PDA

Visualizza versione completa : Un bel virus sul PC nuovo



Stryder
28-09-2008, 13.08.38
... :asd:

Allora, PC nuovo arrivato e (con un po' di fatica) assemblato. Ho installato tutti i driver necessari e ovviamente l'antivirus (Antivir): modalità provvisoria, scansiono e trova un po' di virus (ieri mi sono connesso senza antivirus :asd:), in particolare uno, wmsncs.exe (che risiede nella cartella Fonts di Winzozz).

Questo simpatico virus continuava a venire rilevato senza sosta da Antivir, che mi faceva apparire finestre su finestre; riuscendo però a riavviare in modalità provvisoria e a scansionare, questo problema non compariva più.

In compenso, all'avvio di Windows, appare una finestra con "Impossibile trovare wmsncs.exe", appunto il virus eliminato; questo ad ogni riavvio. In più, da quando compare la schermata azzurrina di Windows XP a quando effettivamente riesco a vedere il desktop, il PC ci mette molto più tempo del normale. Ecco il log di HijackThis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.55.49, on 28/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programmi\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\msco rsvw.exe
C:\WINDOWS\explorer.exe
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programmi\Logitech\SetPoint\SetPoint.exe
C:\Programmi\File comuni\Logitech\khalshared\KHALMNPR.EXE
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programmi\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programmi\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=explorer.exe "C:\WINDOWS\Fonts\wmsncs.exe"
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\system32\lssas.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Spool Driver Service] C:\WINDOWS\system32\spool\drivers\wmsncs.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Wins Service] C:\WINDOWS\system32\wins\wmsncs.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D069071-B165-4EF1-BAC9-1EB22845B0FA}: NameServer = 208.67.222.222 208.67.220.220
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Avira AntiVir Premium MailGuard helper service (AVEService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: NET Runtime Optimization Service v2.1.41329_X86 - Unknown owner - C:\WINDOWS\Fonts\wmsncs.exe (file missing)

--
End of file - 4260 bytes

... consigli? :D

EDIT: ecco l'errore:

http://img253.imageshack.us/img253/8929/cosojg2.jpg

EDIT 2: Paint fa cagare quando si tratta di selezioni. :asd:

Daedric
28-09-2008, 13.33.33
fai una scansione anke con un antispywarte, fai lo scan anke kn avg 8.0 tral di 30 giorni e vedi se cambia qualcosa

Stryder
28-09-2008, 17.36.31
Bè, ho risolto eliminando le voci che HijackThis riteneva sospette, ora tutto funziona...

Però ho un altro problema (che non è un vero problema però :D): dopo aver chiuso definitivamente il case del PC, in fase di boot, dopo il logo della Asus, compare la scritta


Adapter 1
Disk information:
No Hard Disk is detected

Il problema è che sia il BIOS sia Winzozz mi riconoscono correttamente l'hard disk, è solo quella frase che mi lascia perplesso...

Ah, è normale che il mio Barracuda da 500GB in ambito Windows venga riconosciuto da 465GB massmi?

mErLoZZo
28-09-2008, 17.53.58
si stryder, sono i giga commerciali quando ti dicono "500 gb", loro li chiamano così e usano il distema decimale ma in informatica si viaggia a grandezze di 1024;) un 750gbin realtà è 698 :@



daedric, per favore ragiona invece di dare consigli a caso... ti ha detto che l'ha tolto, ha solo la chiamata all'avvio... ti da un log di hijack... ci è arrivato da solo alla soluzione;)

impestare un pc con avg lol? magari installando anche la toolbar? :asd:

in questi casi per un controllo, nod32 online ebitdefender online dalla provvisoria ;)


stryder installati Bitdefender free tienilo pure installato, NON ha un modulo di protezione residente, ma è ottimo per fare pulizia a posteriori ;)



ps il messaggio è normale, il controlelr raid (probabilmente jmicron) non trova HD sulle sue prese (quelle nere?) e ti dice che...non puoi fare nulla :asd:


anzi, press any key, fallo sempre senza remore :D

Stryder
28-09-2008, 17.56.51
si stryder, sono i giga commerciali quando ti dicono "500 gb", loro li chiamano così e usano il distema decimale ma in informatica si viaggia a grandezze di 1024;) un 750gbin realtà è 698 :@



