c:/windows/fonts/wmsncs.exe

[maflapi]

ciao a tutti ho letto che alcuni utenti hanno avuto il mio stesso problema ovvero che non riescono più a trovare il file c:/windows/fonts/wmsncs.exe essendo io nuovo e purtroppo capendoci poco di computer vorrei una mano grazie anticipatamente flavio

[Deifobe]

ti mando un tool che ripristina tutte le modifiche apportate... dovresti però dirmi quale sistema operativo usi

ciao

[maflapi]

Per prima cosa ciao e grazie per l'aiuto
Io come sistema operativo uso xp e fino ad adesso ho provato a fare tutto quello che era nelle mie capacità ma e che viene suggerito in questo forum ma nonho risolto nulla continua a dirmi che mi manca il file che ho scritto prima e internet risulta sempre molto instabilee mi devo riconnettere più volte per riuscire a fare qualcosa ti giuro che ci sto uscendo matto!!
Comunque ti posto il risultato di hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.32.55, on 24/01/2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=explorer.exe "C:\WINDOWS\Fonts\wmsncs.exe"
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Wmsncs Service] C:\WINDOWS\Fonts\wmsncs.exe
O4 - HKLM\..\Run: [NvidMediaCenter] C:\Programmi\File comuni\System\wmsncs.exe
O4 - HKLM\..\Run: [Spool Driver Service] C:\WINDOWS\System32\spool\drivers\wmsncs.exe
O4 - HKLM\..\Run: [Wins Service] C:\WINDOWS\System32\wins\wmsncs.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Spool Driver Service] C:\WINDOWS\System32\spool\drivers\wmsncs.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Wins Service] C:\WINDOWS\System32\wins\wmsncs.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: PokerStars.it - {C4046502-6524-4d87-896C-878F57D1FF07} - C:\Programmi\PokerStars.IT\PokerStarsUpdate.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/downlo...BundleId=26688
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NET Runtime Optimization Service v2.1.41329_X86 - Unknown owner - C:\WINDOWS\Fonts\wmsncs.exe (file missing)

--
End of file - 4017 bytes

[Deifobe]

ok, te lo mando con un messaggio privato

riavvia in modalità provvisoria ed esegui in ordine tutte le opzioni da 1 a 5

poi riavvia in modalità normale e rifai la ricerca dei file

inviami il report che compare sul desktop

ciao

[maflapi]

grazie daifobe dell'aiuto
ho provato a fare tutto quello che mi dicevi ma non sono riuscito ad entrare nella modalità provvisoria ma l'errore del file non trovato è sparito ora ti posto il link che mi chiedevi



http://freefilehosting.net/download/44cmc

report_1232894791478_144.txt

non capendone niente come ti dicevo te li ho copiati tuttie due spero di non avere sbagliato se si ti chiedo scusa in anticipo ciao

[Deifobe]

si.. hai risolto senza eseguire il file?
hai eseguito il tool in modalità normale? se si, posta il contenuto del file Rapporto W_Kolabc.txt

[maflapi]

sono riuscito a sistemare eseguendolo in modalità normale ma non mi ha dato nessun report che ti possa postare e internet resta molto instabile mi si disconnette di continuo in più una cosa che non ti ho detto è che quando ho fatto la scansione con systemscan è arrivato al 14^ punto su 18 che ne doveva eseguire poi si è bloccato e mi è uscita la finestra che diceva che c'era un errore e il programma sarebbe terminato

[Deifobe]

ok. quando non viene eseguita, puoi tranquillamente saltare quella scansione di systemscan (in questo caso, togli la spunta alla scansione corrispondente)


vedo ancora qualche file che credo sia da rimuovere.
Aggiorna malwarebytes: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto.

se li trova, per ora non rimuovere nulla, vorrei prima controllarlo.

[maflapi]

ti posto il risultato della scansione



Malwarebytes' Anti-Malware 1.33
Versione del database: 1696
Windows 5.1.2600

26/01/2009 23.18.54
mbam-log-2009-01-26 (23-18-48).txt

Tipo di scansione: Scansione completa (A:\|C:\|D:\|E:\|)
Elementi scansionati: 55031
Tempo trascorso: 4 minute(s), 58 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 4
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 2

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\Local Security Authority Service (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices\Windows Update (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\Windows Update (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\OLE\Windows Update (Backdoor.Bot) -> No action taken.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\lssas.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\ssms.exe (Backdoor.Bot) -> No action taken.






è per queste infezioni che l'antivirus non mi funziona più?
quando accendo il pc mi da errore

the application module
c:/programmi/avira/antivir personaledition classic/avgnt.exe
cannot be found or has been modified or destroyed.
the avgnt.exe cannot be started.
please check your installation

Anche se lo reinstallo viene sempre lo stesso errore

[maflapi]

Ho effetuato la scansione anche con systemscan togliendo la spunta al punto che si fermava ed è andata bene.

Ti devo postare il risultato?

Mi ricollego solo questa sera sul tardi... purtroppo il lavoro chiama ciao e non smetterò mai di ringraziarti!!!!!!
P.S. ma dove le hai imparate tutte queste cose?