Voci incancellabili in HiJackThis, possibile?

Abbiatepazienza · 27-01-2006, 23:02

Salve a tutti. Non riesco ad eliminare le due voci che trovo nel log di HiJackThis, ho provato anche manualmente ma al percorso indicato non c'è nulla. Ho disinstallato AVG e quindi quei files non hanno ragione di esistere. Mi aiutate?

Le due voci indicate da HJT le riporto in arancione:

Logfile of HijackThis v1.99.1
Scan saved at 22.48.50, on 27/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\Analog Devices\SoundMAX\smax4.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\PeerGuardian2\pg2.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
c:\progra~1\fileco~1\instal~1\update~1\isuspm.exe
C:\Programmi\File comuni\InstallShield\UpdateService\agent.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmi\FireTrust\MailWasher Pro\MailWasher.exe
C:\Programmi\Winamp\winamp.exe
C:\Programmi\Mozilla Thunderbird\thunderbird.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOCUME~1\Standard\IMPOST~1\Temp\ARC3A12\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [PeerGuardian] C:\Programmi\PeerGuardian2\pg2.exe
O4 - Startup: MailWasherPro.lnk = C:\Programmi\FireTrust\MailWasher Pro\MailWasher.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E21E3BD9-38EF-4421-BE5B-513A2EA09F5C}: NameServer = 213.205.32.70,213.205.36.70
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe (file missing)
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

andorra24 · 27-01-2006, 23:15

Fixa:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe (file missing)
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe (file missing)

Se il fix non ti riesce in modalita' normale allora riprova in modalita' provvisoria.

Abbiatepazienza · 27-01-2006, 23:52

Ok, provo

Abbiatepazienza · 28-01-2006, 01:35

Niente da fare, sembrano irremovibili. Mi chiedo come mai HJT indichi un percorso che in realtà non esiste. Altre idee?

andorra24 · 28-01-2006, 07:01

Quote:

Originariamente inviato da Abbiatepazienza

Niente da fare, sembrano irremovibili. Mi chiedo come mai HJT indichi un percorso che in realtà non esiste. Altre idee?

Quelle voci di file missing indicano files mancanti ma non costituiscono un problema o un pericolo. La voce davvero importante che devi fixare e' questa:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE

tidav · 28-01-2006, 08:46

Quote:

Originariamente inviato da Abbiatepazienza

Niente da fare, sembrano irremovibili. Mi chiedo come mai HJT indichi un percorso che in realtà non esiste. Altre idee?

Hai pulito il registro dai riferimenti relativi ai 2 files in questione (avgupsvc.exe ; avgamsvr.exe ) ?

Ciao

Abbiatepazienza · 28-01-2006, 11:33

Ehm... non saprei dove mettere le mani, in effetti. Mi diresti come fare a ripulire il registro?

Per quel che riguarda services.exe, avevo già avuto problemi con lui e pensavo di averlo debellato. Mi chiedo come mai sia ricmparso...

andorra24 · 28-01-2006, 11:40

Quote:

Originariamente inviato da Abbiatepazienza

Ehm... non saprei dove mettere le mani, in effetti. Mi diresti come fare a ripulire il registro?

Per quel che riguarda services.exe, avevo già avuto problemi con lui e pensavo di averlo debellato. Mi chiedo come mai sia ricmparso...

Per dare una pulitina al registro puoi usare ad esempio CCleaner ma usalo con cautela:http://www.ccleaner.com/
e mi raccomando di fixare quella voce F2

mister pink · 28-01-2006, 12:55

Accidenti, un'altro poveraccio che si è beccato questa schifezza.

Non so se può essere utile, ma io ripropongo di seguito il testo del mio primo post che ho inserito in un altro thread (un po in ritardo, per la verità...) alcuni giorni fa.

"... poco meno di un mese fa, ho dovuto rimuovere da uno dei computer aziendali un schifezza che sembra molto ma molto simile a quella descritta in questo thread.

Non chiedetemi il nome del virus, perché ho dovuto rimuoverlo manualmente ed è stata anche una faticaccia... Il Norton AV 2004 (perfettamente aggiornato) era stato "fatto fuori" con facilità disarmante, anche perché praticamente non lo "vedeva" (parecchie cose non vede 'sto Norton, anche nella versione 2005... ).

