PDA

Visualizza versione completa : Windows cannot find C:\User\Administrator\AppData\Roaming\Adobe32\scvh ost.exe



dRyW
27-12-12, 01: 19
2284

2285

Per Natale pensavo di annoiarmi..

Buon proseguimento di feste

Armandillo
27-12-12, 19: 40
Beh, dall'analisi qualcosa di sospetto c'e' :sisi ed io comunque le correggerei anche se non so dire che potenziale di danno possano arrecare quelle voci.

:bai

dRyW
27-12-12, 21: 16
Sono tuuutto orecchie, il problema nato da un mio scellerato click. Il malware faceva aprire una nuocva scheda sul browser ad ogni click. Ho fatto uno scan con avira ed ho cancellato due elementi i quali probabilmente avevano a che fare con adobe 32. Il problema non si risolto quindi ho effettuato una pulizia con ccleaner ai cockie.

Kirk78
28-12-12, 18: 40
A parte, spassionatamente, ti consiglio di non utilizzare Adobe Reader per leggere i PDF, ma questa un'altra storia. L'ho tolto da anni.

Le voci "strane" mi sembrano quelle osk.exe che in teoria sarebbero le OnScreen Keyboard ma identificate stranamente. Da Avira (che versione?) spero anche in modalit temporanea.

Io controllerei anche le voci non standard autopartenti all'avvio, che disabiliterei almeno temporaneamente tramite msconfig.

:bai

dRyW
28-12-12, 19: 04
-Reader lo uso occasionalmente.

-Avira free!

-Quali sarebbero le non standard?

Armandillo
28-12-12, 19: 13
Reader lo uso occasionalmente.

Ti consiglio di installare FoxitReader....gratuito, leggero e con la possibilita' della lingua italiana.

Le voci standard, piu' o meno, sono quelle relative a:

- antivirus
- firewall
- antispyware o antimalware (se installati)
- Acrobat
- QuikTime
- Scheda grafica
- Messenger
- Skipe
- eventuali driver wireless
- eventuali driver per tastiera o mouse wireless
ed altre che sai di usare regolarmente e che hai usato gia' in passato

Puoi dare una occhiata a questa (http://www.collectiontricks.it/forum/software/Ct4868-programmi-allavvio-win-seven.html) discussione anche se relativa a Seven.

:bai

Kirk78
28-12-12, 19: 33
Avira free ok, ma che versione? La 2012? 2013 o precedenti? Ricorda di farlo anche (completo) da modalit provvisoria.

Concordo su FoxitReader che uso da anni, disintallando quel coso di Adobe reader, non concordo, sorry Armandillo, per le voci non da disabilitare, ma forse intendevi non standard :eye.

Io disabiliterei temporaneamente Acrobat, QuickTime, Skype, Messanger, e tutti gli altri programmi autopartenti che non sono fondamentali al sistema, riavviare e se tutto va ok era una di quelle. I driver ovviamente si, ma i programmi abbinati teoricamente possono essere, temporaneamente, disabilitati.

Pi che standard diciamo fondamentali. Scusate per la non chiarezza. Messanger Skype e Adobe non lo sono di certo.

:bai

Armandillo
29-12-12, 18: 11
non concordo, sorry Armandillo, per le voci non da disabilitare, ma forse intendevi non standard :eye.

Fraintendimento Kirk :hap intendevo proprio le standard, ovvero quelle voci che normalmente vengono installate dai programmi e che, per ottimizzare l'avvio, debbono essere disabilitate :sisi....proprio come hai detto.
Nel link che ho riportato infatti c'e' l'immagine del mio avvio dove si notano bene le uniche voci abilitate.

:bai

Kirk78
30-12-12, 11: 15
Siamo in periodo di feste e bagordi caro Armandillo... non sai quanti fraintendimenti faccio io ultimamente (e anche prima :ehmm). Facci sapere dRyW.

Auguri. :bai

dRyW
03-01-13, 19: 40
Cos'ha di cos terribile Adobe reader?

Mi sembrava di ricordare di aver disabilitato gi una volta tutti i servizi inutili senza per mai riattivarli.

Date un'occhiata:

2295

Anche se diversi hanno la status: running
Se seleziono uno dei running al prossimo avvio sar stopped?

Kirk78
03-01-13, 20: 02
Personalmente non piace, per me lento e pieno di bug di sicurezza (forse perch il primo ad essere attaccato). Quelli sono servizi cosa trovi in Startup? L dovrebbero esserci le applicazioni autopartenti, all'italiana Avvio.

http://s8.imagestime.com/out.php/i807181_avvio.jpg schermata di Armandillo di esempio.

