|
|||||||
|
|
|
 |
|
|
Strumenti |
10-07-2007, 11:30
|
#1 |
|
Member
Iscritto dal: Oct 2005
Messaggi: 159
|
Virus Pc xpdx.sys spoolsv32.exe
Ciao a tutti!!
Credo di avere uno o più virus ne pc...  Vi spiego, all'avvio mi appare sempre questa schermata:  e poco dopo avast mi rileva questo:  e facendo chiudi connessione mi si apre un programmino dialer con icona 2 labbra rosse. E a volte rileva anche xpdx.sys infetto. Poi mi sconnette da internet e non riesco a riconnettermi se non riavvio il pc... Qualcuno può aiutarmi per piacere a rimuoverlo? Non ci riesco... 
__________________
"...domani sarà tardi per rimpiangere la realtà, è meglio viverla, è meglio viverla..." |
|
|
|
10-07-2007, 11:56
|
#2 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Posta un log di Hijackthis.
Ciao.
__________________
Try again and you will be luckier.
|
|
|
|
|
10-07-2007, 18:05
|
#3 |
|
Member
Iscritto dal: Oct 2005
Messaggi: 159
|
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.00.39, on 10/07/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Intel\Wireless\Bin\EvtEng.exe C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe C:\Programmi\Intel\Wireless\Bin\ZcfgSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe C:\Programmi\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programmi\Broadcom\BACS\BacsTray.exe C:\Programmi\Launch Manager\QtZgAcer.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programmi\ltmoh\Ltmoh.exe C:\Programmi\Acer\Notebook Manager\almxptray.exe C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programmi\Synaptics\SynTP\SynTPLpr.exe C:\Programmi\Synaptics\SynTP\SynTPEnh.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\rundll32.exe C:\Programmi\ATI Technologies\ATI HYDRAVISION\HydraDM.exe C:\WINDOWS\system32\rundll32.exe C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe C:\VEXPLITE\MONLITE.EXE C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\MICROS~4\wcescomm.exe C:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\PROGRA~1\MICROS~4\rapimgr.exe C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\System32\svchost.exe C:\VEXPLITE\viritsvc.exe C:\WINDOWS\system32\wscntfy.exe C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe C:\Programmi\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wuauclt.exe C:\Programmi\MSN Messenger\usnsvc.exe C:\WINDOWS\system32\winmds.exe C:\Programmi\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: (no name) - {C9905EF0-610F-4404-9030-A3F345D069F5} - (no file) O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [bacstray] C:\Programmi\Broadcom\BACS\\BacsTray.exe O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\QtZgAcer.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [LtMoh] C:\Programmi\ltmoh\Ltmoh.exe O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programmi\Acer\Notebook Manager\almxptray.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programmi\ATI Technologies\ATI HYDRAVISION\HydraDM.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar O4 - HKLM\..\Run: [IntelWireless] C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~4\wcescomm.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Regrun2] C:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe O4 - HKLM\..\Policies\Explorer\Run: [5T19I3B27A] C:\WINDOWS\svchost.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Send To &Bluetooth - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra 'Tools' menuitem: Crea preferito portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1148564764309 O17 - HKLM\System\CCS\Services\Tcpip\..\{B63EE4DB-A532-49F2-8CC0-EF72AF8060EF}: NameServer = 193.70.152.115,193.70.152.25 O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe -- End of file - 7404 bytes
__________________
"...domani sarà tardi per rimpiangere la realtà, è meglio viverla, è meglio viverla..." |
|
|
|
|
10-07-2007, 19:51
|
#4 |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
disabilita il system restore
fixa C:\WINDOWS\system32\winmds.exe O4 - HKLM\..\Policies\Explorer\Run: [5T19I3B27A] C:\WINDOWS\svchost.exe fai una passata con il virit e poi fai una scan con panda e bitdefender online
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
10-07-2007, 20:49
|
#5 | |
|
Member
Iscritto dal: Oct 2005
Messaggi: 159
|
Quote:
O4 - HKLM\..\Policies\Explorer\Run: [5T19I3B27A] C:\WINDOWS\svchost.exe Ma C:\WINDOWS\system32\winmds.exe devo eliminarlo manualmente?? Virit mi ha trovato questi:  mentre Bitdefender non ha trovato nulla...
__________________
"...domani sarà tardi per rimpiangere la realtà, è meglio viverla, è meglio viverla..." Ultima modifica di Vasco85 : 10-07-2007 alle 21:50. |
|
|
|
|
|
10-07-2007, 22:45
|
#6 |
|
Senior Member
Iscritto dal: Feb 2007
Città: Salerno......
Messaggi: 3259
|
si cercalo sul pc in questa directory C:\WINDOWS\system32\winmds.exe se non lo vedi abilita la visualizzazione dei file nascosti e di sistema
__________________
Opera disabilitazione script ed iframe  Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA | GUIDA:ShutdownTimer (Spegnimento auto pc) | Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta...
|
|
|
|
|
10-07-2007, 22:50
|
#7 |
|
Member
Iscritto dal: Oct 2005
Messaggi: 159
|
Ho fatto tutto:
fixato O4 - HKLM\..\Policies\Explorer\Run: [5T19I3B27A] C:\WINDOWS\svchost.exe eliminato C:\WINDOWS\system32\winmds.exe Scan vari on-line e virit ma al riavvio del pc mi esce di nuovo la schermata: 
__________________
"...domani sarà tardi per rimpiangere la realtà, è meglio viverla, è meglio viverla..." |
|
|
|
|
11-07-2007, 08:24
|
#8 |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
da esegui lancia il comando
sfc /scannow
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
11-07-2007, 10:25
|
#9 |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28978
|
ma l'infezione è sparita?
