Aiuto urgente x virus...Win xp

gilthas · 03-10-2004, 20:25

Oggi mi è successo un mezzo casino..cmq risolto ....solo che all'avvio di win xp si blocca per un po dopo messa la password dell'utente...poi compare un msg di errore ....dove win , tramite un msg di errore, mi avverte della mancanza del seguente files:
c:\windows\system32\fservice.exe

Ma lo avete anche voi sto files???

se si mandatemelo x posta....basta che me lo dite e vi lascio in pvt l'indirizzo....se invece non c'è può essere un files di qualche virus...

wgator · 03-10-2004, 21:25

Ciao,

bè... hai in qualche modo eliminato il trojan "prorat" (fservice.exe
era stato creato dal prorat) però nel registro di windows è ancora presente la chiave "run"

Puoi fare una ricerca nel registro e cancellare i riferimenti a fservice.exe, io però ti consiglio di usare hijackthis e fissare la chiave run di fservice.exe con quello, forse è più semplice

gilthas · 03-10-2004, 21:27

Quote:

Originariamente inviato da wgator
Ciao,

bè... hai in qualche modo eliminato il trojan "prorat" (fservice.exe
era stato creato dal prorat) però nel registro di windows è ancora presente la chiave "run"

Puoi fare una ricerca nel registro e cancellare i riferimenti a fservice.exe, io però ti consiglio di usare hijackthis e fissare la chiave run di fservice.exe con quello, forse è più semplice

hijackthis è un programma x modificare il registro???

gilthas · 03-10-2004, 21:31

Il programma l'ho già scaricato..che dovrei fare ora ???

wgator · 03-10-2004, 21:41

Quote:

Originariamente inviato da gilthas
hijackthis è un programma x modificare il registro???

Ciao,

no,
hijackthis è un programmino che serve per analizzare il sistema al fine di scovare eventuali virus trojan o schifezze assortite e tutte le voci associate.

Se lo lanci, non troverai più l'eseguibile perchè lo hai già eliminato ma scorrendo le voci che ti mostra troverai sicuramente qualche riga che si riferisce a fservice.exe

Il programma ti permette di marcare la voce e di premere il tasto "Fix" per eliminarla

Per saperne di più su hijackthis, leggi questo tutorial in italiano di Netquik: http://www.tweakness.net/index.php?link=articoli/a7.php

hehe, avevo dimenticato il link

gilthas · 03-10-2004, 21:47

i files che si rifacevano a fservice.exe li ho già tolti...

FILE DI LOG

gilthas · 03-10-2004, 21:48

aggiunto files .rar

wgator · 03-10-2004, 21:49

Quote:

Originariamente inviato da gilthas
i files che si rifacevano a fservice.exe li ho già tolti...

FILE DI LOG

ehm... non c'è...

Incollalo direttamente nel messaggio, il regolamento lo permette

gilthas · 03-10-2004, 21:50

guarda il msg sopra

gilthas · 03-10-2004, 21:53

rimetto il files

gilthas · 03-10-2004, 22:04

hai visto il log..che dici ?

wgator · 03-10-2004, 22:08

Stai usando una vecchia versione di hijackthis, scarica quella del link che ho postato sopra.

Intanto, seleziona questo poi premi FIX

O2 - BHO: (no name) - {021BB032-80A8-4FB6-B3D5-CF27B1553B95} -
C:\WINDOWS\mslagent\4b_1,0,1,0_mslagent.dll (file missing)

Controlla se conosci queste voci, un paio sono dialer, le altre non so cosa siano:

O9 - Extra button: Inicio (HKLM)

O16 - DPF: {5F9D32ED-85A3-499F-83D1-BFF68E028340} (Vacpro.italy_ver2) -
h**p://www.7adpower.com/dialer/italy_ver2.CAB

O16 - DPF: {94F5DCB7-816C-4B94-A2C1-856C6E323C5B} -
http://h**p://akamai.downloadv3.com/...ce_4_EN_XP.cab

O16 - DPF: {9D0A9D98-5221-430A-A02D-76F0827C82D1} (ADialer Class) -
h**p://www.dialer-shop.com/im6/celebrita.cab

O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} -
h**p://www.desktoplife.net/1014061.exe

Dopo posta un nuovo log con la versione nuova di hijackthis

gilthas · 03-10-2004, 22:16

ho tolto solo la prima riga che hai consigliato...

ecco il log con la versione 1.98.2

wgator · 03-10-2004, 22:38

Ciao,

nel log non ho trovato riferimenti precisi ai residui del prorat però questi sono dialer e vanno cancellati:

O16 - DPF: {5F9D32ED-85A3-499F-83D1-BFF68E028340} (Vacpro.italy_ver2) -
h**p://www.7adpower.com/dialer/italy_ver2.CAB

O16 - DPF: {9D0A9D98-5221-430A-A02D-76F0827C82D1} (ADialer Class) -
h**p://www.dialer-shop.com/im6/celebrita.cab

Forse anche questo è un dialer, comunque sia lo puoi cancellare tranquillamente

O16 - DPF: {94F5DCB7-816C-4B94-A2C1-856C6E323C5B} -
h**p://akamai.downloadv3.com/binaries/LiveService/LiveService_4_EN_XP.cab