:bai

dRyW
03-01-13, 20: 49
Su startup tutto disabilitato.

Kirk78
03-01-13, 21: 17
....tutto? :shock Neanche l'antivirus? Ma ne sei proprio sicuro? Avevi detto che hai Avira free e se appena lo accendi vedi il classico ombrellino in basso a destra sicuramente ce l'hai. Diciamo che quasi tutte le icone in basso a destra sono applicazioni autopartenti.

Se tutto disabilitato incomincio a pensare che hai qualcosa che ti boicotta un po' tutto.

:bai

EDIT: mi spieghi che cosa C:\Users\Administrator\AppData\Roaming\Adobe32\bat .bat mi sa che l l'errore, che un autopartente insieme ad altre cose, mi sembra una marea (almeno prima)
[Adobe Reader Speed Launcher], [LManager], [Adobe ARM], [SwitchBoard], [HPUsageTrackingLEDM], [SweetIM], [avgnt] se non erro la vecchia versione di Avira, [AdobeCS6ServiceManager], [SunJavaUpdateSched], [TurboHddUsb], [Adobe Acrobat Speed Launcher], [Acrobat Assistant 8.0], [Malwarebytes' Anti-Malware], [RocketDock], [Sidebar], [DAEMON Tools Lite], [EPSON BX300F Series] con uno strano temp, [Google Update], [Facebook Update], [AdobeUpdate], MemTurbo.exe e OpenOffice.org 3.3 quickstart

Ora non so se hai tolto tutto.

dRyW
03-01-13, 21: 54
Nono, non saltare a conclusioni affrettate.

Come ho detto tempo fa ho tolto tutto e non mi sono curato pi di riabilitare, la loro assenza non mi crea disagi e sicuramente alleggerisce il sistema, questo perch il mio pc sempre acceso o in sleep. Anche se facendoci caso non ricordo di aver mai lanciato avira dopo i riavvi (suppongo perch in running nei servizi).

In ogni caso, cosa si pu fare per recuperare il file svchost mancante?

Kirk78
03-01-13, 22: 17
Per me hai, preso dal log che hai postato, parecchi programmi autopartenti e uno di questi quel file che ho indicato (un bat?). Antivir (il vecchio Antivirus di Avira) parte obbligatoriamente anche con il programma non bastano i servizi. A mio parere il tuo sistema oltre a non essere aggiornato, ha dei programmi autopartenti compreso questo ipotetico svchost che non penso serva a qualcosa se non a far partire dei programmi mancanti o peggio. Quella chiamata probabilmente posto nel fantomatico, e per me alquanto strano, bat.bat, programma autopartente secondo il tuo log.

Il mio suggerimento: innanzititto scannerizzare la macchina con software aggiornato oltre a vedere (senza far partire) il bat.bat

:bai

dRyW
03-01-13, 23: 16
Ma avira continua a fare gli aggiornamenti.

Quindi riattivo l'esecuzione di avira all'avvio cos siamo sicuri che aggiornato e faccio uno scan?

Come faccio a "vedere" senza far partire il .bat?

Kirk78
04-01-13, 12: 17
Se veramente un file batch lo potresti aprire con il Notepad. Ho notato che per la versione Premium Avira ha esteso il supporto fino al 31.01.2015 ma ricordavo che la versione free aveva concluso gli aggiornamenti, ma magari mi sbaglio: che versione del prodotto e motore di ricerca hai di preciso (immagino che i vdf, file di definizione dei virus siano aggiornati) ma posta la versione anche di loro.
Io ho comprato la versione Premium ho la 12.1.9.371, il motore 8.02.10.224 e il vdf 7.11.55.216.

Se il programma parte da solo, il software si aggiorna (vdf) quindi non so cosa dirti del perch tu lo hai disabilitato ma parte lo stesso. Metterlo in avvio serve esclusivamente ad avere il classico ombrellino in basso a destra (aperto ovviamente) quando si riavvia il PC. Tu lo hai disabilitato ma ti parte ... non so proprio cosa dirti :boh

:bai

dRyW
04-01-13, 12: 42
Ecco:

2296

Pare abbastanza in linea con i tuoi.

Ma infatti non mi spiego come per esempio daemon tools parte ugualmente all'avvio senza essere abilitato nello startup..

