virus non rilevato da antivirus. Help

[WebDesign74]

Scusate ho uno strano virus nel pc collegato al processo "svchost.exe". Me ne sono accorto perchè succedono strane cose al mio pc (ad esempio non mi fa accedere ad msconfig , cioè start-esegui-msconfig perchè dice che c'è bisogno dell'amministratore per farlo???) allora ho provato a "terminare" uno dopo l'altro i vari processi in esecuzione automatica nel task manager. Chiudendo un svchost.exe mi appare un pop-up che non mi è nuovo che dice:

il computer sarà riavviato entro tot secondi. Chiusura decisa da nt authority sistem...

Mi era già successo mesi fa ma non ricordo come avevo fatto per eliminarlo e non ritrovo più la discusione. Credo serva hi-jack this? mi aiutate?
Grazie

[LUCASS]

Ciao ma sei amministratore del sistema?se la risposta è si segui prima il thread in rilievo se non risolvi posta il log

[WebDesign74]

Si sono amministratore.
Allora giorni fa avevo notato che c'era un altro account sul mio pc, creatosi misteriosamente da solo (o meglio, non fatto da me). L'ho cancellato e da allora sembrava tutto ok.
Però non riuscivo ad entrare nella configurazione del sistema, perchè mi diceva che era richiesta autorizzazione dell'amministratore (avevo postato su microsoft server ma senza risposta). Ora mi sono accorto che avviando in modalità provvisoria, all'avvio di windows, mi chiede se voglio accedere come amministratore o come "io" (che ho comunque poteri - dice - di amministratore). Se accedo come amministratore mi appare una schermata con parte dei programmi che ho sul pc, e volendo mi fa modificare la configurazione del sistema (start-esegui-msconfig) ma non mi permette di "autoeliminarmi" l'account stesso di amministratore. altrimenti se entro come "io" vedo la schermata solita e non mi fa modificare la configurazione di sistema nè l'account stesso di amministratore (che anzi non vedo neppure). Mi chiedo come faccio ad eliminare l'account di amministratore (e di chi diavolo sia... qualcuno che si è infiltrato nel mio pc? boh!).
Preciso che la scelta dell'account con cui entrare me la richiede solo in modalità provvisoria (in modalità normale risulta solo la mia... con la quale non mi fa modificare la config di sistema).
Chiedo lumi.
Ho effettuato scansioni con ogni sorta di antivirus e anti spyware, off-line e on-line, normale e in modalità provvisoria... ho sistemato il registro, ho cancellato tutto quello che potevo... ma non risolvo.
Ho xp, i.e.6 e a questo punto posto il log di hijackthis. Mi dite cosa succede?
Grazie


Logfile of HijackThis v1.99.1
Scan saved at 21.02.19, on 17/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programmi\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\ycomp5_ 5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programmi\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\ycomp5_ 5_7_0.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: @C:\Programmi\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programmi\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[Habanero]

Originariamente inviato da WebDesign74
Scusate ho uno strano virus nel pc collegato al processo "svchost.exe". Me ne sono accorto perchè succedono strane cose al mio pc (ad esempio non mi fa accedere ad msconfig , cioè start-esegui-msconfig perchè dice che c'è bisogno dell'amministratore per farlo???) allora ho provato a "terminare" uno dopo l'altro i vari processi in esecuzione automatica nel task manager. Chiudendo un svchost.exe mi appare un pop-up che non mi è nuovo che dice:

il computer sarà riavviato entro tot secondi. Chiusura decisa da nt authority sistem...

Mi era già successo mesi fa ma non ricordo come avevo fatto per eliminarlo e non ritrovo più la discusione. Credo serva hi-jack this? mi aiutate?
Grazie

Non puoi terminare a casaccio i processi di sistema... il servizio RPC (RPCss), che è un elemento fondamentale del sistema, è gestito da uno dei svchost. Se tu lo termini il sistema va in palla e il sistema si riavvia. Il worm Blaster causava lo stesso problema di riavvio proprio perchè faceva crashare il servizio RPC.

Ergo, il tuo problema non è certo svchost. A prima vista il log mi sembra pulito.

