Scusate sapete dirmi che cosa è questo?
Si trova nella directori C:\WINDOWS\system32\svcybagl.exe mi si avvia ad ogni avvio del pc,(puntualmente viene bloccata),ho fatto la scansione con KIS aggiornato e il programma hijackthis ma non trova nulla di strano.
Spybot - Search & Destroy tutto ok Ad-Aware SE Personal tutto ok.
Svcybagl.exe verrà avviato da un file dll, c'è un programma che mi dice quale dll lo fa partire?
Grazie per le risposte.
è molto probabile che sia un viruz. posta il log di hijackthis sul forum.
Questo è il log
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22.56.13, on 13/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
D:\eMule0.47c\eMule0.47c\emule.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOCUME~1\FRANCE~1\IMPOST~1\Temp\ARCE\HiJackThis _v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF72FB48-8E48-40D0-B6B7-AE6109B3D201}: NameServer = 85.37.17.17 85.38.28.72
O20 - AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
--
End of file - 2841 bytes
ciao
il log sembra pulito
puoi scansionare quel file su
www.virustotal.com
BooTzenN
Il problema quantistico è così straordinariamente importante e difficile che dovrebbe essere al centro dell'attenzione di tutti
Opera browser..making you faster!
Ciao infatti il log è pulito lo provato sul sito di HijackThis .
ho fatto tutte le scansioni on line anche con un solo file, ma non risulta niente.
Ogni tanto sui file temporanei di windows mi compaiono dei file exe con nomi differenti per connessioni dialer, mentre io uso mozilla bo......
C'è un programma che mi dice quale dll fa partire il file in questione?
Grazie di nuovo
start->esegui->msconfig
oppure
scarica autoruns per vedere quali file si avviano automaticamente e disabilitare o cancellare la voce relativa. poi procedi alla rimozione del file dalla modalità provvisoria (premi F8 in fase di avvio prima della schermata nera con la scritta windows).
altra tecnica: scarica systemscan da www.suspectfile.com e scarica avenger. scansiona con systemscan, carica il report su www.sendmefile.com e posta qui il link che otterrai.
Ho provato anche in modalità provvisoria ma il file non si elimina mi dice che è in uso.
Ho scaricato autoruns ed ho trovato queste chiavi:
Task Scheduler
click maintenance.job
eomlu.job c:\windows\system32\svcybagl.exe
gwaielnt.job c:\windows\system32\svcybagl.exe
hmmhxkn.job c:\windows\system32\svcybagl.exe
Per quanto riquarda l'analisi del file svcybagl.exe non è stato possibile il sito www.suspectfile.com lo voleva zippato e questo in uso dal pc mi dava errore.
Qualche spiegazione in più sul click maintenance.job
Grazie
1. da autoruns cancella le chiavi che hai indicato sopra. poi riavvia in mod. provvisoria e ripeti la procedura di rimozione.Originariamente inviato da vision_master
Ho provato anche in modalità provvisoria ma il file non si elimina mi dice che è in uso.
Ho scaricato autoruns ed ho trovato queste chiavi:
Task Scheduler
click maintenance.job
eomlu.job c:\windows\system32\svcybagl.exe
gwaielnt.job c:\windows\system32\svcybagl.exe
hmmhxkn.job c:\windows\system32\svcybagl.exe
Per quanto riquarda l'analisi del file svcybagl.exe non è stato possibile il sito www.suspectfile.com lo voleva zippato e questo in uso dal pc mi dava errore.
Qualche spiegazione in più sul click maintenance.job
Grazie
2. l'invio dei file zippati a www.suspectfile.com serve a dare modo agli utenti di quel sito di analizzare file nocivi ancora sconosciuti. nel tuo caso in realtà devi scaricare dal sito systemscan e scansionare il tuo sistema.
Ciao.
Non posso loggarti tutto il report per informazioni personali ma questo si:
===================== SCHEDULED JOBS =====================
jobs found in C:\WINDOWS:
31/08/2001 13.00.00 65 byte 2113 days old -- desktop.ini
30/12/2006 16.45.42 390 byte 166 days old -- 1-Click Maintenance.job
31/05/2007 23.53.34 228 byte 14 days old -- ygeheelk.job
01/06/2007 23.36.07 222 byte 13 days old -- cpgl.job
02/06/2007 14.07.41 222 byte 12 days old -- cyd.job
02/06/2007 18.46.06 222 byte 12 days old -- xuv.job
02/06/2007 19.50.50 222 byte 12 days old -- nbcavcmu.job
02/06/2007 21.16.08 222 byte 12 days old -- nesthyhr.job
03/06/2007 11.06.56 222 byte 11 days old -- kbjivh.job
06/06/2007 23.41.08 222 byte 8 days old -- ugczg.job
07/06/2007 16.02.46 222 byte 7 days old -- iihvryac.job
08/06/2007 23.57.08 222 byte 6 days old -- nsblvqdi.job
09/06/2007 16.42.55 222 byte 5 days old -- dhdzca.job
13/06/2007 16.56.01 222 byte 1 days old -- hmmhxkn.job
13/06/2007 16.56.03 222 byte 1 days old -- gwaielnt.job
13/06/2007 16.56.04 222 byte 1 days old -- eomlu.job
13/06/2007 16.56.08 222 byte 1 days old -- lti.job
13/06/2007 19.33.58 6 byte 1 days old -- SA.DAT
~~~~~~~~~~~~~~~~~~~~~
Active jobs:
~~~~~~~~~~~~~~~~~~~~~
Most recent (50) lines in jobs scheduled log:
0x80070005: Accesso negato.
