|
|||||||
|
|
|
 |
|
|
Strumenti |
12-06-2004, 20:47
|
#1 |
|
Senior Member
Iscritto dal: Jun 2003
Città: Napoli
Messaggi: 377
|
winsys.exe, virus o servizio
Salve,
ho notato un processo winsys.exe nel task manager. Considerando che ho formattato da poco e che non ho mai visto questo task ho fatto una piccola ricerchina su internet ed ho notato che molti worm si rinominano winsys.exe. L'antivirus non rileva nulla e non riesco ad eliminarlo. Elimino le chiavi per l'avvio dal registro ma dopo un paio di riavvii ritorna. Qualcuno sa darmi info su questo processo????? E' un worm o cosa????? Grazie
__________________
"Camminare, costruire e, se necessario, combattere e vincere." "Anche se tutti, noi no!!!" W L'ITALIA!!!!!!!!!!!!! |
|
|
|
12-06-2004, 22:09
|
#2 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Ciao,
potrebbe essere il bagle.k Prova con questo tool di rimozione: http://www.symbolic.it/Rassegna/baglek.html Anche stinger è attrezzato per combattere il bagle: http://vil.nai.com/vil/stinger/ Eventualmente prova a lanciare da mod. provvisoria. Se hai il system restore attivato, disattivalo; forse il worm è finito anche la dentro...
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
|
|
|
12-06-2004, 22:38
|
#3 |
|
Senior Member
Iscritto dal: May 2001
Messaggi: 1740
|
quoto in pieno Wgator
volglio solo aggiungere qualcosa: il file in questione è un componente installato da parecchi worms così come un password stealer se stesso... strano però che il tuo antivirus non lo rilevi (lo hai aggiornato l'antivirus vero?  )Aggiungo un chicca pare che un file con lo stesso nome faccia parte dell'installazione dei driver Nvidia marcati MSI... quindi tienilo in considerazione... se hai problemi con l'antivirus puoi sempre fare una scansione online... tra la vasta scelta... http://housecall.trendmicro.com/hous...start_corp.asp
__________________
www.tweakness.net - Trucchi per il PC DECALOGO ANTISPY - GUIDA A HIJACKTHIS - GUIDA AI SERVIZI DI WIN XP - CONSIGLI ANTIVIRUS PER BART'S PE - SP2 SLIPSTREAMING - FAQ WINDOWS XPSP2 - I SERVIZI DOPO SP2 - XP SP2 UNATTENDED - GUIDA A nLite |
|
|
|
|
13-06-2004, 11:39
|
#4 |
|
Senior Member
Iscritto dal: Jun 2003
Città: Napoli
Messaggi: 377
|
Innanzitutto vi ringrazio per i suggerimenti.
X WGATOR: Per quanto riguarda bagle.k, ci avevo pensato anche io, ho infatti scaricato tool di rimozione della symantec ma, al termine della scansione, mi ha detto che non ha trovato nulla. Ho provato anche la procedura per rimuovere beagle ma anche li, pare che non abbia trovato nulla. X NETQUIK: L'antivirus è aggiornato ed ho fatto fare la scansine approfondita. Ho una MB MSI ma con chip VIA (KT333) quindi non dovrebbe essere un componente dei driver come suggerito. Proverò a fare la scansione on line come mi suggerisci e vi farò sapere. Pongo un'altra questione: Ma dove sta sto file winsys.exe???? Dopo aver eliminato il riferimento nel registro volevo eliminare fisicamente il file ma, a quanto pare, non esiste sul mio HD. Sapete dove posso pescarlo???? Nel frattempo, se qualcuno avesse qualche altro suggerimento, ovviamente è beneaccetto. Grazie
__________________
"Camminare, costruire e, se necessario, combattere e vincere." "Anche se tutti, noi no!!!" W L'ITALIA!!!!!!!!!!!!! |
|
|
|
|
13-06-2004, 12:49
|
#5 |
|
Senior Member
Iscritto dal: May 2001
Messaggi: 1740
|
ciao
