|
|||||||
|
|
|
 |
|
|
Strumenti |
18-03-2010, 20:26
|
#1 |
|
Senior Member
Iscritto dal: Oct 2008
Città: Roma
Messaggi: 1300
|
mswinvks.exe
Salve a tutti,purtroppo mi sono imbattuto nel virus del titolo...essendo alle prime armi ho provveduto ad avviare hijackthis e a "fixare"una voce che conteneva il nome del virus..
adesso non mi da errori all'avvio ma per sicurezza volevo chiedervi se vi sono ancora infezioni(a prescindere da queste cosa devo fixare...?) grazie mille ps.il log lo ho fatto disconnesso da internet senza programmi aperti Codice:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.00.43, on 18/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Nero\Nero BackItUp 4\NBService.exe
C:\Programmi\Raxco\PerfectDisk10\PDAgent.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [egui] "C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programmi\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [ccleaner] "C:\Programmi\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Admin\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: mxClock.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A48C6D7-4F0F-4E8C-B16E-20E7166D972A}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{8A48C6D7-4F0F-4E8C-B16E-20E7166D972A}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{8A48C6D7-4F0F-4E8C-B16E-20E7166D972A}: NameServer = 192.168.1.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{8A48C6D7-4F0F-4E8C-B16E-20E7166D972A}: NameServer = 192.168.1.1
O17 - HKLM\System\CS4\Services\Tcpip\..\{8A48C6D7-4F0F-4E8C-B16E-20E7166D972A}: NameServer = 192.168.1.1
O17 - HKLM\System\CS5\Services\Tcpip\..\{8A48C6D7-4F0F-4E8C-B16E-20E7166D972A}: NameServer = 192.168.1.1
O17 - HKLM\System\CS6\Services\Tcpip\..\{8A48C6D7-4F0F-4E8C-B16E-20E7166D972A}: NameServer = 192.168.1.1
O17 - HKLM\System\CS7\Services\Tcpip\..\{8A48C6D7-4F0F-4E8C-B16E-20E7166D972A}: NameServer = 192.168.1.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programmi\File comuni\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk10\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk10\PDEngine.exe
--
End of file - 5377 bytes
|
|
|
|
18-03-2010, 20:27
|
#2 |
|
Senior Member
Iscritto dal: Oct 2008
Città: Roma
Messaggi: 1300
|
leggendo qualche altro topic ho deciso di avviare pure combofix..questo è il risultato:
Codice:
ComboFix 10-03-17.07 - Admin 18/03/2010 13.33.23.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.3071.2565 [GMT 1:00]
Eseguito da: c:\documents and settings\Admin\Documenti\Downloads\ComboFix.exe
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Resident AV is active
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system\oeminfo.ini
c:\windows\system32\mswins.dll
c:\windows\system32\mswins.sys
.
((((((((((((((((((((((((( Files Creati Da 2010-02-18 al 2010-03-18 )))))))))))))))))))))))))))))))))))
.
2010-03-18 12:33 . 2010-03-18 12:33 -------- d-----w- c:\documents and settings\Admin\Impostazioni locali\Dati applicazioni\ESET
2010-03-18 06:17 . 2010-03-18 06:17 -------- d-----w- c:\programmi\Trend Micro
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-16 19:10 . 2009-12-13 12:06 1 ----a-w- c:\documents and settings\Admin\Dati applicazioni\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-03-16 19:10 . 2009-12-13 12:02 -------- d-----w- c:\documents and settings\Admin\Dati applicazioni\vlc
2009-12-31 16:50 . 2008-04-13 10:15 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-21 19:06 . 2008-04-13 17:13 916480 ----a-w- c:\windows\system32\wininet.dll
2009-12-13 11:07 . 2009-12-13 11:06 24 --sha-w- c:\windows\S12AC8D40.tmp
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccleaner"="c:\programmi\CCleaner\ccleaner.exe" [2009-11-24 1738040]
"Google Update"="c:\documents and settings\Admin\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" [2009-12-13 135664]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-19 16844800]
"egui"="c:\programmi\ESET\ESET NOD32 Antivirus\egui.exe" [2009-10-01 2054360]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-12-13 149280]
"StartCCC"="c:\programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-11-24 98304]
"Start WingMan Profiler"="c:\programmi\Logitech\Gaming Software\LWEMon.exe" [2008-04-04 88584]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
c:\documents and settings\Admin\Menu Avvio\Programmi\Esecuzione automatica\
mxClock.exe [2006-10-12 720482]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ PDBoot.exe\0autocheck autochk *
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programmi\\KONAMI\\Pro Evolution Soccer 2010\\pes2010.exe"=
"c:\\Documents and Settings\\Admin\\Impostazioni locali\\Dati applicazioni\\Google\\Chrome\\Application\\chrome.exe"=
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [01/10/2009 15.06.40 108792]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [01/10/2009 15.07.30 96408]
R2 ekrn;ESET Service;c:\programmi\ESET\ESET NOD32 Antivirus\ekrn.exe [01/10/2009 15.06.52 735960]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [13/12/2009 12.10.06 691696]
.
