[risolto][winxp] msscntr32.exe - aspimgr - msscenter

[xcdegasp]

ottimo

[*utonta*]

Allora... asquared ha bloccato la scansione esattamente su msscntr32.exe e non fa più nulla, esattamente come aveva fatto avira... eppure io avevo anche specificato di volere la quarantena e definito la directory...

ps - ringrazio per la pazienza tutti quelli che mi stanno seguendo in questa disavventura!

[Nuz]

Oltre a SDFix anche MAlwarebytes Antimalware dovrebbe essere in grado di rimuoverlo.

Oppure prova manualmente con Avenger. Lo avvi e inserisci questo script:

Quote:

Files to delete:
C:\Windows\system32\msscntr32.exe

Clicca su execute. Al riavvio allega il log avenger.txt

[*utonta*]

Ho provato avenger come da post sotto visto che il problema è specifico, ma , poiché da quando ho il virus non riesco più a riavviare normalmente e neanche a spegnere normalmente se non con la forza, non ho potuto fare altro che spegnere e riaccendere per l'ennesima volta. Ho fatto partire una nuova scansione, e il file è ancora lì

[Nuz]

Scusa, ma hai problemi anche in modalità provvisoria?

Prova anche Malwarebytes Antimalware, come puoi vedere nel link sotto è in grado di rilevare il malware:

http://www.castlecops.com/p1092193-C...NTR32_EXE.html

Per cercare di migliorare l'usabilità del pc potresti provare a disattivare il servizio creato dal malware per autoavviarsi. Sempre da modalità provvisoria: in start clicca su esegui e inserisci:

services.msc

Poi vedi se esiste questo servizio:

Microsoft Security Center Extension (msscenter)

Se si, cliccaci due volte e vedi se in tipo di avvio ti fa impostare disattivato. Poi riavvia e vedi se le cose migliorano.

[*utonta*]

<purtroppo come dicevo il problema che ho per la modalità provvisoria è che NON riesco proprio a far partire la modalità provvisoria: se avvio e premo F8 e poi seleziono la modalità provvisoria, il pc resta indefinitamente con lo schermo nero.
Ho problemi in generale anche nel riavvio e nello spegnimento, che non funzionano più tramite start ma solo per forza bruta.
Comunque sto facendo la scansione con mbam, e anche questa, come tutte le scansioni, si blocca sul primo oggetto sospetto. Però in questo caso l'oggetto sospetto su cui si è piantato è un altro:
ltefx13n.dll.

Può aiutare la cosa?

[Nuz]

Se è la prima volta che avvii la modalità provvisoria allora potrebbe essere normale che ci mette molto tempo. Mi è capitato qualche mese fa un pc che avrà impiegato un quarto d'ora la prima volta che l'ho avviato in mod. provvisoria.



Da modalità normale prova ad aprire il Task Manager e termina il processo msscntr32.exe. Vedi se così il pc diventa usabile.

[*utonta*]

Nel task manager quel processo non appare... subdolo

Si', effettivamente è molto tempo che quel pc non viene riavviato in modalità provvisoria, provo ad aspettare un po' di più...

[wizard1993]

prova a terminare il processo con icesword, che è in grado di terminare questo e molto altro

[*utonta*]

Questo

Quote:

Originariamente inviato da Nuz

Per cercare di migliorare l'usabilità del pc potresti provare a disattivare il servizio creato dal malware per autoavviarsi. Sempre da modalità provvisoria: in start clicca su esegui e inserisci:

services.msc

Poi vedi se esiste questo servizio:

Microsoft Security Center Extension (msscenter)

Se si, cliccaci due volte e vedi se in tipo di avvio ti fa impostare disattivato. Poi riavvia e vedi se le cose migliorano.

sono riuscita a farlo: alla fine la modalità provvisoria è partita, il servizio c'era e l'ho impostato disattivato, ho riavviato ma non è cambiato nulla.

Intanto sto riprovando con mbam.

E questa è la news trovata nel frattempo sull'accaduto: trattasi di nuovissimo virus cinese
http://punto-informatico.it/p.aspx?i=2293199

edit: ragazzi , per stasera la mollo qui, la lotta contro i virus è sfiancante domani porto il pc al lavoro così tra una cosa e l'altra faccio altre prove e ricomincio a rompervi le scatole grazie a tutti

[Nuz]

Visto che la mod provvisoria va dovresti tentare con SDFix che è in grado di rimuoverlo, almeno stando a quanto è riportato qui:

http://downloads.andymanchesta.com/R...Fix_ReadMe.htm

[*utonta*]

Ok Nuz, provo domani che stasera sono cotta
al prossimo aggiornamento

[*utonta*]

Quote:

Originariamente inviato da Nuz

Visto che la mod provvisoria va dovresti tentare con SDFix che è in grado di rimuoverlo, almeno stando a quanto è riportato qui:

http://downloads.andymanchesta.com/R...Fix_ReadMe.htm

Siccome la curiosità è donna così come anche l'ansia di andare a fondo alle faccende, ho fatto quanto sopra... ebbene...

SEMBRA AVER FUNZIONATO!

Vi allego il report, che dice di aver eliminato il file in questione + un altro...
devo ancora verificare tutte le funzionalità, ma ora, intanto:
- mi fa aprire risorse del computer
- mi fa spegnere e riavviare via start
- va veloce come una scheggia

resta da provare a collegarlo ad internet e alcune altre cosine, ma questo, davvero, domani.

GRAZIE!

[xcdegasp]

Quote:

Originariamente inviato da *utonta*

Siccome la curiosità è donna così come anche l'ansia di andare a fondo alle faccende, ho fatto quanto sopra... ebbene...

SEMBRA AVER FUNZIONATO!

Vi allego il report, che dice di aver eliminato il file in questione + un altro...
devo ancora verificare tutte le funzionalità, ma ora, intanto:
- mi fa aprire risorse del computer
- mi fa spegnere e riavviare via start
- va veloce come una scheggia

resta da provare a collegarlo ad internet e alcune altre cosine, ma questo, davvero, domani.

GRAZIE!

benissimo ti ha rimosso:

Codice:

Name : 
aspimgr
msscenter

Path :
C:\WINDOWS\system32\aspimgr.exe 
C:\WINDOWS\system32\msscntr32.exe 

aspimgr - Deleted
msscenter - Deleted

Trojan Files Found:

C:\WINDOWS\s32.txt  - Deleted
C:\WINDOWS\system32\aspimgr.exe  - Deleted
C:\WINDOWS\system32\msscntr32.exe  - Deleted
C:\WINDOWS\ws386.ini  - Deleted

se vuoi rassicurarti e fare le scansioni della guida altriemnti se ritieni che il pc sia già pulito prosegui in Trattamento post infezione

[*utonta*]

ok, le faccio per sicurezza!
grazie di tutto

[xcdegasp]

noisiamo sempre qui sevuoi una nostra mano