wmiprvse.exe & msmsgs.exe... forse W32/Sonebot-B & Agobot-Nl...

PIRATA! · 13-02-2005, 04:45

Ciao a tutti!
Ho un problemino.
Ho WinXP SP2 con Firewall attivo e NAV 2005 con Internet Worm Protector disabilitato (perchè da noia al Firewall del SP2... almeno così dicono...)

Dopo un po' che uso certi programmi, tipo iexplorer o edonkey, mi si piantano con relativo errore di winxp se voglio inviare, soprattutto per edonkey.
Allora ho iniziato a vedere quali sono i files in esecuzione del pc che possono essere dannosi.

Nel frattempo ho scoperto che ogni tanto mi si infilano degli spyware.
Se eseguo Spybot a distanza di un ora, becco sempre almeno un paio di spyware a botta.

Allora mi sono preoccupato veramente di scoprire cosa sia successo, ed ho visto che in Process Explorer ci sono wmiprvse.exe e msmsgs.exe che spesso sono collegato tra loro.

Soprattutto questo msmsgs.exe mi si carica senza che sia nel registro come file di avvio, ne se evito di aprire Outlook.

Ho letto in giro che potrebbero essere infetti da due worms e che i sintomi sono strani ed incerti, ma intaccano la sicurezza e possono causare il piantamento di programmi che interagiscono con la rete.

I worm in questione sarebbero W32/Sonebot-B per wmiprvse.exe & Agobot-Nl per msmsgs.exe.

Ho letto poi che il file wmiprvse.exe NON dovrebbe essere nella cartella wbem in system32, e che quindi tale posizione determina l'assoluta presenza di tale worm.
Questa cosa però è stata smentita da un altro sito che afferma invece che tale cartella è la sua cartella nativa e che DEVE essere solo li dentro.

Voi che mi dite??
Esistono dei removal tools che possano rimuovere tali worms??
Come faccio a sistemare sto cavolo di pc?????

Vi prego aiutatemi.
Grazie!

ercolino · 13-02-2005, 11:03

Levate quella ciofeca di Norton

Fai una scansione qui prima disabilita il ripristino di configurazione(restore)

http://it.trendmicro-europe.com/cons...all_launch.php

Delorean · 13-02-2005, 11:59

UN "paio" Di COSE:
1.se non ho capito male non hai nessuna prova che i 2 file siano infettati dai 2 worm
2.il firewall di win xp non è un firewall (serio) ....dagli fuoco!!!
3.(sinceramente neanche Norton è tnto serio ma se l'hai comprato ce lo dobbiamo tenere.
quindi:
1.procurati un firewall degno di 'sto nome...(URL=http://www.agnitum.com/download/]Outpost[/url] per esempio va benissimo ed è pure gratis)
2.procurati una anti spyware (spybot S&D 1.3 AGGIORNATO!!!)
3.configura bene norton e tieni anche questo sempre aggiornato!!!

Se fai uno scan con Spybot e non ti trova niente difficilmente c'è qualcosa...(in spybot ci sono anche delle regole dda impostare per bloccare l'installazione degli spyware, se li configuri benenon te ne troverai più sul tuo pc...)
Se vuoi puoi fare lo scan on line ma non so a quanto possa servire realmente....
prova a postare i log di hjackthis

PIRATA! · 13-02-2005, 19:15

Allora... il concetto è il seguente:

Ho dei piantamenti di non so che natura di alcuni programmi.
Per ora li ho solo riscontrati con eDonkey2000 e con IExplorer.

Il primo me lo fa anche dopo averlo reinstallato.
Il secondo me lo fa una volta ogni tanto.

In più a questo ci metto il fatto che ogni qualche ora, se faccio una scansione con Spybot, becco sempre circa un paio di spyware, talvolta uguali ma anche diversi da quelli precedenti, la maggior parte sotto forma di cookie.

Se poi guardo i processi attivi a pc riavviato con l'utilizzo di Process Explorer, vedo che ho wmiprvse.exe e msmsgs.exe caricati insieme sotto un svchost.exe (se usate Process Explorer capirete di cosa parlo).

Dopo un po che ho il pc accese, se carico Outlook, wmiprvse.exe sparisce e viene rimpiazzato da winword.exe, insieme a msmsgs.exe sempre sotto lo stesso svchost.exe di pirma.