E' bene precisare che l'eseguibile "services.exe" è un file di sistema che risiede
in windows\system32. In qualsiasi altro caso (inteso come diversa collocazione, per esempio direttamente dentro c:\windows) trattasi, quasi sicuramente, di virus. Il task originale di sistema, inoltre, non deve comparire nell'elenco dei task in esecuzione automatica visualizzati attraverso msconfig. Se vi compare, è un virus.

Il virus in questione, tuttavia, installa non uno ma due diversi eseguibili, il primo è il già citato "services.exe", l'altro, il più carogna, può avere diversi nomi (non ricordo qual'era quello che aveva assunto sul computer che ho sistemato) e si occupa essenzialmente di ripristinare le chiavi di registro che garantiscono l'avvio automatico del primo eseguibile alla partenza di windows.

Se non si individua e non si disabilita anche l'altro eseguibile, ogni tentativo di ripulire il registro è inutile e viene puntualmente frustrato.

Preciso altresì che questa maledetta schifezza non si limita ad inserire le solite chiavi di registro in: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, ecc.., ma modifica anche alcune altre chiavi correlate alle procedure di avvio di windows .

Ricordo che, sul computer infetto, "services.exe" non poteva essere terminato neanche attraverso il taskmanager e veniva caricato persino in modalità provvisoria.

Alla fine, sono riuscito ad evitare che partisse ed il risultato era quel messaggio di errore all'avvio descritto nel precedente post . Per poter risolvere anche 'sto guaio bisogna editare una chiave di registro (che non
ricordo dove si trova di preciso, ma ha attinenza con le procedure di avvio del SO) in cui il nome dell'eseguibile viene affiancato a quello dell'explorer di windows.
IMPORTANTE: la chiave in questione va modificata con estrema attenzione e non cancellata, altrimenti il SO non parte più."

Spero possa essere di qualche utilità: 'sto virus è proprio una brutta bestia.
Sul computer che ho ripulito generava un traffico mostruso aprendo una sessantina di connessioni verso server remoti dai nomi abbastanza inquietanti...

In bocca al lupo.

tidav · 28-01-2006, 14:59

Quote:

Originariamente inviato da Abbiatepazienza

Ehm... non saprei dove mettere le mani, in effetti. Mi diresti come fare a ripulire il registro?

Per quel che riguarda services.exe, avevo già avuto problemi con lui e pensavo di averlo debellato. Mi chiedo come mai sia ricmparso...

Regseeker non ce l'hai ? Scarica regseeker e inserisci come chiave di ricerca avgupsvc.exe e tutte le chiavi di registro che ti trova con esattamente quel riferimento le elimini. Per eliminarle tasto dx e scegli delete selected items.
Poi rifai lo stesso procedimento con chiave di ricerca avgamsvr.exe .

Quindi rifai la scansione con hijackthis e controlla se risultano ancora.

ciao

tidav · 28-01-2006, 15:01

Link regseeker 1.45 : http://www.hoverdesk.net/freeware.htm

Abbiatepazienza · 28-01-2006, 16:33

x Adorra24: CCleaner lo ho e l'ho già usato, ma non ha funzionato. Forse ho sbagliato qualcosa, era la prima volta che lo usavo

x Tidav: Scaricato regseeker, ricercate le voci indicate, selezionate, Tasto destro>Elimina valori selezionati,rieseguita scansione con HJT... ma le infami sono sempre lì che mi guardano e ridono. Comunque il programma sembra carino e ben fatto, grazie della segnalazione (anche se in effetti devo stare attento perché ne capisco poco)

x Mistr Pink: guarda, io usando HJT, Ewido, Stinger, Avast!, AdAware sono riuscito (non so come) a debellarlo. Del file che dici tu, quello con un altro nome, non ne so nulla. Mi pare che l'attività sospetta sia scomparsa, o almeno la schermata di errore che mi compariva e che mi ha fatto accorgere della presenza del bastardissimo, non compare più.TI linko la discussione che mi ha aiutato, se mi fornisci ulteriori informazioni sono più tranquillo services.exe

P.S. a dire il vero ho ricontrollato il log che postai nel topic indicato e credo di aver dimenticato di fixare la voce che risultava relativa a services.exe, quindi non è ricomparsa, era semplicemente rimasta lì. Ora comunque è scomparsa

mister pink · 28-01-2006, 17:28

Leggendo un po' di cosette in giro su internet ho potuto constatare che ci sono diversi virus e trojan che installano un eseguibile dal nome "services.exe".

