Kernels32.exe VIrus e Task MAnager

aldogailla · 20-06-2005, 17:14

Credo di essermi preso un virus riconducibile al file kernels32.exe che tenta di collegarmi a dialers. L'ho cancellato, ma sapete dirmi quale altri file vanno cancellati o chiavi di registro?

La cosa bella è che mi ha disattivato il task manager di windows.
PEr riattivarlo devo utilizzare questa chiave di registro?

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

Mi sapete dire il suo nome?

YMen · 20-06-2005, 17:27

posta il log di hijackthis

andorra24 · 20-06-2005, 17:28

Posta il log di hijackthis per eliminare altri residui eventuali del virus.

bluepix · 20-06-2005, 17:48

Le istruzioni per la rimozione e riattivare il task manager le trovi qui:
http://www.sophos.com/virusinfo/anal...dloaderfc.html

Per il task manager:
rimuovi : DisableTaskMgr = "1" dalla chiave oppure metti il valore "0"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

aldogailla · 20-06-2005, 20:33

Ecco qua il log

Logfile of HijackThis v1.99.1
Scan saved at 21.32.44, on 20/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\stchost.exe
H:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
H:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
H:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
H:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe
H:\Programmi\ATI Technologies\ATI.ACE\cli.exe
H:\Programmi\Trend Micro\Internet Security 2005\pccguide.exe
H:\Programmi\Microsoft AntiSpyware\gcasServ.exe
H:\Programmi\Motherboard Monitor 5\MBM5.EXE
H:\Programmi\RivaTuner v2.0 RC 15.5\RivaTuner.exe
H:\Programmi\Coolspot\Dialer Control\dc.exe
H:\WINDOWS\system32\ctfmon.exe
C:\FRAPS\FRAPS.EXE
H:\Programmi\HDD Health\hddhealth.exe
H:\Programmi\MSN Messenger\MsnMsgr.Exe
H:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
H:\Programmi\Maxthon\Maxthon.exe
H:\Programmi\Outlook Express\msimn.exe
H:\WINDOWS\regedit.exe
C:\hijjack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NVMixerTray] "H:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ATICCC] "H:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [pccguide.exe] "H:\Programmi\Trend Micro\Internet Security 2005\pccguide.exe"
O4 - HKLM\..\Run: [gcasServ] "H:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MBM 5] "H:\Programmi\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [RivaTuner] "H:\Programmi\RivaTuner v2.0 RC 15.5\RivaTuner.exe" /T
O4 - HKLM\..\Run: [Dialer Control] H:\Programmi\Coolspot\Dialer Control\dc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Fraps] C:\FRAPS\FRAPS.EXE
O4 - HKCU\..\Run: [HDDHealth] H:\Programmi\HDD Health\hddhealth.exe -wl
O4 - HKCU\..\Run: [MsnMsgr] "H:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = H:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = H:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = H:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{64F8F3C1-1F51-4EB1-BB6E-1861D548B437}: NameServer = 62.94.0.1 62.94.0.2
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: stchost.exe (moto) - Unknown owner - H:\WINDOWS\stchost.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - H:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - H:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - H:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - H:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

Ora devo provare a riattivare il task manager

andorra24 · 20-06-2005, 20:37

Io fixerei questi:
H:\Programmi\Coolspot\Dialer Control\dc.exe
O4 - HKLM\..\Run: [Dialer Control] H:\Programmi\Coolspot\Dialer Control\dc.exe
O23 - Service: stchost.exe (moto) - Unknown owner - H:\WINDOWS\stchost.exe

aldogailla · 20-06-2005, 20:41

Quote:

Originariamente inviato da andorra24

Io fixerei questo:
O4 - HKLM\..\Run: [Dialer Control] H:\Programmi\Coolspot\Dialer Control\dc.exe

Ma non credo proprio si tratta di un programma anti dialers

Piuttosto
H:\WINDOWS\stchost.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{64F8F3C1-1F51-4EB1-BB6E-1861D548B437}: NameServer = 62.94.0.1 62.94.0.2

YMen · 20-06-2005, 20:43

Quote:

