Processo msupdate33e.exe su Windows XP

[shinji_85]

Ciao...

Non riesco a capire se 'sto processo fa capo ad un Worm...
L'antivirus (Antivir) versione 7 aggiornato da poco non mi trova nulla in C:...
E ho notato che si è inserito nell'esecuzione automatica...
Insomma... Possibile che Antivir non se ne accorga se 'sto processo se ne sta lì in memoria???
Ho riscontrato solo un rallentamento nella connessione... Per il resto...

[andorra24]

Su google non c'e' traccia di questo processo e non e' un buon segno. Scansionalo su www.virustotal.com e se dovesse risultare infetto eliminalo.

[shinji_85]

Quote:

Originariamente inviato da andorra24

Su google non c'e' traccia di questo processo e non e' un buon segno. Scansionalo su www.virustotal.com e se dovesse risultare infetto eliminalo.

Grazie del consiglio... Però non riesco a trovare dove sta nell'HD... Mmm...

[andorra24]

Vai su start/cerca e digita il nome di questo file. Appena lo trovi scansionalo su virustotal.com

[shinji_85]

Quote:

Originariamente inviato da andorra24

Vai su start/cerca e digita il nome di questo file. Appena lo trovi scansionalo su virustotal.com

Non lo trova... Però riesco ad avviarlo da "Esegui"...

[andorra24]

Fai una scansione antivirus di verifica con bitdefender free:http://www.bitdefender.com/site/Down...adFile/340/EN/

[shinji_85]

Quote:

Originariamente inviato da andorra24

Fai una scansione antivirus di verifica con bitdefender free:http://www.bitdefender.com/site/Down...adFile/340/EN/

Credi sia meglio di Antivir???
No perché ho sempre usato quello... E per fare la scansione dell'intero sistema ce ne è voluto di tempo...

[andorra24]

Quote:

Originariamente inviato da shinji_85

Credi sia meglio di Antivir???
No perché ho sempre usato quello... E per fare la scansione dell'intero sistema ce ne è voluto di tempo...

L'ideale sarebbe stato trovare questo benedetto msupdate33e.exe e scansionarlo su www.virustotal.com. Fai una cosa, posta un log di hijackthis cosi vediamo se riusciamo a stanarlo attraverso il log.

[shinji_85]

Quote:

Originariamente inviato da andorra24

L'ideale sarebbe stato trovare questo benedetto msupdate33e.exe e scansionarlo su www.virustotal.com. Fai una cosa, posta un log di hijackthis cosi vediamo se riusciamo a stanarlo attraverso il log.

Ehm... Non so cos'è hijackthis... Lo scarico e poi ti dico...

[andorra24]

Quote:

Originariamente inviato da shinji_85

Ehm... Non so cos'è hijackthis... Lo scarico e poi ti dico...

Scarica hijackthis da qui:http://majorgeeks.com/downloadget.ph...8baee6434cfc13
chiudi il browser e ogni altra finestra di programmi aperti, apri hijackthis e premi ''do a system scan and save a logfile''. Dopo devi fare un semplice copia/incolla di questo log e postarlo sul forum.

[shinji_85]

Beccato... Stava sotto system32... Grazie al primo link:

[andorra24]

Quote:

Originariamente inviato da shinji_85

Beccato... Stava sotto system32... Grazie al primo link... http://www.virustotal.com/flash/resp...05d4e118a8:eng

Si ma perche' hai fatto sparire il log? Lo stavo analizzando. Hai alcune cose da eliminare.

[shinji_85]

Quote:

Originariamente inviato da andorra24

Si ma perche' hai fatto sparire il log? Lo stavo analizzando. Hai alcune cose da eliminare.

Azz... Scusa... Ho sbagliato ad editare... Poi c'ho pensato e ho lasciato il post così, visto che avevo trovato la path di msupdate33e.exe...

Questo è il log...

Logfile of HijackThis v1.99.1
Scan saved at 23.06.21, on 09/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\APC\APC PowerChute Personal Edition\mainserv.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\ATITool\ATITool.exe
C:\Programmi\Logitech\SetPoint\KEM.exe
C:\Programmi\Logitech\SetPoint\KHALMNPR.EXE
C:\Programmi\APC\APC PowerChute Personal Edition\apcsystray.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\inetsrv\DavCData.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
E:\download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {02DCA195-602B-4B1F-83FF-381B7E804BDB} - C:\WINDOWS\system32\HDBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programmi\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmi\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [System Service] svchost32.exe
O4 - Global Startup: APC UPS Status.lnk = ?
O4 - Global Startup: ATITool.lnk = C:\Programmi\ATITool\ATITool.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Salva oggetto con Net Transport - C:\Programmi\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Salva tutti gli oggetti con Net Transport - C:\Programmi\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Scarica con il Wizard di LeechGet - file://C:\Programmi\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Scarica con LeechGet - file://C:\Programmi\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Scarica pagina con LeechGet - file://C:\Programmi\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F89CB6E-8BEE-49F5-8208-BD3527727EE5}: NameServer = 151.99.0.100,62.211.69.150
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Programmi\APC\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

[andorra24]

Fixa queste:
O4 - HKLM\..\RunServices: [System Service] svchost32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

aggiorna java mettendo la versione 06 e inoltre metti al piu' presto il SP2.

