Salve,

ho notato un processo winsys.exe nel task manager.

Considerando che ho formattato da poco e che non ho mai visto questo task ho fatto una piccola ricerchina su internet ed ho notato che molti worm si rinominano winsys.exe.

L'antivirus non rileva nulla e non riesco ad eliminarlo.
Elimino le chiavi per l'avvio dal registro ma dopo un paio di riavvii ritorna.

Qualcuno sa darmi info su questo processo?????
E' un worm o cosa?????

Grazie

Ciao,

potrebbe essere il bagle.k

Prova con questo tool di rimozione: http://www.symbolic.it/Rassegna/baglek.html

Anche stinger è attrezzato per combattere il bagle:
http://vil.nai.com/vil/stinger/

Eventualmente prova a lanciare da mod. provvisoria.

Se hai il system restore attivato, disattivalo; forse il worm è finito anche la dentro...

quoto in pieno Wgator

volglio solo aggiungere qualcosa:

il file in questione è un componente installato da parecchi worms così come un password stealer se stesso...
strano però che il tuo antivirus non lo rilevi
(lo hai aggiornato l'antivirus vero? ;) )

Aggiungo un chicca pare che un file con lo stesso nome faccia parte dell'installazione dei driver Nvidia marcati MSI...
quindi tienilo in considerazione...

se hai problemi con l'antivirus puoi sempre fare una scansione online...

tra la vasta scelta...
http://housecall.trendmicro.com/housecall/start_corp.asp

Innanzitutto vi ringrazio per i suggerimenti.


X WGATOR:
Per quanto riguarda bagle.k, ci avevo pensato anche io, ho infatti scaricato tool di rimozione della symantec ma, al termine della scansione, mi ha detto che non ha trovato nulla.

Ho provato anche la procedura per rimuovere beagle ma anche li, pare che non abbia trovato nulla.


X NETQUIK:
L'antivirus è aggiornato ed ho fatto fare la scansine approfondita.

Ho una MB MSI ma con chip VIA (KT333) quindi non dovrebbe essere un componente dei driver come suggerito.

Proverò a fare la scansione on line come mi suggerisci e vi farò sapere.


Pongo un'altra questione:
Ma dove sta sto file winsys.exe????
Dopo aver eliminato il riferimento nel registro volevo eliminare fisicamente il file ma, a quanto pare, non esiste sul mio HD.
Sapete dove posso pescarlo????


Nel frattempo, se qualcuno avesse qualche altro suggerimento, ovviamente è beneaccetto.

Grazie

ciao
allora se sei sicuro che non sia bagle (anche dopo scansione online)

ti consiglio di fare un po di scansioni antispy
(dato che l'altro winsys che conosco è uno spyware)

i vari programmi dovresti conoscerli...

in più ti suggerirei di postare il log di HijackThis
http://www.spywareinfo.com/~merijn/downloads.html


mm.. hai una scheda madre MSI
e la scheda video?
io parlavo dei driver della scheda video Nvidia MSI
se hai integrata la scheda video potrebbe essere proprio questo il caso
controlla...


per rimuovere winsys... dipende da cosa è?

ti consiglio una letturina di questo mio articolo
http://www.tweakness.net/articoli/a6.php

Originariamente inviato da netquik
ciao
allora se sei sicuro che non sia bagle (anche dopo scansione online)

ti consiglio di fare un po di scansioni antispy
(dato che l'altro winsys che conosco è uno spyware)

i vari programmi dovresti conoscerli...

in più ti suggerirei di postare il log di HijackThis
http://www.spywareinfo.com/~merijn/downloads.html


mm.. hai una scheda madre MSI
e la scheda video?
io parlavo dei driver della scheda video Nvidia MSI
se hai integrata la scheda video potrebbe essere proprio questo il caso
controlla...


per rimuovere winsys... dipende da cosa è?

ti consiglio una letturina di questo mio articolo
http://www.tweakness.net/articoli/a6.php


Piano piano seguirò tutti i tuoi passi, per ora ho fatto:

Scansione AD-Aware 6, nulla di particolare.

Scansione http://www.spywareinfo.com/xscan.php, tutto ok.

Scansione on line della symantec, tutto ok.

Ho letto il tuo articolo e mi appresto ad eliminare le voci del registro e degli altri file, ma non sai proprio suggerirmi dove è collocato quel benedetto file???

Cmq ho una scheda video Radeon 8500 della xelo.

Non ho componenti NVIDIA.

Grazie, ciao

Credo sia il caso di spostare in Antivirus e Sicurezza
;)

per Psiche
Sì hai ragione :oink:

per Oberon80

è strano...
cmq prima di eliminare chiavi di registro (cerca solo winsys, non eliminare nient'altro)

posta il log di hijackthis...

poi per trovare il file usa Cerca

lo hai già fatto?
bhè forse non hai attivato i file nascosti da Opzioni Cartella nel pannello di controllo...

