Accedi per seguire   
Seguaci 0
Albaro

Spoolw And Igfxsvc.exe

10 messaggi in questa discussione

Disattivato il ripristino , in modalità provvisoria tramite hijiack ho eliminato le due voci e manualmente da win/system32 ho eliminato i file e svuotato il cestino ma al riavvio si ripresentano

Questa mattina non sono partiti la protezione di Avast e il sygate firewall, ho dovuto disistallarli e reistallarli, adesso funzionano.

nel log di hijack questa mattina erano presenti due strani sito tipo whataboutadog che ho fixato sempre con hijack.

Come posso definitivamente ripulire il PC? Grazie e buona giornata. :)

Logfile of HijackThis v1.99.1

Scan saved at 7.49.13, on 05/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

c:\windows\system32\winlogon.exe

C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

C:\Programmi\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programmi\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\spoolw.exe

C:\WINDOWS\system32\igfxsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spoolw.exe

C:\WINDOWS\system32\igfxsvc.exe

C:\Programmi\Conexant\AccessRunner ADSL\bak\CnxDslTb.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\DOCUME~1\Andrea\IMPOST~1\Temp\Directory temporanea 10 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe"

O4 - HKLM\..\Run: [etMonitor] C:\WINDOWS\etMon.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe

O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O15 - Trusted Zone: *.whataboutadog.com

O15 - Trusted Zone: *.whataboutarabit.com

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Sposto nella sezione dedicata ai log di HJT...

[ben]Albaro[/ben]

Scarica ed esegui il Del Domains ed eseguilo (Se l'antivirus ti segnala che è un file pericoloso... digli di ignorarlo)

(dopo averlo decompresso, click con il tasto destro sul file e seleziona >> INSTALLA)

capt0018gl.jpg

Scarica ed installa l'ultima versione di VirIT. (non crea conflitti)

http://www.tgsoft.it/italy/download.htm

Installalo, avvialo, aspetta il termine del controllo della memoria, ed AGGIORNALO (importante)

poi fai la scansione completa del sistema (salva il log e postalo)

Per maggior sicurezza passa anche questo tool;

http://www.uploads.ejvindh.net/rustbfix.exe

Ripulisci tutti i files temporanei:

ATF cleaner

http://www.atribune.org/ccount/click.php?id=1

Avvia ATF Cleaner (con i browser e le altre applicazioni chiuse)

(se usi Firefox o Opera, selezionali dal menu in alto)

metti la spunta su "Select All" per ogni browser

e clicca su "Empty Select"

Posta il log di Virit, e un nuovo log aggiornato di Hijack

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Non ho capito a cosa serve dei domain , nel menù con clic destro non appariva installa poi dalla cartella zip sono riuscito col dx a cliccare istalla ma non è successo niente apparentemente come è scritto nel testo a corredo del file .

Scaricato e installato virit fatta scanzione in modalità provisoria e pulizioa con Atf cleaner che già avevo.

Risultato!!! : windows non funziona più , non appaiono le icone sul desktop neppure in modalità provvisoria e adesso sto comunicando da un'altro PC, che faccio???

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao,

del domains serve a ripulire la "trusted zone", in pratica le voci 015 di HJT.... per utilizzarlo devi prima decomprimerlo , Kuma ti ha fatto anche il disegno , quindi piu di cosi è difficile fare....

per il resto non credo che siano stati i controlli consigliati a farti sparire tutto , ma sicuramente dei rootkit nascosti

lo scan con il tool consiglaito da Kuma lo hai fatto? lo scan con Virit non lo vedo scritto da nessuna parte che dovevi farlo in modalità provvisoria ....

comunque fai questi controlli;

svuota completamente queste cartelle;

C:\Documents and Settings\Administrator\Impostazioni locali\Temp

C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files

C:\Windows\Temp

poi fai questi controlli;

dimmi cosa c'è in questa cartella -> C:\Windows\Tasks

Apri il registro , start / esegui / regedit / ok

controlla se ci sono le chiavi riportate in grassetto

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

Nel caso fosse presente anche questa, annota e riporta il il file da essa richiamato.....

- HKEY_LOCAL_MACHINE \Software\Micorsoft\RFC1156Agent

- HKEY_LOCAL_MACHINE\Software \Macromedia\ShockPlayer32

- HKEY_CURRENT_USER\Software\Macromedia\ShockPlayer32

- HKEY_CURRENT_USER\Software\Microsoft\RFC1156Agent

Qua devi cercare dei nomi strani a 5 lettere, potrebbero essere anche piu di uno...