Per individuare l'applicazione provare ad utilizzare il pulsante Sfoglia nella scheda Operazione..
"Servizio Utilità di pianificazione" 12/06/2007 14.57.39 ** Errore**
Errore durante l'inizializzazione del servizio..
L'errore specifico è:
0x80070005: Accesso negato.
Per individuare l'applicazione provare ad utilizzare il pulsante Sfoglia nella scheda Operazione..
"ygeheelk.job" (svcybagl.exe)
Avviata 13/06/2007 16.55.48
"xuv.job" (svcybagl.exe)
Avviata 13/06/2007 16.55.49
"ugczg.job" (svcybagl.exe)
Avviata 13/06/2007 16.55.51
"nsblvqdi.job" (svcybagl.exe)
Avviata 13/06/2007 16.55.53
"nesthyhr.job" (svcybagl.exe)
Avviata 13/06/2007 16.55.54
"nbcavcmu.job" (svcybagl.exe)
Avviata 13/06/2007 16.55.58
"kbjivh.job" (svcybagl.exe)
Avviata 13/06/2007 16.55.59
"iihvryac.job" (svcybagl.exe)
Avviata 13/06/2007 16.56.01
"hmmhxkn.job" (svcybagl.exe) 13/06/2007 16.56.02 ** ERRORE **
Tentativo di recupero delle informazioni sull'account per l'operazione specifica non riuscito. Operazione non eseguita. Si è verificato un errore oppure non esistevano informazioni sull'account..
L'errore specifico è:
0x8004130f: Impossibile trovare informazioni sull'account nel database di protezione dell'Utilità di pianificazione per l'operazione indicata.
"gwaielnt.job" (svcybagl.exe) 13/06/2007 16.56.03 ** ERRORE **
Tentativo di recupero delle informazioni sull'account per l'operazione specifica non riuscito. Operazione non eseguita. Si è verificato un errore oppure non esistevano informazioni sull'account..
L'errore specifico è:
0x8004130f: Impossibile trovare informazioni sull'account nel database di protezione dell'Utilità di pianificazione per l'operazione indicata.
"eomlu.job" (svcybagl.exe) 13/06/2007 16.56.04 ** ERRORE **
Tentativo di recupero delle informazioni sull'account per l'operazione specifica non riuscito. Operazione non eseguita. Si è verificato un errore oppure non esistevano informazioni sull'account..
L'errore specifico è:
0x8004130f: Impossibile trovare informazioni sull'account nel database di protezione dell'Utilità di pianificazione per l'operazione indicata.
"dhdzca.job" (svcybagl.exe)
Avviata 13/06/2007 16.56.06
"cyd.job" (svcybagl.exe)
Avviata 13/06/2007 16.56.09
"cpgl.job" (svcybagl.exe)
Avviata 13/06/2007 16.56.11
"Servizio Utilità di pianificazione" 13/06/2007 16.56.11 ** Errore**
Si è verificato un errore che provocherà il malfunzionamento del servizio..
L'errore specifico è:
0x80070005: Accesso negato.
Per individuare l'applicazione provare ad utilizzare il pulsante Sfoglia nella scheda Operazione..
"Servizio Utilità di pianificazione" 13/06/2007 16.56.11 ** Errore**
Errore durante l'inizializzazione del servizio..
L'errore specifico è:
0x80070005: Accesso negato.
Per individuare l'applicazione provare ad utilizzare il pulsante Sfoglia nella scheda Operazione..
===================== List of running services =====================
Per il resto, non dice nulla del file.
Ho scaricato avenger ma come funziona?
Proverò a togliere le chiavi in autorun e poi ripeterò la scansione in modalità provvisoria e cercherò di togliere il svcybagl.exe .
Ho fatto una ricerca su google non c'è nessun sito che cita questo file bo.......
Grazie
Ciao
Ho cancellato le chiavi dal programma autoran ma il file non si cancella mi dice che è ancora in uso, anche in modalità provvisoria la stessa cosa.
Non so più cosa fare...
Se qualcuno ha un'idea è bene accetta.
Grazie.
Permessi di invio
Rispondi quotando