Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 7 su 7

Discussione: avpx exe

  1. 18-11-2004, 17:36 #1
    bradipo82
    bradipo82 non è in linea
    Utente di HTML.it
    Registrato dal
    Nov 2004
    Messaggi
    17

    avpx exe

    dopo qualche minuto di connessione mi compare in C un file di nome "exe" ed uno "avpx" che nel giro di poco tempo mi fanno cadere la connessione .Oltre a questi 2 da una settimana sempre in C trovo anche un file di nome "outtmp2" e nonostante continui ad eliminarli ("avpx" ed "outtmp2" li posso eliminare
    anche durante la connessione mentre "exe" scompare da solo una
    volta che mi sconnetto) ricompaiono sempre.
    Vi mando lo scan con HJT :

    Logfile of HijackThis v1.98.2
    Scan saved at 16.35.13, on 18/11/2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programmi\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\carpserv.exe
    C:\PROGRA~1\INTERN~2\MEDIAKEY.EXE
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE
    C:\Programmi\File comuni\Symantec Shared\ccApp.exe
    C:\WINDOWS\ctfmon.exe
    C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
    C:\WINDOWS\wavdriver.exe
    C:\PROGRA~1\INTERN~2\KBOSDCtl.EXE
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\PROGRA~1\INTERN~2\KCodeMsg.EXE
    C:\WINDOWS\System32\wuauclt.exe
    C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
    C:\Documents and Settings\Massimo\Desktop\HijackThis1982.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ockhgma.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ockhgma.dll/sp.html (obfuscated)
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ockhgma.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ockhgma.dll/sp.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ockhgma.dll/sp.html (obfuscated)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: (no name) - {74CCFEA1-A877-4D6B-91AB-500D51777CE5} - C:\WINDOWS\System32\ockhgma.dll (file missing)
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
    O4 - HKLM\..\Run: [MediaKey] C:\PROGRA~1\INTERN~2\MEDIAKEY.EXE
    O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
    O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\ctfmon.exe .
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
    O4 - HKLM\..\Run: [LanGuard] "C:\WINDOWS\languard.exe"
    O4 - HKLM\..\Run: [svchosts] "C:\WINDOWS\svchosts.exe"
    O4 - HKLM\..\Run: [DigiD] "C:\WINDOWS\DigitalSound.exe"
    O4 - HKLM\..\Run: [wavdriver] "C:\WINDOWS\wavdriver.exe"
    O4 - HKLM\..\Run: [netcom] C:\WINDOWS\netcom.exe
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [jn8sv5v16d] C:\WINDOWS\h0zgs5na6p.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE (file missing)
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B9F408FF-6B70-4D80-82A7-9C5FC9F54423}: NameServer = 213.205.32.70 213.205.36.70
    Rispondi quotando Rispondi quotando
  2. 18-11-2004, 19:25 #2
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    Scaricati questi programmi:

    SpHjfix
    CWShredder 2.0
    Ad-Aware SE PERSONAL 1.05

    Crea una nuova cartella sul desktop e chiamala ad es. fix, al suo interno inserisci
    SYSCLEAN.COM
    e
    lpt251.zip
    dezippa il file lpt251.zip sempre all'interno della cartella fix.

    Ora segui i passaggi che ti descriverò di seguito

    apri sphjfix e clicca su "Desinfektion starten"
    riavvia il pc e ripeti l'operazione.



    Riavvia in modalità provvisoria, apri HijackThis assicurati di non aver aperto nient'altro fai lo scan metti la spunta ai valori, clicca su Fix checked:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ockhgma.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ockhgma.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ockhgma.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ockhgma.dll/sp.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ockhgma.dll/sp.html (obfuscated)
    O2 - BHO: (no name) - {74CCFEA1-A877-4D6B-91AB-500D51777CE5} - C:\WINDOWS\System32\ockhgma.dll (file missing)
    O4 - HKLM\..\Run: [svchosts] "C:\WINDOWS\svchosts.exe"
    O4 - HKLM\..\Run: [DigiD] "C:\WINDOWS\DigitalSound.exe"
    O4 - HKLM\..\Run: [wavdriver] "C:\WINDOWS\wavdriver.exe"
    O4 - HKLM\..\Run: [netcom] C:\WINDOWS\netcom.exe
    O4 - HKCU\..\Run: [jn8sv5v16d] C:\WINDOWS\h0zgs5na6p.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE (file missing)

    sempre dalla provvisoria elimina se presenti i valori in grassetto:
    C:\WINDOWS\svchosts.exe ==>non confonderlo con svchost.exe (senza s finale) presente in C:\Windows\System32 che è un file legittimo
    C:\WINDOWS\DigitalSound.exe
    C:\WINDOWS\wavdriver.exe
    C:\WINDOWS\netcom.exe
    C:\WINDOWS\h0zgs5na6p.exe

    Sempre dalla provvisoria apri CWShredder e clicca su Fix.