Originariamente inviato da andorra24

Io fixerei questi:
O4 - HKLM\..\Run: [Dialer Control] H:\Programmi\Coolspot\Dialer Control\dc.exe
O23 - Service: stchost.exe (moto) - Unknown owner - H:\WINDOWS\stchost.exe

non mi sembra ci sia nulla di anomalo

aldogailla · 20-06-2005, 20:45

Ma ne sei sicuro non e svchost?

aldogailla · 20-06-2005, 20:46

Cmq messo apposto Task manager attendo info da esperti del settore

andorra24 · 20-06-2005, 20:46

Quote:

Originariamente inviato da aldogailla

Ma non credo proprio si tratta di un programma anti dialers

Guarda che dc.exe e' associato ad un worm. Puoi controllare qui:http://www.auditmypc.com/process/dc.asp

aldogailla · 20-06-2005, 20:54

Quote:

Originariamente inviato da andorra24

Guarda che dc.exe e' associato ad un worm. Puoi controllare qui:http://www.auditmypc.com/process/dc.asp

Ma sei sicuro che sia lo stesso dc?

Bo è un software installato come antidialers mi sembra strano che sia un worm cmq chiedo lumi

bluepix · 20-06-2005, 20:59

E' l'antidialer.
IMHO il problema è questo servizio:
O23 - Service: stchost.exe (moto) - Unknown owner - H:\WINDOWS\stchost.exe

Stoppa il servizio.

e poi cancella il file stchost.exe disabilitando il rispristino di sistema e in modalità provvisoria.

Hai applicato tutte le patch di sicurezza di Windows?

aldogailla · 20-06-2005, 21:03

ok di altro non vedi nulla?

andorra24 · 20-06-2005, 21:07

Non c'e' nient'altro.

bluepix · 20-06-2005, 21:09

Per ora no, ma ti consiglio di scaricare e lanciare mwav.exe che trovi qui
http://channels.lockergnome.com/wind...rus_tool.phtml

Basta clikkare sul file .zip (non installa nulla)

Prendi nota delle segnalazioni che vengono date nella parte inferiore della finestra.

aldogailla · 20-06-2005, 21:11

Quote:

Originariamente inviato da bluepix

E' l'antidialer.
IMHO il problema è questo servizio:
O23 - Service: stchost.exe (moto) - Unknown owner - H:\WINDOWS\stchost.exe

Stoppa il servizio.

e poi cancella il file stchost.exe disabilitando il rispristino di sistema e in modalità provvisoria.

Hai applicato tutte le patch di sicurezza di Windows?

Cosa si tratta di questo?
O17 - HKLM\System\CCS\Services\Tcpip\..\{64F8F3C1-1F51-4EB1-BB6E-1861D548B437}: NameServer = 62.94.0.1 62.94.0.2

bluepix · 20-06-2005, 21:22

Quote:

Originariamente inviato da aldogailla

Cosa si tratta di questo?
O17 - HKLM\System\CCS\Services\Tcpip\..\{64F8F3C1-1F51-4EB1-BB6E-1861D548B437}: NameServer = 62.94.0.1 62.94.0.2

Sono gli indirizzo DNS del tuo provider (Eutelia)

Lasciali come sono

20-06-2005, 17:14	#1
aldogailla Senior Member Iscritto dal: Nov 2003 Città: AOSTA Messaggi: 2396	Kernels32.exe VIrus e Task MAnager Credo di essermi preso un virus riconducibile al file kernels32.exe che tenta di collegarmi a dialers. L'ho cancellato, ma sapete dirmi quale altri file vanno cancellati o chiavi di registro? La cosa bella è che mi ha disattivato il task manager di windows. PEr riattivarlo devo utilizzare questa chiave di registro? HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system Mi sapete dire il suo nome? __________________ Corsair Graphite 780T \| Corsair HX850i \| AMD Ryzen 9 3900X COOLED BY Corsair Hydro H115i \| ASUS ROG Strix X570-E Gaming \| G.Skill Trident Z Neo DDR4-3600Mhz CL16 32GB \| ZOTAC GTX 1080 Ti AMP! Extreme Core Edition \| SSD ADATA XPG SX8200 Pro Series NVMe SSD PCIe 3.0 M.2 1TB \| SONY //Trattive concluseLTRE 30

