GUIDA alla rimozione virus da MSN Messenger (Thread semi-ufficiale).

[Chill-Out]

Quote:

Originariamente inviato da Riverside

Silvia, per favore, ti avevo chiesto se hai risolto il problema del services.exe seguendo l'ultimo suggerimento che ti avevo dato: mi servirebbe saperlo.

Poi devi ancora fare una cosa:

Per tornare a nascondere la Visualizzazione delle cartelle e file nascosti:
● Risorse del Computer
● in alto, nella barra degli strumenti clicca sulla voce Strumenti e poi sulla voce Opzioni Cartella
● nella finestra successiva clicca su Visualizzazione
metti il puntino alla voce non visualizzare cartelle e file nascosti e clicca su Applica e poi su OK

La cosa importante e riaprire subito Messenger, senza il Messenger non si può vivere

[Riverside]

Quote:

Originariamente inviato da spacconia

credo e spero di aver risolto: imparando a leggere ho seguito le istruzioni che avete dato ad altri utenti ed ecco il mio

Bene, ora ci siamo quasi: rilancia Hthis fixa questa voce:

O4 - HKCU\..\Run: [mount.exe] C:\Programmi\GiPo@Utilities\GiPo@FileUtilities\mount.exe /z

e pubblica un nuovo log

[sil83]

Quote:

Originariamente inviato da sil83

ce l'abbiamo fatta... cancellato!!! non nascondo di aver provato una leggera soddisfazione...

il problema è stato risolto seguendo la procedura che mi avevi detto di seguire!! sono riuscita finalmente a cancellarlo...

tolta anche la visualizzazione dei file nascosti...

devo riattivare anche il ripristino configurazione del sistema o è indifferente?

è possibile gentilmente chiederti delle cose in privato? grazie

[Riverside]

Quote:

Originariamente inviato da sil83

il problema è stato risolto seguendo la procedura che mi avevi detto di seguire!! sono riuscita finalmente a cancellarlo...

Perfetto: abbiamo trovato la procedura per risolvere la questione, senza ricorrere ad altri tool di rimozione.
E anche l'ultima variante del virus, è, definitivamente, sotto controllo

Quote:

tolta anche la visualizzazione dei file nascosti...

Ottimo.

Quote:

devo riattivare anche il ripristino configurazione del sistema o è indifferente?

Ti suggerisco di lasciarlo disattivato, per sempre.

Quote:

è possibile gentilmente chiederti delle cose in privato?

Credo sia, certamente, possibile

[sil83]

Quote:

Originariamente inviato da Chill-Out

La cosa importante e riaprire subito Messenger, senza il Messenger non si può vivere

ormai messenger è una dipendenza!!

ma... come vedere se abbiamo eliminato il problema senza aprire msn?

[spacconia]

Quote:

Originariamente inviato da Riverside

Bene, ora ci siamo quasi: rilancia Hthis fixa questa voce:

O4 - HKCU\..\Run: [mount.exe] C:\Programmi\GiPo@Utilities\GiPo@FileUtilities\mount.exe /z

e pubblica un nuovo log

ok: http://www.zshare.net/download/64831939ff95ee/
thanks..
poi?

[Riverside]

Quote:

Originariamente inviato da spacconia

ok..... poi?

Adesso si che ci siamo.
Prosegui con la terza parte della procedura ed al termine allega i log richiesti (evitando, possibilmente, di fare altra confusione).

[Chill-Out]

Quote:

Originariamente inviato da sil83

ormai messenger è una dipendenza!!

ma... come vedere se abbiamo eliminato il problema senza aprire msn?

Seguire la Guida ed i consigli che i vengono dati

Ho finito ora il secondo punto.
Questi sn i log risultanti: (scusa se 2 gli ho scritti e nn allegati)
MsnFix e KasperskyVirusRemovalTool sono riuscita ad allegarli.


LiveKillCleanMessenger

Codice:

 domenica 13 gennaio 2008 18.31.08 build 1256

Microsoft Windows XP Home Edition(it-IT)
503 Mo (RAM)
Last DataBase update : 1.624
C:\Programmi\LiveKillCleanMessenger
NORMAL MODE

