Condividi:        

XXexmodulah.exe

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

XXexmodulah.exe

Postdi AlessioZ » 24/02/06 17:36

Salve,
ho qualche problema col mio portatile.

Tutto è cominciato quando mi ha notificato che NortonAntivirus 2006 (legalmente installato e attivato da diversi mesi) aveva l'attivazione scaduta.
Ho provato a seguire la procedura di riattivazione ma si bloccava sempre.
L'ho disinstallato e reinstallato ma continua a bloccarsi nella fase di attivazione.
Smanettando e cercando di capire cosa accadeva mi sono accorto che tra i processi in esecuzione compariva un sinistro 96exmodulah.exe di cui non ho trovato traccia su internet.
Tale .exe si trova nella cartella ..\Impostazioni locali\Temp e non è solo e non è sempre lo stesso. Da quel che mi pare di capire ad ogni riavvio o quasi ne viene creato uno nuovo con numero diverso quindi lo chiamerei XXexmodulah.exe.
Leggendo il vostro forum mi sono premunito del tool HijackThis eseguendo (spero nel giusto modo) un check del sistema e questo di seguito è il risultato:
Logfile of HijackThis v1.99.1
Scan saved at 16.03.55, on 24/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\ltmoh\Ltmoh.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\nvsvcd.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\Alessio\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmi\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programmi\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 4506364761
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe



Incollando il log nell'analizzatore automatico ha evidenziato senza troppo clamore 2 voci:
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

Ho cercato i due .exe imputati nel sito da voi consigliato ed il risultato è stato che l'smss.exe è presente nella lista ma potrebbe essere una cosa cattivaBruttaeNera ma per saperlo avrei bisogno del WinTask 5 Pro.... mentre l'nvsvcd.exe non è nella lista e non ne ho trovata traccia in internet.

A questo punto credo di aver dato una visione chiara di quel che ho fatto fin'ora... e pongo le domande di rito:
ho un virus raro o qualcuno lo conosce?
posso eliminarlo?
esiste un prodotto FreeWare alternativo a WinTask 5 Pro?
...
Sono un imbecille e non ho capito un cavolo?

Grazie,
Alessio.


P.S.: Non sò se le righe del log sono numerate in qualche maniera ma sappiate che ne ho cancellate 2 che contenevano dati di proxy e roba del genere che preferisco evitare di pubblicare. L'ho detto giusto per evitare che qualcuno mi dica:"We, pirla, mancano 2 righe nel log!!" ;0)))
Esistono 10 tipi di persone.
Quelli che conoscono il codice binario e quelli che non lo conoscono.
AlessioZ
Newbie
 
Post: 3
Iscritto il: 24/02/06 17:10

Sponsor
 

Re: XXexmodulah.exe

Postdi Tiseria » 24/02/06 18:04

AlessioZ ha scritto:
Incollando il log nell'analizzatore automatico ha evidenziato senza troppo clamore 2 voci:
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

Ho cercato i due .exe imputati nel sito da voi consigliato ed il risultato è stato che l'smss.exe è presente nella lista ma potrebbe essere una cosa cattivaBruttaeNera ma per saperlo avrei bisogno del WinTask 5 Pro.... mentre l'nvsvcd.exe non è nella lista e non ne ho trovata traccia in internet.


Sei infetto da Backdoor.IRCBot.AT

Ciao
Tiseria
Utente Junior
 
Post: 97
Iscritto il: 09/03/05 15:23

Postdi fabrizius » 24/02/06 18:18

ciao ,
allora fai cosi:
Disconnetti il pc e disattiva il ripristino config. di sistema
(Vai su Start--->tasto destro del mouse sull'icona Risorse del computer----> Proprietà .Nella sezione "Ripristino configurazione di sistema",spuntare "Disattiva Ripristino configurazione di sistema)

Poi vai nel task manager (Ctrl+Alt+Del) e termina questo process se c'é:
nvsvcd.exe

Avvia il computer in modalità provvisoria
(Riavviare il sistema--->Immediatamente al termine del caricamento del BIOS premere ripetutamente il tasto F8 fin quando non appare il menu Opzioni avanzate di Windows--->Vai su Modalità provvisoria e premi Invio)

Assciurati di avere accesso a cartelle e file nascosti
(Pannello di controllo---> Opzioni Cartella ---> Visualizzazione--->metti la spunta su"visualizza file e cartelle nascoste"--->disattiva nascondi file e cartelle di sistema)

Fai uno scan con hijackthis e fixa queste voci:
C:\WINDOWS\system32\nvsvcd.exe
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

Poi cerca ed elimina questi file:
nvsvcd.exe
smss.exe
--->attento a non confonderlo con il processo leggittimo di windows che si trova in---> c:windowsSystem32smss.exe

Fatto questo dai una ripulita conCcleaner--->prima vai in opzioni--->avanzate--->togli la spunta elimina files temp solo se piu vecchi di 48 ore

Ritorna in modalità normale,riattiva il ripristino config.di sistema e posta un log aggiornato

PS:devi assolutamente installare un antivirus e un firewall....
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi fabrizius » 24/02/06 18:39

Ti alleggo una lista di programmi che dovresti assolutamente installare per avere un buon livello di sicurezza:

Antivirus:

Avast--->Free e in italiano
PS:necessità di una registrazione per funzionare oltre i 3 mesi>>qui<<

AVG--->Free e in inglese--->versione PRO disponibile a pagamento

ANTIVIR--->Free e in inglese--->versione PRO disponibile a pagamento

Firewall

ZoneAlarm
Free e in italiano--->Guida all'uso

Kerio
Free e in italiano--->Guida all'uso

Antispyware

Ad-Aware
SpybotS&D
WindowsDefender--->protezione in tempo reale

Antimalware

Ewido
--->é shareware ma dopo i 14 gg di prova,smetterà di funzionare solo
la protezione in tempo reale, il programma potrai continuare ad aggiornarlo per fare lo scan del tuo pc.