Va detto però che non tutti sono ostici e rognosi come quello di cui stiamo parlando: anch'io non ricordo bene come ho fatto a rimuoverlo (ho smanettato nel registro con regedit, ho utilizzato hijackthis ed almeno un paio di antivirus, ecc...). Alla fine ho dovuto cancellare tutto a mano e poi, per sicurezza, ho anche formattato l'HD e reinstallato windows.

Quello che posso dirti è che se il task "services.exe" non ricompare e se non si manifestano messaggi di errore all'avvio di windows, molto probabilmente qualcuno dei programmi che hai usato è riuscito a rimuoverlo.

Del resto io c'ho avuto a che fare con 'sta schifezza più di 20 giorni fa, per cui può darsi che nel frattempo i database dei vari software siano stati aggiornati con le istruzioni per rimuoverla.

tidav · 28-01-2006, 19:21

Quote:

Originariamente inviato da Abbiatepazienza

x Tidav: Scaricato regseeker, ricercate le voci indicate, selezionate, Tasto destro>Elimina valori selezionati,rieseguita scansione con HJT... ma le infami sono sempre lì che mi guardano e ridono. Comunque il programma sembra carino e ben fatto, grazie della segnalazione (anche se in effetti devo stare attento perché ne capisco poco)

Fai questo ulteriore controllo.
riavvia il pc e tramite regseeker ricontrolla che le chiavi inerenti quelle 2 chiavi di ricerca non si siano riformate. Se si sono riformate occorre eliminarle tramite regedit agendo sulle autorizzazioni.
Inoltre controlla che non vi siano altre chiavi riferibili all'antivirus AVG.
Segna come chiave di ricerca AVG e vedi se ti spunta fuori qualche chiave riferibile chiaramente all'antivirus AVG.
Poi sempre in regseeker metti la spunta su search files e inserisci come chiave di ricerca quelle 2 che non riesci ad eliminare e poi anche come chiave di ricerca AVG per vedere se c'è qualche file riferibile all'antivirus e non ancora cancellato.

Se tutto (registro di sistema e hard disk) è pulito per bene le 2 voci non devono essere visualizzate da hijackthis.

Ciao

Dagon · 29-01-2006, 11:45

Ragazzi, mi sa che mi sono beccato la stessa immondizia.
Questo è il risultato del check di HiJackThis.

Logfile of HijackThis v1.99.1
Scan saved at 11.34.08, on 29/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\SERVICES.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\RegSeeker\RegSeeker.exe
C:\Documents and Settings\Dagon\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwupgrade.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\dapbho.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/ca...C_2.1.0.69.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://www.ysbweb.com/ist/softwares/v4.0/ysb_cracks.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.co...s/MsnPUpld.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by103fd.bay103.hotmail.msn.co...x/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FE7B892-3C9C-419B-A17D-7B2417A38E8F}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Non riesco anch'io a togliere da task manager le due voci services.exe.
Ho provato a fare un search su services.exe e ho trovato 2 files. Uno in system 32 che credo sia un file di sistema e l'altro in ServicePackFiles che ho cancellato. Ma niente. Ho fatto diversi scan con avast e ad-aware, ma niente. Con HiJackThis la voce su indicata come rognosa (F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE ) non riesco a cancellarla. Credo che la ricerca delle chiavi di registro riferibili ad avg con me non funziona (in effetti ci ho provato).

Cosa faccio?
Il problema è che in questo momento non posso proprio formattare...

andorra24 · 29-01-2006, 11:57

Fixa:
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\SERVICES.EXE
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/c...DC_2.1.0.69.cab (se non la conosci fixala)
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://www.ysbweb.com/ist/softwares/v4.0/ysb_cracks.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)

Se il fix non ti riesce in modalita' normale riprova in modalita' provvisoria dopo aver disattivato il ripristino di sistema.
Ho visto che hai DAP. Ti ricordo che contiene spyware.

Dagon · 29-01-2006, 12:01

Quote:

Originariamente inviato da andorra24

Fixa:
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\SERVICES.EXE
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/c...DC_2.1.0.69.cab (se non la conosci fixala)
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://www.ysbweb.com/ist/softwares/v4.0/ysb_cracks.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)

Se il fix non ti riesce in modalita' normale riprova in modalita' provvisoria dopo aver disattivato il ripristino di sistema.
Ho visto che hai DAP. Ti ricordo che contiene spyware.

