windowsautomaticupdates.exe ..aiuto!!!

cesgrec · 03-03-2005, 10:48

windowsautomaticupdates.exe

Purtroppo stupidamente ho aperto un file che mi avevano inviato, eseguendolo, ed è apparsa per un secondo la classica finestrella nera della esecuzione di comandi DOS....

Alla fine mi sono ritrovato questo file, indicato da una strana icona a forma di ingranaggio rosso, e accompagnato da un secondo (e omonimo) file batch, nella cartella
C\WINDOWS\system32\

in un altro pc, stesso OS WinXP, in quella location questi files non ci sono!

direi che sono quanto meno sospetti!

scannerizzando col norton aggiornato non li vede come virus..

nelle proprietà indica che è stato creato a gennaio 2005
in una università degli USA ..

ho provato ad effettuare il ripristino del sistema, ma non me lo lascia fare.. non riuscito!

ho provato ad eliminarlo ma non si può, appare il messaggio che il file non si può rimuovere in quanto in uso dal sistema.

posso spostarlo, rinominarlo, ma non eliminarlo..

io quasi quasi intanto lo sposto da lì...

qualche idea per eliminarlo?

GRAZIEE

bluepix · 03-03-2005, 11:13

Posta un report di HJT

KU KU · 03-03-2005, 11:15

Quote:

Originariamente inviato da cesgrec
windowsautomaticupdates.exe

Purtroppo stupidamente ho aperto un file che mi avevano inviato, eseguendolo

ma come si fa...

cesgrec · 03-03-2005, 12:42

..non so se possa essere risolutivo,
ma ho avviato in modalità provvisoria e poi sono riuscito a cancellare i files sospetti...
voi che dite?

KU KU · 03-03-2005, 13:03

Quote:

Originariamente inviato da cesgrec
..non so se possa essere risolutivo,
ma ho avviato in modalità provvisoria e poi sono riuscito a cancellare i files sospetti...
voi che dite?

basta che fai una scansione con una paio di buoni antivirus (anche online), una passata di spybot, adaware,microsoft antispyware, hijackthis (fagli analizzare il log online).... e poi puoi considerarti perfettamente pulito

cesgrec · 03-03-2005, 13:07

..eccovi la scansione con hijackthis ...

alla fine trovate il famoso windowsautomaticupdates ..con il file mancante.. che vuol dire?

grazie
___________________________________________

Logfile of HijackThis v1.99.1
Scan saved at 14.00.48, on 03/03/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Speed Disk\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
C:\Hijackthis Scan Program\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.repubblica.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\Programmi\Dragon Systems\NaturallySpeaking\Program\web_ie.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {10003000-1000-0000-1000-000000000000} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100505200856
O16 - DPF: {6F74F92E-8DD8-4DDE-8FB8-CBB882A68048} (Microsoft Office XP Professional Step by Step Interactive) - file://C:\Programmi\Corso interattivo Microsoft\O10C\mitm0026.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://80.183.186.134:8080/activex/AxisCamControl.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C21D0443-8041-4ED6-9B98-D111BC98D78E} (VskDiagIE Class) - http://www.virtualskipper.com/vsk-proG/dl/npvsk.cab
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programmi\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\Programmi\Speed Disk\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Automatic Updates - Unknown owner - C:\WINDOWS\system32\windowsautomaticupdates.exe (file missing)

_________________________________________________

KU KU · 03-03-2005, 20:46

L'analisi del tuo log fornisce 3 avvertimenti:

1)
MSIE: Internet Explorer v6.00 (6.00.2600.0000) Possibly out of date
Possibly out of date

(aggiorna explorer)

2)
O16 - DPF: {10003000-1000-0000-1000-000000000000} -
This entry is possibly nasty.

