mswinvks.exe + controllo HiJackThis

Pubblicità
probabile virus mswinvks.exe

salve,

sono diversi giorni che nel computer ho problemi strani (premetto che ho 2 pc in rete).
Poi stasera quando ho riavviato uno dei due con l'altro spento è venuto fuori che il file mswinvks.exe non veniva trovato dalla macchina da cui sto scrivendo...
L'AVG non ha visto nulla e Ad-aware sta girando, ho provato anche Avast! ma nulla...
Leggendo in questo forum ho scaricato hjackthis di cui allego il log:
Visualizza allegato 12660

vedo che ci sono persone esperte sul tema in questo forum, non è che gentilmente potreste leggere anche il mio log?
In modo da capire cosa fixare con ComboFix che ho scaricato....

Grazie mille in anticipo
S.
 
smtux ha detto:
salve,
sono diversi giorni che nel computer ho problemi strani (premetto che ho 2 pc in rete).
Poi stasera quando ho riavviato uno dei due con l'altro spento è venuto fuori che il file mswinvks.exe non veniva trovato dalla macchina da cui sto scrivendo...
L'AVG non ha visto nulla e Ad-aware sta girando, ho provato anche Avast! ma nulla...
Leggendo in questo forum ho scaricato hjackthis di cui allego il log:
Visualizza allegato 12660
vedo che ci sono persone esperte sul tema in questo forum, non è che gentilmente potreste leggere anche il mio log?
In modo da capire cosa fixare con ComboFix che ho scaricato....
Grazie mille in anticipo
S.
Clicca per espandere...

Ciao e benvenuto.

Con tutte le applicazioni chiuse e disconnesso da internet
Avvia Hijackthis e clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked"

Codice: 
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RetroExpress] C:\PROGRA~1\RETROS~1\RETROS~1.0\RetroExpress.exe /h
Scarica the Avenger
http://swandog46.geekstogo.com/avenger.zip
Lo salvi in una cartella, scompatti il file .zip
Individua avenger.exe, lo avvii
Inserisci questo script nel box bianco

Files to delete:
c:\windows\system32\mswins.sys
C:\windows\system32\mswinvks.exe
c:\windows\system32\mswins.DLL
Clicca per espandere...
Clicca su Execute
Il pc dovrebbe riavviarsi (se così non fosse, fallo tu)
Posta il log che verrà creato in C:\Avenger
 
eliminare mswinvks.exe

Per favore vorrei sapere come fare ad eliminare il virus che credo di aver beccato. All'avvio del sistema compare la scritta impossibile trovare il file c:windows\sistem32\mswinvks.exe. verificare che il percorso sia corretto...
il log di hijackthis è allegato

grazie in anticipo
 
ruggero72 ha detto:
Per favore vorrei sapere come fare ad eliminare il virus che credo di aver beccato. All'avvio del sistema compare la scritta impossibile trovare il file c:windows\sistem32\mswinvks.exe. verificare che il percorso sia corretto...
il log di hijackthis è allegato

grazie in anticipo
Clicca per espandere...
Ciao e benvenuto.

Apri SpyBot in modalità avanzata (menù modalità - avanzata) poi vai in utilità - resident e togli la spunta a TeaTimer.

Con tutte le applicazioni chiuse e disconnesso da internet
Avvia Hijackthis e clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked"

Codice: 
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\mswinvks.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BMIMZMHMFM] C:\DOCUME~1\User\IMPOST~1\Temp\Zjr.exe
O4 - HKCU\..\Run: [F5JMWNZTHI] C:\DOCUME~1\User\IMPOST~1\Temp\Zjs.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Se usi Vista: Tasto destro, esegui come amministratore
(non installare la recovery console)
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.
 
Per prima cosa grazie mille per il supporto!
Le cose sembrano più complesse del previsto infatti allego il LOG di Avenger (non ha trovato i file :()
Codice: 
//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Sat Jan 30 17:33:55 2010

17:33:55: Error: Invalid script.  A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "c:\windows\system32\mswins.sys" not found!
Deletion of file "c:\windows\system32\mswins.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\mswinvks.exe" not found!
Deletion of file "c:\windows\system32\mswinvks.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\mswin.dll" not found!
Deletion of file "c:\windows\system32\mswin.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
Altri suggerimenti?
Ho provato a far partire ComboFix ma non si avvia perchè sta girando AVG che non so come disattivare.

Altra cosa se può servire, all'avvio si aprono delle finestre in cui viene detto che non trova:
Documents
and
Settings/morbar_pc03/Dati_Applicaioni/Microsoft/mswinvks.exe

Grazie mille in anticipo!

EDIT:
Ho fatto girare anche COMBOFIX con AVG disabilitato ed allego il log.

Il problema però permane, nel senso che il pc è molto lento ed all'avvio non trova il file c:\Documents and Settings\morbar_pc03\Microsoft\mswinvks.exe

che mi consigliate... sono un po' disperato...
 
