| Autore |
 Discussione  |
|
|
swordman79
Junior Member
54 Messaggi |
 Inserito il - 12/07/2006 : 23:29:10
|
ciao ragazzi ho un problema:
il mio sistema è affetto da questo stramaledetto virus, il syshost.dll
premetto che ho winxp, antivir, zoneallarm, piu tutta la classica trafila di antispyware. il problema è che nn riesco a debellare questo fragello... non essendo un .exe non compare tra i processi nel taskmanager, non se ne trova traccia nel registro, non posso cancellarlo neanche in modalita provvisoria... insomma un brutto cliente...
qualcuno ha qualke idea?
grazie e ciao
|
|
|
swordman79
Junior Member
54 Messaggi |
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 13/07/2006 : 01:58:44
|
Queste le toglierei senza fiatare:
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O16 - DPF: {43331111-1111-1111-1111-611111195622} -
Queste mi sembra strano che appaiano tante volte così, normalmente è il tuo provider:
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CF37C35-4882-4D7F-B662-86043C74CA98}: NameServer = 85.255.115.102 85.255.112.120
O17 - HKLM\System\CCS\Services\Tcpip\..\{35F10E77-3A6D-4D61-97AD-063C2DDEEABB}: NameServer = 85.255.115.102,85.255.112.120
O17 - HKLM\System\CCS\Services\Tcpip\..\{6714F01F-BDC4-4868-AB3A-43ADB2C0E0DA}: NameServer = 85.255.115.102,85.255.112.120
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB4E2F4A-1351-4388-863B-B53CB00918BF}: NameServer = 85.255.115.102,85.255.112.120
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.102 85.255.112.120
O17 - HKLM\System\CS1\Services\Tcpip\..\{2CF37C35-4882-4D7F-B662-86043C74CA98}: NameServer = 85.255.115.102 85.255.112.120
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.102 85.255.112.120
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.102 85.255.112.120
Questo mi sa di spione antipirateria:
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
Questi sono programmi che si avviano in background, cioè non li vedi ma sono avviati ed usano memoria inutilmente:
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programmi\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
ce ne sono molti alti, uno in particolare m'è piacciuto:
O4 - Startup: Collegamento a emule.lnk = F:\progs\staminkia\ilmulo\emule.exe
Ti sei divertito tu o ci ha pensato qualcun'altro  ?
Ciao.
|
 |
|
|
swordman79
Junior Member
54 Messaggi |
 Inserito il - 13/07/2006 : 09:11:34
|
 in effetti è una mia idea... |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 13/07/2006 : 11:18:05
|
spiritoso......... |
|
|
|
swordman79
Junior Member
54 Messaggi |
Inserito il - 13/07/2006 : 12:59:12
|
| ho eliminato queste voci, il file ovviamente rimane, non me lo fa cancellare, la cosa strana è che me lo fa rinominare; l'antivirus deve essersi rassegnato, prima me lo segnalava in continuazione, adesso non piu... |
|
|
|
burrito
Advanced Member
Città: Genova
797 Messaggi |
Inserito il - 13/07/2006 : 15:41:36
|
So io il problema:
fixa la voce F2
poi vai in c:\Windows e cerca svchost.exe eliminalo!! (se non riesci prova unlocker nella sez download del forum)
poi cerca la dll infettata e prova ad eliminarla |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 13/07/2006 : 18:06:53
|
| o con delete Doctor htt*://[www].pianetapc.it/downloads.php?id=39 |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 13/07/2006 : 18:19:00
|
Guardate che quel files ce l'abbiamo tutti (quelli che usano Windows..pardon...):
htt*://[www].liutilities[.com]/products/wintaskspro/processlibrary/svchost/
è un files di sistema, se lo si riesce a cancellare sicuramente spariranno molti problemi...[.com]e il Sistema Operativo 
Il files originale si trova in: C/WINDOWS/system32 (XP)
se lo vedete in un altra cartella è probabile che sia un "poco di buono", ma fate comunque attenzione...
Ciao |
|
|
|
burrito
Advanced Member
Città: Genova
797 Messaggi |
Inserito il - 13/07/2006 : 21:39:44
|
| Si certo yves, ma se è in c:\Windows ce da stare sicuri ke è un trojan |
|
|
|
swordman79
Junior Member
54 Messaggi |
Inserito il - 13/07/2006 : 23:26:43
|
ra che sia riuscito ad eliminarlo
grazie ragazzi siete stati preziosi.
Yves,
Citazione:
Messaggio inserito da Yves
Questo mi sa di spione antipirateria:
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
cosa ti porta a pensare che si tratti di un curioso? |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 13/07/2006 : 23:42:21
|
| Quoto Burrito: Anche dalle mie ricerche risulta che la presenza del file Svchost.exe è giustificata solo nella cartella System 32, altre postazioni sono anomale. |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 14/07/2006 : 02:31:00
|
La lettura di documenti, con questo riesco a sapere con chi ho a che fare:
htt*://[www].macrovision[.com]/
in pratica è una compania multinazionale che si dedica alle "firme digitali" dei software e contenuti multimediali (mp3, DVD, ecc...), vedi tu se ti interessa lasciargli fare i suoi po**i comodi sul tuo PC...
Inoltre, hai un qualche hardware che giustifichi la presenza di quel driver (IDriverT.exe)? Non credo proprio... Allora a cosa serve?
htt*://[www].answersthatwork[.com]/Tasklist_pages/tasklist_i.htm
Ciao. |
|
|
|
varsago
New Member
36 Messaggi |
Inserito il - 28/07/2006 : 22:35:32
|
Ragazzi, nn so chi siete, nn sapete chi sn io, ma vi voglio bene!!!!!!!!!!!!!!!!!questo virus mi stava facendo impazzire e adesso quello schifo è morto, uahahahaha....
Grazie, e ancora grazie
|
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 29/07/2006 : 11:08:22
|
da quel che ne so...sto schifo:
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
è installato da microsoft.....
ogni volta che formatto e vado nei servizi per ottimizzarli lo trovo li beato..quindi o lo ha installato microsoft...o lo ha installato microsoft....
ciaoooo |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 29/07/2006 : 17:07:39
|
di niente.....
e per informazione quello che dicono burri e michal é corretto...
quei processi sono giustificati solo se presenti in syste32.. |
|
|
| |
Discussione |
|
maledetto syshost
Forum Bloccato