Kirk78
04-01-13, 13: 57
Caspita hai la versione 2012! Il log Hijackthis che hai postato dice che hai Antivir (vecchia versione) e i software che ti ho messo in spolier tutti in autopartenza e quindi li avrai nel registro autopartenti come, appunto, Daemon Tools e tanti altri.
Se per "ripartenza" intendi togliersi dall sleep, quella non una partenza ma semplicemente una riattivazione di quello che avevi in RAM prima di metterlo a "dormire".
Quando l'ultima volta che lo hai fatto ripartire completamente? Forse hai disattivato i programmi di avvio automatico (lascerei ovviamente almeno Avira) ma non lo hai mai pi riavviato. Se lo hai fatto per questo che pensavo ad un virus o malware, ma il log HJ esce tutto sbagliato e quindi non capisco bene :boh

:bai

dRyW
04-01-13, 15: 26
Allora, per riavvio intendo quello che comunenmente si pensa sia, cio l'azione richiesta da molti programmi alla fine della loro istallazione. Dopo aver effettuato il riavvio sono sicuro di avere in esecuzione autmatica programmi come daemon tolls, openoffice o il service della nvidia.

Nella sezione servizi di msconfig nella ultima colonna dopo lo stato (da me si chiama date disabled) risultano essere tutti disabilitati cos come nella sezione avvio. Nei servizi per molti programmi sono in running nonostante accanto aventi una data di disabilitazione. Ma a cosa pensavano gli ingegneri di win quando hanno messo appunto smconfig?

Kirk78
04-01-13, 16: 44
ingegneri di win quando hanno messo appunto smconfig?
A saperlo :ghgh E' proprio una strana situazione che a me personalmente non mai successa :boh
Cosa c' scitto su quel famigerato bat.bat (nome preoccupante) da blocco notes o facendo

Only registered members can view code.
dal prompt di comandi?

Tutto il resto va bene secondo te?

dRyW
04-01-13, 17: 21
Provaci pure tu, disabilita tutti i servizi e vedrai.

Qu c' il 2297

Per il resto per me ok, a parte l'errore iniziale.

Armandillo
04-01-13, 17: 38
:bai

Qui (http://www.google.it/search?hl=it&safe=off&tbo=d&site=&source=hp&q=%25windir%25\system32\taskkill.exe+%2Fim+svchost .exe&oq=%25windir%25\system32\taskkill.exe+%2Fim+svchos t.exe&gs_l=hp.12...2570.2570.0.3911.1.1.0.0.0.0.132.132. 0j1.1.0...0.0...1c.2.qv95RlxLVTg) c'e' la pagina che mi restituisce digitando la prima stringa del bat che hai postato:

%windir%\system32\taskkill.exe /im svchost.exe

Kirk78
04-01-13, 17: 41
Non ci penso proprio: a me funziona tutto :ghgh
Hai qualcosa di installato che fa riferimento a bitcoin o GUIMiner? Magari quel click che hai fatto? Sento odore di finto svchost :leg1: ?

Nel registro cosa hai alle varie voci

Only registered members can view code.

Comunque mi sembra di vedere che quello che killa l'svchost, aggiunge come voce di regisro autopartente questo bat.bat e carica con un URL un svchost preso dalla cartella di Adobe. Non avendo pi Adobe dovresti attendere qualcuno che ce l'ha, ma a me sembra piuttosto strano. Ma da Adobe mi aspetto questo ed altro :sisi

Che si tratti di una della falle di sicurezza di Adobe che ha fatto entrare qualche cosa?

:bai

dRyW
04-01-13, 18: 16
Allora che faccio? Elimino il bat?

Kirk78
04-01-13, 21: 41
Non so se un modo astruso di Adobe di fare l'upgrade o che cosa. Non avendolo ti posso dire cosa farei io: almeno lo rinominerei in dubbiobat.txt oppure attendi qualcuno che ce ha adobe reader. Se ti si ripresenta probabilmente scritto anche sul registry.

:bai

dRyW
05-01-13, 15: 46
Ho rinominato e riavviato (all'avvio confermo ulteriormente di avere programmi esterni non di sistema in esecuzione avendo tutti i servizi msconfig disattivati) questo il risultato:bgg2:

2298

Kirk78
06-01-13, 10: 51
Te lo avevo accennato che il tuo un problema diverso e i programmi autopartenti sono sul registry e che per me devi fare un bel controllo malware e virus, anche in provvisoria visto che c' qualcosa che disabilita l'msconfig. Magari sei stato tu che hai disabilitato il servizio microsoft o hai detto tu al sistema di non caricare le impostazioni che vedi su msconfig. Troppe variabili.

Dai un'occhiata su Guide Rimozione e Sicurezza - Questa la sezione Guide Rimozione e Sicurezza (http://www.collectiontricks.it/forum/guide-rimozione-sicurezza-f33/) e http://www.collectiontricks.it/forum/security/Ct316-10-semplici-regole-per-non-vanificare-operazioni-rimozione.html

:bai