Strana finestra con messaggio oscuro

[(zar)sheva]

Ciao a tutti!
Sfrutto provvisoriamente il nick di mio marito per chiedervi una mano .

Da stamattina sul mio pc si apre con intervalli irregolari (ogni 10 - 15 - 20 minuti... a caso insomma) una finestra dal titolo SVCHOST (scritto nella barra blu). Il testo della finestra dice: Sorry, Jpeg dll not found. You must reinstall this program.
Tenete presente che è un pc di una rete aziendale, protetto da un antivirus/spam ecc installato sul server centrale e che prima che iniziassero le strane apparizioni della finestra in effetti l'antivirus mi aveva segnalato delle "intrusioni" e chiesto di riavviare per eleminarle.

Mi aiutate?
Non voglio formattareeeeeeeeeeeeeeeee

ciao a tutti
Elena

[wgator]

Ciao,

penso si possa tentare di dare una risposta sensata solo vedendo un log di Hijackthis

[matteo1]

che si tratti di questo:
http://sicurezza.html.it/vulnerabili...usdll-di-micr/

[(zar)sheva]

Quote:

Originariamente inviato da wgator

Ciao,

penso si possa tentare di dare una risposta sensata solo vedendo un log di Hijackthis

Scaricato il programmino, ma non me lo fa installare
Mi si apre la finestra della scelta della lingua, una volta selezionata si apre la finestra di installazione per una frazione di secondo e poi sparisce!

[0sc0rpi0n0]

Quì virus ci cova , a mio avviso ...

[(zar)sheva]

Quote:

Originariamente inviato da wgator

Ciao,

penso si possa tentare di dare una risposta sensata solo vedendo un log di Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 16.22.40, on 05/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\Programmi\Symantec AntiVirus\SavRoam.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\vsnpstd.exe
C:\Programmi\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programmi\File comuni\Microsoft Shared\DAO\svchost.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\Webshots\webshots.scr
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\MXW2000\TaskBuilder.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\MXW2000\TaskBuilder.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOCUME~1\WS15~1.VEG\IMPOST~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programmi\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [MMTray] "C:\Programmi\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [mmtask] "C:\Programmi\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [WinService32] svchost
O4 - HKLM\..\Run: [WinLiveUpdate] C:\Programmi\File comuni\Microsoft Shared\DAO\system32_\svchost.exe
O4 - HKLM\..\Run: [Windows LSASS Service] C:\Programmi\File comuni\Microsoft Shared\DAO\svchost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Webshots.lnk = C:\Programmi\Webshots\Launcher.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = VEGLASDOMAIN
O17 - HKLM\Software\..\Telephony: DomainName = VEGLASDOMAIN
O17 - HKLM\System\CCS\Services\Tcpip\..\{0343B7BA-FCFA-420F-B429-5F149A9E9408}: NameServer = 10.186.35.2,213.140.2.21
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = VEGLASDOMAIN
O17 - HKLM\System\CS1\Services\Tcpip\..\{0343B7BA-FCFA-420F-B429-5F149A9E9408}: NameServer = 10.186.35.2,213.140.2.21
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = VEGLASDOMAIN
O17 - HKLM\System\CS2\Services\Tcpip\..\{0343B7BA-FCFA-420F-B429-5F149A9E9408}: NameServer = 10.186.35.2,213.140.2.21
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe

[wgator]

Ciao,

sicuramente i tuoi problemi derivano da questo file:

C:\Programmi\File comuni\Microsoft Shared\DAO\svchost.exe

Ti consiglio di localizzarlo e cancellarlo manualmente, possibilmente da modalità provvisoria. Eventualmente, se non si lasciasse cancellare, esistono degli appositi programmini, come ad esempio Killbox.

Devi fixare (selezionare la casellina su Hijackthis e premere "fix" tutti i riferimenti a quel file.

O4 - HKLM\..\Run: [WinService32] svchost
O4 - HKLM\..\Run: [WinLiveUpdate] C:\Programmi\File comuni\Microsoft Shared\DAO\system32_\svchost.exe
O4 - HKLM\..\Run: [Windows LSASS Service] C:\Programmi\File comuni\Microsoft Shared\DAO\svchost.exe

Verifica anche C:\MXW2000\TaskBuilder.exe
Io non lo conosco, forse è un programma gestionale o qualcosa del genere. Nel caso, tutto ok.

Già che ci sei, controlla anche le stringhe denominate "017" se quel dominio e quegli indirizzi IP appartengono al tuo provider o al tuo dominio.

P.S.

cancella tutti i file temporanei e i temp di Internet

[(zar)sheva]

Quote:

Originariamente inviato da wgator

Ciao,

sicuramente i tuoi problemi derivano da questo file:

C:\Programmi\File comuni\Microsoft Shared\DAO\svchost.exe

Ti consiglio di localizzarlo e cancellarlo manualmente, possibilmente da modalità provvisoria. Eventualmente, se non si lasciasse cancellare, esistono degli appositi programmini, come ad esempio Killbox.

Cancellato!

Devi fixare (selezionare la casellina su Hijackthis e premere "fix" tutti i riferimenti a quel file.

O4 - HKLM\..\Run: [WinService32] svchost
O4 - HKLM\..\Run: [WinLiveUpdate] C:\Programmi\File comuni\Microsoft Shared\DAO\system32_\svchost.exe
O4 - HKLM\..\Run: [Windows LSASS Service] C:\Programmi\File comuni\Microsoft Shared\DAO\svchost.exe

Fatto!

Verifica anche C:\MXW2000\TaskBuilder.exe
Io non lo conosco, forse è un programma gestionale o qualcosa del genere. Nel caso, tutto ok.

Sì, è un programma gestionale, che uso per lavoro.

Già che ci sei, controlla anche le stringhe denominate "017" se quel dominio e quegli indirizzi IP appartengono al tuo provider o al tuo dominio.

Veglasdomain è il nome del server aziendale, quindi direi che sono a posto.

P.S.

cancella tutti i file temporanei e i temp di Internet

Fatto!

E ora rimango in attesa di vedere se il messaggio si ripresenta di nuovo!
Nel frattempo grazie mille!!

Elena

[(zar)sheva]

Quote:

Originariamente inviato da (zar)sheva

Ciao a tutti!
Sfrutto provvisoriamente il nick di mio marito per chiedervi una mano .

Da stamattina sul mio pc si apre con intervalli irregolari (ogni 10 - 15 - 20 minuti... a caso insomma) una finestra dal titolo SVCHOST (scritto nella barra blu). Il testo della finestra dice: Sorry, Jpeg dll not found. You must reinstall this program.
Tenete presente che è un pc di una rete aziendale, protetto da un antivirus/spam ecc installato sul server centrale e che prima che iniziassero le strane apparizioni della finestra in effetti l'antivirus mi aveva segnalato delle "intrusioni" e chiesto di riavviare per eleminarle.

Mi aiutate?
Non voglio formattareeeeeeeeeeeeeeeee

ciao a tutti
Elena

...chi mi ha rubato il nick?
ma e' possibile che ste mogli riescono ad entrare anche dove non dovrebbero!!!!!

[wgator]