PDA

Visualizza versione completa : Mi date una mano con windows/services.exe ??


supertraz
09-04-2006, 15.12.06
Ciao,
quando ho qualche problema torno sempre alla base a chiedere aiuto !
Ho fatto la solita scansione con adaware e mi ha trovate un file infetto :
windows/services.exe ho provato ad eliminarlo ma adaware dice che non puo' eliminarlo se non al prossimo avvio.
Prima di fare cavolate ho fatto una scansione con hijackthis, ve la posto se potete dirmi cosa fare onde evitare bruciarmi il pc !

Grazie in anticipo !

Logfile of HijackThis v1.99.1
Scan saved at 15.09.31, on 09/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\WIDCOMM\bin\btwdins.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programmi\WIDCOMM\BTTray.exe
C:\WINDOWS\twain_32\Flatbed\Epp\Detector.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\SERVICES.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programmi\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Simone.SIMONE-83E4F090\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WIND OWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\Pirelli\Access Gateway USB Network\CnxTrApp.dll",AppEntry -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Detector.lnk = C:\WINDOWS\twain_32\Flatbed\Epp\Detector.exe
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programmi\WIDCOMM\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.auctiva.com/hostedimages/activex/xupload/XUpload.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB77A983-6080-4324-AFA0-97AE1082D53F}: NameServer = 85.37.17.4 85.38.28.70
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\WIDCOMM\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

supertraz
09-04-2006, 15.16.29
Ho provato a leggere il log di hijack this e da quello che ho capito ci sono 2 file con services.exe e altri 3 file infetti.
Resto in atesa di aiuto
Grazie !

crazy.cat
09-04-2006, 15.33.34
Hai delle icone di troppo sul desktop o nel menu Start?
C'è quelche explorer di troppo per caso?
Dalle righe che si vedono potresti avere il winmovie plugin, almeno quelle con il 015 sono il suo sintomo e services.exe potrebbe essere il dialer.

Rimuovi queste righe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WIND OWS\SERVICES.EXE
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
riavvia in modalità provvisoria e vedi se riesci ad eliminare il file exe, puoi provare con Delete doctor se non riesci ad eliminarlo.

Se non vuol saperne di morire, carica il file sul sito www.virustotal.com e vedi di cosa si tratta che poi si trova la cura adatta.

Taita64
21-04-2006, 23.38.09
Salve, cercando nei vari forum di Wintricks ho trovato questo dove si parla di un file che somiglia a quello che c'è sul PC portatile di mio fratello.
Si chiama servic#1.exe-38201672.pf ( nel nome del file al posto del cancelletto c'è la tilde ma sulla mia tastiera non l'ho trovata )e lo troviamo in c:\windows\prefetch.
Il problema che provoca è che il PC non si connette ad internet (visualizzando l'errore 633 mi sembra) segnalando che la porta com4 (quella del modem nel PC di mio fratello) è già occupata da un'altra applicazione. Dopo vari tentativi siamo riusciti a connetterci solo dopo aver aperto il task manager windows (ctrl+alt+canc), selezionato il suddetto file e aver cliccato su termina processo. Questo bisogna farlo ogni volta che ci vogliamo connettere e tutto questo si verifica solo da alcune settimane e pur avendolo rimosso dalla cartella ad un certo punto ce lo ritroviamo lì dov'era. Qualcuno di voi può dirmi se si tratta di virus? La scansione effettuata con Norton non lo rivela.
Se non fosse un virus c'è un modo per poter risalire al programma che mi occupa la porta?
Il S.O. e windows XP Pro. Spero di aver dato abbastanza elementi per formulare le varie ipotesi per le quali vi ringrazio in anticipo. Ciao.

UG0_BOSS
23-04-2006, 01.23.16
Allora...
I file contenuti nella cartella prefetch sono copie dei processi eseguiti più frequentemente dal sistema, che windows sposta nei primi settori dell'hard disk per eseguirli più velocemente.

Nel tuo caso la copia è del file services.exe, (il processo che gestisce i servizi di windows) rinominato servic~1.exe perchè la massima lunghezza del nome dos è di 8 caratteri e con aggiunta una serie di numeri + l'estensione .pf, comune a tutti i file contenuti in quella cartella.

Quindi può darsi che sia un servizio a bloccare quella porta e non il processo services.exe.

Taita64
23-04-2006, 19.34.40
La spiegazione è chiara e ti ringrazio UG0_BOSS.
Quello che vorrei sapere ancora è come posso capire cos'è che mi impedisce la connessione e come posso fare per risolvere la situazione.
Ad esempio, esiste una utility che mi aiuti in questo? O qualcosa del genere?

UG0_BOSS
23-04-2006, 22.12.43
prova con start --> esegui --> services.msc

Compare una utility di windows che ti mostra tutti i servizi del sistema operativo. Per visualizzare una descrizione del servizio basta farci un doppio clic sopra.

Se ne trovi uno "sospetto" prova a disattivarlo e tenta la connessione. Intanto puoi disattivare i servizi inutili, in modo da migliorare velocità del pc in avvio e risorse di sistema utilizzate.

Occhio, però... se disattivi un processo sbagliato potresti compromettere il funzionamento di windows, perciò leggi bene le descrizioni dei servizi prima di agire!

P.S.: per la tilde tieni premuto Alt, digita 126 sulla tastiera numerica a destra e lascia Alt :)

Taita64
29-04-2006, 11.44.11
Grazie ancora UGO_BOSS, appena mio fratello mi porta il PC farò senz'altro questa prova. Sei un grande.