internet che il firewall puntualmente blocca. Se spengo questo servizio tutta funziona nuovamente. Oltretutto ho anche un 'altro problema penso causato dallo stesso servizio, non riesco ad accedere al computer dalla rete perchè non ho l'autorizzazione mentre prima ci riuscivo.

Ah, dimenticavo, NAV 2004 mi dice che un sistema più pulito del mio non c'è, mi sa che si sbaglia.

[angaran]

ah, inoltre ho dei files che non posso rimuovere che si formano automaticamente all'avvio del pc nel C: con nome random come:

t1g, t1k4, tg0, ecc

Che cavolo ho??

[Carcass]

Quote:

Originariamente inviato da angaran
ah, inoltre ho dei files che non posso rimuovere che si formano automaticamente all'avvio del pc nel C: con nome random come:

t1g, t1k4, tg0, ecc

Che cavolo ho??

per accertare che tutto sia ok quindi escludere per prima cosa che non sia virus o altro fai cosi
1 togli nav e metti avast home è free e ottimo
2 poi scansiona con adaware e spybot
3 dopo fai un log con hijakthis lo trovi pure sul forum e posta il log salvato
NB: i primi due punti meglio in f8

poi si vedra il resto

[angaran]

Quote:

NB: i primi due punti meglio in f8

perdona la mia ignoranza, f8 ???

[angaran]

Bene, ho disinstallato il nav e installato e aggiornato Avast!. Molto curato, non troppo complicato, mi pare proprio buono. Ho scaricato anche i vari programmi che mi hai detto, sai com'è sono un neofita della sicurezza mi ci sto dedicando seriamente da poco. Adesso faccio le scansioni e poi vediamo.

[@L3]

Quote:

Originariamente inviato da Carcass
....NB: i primi due punti meglio in f8

modalita provvisoria

[angaran]

Ah, ok, dici per la scansione o anche per l'installazione?

[@L3]

solo scansione.
ciao

[angaran]

Ho appena finito la scansione con Avast ( sono stato via quesyo pomeriggio ) e mi ha trovato alcune cose cercando nei file compress ma credo niente di sconvolegente e poi erano solo nei file compressi. Ora aggiorno Spybot e provo a vedere cosa mi dice. Vi faccio sapere.

[angaran]

una domandina, Avast protegge le mail scaricare con il client integrato di Opera, magari fa qualche effettino grafico mentre guarda le mail? così capisco se le scansiona o no! Oppure bisogna configurare qualcosa?

[angaran]

allora, fatto.
Provato avast, niente
Provato spybot, niente
Questo il log di quel tool hjiequalcosa ( ma perchè si chiama così ?)

Logfile of HijackThis v1.98.2
Scan saved at 0.26.51, on 11/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Apache Group\Apache2\bin\Apache.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Apache Group\Apache2\bin\Apache.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programmi\RivaTuner\RivaTuner.exe
C:\WINDOWS\System32\svchost.com
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Creative\SBAudigy\Taskbar\CTLTray.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Programmi\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\Programmi\CountDown\CountDown.exe
C:\Documents and Settings\Angaran Stefano\Impostazioni locali\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programmi\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [RivaTuner] "C:\Programmi\RivaTuner\RivaTuner.exe" /T
O4 - HKLM\..\Run: [Services host] svchost.com
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\RunServices: [Services host] svchost.com
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TaskTray] C:\Programmi\Creative\SBAudigy\Taskbar\CTLTray.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Services host] svchost.com
O4 - Startup: CountDown.lnk = C:\Programmi\CountDown\CountDown.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programmi\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .mpg: C:\Programmi\Opera7\PLUGINS\npqtplugin3.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab28578.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab28578.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28578.cab

Mah, se mi sapete dire qualcosa grazie

[Carcass]

io non sono espertissimo nel dire cosa fissare con ijak ma qualcosa che non va lo posso vedere...ci sarebbe una guida per capire ma andiamo al nocciolo.......
quello che ti è uscito nel log e che hai postato fai copia e incolla nella finestra a sto link

http://hijackthis.de/index.php?langselect=english

fai analizza dopo cio riapro ijak rifai il log e col programma in esecuzione ti trovi le stringhe corrispondenti e li fissi direttamente tranquillo che è piu difficile a dirsi che a farsi e poi riposti il log o lo rianalizzi che qualcuno piu esperto verra sicuramente

[angaran]

Si ha trovato qualcosa che non va ora fixo e vediamo.

[angaran]

Heilà, quel programma hijackthis è proprio mitico. Mi ha aiutato a risolvere il problema. Ah, dimenticavo, grazie anche a voi

[Carcass]

Quote:

Originariamente inviato da angaran
Heilà, quel programma hijackthis è proprio mitico. Mi ha aiutato a risolvere il problema. Ah, dimenticavo, grazie anche a voi

[angaran]

Ok, ho messo a posto la cosa del svchost ma i file sul c: con nomi tipo tkg.1 da 0 kbyte che non posso eliminare perchè mi dice che qualche processo li usa c'è ancora. Rimane anche il fatto che non posso accedere al pc in rete ma posso accedere alla rete col pc. Un aiutino???

[Sifr]

Per la rete non saprei dirti, per quanto riguarda i files, se sei sicuro di volerli cancellare, entra in windows in modalità provvisoria e poi li cancelli

Byez!
Sifr

[angaran]

Il problema è che ritornano

[Sifr]

Se ritornano allora è perchè un altro file li "protegge", il che significa che hai ancora qualche zozzeria

Ciao!
Sifr

[angaran]

Bhe questo si capisce. Però non riesco proprio a capire cosa possa essere.