Services.exe in C:\System Volume Information

[Razor9310]

Sono tre ore che cerco soluzioni ma non ho trovato nulla che faccia al caso mio.

Vi riassumo il problema: ci sono due file (services.exe e smss.exe) nella cartella Microsoft in C:\System Volume Information e due processi sempre aperti in Task Manager nominati services.exe (ovviamente ne il file si cancella e neppure i processi si chiudono).

Parallelamente ho visto che appaiono di tanto in tanto pubblicità sotto forma di browser che si apre random e la voce "Wave" del volume master che si abbassa fino a zero e quindi non mi permette di ascoltare nulla.

Ho installato Avira, Malwarebytes e Hijackthis.
Malwarebytes li rileva ma non esegue nulla, sono al limite della disperazione perchè il PC mi serve per lavoro.

Sono nelle vostre mani, non so più che fare.

Vi ringrazio anticipatamente, sono a completa disposizione.

[wjmat]

ciao

comincia a disattivare il ripristino conf. di sistema e fare scansioni complete con avira e mbam
avira configurato come indicato qui

[Razor9310]

Ciao wjmat

Ho configurato Avira secondo quelle specifiche, ho disattivato il ripristino conf. di sistema, ho scansionato con Avira e sembra che li abbia cancellati!

Ora sto scansionando ancora una volta con entrambi ma ho notato che ora di processi services.exe ce n'è solo uno (presumo quello legittimo...).
Sembra anche risolto il problema dell'audio.

Che dire, ti sono debitore!!

EDIT: purtroppo no, non ho risolto.
Ho riavviato e sono ricomparsi Che fare ora?

[Razor9310]

Allora, ho scansionato di nuovo ed Avira li ha eliminati di nuovo.

Come faccio per evitare che al prossimo riavvio non si ricreino?

[wjmat]

segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log in un unico post e secondo le regole di sezione (esempio1 & esempio2)
Qui trovi ulteriori dettagli e consigli per una corretta esecuzione della procedura

link caricamento log generici ► wikisend ■ fileqube
link caricamento immagini ► imageshack ■ fileqube

[Razor9310]

In precedenza ho fatto tutto il possibile, scansionando prima con Avira poi con MBAB.
Infine ho eseguito Hijackthis ed ecco il log: hijackthis.log

Se non dovesse bastare posso rifare tutto daccapo.

[wjmat]

prima di hjt ci sono altre scansioni quindi procedi per ordine e allega tutti i log, grazie

[Razor9310]

Queste sono le uniche scansioni che sono riuscito a fare: gli altri si bloccavano durante l'esecuzione e non ho tutta la giornata per poter tenere il computer fermo.

Eccole in ordine:

MBAB: mbam-log-2010-06-24 (12-56-29).txt

Dr.Web CureIT: CureIt.log

ESET SysInspector: SysInspector-ACER-13DB0A52D9-100625-0847.zip

HiJackThis: hijackthis.log

Prevx 3.0: prevx.log

In sostanza il problema non è tanto il file (Avira lo rimuove senza problemi, togliendo tutti i disturbi) ma evitare che ricompaia.
Insomma, non posso fare una scansione di 1h ogni volta per levarlo...

[wjmat]

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.4
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Codice:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.mywebsearch.com/mywebsearch/default.jhtml?ptnrS=GRman000&ptb=N.7._ S1J.aS.Vjau_Cedvw
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;*.local
O4 - S-1-5-18 Startup: AutorunsDisabled (User 'SYSTEM')
O4 - .DEFAULT Startup: AutorunsDisabled (User 'Default user')
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/it/uno1/GAME_UNO 1.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://razor9310.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55. cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

riprova gmer e se asquared non termina fai la scansione smart

[Yngwie74]

A lavoro abbiamo avuto un PC infetto con questo tipo di rootkit.
Unico modo in cui sono riuscito ad eliminare il problema e' stato l'utilizzo della console di ripristino da CD originale di WinXP con i comandi fixboot e fixmbr, poiche' e' proprio li' che andava ad annidarsi il nostro amico.

[Razor9310]

Ciao ragazzi, non mi sono fatto più vivo perchè alla fine ho preferito formattare e via.
Il problema era proprio quello descritto in quest'ultimo post...