20-06-2005, 17:27	#2
YMen Senior Member Iscritto dal: May 2005 Città: Bari (ma vorrei vivere a Parigi...) Messaggi: 821	posta il log di hijackthis __________________ Io faccio amicizia solo con gente amichevole e simpatica se non lo siete clik qui ma visitate Il Mio Sito

20-06-2005, 20:33	#5
aldogailla Senior Member Iscritto dal: Nov 2003 Città: AOSTA Messaggi: 2396	Ecco qua il log Logfile of HijackThis v1.99.1 Scan saved at 21.32.44, on 20/06/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: H:\WINDOWS\System32\smss.exe H:\WINDOWS\system32\winlogon.exe H:\WINDOWS\system32\services.exe H:\WINDOWS\system32\lsass.exe H:\WINDOWS\system32\Ati2evxx.exe H:\WINDOWS\system32\svchost.exe H:\WINDOWS\System32\svchost.exe H:\WINDOWS\system32\spoolsv.exe H:\WINDOWS\stchost.exe H:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe H:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe H:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe H:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe H:\WINDOWS\system32\Ati2evxx.exe H:\WINDOWS\Explorer.EXE H:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe H:\Programmi\ATI Technologies\ATI.ACE\cli.exe H:\Programmi\Trend Micro\Internet Security 2005\pccguide.exe H:\Programmi\Microsoft AntiSpyware\gcasServ.exe H:\Programmi\Motherboard Monitor 5\MBM5.EXE H:\Programmi\RivaTuner v2.0 RC 15.5\RivaTuner.exe H:\Programmi\Coolspot\Dialer Control\dc.exe H:\WINDOWS\system32\ctfmon.exe C:\FRAPS\FRAPS.EXE H:\Programmi\HDD Health\hddhealth.exe H:\Programmi\MSN Messenger\MsnMsgr.Exe H:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe H:\Programmi\Maxthon\Maxthon.exe H:\Programmi\Outlook Express\msimn.exe H:\WINDOWS\regedit.exe C:\hijjack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [NVMixerTray] "H:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [ATICCC] "H:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [pccguide.exe] "H:\Programmi\Trend Micro\Internet Security 2005\pccguide.exe" O4 - HKLM\..\Run: [gcasServ] "H:\Programmi\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MBM 5] "H:\Programmi\Motherboard Monitor 5\MBM5.EXE" O4 - HKLM\..\Run: [RivaTuner] "H:\Programmi\RivaTuner v2.0 RC 15.5\RivaTuner.exe" /T O4 - HKLM\..\Run: [Dialer Control] H:\Programmi\Coolspot\Dialer Control\dc.exe O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Fraps] C:\FRAPS\FRAPS.EXE O4 - HKCU\..\Run: [HDDHealth] H:\Programmi\HDD Health\hddhealth.exe -wl O4 - HKCU\..\Run: [MsnMsgr] "H:\Programmi\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Microsoft Office.lnk = H:\Programmi\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Reader Speed Launch.lnk = H:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = H:\Programmi\ATI Technologies\ATI.ACE\CLI.exe O8 - Extra context menu item: E&sporta in Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O17 - HKLM\System\CCS\Services\Tcpip\..\{64F8F3C1-1F51-4EB1-BB6E-1861D548B437}: NameServer = 62.94.0.1 62.94.0.2 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe O23 - Service: stchost.exe (moto) - Unknown owner - H:\WINDOWS\stchost.exe O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - H:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - H:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - H:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - H:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe Ora devo provare a riattivare il task manager __________________ Corsair Graphite 780T \| Corsair HX850i \| AMD Ryzen 9 3900X COOLED BY Corsair Hydro H115i \| ASUS ROG Strix X570-E Gaming \| G.Skill Trident Z Neo DDR4-3600Mhz CL16 32GB \| ZOTAC GTX 1080 Ti AMP! Extreme Core Edition \| SSD ADATA XPG SX8200 Pro Series NVMe SSD PCIe 3.0 M.2 1TB \| SONY //Trattive concluseLTRE 30

20-06-2005, 20:37	#6
andorra24 Senior Member Iscritto dal: May 2005 Città: Palermo Messaggi: 6390	Io fixerei questi: H:\Programmi\Coolspot\Dialer Control\dc.exe O4 - HKLM\..\Run: [Dialer Control] H:\Programmi\Coolspot\Dialer Control\dc.exe O23 - Service: stchost.exe (moto) - Unknown owner - H:\WINDOWS\stchost.exe Ultima modifica di andorra24 : 20-06-2005 alle 20:44.