A questo ci aggiungo il fatto che QUI c'è scritto che il file wmiprvse.exe NON deve essere nella cartella WBEM perchè sarebbe segno che si ha il virus W32/Sonebot-B e che in tal caso si deve cancellare da tale cartella insieme a determinati percorsi del registro.
Io ho quel file in quella cartella, ma non ho nessun percorso del registro segnato in quel thread, e se cancello quel file, se aggiorno la pagina ecco che ci rispunta!!!

Se faccio un log con HijackThis! e lo espongo nel compilatore automatico online QUI ho come risposta che è tutto SICURO o OK tranne che per queste 4 cose qui sotto:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://umail.rules.it/ - Abbastanza sospetto

O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - D:\Programmi\Network Programs\VisualRoute\vrie.dll - Abbastanza sospetto

O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - D:\Programmi\Network Programs\VisualRoute\vrie.dll - Abbastanza sospetto

O17 - HKLM\System\CCS\Services\Tcpip\..\{79949E38-97F3-4547-95B5-B0214F2D5BD0}: NameServer = X.X.X.X - Abbastanza sospetto

Il primo è l'indirizzo che ho impostato come sito di apertura di IExplorer, che altro non è che un redirect alla pagina per controllare la posta elettronica della Tin.it online.

Quelli di mezzo sono riferiti ad un programma che ho installato che utilizz per tracciare i siti.

L'ultimo (che ho modificato con delle X) altro non è che l'IP del mio modem/router.

SONO DISPERATOOO!!!

eraser · 13-02-2005, 21:36

per il dubbio se sono infetti oppure no mandami i files a fileanalysis@email.it

PIRATA! · 14-02-2005, 14:38

Quote:

Originariamente inviato da eraser
per il dubbio se sono infetti oppure no mandami i files a fileanalysis@email.it

Ti ringrazio tantissimo per la cosa.
Appena arrivo a casa stasera lo faccio subito.

Ti vorrei però chiedere come fai a vedere se sono infetti.
Cioè... usi dei programmi particolari top secret o adotti delle procedure abbastanza sicure da poter dirmi in modo da valutare se prenderle in considerazione??

Inoltre vorrei puntualizzare su un fatto, e cioè quello che se i files che ti mando NON risultassero infetti, non è possibile che siano però utilizzato da qualche spybot o worm per effettuare operazioni diverse da quelle per le quali sono stati progettati??

Cmq il svchost.exe sotto il quale questi due files si trovano allo startup visualizzando il tutto con Process Explorer è quel svchost.exe che, se terminato, mi compare il countdown dello shutdown del sistema come il vecchio sasser.
Ora il fatto è che se non ricordo male tale svchost.exe è un esecuzione implementata da Microsoft per evitare il caso sasser, ma quello che mi chiedo è: come mai questi due file si attaccano e vanno sotto proprio a quel svchost.exe???????

Se è tutto ok, vorrei sapere allora perchè ho dei piantamenti di alcuni programmi e come mai ogni qualche ora, se faccio una scansione con Spybot, becco sempre almeno gli stessi due spyware, che sono inerenti a due rispettivi cookie nei files temporanei di iexlorer????

Grazie.

PIRATA! · 15-02-2005, 12:47

Quote:

Originariamente inviato da eraser
per il dubbio se sono infetti oppure no mandami i files a fileanalysis@email.it

Mail finalmente mandata.
Ti ho allegato anche due screenshots di Process Explorer che ho fatto proprio poco fa, il primo subito dopo il boot di Windows ed il secondo mentre ti scrivevo l'email.

PIRATA! · 15-02-2005, 15:19

Quote:

Originariamente inviato da ercolino
Levate quella ciofeca di Norton

Fai una scansione qui prima disabilita il ripristino di configurazione(restore)

http://it.trendmicro-europe.com/cons...all_launch.php

Congratulations, you have a clean system!

Ed allora?!?

MrOZ · 15-02-2005, 19:53

per informazione, chi ti ha detto che quei file sono infetti???

l'hai dedotto tu dal nome dei files e cercando poi analoghi nomi su internet oppure è il risultato di una scansione fatta con qualche prog???

gt1750 · 16-02-2005, 17:38

msmsgs.exe dovrebbe essere Windows Messenger, mentre wmiprvse.exe è un altro componente di Windows ( http://www.neuber.com/taskmanager/pr...prvse.exe.html )

Saluti

PIRATA! · 16-02-2005, 19:07

Quote:

Originariamente inviato da MrOZ
per informazione, chi ti ha detto che quei file sono infetti???

l'hai dedotto tu dal nome dei files e cercando poi analoghi nomi su internet oppure è il risultato di una scansione fatta con qualche prog???

