Problemi di PC? Risolve tutto il vs. Inchiostro Simpatico

Messaggio

#1156 Messaggio da **AlexSmith** » 29/10/2008, 15:27

cangaceiro ha scritto:
phoenix ha scritto:
cangaceiro ha scritto:Tempo fa avevo tolto il file spoolsv che mi fa interrompere le stampe, lo avevo tolto dalla cartella system32 ma ricompare sistematicamente, avete qualche consiglio per toglierlo di mezzo definitivamente? Grazie.
W32.SXTB.A Trojan metti un buon antimalware
tipo?

cos'è scusa un malware?

Praticamente un virus anche se in alcuni casi meno dannoso, nel senso che lo scopo principale non è danneggiare il pc ospite, ma raccogliere informazioni, utilizzare il pc come caposaldo per lanciare attacchi, spam, etc.....

phoenix · #1157 Messaggio da **phoenix** » 29/10/2008, 15:57

ultimamente ci son solo malware in giro, e molti sono davvero fastidiosi, in breve tempo ti rendono il pc una vera immondizia e o hai pazienza a ripulirlo, o devi formattare

#1158 Messaggio da **cangaceiro** » 29/10/2008, 16:35

phoenix ha scritto:ultimamente ci son solo malware in giro, e molti sono davvero fastidiosi, in breve tempo ti rendono il pc una vera immondizia e o hai pazienza a ripulirlo, o devi formattare

un antimalware serio quale è?

regcleaner?ad-aware?nod-32?Cccleaner fanno qualcosa?

#1159 Messaggio da **cangaceiro** » 29/10/2008, 16:52

Ho rintracciato il file spoolsv con la funzione cerca e poi l'ho eliminato in modalità provvisoria, sarà sufficiente?

phoenix · #1160 Messaggio da **phoenix** » 29/10/2008, 17:19

ovvio che no, se vuoi toglierlo manualmente devi fare un processo complicato... metti il pc in modalità provvisoria, vai su pannello di controllo -> sistema -> ripristino configurazione di sistema DISATTIVA. Poi cancella ogni file riguardante quel malware ( se vuoi ti trovo i file necessari ) ( se non si fan cancellare usa un software tipo hijackthis oppure dimmi i file e ti spiego come farlo manualmente ) poi apri il registro di sistema, e cancelli lì ogni chiave riguardante quel malware ( se vuoi ti trovo le chiavi di quel malware ). Infine riavvia il pc, e riattiva il ripristino configurazione.

Questo procedimento è valido per OGNI malware ( o almeno nel 95% dei casi )

Purtroppo a mio avviso un buon antimalware al momento NON C'E'
Di decente ci sono microsoft antimalware ( che deriva dall'ottimo GIANT antispyware, che era il meglio nel settore, poi è stato comprato da bill gates e ciao a tutti ), oppure Kaspersky internet security e il meglio tra tutti Avg Internet Security. Insomma le varie versioni Internet security dei vari antivirus, son le uniche difese contro i malware a mio avviso. Unico problema, quei tre programmi suggeriti poco fa, non sono gratuiti. Costano poco, ma non son gratis.

Se non avete problemi di liquidi, comprate AVG internet security, costa circa 15/20€ annui, ma è il top

p.s. inutile cercare sul mulo e varie, le versioni craccate di quei programmi non si trovano

#1161 Messaggio da **cangaceiro** » 29/10/2008, 19:44

L'operazione manuale è troppo complicata non me la sento a dire la verità . Grazie mille per le ampie spiegazioni.

Provavo a stampare delle pagine di word ma non andava.
Ho disinstallato tutti i driver della stampante multifunzione e stavo procedendo a riimmettere nuovamente i driver quando in fase di installazione windows xp mi dice:

"Spooler di stampa (spooler):impossibile avviare il servizio. Il servizio è disabilitato oppure non è associato ad alcuna periferica attiva"

poi anche: "Server RPC non disponibile"

e come mai adesso sono saltate fuori ste scritte??

sotto system32 compare una cartella spool ma ho paura che ho fatto fuori qualcosa di troppo

#1162 Messaggio da **cangaceiro** » 29/10/2008, 19:52

phoenix ha scritto:ovvio che no, se vuoi toglierlo manualmente devi fare un processo complicato... metti il pc in modalità provvisoria, vai su pannello di controllo -> sistema -> ripristino configurazione di sistema DISATTIVA. Poi cancella ogni file riguardante quel malware ( se vuoi ti trovo i file necessari ) ( se non si fan cancellare usa un software tipo hijackthis oppure dimmi i file e ti spiego come farlo manualmente ) poi apri il registro di sistema, e cancelli lì ogni chiave riguardante quel malware ( se vuoi ti trovo le chiavi di quel malware ). Infine riavvia il pc, e riattiva il ripristino configurazione.

Questo procedimento è valido per OGNI malware ( o almeno nel 95% dei casi )

Purtroppo a mio avviso un buon antimalware al momento NON C'E'
Di decente ci sono microsoft antimalware ( che deriva dall'ottimo GIANT antispyware, che era il meglio nel settore, poi è stato comprato da bill gates e ciao a tutti ), oppure Kaspersky internet security e il meglio tra tutti Avg Internet Security. Insomma le varie versioni Internet security dei vari antivirus, son le uniche difese contro i malware a mio avviso. Unico problema, quei tre programmi suggeriti poco fa, non sono gratuiti. Costano poco, ma non son gratis.

