|
|||||||
|
|
|
 |
|
|
Strumenti |
20-04-2007, 13:58
|
#1 |
|
Member
Iscritto dal: Nov 2006
Messaggi: 39
|
come liberarsi da services.dll?
Ciao a tutti, come faccio a liberare il mio pc da "services.dll" che appare ad ogni avvio??
già fatto scansioni con nod32 e ad-aware.. grazie x l'aiuto |
|
|
|
20-04-2007, 14:02
|
#2 |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
disattiva il ripristino di configurazione di sistema;
poi posta il log di hijackthis
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
20-04-2007, 14:07
|
#3 |
|
Member
Iscritto dal: Nov 2006
Messaggi: 39
|
ripristino di sistema sistema disattivato, ecco il log do hij:
Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 14.07.34, on 20/04/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Intel\Wireless\Bin\EvtEng.exe C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\Intel\Wireless\Bin\ZcfgSvc.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Eset\nod32krn.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\ATK0100\HControl.exe C:\WINDOWS\RTHDCPL.EXE C:\Programmi\ASUS\ASUS Live Update\ALU.exe C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe C:\Programmi\ASUS\Wireless Console\wcourier.exe C:\Programmi\Synaptics\SynTP\SynTPLpr.exe C:\Programmi\Synaptics\SynTP\SynTPEnh.exe C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Programmi\Asus\Asus ChkMail\ChkMail.exe C:\Programmi\FreePOPs\freepopsd.exe C:\Programmi\ESET\nod32kui.exe C:\Programmi\Internet Explorer\iexplore.exe C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Documents and Settings\Fabio\Desktop\HiJackThis_v2\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [ASUS Live Update] C:\Programmi\ASUS\ASUS Live Update\ALU.exe O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1 O4 - HKLM\..\Run: [Wireless Console] C:\Programmi\ASUS\Wireless Console\wcourier.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [IntelWireless] C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /O6 "USB001" /M "Stylus Photo R200" O4 - HKLM\..\Run: [Zshutdown] c:\sysprep\patch\sysprep.cmd O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AWMON] "C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe O4 - HKCU\..\Policies\Explorer\Run: [{04A06672-031D-1040-0608-050509050027}] "C:\Programmi\File comuni\{04A06672-031D-1040-0608-050509050027}\Update.exe" te-110-12-0000073 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Collegamento a nod32kui.lnk = C:\Programmi\ESET\nod32kui.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: ASUS ChkMail.lnk = C:\Programmi\Asus\Asus ChkMail\ChkMail.exe O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: FreePOPs (2).lnk = C:\Programmi\FreePOPs\freepopsd.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com O17 - HKLM\System\CCS\Services\Tcpip\..\{15A40E68-F9E0-44B2-9A92-734E245816A0}: NameServer = 130.244.127.161 130.244.127.169 O17 - HKLM\System\CCS\Services\Tcpip\..\{81379AE2-D2AD-4FC1-A5D3-BAB2418CEE93}: NameServer = 130.244.127.167,130.244.127.169 O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe |
|
|
|
|
20-04-2007, 15:40
|
#4 |
|
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3397
|
i log andrebbero postati nel thread ufficiale. fai analizzare questo file su virustotal:
c:\sysprep\patch\sysprep.cmd cancella: O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
__________________
Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software |
|
|
|
|
20-04-2007, 15:54
|
#5 |
|
Senior Member
Iscritto dal: Dec 2006
Città: Barletta (BA)
Messaggi: 579
|
O4 - HKCU\..\Policies\Explorer\Run: [{04A06672-031D-1040-0608-050509050027}] "C:\Programmi\File comuni\{04A06672-031D-1040-0608-050509050027}\Update.exe" te-110-12-0000073
anche questo sembra sospetto... inoltre controlla che gli ip di questa chiave siano del tuo provider, altrimenti potrebbero essere chiave che fanno il redirect su pagine infette... O17-HKLM\System\CCS\Services\Tcpip\..\{15A40E68-F9E0-44B2-9A92-734E245816A0}: NameServer = 130.244.127.161 130.244.127.169 O17-HKLM\System\CCS\Services\Tcpip\..\{81379AE2-D2AD-4FC1-A5D3-BAB2418CEE93}: NameServer = 130.244.127.167,130.244.127.169
__________________
Non permettere MAI a nessuno di dirti che non sai fare nulla....se hai un sogno, uno scopo, un obiettivo, devi inseguirlo; solo così potrai ottenere la felicità (dal film "alla ricerca della felicità) |
|
|
|
|
20-04-2007, 18:07
|
#6 |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
fammi una passata con panda antirootkit
http://www.pandasoftware.com/downloa...c/en/whnjs.htm e con gmer; se trova un voce in rosso diccelo
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
21-04-2007, 14:07
|
#7 |
|
Member
Iscritto dal: Nov 2006
Messaggi: 39
|
Per bugs bunny: scusa ma non so qual'è il thread ufficiale dove postare il log.
|
|
|
|
|
21-04-2007, 14:08
|
#8 |
|
Member
Iscritto dal: Nov 2006
Messaggi: 39
|
Sempre per bugs bunny: scusa ancora la mia ignoranza ma non trovo il file c:\sysprep\patch\sysprep.cmd..
|
|
|
|
|
21-04-2007, 14:09
|
#9 |
|
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3397
|
http://www.hwupgrade.it/forum/showthread.php?t=937676
Hai abilitato la visualizzazione di file nascosti?
__________________
Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software |
|
|
|
|
21-04-2007, 14:10
|
#10 |
|
Member
Iscritto dal: Nov 2006
Messaggi: 39
|
Per wizard93: gmer non ha rilevato niente in rosso..
|
|
|
|
|
21-04-2007, 14:15
|
#11 |
|
Member
Iscritto dal: Nov 2006
Messaggi: 39
|
Si, ma non trovo niente.
|
|
|
|
|
21-04-2007, 14:18
|
#12 |
|
Member
Iscritto dal: Nov 2006
Messaggi: 39
|
Poichè non ho mai maneggiato file di sistema e affini, mi potresti spiegare come cancellare le voci che mi hai indicato nel messaggio successivo al log.. grazie
|
|
|
|
|
22-04-2007, 16:33
|
#13 |
|
Senior Member
Iscritto dal: Oct 2004
Città: Milano
Messaggi: 2641
|
Nel tuo log non c'è nulla di particolarmente anomalo, piuttosto verifica se nella cartella C:Windows è presente un file denominato services.exe.
__________________
FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci |
|
|
|
|
22-04-2007, 22:00
|
#14 |
|
Member
Iscritto dal: Nov 2006
Messaggi: 39
|
Si c'è un file services in c:\windows\system32
|
|
|
|
|
22-04-2007, 22:13
|
#15 |
|
Senior Member
Iscritto dal: Oct 2004
Città: Milano
Messaggi: 2641
|
Quello presente in c:\windows\system32 è un file legittimo di windows, controlla che non ce ne sia uno uguale anche in c:\windows
prima di controllare vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema.
__________________
FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci |
|
|
|
|
23-04-2007, 22:14
|
#16 |
|
Member
Iscritto dal: Nov 2006
Messaggi: 39
|
Confermo quanto trovato in precedenza, cioè solo in system32
|
|
|
|
|
23-04-2007, 23:28
|
#17 |
|
Senior Member
Iscritto dal: Oct 2004
Città: Milano
Messaggi: 2641
|
Purtroppo dal tuo log di hijackthis non si riesce a capire l'origine dell'infezione, prova ad effettuare una scansione online qui
http://www.bitdefender.com/scan8/ie.html
__________________
FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 14:06.
