Processi nel task

[Basco]

Raga, sapete dirmi che sono sti due processi nel task? Sono pericolosi o sono dei processi normalissimi di Win?

Grazie

I processi sono:

wuamgrd.exe
jusched.exe

facendo la scansione con securiry task manager mi risultano "pericolosi"...


Datemi una mano...

[MrOZ]

wuamgrd.exe è un worm: sdbot o agobot

Fai uno scan con qualche av online.

------------------------------------------

jusched.exe è il processo che cerca gli aggiornamenti x Java di Sun microsystem

http://www.neuber.com/taskmanager/pr...sched.exe.html

[Basco]

dammi qualche link x fare la scansione, consigliami ti prego...

[Basco]

UP
UP
UP
UP
UP


Pleaseeeeeeeeeeeeeeeeeee

[Basco]

Ho appena finito di scansionare il pc con ad-aware 6.0 e mi ha trovato 21 file... Me li ha fatti eliminare ma a quanto ho visto non compariva wuamgrd.exe...

Or sto facendo lo scan col norton antivirus e ancora non mi ha trovato nulla...

MrOz x cortesia... AIUTAMIIIIIIIIIIIII

[MrOZ]

http://forum.gladiator-antivirus.com...howtopic=11418

[Basco]

Quote:

Originariamente inviato da MrOZ
http://forum.gladiator-antivirus.com...howtopic=11418

Grazie MrOz, ma devo informarti che non sono riuscito a risolvere nulla...

Ho fatto parecchie scansioni ma non mi tolgono quel coso dal task...

Aiutami, magari pilotami sul da farsi...


Ancora grazie...

[Basco]

Quote:

Originariamente inviato da MrOZ
http://forum.gladiator-antivirus.com...howtopic=11418

Ti prego MrOz, ho visto in altri post che sei formidabile nel risolvere le situazioni critiche... Aiutami... ti prego... Come faccio a togliere sto coso... Ma è dannoso? Che fa sto worm?

Confido in un tuo aiuto...

[MrOZ]

Prova innanzitutto questi tool di rimozione:

http://download.nai.com/products/mca...rt/stinger.exe

http://securityresponse.symantec.com...r/FxGaobot.exe

Provali in mod provvisoria se trovano prob a rimuovere certi file.


Se il prob persiste scarica hijackthis, fai uno scan, salva il log e copia-incollalo qui.

[Basco]

Quote:

Originariamente inviato da MrOZ
Prova innanzitutto questi tool di rimozione:

http://download.nai.com/products/mca...rt/stinger.exe

http://securityresponse.symantec.com...r/FxGaobot.exe

Provali in mod provvisoria se trovano prob a rimuovere certi file.


Se il prob persiste scarica hijackthis, fai uno scan, salva il log e copia-incollalo qui.

Ti ringrazio...

Allora ho fatto la scansione con i 2 tool e non mi trovano nulla... Ho scaricato hijackthis e ti incollo il log

Fammi sapere se c'è qualcos'altro che non va e anche che fastidi da wuamgrd.exe...

Logfile of HijackThis v1.97.7
Scan saved at 1.32.32, on 21/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\wuamgrd.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Simone Alessandro\Desktop\hjt\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programmi\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programmi\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Ricerche (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{84A356C7-2357-47A8-AE68-689A83AC9000}: NameServer = 80.19.114.21 151.99.125.1

[MrOZ]

Metti hijackthis in una cartella che non sia il desktop od i file temp.

Disabilita "ripristino config. di sistema" -->tasto dx su icona risorse del computer -- proprietà -- ripristino config. sistema --spunta "disabilita ripr. su tutte le unità

Elimina ("Fix") con hijackthis le seguenti stringhe:

O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe

O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe

Riavvia ed abilita la visualizzazione dei file nascosti.
Se attivo cancella dal task manager il file wuamgrd.exe ed eliminalo se lo trovi da C:\WINDOWS\System32\



Vai in c:\winnt\system32\drivers\etc ed apri col notepad il file hosts (che non ha alcuna estensione). Controlla che ci sia questa stringa e basta O1 - Hosts: 127.0.0.0 localhost.
Se ne trovi altre cancella quelle che iniziano con O1 - Hosts: 127.0.0. ed hanno poi il nome di qualche sito.


http://www.trendmicro.com/vinfo/viru...BOT.MU&VSect=T

http://www.sophos.com/virusinfo/analyses/w32rbota.html

http://www.sophos.com/virusinfo/anal...32sdbotio.html

[Basco]

Ho fatto tutto quello che dici ma non la vuole sapere di andarsene

Mo me ne vado di testa...

