infestato - Pagina 2

YMen · 13-06-2005, 16:38

Quote:

Originariamente inviato da Hidro

una formattazione ed una installazione del service pack 1 e 2 mi permette di non riprendere tutte queste schifezze?

Può darsi ma cmq non è sicuro

Quote:

Originariamente inviato da Hidro

e comunque sarebbe questo windll32.exe mi causa tutti questi problemi?

è probabile cmq sei riuscito ad eliminarlo? e se sei riuscito ad aprirlo posta il log di hijackthis
se no fammi l'elenco di tutti i processi in esecuzione nel task se poi sei riuscito ad aprire almeno quello

Hidro · 13-06-2005, 17:00

ecco il log della scansione che ho appena fatto

Logfile of HijackThis v1.99.1
Scan saved at 16.59.40, on 13/06/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\rpcclient.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\Documents and Settings\Iron\Documenti\Unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rossoalice.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1B1D65B-86D1-48D0-832D-1793F749FDA7}: NameServer = 80.17.212.208 151.99.125.1
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe

eliminato windll32.exe in modalità provvisoria

YMen · 13-06-2005, 17:10

Non sei ancora a posto
Fixa questa riga:
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
e poi conosci questo?
rpcclient.exe

Hidro · 13-06-2005, 17:15

rpcclient.exe ho provato a cancellarlo anche in modalità provvisoria... niente

ricompare automaticamente

YMen · 13-06-2005, 17:25

come hai provato a cancellarlo, manualmente? l'hai terminato dal task? prima di riavviare in mod prov hai disabilitato il system restore?
PS: ma quindi non lo conosci rpcclient.exe?

Hidro · 13-06-2005, 17:37

no rpcclient non lo conosco purtroppo.. cmq e' anche nei servizi di windows in strumenti e amministrazione...

x system restore intendi cancellato il servizio di ripristino della configurazione del sistema?

YMen · 13-06-2005, 17:41

Quote:

Originariamente inviato da Hidro

x system restore intendi cancellato il servizio di ripristino della configurazione del sistema?

si ma non lo devi cancellare solo disabilitare da risorse del computer--> proprietà

Hidro · 13-06-2005, 18:15

ho controllato, l'avevo già disattivato

bluepix · 13-06-2005, 18:25

La caccia si fa interessante

Per rpcclient.exe(non c'è nessuna entry in google e, per definizione, è un malware) nella gestione dei servizi stoppa il servizio poi disabilitalo.

fixa quindi la linea:
O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe

Installa assolutamente il Service Pack 2

Hidro · 13-06-2005, 19:45

vedo con piacere che la situazione interessa

cmq il problema è che non è possibile disabilitarlo dai servizi

Hidro · 13-06-2005, 20:03

ecco che ne sbuca un altro adesso

Logfile of HijackThis v1.99.1
Scan saved at 20.01.38, on 13/06/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\rpcclient.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programmi\Microsoft IntelliPoint\point32.exe
C:\Programmi\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\KYSVCXD.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\Documents and Settings\Iron\Documenti\Unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rossoalice.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE
O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by15fd.bay15.hotmail.msn.com/...x/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1B1D65B-86D1-48D0-832D-1793F749FDA7}: NameServer = 80.17.212.208 151.99.125.1
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe

KYSVCXD.exe

bluepix · 13-06-2005, 21:10

Quote:

Originariamente inviato da Hidro

ecco che ne sbuca un altro adesso

Logfile of HijackThis v1.99.1
Scan saved at 20.01.38, on 13/06/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\rpcclient.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programmi\Microsoft IntelliPoint\point32.exe
C:\Programmi\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\KYSVCXD.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\Documents and Settings\Iron\Documenti\Unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rossoalice.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE
O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by15fd.bay15.hotmail.msn.com/...x/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1B1D65B-86D1-48D0-832D-1793F749FDA7}: NameServer = 80.17.212.208 151.99.125.1
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe

KYSVCXD.exe

mi sembra una lotta senza fine.
Devi assolutamente installare SP2.
Sembra un attacco dall'esterno che crea un processo rpcclient.exe che poi genere files di volta in volta diversi.

Prova ad start-esegui services.msc cerca il processo "Remote Procedure Call (RPC) Client" (non RPC remote Procedure Call) o qualcosa di simile che lancia il programma in questione. Tasto destro e Termina.
Poi tasto desto proprieta e scegli Disabilita nel tipo di avvio.