L'ho dedotto leggendolo da altri forum che dicevano che tali files se infetti potevano causare comportamenti simili a quelli che avrei io...

Cmq ora ho provato a ripulire in un altra maniera il mio pc dagli spyware. Vediamo che succede...

Vi terrò informati, tanto al massimo se da problemi succede entro poche ore.

eraser · 16-02-2005, 19:29

quei due files non risultano infetti

13-02-2005, 04:45	#1
PIRATA! Senior Member Iscritto dal: Apr 2000 Città: Pisa, Italy Messaggi: 4973	wmiprvse.exe & msmsgs.exe... forse W32/Sonebot-B & Agobot-Nl... Ciao a tutti! Ho un problemino. Ho WinXP SP2 con Firewall attivo e NAV 2005 con Internet Worm Protector disabilitato (perchè da noia al Firewall del SP2... almeno così dicono...) Dopo un po' che uso certi programmi, tipo iexplorer o edonkey, mi si piantano con relativo errore di winxp se voglio inviare, soprattutto per edonkey. Allora ho iniziato a vedere quali sono i files in esecuzione del pc che possono essere dannosi. Nel frattempo ho scoperto che ogni tanto mi si infilano degli spyware. Se eseguo Spybot a distanza di un ora, becco sempre almeno un paio di spyware a botta. Allora mi sono preoccupato veramente di scoprire cosa sia successo, ed ho visto che in Process Explorer ci sono wmiprvse.exe e msmsgs.exe che spesso sono collegato tra loro. Soprattutto questo msmsgs.exe mi si carica senza che sia nel registro come file di avvio, ne se evito di aprire Outlook. Ho letto in giro che potrebbero essere infetti da due worms e che i sintomi sono strani ed incerti, ma intaccano la sicurezza e possono causare il piantamento di programmi che interagiscono con la rete. I worm in questione sarebbero W32/Sonebot-B per wmiprvse.exe & Agobot-Nl per msmsgs.exe. Ho letto poi che il file wmiprvse.exe NON dovrebbe essere nella cartella wbem in system32, e che quindi tale posizione determina l'assoluta presenza di tale worm. Questa cosa però è stata smentita da un altro sito che afferma invece che tale cartella è la sua cartella nativa e che DEVE essere solo li dentro. Voi che mi dite?? Esistono dei removal tools che possano rimuovere tali worms?? Come faccio a sistemare sto cavolo di pc????? Vi prego aiutatemi. Grazie! __________________ My (to-be-updated) SFF computer: Steve Simons Projects Old Stuff: [GUIDA] RivaTuner : utili consigli e trucchi per gestire al meglio la nostra NVidia! \| NUOVO "FLashRd ver.3.0 - FlashROM Disk for ATi Graphic Cards"