Provo subito

Thanks

p.s. mi consigli di non usare dap?

andorra24 · 29-01-2006, 12:11

Quote:

Originariamente inviato da Dagon

Provo subito

Thanks

p.s. mi consigli di non usare dap?

DAP non e' il massimo in fatto di pulizia. Magari sostituiscilo con un prodotto simile.

Dagon · 29-01-2006, 12:25

Quote:

Originariamente inviato da andorra24

Fixa:
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\SERVICES.EXE

Come faccio a fixare queste voci?
Le altre le ho fixate, ma non è successo niente.

andorra24 · 29-01-2006, 12:32

Quote:

Originariamente inviato da Dagon

Come faccio a fixare queste voci?
Le altre le ho fixate, ma non è successo niente.

Hai provato a fare il fix in modalita' provvisoria con ripristino disattivato? Se non ci sei riuscito allora cerca di eliminare questo services.exe con killbox:
http://www.bleepingcomputer.com/files/killbox.php
oppure con unlocker:http://news.swzone.it/swznews-16993.php

27-01-2006, 23:02	#1
Abbiatepazienza Member Iscritto dal: Jan 2006 Messaggi: 62	Voci incancellabili in HiJackThis, possibile? Salve a tutti. Non riesco ad eliminare le due voci che trovo nel log di HiJackThis, ho provato anche manualmente ma al percorso indicato non c'è nulla. Ho disinstallato AVG e quindi quei files non hanno ragione di esistere. Mi aiutate? Le due voci indicate da HJT le riporto in arancione: Logfile of HijackThis v1.99.1 Scan saved at 22.48.50, on 27/01/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe C:\Programmi\Alwil Software\Avast4\ashServ.exe C:\Programmi\ewido anti-malware\ewidoctrl.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programmi\Analog Devices\SoundMAX\smax4.exe C:\Programmi\QuickTime\qttask.exe C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe C:\Programmi\PeerGuardian2\pg2.exe C:\Programmi\WinZip\WZQKPICK.EXE C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe C:\Programmi\Alwil Software\Avast4\ashWebSv.exe c:\progra~1\fileco~1\instal~1\update~1\isuspm.exe C:\Programmi\File comuni\InstallShield\UpdateService\agent.exe C:\Programmi\eMule\emule.exe C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe C:\Programmi\FireTrust\MailWasher Pro\MailWasher.exe C:\Programmi\Winamp\winamp.exe C:\Programmi\Mozilla Thunderbird\thunderbird.exe C:\Programmi\MSN Messenger\msnmsgr.exe C:\PROGRA~1\IZArc\IZArc.exe C:\DOCUME~1\Standard\IMPOST~1\Temp\ARC3A12\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\smax4.exe" /tray O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe O4 - HKCU\..\Run: [PeerGuardian] C:\Programmi\PeerGuardian2\pg2.exe O4 - Startup: MailWasherPro.lnk = C:\Programmi\FireTrust\MailWasher Pro\MailWasher.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E21E3BD9-38EF-4421-BE5B-513A2EA09F5C}: NameServer = 213.205.32.70,213.205.36.70 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe (file missing) O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe (file missing) O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe __________________ Prima di riempirmi di insulti, vi prego, leggete il mio nick Ne so davvero poco, aiutatemi

27-01-2006, 23:52	#3
Abbiatepazienza Member Iscritto dal: Jan 2006 Messaggi: 62	Ok, provo __________________ Prima di riempirmi di insulti, vi prego, leggete il mio nick Ne so davvero poco, aiutatemi

28-01-2006, 01:35	#4
Abbiatepazienza Member Iscritto dal: Jan 2006 Messaggi: 62	Niente da fare, sembrano irremovibili. Mi chiedo come mai HJT indichi un percorso che in realtà non esiste. Altre idee? __________________ Prima di riempirmi di insulti, vi prego, leggete il mio nick Ne so davvero poco, aiutatemi

28-01-2006, 11:33	#7
Abbiatepazienza Member Iscritto dal: Jan 2006 Messaggi: 62	Ehm... non saprei dove mettere le mani, in effetti. Mi diresti come fare a ripulire il registro? Per quel che riguarda services.exe, avevo già avuto problemi con lui e pensavo di averlo debellato. Mi chiedo come mai sia ricmparso... __________________ Prima di riempirmi di insulti, vi prego, leggete il mio nick Ne so davvero poco, aiutatemi

