Services.exe in C:\System Volume Information

[Razor9310]

Come l'utente pres-drew ho problemi con il suddetto file ed ho aperto questo thread per non intralciare il suo processo di risoluzione.

Vi riassumo il problema: ci sono due file (services.exe e smss.exe) nella cartella Microsoft in C:\System Volume Information e due processi sempre aperti in Task Manager nominati services.exe (ovviamente ne il file si cancella e neppure i processi si chiudono).

Parallelamente ho visto che appaiono di tanto in tanto pubblicità sotto forma di browser che si apre random e la voce "Wave" del volume master che si abbassa fino a zero e quindi non mi permette di ascoltare nulla.

Ho installato Avira, Malwarebytes e Hijackthis.
Avira li rileva, li elimina ma poi al riavvio ricompaiono.

Queste sono le uniche scansioni che sono riuscito a fare: gli altri si bloccavano durante l'esecuzione e non ho tutta la giornata per poter tenere il computer fermo.

Eccole in ordine:

MBAB: mbam-log-2010-06-24 (12-56-29).txt

Dr.Web CureIT: CureIt.log

ESET SysInspector: SysInspector-ACER-13DB0A52D9-100625-0847.zip

HiJackThis: hijackthis.log

Prevx 3.0: prevx.log

In sostanza il problema non è tanto il file (Avira lo rimuove senza problemi, togliendo tutti i disturbi) ma evitare che ricompaia.
Insomma, non posso fare una scansione di 1h ogni volta per levarlo...

Sono nelle vostre mani, non so più che fare.

Vi ringrazio anticipatamente, sono a completa disposizione.

[R16]

Salve.
Una cosa che puoi fare, è rifare la scansione completa con Malwarebytes AGGIORNATO.
lo hai fatto con una versione obsoleta.
Elimina tutti i file infetti trovati.
Posta il log.

Poi vedi se riesci a fare quest'altra scansione:

carica Combofix (usa Internet Explorer)

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop. (è obligatorio)

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (se usi Vista: tasto destro su Combofix.exe e clicca su: "Esegui come Amministratore" )


E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali.

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.

[Razor9310]

Allora, fatte entrambe le scansioni, nessun problema nello svolgimento:

Il log di Malwarebytes: mbam-log-2010-06-25 (16-39-19).txt

E quello di ComboFix: log.txt

Piccola grande nota: al riavvio dopo che ho eseguito ComboFix il problema audio è sparito quindi il valore Wave del controllo master audio è al massimo e non si disattiva da solo.
I file nella cartella incriminata comunque sono ancora lì come i due processi services.exe visibili da Task Manager.

[JeanGrey]

Ciao Razor9310, suggerisco di disattivare il ripristino configurazione di sistema, riavviare il sistema, riattivarlo e creare un nuovo punto pulito.

R16 essendo una persona intelligente non si offenderà, lascio a lui il controllo dei log e la scelta su come proseguire.

[R16]

Salve.
Scarica MBR.EXE direttamente nella Directory C: \ (è importante che venga scaricato in C: \ )
http://www2.gmer.net/mbr/mbr.exe
Avvia il Pc in modalità provvisoria

Fai: Start - Esegui - copia-incolla questo comando: C:\mbr.exe -f e clicca su OK
Non digitare quel comando; FAI il copia-incolla.(si deve rispettare uno spazio che c'è dopo exe )
La scansione dura pochi secondi.
Posta il log, che troverai, dove hai scaricato il Tool, ovvero in C: \

************************************************** ******************
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

codice:

KillAll::
RegLock::
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
RegNull::
[HKEY_USERS\S-1-5-21-3779030242-2884289523-97948570-1008\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F05606E5-C344-5435-F08D-78A7BF8249F0}*]

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Se il pc non si riavvia da solo, riavvialo tu .
Posta il log aggiornato di combofix.

@JeanGrey
Opsss...... stavo scrivendo....
Figurati se mi offendo....
Aspetterei a disattivare il ripristino.
Vorrei tenermelo buono in caso di imprevisti.
Da quello che mi sembra di aver capito, l'infezione si trova sì nella cartella Restore, ma non sui punti di ripristino.
Anche se molto probabilmente saranno infetti. (spero di no)

[JeanGrey]

@R16
Ok, decidi tu quando è il momento opportuno per far disattivare il ripristino.

[R16]

Guarda che puoi intervenire quando vuoi.
Per spiegarmi meglio:
Voglio vedere se quei rootkit, sono collegati ai file, che ha in Restore.
Se sì, eliminando la chiave, poi si dovrebbero lasciare eliminare.
Se l'azione ha successo, disattivo il ripristino.
Naturalmente, se hai un'idea diversa, la puoi sempre esprimere.
Non mi importa chi risolve.
Basta che si risolva.

[Razor9310]

Allora, anzitutto vi ringrazio ancora per il supporto!

Ho fatto tutto...

Ecco il log di MBR: mbr.log

E quello aggiornato di ComboFix: log.txt

PS: stavolta al riavvio il problema audio è ritornato

[R16]

Ok.
Adesso, prova a eliminare i due file (services.exe e smss.exe) nella cartella Microsoft in C:\System Volume Information.

Poi nel TskManager, dimmi sotto quale nome si trovano i processi services.exe (se sotto System o altro).

[Razor9310]

Ho provato ma non me li fa eliminare, adducendo al fatto che sono in uso.
Avevo provato anche KillBox (ieri) selezionando delete on reboot ma ovviamente sono ricomparsi.

Nel TaskManager sono tutti e due sotto SYSTEM quindi praticamente irriconoscibili rispetto a quelli legittimi.