13-02-2005, 19:15	#4
PIRATA! Senior Member Iscritto dal: Apr 2000 Città: Pisa, Italy Messaggi: 4973	Allora... il concetto è il seguente: Ho dei piantamenti di non so che natura di alcuni programmi. Per ora li ho solo riscontrati con eDonkey2000 e con IExplorer. Il primo me lo fa anche dopo averlo reinstallato. Il secondo me lo fa una volta ogni tanto. In più a questo ci metto il fatto che ogni qualche ora, se faccio una scansione con Spybot, becco sempre circa un paio di spyware, talvolta uguali ma anche diversi da quelli precedenti, la maggior parte sotto forma di cookie. Se poi guardo i processi attivi a pc riavviato con l'utilizzo di Process Explorer, vedo che ho wmiprvse.exe e msmsgs.exe caricati insieme sotto un svchost.exe (se usate Process Explorer capirete di cosa parlo). Dopo un po che ho il pc accese, se carico Outlook, wmiprvse.exe sparisce e viene rimpiazzato da winword.exe, insieme a msmsgs.exe sempre sotto lo stesso svchost.exe di pirma. A questo ci aggiungo il fatto che QUI c'è scritto che il file wmiprvse.exe NON deve essere nella cartella WBEM perchè sarebbe segno che si ha il virus W32/Sonebot-B e che in tal caso si deve cancellare da tale cartella insieme a determinati percorsi del registro. Io ho quel file in quella cartella, ma non ho nessun percorso del registro segnato in quel thread, e se cancello quel file, se aggiorno la pagina ecco che ci rispunta!!! Se faccio un log con HijackThis! e lo espongo nel compilatore automatico online QUI ho come risposta che è tutto SICURO o OK tranne che per queste 4 cose qui sotto: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://umail.rules.it/ - Abbastanza sospetto O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - D:\Programmi\Network Programs\VisualRoute\vrie.dll - Abbastanza sospetto O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - D:\Programmi\Network Programs\VisualRoute\vrie.dll - Abbastanza sospetto O17 - HKLM\System\CCS\Services\Tcpip\..\{79949E38-97F3-4547-95B5-B0214F2D5BD0}: NameServer = X.X.X.X - Abbastanza sospetto Il primo è l'indirizzo che ho impostato come sito di apertura di IExplorer, che altro non è che un redirect alla pagina per controllare la posta elettronica della Tin.it online. Quelli di mezzo sono riferiti ad un programma che ho installato che utilizz per tracciare i siti. L'ultimo (che ho modificato con delle X) altro non è che l'IP del mio modem/router. SONO DISPERATOOO!!! __________________ My (to-be-updated) SFF computer: Steve Simons Projects Old Stuff: [GUIDA] RivaTuner : utili consigli e trucchi per gestire al meglio la nostra NVidia! \| NUOVO "FLashRd ver.3.0 - FlashROM Disk for ATi Graphic Cards" Ultima modifica di PIRATA! : 15-02-2005 alle 13:41.

13-02-2005, 21:36	#5
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6394	per il dubbio se sono infetti oppure no mandami i files a fileanalysis@email.it __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

16-02-2005, 19:29	#12
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6394	quei due files non risultano infetti __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

13-02-2005, 11:03	#2
ercolino Senior Member Iscritto dal: Feb 2003 Città: Torino Messaggi: 3708	Levate quella ciofeca di Norton Fai una scansione qui prima disabilita il ripristino di configurazione(restore) http://it.trendmicro-europe.com/cons...all_launch.php

13-02-2005, 11:59	#3
Delorean Registered User Iscritto dal: Jul 2004 Messaggi: 146	UN "paio" Di COSE: 1.se non ho capito male non hai nessuna prova che i 2 file siano infettati dai 2 worm 2.il firewall di win xp non è un firewall (serio) ....dagli fuoco!!! 3.(sinceramente neanche Norton è tnto serio ma se l'hai comprato ce lo dobbiamo tenere. quindi: 1.procurati un firewall degno di 'sto nome...(URL=http://www.agnitum.com/download/]Outpost[/url] per esempio va benissimo ed è pure gratis) 2.procurati una anti spyware (spybot S&D 1.3 AGGIORNATO!!!) 3.configura bene norton e tieni anche questo sempre aggiornato!!! Se fai uno scan con Spybot e non ti trova niente difficilmente c'è qualcosa...(in spybot ci sono anche delle regole dda impostare per bloccare l'installazione degli spyware, se li configuri benenon te ne troverai più sul tuo pc...) Se vuoi puoi fare lo scan on line ma non so a quanto possa servire realmente.... prova a postare i log di hjackthis

15-02-2005, 19:53	#9
MrOZ Senior Member Iscritto dal: Jun 2003 Città: "Mantua me genuit" Trattative concluse: 1 fracco!!! Devianze: MacTard iMac 27" i5 2,8Ghz 4GB IPHONE 5 32GB Black Iscritto dal: Nov 2002 Messaggi: 4426	per informazione, chi ti ha detto che quei file sono infetti??? l'hai dedotto tu dal nome dei files e cercando poi analoghi nomi su internet oppure è il risultato di una scansione fatta con qualche prog???

16-02-2005, 17:38	#10
gt1750 Junior Member Iscritto dal: Jul 2004 Messaggi: 7	msmsgs.exe dovrebbe essere Windows Messenger, mentre wmiprvse.exe è un altro componente di Windows ( http://www.neuber.com/taskmanager/pr...prvse.exe.html ) Saluti

Strumenti
Mostra una versione stampabile Invia questa pagina per email