allora se sei sicuro che non sia bagle (anche dopo scansione online) ti consiglio di fare un po di scansioni antispy (dato che l'altro winsys che conosco è uno spyware) i vari programmi dovresti conoscerli... in più ti suggerirei di postare il log di HijackThis http://www.spywareinfo.com/~merijn/downloads.html mm.. hai una scheda madre MSI e la scheda video? io parlavo dei driver della scheda video Nvidia MSI se hai integrata la scheda video potrebbe essere proprio questo il caso controlla... per rimuovere winsys... dipende da cosa è? ti consiglio una letturina di questo mio articolo http://www.tweakness.net/articoli/a6.php
__________________
www.tweakness.net - Trucchi per il PC DECALOGO ANTISPY - GUIDA A HIJACKTHIS - GUIDA AI SERVIZI DI WIN XP - CONSIGLI ANTIVIRUS PER BART'S PE - SP2 SLIPSTREAMING - FAQ WINDOWS XPSP2 - I SERVIZI DOPO SP2 - XP SP2 UNATTENDED - GUIDA A nLite |
|
|
|
|
13-06-2004, 13:57
|
#6 | |
|
Senior Member
Iscritto dal: Jun 2003
Città: Napoli
Messaggi: 377
|
Quote:
Piano piano seguirò tutti i tuoi passi, per ora ho fatto: Scansione AD-Aware 6, nulla di particolare. Scansione http://www.spywareinfo.com/xscan.php, tutto ok. Scansione on line della symantec, tutto ok. Ho letto il tuo articolo e mi appresto ad eliminare le voci del registro e degli altri file, ma non sai proprio suggerirmi dove è collocato quel benedetto file??? Cmq ho una scheda video Radeon 8500 della xelo. Non ho componenti NVIDIA. Grazie, ciao
__________________
"Camminare, costruire e, se necessario, combattere e vincere." "Anche se tutti, noi no!!!" W L'ITALIA!!!!!!!!!!!!! |
|
|
|
|
|
13-06-2004, 14:10
|
#7 |
|
Bannato
Iscritto dal: Oct 2001
Città: Bassa Bresciana
Messaggi: 9011
|
Credo sia il caso di spostare in Antivirus e Sicurezza
|
|
|
|
|
13-06-2004, 15:19
|
#8 |
|
Senior Member
Iscritto dal: May 2001
Messaggi: 1740
|
per Psiche
Sì hai ragione  per Oberon80 è strano... cmq prima di eliminare chiavi di registro (cerca solo winsys, non eliminare nient'altro) posta il log di hijackthis... poi per trovare il file usa Cerca lo hai già fatto? bhè forse non hai attivato i file nascosti da Opzioni Cartella nel pannello di controllo...
__________________
www.tweakness.net - Trucchi per il PC DECALOGO ANTISPY - GUIDA A HIJACKTHIS - GUIDA AI SERVIZI DI WIN XP - CONSIGLI ANTIVIRUS PER BART'S PE - SP2 SLIPSTREAMING - FAQ WINDOWS XPSP2 - I SERVIZI DOPO SP2 - XP SP2 UNATTENDED - GUIDA A nLite |
|
|
|
|
13-06-2004, 17:15
|
#9 | |
|
Senior Member
Iscritto dal: Jun 2003
Città: Napoli
Messaggi: 377
|
Quote:
Dopo aver selezionato winsys.exe e fatto fix, ecco il log: Logfile of HijackThis v1.97.7 Scan saved at 18.16.21, on 13/06/2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Sicurezza\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Sicurezza\Alwil Software\Avast4\aswUpdSv.exe C:\Sicurezza\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\SICURE~1\ALWILS~1\Avast4\ashDisp.exe C:\SICURE~1\ALWILS~1\Avast4\ashmaisv.exe C:\WINDOWS\System32\winsys.exe C:\Internet\INCRED~1\bin\IMApp.exe C:\Documents and Settings\Mister X\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.microsoft.com/isapi/redir...er=6.0&ar=home O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SmcService] C:\SICURE~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [avast!] C:\SICURE~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [ashMaiSv] C:\SICURE~1\ALWILS~1\Avast4\ashmaisv.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Internet\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...149.1699537037 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F107C1C6-1325-47EE-970C-AF96427EBB8A}: NameServer = 80.21.163.20 151.99.125.1 Ho fatto cerca con la visualizzazione dei file nascosti, non c'è.