C:\Documents and Settings\SARA DE LUZIA\Impostazioni locali\Temp\services.exe

Hijackthis

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.28.40, on 13/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MessengerSkinner\MessengerSkinner.exe
C:\Programmi\Windows Media Player\WMPNSCFG.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\PROGRA~1\hpq\Shared\HPQTOA~1.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\HThis\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {8E015787-B1E3-404a-95DE-3E71E1FA0305} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [WatchDog] C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [spa_start] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\spads.dll" DllVerify
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [AVP] "C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_13.01.2008_19-51.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - HKCU\..\Run: [messengerskinner] C:\Programmi\MessengerSkinner\MessengerSkinner.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [qnspmk] c:\documents and settings\sara de luzia\impostazioni locali\dati applicazioni\qnspmk.exe qnspmk
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DVD Check.lnk = C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4A85DBE0-BFB2-4119-8401-186A7C6EB653} - http://messenger.zone.msn.com/binary/MJSS.cab69309.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://larolandina.spaces.live.com/P...d/MsnPUpld.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary...o.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A7CD51D-0195-4315-8226-FB3613349DE6}: NameServer = 193.12.150.2 212.247.152.2
O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - D:\Player\__CDS2.dll (file missing)
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: setup_7.0.0.180_13.01.2008_19-51 - Kaspersky Lab - C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_13.01.2008_19-51.exe

--
End of file - 9850 bytes

[murack83pa]

nellla guida è indicato l'altra soluzione se nn si riesce ad allegarli...

[number_8]

con MSNFix dopo che do il comando "R" e schiaccio invio ho aspettato alcuni min e non è successo niente... è normale? o devo solo aspettare di più? grazie

[Chill-Out]

C:\DOCUME~1\NOME UTENTE\IMPOST~1\Temp\services.exe

il file in questione viene falciato da MSNfix vorrei proprio sapere come mai c'è lo ritroviamo in tutti i log di HJT

[Riverside]

Quote:

Originariamente inviato da Chill-Out

C:\DOCUME~1\NOME UTENTE\IMPOST~1\Temp\services.exe
il file in questione viene falciato da MSNfix vorrei proprio sapere come mai c'è lo ritroviamo in tutti i log di HJT

Non lo so ma abbiamo la soluzione, quindi è un problema minore Chill.

[Riverside]

Quote:

Originariamente inviato da _sarina_

Ho finito ora il secondo punto.
Questi sn i log risultanti: (scusa se 2 gli ho scritti e nn allegati)
MsnFix e KasperskyVirusRemovalTool sono riuscita ad allegarli.

Dai, per questa volta facciamo una eccezione (ma solo questa volta però ); ora li controllo tutti e ti faccio sapere.

[Riverside]

Quote:

Originariamente inviato da number_8

con MSNFix dopo che do il comando "R" e schiaccio invio ho aspettato alcuni min e non è successo niente... è normale? o devo solo aspettare di più? grazie

E tu da dove spunti? hai letto la Guida?.
E' mai possibile che non riusciate a seguire un semplice procedimento?.
Mi domando: è cosi complicata la procedura?.
Mancano diversi log, non hai indicato, neppure brevemente, che problema hai.
Rileggi la Guida, e seguila come deve essere seguita.

E poi dicono che mi incazzo.

[Riverside]

Quote:

Originariamente inviato da _sarina_

Ho finito ora il secondo punto.
Questi sn i log risultanti: (scusa se 2 gli ho scritti e nn allegati)
MsnFix e KasperskyVirusRemovalTool sono riuscita ad allegarli.

Sarina, ascolta (senza agitarti, tanto la cosa la risolviamo): oltre alla questione legata al virus preso da MSN Messenger, hai anche diversi altri problemi: temo anche problemi legati a Vundo e Beagle.
Quindi procedi in questo modo: esegui la terza parte della procedura ed allega i log che sono richiesti
Poi, domani, con tutta calma, un passo alla volta, anche con l'aiuto dei miei soci Chill e Lancetta, risolviamo tutto.

lo sapevo...sn un danno...

grazie mille! faccio la terza parte subito e ti mando il log..

ecco il log della scansione con HiJackThis

[c.m.g]

@ team di disinfezione:
non so se vi può interessare, ma mi faceva notare mausap sul suo blog che potrebbe essere utile anche usare prexvcsi come tool per questo virus.

[wildhorsetv]

Quote:

Originariamente inviato da wildhorsetv

tutto apposto adesso. vi ringrazio ancora.

dei problemi persistono, ma presumo non centrino con Virus di msn. Mia sorella mi ha riferito che la prima volta è sparito cursore mouse e bloccata la musica, la seconda volta si è proprio spento il computer da solo, come se si riavviasse.
La procedura per virus Msn è stata effettuata un paio di giorni fa.. problemi di riscaldamento pc o qualche altro tipo di virus?

Allìapertura del PC mi scrive:

richiesta del file 'msmpu401.sys' contenuto nel CD-ROM di Windows Xp home edition.

Digitare il percorso del file, quindi scegliere ok.

Copia file da:
C:\WINDOWS\PreInstall\i386