Originariamente inviato da netquik
per Psiche
Sì hai ragione :oink:

per Oberon80

è strano...
cmq prima di eliminare chiavi di registro (cerca solo winsys, non eliminare nient'altro)

posta il log di hijackthis...

poi per trovare il file usa Cerca

lo hai già fatto?
bhè forse non hai attivato i file nascosti da Opzioni Cartella nel pannello di controllo...


Dopo aver selezionato winsys.exe e fatto fix, ecco il log:

Logfile of HijackThis v1.97.7
Scan saved at 18.16.21, on 13/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Sicurezza\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Sicurezza\Alwil Software\Avast4\aswUpdSv.exe
C:\Sicurezza\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\SICURE~1\ALWILS~1\Avast4\ashDisp.exe
C:\SICURE~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\winsys.exe
C:\Internet\INCRED~1\bin\IMApp.exe
C:\Documents and Settings\Mister X\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0410&pver=6.0&ar=home
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SmcService] C:\SICURE~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] C:\SICURE~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\SICURE~1\ALWILS~1\Avast4\ashmaisv.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Internet\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38149.1699537037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F107C1C6-1325-47EE-970C-AF96427EBB8A}: NameServer = 80.21.163.20 151.99.125.1

Ho fatto cerca con la visualizzazione dei file nascosti, non c'è.

non trovo nulla di anormale...


è strano che non risulti winsys in System32...

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

qui non hai nulla a riguardo?

hai visto nel win.ini???

o anche nel system.ini?

Dopo aver selezionato winsys.exe e fatto fix, ecco il log:

Ciao,

si, :) sembrava strano anche a me, poi leggendo meglio ho notato la frase quotata, quindi tutto ok.

Il log è stato preso dopo aver fissato.

Errore mio, rimetto il log prima del fix:


Logfile of HijackThis v1.97.7
Scan saved at 19.27.01, on 13/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Sicurezza\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Sicurezza\Alwil Software\Avast4\aswUpdSv.exe
C:\Sicurezza\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\SICURE~1\ALWILS~1\Avast4\ashDisp.exe
C:\SICURE~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\winsys.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programmi\Adobe\Acrobat 5.0\Acrobat\Acrobat.exe
C:\Programmi\File comuni\Adobe\Web\AOM.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10MT2.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10RN2.EXE
C:\Internet\INCRED~1\bin\IncMail.exe
C:\Internet\INCRED~1\bin\IMApp.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Mister X\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SmcService] C:\SICURE~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] C:\SICURE~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\SICURE~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [Microsoft Update] winsys.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /runonce
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\RunServices: [Microsoft Update] winsys.exe
O4 - HKCU\..\Run: [Microsoft Update] winsys.exe
O4 - Global Startup: E_SPSU01.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SPSU01.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Internet\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38149.1699537037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F107C1C6-1325-47EE-970C-AF96427EBB8A}: NameServer = 80.21.163.20 151.99.125.1



Scusate per il disguido

ah...

quindi hai pulito tutto e non c'è più nulla?

cmq prima di rifare hijack forse dovevi riavviare

perchè io mi sono confuso visto che il processo era ancora in esecuzione anche nel log fixato...

Forse ci siamo...

Allora, quel programmino li (hijackthis) da solo non aveva risolto un bel nulla (ad ogni riavvio ricompariva).

Mi sono ricordato di aver letto che questo winsys.exe era si appoggiava ad outlook express, quindi l'ho disinstallato.

A questo punto ho eliminato personalmente tutte le chiavi relative a winsys.exe nel registro ed ho eseguito:
hijackthis,
ad-aware,
vj16 tool,
spybot

e forse, non ne sono sicuro, l'ho debellato. Sicuramente non si avvia da un po'.

Vi ringrazio ancora per l'aiuto datomi.

Alla prossima.

leggiti quest'altro thread
http://forum.hwupgrade.it/showthread.php?s=&postid=4800755#post4800755



anche se hai già fatto vari scan (inutili ?!) antivirus

prova a fare una passata con lo stinger Mcafee

Originariamente inviato da netquik
leggiti quest'altro thread
http://forum.hwupgrade.it/showthread.php?s=&postid=4800755#post4800755



anche se hai già fatto vari scan (inutili ?!) antivirus

prova a fare una passata con lo stinger Mcafee

Grazie mille, eseguo subito lo stinger:) :)

ho lo stesso prblema solo che a me è il virus w32.spybot.worm se cancello il winsys dal reg succede qlcs?
altrimenti suggerimenti?

usa lo stinger mcafee anche tu e vedi se lo debella

grazie mille ma ho risolto da me.
ciao.alla prox.:D

cmq ho usato lo stringer

no nn ci voleva è di nuovo sul pc.xke l'ha ripreso?

fai così...
scarica hijackThis


fai lo scan e salva il log


posta il log in un nuovo thread

(magari lascia il nome winsys)

e ci vediamo lì

cmq leggi questo
http://securityresponse.symantec.com/avcenter/venc/data/w32.spybot.worm.html


e scarica tutte le patch di sicurezza microsoft