3)
O23 - Service: Windows Automatic Updates - Unknown owner - C:\WINDOWS\system32\windowsautomaticupdates.exe (file missing) Unnecessarily

In pratica esegui Hijack, poi spunta le due voci "016" e "023" e clicca su FIX. A questo punto dovresti essere ripulito. (L'unico problema potrebbe essere la seconda voce, l'ultima e' solo un riferimento che ormai non serve piu' al file che tu hai gia' cancellato)

03-03-2005, 10:48	#1
cesgrec Senior Member Iscritto dal: Oct 2001 Messaggi: 245	windowsautomaticupdates.exe ..aiuto!!! windowsautomaticupdates.exe Purtroppo stupidamente ho aperto un file che mi avevano inviato, eseguendolo, ed è apparsa per un secondo la classica finestrella nera della esecuzione di comandi DOS.... Alla fine mi sono ritrovato questo file, indicato da una strana icona a forma di ingranaggio rosso, e accompagnato da un secondo (e omonimo) file batch, nella cartella C\WINDOWS\system32\ in un altro pc, stesso OS WinXP, in quella location questi files non ci sono! direi che sono quanto meno sospetti! scannerizzando col norton aggiornato non li vede come virus.. nelle proprietà indica che è stato creato a gennaio 2005 in una università degli USA .. ho provato ad effettuare il ripristino del sistema, ma non me lo lascia fare.. non riuscito! ho provato ad eliminarlo ma non si può, appare il messaggio che il file non si può rimuovere in quanto in uso dal sistema. posso spostarlo, rinominarlo, ma non eliminarlo.. io quasi quasi intanto lo sposto da lì... qualche idea per eliminarlo? GRAZIEE __________________ Cesarito Ultima modifica di cesgrec : 03-03-2005 alle 10:57.

03-03-2005, 12:42	#4
cesgrec Senior Member Iscritto dal: Oct 2001 Messaggi: 245	.. ..non so se possa essere risolutivo, ma ho avviato in modalità provvisoria e poi sono riuscito a cancellare i files sospetti... voi che dite? __________________ Cesarito

03-03-2005, 13:07	#6
cesgrec Senior Member Iscritto dal: Oct 2001 Messaggi: 245	.. ..eccovi la scansione con hijackthis ... alla fine trovate il famoso windowsautomaticupdates ..con il file mancante.. che vuol dire? grazie ___________________________________________ Logfile of HijackThis v1.99.1 Scan saved at 14.00.48, on 03/03/2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\Programmi\Norton AntiVirus\navapsvc.exe C:\Programmi\Norton Utilities\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programmi\Speed Disk\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ASUS\Probe\AsusProb.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe C:\Hijackthis Scan Program\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.repubblica.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\Programmi\Dragon Systems\NaturallySpeaking\Program\web_ie.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE O16 - DPF: {10003000-1000-0000-1000-000000000000} - O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100505200856 O16 - DPF: {6F74F92E-8DD8-4DDE-8FB8-CBB882A68048} (Microsoft Office XP Professional Step by Step Interactive) - file://C:\Programmi\Corso interattivo Microsoft\O10C\mitm0026.cab O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://80.183.186.134:8080/activex/AxisCamControl.ocx O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {C21D0443-8041-4ED6-9B98-D111BC98D78E} (VskDiagIE Class) - http://www.virtualskipper.com/vsk-proG/dl/npvsk.cab O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programmi\Norton Utilities\NPROTECT.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\Programmi\Speed Disk\nopdb.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Windows Automatic Updates - Unknown owner - C:\WINDOWS\system32\windowsautomaticupdates.exe (file missing) _________________________________________________ __________________ Cesarito

03-03-2005, 11:13	#2
bluepix Senior Member Iscritto dal: Dec 2004 Città: Magenta(MI) Messaggi: 1513	Posta un report di HJT

03-03-2005, 20:46	#7
KU KU Registered User Iscritto dal: Jan 2005 Messaggi: 549	L'analisi del tuo log fornisce 3 avvertimenti: 1) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Possibly out of date Possibly out of date (aggiorna explorer) 2) O16 - DPF: {10003000-1000-0000-1000-000000000000} - This entry is possibly nasty. 3) O23 - Service: Windows Automatic Updates - Unknown owner - C:\WINDOWS\system32\windowsautomaticupdates.exe (file missing) Unnecessarily In pratica esegui Hijack, poi spunta le due voci "016" e "023" e clicca su FIX. A questo punto dovresti essere ripulito. (L'unico problema potrebbe essere la seconda voce, l'ultima e' solo un riferimento che ormai non serve piu' al file che tu hai gia' cancellato)

Strumenti
Mostra una versione stampabile Invia questa pagina per email