20-06-2005, 20:45	#9
aldogailla Senior Member Iscritto dal: Nov 2003 Città: AOSTA Messaggi: 2396	Ma ne sei sicuro non e svchost? __________________ Corsair Graphite 780T \| Corsair HX850i \| AMD Ryzen 9 3900X COOLED BY Corsair Hydro H115i \| ASUS ROG Strix X570-E Gaming \| G.Skill Trident Z Neo DDR4-3600Mhz CL16 32GB \| ZOTAC GTX 1080 Ti AMP! Extreme Core Edition \| SSD ADATA XPG SX8200 Pro Series NVMe SSD PCIe 3.0 M.2 1TB \| SONY //Trattive concluseLTRE 30

20-06-2005, 17:28	#3
andorra24 Senior Member Iscritto dal: May 2005 Città: Palermo Messaggi: 6390	Posta il log di hijackthis per eliminare altri residui eventuali del virus.

20-06-2005, 17:48	#4
bluepix Senior Member Iscritto dal: Dec 2004 Città: Magenta(MI) Messaggi: 1513	Le istruzioni per la rimozione e riattivare il task manager le trovi qui: http://www.sophos.com/virusinfo/anal...dloaderfc.html Per il task manager: rimuovi : DisableTaskMgr = "1" dalla chiave oppure metti il valore "0" HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

20-06-2005, 20:46	#10
aldogailla Senior Member Iscritto dal: Nov 2003 Città: AOSTA Messaggi: 2396	Cmq messo apposto Task manager attendo info da esperti del settore __________________ Corsair Graphite 780T \| Corsair HX850i \| AMD Ryzen 9 3900X COOLED BY Corsair Hydro H115i \| ASUS ROG Strix X570-E Gaming \| G.Skill Trident Z Neo DDR4-3600Mhz CL16 32GB \| ZOTAC GTX 1080 Ti AMP! Extreme Core Edition \| SSD ADATA XPG SX8200 Pro Series NVMe SSD PCIe 3.0 M.2 1TB \| SONY //Trattive concluseLTRE 30

20-06-2005, 20:59	#13
bluepix Senior Member Iscritto dal: Dec 2004 Città: Magenta(MI) Messaggi: 1513	E' l'antidialer. IMHO il problema è questo servizio: O23 - Service: stchost.exe (moto) - Unknown owner - H:\WINDOWS\stchost.exe Stoppa il servizio. e poi cancella il file stchost.exe disabilitando il rispristino di sistema e in modalità provvisoria. Hai applicato tutte le patch di sicurezza di Windows?

20-06-2005, 21:03	#14
aldogailla Senior Member Iscritto dal: Nov 2003 Città: AOSTA Messaggi: 2396	ok di altro non vedi nulla? __________________ Corsair Graphite 780T \| Corsair HX850i \| AMD Ryzen 9 3900X COOLED BY Corsair Hydro H115i \| ASUS ROG Strix X570-E Gaming \| G.Skill Trident Z Neo DDR4-3600Mhz CL16 32GB \| ZOTAC GTX 1080 Ti AMP! Extreme Core Edition \| SSD ADATA XPG SX8200 Pro Series NVMe SSD PCIe 3.0 M.2 1TB \| SONY //Trattive concluseLTRE 30

20-06-2005, 21:07	#15
andorra24 Senior Member Iscritto dal: May 2005 Città: Palermo Messaggi: 6390	Non c'e' nient'altro.

20-06-2005, 21:09	#16
bluepix Senior Member Iscritto dal: Dec 2004 Città: Magenta(MI) Messaggi: 1513	Per ora no, ma ti consiglio di scaricare e lanciare mwav.exe che trovi qui http://channels.lockergnome.com/wind...rus_tool.phtml Basta clikkare sul file .zip (non installa nulla) Prendi nota delle segnalazioni che vengono date nella parte inferiore della finestra.

Strumenti
Mostra una versione stampabile Invia questa pagina per email