Ciao.
In un batter d'occhio il pc ha è divenuto incontrollabile per 30 secondi e Windows Live Messenger ha autoinviato una directory compressa "image321.zip" con all'interno il file "image321_from_imageupload.exe" ai contatti in linea.

Che tipo di file è?

L'ho scansionato sia con F-Secure Client Security 2007 che con altri strumenti di scansione online ma non viene rilevato come virus, malware o spyware.

Nel Task Manager si è anche attivato il processo wbcmgr.exe che sicuramente non è un semplice file.

Grazie

credo che ti sei infettato col famoso virus di msn qui c'è la guida alla rimozione (http://www.hwupgrade.it/forum/showthread.php?t=1547867)
chiedo conferma agli esperti :)

Giusto che tu segua la guida. Però purtroppo nel momento in cui scrivo la versione 1.596 di MSNfix (http://sosvirus.changelog.fr/changelog.txt) non permette di rimuovere wbcmgr.exe, se è infetto come sospettiamo.
Sarebbe utile che tu facessi l'upload del file su www.virustotal.com e nel caso risultasse infetto riporta qui i risultati e fai l'upload anche qui:
http://upload.changelog.fr/

Ho eseguito l'upload del file "image321.zip" in virustotal.com


Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2007.12.1.0 2007.11.30 -
AntiVir 7.6.0.34 2007.11.30 -
Authentium 4.93.8 2007.12.01 -
Avast 4.7.1074.0 2007.12.02 Win32:Sramler-J
AVG 7.5.0.503 2007.12.02 -
BitDefender 7.2 2007.12.02 BehavesLike:Win32.ProcessHijack
CAT-QuickHeal 9.00 2007.12.01 -
ClamAV 0.91.2 2007.12.02 -
DrWeb 4.44.0.09170 2007.12.02 -
eSafe 7.0.15.0 2007.11.29 -
eTrust-Vet 31.3.5340 2007.11.30 -
Ewido 4.0 2007.12.02 -
FileAdvisor 1 2007.12.02 -
Fortinet 3.14.0.0 2007.12.02 -
F-Prot 4.4.2.54 2007.11.30 -
F-Secure 6.70.13030.0 2007.12.02 -
Ikarus T3.1.1.12 2007.12.02 Trojan-Dropper.Win32.Sramler.a
Kaspersky 7.0.0.125 2007.12.02 -
McAfee 5175 2007.11.30 -
Microsoft 1.3007 2007.12.02 -
NOD32v2 2697 2007.12.02 -
Norman 5.80.02 2007.11.30 -
Panda 9.0.0.4 2007.12.02 Suspicious file
Prevx1 V2 2007.12.02 -
Rising 20.20.62.00 2007.12.02 -
Sophos 4.23.0 2007.12.02 -
Sunbelt 2.2.907.0 2007.12.01 -
Symantec 10 2007.12.02 -
TheHacker 6.2.9.147 2007.12.01 -
VBA32 3.12.2.5 2007.12.02 -
VirusBuster 4.3.26:9 2007.12.01 -
Webwasher-Gateway 6.6.2 2007.12.01 -
Informazioni addizionali
File size: 47772 bytes
MD5: e7f94db5e6222bcca163247bd08c90a9
SHA1: 8b3713756a477ca23ae608a44805feb44f054f33

Sarebbe meglio se editassi il precedente post mettendo i risulati tra i tag code.
Comunque sembra che ti sei beccato un nuovo virus di messenger. Per quel file specifico (wbcmgr.exe) non esiste nessun link in rete che faccia pensare che sia legittimo. E' possibile rimuoverlo con Avenger se ci dici il percorso.

WBCMGR.EXE-01047946.pf si trova nella directory C:\WINDOWS\Prefetch

Come mai proprio in questa cartella?

Quello non dovrebbe essere il file infetto, infatti è *.pf. Per quel che ne so io nel prefetch ci sono le informazioni per eseguire più rapidamente i programmi.
A questo punto fai un log di HiJackThis e allegalo con la funzione gestisci allegati. inoltre ti consiglio anche una scansione con A-Sqaured free e prevx csi. Anche di questi allega il log.
Così dovremmo riuscire ad individuarne il percorso esatto.

