sysos.exe e dischi rimovibili comparsi in risorse del computer [era:probemini :(]

[teseo]

Salve a tutti! Ho un piccolo problema,a dir la verità non è poi così piccolo e non è neanche uno, sono due:
1) Ho fatto una scansione con AVG, e mi ha cancellato il file sysos.exe(nel folder system32), ora mi compare ad ogni avvio, l'avviso della mancanza di questo file. ho provato a trovare informazioni in giro, ma in italiano nulla, però su un sito straniero c'era scritto che questo è un malware e dopo rimosso dall'antivirus, va rimosso anche dal registro. problema: come faccio? conoscete qualcosa di questo file?
2) Mi sono ritrovato 4 simpatici dischi rimovibili sulle risorse del computer, inizialmente pensavo che fosse il virus quello del disco W:, ma qui a parte che i dischi sono 4 (nomenclati F:\g:\h:\i: ), non c'è nemmeno la medesima chiave di registro, e quando ci clicco non apre nulla, dice semplicemente che è impossibile l'accesso, lo stesso succede quando porovo a rimuoverle\disabilitarle. problema: quale è la soluzione?

Ho fatto una scansione con AVG,spybot,adware, cclean ma non trovano nulla

[Topdrake]

posta un log di Hijackthis http://www.trendsecure.com/portal/en...ijackthis.php#
metti il programma in un cartella dedicata in c:\programmi\Hijackthis
lancia,clic su Main menù e poi sul tasto"do a system scan and save a log file.
otterrai un file di testo che dovrai postare

[Habanero]

benvenuto teseo. Come nuovo arrivato ti suggerisco la lettura del regolamento:
http://forum.html.it/forum/showthrea...hreadid=997970

Per favore, a prossima volta scegli meglio il titolo della discussione. Grazie

[teseo]

Originariamente inviato da Habanero
benvenuto teseo. Come nuovo arrivato ti suggerisco la lettura del regolamento:
http://forum.html.it/forum/showthrea...hreadid=997970

Per favore, a prossima volta scegli meglio il titolo della discussione. Grazie

Hai perfettamente ragione, un titolo stupido, anche senza dover leggere il regolamente comunque scusate.
Per quanto riguarda i problemi ho risolto per i dischi rimovibili.
Mentre per quanto riguarda il file sysos, ecco il log di hijack this(ah, avevo attivato il safeboot, quando feci la scansione con anitivirus,antispyware. non so se posso comportare qualcosa,per sicurezza l'ho scritto)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.59.18, on 11/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
C:\Programmi\PokerOffice\bin\javaw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\BitTorrent_DNA\dna.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\WINDOWS\Explorer.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Domenico\IMPOST~1\Temp\Rar$EX00.531\Hi jackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\sysos.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: GetRight IE Download Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi\GetRight\xx2gr.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programmi\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [Launch Ai Booster] "C:\Programmi\ASUS\Ai Booster\OverClk.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WINCINEMAMGR] C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.ex e
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe "
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [OFFICEKB] C:\Programmi\Labtec\Desktop\V5.1\kbdap32a.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programmi\Labtec\Desktop\V5.1\moffice.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [POEngine] "C:\Programmi\PokerOffice\POEngine.exe" C:\Programmi\PokerOffice
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programmi\BitTorrent_DNA\dna.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-776561741-1580818891-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-776561741-1580818891-839522115-1003\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 (User '?')
O4 - HKUS\S-1-5-21-776561741-1580818891-839522115-1003\..\Run: [BitTorrent DNA] "C:\Programmi\BitTorrent_DNA\dna.exe" (User '?')
O4 - HKUS\S-1-5-21-776561741-1580818891-839522115-1003\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-776561741-1580818891-839522115-1003 Startup: Monitor.lnk = C:\Programmi\802.11g Wireless LAN\Monitor.exe (User '?')
O4 - S-1-5-21-776561741-1580818891-839522115-1003 Startup: OpenOffice.org 2.1.lnk = C:\Programmi\OpenOffice.org 2.1\program\quickstart.exe (User '?')
O4 - Startup: Monitor.lnk = C:\Programmi\802.11g Wireless LAN\Monitor.exe
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programmi\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programmi\GetRight\getright.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.ex e
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra button: Purple Lounge Poker - {701FD202-200A-4bd1-9380-BC8A722B43A5} - C:\Microgaming\Poker\PurpleloungeMPP\MPPoker.exe
O9 - Extra button: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Programmi\UltimateBet\UltimateBet.exe
O9 - Extra 'Tools' menuitem: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Programmi\UltimateBet\UltimateBet.exe
O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmi\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmi\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanc...instmodule.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1168295635269
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe



grazie mille per l'aiuto!

[ste_95]

il log è pulito, che problemi hai ancora?

[teseo]

il problema è che ogni volta che accendo il computer, mi da errore di questo file sysos.exe mancante in win32. Avevo letto che questo era un virus, e che una volta che veniva eliminato bisognava togliere la chiave dal registro per evitare la continua comparsa di questo errore. Il problema è questo file sysos è veramente un malware o serve per il funzionamente del computer? nel primo caso come facccio a trovare la chiave di registro da eliminare? nel secondo caso, suppongo che dovrei reinstallare questo file mancante?

grazie ancora

[Topdrake]

il file sysos.exe è avviato da :
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\sysos.exe
percio, essendo mancante,ti compare quel messaggio.
In questa situazione devi verificare che effettivamente l'eseguibile sia stato cancellato(dal log non si direbbe)
Poi pulisci la chiave F2
HKLM \Software \Microsoft \Windows NT \CurrentVersion \Winlogon \
elimina valore C:\WINDOWS\system32\sysos.exe
il valore giusto è Shell REG_SZ Explorer.exe
Fai una copia della chiave tramite file esporta, non si sa mai.
Sul file in questione non ci sono informazioni perciò questo lo rende sospetto.

[teseo]

Originariamente inviato da Topdrake
il file sysos.exe è avviato da :
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\sysos.exe
percio, essendo mancante,ti compare quel messaggio.
In questa situazione devi verificare che effettivamente l'eseguibile sia stato cancellato(dal log non si direbbe)
Poi pulisci la chiave F2
HKLM \Software \Microsoft \Windows NT \CurrentVersion \Winlogon \
elimina valore C:\WINDOWS\system32\sysos.exe
il valore giusto è Shell REG_SZ Explorer.exe
Fai una copia della chiave tramite file esporta, non si sa mai.
Sul file in questione non ci sono informazioni perciò questo lo rende sospetto.

grazie mille! in effetti ho cercato info, ne ho trovato solo qualcuna sul forum inglese. E francamente sembra attendibile, praticamente diceva che questa file viene cancellato dall'antivirus, perciò viene questa scritta, e per elimare l'errore è sufficiente eliminare la voce corrispondente nel registro.
grazie ancora