Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Sicurezza&Privacy

Notices

Rispondi
 
Strumenti discussione
Vecchio 09-04-2006, 16.12.06   #1
supertraz
Senior Member
 
Registrato: 22-01-2001
Messaggi: 304
supertraz promette bene
Mi date una mano con windows/services.exe ??

Ciao,
quando ho qualche problema torno sempre alla base a chiedere aiuto !
Ho fatto la solita scansione con adaware e mi ha trovate un file infetto :
windows/services.exe ho provato ad eliminarlo ma adaware dice che non puo' eliminarlo se non al prossimo avvio.
Prima di fare cavolate ho fatto una scansione con hijackthis, ve la posto se potete dirmi cosa fare onde evitare bruciarmi il pc !

Grazie in anticipo !

Logfile of HijackThis v1.99.1
Scan saved at 15.09.31, on 09/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\WIDCOMM\bin\btwdins.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programmi\WIDCOMM\BTTray.exe
C:\WINDOWS\twain_32\Flatbed\Epp\Detector.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\SERVICES.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programmi\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Simone.SIMONE-83E4F090\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WIND OWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\Pirelli\Access Gateway USB Network\CnxTrApp.dll",AppEntry -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Detector.lnk = C:\WINDOWS\twain_32\Flatbed\Epp\Detector.exe
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programmi\WIDCOMM\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.auctiva.com/hostedimages/...ad/XUpload.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB77A983-6080-4324-AFA0-97AE1082D53F}: NameServer = 85.37.17.4 85.38.28.70
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\WIDCOMM\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
___________________________________

www.tormento.it
supertraz non è collegato   Rispondi citando
Vecchio 09-04-2006, 16.16.29   #2
supertraz
Senior Member
 
Registrato: 22-01-2001
Messaggi: 304
supertraz promette bene
Ho provato a leggere il log di hijack this e da quello che ho capito ci sono 2 file con services.exe e altri 3 file infetti.
Resto in atesa di aiuto
Grazie !
___________________________________

www.tormento.it
supertraz non è collegato   Rispondi citando
Vecchio 09-04-2006, 16.33.34   #3
crazy.cat
Gold Member
Top Poster
 
L'avatar di crazy.cat
 
Registrato: 20-08-2002
Loc.: Mestre
Messaggi: 3.563
crazy.cat promette bene
Hai delle icone di troppo sul desktop o nel menu Start?
C'è quelche explorer di troppo per caso?
Dalle righe che si vedono potresti avere il winmovie plugin, almeno quelle con il 015 sono il suo sintomo e services.exe potrebbe essere il dialer.

Rimuovi queste righe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WIND OWS\SERVICES.EXE
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
riavvia in modalità provvisoria e vedi se riesci ad eliminare il file exe, puoi provare con Delete doctor se non riesci ad eliminarlo.

Se non vuol saperne di morire, carica il file sul sito www.virustotal.com e vedi di cosa si tratta che poi si trova la cura adatta.
___________________________________

Solo gli operai sanno quanto vale il tempo; se lo fanno sempre pagare.
crazy.cat non è collegato   Rispondi citando
Vecchio 22-04-2006, 00.38.09   #4
Taita64
Newbie
 