Protezioni Aggiuntive

SpywareBlaster
Guida all'uso

CWShredder
Guida all'uso

Tutti rigorosamente aggiornati
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi AlessioZ » 24/02/06 20:37

Grazie Tiseria e Grazisssssimo Fabrizius ;0))))

Ho seguito i consigli e (almeno a parer mio) sembra tutto ok ora:
Logfile of HijackThis v1.99.1
Scan saved at 20.21.54, on 24/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\ltmoh\Ltmoh.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Alessio\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmi\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programmi\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 4506364761
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe


Che ne dite?

Fabrizius... il Portatile è di lavoro (quindi non mio) e l'antivirus fornito e che reinstallerò è il Norton 2006. Magari posso far di testa mia per quel che riguarda il Firewall se proprio quello di XP non è all'altezza ;0)

Di nuovo,
Grazie ;0)
Alessio.
Esistono 10 tipi di persone.
Quelli che conoscono il codice binario e quelli che non lo conoscono.
AlessioZ
Newbie
 
Post: 3
Iscritto il: 24/02/06 17:10

Postdi fabrizius » 24/02/06 21:41

il log é uno specchio :D

Per i programmi fai come vuoi,ma fallo :P

ciao
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi AlessioZ » 24/02/06 21:56

;) Yep.
Esistono 10 tipi di persone.
Quelli che conoscono il codice binario e quelli che non lo conoscono.
AlessioZ
Newbie
 
Post: 3
Iscritto il: 24/02/06 17:10

Postdi lucas/s » 24/02/06 23:16

le voci iniziali di Hijackthis quindi i processi in esecuzione è inutili metterli nella lista di programmi da eliminare con Hijackthis,tanto Hijackthis non le vede quelle voci vede solo dalle R1 in poi,invece bisogna terminare il processo ed eliminare il relativo file(ammesso che in modalità provvisoria venga caricato) ;)
lucas/s
Utente Senior
 
Post: 224
Iscritto il: 04/02/06 00:33

Postdi fabrizius » 24/02/06 23:57

Dai Lucas non fare il professore su qualche dimenticanza che non comporta danni....quelle cose che hai appena "cercato di scrivere" stanno scritte ovunque....quindi non hai scoperto niente :P
cerca di usare le tue conoscenze per cose piu utili,come risolvere i problemi irrisolti non quelli già risolti...poi se sei nella possibilità e vuoi dare qualche consiglio, fallo con modo e forma,non con arroganza e presunzione ;)
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi lucas/s » 25/02/06 00:47

Il mio era soltanto un consiglio cosa avrò detto di male? ma quale presunzione?scusami le mettete sempre l'utente le cerca ma non le trova quindi è inutile metterle,stanno scritte da tutte le parti ma non l'hai letto dato che le metti,non mi pare di aver detto niente di male,forse la presunzione l'hai avuta tu nel rispondere in questo modo!ciao

PS:Di problemi irrisolti ne ho risolti molti,forse stai prendendo lezioni sbagliate da una persona che continua a mettere sempre quelle voci che in Hijackthis non appaiono,chi va con lo zoppo impara a zoppicare è propio vero!
lucas/s
Utente Senior
 
Post: 224
Iscritto il: 04/02/06 00:33

Postdi fabrizius » 25/02/06 01:07

OFF TOPIC

ma dai smettila....non sputare mai nel piatto dove hai mangiato....
PS:io non ho detto che di problemi non ne hai risolti,o che il tuo consiglio non era buono....ho solo cercato di farti capire che ci sono modi e modi per dare i consigli...
quella di mettere le voci antecedenti alla R1 é un abitudine che come me molti hanno, e che anche se non é "giusta"non comporta nessun danno...
non andare poi a nominare persone che non c'entrano niente e che non sono presenti,non é corretto

Chiudiamola qui! ;)

ciao
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi lucas/s » 25/02/06 01:19

dove ho mangiato?ma che dici hai bevuto?io non ho nominato nessuno,vedi nomi nel mio post?io non li vedo e vai pure a riferire alle persone che TU pensi, problemi non me ne faccio perchè IO mi sono sempre comportato bene ricordalo,preciso IO ,cosa non è corretto?quello è il mio modo, mi dovevo mettere inchinare per dirtelo non so come ragioni,tu mi parli di correttezza?caro mio lo stesso comportamento che hai avuto stasera con me lo devi avere anche con chi di cazziate te ne ha fatte davanti a tutti, adesso sai a chi mi riferisco e non fare il leone solo con me,anche perchè leone non sei ;)

PS:Vai tu adesso a sputare nel piatto dove mangi,prima di dire certe cose pensaci mille volte
lucas/s
Utente Senior
 
Post: 224
Iscritto il: 04/02/06 00:33

Postdi fabrizius » 25/02/06 01:50

ma...ti commenti da solo,non meriti nemmeno risposta

LOOK
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi BianConiglio » 25/02/06 15:34

c'è bisogno di tutto sto casino? :mmmh:
chiudiamo qui la discussione OFFTOPIC ed eventuali risposte al mio intervento.

i prossimi messaggi devono essere pertinenti al thread :)
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano


Torna a Sicurezza e Privacy

Chi c’è in linea

Visitano il forum: Nessuno e 27 ospiti