- HKEY_LOCAL_MACHINE \Software\Microsoft\Internet Explorer \AdvancedOptions\[5 lettere a caso] esempio hkwcf

- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\AdvancedOptions\[5 lettere a caso] esempio hknnf

* Se torna il desktop, scarica e decomprimi GMER sul desktop

- con un doppio click avvia il file gmer.exe

- Portati nel tab Rootkit e clicca su "Scan"

- A fine scansione clicca su "Copy", apri il block notes di windows,e mediante il tasto destro del mouse seleziona incolla..

- A questo punto salva il log dove meglio ritieni

-Torna a gmer,portati nel tab Autostart questa volta ,spunta la casella "Show All" e clicca di nuovo su Scan

- Al termine della scansione clicca su Copy , e ripeti le stesse operazioni di prima per salvarlo

* Allega i due log in un post di risposta

Dal task manager scegli nuova operazione e digita explorer.exe

dai l'ok e vedi se il desktop riappare

Altrimenti le operazioni dovrai farle tutte passando dal Task manager

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

grazie x le istruzioni dettagliate, col task manager explorer.exe non si apre , un messaggio dice che è impossibile trovare il file, adesso fare tutto attraversoil task manager la vedo dura , comunque ho l'impressione che questo Virit abbia peggiorato decisamente la situazione , se non altro prima potevo connettermi e usare windows per comunicare .

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

fai quest'operazione per primo;

Apri il registro ,Task manager / nuova operazione / digita regedit / ok

controlla la presenza della chiave in grassetto;

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

Nel caso fosse presente, annota il il file da essa richiamato.....e poi tx destro/ elimina

Poi vai ad eliminare il file da essa richiamato nel caso fosse ancora presente...... anche se credo che sia già stato eliminato, ed è proprio per quello che non hai piu desktop (credo)

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao stesso problema e, innanzitutto un saluto per prima cosa, mi sono appena registrato.. poi ..

per il problema in questione , ho fatto tutto come sopra descritto e ha funzionato perfettamente seguendo la procedura . Spoolw e Igfxsvc sono andati, pero' :

ma quest'ultima cosa che hai messo .. io ho cancellato il file c:\windows\w32dbg.exe a cui puntava la voce del registro

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

ora non trova piu' internet explorer 6 , nemmeno reinstallandolo. come posso fare?.. anche se c'e' nella cartella di Internet Explorer in programmi.

devo rimettere il file cancellato w32dbg.exe e ricreare la chiave explorer che e' stata cancellata?

o non c'entra nulla e questo era invece di explorer e non di InternetExplorer ..

come posso quindi fare per far rifunzionare il Browser Internet Explorer .. ? grazie ...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao e benvenuto....

devi eliminare anche la voce explorer nel registro......

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

PS__La prossima volta quando hai un problema, apri un topic tutto tuo e non accodarti ad altri post altrimenti si crea confusione (grazie)

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Ciao a tutti, questo dannato virus mi ha fatto letterelmente impazzire, e formattare il pc 2 volte prima di arrivare a una soluzione.

La souzione definitiva è questa:

Scansionare con VIRIT debitamente aggiornato: rimuoverà alcuni files (spoolw.exe, igfxsvc.exe, w32dbg.exe, iexplore_32.exe ed altri .exe e .dll) infetti da Trojan.Win32.Agent.AXN e Trojan.Win32.Small.LQ ed eventualmente farà riavviare se i files saranno in esecuzione.

Al riavvio il desktop sarà vuoto e potrete usare solo TASK MANAGER (da qui non potrete lanciare nemmeno internet explorer in quanto non funzionante) quindi scegliete FILE > NUOVA OPERAZIONE > (scrivete) regedit (+ INVIO)

andate a cercare ed eliminate queste 2 voci dal registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe (che fa riferimento al file c:\windows\w32dbg.exe)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe (che fa riferimento al file C:\windows\iexplore_32.exe)

Chiudete il registro, tornate in TASK MANAGER e scegliete FILE > NUOVA OPERAZIONE > (scrivete) explorer.exe (+ INVIO)

CIAO

Modificato da lukissimo

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

[ben]lukissimo[/ben]

se saresti passato prima su questo forum , avresti evitato i format :P , anche perchè conoscevamo già questo tipo di malware .....

grazie comunque delle info :)

:P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0