__________________
"Camminare, costruire e, se necessario, combattere e vincere." "Anche se tutti, noi no!!!" W L'ITALIA!!!!!!!!!!!!! |
|
|
|
|
|
13-06-2004, 17:43
|
#10 |
|
Senior Member
Iscritto dal: May 2001
Messaggi: 1740
|
non trovo nulla di anormale...
è strano che non risulti winsys in System32... HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices qui non hai nulla a riguardo?
__________________
www.tweakness.net - Trucchi per il PC DECALOGO ANTISPY - GUIDA A HIJACKTHIS - GUIDA AI SERVIZI DI WIN XP - CONSIGLI ANTIVIRUS PER BART'S PE - SP2 SLIPSTREAMING - FAQ WINDOWS XPSP2 - I SERVIZI DOPO SP2 - XP SP2 UNATTENDED - GUIDA A nLite |
|
|
|
|
13-06-2004, 17:54
|
#11 |
|
Senior Member
Iscritto dal: May 2001
Messaggi: 1740
|
hai visto nel win.ini???
o anche nel system.ini?
__________________
www.tweakness.net - Trucchi per il PC DECALOGO ANTISPY - GUIDA A HIJACKTHIS - GUIDA AI SERVIZI DI WIN XP - CONSIGLI ANTIVIRUS PER BART'S PE - SP2 SLIPSTREAMING - FAQ WINDOWS XPSP2 - I SERVIZI DOPO SP2 - XP SP2 UNATTENDED - GUIDA A nLite Ultima modifica di netquik : 13-06-2004 alle 17:56. |
|
|
|
|
13-06-2004, 18:23
|
#12 | |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Quote:
si,  sembrava strano anche a me, poi leggendo meglio ho notato la frase quotata, quindi tutto ok.Il log è stato preso dopo aver fissato.
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
|
|
|
|
13-06-2004, 18:25
|
#13 |
|
Senior Member
Iscritto dal: Jun 2003
Città: Napoli
Messaggi: 377
|
Errore mio, rimetto il log prima del fix:
Logfile of HijackThis v1.97.7 Scan saved at 19.27.01, on 13/06/2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Sicurezza\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Sicurezza\Alwil Software\Avast4\aswUpdSv.exe C:\Sicurezza\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\SICURE~1\ALWILS~1\Avast4\ashDisp.exe C:\SICURE~1\ALWILS~1\Avast4\ashmaisv.exe C:\WINDOWS\System32\winsys.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\Programmi\Adobe\Acrobat 5.0\Acrobat\Acrobat.exe C:\Programmi\File comuni\Adobe\Web\AOM.exe C:\WINDOWS\system32\ntvdm.exe C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10MT2.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10RN2.EXE C:\Internet\INCRED~1\bin\IncMail.exe C:\Internet\INCRED~1\bin\IMApp.exe C:\Programmi\Internet Explorer\iexplore.exe C:\Documents and Settings\Mister X\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SmcService] C:\SICURE~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [avast!] C:\SICURE~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [ashMaiSv] C:\SICURE~1\ALWILS~1\Avast4\ashmaisv.exe O4 - HKLM\..\Run: [Microsoft Update] winsys.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /runonce O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42" O4 - HKLM\..\RunServices: [Microsoft Update] winsys.exe O4 - HKCU\..\Run: [Microsoft Update] winsys.exe O4 - Global Startup: E_SPSU01.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SPSU01.EXE O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Internet\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...149.1699537037 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F107C1C6-1325-47EE-970C-AF96427EBB8A}: NameServer = 80.21.163.20 151.99.125.1 Scusate per il disguido
__________________
"Camminare, costruire e, se necessario, combattere e vincere." "Anche se tutti, noi no!!!" W L'ITALIA!!!!!!!!!!!!! |
|
|
|
|
13-06-2004, 18:36
|
#14 |
|
Senior Member
Iscritto dal: May 2001
Messaggi: 1740
|
ah...
quindi hai pulito tutto e non c'è più nulla? cmq prima di rifare hijack forse dovevi riavviare perchè io mi sono confuso visto che il processo era ancora in esecuzione anche nel log fixato...