[LUCASS]

Ti crei un nuovo account di amministratore ed elimini il vecchio,quello con cui sei entrato tu è administrator il supremo sicuramente è stato creato da una persona di tua conoscienza metti la pass a tutti gli account e vedi che non succede più,ciao

PS:Habanero ha ragione non puoi terminare i processi a cavolo sei stato fortunato

[WebDesign74]

Se mi creo un nuovo account, questo sarebbe appunto "NUOVO", quindi mi da la schermata di windows nuova, senza icone, programmi ecc... e non posso cancellare la vecchia sula uale ho invece tutto.

Allora, sto diventando matto per capirci qualcosa.
Proviamo a ripartire da zero e inquadrare il problema... spiego in breve (per quanto possibile) la situazione. Intanto distinguerei 2 casi, avvio normale e modalità provvisoria

1) AVVIO IL COMPUTER IN MODALITA' NORMALE. Ecco cosa succede:

si carica windows, mi mostra il mio account (solo il mio) dicendo che sono amministratore e mi chiede la password. Inserisco la mia password, e tutto fila liscio.
Sembrerebbe tutto normale salvo 2 cose (+ altre 2 non so se collegate o meno)

a) se vado su start-esegui-msconfig mi si apre un pop-up che dice esattamente così:
"Errore di accesso negato durante il tentativo di modificare un servizio. Per apportare le modifiche specificate, potrebbe essere necessario accedere tramite un account amministratore."

Ma chi sarebbe dunque l'amministratore? boh, questa è la prima cosa che non capisco...

b) quando spengo il computer mi resta quasi sempre una applicazione aperta. Windows cerca di chiuderla ma non riesce. Mi dice di "terminare operazione". Do ok e si spegne.... però è strano no? Questa applicazione si chiama qualcosa come TDr o TRd e se non sbaglio sta in windows /system32....dll? qualcosa del genere.


Poi ci sarebbe:
C) svchost.exe ... ma a quanto mi dite è normale, ho sbagliato io a chiuderla. L'ho fatto perchè avevo, nel task manager, almeno 5 "svchost.exe" aperti... non sono troppi?
e ci sarebbe:
D) ogni programma che avvio zonealarm mi avverte che "generic host process for Win32 services is trying to communicate with:... percorso del programma.
Se accetto lo carica, se dico "deny" lo carica lo stesso! ma con una grafica strana, senza "contorni" boh...strana roba (E questo nonostante zonalarm l'ho già settato per dirgli quali programmi deve lasciar passare, quali no, e quali avvisarmi).

Questo è il quadro se avvio in modalità normale. Ultima precisazione: su account utente (da pannello di controllo) ora ho solo il mio e "guest" (libero)... ma giorni fa c'era un altro account "amministratore" sconosciuto al quale (pensando fosse qualcuno che si inseriva nel mio pc) ho messo password e poi l'ho rimosso... non so se questo c'entra con tutto il resto o meno, e se ho fatto bene...


Non è strano tutti questi "mezzi problemucci"? sono legati tra loro? boh... il pc funziona ma qualcosa mi dice che non è a posto...



2) AVVIO IL PC IN MODALITA' PROVVISORIA

si carica windows e compaiono 2 account: il mio (quello che appare anche in modalità normale) e un altro che si chiama "Administrator" e che non ha password.
Se accedo col mio ho gli stessi problemi che riscontro in modalità normale.
Se invece accedo con "administrator" non li ho, e quindi posso anche accedere a MSCONFIG ecc... ma ovviamente la schermata è diversa, non ho in "administrator" tutti i programmi e le icone che uso con il mio profilo...


Stando così le cose.... che significa tutto ciò?

Spero in qualche vostra spiegazione, soprattutto per i punti 1a e 1b. Vi prego di utilizzare, per eventuali spiegazioni, un linguaggio molto semplice (non sono esperto).

Grazie in anticipo

[LUCASS]

Prova a fare un ripristino di configurazione di sistema ad una data antecedente(non troppo )al problema, nota che se lo fai i programmi installati dopo il punto ripreso non funzioneranno
Start>accessori>Utilita di sistema>ripristino di configurazione di sistema>Rispristina uno stato precedente
Avrai a disposizione delle date(in grasetto con dei commenti)basta che segui le istruzioni a schermo,se non ritorna tutto apposto puoi sempre annullare il punto precedentemente ripreso