|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
10-05-2008, 16.43.09 | #1 |
Junior Member
Registrato: 10-05-2008
Messaggi: 127
|
AIUTO!!! VIRUS WINSERV.EXE
Il mio antivirus (AVG) mi ha rilevato il virus (a quanto pare trojan) WINSERV.exe.. Dopo averlo eliminato manualmente dalla cartella "Temporary Internet Files" ho rieseguito la scansione, ma essendo che il mio antivirus continuava a rilevarmelo ho deciso di andare in modalità provvisoria.. Nel percorso indicato dalla scansione (Impostazioni locali/ Temporary Internet Files/Content.IE5) compaiono 4 cartelle nominate in modi alquanto particolari (es. OXUJKLMV) e un file DAT nominato INDEX che non mi riesce eliminare. Il messaggio che mi compare è infatti: "..in uso da un altro utente o programma. Chiudere il programma che sta utilizzando il file e riprovare".. Il mio pensiero è che quel file sia collegato al virus winserv.exe e che vada di conseguenza eliminato, ma non so come fare.. Inoltre nonostante io abbia rieliminato in modalità provvisoria winserv.exe sembra sia stato inutile.. Spero di essermi spiegata decentemente e aspetto qualche risposta! Grazie in anticipo.. |
10-05-2008, 22.47.47 | #2 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
ciao gore, benvenuta nel forum di wintricks,
- il file index.dat e le cartelle dai nomi alquanto bizzarri che hai trovato nel percorso che hai indicato sono parte di Internet Explorer, il primo contiene i dati della cronologia dei siti visitati, le altre cartelle contengono i files temporanei che si sono accumulati navigando e scaricando.. inclusi quelli eventualmente infetti. Sono in uso dal sistema, ma possono essere eliminati egualmente senza far danni. A tale scopo puoi utilizzare l'ATF Cleaner ( http://www.atribune.org/ccount/click.php?id=1 ) e il CCleaner ( http://www.ccleaner.com/download/bui...wnloading-slim ) due strumenti gratuiti e molto validi per la pulizia dei files temporanei, cookies, cronologia di navigazione etc etc (N.B il link tra parentesi puntano al download diretto dei suddetti software). - Il WINSERV.EXE è un processo legato a una famiglia di trojan horses noto come w32/RBot e che si installa in genere sfruttando delle falle e vulnerabilità di sistema. (cfr: http://www.auditmypc.com/process/winserv.asp ) Intanto ti suggerirei di scaricare questi strumenti specifici di rimozione gratuiti: http://sophos.com/support/cleaners/rbotgui.com http://sophos.com/support/cleaners/rbbaagui.com http://download.nai.com/products/mca...rt/stinger.exe scaricali sul desktop, quindi eseguili, uno per volta ovviamente Meglio ancora se tu disattivassi prima il ripristino di sistema temporaneamente (se utilizzi Windows XP o Vista) --------------- Quindi sarebbe opportuno che tu postassi in allegato (compresso zip o rar) o con un copia e incolla un log della scansione del tuo PC con HiJackThis che trovi qui http://www.trendsecure.com/portal/en...HiJackThis.exe per una sorta di diagnosi di quanto eventualmente rimasto infetto nel sistema e capire che altre misure adottare. attendo tue notizie, spero positive P.S se hai dubbi o sono stato poco chiaro chiedi pure senza problemi Ultima modifica di leofelix : 10-05-2008 alle ore 23.57.14 |
10-05-2008, 22.52.44 | #3 |
Senior Member
Registrato: 09-03-2008
Messaggi: 408
|
negative da punto di vista dei virus
|
10-05-2008, 23.02.00 | #4 | |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
Quota:
.... non avrai mica contratto le stesse infezioni anche tu Diablos? |
|
11-05-2008, 19.06.49 | #5 | |
Junior Member
Registrato: 10-05-2008
Messaggi: 127
|
Quota:
Sto eseguendo giusto ora una scansione con "rbotgui", devo poi eseguire per forza la scansione anche con tutti gli altri elencati? Ho comunque deciso di non andare a toccare il file index.at, anche perchè da quanto ho capito non necessariamente deve essere legato al virus winserv.exe.. Per quanto riguarda il virus avevo letto qualcosa a riguardo, e da quello che ho capito pare essere un virus piuttosto pericoloso (soprattutto per la questione delle password rubate e cose di questo genere)..mi converrebbe forse formattare, secondo te? Grazie ancora |
|
11-05-2008, 20.35.28 | #6 |
Junior Member
Registrato: 10-05-2008
Messaggi: 127
|