Che vuole sto bastardo...

Ti ringrazio MrOz davvero gentilissimo ma ancora non l'abbiamo vinta sta battaglia con sto coso...


Aspetto tue notizie ciao ciao e grazie ancora...

[MrOZ]

Riposta un nuovo log di hijackthis .

Scarica ed installa la ver trial di trojanhunter --> w*w.misec.net, aggiornalo e fai uno scan.

[Basco]

Quote:

Originariamente inviato da MrOZ
Riposta un nuovo log di hijackthis .

Scarica ed installa la ver trial di trojanhunter --> w*w.misec.net, aggiornalo e fai uno scan.

Grazie lo stesso, ho appena risolto tutto!!!

Mi son visto preso e ho fatto il formattone...

Ho appena finito di risistemare tutto, ora sono pulito come un angioletto...

Ho cambiato anche Firewall, ho messo il sygate 5.5 PRO al posto del Norton Internet Security...
L'ho accoppiato al Norton antivirus, aggiornato...

Il Sygate mi blocca un macello di attacchi che in NIS non mi fermava... Il Sygate è sempre in allerta...

Che ne dici di quest'accoppiata? Sygate (firewall) e Norton (antivirus)...

Grazie di tutto cmq... Ti terro sempre presente x i tuoi aiuti!!!

[Basco]

Quote:

Originariamente inviato da MrOZ

MrOz scusami se ti rompo ma vorrei chiederti cos'è "Sistema e Kernel NT" sta nei programmi autorizzati di Sygate personal firewall 5.5 PRO... Ho concesso questa connessione... Però, insieme al minuscolo quadratino celeste che accende alla base dell'icona, ogni tanto accende per un'istante quello rosso... Che significa? Cos'è sto coso?


Un'altra cosa...

Ma è normale che Sygate mi blocchi un macello di cose ogni secondo? Credo che se non avessi il firewall sarei un colapasta...

Grazie... Ciao ciao

[MrOZ]

NTOSKRNL è un file di sistema di windows.
sygate ti permette di bloccare l'accesso al web ad alcuni servizi di windows (es. svchost) e riuscire a navigare lo stesso, con altri firewall invece non puoi x' sono stati impostati in un altro modo ed il filtro x le applicazioni funziona ed è stato tarato in un modo diverso.

se riesci a navigare lo stesso senza prob impedisci l'accesso a tutti quei file di windows che non sono strettamente necessari x la navigazione.

[Basco]

Allora, ti posto le icone che mi trovo nel "Running Applications" di Sygate...

Vorrei sapere che sono visto che non so se consentire o meno la connessione...

Mi ritrovo:

Icona di "sistema e Kernel NT" (e mi hai detto che è un servizio di windows)
Icona di "LSA Shell export version"
Icona di "Generic host process for win32 Services"
Icona di "Common client cc app"

poi ci sono le relative icone a cui ho concesso la connessione, emule, messenger e via discorrendo...

Che sono quelle icone a cosa si riferiscono? Posso star tranquillo? Mi consigli di concedere o meno la connessione? Se si, quali blocco e quali consento?

Ti ringrazio x la gentilezza, mi sei davvero d'aiuto e sto imparando un casino di cose grazie a te...

Ciao e a presto

[Besk]

Jusched se non sbaglio è la Jva Virtual Machine

Per caso sei andato su un sito che ti diceva che non la avevi e la hai installata online?

[Basco]

MrOZ Ci sei? Ti sei accorto del mio post?

Aspeto una risposta...

Ciao Ciao

[MrOZ]

Quote:

Originariamente inviato da Basco
MrOZ Ci sei? Ti sei accorto del mio post?

Aspeto una risposta...

Ciao Ciao

Ciao scusa... sto poco ora su internet e non avevo visto il tuo post.

Come ti dicevo + sopra... "Generic host process for win32 Services" è svchost cioè un file che presiede a vari servizi di win, col sygate puoi bloccarlo senza dover aver prob così come x ntoskrnl e "LSA Shell export version" cioè lsass. La cosa importante è fare attenzione e bloccare quando necessario i tentativi di accesso dall'esterno a quei file, in quanto trojan e worm cercano spesso di accedere a lsass e svchost.

"Common client cc app" è un modulo del norton av.