Riparti in modalità provvisoria e fixa le righe:
O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE
O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE
O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe

YMen · 13-06-2005, 21:16

Fixa questi:
O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE

O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE

O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe

Poi sempre da mod prov riprova a cancellare i file sia di rpcclient.exe che di KYSVCXD.EXE con killbox riavvia in mod normale termina i processi dal task

Hidro · 13-06-2005, 23:51

stoppato e disabilitato il servizio rpc

cancellato KYSVCXD.EXE

ma rpc da hijackthis non vuole andare via

edit: trova file e cartelle rpcclient.exe non esiste

YMen · 14-06-2005, 08:56

Quote:

Originariamente inviato da Hidro

stoppato e disabilitato il servizio rpc ...
ma rpc da hijackthis non vuole andare via

edit: trova file e cartelle rpcclient.exe non esiste

quindi l'hai terminato dal task ma non riesci a togliere la riga che to ho segnalato da hijackthis (nemmeno da mod prov?)

Quote:

Originariamente inviato da Hidro

cancellato KYSVCXD.EXE

e anche terminato dal task?

PS: skunworks conosce un utile prog per cancellare i file ora lo avviso

Hidro · 14-06-2005, 12:09

allora, per quanto riguarda KYSVCXD.EXE terminato e cancellato... e fino ad ora sembra non ricomparire più

EDIT: non chiedetemi perchè ma il servizio rpc stamattina si poteva disabilitare

Hidro · 14-06-2005, 12:13

Logfile of HijackThis v1.99.1
Scan saved at 12.12.31, on 14/06/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programmi\Microsoft IntelliPoint\point32.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Iron\Documenti\Unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rossoalice.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe"
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by15fd.bay15.hotmail.msn.com/...x/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1B1D65B-86D1-48D0-832D-1793F749FDA7}: NameServer = 80.17.212.208 151.99.125.1
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe

in hijackthis continua a non andare via

YMen · 14-06-2005, 12:24

Quote:

Originariamente inviato da Hidro

in hijackthis continua a non andare via

ma se tenti di fixarlo cosa succede? lo fa anche da mod prov?

Hidro · 14-06-2005, 13:05

lo fixa ma alla prossima scansione lo ritrova...

cmq

C:\WINDOWS\system32\logonui.exe ??

YMen · 14-06-2005, 13:23

Quote:

Originariamente inviato da Hidro

lo fixa ma alla prossima scansione lo ritrova...

prova a fixarlo da mod prov

Quote:

Originariamente inviato da Hidro

C:\WINDOWS\system32\logonui.exe ??

non so cosa sia ma almeno dall'analizzatore risulta sicuro

13-06-2005, 17:10	#23
YMen Senior Member Iscritto dal: May 2005 Città: Bari (ma vorrei vivere a Parigi...) Messaggi: 821	Non sei ancora a posto Fixa questa riga: O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone e poi conosci questo? rpcclient.exe __________________ Io faccio amicizia solo con gente amichevole e simpatica se non lo siete clik qui ma visitate Il Mio Sito

13-06-2005, 17:25	#25
YMen Senior Member Iscritto dal: May 2005 Città: Bari (ma vorrei vivere a Parigi...) Messaggi: 821	come hai provato a cancellarlo, manualmente? l'hai terminato dal task? prima di riavviare in mod prov hai disabilitato il system restore? PS: ma quindi non lo conosci rpcclient.exe? __________________ Io faccio amicizia solo con gente amichevole e simpatica se non lo siete clik qui ma visitate Il Mio Sito

13-06-2005, 21:16	#33
YMen Senior Member Iscritto dal: May 2005 Città: Bari (ma vorrei vivere a Parigi...) Messaggi: 821	Fixa questi: O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe Poi sempre da mod prov riprova a cancellare i file sia di rpcclient.exe che di KYSVCXD.EXE con killbox riavvia in mod normale termina i processi dal task __________________ Io faccio amicizia solo con gente amichevole e simpatica se non lo siete clik qui ma visitate Il Mio Sito

14-06-2005, 12:09	#36
Hidro Senior Member Iscritto dal: Feb 2003 Città: Ancona Messaggi: 313	allora, per quanto riguarda KYSVCXD.EXE terminato e cancellato... e fino ad ora sembra non ricomparire più EDIT: non chiedetemi perchè ma il servizio rpc stamattina si poteva disabilitare Ultima modifica di Hidro : 14-06-2005 alle 12:11.

