Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Pagina 1 di 2 1 2 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 12

Discussione: processo navsw.exe

  1. 22-10-2004, 12:08 #1
    ivan cb6
    ivan cb6 non è in linea
    Utente di HTML.it
    Registrato dal
    Feb 2003
    residenza
    pesaro
    Messaggi
    68

    processo navsw.exe

    Ciao, sul pc di un amico ho notato che è attivo un processo navsw.exe che in determinati momenti utilizza la CPU quasi al 100%. Quindi ho fatto una scansione con HijackThis.exe e il log che mi ha restituito è questo:


    Logfile of HijackThis v1.98.2
    Scan saved at 12.36.18, on 16/10/2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
    C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Programmi\Norton AntiVirus\navapsvc.exe
    C:\Programmi\Norton AntiVirus\SAVScan.exe
    C:\WINDOWS\htpatch.exe
    C:\WINDOWS\System32\RunDll32.exe
    C:\Programmi\File comuni\Symantec Shared\ccApp.exe
    C:\Programmi\Messenger\msmsgs.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Programmi\Internet Explorer\iexplore.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Documents and Settings\Utente\Desktop\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.kataweb.it/search/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.kataweb.it/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: IEHlprObj Class - {01FB9C55-FC66-4476-A199-389241193188} - C:\WINDOWS\System32\KPVRuslj.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Norton SpySweeper AutoUpdate] navsw.exe
    O4 - HKLM\..\Run: [MSN Messanger] msnmsng.exe
    O4 - HKLM\..\RunServices: [Norton SpySweeper AutoUpdate] navsw.exe
    O4 - HKLM\..\RunServices: [MSN Messanger] msnmsng.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Norton SpySweeper AutoUpdate] navsw.exe
    O4 - HKCU\..\Run: [MSN Messanger] msnmsng.exe
    O4 - HKCU\..\RunServices: [MSN Messanger] msnmsng.exe
    O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV0 2.EXE
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
    O14 - IERESET.INF: START_PAGE_URL=http://www.kataweb.it/
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BFA08AA9-8954-47B7-B885-132B6D5CB8C6}: NameServer = 212.216.112.112 212.216.172.62


    inoltre il norton rileva e mette in quarantena questo:

    Rapporto di Norton AntiVirus Quarantine
    Creato il: sabato 16 ottobre 2004 12.14.04
    ------------------------------------------------------------------------------

    Nome file
    Posizione
    Stato Dimensioni Nome virus
    Nome utente Nome computer Dominio
    Data quarantena
    Data invio

    ------------------------------------------------------------------------------

    navsw.exe
    C:\WINDOWS\System32
    Backup di un file infetto 83.0 KB W32.IRCBot.Gen
    SYSTEM PC WORKGROUP
    venerdì 15 ottobre 2004 19.58.55
    Non inviato

    ------------------------------------------------------------------------------


    qualcuno mi sa dare una spiegazione del log di HijackThis.exe e che cosa è navsw.exe. Ciao e grazie
    Rispondi quotando Rispondi quotando
  2. 22-10-2004, 13:37 #2
    eraser
    eraser non è in linea
    Utente di HTML.it L'avatar di eraser
    Registrato dal
    Sep 2002
    Messaggi
    292
    Invia un messaggio tramite ICQ a eraser
    è il worm W32/Forbot-AS

    Puoi mandarmi il file a fileanalysis@email.it? tnx
    Rispondi quotando Rispondi quotando
  3. 22-10-2004, 16:21 #3
    ivan cb6
    ivan cb6 non è in linea
    Utente di HTML.it
    Registrato dal
    Feb 2003
    residenza
    pesaro
    Messaggi
    68
    quale file....il log? oltre a quello che ti ho messo li non ho nient'altro!
    Rispondi quotando Rispondi quotando
  4. 22-10-2004, 19:49 #4
    eraser
    eraser non è in linea
    Utente di HTML.it L'avatar di eraser
    Registrato dal
    Sep 2002
    Messaggi
    292
    Invia un messaggio tramite ICQ a eraser
    dicevo il file navsw.exe
    Rispondi quotando Rispondi quotando
  5. 25-10-2004, 11:00 #5
    ivan cb6
    ivan cb6 non è in linea
    Utente di HTML.it
    Registrato dal
    Feb 2003
    residenza
    pesaro
    Messaggi
    68
    a questo punto però l'ho già eliminato...credo! dovrei ribeccarmi il virus !? ma dal log che ti ho messo altre anomalie?
    Rispondi quotando Rispondi quotando
  6. 25-10-2004, 12:02 #6
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    dalla modalità provvisoria fai uno scan con HJT metti la spunata ai valori, clicca su Fix checked

