Malware ... all'avvio compare wmsncs.exe Cosa faccio?

[wjmat]

Quote:

Originariamente inviato da Orator

solo a-squared giusto?

si il deep scan di asquared

[Orator]

OK...ho rifatto la scansione completa con a-sqared e ho eliminato tutto.

log di a-squared http://www.fileqube.com/file/uozopOpXP146928
log di hijackthis http://www.fileqube.com/file/AMVgXbl146929

[wjmat]

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
  

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Codice:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvidMediaCenter] C:\Programmi\File comuni\System\wmsncs.exe
O4 - HKUS\S-1-5-18\..\Run: [Wins Service] C:\WINDOWS\System32\wins\wmsncs.exe (User 'SYSTEM')

[Orator]

Quote:

Originariamente inviato da wjmat

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
  

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Codice:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvidMediaCenter] C:\Programmi\File comuni\System\wmsncs.exe
O4 - HKUS\S-1-5-18\..\Run: [Wins Service] C:\WINDOWS\System32\wins\wmsncs.exe (User 'SYSTEM')

FATTO.

Durante la scansione con a-squared mi è comparsa una finestra di prevxcsi con 3 files infetti da curare, il problema è che non si possono curare con la versione free, ma ci vuole la lincense.
http://www.fileqube.com/file/AtBqeXid146937

Ora che si fa?

[wjmat]

carica il log testuale, le info nel bigino in firma o nella guida

[Orator]

Quote:

Originariamente inviato da wjmat

carica il log testuale, le info nel bigino in firma o nella guida

log testuale di cosa?

[wjmat]

Quote:

Originariamente inviato da Orator

log testuale di cosa?

di prevx per risalire ai file infetti

[Orator]

Quote:

Originariamente inviato da wjmat

di prevx per risalire ai file infetti

l'avevo già caricato prima http://www.fileqube.com/file/AtBqeXid146937

[wjmat]

testuale come quello che hai caricato qui
http://www.hwupgrade.it/forum/showpo...4&postcount=33

[Orator]

Quote:

Originariamente inviato da wjmat

testuale come quello che hai caricato qui
http://www.hwupgrade.it/forum/showpo...4&postcount=33

ah...in allegato! Ma cosa cambia? E' sempre quello...
Non me lo fa caricare, mi dice "invalid file".

devo caricarlo così?

log di prevexcsi: http://www.fileqube.com/file/sYHQXVk146772

[wjmat]

Quote:

Originariamente inviato da Orator

ah...in allegato! Ma cosa cambia? E' sempre quello...
Non me lo fa caricare, mi dice "invalid file"

su www.fileqube.com non va?

[Orator]

Quote:

Originariamente inviato da wjmat

su www.fileqube.com non va?

si funziona...ho appena provato a scaricarlo

[wjmat]

devi caricare l'ultimo log di prevx in formato testuale

[Orator]

log di prevx: http://www.fileqube.com/file/lULFpQ147225

[wjmat]

riscontri altri problemi?

[Orator]

Quote:

Originariamente inviato da wjmat

riscontri altri problemi?

Ti ringrazio ancora per l'aiuto.
Il messaggio di errore all'avvio è sparito.
Poi su hijackthis vedo ancora delle voci che contengono il file "wmsncs.exe", anche se diversi da quelli che mi hai fatto eliminare.
Dopo le scansioni è successo un errore del file CMD.exe e mi si è riavviato il PC.

Per il momento cmq va bene

[wjmat]

carico un log nuovo di hjt

[Orator]

Quote:

Originariamente inviato da wjmat

carico un log nuovo di hjt

log di hjt: http://www.fileqube.com/file/INoXtqpkT147242

[wjmat]

comincia a dare un occhio al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

importante
aggiornare Windows va al service pack 3
aggiornare Internet Explorer alla 7