Ho aperto HiJackThis, sono andata su "Do a system scan and save a logfile" e mi è apparso un bloc notes con i seguenti dati:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20.33.03, on 11/05/2008 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programmi\File comuni\System\MSASP32.exe C:\WINDOWS\System32\atievxx.exe C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\WINDOWS\System32\fada.exe C:\WINDOWS\System32\ctfmon.exe C:\Programmi\Google\Google Updater\GoogleUpdater.exe C:\Programmi\RALINK\Common\RaUI.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe C:\PROGRA~1\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\wuauclt.exe C:\Documents and Settings\daniela\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119 .1736\swg.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [] fada.exe O4 - HKLM\..\RunServices: [] fada.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [] fada.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-21-725345543-1957994488-23482115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programmi\RALINK\Common\RaUI.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O23 - Service: Advance Service Process - Unknown owner - C:\Programmi\File comuni\System\MSASP32.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe -- End of file - 3152 bytes Spero fosse questo quello che tu mi hai scritto di riportare.. Penso avrai capito che non me ne capisco molto di pc!!!!! |
11-05-2008, 21.27.24 | #7 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Ciao Daniela (alias gore) io trovo sospetto quel fada.exe
C:\WINDOWS\System32\fada.exe O4 - HKLM\..\Run: [] fada.exe O4 - HKLM\..\RunServices: [] fada.exe perchè come vedi è in system32 ed è anche tra i servizi, cosa un po inusuale. Inoltre vedo quel GoogleUpdater che mi sta sulle p@lle. non ne puoi proprio fare a meno ? |
11-05-2008, 21.41.34 | #8 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Porca miseria boia, ma come accidenti fate ad appestarvi a 'sta maniera ?!?
Tutti con 'sti Script ed ActiveX attivati senza ritegno...mah |
11-05-2008, 21.58.16 | #9 | |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
Quota:
dunque, io direi che sarebbe il caso che tu usassi anche gli altri due strumenti di rimozione, anche perché il tuo sistema XP è fermo al Service Pack 1 e come conseguenza vulnerabile a moltissimi "exploit" e da quanto ho notato temo sia ancora infetto anche da altri trojan horse.. tra cui un file che mi suona molto strano "FADA.EXE" e che sembra correlato a un altro tipo di spyware conosciuto anche come AGENT.BQ e Delf/DDloader quindi è bene che tu scarichi questo altro tool gratuito http://sophos.com/support/cleaners/agentgui.com quindi anche questi http://sophos.com/support/cleaners/dloadgui.com http://www.protectorplus.com/download/cleandelf.exe http://www.protectorplus.com/download/cleansmall.exe devi avere pazienza (anche con me che tendo a essere puntiglioso e pignolo sino alla noia totale).. far fare la scansione a quegli strumenti e dirmi se hanno rilevato e messo in condizione di non nuocere alcune delle minacce virali di cui il tuo sistema soffre. Quindi direi che l'AVG come antivirus non sembra si sia dimostrato all'altezza e in ogni caso è quasi certamente disabilitato dai trojan contratti. Quindi dopo aver pulito il sistema con quei tool cui aggiungerei anche questo molto valido: http://download.norman.no/public/Nor...re_Cleaner.exe ( cfr http://www.norman.com/Virus/Virus_re...tools/24789/it - istruzioni ) Infine inizierei a prendere in considerazione un altro antivirus, ad esempio è ancora valida una promozione per avere gratuitamente per 6 mesi l'AVIRA Antivir PREMIUM (uno dei migliori e più leggeri che ci siano) la chiave in formato KEY per registrarlo la si trova presso registrandosi presso questo link: https://license.avira.com/en/promoti...tr05zwftftgnqr via e-mail ti arriveranno le istruzioni in inglese e in allegato un file chiamato HDBEV.KEY per registrare il prodotto. Il file di installazione dell'AVIRA Antivirus PREMIUM è qui http://dl1.antivir-pe.de/down/window...winu_en_hp.exe (22 MB) ------------- Spero proprio che tu non abbia necessità di formattare.. considera anche che WindowsXP è ormai giunto al Service Pack 3 e tu sei ferma al Service Pack 1.. sigh sigh. Una domanda: non è difficile dedurre che tu non abbia mai più effettuato gli aggiornamenti critici di sistema (intendo via "windowsupdate" attraverso Internet Explorer), è così? Ebbene, vanno fatti assolutamente, una volta disinfettato il computer ------------- Anzi tanto varrebbe installare il Service Pack 3 direttamente dopo la disinfezione (ti indicherò come scaricarlo per intero e come e quando installarlo ok?) ------------ con calma guardo meglio il log che hai postato e per il momento ti saluto augurandoti ehm buona disinfezione e buona serata |
