AIUTO URGENTE! virus wmssvc.exe

[M4x87]

salve, facendo una scansione con a2squared free è stato rilevato questo virus nella directory C:\WINDOWS\wmssvc.exe ma purtroppo essendo il file di sola lettura non è possibile cancellarlo, ho provato ad eseguire la scansione all'avvio ma non lo cancella lo stesso, nemmeno se prima lo metto in quarantena e poi provo ad eliminarlo.

ho fatto vari tentativi con vundofix ma non ha rilevato nessun virus, così come spy-bot s&d non ha rilevato nulla, hijackthis non lo rileva nemmeno, cosa posso fare per eliminarlo?

è un casino questo virus, non mi fà formattare c: non mi fà partire il boot da cd, non mi fà installare alcuni programmi, rallenta e a volte rende impossibile la connessione, aiutatemi grazie!

[wjmat]

Ciao

quel file potrebbe non essere l'unico ospite indesiderato quindi segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio), e secondo le regole di sezione

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi.

• Se il sistema dovesse essere molto compromesso, e non dovessi riuscire a seguire la guida, prova ad effettuare le prime 4 scansioni da modalità provvisoria, se non bastasse effettua prima una scansione con il rescue cd di Kaspersky o di Avira per fare una pulizia preliminare.
• In caso di continui riavvi, schermate blu, ecc.. stacca eventuali hardware nuovi, magari incompatibili e per escludere problemi con quelli già in uso fai un controllo del disco e della RAM
  
• Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nel bigino in firma guarda alla voce Portabilità di ogni programma, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente aggiornato sul pc infetto
  
• Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione
  
• Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
• Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

link caricamento log generici ► fileqube.com ■ wikisend.com ■ freefilehosting.net
link caricamento immagini ► fileqube.com ■ picoodle.com ■ imageshack.us ■ freefilehosting.net

[M4x87]

allora per ordine indico tutti i passaggi che ho fatto con i relativi log

1) disattivato ripristino di sistema

2) scaricato ATF-Cleaner avviata pulizia, ma "firefox" nel menu non poteva essere cliccato

3)Malwarebytes Anti-Malware aggiornato, eseguita scansione completa eliminati i file come detto nella guida, ecco il log http://www.fileqube.com/file/pOCLgAH199884

4) A-Squared Free aggiornato eseguita scansione completa trovato solo il già citato file come nella scansione che avevo già fatto C:\WINDOWS\wmssvc.exe

5)F-Secure OnLine indirizzo non trovato , nemmeno se provo ad aprire il sito ufficiale dopo averlo cercato da google

6)Dr.Web CureIT come sopra

7)ESET SysInspector come punto 5)

8)HiJackThis ecco il link del log http://www.fileqube.com/file/rNvYIa199885

9) Gmer non ho cancellato nessun file tra quelli trovati ecco il link del log con i file in rosso segnati http://www.fileqube.com/file/gDLMdaw199886

10) Prevx 3.0 anche lui trova solo il solito file C:\WINDOWS\wmssvc.exe ma c'è bisogno della licenza per cancellaro

fatto, adesso ditemi cos'altro devo fare e cosa devo cancellare da gmer
p.s. non ditemi di usare trend micro sys clean dato che non mi parte la modalita provvisoria...

[wjmat]

fai girare e carica il log di Combofix (leggi bene le info)

[M4x87]

ecco il log di combofix http://wikisend.com/download/439718/ComboFix.txt

cosa faccio con quello che ha trovato gmer? cancello tutto senza problemi?

[wjmat]

sistemiamo tutto con combofix

• Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
• Apri il Blocco Note e incolla tutto il codice qui sotto

Quote:

Driver::
xekkmhpd

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"wmssvc.exe"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3024:TCP"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\xekkmhpd]
[-HKLM\SYSTEM\ControlSet001\Services\xekkmhpd]
[-HKLM\SYSTEM\CurrentControlSet\Services\xekkmhpd]

File::
c:\windows\system32\kjjhdwls.dll
c:\windows\wmssvc.exe

Netsvc::
xekkmhpd

• Salva il file sul Desktop come CFScript.txt
• Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
• al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

[Chill-Out]

Dove sono i log?

Edit: visto l'unico log disponibile la Guida da seguire è questa http://www.hwupgrade.it/forum/showthread.php?t=1984665

[M4x87]

ecco il nuovo link del log di combofix, spero di avere finito http://wikisend.com/download/445970/ComboFix.txt

effettivamente molti siti di antivirus non li apre, ma non solo

[M4x87]

mi dice che ci sono problemi col proxy..bho..

[M4x87]

cosi per curiosità ho fatto un nuovo scan con gmer che ha trovato un nuovo processo nascosto in rosso ecco il log http://wikisend.com/download/488108/gmer.log

[Chill-Out]

Quote:

Originariamente inviato da M4x87

cosi per curiosità ho fatto un nuovo scan con gmer che ha trovato un nuovo processo nascosto in rosso ecco il log http://wikisend.com/download/488108/gmer.log

Devi seguire passo passo questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1984665 scollegando il PC dalla LAN esattamente come indicato, altrimenti è tutto vano

Attendiamo i log nel 3D appena indicato

[M4x87]

allora, dopo avere seguito la guida per filo e per segno, pubblico i log

1) BDTOOLS REMOVE http://wikisend.com/download/500472/...nladup.Gen.log

2)ComboFix http://wikisend.com/download/583426/ComboFix.txt

3) Gmer http://wikisend.com/download/211876/gmer.log

fatemi sapere...

[wjmat]

solita procedure con combo

Codice:

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\mougfxhh]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3024:TCP"=-

File::
c:\windows\system32\kjjhdwls.dll

Netsvc::
mougfxhh

procedi con il caricamento log e successimi controlli nel 3d che ti ha indicato chill, in quanto dedicato a conficker

[M4x87]

scusate forse non ho capito bene, ma chill mi ha indicato il link con la guida, non mi ha indicato un thread, cmq oramai il log di combofix lo allego qui, ho rifatto i due test indicati nella guida per sapere se si è infettati da conficker ed entrambi sono puliti...

http://wikisend.com/download/552102/ComboFix.txt

[xcdegasp]

Quote:

Originariamente inviato da M4x87

scusate forse non ho capito bene, ma chill mi ha indicato il link con la guida, non mi ha indicato un thread, cmq oramai il log di combofix lo allego qui, ho rifatto i due test indicati nella guida per sapere se si è infettati da conficker ed entrambi sono puliti...

http://wikisend.com/download/552102/ComboFix.txt

la guida indicata è un thread che è appunto dedicato a quell'argomento ti chiedo pertanto la gentilezza di trasferirti in quello.

questo lo possiamo chiudere