wmimgr32.dll

questo file che risiede nella cartella windows/system32
è impossbile da eliminare con qualsiasi antivirus fino ad ora esistito (giuro ho provato tutti: norton, antivir, drweb, nod32, panda, mcafee e altri che ora non mi vengono in mente)
se lo cancelli si ricrea, infetta un numero incredibile di file (da quelli della scheda video, a quelli delal tastiera, a msn)
manda in blocco gli antivirus, perchè ogni volta che gli dai l'opzioen di cancellarlo si ricrea...non si può mettere in quarantena, perchè viene identificato come file di sistema
non si può eliminare tramite modalità provvisoria
non si elimina se crei un bat in esecuzione automatica che lo cancelli all'avvio..
ragazzi le ho provate davvero tutte...
non si cancella nemmeno tramite formattazione

qualche aiuto?


questo è il log di hjack

Logfile of HijackThis v1.99.1
Scan saved at 11.35.12, on 03/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programmi\MessengerDiscovery\MessengerDiscovery Live.exe
C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Canon\CAL\CALMAIN.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Programmi\Mozilla Thunderbird\thunderbird.exe
C:\Documents and Settings\Nesis\Desktop\Pensuite\PENSUITE SYSTEM\Programmi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [EPSON Stylus D78 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\WINDOWS\TEMP\E_S87.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Alice ADSL.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferito portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Active Virus Shield (AVP) - Unknown owner - C:\Programmi\AOL\Active Virus Shield\avp.exe" -r (file missing)
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

ma il system restore l'avevi disabilitato?

quante partizioni hai? sicuro che dopo aver installato tutto non hai usato qualche crack infetto?
comunque scarica questo antivirus (ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe) e scansiona da provvisoria e disabilita il servizio di rispristino configurazione di sistema:

voci da fixare in HT ma non pericolose sono:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

fai eventualmente anche una passata con ccleaner.

ma il system restore l'avevi disabilitato?

quoto è indispensabile dovbrebbe trattarsi di questo W32.Sality, ho fatto una ricerchina veloce sia Norton che Antivir che Trend Micro lo beccano.
Ciao.

quoto è indispensabile dovbrebbe trattarsi di questo W32.Sality, ho fatto una ricerchina veloce sia Norton che Antivir che Trend Micro lo beccano.
Ciao.


quindi ke dovrei fare?

cmq non ho altre partizioni

Scansione on line con Trend Micro, ma il system restore l'avevi disabilitato?
Ciao.

Scansione on line con Trend Micro, ma il system restore l'avevi disabilitato?
Ciao.

ora l'ho disabilitato (è il ripristino configurazione di sistema?se è quello si)


drweb nn funziona in mod provvisoria
nemmeno ccleaner

ora l'ho disabilitato (è il ripristino configurazione di sistema?se è quello si)


drweb nn funziona in mod provvisoria
nemmeno ccleaner

Si è il ripristino configurazione di sistema che è una cosa diversa dalla modalità provvisoria, come detto sopra prova a fare una scansione on line con Trend Micro.
Ciao.

Si è il ripristino configurazione di sistema che è una cosa diversa dalla modalità provvisoria, come detto sopra prova a fare una scansione on line con Trend Micro.
Ciao.

niente, non funziona..possibile ke hanno fatto un virus impossibile da eliminare?

scansione con gmer e riporta le voci in rosso.

niente, non funziona..possibile ke hanno fatto un virus impossibile da eliminare?

Cosa vuol dire non funziona, non riesci a fare la scansione, lo scan non rileva l'infezione oppure non la disinfetta?
Ciao

fai una scan online con bitdefender panda e f-secure; il trendmicrose prende le mosche è grassa

fai una scan online con bitdefender panda e f-secure; il trendmicrose prende le mosche è grassa

Trend Micro non è certo all'altezza di F-Secure che usa l'engine del Kaspersky o Eset finalmente online, ma se l'infezione è questa "W32.Sality" l'acchiappa anche nelle sue varianti.

Cosa vuol dire non funziona, non riesci a fare la scansione, lo scan non rileva l'infezione oppure non la disinfetta?
Ciao


vuol dire ke trova il virus, ma nn lo riesce a eliminare..

Se hai salvato il report postalo grazie. In ogni caso devi disabilitare il ripristino di configurazione sistema e fare la scansione in modalità provvisoria.

Se hai salvato il report postalo grazie. In ogni caso devi disabilitare il ripristino di configurazione sistema e fare la scansione in modalità provvisoria.

f-secure e bitdef non temono confronti per la pulizia da servizio online

f-secure e bitdef non temono confronti per la pulizia da servizio online

non posso che quotare.

non posso che quotare.

non se mi ero interpretato bene; ma la frase era rivolta più a te che in generale; scommetto al 60% che sei un giovane che si sta affacciando adesso al mondo dell'informatica per dare consigli dopo aver fatto magari un po' di ricerche sulla rete e aver letto svariati numeri di riviste del settore; probabilmente però non hai avuro ancora il tempo o la possibilita di provare in prima persona questi prodotti; quindi visto che punto su di te come senior member rispettato e preparato nascente ti do dei consigli a finchè tu possa putacaso un giorno in cui noi non saremo disponibili affrontare e vincere brillantemente le sfide che ogni giorno si presentano su questo forum

non se mi ero interpretato bene; ma la frase era rivolta più a te che in generale; scommetto al 60% che sei un giovane che si sta affacciando adesso al mondo dell'informatica per dare consigli dopo aver fatto magari un po' di ricerche sulla rete e aver letto svariati numeri di riviste del settore; probabilmente però non hai avuro ancora il tempo o la possibilita di provare in prima persona questi prodotti; quindi visto che punto su di te come senior member rispettato e preparato nascente ti do dei consigli a finchè tu possa putacaso un giorno in cui noi non saremo disponibili affrontare e vincere brillantemente le sfide che ogni giorno si presentano su questo forum
Sono assolutamente disposto a recepire consigli. Attendo in MP
Ciao.

Sono assolutamente disposto a recepire consigli. Attendo in MP
Ciao.


ancora sta li... :cry:

in avenger immetti questo script:

Files to delete:
C:\Windows\system32\wmimgr32.dll


oppure prova a avviare in mod. provvisoria e cancellarlo.

al massimo si può provare a sovrascrivere su qst file...

Se non funziona il metodo di Bugs, sempre da avenger inserisci:

Files to replace with dummy:
C:\WINDOWS\system32\wmimgr32.dll