P.S. Se non lo hai fatto fai l'upload anche qui:
http://upload.changelog.fr/

WBCMGR.EXE-01047946.pf si trova nella directory C:\WINDOWS\Prefetch

Come mai proprio in questa cartella?

credo che puoi,forse devi,eliminare questo file nella cartella prefetch

Quello non dovrebbe essere il file infetto, infatti è *.pf. Per quel che ne so io nel prefetch ci sono le informazioni per eseguire più rapidamente i programmi.
A questo punto fai un log di HiJackThis e allegalo con la funzione gestisci allegati. inoltre ti consiglio anche una scansione con A-Sqaured free e prevx csi. Anche di questi allega il log.
Così dovremmo riuscire ad individuarne il percorso esatto.

P.S. Se non lo hai fatto fai l'upload anche qui:
http://upload.changelog.fr/

Ho allegato il log di HijackThis mentre per quanto riguarda la scansione con Prevx CSI non ho rilevato bad file.

Comunque credo che sia più utile se tu proseguissi nel thread ufficiale:

GUIDA alla rimozione virus da MSN Messenger [Thread semi-ufficiale]. (http://www.hwupgrade.it/forum/showthread.php?t=1547867)

Queste voci vanno fixate:

O4 - HKLM\..\Run: [Service Host] C:\DOCUME~1\marco\IMPOST~1\Temp\svchost.exe
O4 - HKLM\..\Run: [Wbcmgr] wbcmgr.exe

Comunque credo che si più utile se tu proseguissi nel thread ufficiale:

GUIDA alla rimozione virus da MSN Messenger [Thread semi-ufficiale]. (http://www.hwupgrade.it/forum/showthread.php?t=1547867)

Queste voci vanno fixate:

O4 - HKLM\..\Run: [Service Host] C:\DOCUME~1\marco\IMPOST~1\Temp\svchost.exe
O4 - HKLM\..\Run: [Wbcmgr] wbcmgr.exe

quoto ;)

Dopo che hai fixato quelle voci posta un nuovo log di HiJackThis. Postalo pure nell'altra discussione, anche senza riscrivere tutto ho già provveduto a fare un riassunto del tuo caso.

Dopo che hai fixato quelle voci posta un nuovo log di HiJackThis. Postalo pure nell'altra discussione, anche senza riscrivere tutto ho già provveduto a fare un riassunto del tuo caso.

Ora sembra andare tutto bene.

Allego il logfile anche in questa discussione giusto per continuità :cool:

questa voce la devi fixare:

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

nn so se è necessario disattivare il ripristino....

questa voce la devi fixare:

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

nn so se è necessario disattivare il ripristino....

fatto... Grazie

Quella voce fa parte della scheda audio realtek (http://www.bleepingcomputer.com/startups/ALCMTR.EXE-240.html). Fixarla comunque credo che non comporti nulla.

Il system restore andrebbe disabilitato, la voce inerente a ALCMTR.EXE puoi anche non fixarla e disabilitare il processo dall'avvio automatico.

:(
:doh: la prox volta sarò meno frettoloso...

Ricontrollando quello che ti ho fatto fare in precedenza mi sono accorto che devi fare anche questo:

Scarica Avenger (http://swandog46.geekstogo.com/avenger.zip). Eseguilo e seleziona Imput Script Manually, clicca sulla lente e inserisci:

Files to delete:
C:\DOCUME~1\marco\IMPOST~1\Temp\svchost.exe

Clicca sul semaforo, accetta e riavvia quando richiesto.
Poi allega il log che trovi in c:\avenger.

Poi devi anche controllare nel task manager se hai wbcmgr.exe, perchè deve ancora essere eliminato.

