problema con winc32.exe

[leapon75]

buongiorno,

ho un problema con un possibile virus, all'avvio del pc tenta di connettersi ad internet tramite connessione remota.
Avast antivirus ha individuato ed eliminato un virus :

C:\windows\system32\runmgr.exe

ora però il problema persiste e , da task manager, compare un processo in esecuzione con dei caratteri strani, collegato al processo winc32.exe, killandolo la connessione non si presenta più.
Non ho voluto eliminarlo dal menu di start perchè non ero sicuro.

Comunque invio il log di Hijack.

http://www.sendmefile.com/00651321

grazie per la consueta collaborazione.

Saluti,
Leandro.

[hell's bells]

Segui questa procedura preliminare, vediamo se basta una sola scansione:


scarica Malwarebytes
1) lo installi
2) lo aggiorni
3) fai una scansione scegliendo la modalità completa
4) NON eliminare le eventuali minacce che rileva
5) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum

Posta il report come quello precedente.

[leapon75]

Ciao,

scusa il ritardo nella mia risposta ma sono stato fuori casa un po di giorni...

come richiesto ti invio i file di Log ottenuti con la scanisone che mi hai indicato :

Versione non completa : http://www.sendmefile.com/00655582

versione completa : http://www.sendmefile.com/00655588

ti prego di informarmi sul file winc32.exe

Ringrazio anticipatamente per la consueta collaborazione.

Saluti,
Leandro.

[Deifobe]

rimuovi quello che ha trovato.
se visualizzi i file nascosti e le cartelle di sistema (in opzioni cartella => visualizzazione) puoi vedere di rimuoverli manualmente.

poi, 1) scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.



2) e fai una scansione on-line con Kaspersky:
clicca su Kaspersky Online Scanner => Accept => (partirà l'update)
=> seleziona "my computer" (a sinistra) => al termine della scansione clicca su "View Scan Report"
=> "Save Report As" => salva e posta il rapporto.

[leapon75]

Ciao Deifobe,

purtroppo non mi trovo sul posto perchè sono fuori città, torno fra 10 giorni a casa, quindi ti prego di predonarmi se tarderò a fornirti una risposta.

Come mi hai detto eliminerò i file che ha individuato, ma volevo hciederti una cosa:

io ho aggiornoato AVAST e gli ho fatto fare la scansione completa del HD, ha individuato come file infetto proprio WINC32.exe che parte allo startup di windows e che è legato ad un processo , dal nome costituito da caratteri sporchi, che tende di connettersi ad internet.

Devo cancellarlo ?? Posso fare solo in modo che non parta all'avvio di windows ??

Io non ho ancora eliminato tale file ne l'ho cancellato dalle chievi di registro.

Ho fatto già una scansione con Hijack (l'altra volta mi avete fatto usare questo tool):

http://www.sendmefile.com/00651321

può bastare oppure devo comunque seguire la procedura che mi avete fornito ora ??

grazie per la consueta collaborazione.

Saluti,
Leandro.

[Deifobe]

ciao,
nessun problema..

si dovresti eseguire la procedura postata.
al momento, evita di caricare rapporti su sendmefile, cortesemente.
non posso dirti di eliminare un file, per quanto sospetto possa essere, senza conoscerne il nome.

ci sentiamo quando rientri a casa

[leapon75]

Ciao Daifobe,

come da te indicato ho eseguito la scansione con System scan e posto il log :

http://www.savefile.com/files/1887984

purtroppo non sono riuscito a far fare una scansione con Kerperski online perche richiedeva 40Mb di aggiornamento e purtroppo con un modem a 56 k capisci che è una cosa un po complicata....

Comunque AVAST antivirus ha trovato 6 infezione dovute al file winc32.exe

posso cancellare questo benedettisismo file dalla chiave di sistema ???

Grazie per la consueta collaborazione.

Saluti,
Leandro.

[leapon75]

Ciao Daifoibe,

ho appena scoperto (nelle proprietà del file winc32.exe) che il nome originale del file stesso era Vx2.exe, che mi sembra di aver capito che è un malware.

Ti dice qualcosa questo nome ??

Saluti,
Leandro.

[Deifobe]

ciao Leandro,
se poi pazientare, controllo ora il rapporto e ti creo lo script per avenger.
considerato l'orario, se non ci riesco subito, lo troverai dopo cena....

dei

[Deifobe]

per ora lo togliamo, poi vedo di cosa si tratta...

Scarica ed esegui Avenger e nella finestra che si apre copia/incolla:

files to delete:
C:\WINDOWS\system32\winc32.exe

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | winc32

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.

zippa la cartella c:\avenger e caricala su savefile..
ATTENZIONE però, il link devi inviarmelo con un messaggio privato (mi raccomando, non postarlo sul forum..)


Ho visto che hai il firewall disabilitato, lo hai disabilitato tu?