28-01-2006, 16:33	#12
Abbiatepazienza Member Iscritto dal: Jan 2006 Messaggi: 62	x Adorra24: CCleaner lo ho e l'ho già usato, ma non ha funzionato. Forse ho sbagliato qualcosa, era la prima volta che lo usavo x Tidav: Scaricato regseeker, ricercate le voci indicate, selezionate, Tasto destro>Elimina valori selezionati,rieseguita scansione con HJT... ma le infami sono sempre lì che mi guardano e ridono. Comunque il programma sembra carino e ben fatto, grazie della segnalazione (anche se in effetti devo stare attento perché ne capisco poco) x Mistr Pink: guarda, io usando HJT, Ewido, Stinger, Avast!, AdAware sono riuscito (non so come) a debellarlo. Del file che dici tu, quello con un altro nome, non ne so nulla. Mi pare che l'attività sospetta sia scomparsa, o almeno la schermata di errore che mi compariva e che mi ha fatto accorgere della presenza del bastardissimo, non compare più.TI linko la discussione che mi ha aiutato, se mi fornisci ulteriori informazioni sono più tranquillo services.exe P.S. a dire il vero ho ricontrollato il log che postai nel topic indicato e credo di aver dimenticato di fixare la voce che risultava relativa a services.exe, quindi non è ricomparsa, era semplicemente rimasta lì. Ora comunque è scomparsa __________________ Prima di riempirmi di insulti, vi prego, leggete il mio nick Ne so davvero poco, aiutatemi Ultima modifica di Abbiatepazienza : 28-01-2006 alle 16:49.

27-01-2006, 23:15	#2
andorra24 Senior Member Iscritto dal: May 2005 Città: Palermo Messaggi: 6390	Fixa: F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe (file missing) O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe (file missing) Se il fix non ti riesce in modalita' normale allora riprova in modalita' provvisoria.

28-01-2006, 12:55	#9
mister pink Senior Member Iscritto dal: Jan 2006 Città: più Africa che Italia Messaggi: 2060	Accidenti, un'altro poveraccio che si è beccato questa schifezza. Non so se può essere utile, ma io ripropongo di seguito il testo del mio primo post che ho inserito in un altro thread (un po in ritardo, per la verità...) alcuni giorni fa. "... poco meno di un mese fa, ho dovuto rimuovere da uno dei computer aziendali un schifezza che sembra molto ma molto simile a quella descritta in questo thread. Non chiedetemi il nome del virus, perché ho dovuto rimuoverlo manualmente ed è stata anche una faticaccia... Il Norton AV 2004 (perfettamente aggiornato) era stato "fatto fuori" con facilità disarmante, anche perché praticamente non lo "vedeva" (parecchie cose non vede 'sto Norton, anche nella versione 2005... ). E' bene precisare che l'eseguibile "services.exe" è un file di sistema che risiede in windows\system32. In qualsiasi altro caso (inteso come diversa collocazione, per esempio direttamente dentro c:\windows) trattasi, quasi sicuramente, di virus. Il task originale di sistema, inoltre, non deve comparire nell'elenco dei task in esecuzione automatica visualizzati attraverso msconfig. Se vi compare, è un virus. Il virus in questione, tuttavia, installa non uno ma due diversi eseguibili, il primo è il già citato "services.exe", l'altro, il più carogna, può avere diversi nomi (non ricordo qual'era quello che aveva assunto sul computer che ho sistemato) e si occupa essenzialmente di ripristinare le chiavi di registro che garantiscono l'avvio automatico del primo eseguibile alla partenza di windows. Se non si individua e non si disabilita anche l'altro eseguibile, ogni tentativo di ripulire il registro è inutile e viene puntualmente frustrato. Preciso altresì che questa maledetta schifezza non si limita ad inserire le solite chiavi di registro in: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, ecc.., ma modifica anche alcune altre chiavi correlate alle procedure di avvio di windows . Ricordo che, sul computer infetto, "services.exe" non poteva essere terminato neanche attraverso il taskmanager e veniva caricato persino in modalità provvisoria. Alla fine, sono riuscito ad evitare che partisse ed il risultato era quel messaggio di errore all'avvio descritto nel precedente post . Per poter risolvere anche 'sto guaio bisogna editare una chiave di registro (che non ricordo dove si trova di preciso, ma ha attinenza con le procedure di avvio del SO) in cui il nome dell'eseguibile viene affiancato a quello dell'explorer di windows. IMPORTANTE: la chiave in questione va modificata con estrema attenzione e non cancellata, altrimenti il SO non parte più." Spero possa essere di qualche utilità: 'sto virus è proprio una brutta bestia. Sul computer che ho ripulito generava un traffico mostruso aprendo una sessantina di connessioni verso server remoti dai nomi abbastanza inquietanti... In bocca al lupo.

