svchost.exe

Salve a tutti!
sono nuovo in questo forum…non so nemmeno come funziona.
sono 2 giorni che ho un problema com il mio portatile
all’avvio di windows xp mi da l’ errore impossibile trovare il file C:\windows\svchost.exe credo sia un virus.
prima di formattare tutto volevo sapere se c’è qualcuno che può aiutarmi.
Vi ringrazio
Vi allego il log di Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.14.28, on 12/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\windows\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Java\jre1.5.0\bin\jusched.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Proprietario\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.it/redirect/startpage/dial_up/ita/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Yahoo Search - Ricerca nel Web | Motore di Ricerca
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo Search - Ricerca nel Web | Motore di Ricerca
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - TELE2Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe,
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\ycomp5_3_19_0.dll
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM..\Run: [QuickTime Task] “C:\Programmi\QuickTime\qttask.exe” -atboottime
O4 - HKLM..\Run: [ccApp] “C:\Programmi\File comuni\Symantec Shared\ccApp.exe”
O4 - HKCU..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM..\Policies\Explorer\Run: [scrnsave] C:\WINDOWS\system32\scrnsave.exe
O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVIZIO LOCALE’)
O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVIZIO DI RETE’)
O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra ‘Tools’ menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1194615645156
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1194617095046
O17 - HKLM\System\CCS\Services\Tcpip..{5999A21E-4945-4034-BF2D-3E04E688EBEE}: NameServer = 85.37.17.46 85.38.28.84
O17 - HKLM\System\CCS\Services\Tcpip..{B9CFD467-D542-4F17-B1C9-B02431359D0B}: NameServer = 192.168.1.54,213.140.2.12
O20 - Winlogon Notify: fsmgmt - fsmgmt.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe


End of file - 6725 bytes

Benvenuto nel forum (:HUG)

REG:win.ini: load=C:\WINDOWS\svchost.exe
Questo non doveva esistere. svchost.exe sta solo nella cartella c:\windows\system32\ .

Se vuoi vedere cosa succede scarica a-squared Free 3.0.

Scarica anche Dr.Web CureIt!. Entra in safe mode è usalo per fare una scansione completa. Sè trova qualcosa di maligno mettilo in quarantena.

Per favore (sè vuoi) non eliminare i file maligni, cosi possiamo mandarli a comodo research lab per una verifica. :wink:

Aspetto notizie. :slight_smile:

Panagiotis

Scusa se non ti ho risposto ieri ma ero fuori…
Ho fatto la scansione come mi hai detto e Dr Web mi ha trovato questi file infetti:
Loader[1].exe
A0023545.exe
A0025094.inf
A0025230.reg
autorun.inf

Il problema però non è risolto.
Ho provato a togliere la spunta su svchost.exe da Start\esegui avvio, però quando si avvia mi fa 2 erresti critici, ma solo il suono si sente senza visualizzare nessuna finestra e inoltre mi esce la finestra connessione remota.
puoi aiutarmi?
Ti ringrazio

Metti quei file in un zip, e usa come password virus (cosi li possiamo mandare a comodo) , e dopo eliminali.

Hai usato a-squared Free 3.0 ? Puo aiutarti a controllare cosa si esegue al avvio.

Sé vuoi puoi anche usare il regedit. Trovi cosa si esegue sotto le chiavi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

sotto la chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run esegue:
PinnacleDriverCheck
QuickTime Task
Sis Windows KeyHook
SiSPower
SiSUSBRG
SunJavaUpdateSched
SynTPEnh
SynTPLpr
vptray

mentre sotto la chiave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run esegue:

ctfmon.exe

che faccio? Help

Usa a-squared Free 3.0 mentre sei connesso in internet. Da loro database le cose pericolose saranno evidenziate con un colore rosso.

I seguenti:
Sis Windows KeyHook = sé non ti serve lo puoi eliminare
SiSPower = forse un virus
SiSUSBRG = sé non ti serve lo puoi eliminare

a cosa servono?

Ripeto una volta ancora. Usa a-squared Free 3.0, ti aiuterà molto!

Ho fatto tutto quello che mi hai detto…ma niente. Ho fatto anche la scansione con a-squared Free 3.0 mi ha trovato due cookie a basso rischio e li ho eliminati ma i problemi all’avvio sono sempre presenti. Che faccio?

Che cosa di esatto succede durante l’avvio?
Non esce nessun avviso?

Le soluzioni sono due:
a. Prova a riavviare il pc con il cd di windows nel lettore cd/dvd. Puo darsi che sè manca un file riuscirano a trovarlo dai file di installazione.
b. Un nuova installazione di windows. (meglio formattare prima la partizione di sistema c:)

ps. è un po difficile darti indicazioni sè non sappiamo quale file manca.

Panagiotis