| Autore |
 Discussione  |
|
|
Poggy
Junior Member
59 Messaggi |
 Inserito il - 19/12/2007 : 20:31:01
|
Salve,
da qualche giorno ogni ricerca via Google (o *******; gli altri motori di ricerca più noti sembrano immuni a questo problema) produce risultati strani... se la pagina dei risultati è apparentemente normali, una volta che si clicca su uno dei link appare una schermata così:
htt*://i56.photobucket[.com]/albums/g192/poggy2/screenshot.jpg
Ecco il log di HJT:
htt*://[www].freefilehosting.net/download/NTQxOTU=
Spybot, AdAware e Norton non rilevano nulla... d'altra parte Norton stesso sembra incapace di elaborare gli aggiornamenti di LiveUpdate -_-;;
Consigli? Opinioni?
Grazie in anticipo,
Poggy
|
|
|
Lore84
Advanced Member
.jpg)
Città: Pisa
293 Messaggi |
Inserito il - 19/12/2007 : 21:41:02
|
il log secondo me è pulito. Solo una curiosità per i più esperti (io non lo sono granché):
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\..\svchost.exe
il segno "\..\" indica una abbreviazione del path? se fosse così svchost.exe non dovrebbe girare direttamente dentro system32? almeno mi pare..
non è che hai installato qualche toolbar dubbia? hai provato a vedere con un altro browser? tipo firefox o opera?
comunque puoi provare a fare una scansione con a-squared free o avg-antispyware.
Comunque attendi sempre altri pareri
e casomai posta ancora!
ciao ciao |
Modificato da - Lore84 in data 19/12/2007 21:43:09 |
 |
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 19/12/2007 : 21:59:27
|
Non sono esperto di HiJackThis, ma a me non sembra per niente un'abbreviazione di path (nel caso, i punti sarebbero stati tre e non due, ma in un tool come HiJackThis dubito fortemente che verrebbero messe abbreviazioni nei path, visto a cosa serve), ma credo che sia il "torna indietro di una directory" (non uso sali o scendi di un livello perche` non c'e` uniformita` nella dizione).
Quindi, a parer mio, il percorso e` da leggersi come: c:\windows\svchost.exe con tutte le implicazioni che questo comporta... |
|
|
|
Poggy
Junior Member
59 Messaggi |
Inserito il - 19/12/2007 : 22:15:28
|
Sono andata avanti nella mia ricerca (è il pc di mio padre e temo che non potrò andarmene finchè non gli risolvo questa magagna...) e tramite la scansione online con BitDefender mi è uscito il virus Trojan.Obfus.Gen, che BD apparentemente ha fixato (ma non ero in modalità provvisoria, quindi non credo sia definitivo...); siti come SpywareRemove[.com] lo indicano come una possibile causa del problema che ho avuto io.
ALE'.
Provo a rimuovere manualmente poi vi dico... |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 19/12/2007 : 23:39:32
|
Confermo i sospetti per il servizio in questione... se svchost.exe fosse un servizio chi sarebbe ad attivarlo, il bios  
A rigor di logica basta chiudere il servizio e disabilitarlo.
Visto che mi sembri abbastanza smanettona, liquidalo anche via DOS con "sc delete"; a quel punto ti cerchi il file e lo elimini 
Ciao |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 19/12/2007 : 23:43:54
|
fixa:
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\..\svchost.exe
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli
files to delete:
c:\windows\system32\..\svchost.exe
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
posta il log di avenger e nuovo di HJT.
|
|
|
|
Poggy
Junior Member
59 Messaggi |
Inserito il - 20/12/2007 : 00:55:51
|
ARGH.
Prima di leggere le vostre risposte, avevo riaggiornato SPybot, fatto la scansione in modalità provvisoria e lui mi aveva trovato svchost, fixandolo.
Tuttavia, come vedete dal log di hijack, lui continua a riproporsi, nonostante risulti "file missing".
Ho provato ad eliminarlo in Dos, ma l'indirizzo così come appare nel log (cioè con i due punti \..\) non esiste.
L'unico che trova è c:\windows\system32\svchost.exe che però, correggetemi se sbaglio, in quella posizione è un file di Windows perfettamente regolare. O no? (Floatman: io non è che smanetto, nuoto per non affogare! ;-) )
Comunque, ecco i log di hijack e avenger uno dopo l'altro in un unico file di testo.
htt*://[www].freefilehosting.net/download/NTQyMzQ=
E giusto per sfizio, uno screenshot del mio task manager dove svchost abbonda; quando ho provato a disattivarne uno, si è subito riproposto in cima alla fila...
htt*://[www].freefilehosting.net/show/NTQyMzc=
Ovviamente, grazie della vostra pazienza.
EDIT: forse questo è più utile?
htt*://[www].freefilehosting.net/download/NTQyNDE= |
Modificato da - Poggy in data 20/12/2007 01:07:47 |
|
|
|
Lore84
Advanced Member
Città: Pisa
293 Messaggi |
Inserito il - 20/12/2007 : 01:30:06
|
svchost.exe in system32 è regolare ci deve stare non va fixato. Anche dal task il fatto che risultino più di un svchost è normale. Il problema è quel "svchost.exe" che non sta in system32.
Hai provato a fixarlo con hijackthis e dopo a cancellarlo con avenger?
A volte l'eliminazione con i normali programmi anti-malaware come spybot e simili non è sufficiente. |
|
|
|
Poggy
Junior Member
59 Messaggi |
Inserito il - 20/12/2007 : 01:43:42
|
Citazione:
Hai provato a fixarlo con hijackthis e dopo a cancellarlo con avenger?
A volte l'eliminazione con i normali programmi anti-malaware come spybot e simili non è sufficiente.
Sì, avevo fatto come suggeriva Michal qualche post più su. Il problema è che non solo Avenger mi dice "Deletion of file c:\windows\system32\..\svchost.exe failed!", ma comunque HJT continua a rilevare la voce anche dopo che l'ho fixata. E' un circolo vizioso!
Credo che per oggi ci dormirò su. Intanto ancora grazie mille a tutti! |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 20/12/2007 : 08:07:50
|
Guarda:
O4 - HKLM\..\Run: [jfeunmkt] C:\aeuhahbr.bat
(però, fossi in te, farei comunque una ricerca nel registro su jfeunmkt e aeuhahbr per esser certa non esca altro)
Queste puoi fixarle:
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: [No-Spam]xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) |
Modificato da - Sibilla in data 20/12/2007 08:25:45 |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 20/12/2007 : 09:38:54
|
Vai su Start > Esegui... scrivi "services.msc" e clicca "OK".
Cerca il servizio "Microsoft security update service (msupdate)", cliccaci sopra due volte; nella finestra che si apre seleziona Tipo di avvio: disabilitato, quindi arresta il servizio.
Nella stessa finestra troverai indicato il percorso del file a cui il servizio si riferisce, vedi a cosa corrisponde quel "\..\" perchè mi ispira gran poco.
A questo punto puoi eliminare quel "C:\aeuhahbr.bat".
Per svchost aspetterei ad eliminarlo... non vorrei mai che si fosse sovrapposto all'originale 
Facci sapere
|
|
|
| |
Discussione |
|
Google impazzito?
Forum Bloccato