Ricontrollando quello che ti ho fatto fare in precedenza mi sono accorto che devi fare anche questo:

Scarica Avenger (http://swandog46.geekstogo.com/avenger.zip). Eseguilo e seleziona Imput Script Manually, clicca sulla lente e inserisci:



Clicca sul semaforo, accetta e riavvia quando richiesto.
Poi allega il log che trovi in c:\avenger.

File C:\DOCUME~1\marco\IMPOST~1\Temp\svchost.exe not found!



Poi devi anche controllare nel task manager se hai wbcmgr.exe, perchè deve ancora essere eliminato.

Nel task manager non è più presente wbcmgr.exe

Per praticità la guida per la rimozione del virus da MSN l'hai eseguita?

A quanto pare ti ho fatto solo perdere tempo. Quindi l'infezione non c'è più.
:wtf: Mi pareva di aver letto che fixando le voci O4 si rimuovessero solo le chiavi di avvio automatico nel registro. A quanto pare non sembra essere così.
Mi tocca rileggermi una guida seria di HiJackThis.:D

Per praticità la guida per la rimozione del virus da MSN l'hai eseguita?

Chill gli ho detto io che era inutile MSNFix, perchè dal changelog per ora la versione 1.596 non può rilevare wbcmgr.exe.
Lo puoi constatare anche qua:

http://www.p2pforum.it/forum/showthread.php?t=255452&page=2

P.S. Spero che abbia fatto l'upload sul sito dell'autore di msnfix.

Chill gli ho detto io che era inutile MSNFix, perchè dal changelog per ora la versione 1.596 non può rilevare wbcmgr.exe.
Lo puoi constatare anche qua:

http://www.p2pforum.it/forum/showthread.php?t=255452&page=2

P.S. Spero che abbia fatto l'upload sul sito dell'autore di msnfix.

Esatto! In qualsiasi caso avevo già fatto una scansione con msnfix e non aveva rilevato il file wbcmgr.exe.

Allora dovrebbe essere tutto apposto adesso.


Vi ringrazio per il vostro aiuto!!!:D

Chill gli ho detto io che era inutile MSNFix, perchè dal changelog per ora la versione 1.596 non può rilevare wbcmgr.exe.
Lo puoi constatare anche qua:

http://www.p2pforum.it/forum/showthread.php?t=255452&page=2

Spero che abbia fatto l'upload sul sito dell'autore di msnfix.

questo l'avevo capito, ma dal momento che la guida prevede diversi passaggi e l'utilizzo di diversi tool volevo capire che cosa aveva già fatto.

Mi pareva di aver letto che fixando le voci O4 si rimuovessero solo le chiavi di avvio automatico nel registro. A quanto pare non sembra essere così.
Mi tocca rileggermi una guida seria di HiJackThis.

non solo anche gli avvi previsti in esecuzione automatica

Ricapitolando

-Con Ccleaner ho fatto un pò di pulizia e svuotato la cartella Prefetch;
-LIVEKILL CLEAN MESSENGER e MSNFIX non hanno rilevato il file wbcmgr.exe, solamente svchost.exe;
-Come da vostre istruzioni ho fixato le voci opportune con HiJackThis

A grandi linee dovrebbe essere così :)

-Con Ccleaner ho fatto un pò di pulizia

mi premeva sapere questo e se hai disabilitato il system restore

-LIVEKILL CLEAN MESSENGER e MSNFIX non hanno rilevato il file wbcmgr.exe, solamente svchost.exe;


Ora comincia ad essermi più chiaro perchè Avenger non aveva trovato il file.
Potresti uppare il log di MSNfix e LiveKill?

mi premeva sapere questo e se hai disabilitato il system restore

No ho ancora disabilita il system restore.

Ora comincia ad essermi più chiaro perchè Avenger non aveva trovato il file.
Potresti uppare il log di MSNfix e LiveKill?

Ho solo il log di LiveKill mentre l'altro sfortunatamente l'ho già cancellato comunque nulla in riferimento al file incriminato.