    Apri AdAware e fai una scansione completa, elimina tutto quello che d'infetto viene trovato.



    Riavvia in modalità normale. (Questo per permettere ad AdAware CWShredder ed HjiachTis di completare le rimozioni)

    Riavvia ancora una volta in mod. provvisoria apri la cartella fix che avevi creato clicca su sysclean verifica che sia selezionata l'opzione per la rimozione in automatico dei file, lancia la scansione.
    Riavvia in mod. normale fai un nuovo scan con HJT e posta il log
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  3. 19-11-2004, 16:18 #3
    bradipo82
    bradipo82 non è in linea
    Utente di HTML.it
    Registrato dal
    Nov 2004
    Messaggi
    17
    spero di aver fatto tutto giusto , ma su hjt alcuni valori che
    mi hai detto di cancellare non li ho trovati ;
    questo è il log di hjt :

    Logfile of HijackThis v1.98.2
    Scan saved at 5.17.02, on 19/11/2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programmi\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\carpserv.exe
    C:\PROGRA~1\INTERN~2\MEDIAKEY.EXE
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE
    C:\Programmi\File comuni\Symantec Shared\ccApp.exe
    C:\WINDOWS\ctfmon.exe
    C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
    C:\WINDOWS\languard.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\PROGRA~1\INTERN~2\KBOSDCtl.EXE
    C:\PROGRA~1\INTERN~2\KCodeMsg.EXE
    C:\WINDOWS\System32\wuauclt.exe
    C:\Documents and Settings\Massimo\Desktop\HijackThis1982.exe
    C:\WINDOWS\System32\wuauclt.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
    O4 - HKLM\..\Run: [MediaKey] C:\PROGRA~1\INTERN~2\MEDIAKEY.EXE
    O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
    O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\ctfmon.exe .
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
    O4 - HKLM\..\Run: [LanGuard] "C:\WINDOWS\languard.exe"
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    Rispondi quotando Rispondi quotando
  4. 20-11-2004, 00:11 #4
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    dalla provvisoria elimina con HJT
    O4 - HKLM\..\Run: [LanGuard] "C:\WINDOWS\languard.exe"

    e, se presente
    C:\WINDOWS\languard.exe <== il file.
    Riavvia.
    Posta un nuovo log.
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  5. 20-11-2004, 19:16 #5
    bradipo82
    bradipo82 non è in linea
    Utente di HTML.it
    Registrato dal
    Nov 2004
    Messaggi
    17
    questo è il nuovo log :

    Logfile of HijackThis v1.98.2
    Scan saved at 18.08.22, on 20/11/2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programmi\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\carpserv.exe
    C:\PROGRA~1\INTERN~2\MEDIAKEY.EXE
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE
    C:\Programmi\File comuni\Symantec Shared\ccApp.exe
    C:\WINDOWS\ctfmon.exe
    C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\PROGRA~1\INTERN~2\KBOSDCtl.EXE
    C:\PROGRA~1\INTERN~2\KCodeMsg.EXE
    C:\Documents and Settings\Massimo\Desktop\HijackThis1982.exe
    C:\WINDOWS\System32\wuauclt.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
    O4 - HKLM\..\Run: [MediaKey] C:\PROGRA~1\INTERN~2\MEDIAKEY.EXE
    O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
    O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\ctfmon.exe .
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    Rispondi quotando Rispondi quotando
  6. 21-11-2004, 01:40 #6
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    il log è ok
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  7. 21-11-2004, 02:04 #7
    bradipo82
    bradipo82 non è in linea
    Utente di HTML.it
    Registrato dal
    Nov 2004
    Messaggi
    17
    infatti è da più di 3 ore che sono collegato e và tutto bene.

    grazie dell'aiuto
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2026 vBulletin Solutions, Inc. All rights reserved.