28-01-2006, 15:01	#11
tidav Senior Member Iscritto dal: Oct 2004 Messaggi: 893	Link regseeker 1.45 : http://www.hoverdesk.net/freeware.htm

28-01-2006, 17:28	#13
mister pink Senior Member Iscritto dal: Jan 2006 Città: più Africa che Italia Messaggi: 2060	Leggendo un po' di cosette in giro su internet ho potuto constatare che ci sono diversi virus e trojan che installano un eseguibile dal nome "services.exe". Va detto però che non tutti sono ostici e rognosi come quello di cui stiamo parlando: anch'io non ricordo bene come ho fatto a rimuoverlo (ho smanettato nel registro con regedit, ho utilizzato hijackthis ed almeno un paio di antivirus, ecc...). Alla fine ho dovuto cancellare tutto a mano e poi, per sicurezza, ho anche formattato l'HD e reinstallato windows. Quello che posso dirti è che se il task "services.exe" non ricompare e se non si manifestano messaggi di errore all'avvio di windows, molto probabilmente qualcuno dei programmi che hai usato è riuscito a rimuoverlo. Del resto io c'ho avuto a che fare con 'sta schifezza più di 20 giorni fa, per cui può darsi che nel frattempo i database dei vari software siano stati aggiornati con le istruzioni per rimuoverla.

29-01-2006, 11:45	#15
Dagon Senior Member Iscritto dal: Mar 2000 Messaggi: 189	Ragazzi, mi sa che mi sono beccato la stessa immondizia. Questo è il risultato del check di HiJackThis. Logfile of HijackThis v1.99.1 Scan saved at 11.34.08, on 29/01/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SERVICES.EXE C:\WINDOWS\Explorer.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\WINDOWS\SERVICES.EXE C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\RegSeeker\RegSeeker.exe C:\Documents and Settings\Dagon\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwupgrade.it/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - Default URLSearchHook is missing F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\dapbho.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/ca...C_2.1.0.69.cab O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://www.ysbweb.com/ist/softwares/v4.0/ysb_cracks.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.co...s/MsnPUpld.cab O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by103fd.bay103.hotmail.msn.co...x/HMAtchmt.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{8FE7B892-3C9C-419B-A17D-7B2417A38E8F}: NameServer = 193.70.152.15 193.70.152.25 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe Non riesco anch'io a togliere da task manager le due voci services.exe. Ho provato a fare un search su services.exe e ho trovato 2 files. Uno in system 32 che credo sia un file di sistema e l'altro in ServicePackFiles che ho cancellato. Ma niente. Ho fatto diversi scan con avast e ad-aware, ma niente. Con HiJackThis la voce su indicata come rognosa (F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE ) non riesco a cancellarla. Credo che la ricerca delle chiavi di registro riferibili ad avg con me non funziona (in effetti ci ho provato). Cosa faccio? Il problema è che in questo momento non posso proprio formattare... __________________ "There's no one to take my blame if they wanted to"

29-01-2006, 11:57	#16
andorra24 Senior Member Iscritto dal: May 2005 Città: Palermo Messaggi: 6390	Fixa: C:\WINDOWS\SERVICES.EXE C:\WINDOWS\SERVICES.EXE R3 - Default URLSearchHook is missing F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/c...DC_2.1.0.69.cab (se non la conosci fixala) O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://www.ysbweb.com/ist/softwares/v4.0/ysb_cracks.cab O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file) Se il fix non ti riesce in modalita' normale riprova in modalita' provvisoria dopo aver disattivato il ripristino di sistema. Ho visto che hai DAP. Ti ricordo che contiene spyware.

Strumenti
Mostra una versione stampabile Invia questa pagina per email