Messaggio di protezione Host process for Win 32 Services

[pinino3]

Cari amici, nel mio PC è apparso uno strano messaggio: per facilitare la protezione è stato chiuso il programma: Generic Host process for Win 32 Services. Dato che tempo fà un virus ha fatto un pò di danno, secondo voi è in corso un attacco virale? IL Pc può lavorare agevolmente. Attendo istruzioni. Ciao.

il rapporto MBR:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Il rapporto di Systemscan:

http://www.megaupload.com/?d=7387UMFL

[Deifobe]

Analizza su Virustotal i file
C:\WINDOWS\system32\drivers\ffjeyutp.sys
C:\WINDOWS\system32\drivers\kbilekua.sys

e:
1) posta i link delle analisi
2) se sono puliti, elimina dallo script sottostante le rispettive voci in verde o rosso (sono associati i file ai servizi)


Esegui systemscan, clicca sul pulsante "Removal Script" e, nella finestra che si apre, copia/incolla questo script:

files to delete:
C:\ofpddlnc.txt
C:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\ABC18.tmp
C:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\ABC17.tmp
C:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\NBRE.tmp
C:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\ABC7.tmp
C:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\ABC6.tmp
C:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\NBR4.tmp
C:\WINDOWS\system32\tmp1.log
C:\WINDOWS\system32\tmp.log
C:\WINDOWS\System32\drivers\dwshd.sys
C:\WINDOWS\system32\sdra64.exe
C:\WINDOWS\system32\drivers\ffjeyutp.sys
C:\WINDOWS\system32\drivers\kbilekua.sys

registry keys to delete:
HKLM\system\currentcontrolset\services\dwshd
HKLM\system\controlset002\services\dwshd
HKLM\system\controlset001\services\dwshd
HKLM\system\currentcontrolset\services\ilbxmsyw
HKLM\system\controlset002\services\ilbxmsyw
HKLM\system\controlset001\services\ilbxmsyw
HKLM\system\controlset002\services\daocibve
HKLM\system\currentcontrolset\services\daocibve
HKLM\system\controlset001\services\daocibve

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.


Apri un file di testo e copiaci dentro:

Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"userinit"=-
;

salvalo come:
nome: fix.reg
tipo di file: tutti i file
chiudi ed eseguilo. accetta le modifiche (dura solo un attimo)


Posta un nuovo systemscan

[pinino3]

Scusa il ritardo, purtroppo ho potuto quando avevo un pò di tempo. Mi par di capire che tramite la rete ho beccato un bel virus, che disgraziatamente ha contagiato altri PC.
Ho eseguito per tutti la stessa procedura dato che hanno la stessa versione di XP e a quanto pare sembra che stia per eliminarlo definitivamente dalla rete. Comunque quel file fix.reg da quanto mi è sembrato, va salvato direttamente su C:. Ho provato la procedura due volte e ci sono riuscito, l'antivirus ho notato che doveva essere disattivato come avevi scritto tu, prima di eseguire la rimozione dello script.
Ti ringrazio tantissimo per il tuo aiuto. Ciao
Ti posto il rapporto di Systemscan:
Your link to the file: http://www.savefile.com/files/2123671

[pinino3]

Cara Deifobe,
non riesco a capire come mai avendo ripulito il Pc tramite la procedura che mi hai consigliato, inspiegabilmente dopo qualche giorno mi ritorna a video la scritta del solito messaggio di protezione chiusura programma Win32 come in precedenza.
Ti riallego il link di avenger ed il report di Systemscan. Grazie sempre e ciao.

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK



http://www.megaupload.com/?d=C935ZL82

http://www.megaupload.com/?d=V3FGPOYS