    O2 - BHO: IEHlprObj Class - {01FB9C55-FC66-4476-A199-389241193188} - C:\WINDOWS\System32\KPVRuslj.dll
    O4 - HKLM\..\Run: [Norton SpySweeper AutoUpdate] navsw.exe
    O4 - HKLM\..\Run: [MSN Messanger] msnmsng.exe
    O4 - HKLM\..\RunServices: [Norton SpySweeper AutoUpdate] navsw.exe
    O4 - HKLM\..\RunServices: [MSN Messanger] msnmsng.exe
    O4 - HKCU\..\Run: [Norton SpySweeper AutoUpdate] navsw.exe
    O4 - HKCU\..\Run: [MSN Messanger] msnmsng.exe
    O4 - HKCU\..\RunServices: [MSN Messanger] msnmsng.exe

    sempre dalla provvisoria elimina se ancora presenti

    C:\WINDOWS\System32\KPVRuslj.dll <== il file
    navsw.exe
    msnmsng.exe
    Nota: da NON confondere il file msnmsng.exe (infetto), con il file MSMSGS.EXE che è un file legittimo (Messenger)
    Verifica se sono presenti questi files, nel caso li elimini:
    fu.exe
    msdirectx.sys


    riavvia senza collegarti.
    Apri il Notepad e scrivi questo valore facendo la massima attenzione a rispettare tutta la punteggiatura! Il valore scrivilo su un'unica riga

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Msdirectx]
    "ImagePath"=-

    salva il file con il nome, ad es.,

    fix.REG

    fai doppio click sul file appena creato, riavvia il pc.

    Da Start<Esegui scrivi regedit clicca su OK
    vai nella chiave
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es

    ed elimina la cartella msdirectx

    Riavvia, fai una scansione con l'antivirus aggiornato, posta un nuovo log di HJT
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  7. 25-10-2004, 12:06 #7
    ivan cb6
    ivan cb6 non è in linea
    Utente di HTML.it
    Registrato dal
    Feb 2003
    residenza
    pesaro
    Messaggi
    68
    ok grazie amvinfe!...ora non sono davanti al pc incriminato...ci provo stasera e poi domani ti dico! grazie
    Rispondi quotando Rispondi quotando
  8. 25-10-2004, 12:11 #8
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    se ci sono problemi ed i valori vengono ricreati, la causa è proprio il valore modoficati nella chiave

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\System\CurrentContro
    lSet\Services\Msdirectx]
    "ImagePath"=-

    allora inverti l'ordine

    1. Apri il Notepad e scrivi questo valore facendo la massima attenzione a rispettare tutta la punteggiatura! Il valore scrivilo su un'unica riga

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\System\CurrentContro
    lSet\Services\Msdirectx]
    "ImagePath"=-

    salva il file con il nome, ad es.,

    fix.REG

    fai doppio click sul file appena creato, riavvia il pc.

    Da Start<Esegui scrivi regedit clicca su OK
    vai nella chiave
    HKEY_LOCAL_MACHINE\System\CurrentControl
    Set\Services

    ed elimina la cartella msdirectx

    2. dalla modalità provvisoria fai uno scan con HJT metti la spunata ai valori, clicca su Fix checked

    O2 - BHO: IEHlprObj Class - {01FB9C55-FC66-4476-A199-389241193188} - C:\WINDOWS\System32\KPVRuslj.dll
    O4 - HKLM\..\Run: [Norton SpySweeper AutoUpdate] navsw.exe
    O4 - HKLM\..\Run: [MSN Messanger] msnmsng.exe
    O4 - HKLM\..\RunServices: [Norton SpySweeper AutoUpdate] navsw.exe
    O4 - HKLM\..\RunServices: [MSN Messanger] msnmsng.exe
    O4 - HKCU\..\Run: [Norton SpySweeper AutoUpdate] navsw.exe
    O4 - HKCU\..\Run: [MSN Messanger] msnmsng.exe
    O4 - HKCU\..\RunServices: [MSN Messanger] msnmsng.exe

    sempre dalla provvisoria elimina se ancora presenti

    C:\WINDOWS\System32\KPVRuslj.dll <== il file
    navsw.exe
    msnmsng.exe
    Nota: da NON confondere il file msnmsng.exe (infetto), con il file MSMSGS.EXE che è un file legittimo (Messenger)
    Verifica se sono presenti questi files, nel caso li elimini:
    fu.exe
    msdirectx.sys

    3. Riavvia, fai una scansione con l'antivirus aggiornato, posta un nuovo log di HJT


    ti ricordo che durante le operazioni di rimozioni nessuna finestra di altri programmi dev'essere aperta!
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  9. 25-10-2004, 12:15 #9
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    in definitiva un consiglio, stampati le procedure
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  10. 25-10-2004, 12:54 #10
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    onde evitare spiacevoli sorprese, essendo il registro una parte delicata del sistema, ti consiglio come prima cosa d'effettuare un backup dello stesso ed all'URL trovi le spiegazioni di come farlo e di come va, eventualmente ripristinato
    http://service1.symantec.com/SUPPORT...10202150404924

    Se non sei esperto, fatti aiutare da una persona capace!!!
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.