Registrato: 30-12-2001
Messaggi: 41
Taita64 promette bene
Salve, cercando nei vari forum di Wintricks ho trovato questo dove si parla di un file che somiglia a quello che c'è sul PC portatile di mio fratello.
Si chiama servic#1.exe-38201672.pf ( nel nome del file al posto del cancelletto c'è la tilde ma sulla mia tastiera non l'ho trovata )e lo troviamo in c:\windows\prefetch.
Il problema che provoca è che il PC non si connette ad internet (visualizzando l'errore 633 mi sembra) segnalando che la porta com4 (quella del modem nel PC di mio fratello) è già occupata da un'altra applicazione. Dopo vari tentativi siamo riusciti a connetterci solo dopo aver aperto il task manager windows (ctrl+alt+canc), selezionato il suddetto file e aver cliccato su termina processo. Questo bisogna farlo ogni volta che ci vogliamo connettere e tutto questo si verifica solo da alcune settimane e pur avendolo rimosso dalla cartella ad un certo punto ce lo ritroviamo lì dov'era. Qualcuno di voi può dirmi se si tratta di virus? La scansione effettuata con Norton non lo rivela.
Se non fosse un virus c'è un modo per poter risalire al programma che mi occupa la porta?
Il S.O. e windows XP Pro. Spero di aver dato abbastanza elementi per formulare le varie ipotesi per le quali vi ringrazio in anticipo. Ciao.
Taita64 non è collegato   Rispondi citando
Vecchio 23-04-2006, 02.23.16   #5
UG0_BOSS
Young Promise
 
Registrato: 04-02-2006
Messaggi: 2.114
UG0_BOSS promette bene
Allora...
I file contenuti nella cartella prefetch sono copie dei processi eseguiti più frequentemente dal sistema, che windows sposta nei primi settori dell'hard disk per eseguirli più velocemente.

Nel tuo caso la copia è del file services.exe, (il processo che gestisce i servizi di windows) rinominato servic~1.exe perchè la massima lunghezza del nome dos è di 8 caratteri e con aggiunta una serie di numeri + l'estensione .pf, comune a tutti i file contenuti in quella cartella.

Quindi può darsi che sia un servizio a bloccare quella porta e non il processo services.exe.
UG0_BOSS non è collegato   Rispondi citando
Vecchio 23-04-2006, 20.34.40   #6
Taita64
Newbie
 
Registrato: 30-12-2001
Messaggi: 41
Taita64 promette bene
La spiegazione è chiara e ti ringrazio UG0_BOSS.
Quello che vorrei sapere ancora è come posso capire cos'è che mi impedisce la connessione e come posso fare per risolvere la situazione.
Ad esempio, esiste una utility che mi aiuti in questo? O qualcosa del genere?
Taita64 non è collegato   Rispondi citando
Vecchio 23-04-2006, 23.12.43   #7
UG0_BOSS
Young Promise
 
Registrato: 04-02-2006
Messaggi: 2.114
UG0_BOSS promette bene
prova con start --> esegui --> services.msc

Compare una utility di windows che ti mostra tutti i servizi del sistema operativo. Per visualizzare una descrizione del servizio basta farci un doppio clic sopra.

Se ne trovi uno "sospetto" prova a disattivarlo e tenta la connessione. Intanto puoi disattivare i servizi inutili, in modo da migliorare velocità del pc in avvio e risorse di sistema utilizzate.

Occhio, però... se disattivi un processo sbagliato potresti compromettere il funzionamento di windows, perciò leggi bene le descrizioni dei servizi prima di agire!

P.S.: per la tilde tieni premuto Alt, digita 126 sulla tastiera numerica a destra e lascia Alt
UG0_BOSS non è collegato   Rispondi citando
Vecchio 29-04-2006, 12.44.11   #8
Taita64
Newbie
 
Registrato: 30-12-2001
Messaggi: 41
Taita64 promette bene
Grazie ancora UGO_BOSS, appena mio fratello mi porta il PC farò senz'altro questa prova. Sei un grande.
Taita64 non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
Ciao a tutti, mi date una mano?? Luchetto Windows 7/Vista/XP/ 2003 3 23-03-2007 11.08.14
Mi date una mano a configurare rete wi-fi? Silence Internet e Reti locali 8 18-03-2006 13.32.58
Cerco le seguentio leggi... mi date una mano? torakiki78 Chiacchiere in libertà 4 17-09-2004 14.38.06
mi date una mano per un curriculum? exion Chiacchiere in libertà 14 09-02-2004 13.13.13
mi date una mano? frederik001 Hardware e Overclock 13 31-10-2003 12.14.41

Orario GMT +2. Ora sono le: 21.20.33.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.