processi:igfxsvc.exe, spoolw.exe

[schumyFast]

Quote:

Originariamente inviato da lamboman

ciao a tutti mi sono iscritto ora perchè anche io ho questo problema...
tutto è iniziato con il fatto che quando mi connettevo ad internet,dopo un po la linea si disconnetteva da sola,ho cercato in giro nelle cartelle è ho scoperto che la disconnessione è causata da un dialer russo che genera dei file eseguibili con nomi tutti diversi e rigorosamente con caratteri numerici come per esempio:

ho visto che sul task manager ci sono anche spollw.exe e igfxsvc.exe i quali sono praticamente impossibili da levare,sono riuscito a cancellarli un po di volte semplicemente bloccando il processo e spostandolo nel cestino ma poi il processo ricominciava,o provato anche a modificare il file spollw.exe con il blocco note pensando che magari cambiamdo un po di comandi all'interno il file potesse bloccarsi,ma niente...
ho modificato le voci nel registro ma sono ancora alla stesso punto di prima...

Per caso hai anche i file iexplore_32.exe e w32dbg.exe?

In caso affermativo c'è da lavorare con il registro alle chiavi

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

[paoluzim]

Buongiorno

relativamente a questa discussione io mi ritrovo sul pc tutte le fattispecie descritte dagli altri utenti a causa del virus song.exe

la rimozione di questo virus, che mi pare di capire sia una variante del virus u.exe . ufo.exe ecc ecc, ha poi avuto una procedura vincente?

[Chill-Out]

Quote:

Originariamente inviato da paoluzim

Buongiorno

relativamente a questa discussione io mi ritrovo sul pc tutte le fattispecie descritte dagli altri utenti a causa del virus song.exe

la rimozione di questo virus, che mi pare di capire sia una variante del virus u.exe . ufo.exe ecc ecc, ha poi avuto una procedura vincente?

Procedi con la Guida alla disinfezione allegando i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione


MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

● se il relativo txt generato è max 20 kb, allegato alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
● se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

questo ci consente di fare una diagnosi ed escludere altre eventuali infezioni, nel frattempo potresti fare questo controllo clicca su una cartella qualsiasi Strumenti - Opzioni - Visualizzazione e metti il segno di spunta su Visualizza file e cartelle nascoste / togli il segno di spunta da Nascondi file protetti di sistema e vedi se è presente il file in grassetto in questo percorso C:\WINDOWS\system32\secpol.exe

[paoluzim]

grazie per l'immediata risposta

ora eseguo la procedura segnalata

relativamente al file secpol.exe non è presente nella cartella system32

grazie ancora

[Chill-Out]

Quote:

Originariamente inviato da paoluzim

grazie per l'immediata risposta

ora eseguo la procedura segnalata

relativamente al file secpol.exe non è presente nella cartella system32

grazie ancora

Attendiamo i log

[paoluzim]

allego il log di hijackthis

[Chill-Out]

allegando i log prodotti in un'unico

[xcdegasp]

Inteso come in un unico messaggio
cercate di essere meno criptici

[paoluzim]

si l'indicazione l'avevo comunque capita, ma non avevo avuto modo di completare i vari controlli
a breve posterò tutti i log che ho ricavato

intanto sempre grazie per l'attenzione!!!

[blue_tech]

per pulire i pc da quei virus bastano pochi passi...
ne ho già puliti parecchi...

installate antivir, nelle impostazioni abilitate il controllo di tutti i tipi di file e mettete l'euristica su high; poi installate anche ewido (o avg antispyware come dir si voglia)... li aggiornate e riavviate in mod provvisoria...

lì fate le seguenti cose:

1) dal task manager terminate i processi in questione (spoolw e l'altro) con click destro e "termina struttura processo"
2) abilitate la visualizzazione dei file nascosti e di quelli protetti e di sistema in risorse del computer
3) fate una scansione completa sia con antivir che con ewido ed eliminate tutto quello che trovano
4) andate nella cartella windows e system32 ed eliminate tutti i file che trovate con nomi fatti di solinumeri.exe (tipo ad esempio 347829.exe)
5) poi fate start -> esegui -> msconfig e dalla scheda avvio eliminate la spunta dalle voci riferite a quei processi (spoolw.exe, igfxcoso.exe, solonumeri.exe)
6) start -> esegui -> regedit andate al percorso HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options e se ci sono le sottocartelle explorer e iexplore, click destro -> vi date tutti diritti e poi le eliminate

A questo punto riavviate e dovreste aver pulito il computer

[paoluzim]

grazie intanto di questa segnalazione

ho avuto problemi e non ho potuto completare tutti i passi della procedura

proverò eventualmente a seguire le indicazioni del gentilissimo blue_tech

però approfitto anche per aggiungere una richiesta correlata

il virus ha infettato tutte le pen drive che ho
in effetti sulle stesse l'antivirus riconosce il file song.exe
è sufficiente eliminare detto file o occorre formattarle?

[blue_tech]

bah direi che se si può è meglio salvare i propri dati e poi formattarle...
almeno si va sul sicuro

[Chill-Out]

Quote:

per pulire i pc da quei virus bastano pochi passi...
ne ho già puliti parecchi...

Quote:

bah direi che se si può è meglio salvare i propri dati e poi formattarle...
almeno si va sul sicuro

direi che ci passa una bella differenza

[blue_tech]

Quote:

Originariamente inviato da Chill-Out

direi che ci passa una bella differenza

sui pc li pulisci eliminando le voci come ho indicato perchè è sempre preferibile tenersi buoni SO e prog vari ; con una chiavetta perdonami ma non ha senso fare tutta sta fatica...

elimini il file virale, salvi i tuoi dati e formatti -> rapido e sicuro al 100%

[Chill-Out]

Quote:

Originariamente inviato da blue_tech

sui pc li pulisci eliminando le voci come ho indicato perchè è sempre preferibile tenersi buoni SO e prog vari ; con una chiavetta perdonami ma non ha senso fare tutta sta fatica...

elimini il file virale, salvi i tuoi dati e formatti -> rapido e sicuro al 100%

dipende dai punti di vista, preferisco le sfide o io o il virus se vince lui formatto

[juninho85]

Quote:

Originariamente inviato da blue_tech

sui pc li pulisci eliminando le voci come ho indicato perchè è sempre preferibile tenersi buoni SO e prog vari ; con una chiavetta perdonami ma non ha senso fare tutta sta fatica...

elimini il file virale, salvi i tuoi dati e formatti -> rapido e sicuro al 100%

manco fosse impossibile da rimuovere,non mi sembra questo il caso

[luca2000]

Ciao ragazzi, ho bisogno di aiuto urgente...

ho seguito la vostra procedura,

ho eliminato:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe (che fa riferimento al file C:\windows\iexplore_32.exe)

dopo con avenger eliminando:

Files to delete:
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\iexplore_32.exe
C:\WINDOWS\w32dbg.exe
C:\U.exe


il problema è che da dopo che ho fatto questa modifica con avenger e mi ha fatto riavviare il pc, quando si è riavviato arrivava fino alla schermata del desktop e non mi caricava più nè le icone, nè la barra di windows.

Il pc si avvia anche in modalità provvisoria, ma ugualmente non fa vedere nè le icone, nè la barra di windows.

Mi permette solo di aprire il task.

Ho anche provato a far riavviare l'ultima configuarazione funzionante, ma non è cambiato niente.

Cosa posso fare per resuscitare il morto?
Per favore non consigliatemi di reinstallare windows che questo so anche da solo come farlo.

[Chill-Out]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe (che fa riferimento al file c:\windows\w32dbg.exe)

se presente hai provveduto ad eliminarla?