13-06-2005, 17:00	#22
Hidro Senior Member Iscritto dal: Feb 2003 Città: Ancona Messaggi: 313	ecco il log della scansione che ho appena fatto Logfile of HijackThis v1.99.1 Scan saved at 16.59.40, on 13/06/2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\rpcclient.exe C:\WINDOWS\System32\GSICON.EXE C:\WINDOWS\System32\dslagent.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programmi\MSN Messenger\msnmsgr.exe C:\Programmi\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\cmd.exe C:\Documents and Settings\Iron\Documenti\Unzipped\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rossoalice.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E1B1D65B-86D1-48D0-832D-1793F749FDA7}: NameServer = 80.17.212.208 151.99.125.1 O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe eliminato windll32.exe in modalità provvisoria

13-06-2005, 17:15	#24
Hidro Senior Member Iscritto dal: Feb 2003 Città: Ancona Messaggi: 313	rpcclient.exe ho provato a cancellarlo anche in modalità provvisoria... niente ricompare automaticamente

13-06-2005, 17:37	#26
Hidro Senior Member Iscritto dal: Feb 2003 Città: Ancona Messaggi: 313	no rpcclient non lo conosco purtroppo.. cmq e' anche nei servizi di windows in strumenti e amministrazione... x system restore intendi cancellato il servizio di ripristino della configurazione del sistema?

13-06-2005, 18:15	#28
Hidro Senior Member Iscritto dal: Feb 2003 Città: Ancona Messaggi: 313	ho controllato, l'avevo già disattivato

13-06-2005, 18:25	#29
bluepix Senior Member Iscritto dal: Dec 2004 Città: Magenta(MI) Messaggi: 1513	La caccia si fa interessante Per rpcclient.exe(non c'è nessuna entry in google e, per definizione, è un malware) nella gestione dei servizi stoppa il servizio poi disabilitalo. fixa quindi la linea: O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe Installa assolutamente il Service Pack 2

13-06-2005, 19:45	#30
Hidro Senior Member Iscritto dal: Feb 2003 Città: Ancona Messaggi: 313	vedo con piacere che la situazione interessa cmq il problema è che non è possibile disabilitarlo dai servizi

13-06-2005, 20:03	#31
Hidro Senior Member Iscritto dal: Feb 2003 Città: Ancona Messaggi: 313	ecco che ne sbuca un altro adesso Logfile of HijackThis v1.99.1 Scan saved at 20.01.38, on 13/06/2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\rpcclient.exe C:\WINDOWS\System32\GSICON.EXE C:\WINDOWS\System32\dslagent.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programmi\Microsoft IntelliPoint\point32.exe C:\Programmi\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe C:\Programmi\MSN Messenger\msnmsgr.exe C:\WINDOWS\System32\KYSVCXD.EXE C:\WINDOWS\System32\taskmgr.exe C:\Documents and Settings\Iron\Documenti\Unzipped\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rossoalice.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by15fd.bay15.hotmail.msn.com/...x/HMAtchmt.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{E1B1D65B-86D1-48D0-832D-1793F749FDA7}: NameServer = 80.17.212.208 151.99.125.1 O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe KYSVCXD.exe

13-06-2005, 23:51	#34
Hidro Senior Member Iscritto dal: Feb 2003 Città: Ancona Messaggi: 313	stoppato e disabilitato il servizio rpc cancellato KYSVCXD.EXE ma rpc da hijackthis non vuole andare via edit: trova file e cartelle rpcclient.exe non esiste

14-06-2005, 12:13	#37
Hidro Senior Member Iscritto dal: Feb 2003 Città: Ancona Messaggi: 313	Logfile of HijackThis v1.99.1 Scan saved at 12.12.31, on 14/06/2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\logonui.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\GSICON.EXE C:\WINDOWS\System32\dslagent.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programmi\Microsoft IntelliPoint\point32.exe C:\Programmi\MSN Messenger\msnmsgr.exe C:\Programmi\Mozilla Firefox\firefox.exe C:\Documents and Settings\Iron\Documenti\Unzipped\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rossoalice.it/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe" O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by15fd.bay15.hotmail.msn.com/...x/HMAtchmt.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{E1B1D65B-86D1-48D0-832D-1793F749FDA7}: NameServer = 80.17.212.208 151.99.125.1 O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe in hijackthis continua a non andare via

14-06-2005, 13:05	#39
Hidro Senior Member Iscritto dal: Feb 2003 Città: Ancona Messaggi: 313	lo fixa ma alla prossima scansione lo ritrova... cmq C:\WINDOWS\system32\logonui.exe ??

Strumenti
Mostra una versione stampabile Invia questa pagina per email