[Win7]Wscript.exe e collegamenti su penna USB

[Razos]

Salve a tutti .
Il processo Wscript.exe , che risiede in C:/Windows/System32 dovrebbe essere un tranquillo file di sistema Miscrosoft , ma al computer di un mio amico sta facendo questo scherzo:
1) processo Updater collegato al suddetto processo Wscript nel menu avvio
2)Inserendo una pen drive ,ogni file presente nella penna viene clonato sulla penna stessa con un altro file che indica un collegamento al file originale .

Ulteriori informazioni :

• Nessun modo di eliminare il processo all'avvio (tramite msconfig , utility 'programmi ad avvio automatico' su RevoUnistaller, persino impostando a 0 il valore della chiave di registro corrispondendente in regedit/eliminando completamente la chiave) ; il processo(e la chiave di registro) vengono ripristinati già dopo il primo refresh .

• Effettuate scansioni con antivirus ,anti-malware ,adware cleaner in modalità normale e provvisoria .

Sistema Operativo : Windows 7 Home Premium SP1

[diana33]

Usa questo link -purtroppo e in inglese ,ma con il traduttore attivo ,penso che si potra capire bene .
http://www.file.net/process/wscript.exe.html

[Razos]

Quote:

Originariamente inviato da diana33

Usa questo link -purtroppo e in inglese ,ma con il traduttore attivo ,penso che si potra capire bene .
http://www.file.net/process/wscript.exe.html

Grazie per la risposta ma questo sito non offre molti spunti di soluzione
Nel mio caso Wscript è situato in C:/Windows/System32 e credo l'unico motivo per cui non è modificabile da quella locazione è perchè richiede privilegi superiori all'Admin ,quindi nulla di strano .
Infatti ho provato a reperire sul web la versione precendente (5.7.xxx) di questo eseguibile di Microsoft (la versione di Win 7 è 5.8.xxx purtroppo si trova solo nel cd del sistema operativo) ma non è possibile sostituire il file data la mancanza di permessi ( non funziona più come in Xp il comando dos at ora /interactive "cmd.exe" per ottenere i privilegi di system) .


Ho letto cercando sul forum Wscript.exe prima di postare che forse di per se questa applicazione è innocua ma il suo avvio allo start permette allo script malevolo di girare sulla macchina ..
Help !

[diana33]

Quote:

Originariamente inviato da Razos

Grazie per la risposta ma questo sito non offre molti spunti di soluzione
Nel mio caso Wscript è situato in C:/Windows/System32 e credo l'unico motivo per cui non è modificabile da quella locazione è perchè richiede privilegi superiori all'Admin ,quindi nulla di strano .
Infatti ho provato a reperire sul web la versione precendente (5.7.xxx) di questo eseguibile di Microsoft (la versione di Win 7 è 5.8.xxx purtroppo si trova solo nel cd del sistema operativo) ma non è possibile sostituire il file data la mancanza di permessi ( non funziona più come in Xp il comando dos at ora /interactive "cmd.exe" per ottenere i privilegi di system) .


Ho letto cercando sul forum Wscript.exe prima di postare che forse di per se questa applicazione è innocua ma il suo avvio allo start permette allo script malevolo di girare sulla macchina ..
Help !

Usa questo link per scaricarti il formato rar di takeownership- con questo ho persino modificato il timedate.cpl (per modificare la data e ora nel windows)e puoi prendere i permessi su qualsiasi file system. Se trovi su net oppure puoi copiare dal cd di installazzione il executabile , copialo dentro nella path di default (dove e la vecchia wscript rinominando questa come old o qualcosa del genere)

http://www.sevenforums.com/tutorials...-shortcut.html