|
11-05-2008, 22.04.53 | #10 | |
Junior Member
Registrato: 10-05-2008
Messaggi: 127
|
Quota:
GoogleUpdater l'ho utilizzato per scaricare Firefox..perchè, che problemi potrebbe dare? |
|
11-05-2008, 22.08.52 | #11 | |
Junior Member
Registrato: 10-05-2008
Messaggi: 127
|
Quota:
Dall'ultima volta che mi è capitato di dover formattare non ho più scaricato nulla..ho solo reinstallato i programmi, forse qualcuno di essi era infetto e sto continuando a portarmelo dietro..in ogni caso non saprei quale!!! Un'ultima cosa..perdona l'ignoranza in materia ma cosa sarebbero di preciso gli Script ed ActiveX?? |
|
11-05-2008, 22.14.39 | #12 | |
Junior Member
Registrato: 10-05-2008
Messaggi: 127
|
Quota:
Comunque ora seguirò passo passo i tuoi consigli e vedrò che si può fare |
|
11-05-2008, 22.15.20 | #13 | ||
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
Quota:
Quota:
Ti ringrazio, intanto LarryOne, nella mia prolissa risposta mi ero ripromesso di analizzare meglio il log e quel sospetto anzi sospettissimo FADA.EXE... per la tua concisa e corretta analisi. [ Quasi OT] Penso che mi crederete entrambi che una settimana fa circa ho riparato a distanza via msn il PC di una mia amica madrilena, con WindowsXP in Spagnolo che presentava più o meno gli stessi sintomi. L'analisi del log di HijackThis, le mie reminiscenze della lingua di Cervantes, la frequentazione assidua di wintricks, quei tool indicati più AVIRA AntiVir PREMIUM che le ho fatto installare in contemporanea a Firefox (più estensioni no script e adblock plus) e il conseguente CALIENTE consiglio di fare subito Windowsupdate hanno fatto il resto.. ehm 2 serate e mi è andata bene anche Buona serata a tutti e grazie per l'attenzione e la pazienza |
||
11-05-2008, 22.26.02 | #14 | ||
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
Quota:
Intanto non saranno più in esecuzione. Quota:
avresti potuto scaricare Firefox anche direttamente da qui http://www.mozilla-europe.org/it/ gli strumenti di rimozione gratuiti (ma che non sostituiscono un antivirus completo di tutte le sue funzioni) dovrebbero fare il resto. In caso ci sono strumenti per eliminare anche file apparentemente in uso dal sistema come alcune infezioni che hai contratto. Te ne parlo non appena avrò i risultati delle scansioni di quei tools di rimozione che ti ho indicato: basterà che tu indichi che virus sono stati trovati e se sono stati rimossi. Intanto mi raccomando: procurati anche la chiave per registrare AVIRA antivirus PREMIUM come indicato, prima che scada la promozione, ok? attendo buone nuove ciau e sta' serena, qui sei su wintricks "Long life and prosper" Ultima modifica di leofelix : 11-05-2008 alle ore 22.34.38 |
||
11-05-2008, 22.32.17 | #15 | ||
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
Quota:
Pensa che il Service Pack 2 è stato rilasciato 4 anni fa e dopo di esso un centinaio e passa di altri aggiornamenti critici di sistema. Fortunatamente non dovrai installare il Service Pack 2 ma direttamente il S.P 3 e che contiene tutte le "patch" (correzioni) rilasciate in tutti questi anni. E velocizza anche il sistema Ma solo dopo averlo disinfettato, mi raccomando Quota:
|
||
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
aiuto! virus ke costringe a comprare un antivirus | pippo84 | Sicurezza&Privacy | 8 | 09-05-2007 08.14.49 |
VIRUS METASTATICI AIUTO | WindowsXP | Sicurezza&Privacy | 24 | 14-02-2005 17.18.30 |
Aiuto virus! | wall3 | Sicurezza&Privacy | 2 | 16-10-2004 14.19.27 |
Aiuto virus | SuperPippo105 | Sicurezza&Privacy | 7 | 21-09-2004 17.53.16 |
Aiuto Virus!! | BUDDY | Sicurezza&Privacy | 1 | 06-09-2003 20.37.50 |