Ora comincia ad essermi più chiaro perchè Avenger non aveva trovato il file.
Potresti uppare il log di MSNfix e LiveKill?

dipende o dalla sequenza nell'utilizzo dei tools vedi Ccleaner (non per nulla avevo chiesto se l'aveva utilizzato) o dal comando da inserire in Avenger che doveva essere:

Folders to delete: non Files to delete:

dipende o dalla sequenza nell'utilizzo dei tools vedi Ccleaner (non per nulla avevo chiesto se l'aveva utilizzato) o dal comando da inserire in Avenger che doveva essere:

Folders to delete: non Files to delete:

Più che altro vedendo il log di LiveKill penso che il file non lo ha trovato perchè era stato proprio LK ad eliminarlo.

La cosa mi fa pensare che LiveKill non si basi solamente sul database di MSNFix (stando a quello che è scritto nella homepage), ma forse anche su quello di MSNCleaner. Infatti nella versione 1.596 (http://sosvirus.changelog.fr/changelog.txt) non c'è questo percorso:

C:\DOCUMENTS AND SETTINGS\utente\IMPOSTAZIONI LOCALI\Temp\svchost.exe

Mentre nel database (http://www.forospyware.com/Msncleaner/) di MSNCleaner è presente ( *:\Documents and Settings\Usuario\Configuración local\Temp\svchost.exe).
E' un bene se LiveKill racchiude entrambi i database.

Più che altro vedendo il log di LiveKill penso che il file non lo ha trovato perchè era stato proprio LK ad eliminarlo.

è per questo che ho chiesto all'utente di indicare la sequenza, che io non posso certo sapere, o forse dopo il fix di HJT

La cosa mi fa pensare che LiveKill non si basi solamente sul database di MSNFix, ma forse anche su quello di MSNCleaner. Infatti nella versione 1.596 (http://sosvirus.changelog.fr/changelog.txt) non c'è questo percorso:

a proposito di MSNCleaner ti avevo già accennato qualcosa ricordi?

a proposito di MSNCleaner ti avevo già accennato qualcosa ricordi?

Ho controllato i PM e mi avevi parlato di MSN Repair. E mi avevi scritto che avevi la mia stessa impressione sui DB di MSNFix e LiveKill.:boh:

Non capisco quale attinenza ci possa essere tra due tool di rimozione (lLiveKill e MSNFix) ed un tool (MSN Repair) che corregge errori in caso di malfunzionamenti di MSN Messenger quando si deve eseguire l'accesso.
Lo stesso Valentino Marangi (che lo ha sviluppato) parla espressamente di:
..... il programma comincia a ripristinare chiavi di registro corrotte, librerie e a modificare file del programma che sono stati resi inutilizzabili con l’installazione di plugin per Windows Live Messenger.
Msn Repair corregge diversi errori di Windows Live Messenger, tra i più comuni:
Errore 80072ee6
Errore 80048820
Errore 81000314
Errore 80040111
Errore 800b0001
Errore 81000370

Mi è sfuggito qualcosa?.

Ho controllato i PM e mi avevi parlato di MSN Repair. E mi avevi scritto che avevi la mia stessa impressione sui DB di MSNFix e LiveKill.:boh:

su MSNFix e LiveKill stesse considerzioni, ma MSN Repair non c'entra nulla evidentemente non ho parlato con te.

Non capisco quale attinenza ci possa essere tra due tool di rimozione (lLiveKill e MSNFix) ed un tool (MSN Repair) che corregge errori in caso di malfunzionamenti di MSN Messenger quando si deve eseguire l'accesso.
Lo stesso Valentino Marangi (che lo ha sviluppato) parla espressamente di:

Mi è sfuggito qualcosa?.

E' cosa ti dovrebbe essere sfuggito ;)

E' cosa ti dovrebbe essere sfuggito ;)
E che ne so Socio :mbe: .... comunque ho pensato di inserire anche MSN Repair in Guida? tu che ne pensi?

E che ne so Socio :mbe: .... comunque ho pensato di inserire anche MSN Repair in Guida? tu che ne pensi?

da tenere a portata di mano

da tenere a portata di mano
Aggiudicato: prossimo aggiornamento della Guida fissato per domani.