Hardware Upgrade Forum - View Single Post - wmiprvse.exe & msmsgs.exe... forse W32/Sonebot-B & Agobot-Nl...

PIRATA! · 13-02-2005, 19:15

Allora... il concetto è il seguente:

Ho dei piantamenti di non so che natura di alcuni programmi.
Per ora li ho solo riscontrati con eDonkey2000 e con IExplorer.

Il primo me lo fa anche dopo averlo reinstallato.
Il secondo me lo fa una volta ogni tanto.

In più a questo ci metto il fatto che ogni qualche ora, se faccio una scansione con Spybot, becco sempre circa un paio di spyware, talvolta uguali ma anche diversi da quelli precedenti, la maggior parte sotto forma di cookie.

Se poi guardo i processi attivi a pc riavviato con l'utilizzo di Process Explorer, vedo che ho wmiprvse.exe e msmsgs.exe caricati insieme sotto un svchost.exe (se usate Process Explorer capirete di cosa parlo).

Dopo un po che ho il pc accese, se carico Outlook, wmiprvse.exe sparisce e viene rimpiazzato da winword.exe, insieme a msmsgs.exe sempre sotto lo stesso svchost.exe di pirma.

A questo ci aggiungo il fatto che QUI c'è scritto che il file wmiprvse.exe NON deve essere nella cartella WBEM perchè sarebbe segno che si ha il virus W32/Sonebot-B e che in tal caso si deve cancellare da tale cartella insieme a determinati percorsi del registro.
Io ho quel file in quella cartella, ma non ho nessun percorso del registro segnato in quel thread, e se cancello quel file, se aggiorno la pagina ecco che ci rispunta!!!

Se faccio un log con HijackThis! e lo espongo nel compilatore automatico online QUI ho come risposta che è tutto SICURO o OK tranne che per queste 4 cose qui sotto:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://umail.rules.it/ - Abbastanza sospetto

O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - D:\Programmi\Network Programs\VisualRoute\vrie.dll - Abbastanza sospetto

O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - D:\Programmi\Network Programs\VisualRoute\vrie.dll - Abbastanza sospetto

O17 - HKLM\System\CCS\Services\Tcpip\..\{79949E38-97F3-4547-95B5-B0214F2D5BD0}: NameServer = X.X.X.X - Abbastanza sospetto

Il primo è l'indirizzo che ho impostato come sito di apertura di IExplorer, che altro non è che un redirect alla pagina per controllare la posta elettronica della Tin.it online.

Quelli di mezzo sono riferiti ad un programma che ho installato che utilizz per tracciare i siti.

L'ultimo (che ho modificato con delle X) altro non è che l'IP del mio modem/router.

SONO DISPERATOOO!!!

13-02-2005, 19:15	#4
PIRATA! Senior Member Iscritto dal: Apr 2000 Città: Pisa, Italy Messaggi: 4973	Allora... il concetto è il seguente: Ho dei piantamenti di non so che natura di alcuni programmi. Per ora li ho solo riscontrati con eDonkey2000 e con IExplorer. Il primo me lo fa anche dopo averlo reinstallato. Il secondo me lo fa una volta ogni tanto. In più a questo ci metto il fatto che ogni qualche ora, se faccio una scansione con Spybot, becco sempre circa un paio di spyware, talvolta uguali ma anche diversi da quelli precedenti, la maggior parte sotto forma di cookie. Se poi guardo i processi attivi a pc riavviato con l'utilizzo di Process Explorer, vedo che ho wmiprvse.exe e msmsgs.exe caricati insieme sotto un svchost.exe (se usate Process Explorer capirete di cosa parlo). Dopo un po che ho il pc accese, se carico Outlook, wmiprvse.exe sparisce e viene rimpiazzato da winword.exe, insieme a msmsgs.exe sempre sotto lo stesso svchost.exe di pirma. A questo ci aggiungo il fatto che QUI c'è scritto che il file wmiprvse.exe NON deve essere nella cartella WBEM perchè sarebbe segno che si ha il virus W32/Sonebot-B e che in tal caso si deve cancellare da tale cartella insieme a determinati percorsi del registro. Io ho quel file in quella cartella, ma non ho nessun percorso del registro segnato in quel thread, e se cancello quel file, se aggiorno la pagina ecco che ci rispunta!!! Se faccio un log con HijackThis! e lo espongo nel compilatore automatico online QUI ho come risposta che è tutto SICURO o OK tranne che per queste 4 cose qui sotto: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://umail.rules.it/ - Abbastanza sospetto O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - D:\Programmi\Network Programs\VisualRoute\vrie.dll - Abbastanza sospetto O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - D:\Programmi\Network Programs\VisualRoute\vrie.dll - Abbastanza sospetto O17 - HKLM\System\CCS\Services\Tcpip\..\{79949E38-97F3-4547-95B5-B0214F2D5BD0}: NameServer = X.X.X.X - Abbastanza sospetto Il primo è l'indirizzo che ho impostato come sito di apertura di IExplorer, che altro non è che un redirect alla pagina per controllare la posta elettronica della Tin.it online. Quelli di mezzo sono riferiti ad un programma che ho installato che utilizz per tracciare i siti. L'ultimo (che ho modificato con delle X) altro non è che l'IP del mio modem/router. SONO DISPERATOOO!!! __________________ My (to-be-updated) SFF computer: Steve Simons Projects Old Stuff: [GUIDA] RivaTuner : utili consigli e trucchi per gestire al meglio la nostra NVidia! \| NUOVO "FLashRd ver.3.0 - FlashROM Disk for ATi Graphic Cards" Ultima modifica di PIRATA! : 15-02-2005 alle 13:41.