Contenuto della cartella 'Scheduled Tasks'
2010-03-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-117609710-854245398-682003330-1003Core.job
- c:\documents and settings\Admin\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2009-12-13 10:49]
2010-03-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-117609710-854245398-682003330-1003UA.job
- c:\documents and settings\Admin\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2009-12-13 10:49]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
TCP: {8A48C6D7-4F0F-4E8C-B16E-20E7166D972A} = 192.168.1.1
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-18 13:35
Windows 5.1.2600 Service Pack 3 NTFS
scansione processi nascosti ...
scansione entrate autostart nascoste ...
Scansione files nascosti ...
Scansione completata con successo
Files nascosti: 0
**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
- - - - - - - > 'winlogon.exe'(776)
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2010-03-18 13:36:06
ComboFix-quarantined-files.txt 2010-03-18 12:36
Pre-Run: 923.278.520.320 byte disponibili
Post-Run: 923.239.141.376 byte disponibili
Current=6 Default=6 Failed=5 LastKnownGood=7 Sets=1,2,3,4,5,6,7
- - End Of File - - CC2F675FBA5AC20FE6D48CAF714EA73C
|
|
|
|
|
18-03-2010, 20:58
|
#3 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.
Modalità di pubblicazione dei log: Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.
__________________
Try again and you will be luckier.
|
|
|
|
|
30-05-2011, 10:15
|
#4 |
|
Member
Iscritto dal: Jan 2008
Messaggi: 95
|
Salve a tutti.
Un portatile in azienda, tutte le volte che viene acceso, segnala un errore di mancanza di un certo file, il mswinvks.exe che dovrebbe trovarsi in system32. Ho dato un'occhiata in giro e mi sembra di capire che sia segno della presenza di un virus abbastanza forte e rognoso da cancellare. Purtroppo ho pochissima esperienza in questo campo, ho avuto a che fare con il maledetto virus bagle che non sono mai riuscito a debellare, anche seguendo i passaggi che leggevo, se non formattando tutto. Questa volta devo evitare questa mossa molto drastica ma non so proprio come cominciare. Pensavo prima di tutto di fare una scansione che hijackthis e postarla ma vi chiedo la santissima pazienza di dirmi passo passo cosa fare...purtroppo faccio fatica a seguire le guide che avete realizzato perchè avrei bisogno di avere conferma di ogni passo che faccio. Si capisce? Intanto faccio lo scan con hijackthis e poi lo allego. Grazie per l'aiuto. |
|
|
|
|
30-05-2011, 10:36
|
#5 |
|
Member
Iscritto dal: Jan 2008
Messaggi: 95
|
Ho continuato a cercare in giro qualche soluzione/aiuto e ho visto che sul sito di hijackthis è possibile avere un piccolo riscontro del file di log prodotto dall'applicazione.
E' stato rilevato che mswinvks.exe non è sicuro così ho rifatto la scansione e ho eliminato quel file e anche il secondo che presenta lo stesso nome. Ho riavviato e adesso non segnala più l'errore ma ho come la strana sensazione che il problema non sia stato davvero risolto. Magari faccio una scansione anche con combofix e posto anche il suo log... |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 10:41.
