Strani file in ..\windows\system32

[ZioMauri]

Ho un PC con questi due file nella cartella system32

svcxsuxo.exe
srvcwyhf.exe

Hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 08.16.08, on 27/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\ZyXEL\ZyWALL VPN Client\IreIKE.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\ZyXEL\ZyWALL VPN Client\IPSecMon.exe
C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programmi\Photodex\ProShowGold\ScsiAccess.exe
C:\Programmi\CheckPoint\SecuRemote\bin\SR_WatchDog .exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\Programmi\CheckPoint\SecuRemote\bin\SR_Service. exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\WINDOWS\ALCFDRTM.EXE
C:\programmi\microangelo\muamgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\DAEMON Tools\daemon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\vsnp2std.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programmi\Weather Watcher\ww.exe
C:\PROGRA~1\SAFEHO~1\SdwMon32.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Creative\MediaSource5\MtdAcqu.exe
C:\Programmi\Creative\MediaSource5\CTDetctu.exe
C:\Programmi\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main .exe
C:\Programmi\palmOne\Hotsync.exe
C:\Programmi\WallpaperToy\Wallpapertoy.Exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programmi\Pinnacle\Shared Files\Programs\PclePvr\VideoControl.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Mauri\Desktop\War Games\YASU.exe
C:\Progtammi\ArmA\arma.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Mauri\Desktop\My Docs\Admin\Anti-spy\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar4.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar4.dll
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AlcFDMonitor] C:\WINDOWS\ALCFDRTM.EXE
O4 - HKLM\..\Run: [MOD] c:\programmi\microangelo\muamgr.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Programmi\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles
O4 - HKLM\..\Run: [PMCRemote] C:\Programmi\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [StartCCC] C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [WeatherWatcher] C:\Programmi\Weather Watcher\ww.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Programmi\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [Spamihilator] "C:\Programmi\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [PC Dynamics SdwMon32] C:\PROGRA~1\SAFEHO~1\SdwMon32.exe /run
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MtdAcqu] "C:\Programmi\Creative\MediaSource5\MtdAcqu.ex e" /s
O4 - HKCU\..\Run: [Creative Detector U] "C:\Programmi\Creative\MediaSource5\CTDetctu.e xe" /R
O4 - HKCU\..\Run: [PMCS] "C:\Programmi\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main .exe"
O4 - HKCU\..\Run: [VIP Team To Do List.exe] C:\VIP\VIP\VIP.Team.To.Do.List.v1.5.0.328.WinALL.C racked-BRD\crack\VIP Team To Do List.exe
O4 - Startup: SyncBackSE.lnk = C:\Programmi\SyncBackSE\SyncBackSE.exe
O4 - Startup: Wallpaper Changer.lnk = C:\Programmi\WallpaperToy\Wallpapertoy.Exe
O4 - Global Startup: Manager HotSync.lnk = C:\Programmi\palmOne\Hotsync.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://ziomauri63.spaces.live.com//P...d/MsnPUpld.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAV...oadManager.ocx
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Programmi\ZyXEL\ZyWALL VPN Client\IPSecMon.exe
O23 - Service: SafeNet IKE Service (IreIKE) - SafeNet - C:\Programmi\ZyXEL\ZyWALL VPN Client\IreIKE.exe
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Programmi\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: ScsiAccess - Unknown owner - C:\Programmi\Photodex\ProShowGold\ScsiAccess.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Programmi\CheckPoint\SecuRemote\bin\SR_Service. exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Programmi\CheckPoint\SecuRemote\bin\SR_WatchDog .exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe


I file in questione vengono visti come "reading error" da AVG e locked & skipped da Kaspersky.
Non si riescono a cancellare perche' hanno attributi "read only"
Anche in modalita' provvisoria sono comunque sempre "in uso"
Non e' possibile l'upload su VIRUS.ORG perche mi dice "Uploaded File is Empty"

Any idea?

Grazie in anticipo.

ZioMauri

[tecnico24]

analizza questi due file qui----> http://www.kaspersky.com/scanforvirus metti i 2 file poi su submit attendi e mostra l'esito.
se dovessero essere virus,procedi cosi:
scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte:
files to delete:
C:\WINDOWS\system32\svcxsuxo.exe
C:\WINDOWS\system32\srvcwyhf.exe
poi
Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Il programma rilascia un log con le operazioni eseguite.

Posta il log di Avenger (C:/avenger.txt) con l´esito dello script.
poi avvia hijackthis,spunta a sinistra su questa voce:
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
e sotto su FIX CHECKED. e posta un nuovo log di hijakchtis assieme a quello di avenger.

[ste_95]

comunque hai tanta di quella roba in avvio, che non so quanto il tuo computer sia lento....

C:\Progtammi\ArmA\arma.exe

lo conosci?

[ste_95]

ricerche su un sito, mi hanno detto che questo è un trojan....

C:\programmi\microangelo\muamgr.exe

o no?

[tecnico24]

voce leggittima---> http://www.liutilities.com/products/...ibrary/muamgr/anzi aumenta le prestazioni.
attendiamo l'esito della scansione kaspersky,il log di avenger e quello di hijackthis.

[ste_95]

@ZioMauri

vai a vedere che in C:\programmi\microangelo

non ci sia una cartella di nome bak

aspettiamo i logs

[ZioMauri]

Originariamente inviato da ste_95
comunque hai tanta di quella roba in avvio, che non so quanto il tuo computer sia lento....

C:\Progtammi\ArmA\arma.exe

lo conosci?

Ricerche su un sito, mi hanno detto che questo è un trojan....

C:\programmi\microangelo\muamgr.exe

o no?

Arma non e' il problema. Muamgr e' Microangelo, software di grafica per icone, innocuo.
In effetti ho un po' di roba sul PC, e' un po' lento a partire ma poi se la cava....

Adesso le cattive notizie.
Ho fatto quanto suggerito da Tecnico24.

Kaspersky, come virus.org, non processa il file perche' "non lo vede"
Avenger: Error, doesnt appear a valid script.

Credo che il file si presenti come un errore di lettura/scrittura su disco. Infatti AVG mi restituisce un "reading error".
Forse potrei provare con "moveonboot"...

[tecnico24]

con hijakchtis l'hai fatto?procedi con hijackthis per quella voce.
scaricati unlocker da qui----> http://download.html.it/software/vedi/1887/unlocker/
poi vai sui file sospetti in system32:svcxsuxo.exe,srvcwyhf.exe.
clicca con il tasto destro su di loro e su sblocca tutto oppure su unlocker..poi si possono eliminare tranquillamente.
ps. scusate non avevo letto l'errore di avenger.

[ste_95]

avenger lo ha già usato, gli dice che lo script è fatto male....strano perchè è giusto...

prova anche a fare una scansione dell'intero computer con kaspersky...e postane l'esito...

[ZioMauri]

Originariamente inviato da tecnico24
con hijakchtis l'hai fatto?procedi con hijackthis per quella voce.
scaricati unlocker da qui----> http://download.html.it/software/vedi/1887/unlocker/
poi vai sui file sospetti in system32:svcxsuxo.exe,srvcwyhf.exe.
clicca con il tasto destro su di loro e su sblocca tutto oppure su unlocker..poi si possono eliminare tranquillamente.
ps. scusate non avevo letto l'errore di avenger.

Niente da fare. Unlocker non mostra la tendina su quei due file, rimane la clessidra per dieci secondi, poi il focus passa su un'altra finestra di explorer.
Kaspersky non processa quei file perche' li ritiene "locked"!!!

... si sta difendendo niente male....