PDA

Visualizza versione completa : SSERVICE.EXE E' UN VIRUS O NO!


web
26-05-2008, 21.19.59
Ho il seguente problema:
disattivando e cercando di disinstallare il mio antivirus KASPERSKY ho notato che è comparso nella cartella WINDOWS un file SSERVICE.EXE che non riesco ad eliminare.
Inoltre non riesco ad installare il programma nuovo KASPERSKY così come ad installare di nuovo windows installer.
E' questo un virus o cosa?
Aiutatemi, non riesco ad installare più niente.
Grazie
web

leofelix
26-05-2008, 21.31.07
ciao, il file SSERVICE.EXE è un processo relativo il Trojan Prorat:

cfr: http://www.avira.com/it/threats/section/fulldetails/id_vir/1794/bds_prorat.m.b.38.html

cfr: http://www.symantec.com/security_response/writeup.jsp?docid=2003-061315-4216-99&tabid=2

per prima cosa posta un log di una scansione con HiJackThis

http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

leofelix
26-05-2008, 21.54.10
aggiungo che - poiché sembra abbia anche funzionalità da rootkit - sarebbe opportuno che tu ti munisca anche del Gmer

http://news.wintricks.it/software/sicurezza-privacy/25575/gmer-1.0.14.14536/

qui trovi un'ottima guida su come usarlo

Guida a Gmer - Megalab.it (R) (http://www.megalab.it/articoli.php?id=972)

web
29-05-2008, 20.33.52
Salve a tutti,
ad ora non sono riuscito ad eliminare questo virus, addirittura non mi consente nenche di andare ai link da voi inviati.
Ho provato a scaricare da un altro computer HiJackThis.exe e GMER ma non mi consente neanche di lanciarli.
Quello che ho fatto è che ho fatto una scansione con spyboot e mi ha rilevato questi virus dei quali ho un file di log che proverei ad inviarVi ma non so come posso allegare
Grazie ancora
web

leofelix
30-05-2008, 05.38.12
ciao
prova a copiare il log di SpyBot Search & Destroy e incollarlo direttamente nella risposta al 3d, altrimenti avrai notato che esiste una gestione allegati attraverso il forum stesso quando rispondi andando in modalità avanzata.

In quanto a HiajckThis prova a scaricare la versione che trovi qui

http://www.majorgeeks.com/download3155.html

Rinominala per esempio da HiJackThis.exe a "wintric_this.exe", non escludo che il malware che hai contratto impedisca ad alcuni processi di cui conosce il nome di avviarsi,

Visto che Gmer non si apre, prova a vedere se questi due tool gratuiti antirookit invece funzionano

http://www.trendmicro.com/ftp/products/rootkitbuster/RootkitBuster2.2.1014.zip

e anche questo

ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe

leofelix
30-05-2008, 08.10.40
[EDIT]

Visto che usi lo SpyBot, prova prima a pulire il File HOSTS tra le opzioni di Spybot S & D, quindi a bloccare lo stesso file HOSTS (http://en.wikipedia.org/wiki/Hosts_file) . In questo modo dovresti riuscire a raggiungere i link suggeriti spero.


[EDIT]




aggiungo che per quanto la backdoor con funzioni di keylogger e di rootkit che hai contratto disattivi o renda inutilizzabili anche moltissimi sistemi di sicurezza, io tenterei lo stesso una disinfezione in modalità provvisoria (tasto F 8 più volte al riavvio se necessario) non senza aver prima disattivato il ripristino di configurazione (se usi win ME o XP o Vista) lanciando il tool di rimozione specifico della Norman

il Norman Malware Cleaner lo puoi prelevare direttamente da qui

http://download.norman.no/public/Norman_Malware_Cleaner.exe

un'ottima guida la trovi qui

http://www.wintricks.it/software/norman-malware.html

crazy.cat
30-05-2008, 08.28.37
SSERVICE.EXE
Visto che è così rognoso, mi piacerebbe studiarlo, non è che puoi provare a comprimerlo e caricarlo su questo sito
http://www.wikifortio.com/
e poi scrivere il link che ti viene restituito in modo che posso scaricarlo.
(se non si lascia comprimere caricalo così come viene)
Grazie

web
01-06-2008, 21.13.59
Ciao a tutti, sono riuscito a lavorare con alcuni programmi di cui sopra (GMER e NORMAN) e sembra che alcuni virus me li abbia tolti.
Inoltre contemporaneamente sono riuscito ad installare KASPERSKY e mi ha elimiato vari virus fra i quali il prorat ed altri e momentaneamente sembra che non abbia nessun problema.
Speriamo bene!
saluti
web

leofelix
15-06-2008, 05.10.01
in ogni caso qui un nuovo tool gratuito per la rimozione del Prorat (magari a qualcuno tornerà utile in futuro)

http://www.protectorplus.com/download/cleanprorat.exe