si, posta il rapporto di systemscan
si, posta il rapporto di systemscan
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
questo è il file di systemscan questa volta però ha analizzato tutti i punti senza bloccarsi.
Avevo cancellato da esecuzione automatica il file wmsnc.exe ma è ritornato, www.savefile.com/files/1753570
grazie
Il cliente sembra sempre restio ad andarsene, segui questa procedura, è lunga ma non spaventarti:
Lancia hijackthis, clicca su "do a system scan only" quando ti si apre il log a destra in basso clicca sul pulsante "config" verifica che ci sia il flag o segno di spunta sulla casellina "make backups before fixing items" poi clicca su back e metti il segno di spunta sulla casellina di fianco a queste voci
O4 - Global Startup: wmsncs.exe
O4 - HKLM\..\Run: [hlpzwjaf] "c:\winnt\system32\hlpzwjaf.exe
O4 - HKLM\..\Run: [NvidMediaCenter] C:\Programmi\File comuni\System\wmsncs.exe
O4 - HKLM\..\Run: [Spool Driver Service] C:\WINNT\system32\spool\drivers\wmsncs.exe
O4 - HKLM\..\Run: [Wins Service] C:\WINNT\system32\wins\wmsncs.exe
O4 - HKLM\..\Run: [Wmsncs Service] C:\WINNT\Fonts\wmsncs.exe
O4 - HKUS\.DEFAULT\..\Run: [Wmsncs Service] C:\WINNT\Fonts\wmsncs.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [NvidMediaCenter] C:\Programmi\File comuni\System\wmsncs.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Spool Driver Service] C:\WINNT\system32\spool\drivers\wmsncs.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Wins Service] C:\WINNT\system32\wins\wmsncs.exe (User 'Default user')
poi clicca su fix checked
__________________________________________________ _____________________
Apri il registro (start => esegui => digita regedit e dai ok).
Clicca su "Risorse del computer", poi su "file" => "esporta" => salva la copia del registro in c:\
Poi segui questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Clicca su "winlogon" una sola volta e individua, nella finestra a destra
"Shell"="Explorer.exe \"C:\WINNT\Fonts\wmsncs.exe\""
clicca 2 volte su "shell" e, nella finestra che si apre, cancella solo la parte \"C:\WINNT\Fonts\wmsncs.exe\
e dai l'ok
Praticamente quello che deve restare, nota bene, è:
shell = Explorer.exe
Premi F5 e chiudi il registro
__________________________________________________ ____________________
Esegui avenger e nella finestra copia/incolla tutta la citazione:
Spunta "Automatically disable any rootkits found" e clicca su "execute".files to delete:
C:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\wmsncs.exe
C:\Programmi\File comuni\System\wmsncs.exe
C:\WINNT\system32\spool\drivers\wmsncs.exe
C:\WINNT\system32\wins\wmsncs.exe
C:\WINNT\Fonts\wmsncs.exe
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | Spool Driver Service
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | NvidMediaCenter
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | Wins Service
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | Wmsncs Service
HKLM\Software\Microsoft\Active Setup\Installed Components | {103L3C30-C3B3-4130-9363-E59E1375PERM}
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato.
Al riavvio Accetta le eventuali modifiche che ti chiederà spybot.
__________________________________________________ ______________________
scarica Registry Search Tool
- lo trovi circa a metà pagina -
cerca
HKUS\.DEFAULT\Default user\Run
e postami il file di testo che verrà creato
non sono riuscito a salvarti.il nostro sentiero si sta coprendo di polvere.per ora non mi resta che ascoltare questo. il silenzio [taov] "Fortitudo mea in brachio..non si molla mai..quelli del 21° resistono sempre"
non mi trova niente
nel frattempo ho provato a fare una scansione online con il kaspe.. e mi trova lo stesso file infetto però il virus lo chiama net-worm.win32.kolabc.bkf
sempre peggio?
ho saltato una parte che non avevo letto , adesso riprovo
cerchi anche wmsncs.exe con registry search tool?
Grazie
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
ho eseguito tutta la procedura
il file di avenger è il seguente http://www.savefile.com/files/1753717
invece serch.. mi dice che non trova niente
ho cercato anche wmsncs.exe ma non trova niente lo stesso
grazie
Ho visto il rapporto di avenger, rifai la cansione on line con kaspersky e salva il risultato della scansione e postalo come gli altri report, poi cortesemente rifai un systemscan.
non sono riuscito a salvarti.il nostro sentiero si sta coprendo di polvere.per ora non mi resta che ascoltare questo. il silenzio [taov] "Fortitudo mea in brachio..non si molla mai..quelli del 21° resistono sempre"
ok stasera provo
Permessi di invio
Rispondi quotando