Per la pulizia manuale del registro dai residui del prorat, vedi anche qui:

http://www.trendmicro.com/vinfo/viru...BKDR_PRORAT.17

gilthas · 04-10-2004, 07:40

Quote:

Originariamente inviato da wgator
Ciao,

nel log non ho trovato riferimenti precisi ai residui del prorat però questi sono dialer e vanno cancellati:

O16 - DPF: {5F9D32ED-85A3-499F-83D1-BFF68E028340} (Vacpro.italy_ver2) -
h**p://www.7adpower.com/dialer/italy_ver2.CAB

O16 - DPF: {9D0A9D98-5221-430A-A02D-76F0827C82D1} (ADialer Class) -
h**p://www.dialer-shop.com/im6/celebrita.cab

Forse anche questo è un dialer, comunque sia lo puoi cancellare tranquillamente

O16 - DPF: {94F5DCB7-816C-4B94-A2C1-856C6E323C5B} -
h**p://akamai.downloadv3.com/binaries/LiveService/LiveService_4_EN_XP.cab

Per la pulizia manuale del registro dai residui del prorat, vedi anche qui:

http://www.trendmicro.com/vinfo/viru...BKDR_PRORAT.17

ho fatto tutto è non mi segnala + la mancanza del files.....visto che è stato rimosso dal registro....cmq oggi vedo anche il link che mi hai dato e rifaccio qualche controllo......Grazie di tutto

03-10-2004, 20:25	#1
gilthas Senior Member Iscritto dal: May 2003 Città: Roma Messaggi: 2967	Aiuto urgente x virus...Win xp Oggi mi è successo un mezzo casino..cmq risolto ....solo che all'avvio di win xp si blocca per un po dopo messa la password dell'utente...poi compare un msg di errore ....dove win , tramite un msg di errore, mi avverte della mancanza del seguente files: c:\windows\system32\fservice.exe Ma lo avete anche voi sto files??? se si mandatemelo x posta....basta che me lo dite e vi lascio in pvt l'indirizzo....se invece non c'è può essere un files di qualche virus...

03-10-2004, 21:25	#2
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Ciao, bè... hai in qualche modo eliminato il trojan "prorat" (fservice.exe era stato creato dal prorat) però nel registro di windows è ancora presente la chiave "run" Puoi fare una ricerca nel registro e cancellare i riferimenti a fservice.exe, io però ti consiglio di usare hijackthis e fissare la chiave run di fservice.exe con quello, forse è più semplice __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

03-10-2004, 22:08	#12
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Stai usando una vecchia versione di hijackthis, scarica quella del link che ho postato sopra. Intanto, seleziona questo poi premi FIX O2 - BHO: (no name) - {021BB032-80A8-4FB6-B3D5-CF27B1553B95} - C:\WINDOWS\mslagent\4b_1,0,1,0_mslagent.dll (file missing) Controlla se conosci queste voci, un paio sono dialer, le altre non so cosa siano: O9 - Extra button: Inicio (HKLM) O16 - DPF: {5F9D32ED-85A3-499F-83D1-BFF68E028340} (Vacpro.italy_ver2) - hp://www.7adpower.com/dialer/italy_ver2.CAB O16 - DPF: {94F5DCB7-816C-4B94-A2C1-856C6E323C5B} - http://hp://akamai.downloadv3.com/...ce_4_EN_XP.cab O16 - DPF: {9D0A9D98-5221-430A-A02D-76F0827C82D1} (ADialer Class) - hp://www.dialer-shop.com/im6/celebrita.cab O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - hp://www.desktoplife.net/1014061.exe Dopo posta un nuovo log con la versione nuova di hijackthis __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

03-10-2004, 22:38	#14
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Ciao, nel log non ho trovato riferimenti precisi ai residui del prorat però questi sono dialer e vanno cancellati: O16 - DPF: {5F9D32ED-85A3-499F-83D1-BFF68E028340} (Vacpro.italy_ver2) - hp://www.7adpower.com/dialer/italy_ver2.CAB O16 - DPF: {9D0A9D98-5221-430A-A02D-76F0827C82D1} (ADialer Class) - hp://www.dialer-shop.com/im6/celebrita.cab Forse anche questo è un dialer, comunque sia lo puoi cancellare tranquillamente O16 - DPF: {94F5DCB7-816C-4B94-A2C1-856C6E323C5B} - hp://akamai.downloadv3.com/binaries/LiveService/LiveService_4_EN_XP.cab Per la pulizia manuale del registro dai residui del prorat, vedi anche qui: http://www.trendmicro.com/vinfo/viru...BKDR_PRORAT.17 __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB

03-10-2004, 21:31	#4
gilthas Senior Member Iscritto dal: May 2003 Città: Roma Messaggi: 2967	Il programma l'ho già scaricato..che dovrei fare ora ???

03-10-2004, 21:47	#6
gilthas Senior Member Iscritto dal: May 2003 Città: Roma Messaggi: 2967	i files che si rifacevano a fservice.exe li ho già tolti... FILE DI LOG

03-10-2004, 21:50	#9
gilthas Senior Member Iscritto dal: May 2003 Città: Roma Messaggi: 2967	guarda il msg sopra

03-10-2004, 22:04	#11
gilthas Senior Member Iscritto dal: May 2003 Città: Roma Messaggi: 2967	hai visto il log..che dici ?

Strumenti
Mostra una versione stampabile Invia questa pagina per email