__________________
www.tweakness.net - Trucchi per il PC DECALOGO ANTISPY - GUIDA A HIJACKTHIS - GUIDA AI SERVIZI DI WIN XP - CONSIGLI ANTIVIRUS PER BART'S PE - SP2 SLIPSTREAMING - FAQ WINDOWS XPSP2 - I SERVIZI DOPO SP2 - XP SP2 UNATTENDED - GUIDA A nLite |
|
|
|
|
14-06-2004, 11:17
|
#15 |
|
Senior Member
Iscritto dal: Jun 2003
Città: Napoli
Messaggi: 377
|
Forse ci siamo...
Allora, quel programmino li (hijackthis) da solo non aveva risolto un bel nulla (ad ogni riavvio ricompariva). Mi sono ricordato di aver letto che questo winsys.exe era si appoggiava ad outlook express, quindi l'ho disinstallato. A questo punto ho eliminato personalmente tutte le chiavi relative a winsys.exe nel registro ed ho eseguito: hijackthis, ad-aware, vj16 tool, spybot e forse, non ne sono sicuro, l'ho debellato. Sicuramente non si avvia da un po'. Vi ringrazio ancora per l'aiuto datomi. Alla prossima.
__________________
"Camminare, costruire e, se necessario, combattere e vincere." "Anche se tutti, noi no!!!" W L'ITALIA!!!!!!!!!!!!! |
|
|
|
|
14-06-2004, 12:41
|
#16 |
|
Senior Member
Iscritto dal: May 2001
Messaggi: 1740
|
leggiti quest'altro thread
http://forum.hwupgrade.it/showthread...55#post4800755 anche se hai già fatto vari scan (inutili ?!) antivirus prova a fare una passata con lo stinger Mcafee
__________________
www.tweakness.net - Trucchi per il PC DECALOGO ANTISPY - GUIDA A HIJACKTHIS - GUIDA AI SERVIZI DI WIN XP - CONSIGLI ANTIVIRUS PER BART'S PE - SP2 SLIPSTREAMING - FAQ WINDOWS XPSP2 - I SERVIZI DOPO SP2 - XP SP2 UNATTENDED - GUIDA A nLite |
|
|
|
|
14-06-2004, 16:33
|
#17 | |
|
Senior Member
Iscritto dal: Jun 2003
Città: Napoli
Messaggi: 377
|
Quote:
__________________
"Camminare, costruire e, se necessario, combattere e vincere." "Anche se tutti, noi no!!!" W L'ITALIA!!!!!!!!!!!!! |
|
|
|
|
|
27-06-2004, 10:37
|
#18 |
|
Senior Member
Iscritto dal: Dec 2002
Messaggi: 6308
|
ho lo stesso prblema solo che a me è il virus w32.spybot.worm se cancello il winsys dal reg succede qlcs?
altrimenti suggerimenti? |
|
|
|
|
27-06-2004, 11:32
|
#19 |
|
Senior Member
Iscritto dal: May 2001
Messaggi: 1740
|
usa lo stinger mcafee anche tu e vedi se lo debella
__________________
www.tweakness.net - Trucchi per il PC DECALOGO ANTISPY - GUIDA A HIJACKTHIS - GUIDA AI SERVIZI DI WIN XP - CONSIGLI ANTIVIRUS PER BART'S PE - SP2 SLIPSTREAMING - FAQ WINDOWS XPSP2 - I SERVIZI DOPO SP2 - XP SP2 UNATTENDED - GUIDA A nLite |
|
|
|
|
27-06-2004, 12:39
|
#20 |
|
Senior Member
Iscritto dal: Dec 2002
Messaggi: 6308
|
grazie mille ma ho risolto da me.
ciao.alla prox. 
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 12:32.