[shinji_85]

Quote:

Originariamente inviato da andorra24

Fixa queste:
O4 - HKLM\..\RunServices: [System Service] svchost32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

aggiorna java mettendo la versione 06 e inoltre metti al piu' presto il SP2.

Il SP2 l'avevo provato ma non mi convinceva... Java l'aggiornerò... Grazie dell'aiuto...

[andorra24]

Quote:

Originariamente inviato da shinji_85

Il SP2 l'avevo provato ma non mi convinceva... Java l'aggiornerò... Grazie dell'aiuto...

Prego.

[Dottor Ficus]

cosa intendevi quando hai detto all'autore del post "fixa questo" a quale azione corrisponderebbe il fixing?
ebbene si ci capisco poco ma da qualche parte si deve pur cominciare...
P.S. io ho un vecchio router trust con le uniche porte aperte per emule (mi pare 4962 e 4972...credo) e il firewall lo uso (zone alarm free) solo per vedere se c,è qualche processo che chiede l'uscita in rete e non per l'accesso (+antivir sp2 e spybot una volta al giorno prima dei pasti..).
è sufficente secondo te?
PP.S
mi è accaduto a pc pulito (dopo format ) e dopo aver istallato firefox 1.501 di trovarmi nella condizione di non potere più accedere alla rete col browser (mentre per esempio il mulo andava) poi riavviando la macchina tutto tornava a posto secondo te è un problema di connessione\traffico o software (ripeto tutto installato di fresco senza modifiche ai servizi o al registro)?
grazie abbestia!

[andorra24]

Quote:

Originariamente inviato da Dottor Ficus

cosa intendevi quando hai detto all'autore del post "fixa questo" a quale azione corrisponderebbe il fixing?

Il fix con hijackthis si fa premendo il tasto ''fix checked''.

Quote:

Originariamente inviato da Dottor Ficus

P.S. io ho un vecchio router trust con le uniche porte aperte per emule (mi pare 4962 e 4972...credo) e il firewall lo uso (zone alarm free) solo per vedere se c,è qualche processo che chiede l'uscita in rete e non per l'accesso

Perche' dici che con il tuo firewall controlli solo il traffico in uscita e non quello in entrata? Zone alarm controlla il traffico in entrambe le direzioni,non solo in uscita.

Quote:

Originariamente inviato da Dottor Ficus

(+antivir sp2 e spybot una volta al giorno prima dei pasti..).
è sufficente secondo te?

Potresti aggiungere ewido che e' un ottimo antispyware/antitrojan:http://www.ewido.net/

Quote:

Originariamente inviato da Dottor Ficus

mi è accaduto a pc pulito (dopo format ) e dopo aver istallato firefox 1.501 di trovarmi nella condizione di non potere più accedere alla rete col browser (mentre per esempio il mulo andava) poi riavviando la macchina tutto tornava a posto secondo te è un problema di connessione\traffico o software (ripeto tutto installato di fresco senza modifiche ai servizi o al registro)?
grazie abbestia!

Che errore ti dava Firefox? Hai provato se con Internet Explorer riuscivi a navigare?

[Dottor Ficus]

dicevo che lo zone alarm lo uso prevalentemente in uscita perchè non essendo ggiornato suppongo che in entrata siameno efficace.
per quanto riguarda il problema browser, si ho provato ma neanche quello si collegava a nessun sito. l'errore è lo stesso che ti da quando la pagina è impossibile da caricare nel caso della nuova versione di firefox :SERVER NON TROVATO e nenche la psta si conette, il caso strno è che emule trovai server e vi si connette.

[andorra24]

Quote:

Originariamente inviato da Dottor Ficus

dicevo che lo zone alarm lo uso prevalentemente in uscita perchè non essendo ggiornato suppongo che in entrata siameno efficace.
per quanto riguarda il problema browser, si ho provato ma neanche quello si collegava a nessun sito. l'errore è lo stesso che ti da quando la pagina è impossibile da caricare nel caso della nuova versione di firefox :SERVER NON TROVATO e nenche la psta si conette, il caso strno è che emule trovai server e vi si connette.

Puo' capitare a volte, forse e' stato un piccolo problema temporaneo alla connessione, forse il firewall.