Se non avete problemi di liquidi, comprate AVG internet security, costa circa 15/20€ annui, ma è il top

p.s. inutile cercare sul mulo e varie, le versioni craccate di quei programmi non si trovano

Fare una scansione con questa roba che dici?

http://ediboard.altervista.org/index.ph ... n#msg20250
http://ediboard.altervista.org/index.php?topic=6830.0
http://ediboard.altervista.org/index.php?topic=3044.0

phoenix · #1163 Messaggio da **phoenix** » 29/10/2008, 19:57

spesso i malware si nascondono dietro nomi di servizi realmente esistenti... service.exe anzichè services.exe così il tuo spoolsvc.exe
La stampante per funzionare richiede al sistema operativo il servizio di spool appunto C:\WINDOWS\system32\spoolsv.exe
probabilmente hai cancellato il servizio giusto, ma niente paura, non si "cancella" il servizio, si chiude solo fino al riavvio del sistema...

Ti dice del server rpc, perchè il servizio di spool èdipendente dalla Remote Procedure Call, RPC appunto, e probabilmente il tuo malware ha stoppato quel servizio.
Vai su esegui e scrivi services.msc, ti si apre una finestra, cerca il servizio RPC e il servizio Spool di stampa, cliccaci col destro e avviali

System32 è intoccabile se non sai dove metter mano:P

phoenix · #1164 Messaggio da **phoenix** » 29/10/2008, 20:03

a mio avviso non ci sn antimalware decenti, prova con comodo antimalware... intanto vedo un pó se trovo qualcosa di meglio e ti faccio sapere. Non son molto informato perchè
generalmente uso un sistema per togliere a mano tutte le infezioni. p.s. in genere i malware vengono aprendo file poco "conosciuti", stai attento a quel che apri

#1165 Messaggio da **cangaceiro** » 29/10/2008, 20:04

cliccando sul tasto destro mi succede queste cose:

su spooler di stampa: dopo che ho cliccato avvia mi dice " Errore 2: impossibile trovare il file specificato"

gli RPC sono due, su uno non mi fa selezionare avvia sull'altro si chiama esattamente: RPC Locator e una volta che clicco avvia dice "errore 1068 avvio del gruppo di dipendenza non riuscito

te lo dico io mi sa che ho fatto fuori il file spoolsv.exe

C:\WINDOWS\system32\spoolsv.exe

phoenix · #1166 Messaggio da **phoenix** » 29/10/2008, 21:20

cangaceiro ha scritto:cliccando sul tasto destro mi succede queste cose:

su spooler di stampa: dopo che ho cliccato avvia mi dice " Errore 2: impossibile trovare il file specificato"

gli RPC sono due, su uno non mi fa selezionare avvia sull'altro si chiama esattamente: RPC Locator e una volta che clicco avvia dice "errore 1068 avvio del gruppo di dipendenza non riuscito

te lo dico io mi sa che ho fatto fuori il file spoolsv.exe

C:\WINDOWS\system32\spoolsv.exe

fai una scansione con hijackthis e postamela, cmq prova a installare un programma che aggiusta il registro, dovrebbe sistemarti il servizio. Altrimenti tocca reinstallarlo manualmente... ma... hai riavviato?

#1167 Messaggio da **cangaceiro** » 30/10/2008, 8:53

phoenix ha scritto:
cangaceiro ha scritto:cliccando sul tasto destro mi succede queste cose:

su spooler di stampa: dopo che ho cliccato avvia mi dice " Errore 2: impossibile trovare il file specificato"

gli RPC sono due, su uno non mi fa selezionare avvia sull'altro si chiama esattamente: RPC Locator e una volta che clicco avvia dice "errore 1068 avvio del gruppo di dipendenza non riuscito

te lo dico io mi sa che ho fatto fuori il file spoolsv.exe

C:\WINDOWS\system32\spoolsv.exe
fai una scansione con hijackthis e postamela, cmq prova a installare un programma che aggiusta il registro, dovrebbe sistemarti il servizio. Altrimenti tocca reinstallarlo manualmente... ma... hai riavviato?

ho riavviato un fottio di volte!

ok adesso faccio una scansione con hikijack come si chiama....

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8.53.39, on 30/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\IncrediMail\bin\IncMail.exe
C:\Programmi\Mozilla Firefox 3 Beta 2\firefox.exe
C:\Programmi\IncrediMail\bin\ImApp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [CTStartup] C:\Programmi\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: SpeedWeb ADSL USB Modem.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesit.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesit.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 1896677175
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{22FE0D6A-F180-49DD-8FD3-3654E35A13B9}: NameServer = 85.37.17.5 85.38.28.77
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Accesso pannello remoto (apanr) - Unknown owner - C:\WINDOWS\Downlo~1\huiis\ghvsgw.exe (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Spooler di stampa (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 6392 bytes

#1168 Messaggio da **cangaceiro** » 30/10/2008, 10:39

probabilmente la soluzione è qui ma non ci capisco molto:

http://torque.oncloud8.com/archives/000384.html

boolean · #1169 Messaggio da **boolean** » 30/10/2008, 10:56

cangaceiro ha scritto:probabilmente la soluzione è qui ma non ci capisco molto:

http://torque.oncloud8.com/archives/000384.html

No tranquillo quello non centra con i virus

Ho dato un'occhiata veloce al log di HijackThis... Mah, l'unica voce sospetta mi sembra:

O23 - Service: Accesso pannello remoto (apanr) - Unknown owner - C:\WINDOWS\Downlo~1\huiis\ghvsgw.exe (file missing)

Ma prima di fixarla vorrei sentire il parere di Phoenix

#1170 Messaggio da **cangaceiro** » 30/10/2008, 10:59

comunque una cosa è certa che ho fatto fuori spoolsv.exe perchè con la funzione cerca non compare da nessuna parte!