Ultima modifica da un moderatore:
Ho seguito le Tue indicazioni, ma 04 HKCU.. run spybot sd teatimer... non l'ho trovato in hijackthis (anche se avevo tolto la spunta a tea timer nelle utilità) comunque ora il pc si avvia senza che esca il msg di errore inizialmente da me segnalato. Invio il log di combofix
 
smtux ha detto:
Ho fatto girare anche COMBOFIX con AVG disabilitato ed allego il log.
Il problema però permane, nel senso che il pc è molto lento ed all'avvio non trova il file c:\Documents and Settings\morbar_pc03\Microsoft\mswinvks.exe
Clicca per espandere...

Dal rapporto di combofix non risulta, ma se dici che ti rileva il malware in quella posizione, inserisci questo script in Avenger

Codice: 
Files to delete:
c:\Documents and Settings\morbar_pc03\Microsoft\mswinvks.exe
Scarica TFC by OldTimer sul desktop
http://oldtimer.geekstogo.com/TFC.exe
chiudi tutti i programmi
avvia TFC, clicca su "star"
al termine della scansione ti chiederà il riavvio, dai ok.

Scarica Malwarebytes, installa il programma ed aggiorna le firme.
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html
Nella scheda scansione, seleziona "scansione completa"
Allega il rapporto.
 
ruggero72 ha detto:
Ho seguito le Tue indicazioni, ma 04 HKCU.. run spybot sd teatimer... non l'ho trovato in hijackthis (anche se avevo tolto la spunta a tea timer nelle utilità) comunque ora il pc si avvia senza che esca il msg di errore inizialmente da me segnalato. Invio il log di combofix
Clicca per espandere...

1) Scarica the Avenger
http://swandog46.geekstogo.com/avenger.zip
Lo salvi in una cartella, scompatti il file .zip
Individua avenger.exe, lo avvii
Inserisci questo script nel box bianco

Codice: 
Files to delete:
c:\windows\system32\mswins.DLL

Clicca su Execute
Il pc dovrebbe riavviarsi (se così non fosse, fallo tu)
Posta il log che verrà creato in C:\Avenger

2) Scarica Malwarebytes, installa il programma ed aggiorna le firme.
Malwarebytes Anti-Malware - Free software downloads and software reviews - CNET Download.com
Nella scheda scansione, seleziona "scansione completa"
Allega il rapporto.

3) Scarica e installa l'ultima versione di Adobe Reader o, meglio ancora, un lettore PDF alternativo (PDF X-Change Viewer, FoxIT Reader, SumatraPDF)

Da questa pagina scarica la versione Offline di Java e installala.

Aggiorna Adobe FlashPlayer:

  1. Scarica il programma di disinstallazione di FlashPlayer
  2. Scarica l'ultima versione di FlashPlayer per IE
  3. Scarica l'ultima versione di FlashPlayer non per IE
  4. Chiudi tutti i browser (IE, Opera, Firefox, Chrome, etc)
  5. Esegui il programma di disinstallazione scaricato al punto 1.
  6. Esegui il programma di installazione scaricato al punto 2.
  7. Esegui il programma di installazione scaricato al punto 3.
4) Allega un nuovo log di hijackthis
 
JeanGrey ha detto:
Dal rapporto di combofix non risulta, ma se dici che ti rileva il malware in quella posizione, inserisci questo script in Avenger

Codice: 
Files to delete:
c:\Documents and Settings\morbar_pc03\Microsoft\mswinvks.exe
Scarica TFC by OldTimer sul desktop
http://oldtimer.geekstogo.com/TFC.exe
chiudi tutti i programmi
avvia TFC, clicca su "star"
al termine della scansione ti chiederà il riavvio, dai ok.

Scarica Malwarebytes, installa il programma ed aggiorna le firme.
Malwarebytes Anti-Malware - Free software downloads and software reviews - CNET Download.com
Nella scheda scansione, seleziona "scansione completa"
Allega il rapporto.
Clicca per espandere...


Ho fatto la scansione con Avenger e mi dice nel log "file not found" se metto tutto il percorso completo.

Adesso sto facendo la scansione con Malwarebytes..

Domanda ma il fatto che mi si aprano tutte quelle finestre all'avvio che puntano a mswinvks.exe ma che poi non lo trovano, che vuol dire?

EDIT:
Riassumo TFC.exe qualcosa ha trovato pulito e riavviato, ma di quello non ho il log.

HO finito la scansione con Malewarebytes, di cui allego il log (trovati 7 file infetti e rimossi).

Domanda come faccio a sapere se mswinvks.exe è stato rimosso?

Grazie mille siete molto competenti!
 
Ultima modifica:
Ho fatto le operazioni richieste, allego i log ed attendo eventuali nuove indicazioni grazie, suggerimenti per un antivirus free buono ? io ho avg 9
 
Pubblicità
Pubblicità
Indietro
Top