|
|
|
|
|
11-07-2007, 11:57
|
#10 | |
|
Member
Iscritto dal: Oct 2005
Messaggi: 159
|
Quote:
__________________
"...domani sarà tardi per rimpiangere la realtà, è meglio viverla, è meglio viverla..." |
|
|
|
|
|
11-07-2007, 12:27
|
#11 |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28978
|
proviamo con avenger
Files to delete: C:\WINDOWS\svchost.exe C:\WINDOWS\svchost.dll C:\WINDOWS\csrs.exe C:\WINDOWS\csrss.dll C:\WINDOWS\system32\xpdx.sys C:\WINDOWS\423523298.exe C:\Documents and Settings\utente\Impostazionilocali\Temp\spoolsv32.exe Registry values to delete: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run|5T19I3B27A |
|
|
|
|
11-07-2007, 12:34
|
#12 |
|
Senior Member
Iscritto dal: Aug 2006
Città: Riviera del Brenta
Messaggi: 2051
|
Il file xpdx.sys è il rootkit rustock
|
|
|
|
|
11-07-2007, 12:35
|
#13 | |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
Quote:
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
|
11-07-2007, 16:21
|
#15 | |
|
Member
Iscritto dal: Oct 2005
Messaggi: 159
|
Quote:
Questo è il risultato che mi ha dato avenger dopo il riavvio... Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\lyefmsfi ******************* Script file located at: \??\C:\xjcaaovr.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\svchost.exe not found! Deletion of file C:\WINDOWS\svchost.exe failed! Could not process line: C:\WINDOWS\svchost.exe Status: 0xc0000034 File C:\WINDOWS\svchost.dll not found! Deletion of file C:\WINDOWS\svchost.dll failed! Could not process line: C:\WINDOWS\svchost.dll Status: 0xc0000034 File C:\WINDOWS\csrs.exe not found! Deletion of file C:\WINDOWS\csrs.exe failed! Could not process line: C:\WINDOWS\csrs.exe Status: 0xc0000034 File C:\WINDOWS\csrss.dll not found! Deletion of file C:\WINDOWS\csrss.dll failed! Could not process line: C:\WINDOWS\csrss.dll Status: 0xc0000034 File C:\WINDOWS\system32\xpdx.sys not found! Deletion of file C:\WINDOWS\system32\xpdx.sys failed! Could not process line: C:\WINDOWS\system32\xpdx.sys Status: 0xc0000034 File C:\WINDOWS\423523298.exe not found! Deletion of file C:\WINDOWS\423523298.exe failed! Could not process line: C:\WINDOWS\423523298.exe Status: 0xc0000034 Could not open file C:\Documents and Settings\Impostazionilocali\Temp\spoolsv32.exe for deletion Deletion of file C:\Documents and Settings\Impostazionilocali\Temp\spoolsv32.exe failed! Could not process line: C:\Documents and Settings\Impostazionilocali\Temp\spoolsv32.exe Status: 0xc000003a Could not delete registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run|5T19I3B27A Deletion of registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run|5T19I3B27A failed! Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate.
__________________
"...domani sarà tardi per rimpiangere la realtà, è meglio viverla, è meglio viverla..." |
|
|
|
|
|
11-07-2007, 16:29
|
#16 |
|
Member
Iscritto dal: Oct 2005
Messaggi: 159
|
Questo il risultato di panda antirootkit
 E questo il risultato di Rustbfix.exe ************************* Rustock.b-fix v. 1.01 -- By ejvindh ************************* 11/07/2007 17.30.29,41 No Rustock.b-rootkits found ******************************* End of Logfile ********************************
__________________
"...domani sarà tardi per rimpiangere la realtà, è meglio viverla, è meglio viverla..." |
|
|
|
|
11-07-2007, 17:16
|
#17 | |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28978
|
per quanto riguarda spoolsv32 evidentemente virit ha svolto bene il suo compito,strano invece che riguardo rustock non vi sia quel file,dovesse ricomparire l'avviso di avast rifatti vivo
 edit...occhio al nome del file da eliminare,ossia: Quote:
Ultima modifica di juninho85 : 11-07-2007 alle 17:24. |
|
|
|
|
|
11-07-2007, 17:24
|
#18 | |
|
Member
Iscritto dal: Oct 2005
Messaggi: 159
|
Quote:
si ho modificato il nome utente... però quando avvio il pc mi appare sempre questo cmq...
__________________
"...domani sarà tardi per rimpiangere la realtà, è meglio viverla, è meglio viverla..." |
|
|
|
|
|
11-07-2007, 17:30
|
#19 | ||
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28978
|
Quote:
Quote:
|
||
|
|
|
|
11-07-2007, 19:02
|
#20 | ||
|
Member
Iscritto dal: Oct 2005
Messaggi: 159
|
Quote:
"I file necessari per la corretta esecuzione di Windows devono essere copiati nella cache della DLL." Inserire il cd di Windows Xp Professional. Lo inserisco e mi dice il cd inserito non è corretto... ma è quello che ho usato per l'installazione! Quote:
Cmq quello giusto è questo avevo tolto il nome Could not open file C:\Documents and Settings\Vasco\Impostazionilocali\Temp\spoolsv32.exe for deletion Deletion of file C:\Documents and Settings\Vasco\Impostazionilocali\Temp\spoolsv32.exe failed! Could not process line: C:\Documents and Settings\Vasco\Impostazionilocali\Temp\spoolsv32.exe Status: 0xc000003a
__________________
"...domani sarà tardi per rimpiangere la realtà, è meglio viverla, è meglio viverla..." |
||
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 11:52.