daedric, per favore ragiona invece di dare consigli a caso... ti ha detto che l'ha tolto, ha solo la chiamata all'avvio... ti da un log di hijack... ci è arrivato da solo alla soluzione;)

impestare un pc con avg lol? magari installando anche la toolbar? :asd:

in questi casi per un controllo, nod32 online ebitdefender online dalla provvisoria ;)


stryder installati Bitdefender free tienilo pure installato, NON ha un modulo di protezione residente, ma è ottimo per fare pulizia a posteriori ;)
Grazie dell'info sui GB, però che ne pensi del messaggio che compare in boot? :D

EDIT: ok, visto ora, grazie mille. Mi è venuto il dubbio dato che il messaggio è comparso poco tempo fa quando avevo comunque già installato Windows da ieri sera. :D

Stryder
28-09-2008, 18.25.15
Nel BIOS ho disabilitato il Marvell IDE controller, ora non compare più nulla. :metal:

mErLoZZo
28-09-2008, 18.43.35
ricorda di abilitarlo se dovessi usarlo;)

Stryder
28-09-2008, 19.25.07
ricorda di abilitarlo se dovessi usarlo;)
Ma serve solo se installo dischi parallel-ATA, no?

mErLoZZo
28-09-2008, 19.32.34
o masterizzatori...se quel controller è solo quello ide, si.

Stryder
29-09-2008, 14.40.34
Toh, il messaggio compariva perchè non c'era alimentazione al masterizzatore (:mumble:), e per qualche strano motivo Winzozz non riconosceva nè il masterizzatore nè il lettore (che comunque era collegato); vabbè, collegato il collegabile e via, nessun problema.

Però ne ho un altro (:asd:): all'avvio, non sempre però, il Catalyst Control Center si termina immediatamente, con conseguente avviso di Windows (bla bla, inviare/non inviare, bla bla...). Al momento non ho uno screen del problema, dato che compare saltuariamente. Googlando in giro ho trovato che potrebbe dipendere dal .NET Framework, di cui dispongo la versione 2.0 con service pack 1 (tutti gli aggiornamenti possibili e immaginabili)... un aiutino? :D

Ah, da Windows Update non riesco a scaricare la versione 3.5 :|

Iceangel
29-09-2008, 14.43.23
Anche a me CCC termina subito all'avvio di win un riavvio su 3........penso sia un problema di CCC...anche perche ho formattato da poco e il problema persiste......che versione di catalyst hai?

Stryder
29-09-2008, 14.52.13
8.9... A questo punto spero sia proprio il CCC buggato, mah. :|

Iceangel
29-09-2008, 15.05.48
Si è decisamente il CCC di cacca ;)......

mErLoZZo
29-09-2008, 15.16.15
installate a mano il dot net 3.0 + update magari iuta, anche se dovrebbe essere il 2.0 quello usato

Iceangel
29-09-2008, 15.24.02
nel mio caso vista ha gia il 3 integrato.....cmq il CCC 8.8 non aveva di questi problemi..

Stryder
29-09-2008, 15.25.12
Ecco appunto, sto scaricando gli 8.8. :asd:

Iceangel
29-09-2008, 15.27.28
Ad ogni modo dando un'occhiata in giro reinstallare i dot net con la funzione FIX o Reinstalla potrebbe aiutare.....

mErLoZZo
29-09-2008, 15.49.52
anche segare il ccc al limite :D ma gli omega driver vanno ancora bene? supportano per ora fino alla famiglia 3xxx come ati?

Iceangel
29-09-2008, 16.17.38
Il CCC è comodo per Gestire il multischermo e per i profili..........l'alternativa potrebbe essere solo Ati Tray Tools ma ha ancora una infinità di bug...mi fa crashare ogni gioco praticamente.....gli omega supportano solo XP...indi non so che modelli di scheda supportino....basta dare un'occhiata....

Cmq alcuni hanno risolto reinstallando il .net...sta sera provo...

Iceangel
30-09-2008, 23.47.49
Risolto installando manualmente il .NET 3.5