Windows XP, probabile virus "mswinvks.exe"

[wjmat]

Quote:

Originariamente inviato da f.zalan

gentili amici,
anch'io ho il medesimo problema:
all'avvio di xp professional mi saltan fuori le finestre di mswinvks.exe (impossibile trovare il file C:\windows\system32\mswinvks.exe Verificare che il percorso e il nome del file siano corretti e ritentare)

inoltre spesso non riesco ad aprire le chiavette usb ma solo a esplorarne i contenuti...


ho fatto la scansione con hijack e ho caricato il .txt all'indirizzo qui sotto:
http://www.mediafire.com/?250rnnmf2vq

non so se va bene allegarlo così
e non sono sicuro su quali spunte mettere per l'eliminazione

grazie in anticipo per l'aiuto!

Ciao

ci sono anche tracce del trojan swizzor quindi fai girare e carica il log di Combofix (leggi bene le info)

configura antivir come indicato qui, fai una scansione completa e carichi il log/report secondo le modalità

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Codice:

F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\mswinvks.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\mswinvks.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\mswinvks.exe,
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programmi\File comuni\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programmi\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\FILECO~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [wgcyeii] "c:\documents and settings\administrator\impostazioni locali\dati applicazioni\wgcyeii.exe" wgcyeii
O4 - HKCU\..\Run: [iccys] "c:\documents and settings\administrator\impostazioni locali\dati applicazioni\iccys.exe" iccys
O4 - HKCU\..\Run: [icemo] "c:\documents and settings\administrator\impostazioni locali\dati applicazioni\icemo.exe" icemo
O4 - HKCU\..\Run: [cekem] "c:\documents and settings\administrator\impostazioni locali\dati applicazioni\cekem.exe" cekem

devi aggiornare
Internet Explorer alla versione 8
non si vede o è disattivato il firewall
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui

[f.zalan]

ciao
grazie infinite per la cortesia!
ho lanciato hijack e messo le spunte secondo le tue indicazioni: all'avvio e finestre di mswinvks.exe non compaiono più e nemmeno le voci eliminate nel log di hijack!!!
http://www.mediafire.com/?mokw0immwjn

allego anche la scansione fatta con combofix
http://www.mediafire.com/?wyemzwwemzh

[wjmat]

Quote:

Originariamente inviato da f.zalan

ciao
grazie infinite per la cortesia!
ho lanciato hijack e messo le spunte secondo le tue indicazioni: all'avvio e finestre di mswinvks.exe non compaiono più e nemmeno le voci eliminate nel log di hijack!!!
http://www.mediafire.com/?mokw0immwjn

allego anche la scansione fatta con combofix
http://www.mediafire.com/?wyemzwwemzh

non mi sembra il log di combofix

[f.zalan]

Quote:

Originariamente inviato da wjmat

non mi sembra il log di combofix

azz hai ragione ahah!!!
eccolo:
http://www.mediafire.com/download.php?zizinwwlmum

[wjmat]

Quote:

Originariamente inviato da f.zalan

azz hai ragione ahah!!!
eccolo:
http://www.mediafire.com/download.php?zizinwwlmum

l'hai fatto girare 2 volte, avrei bisogno combofix2.txt della cartella c:\combofix
ma comunque dovresti essere ok

[micima83]

ho lo stesso problemna quando avvio il pc..allego il file log di hijackthis..

[Chill-Out]

Quote:

Originariamente inviato da micima83

ho lo stesso problemna quando avvio il pc..allego il file log di hijackthis..

Segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

[micima83]

ho fatto tutte le scansione in ordine e allego i log file..

http://www.mediafire.com/myfiles.php

spero di aver fatto bene..

[wjmat]

Quote:

Originariamente inviato da micima83

ho fatto tutte le scansione in ordine e allego i log file..

http://www.mediafire.com/myfiles.php

spero di aver fatto bene..

il link non porta ai log
ti sei per caso registrata?

[micima83]

no non mi sono registrata

[wjmat]

Quote:

Originariamente inviato da micima83

no non mi sono registrata

allora devi riportarci i link di ogni log caricato

[micima83]

speriamo di aver capito..

http://www.mediafire.com/?nlmfdgytjly

http://www.mediafire.com/?2km3qyjly30

http://www.mediafire.com/?n2zei2mfmym

http://www.mediafire.com/?wzwzhwoexne

http://www.mediafire.com/?jy1gywmzbgl

http://www.mediafire.com/?meryjzxmyln

[steeinbed]

ciao a tutti... in periodo di tesi è comparso anche a me questo problema... non vi dico che scazzo... qualcuno mi può aiutare?
allego file txt che esce ha Hijack. come devo proseguire?
grazie a tutti.
Ste

[alyce94]

ciao a tutti!mi sono appena registrata..anche io come molti sono stata infettata da questo virus: ho windows xp pro sp3 e avira antivir mi ha rilevato un trojan che io ho messo in quarantena e al riavvio di windows compaiono le famose 3 finestre di errore C:\WINDOWS\system32\mswinvks.exe
che faccio?? grazie mille

[Chill-Out]

Quote:

Originariamente inviato da alyce94

ciao a tutti!mi sono appena registrata..anche io come molti sono stata infettata da questo virus: ho windows xp pro sp3 e avira antivir mi ha rilevato un trojan che io ho messo in quarantena e al riavvio di windows compaiono le famose 3 finestre di errore C:\WINDOWS\system32\mswinvks.exe
che faccio?? grazie mille

Segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

[Zazolo]

problema, su un computer che presentava l'errore mswinvks.exe è stato cancellato ogni riferimento alla voce mswinvks.exe

ora il pc non parte più, alla schermata di selezione utente se si prova ad entrare dice "caricamento impostazioni in corso..." un lampo dell'immagine di sfondo e ritorna alla schermata selezione utente dove dice "disconnessione in corso"

questo accade sia con l'utente principale che come administrator che in modalità provvisoria

cosa faccio? reinstallo windows sopra? c'è un modo per far ripartire il tutto, magari ripristinando il file (ammesso che prima ci fosse)? ditemi voi...

ps non posso fare il ripristino di sistema poiché precedentemente disattivato

un dramma eh?!

[Chill-Out]

Quote:

Originariamente inviato da Zazolo

problema, su un computer che presentava l'errore mswinvks.exe è stato cancellato ogni riferimento alla voce mswinvks.exe

ora il pc non parte più, alla schermata di selezione utente se si prova ad entrare dice "caricamento impostazioni in corso..." un lampo dell'immagine di sfondo e ritorna alla schermata selezione utente dove dice "disconnessione in corso"

questo accade sia con l'utente principale che come administrator che in modalità provvisoria

cosa faccio? reinstallo windows sopra? c'è un modo per far ripartire il tutto, magari ripristinando il file (ammesso che prima ci fosse)? ditemi voi...

ps non posso fare il ripristino di sistema poiché precedentemente disattivato

un dramma eh?!

Per il momento segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1927601

[ging]

All'avvio di Windows (ho XP SP3) ottengo due volte l'errore "Impossibile avviare l'applicazione specificata. xul.dll non è stato trovato. Una nuova installazione dell'applicazione potrebbe risolvere il problema." per mswinvks.exe.
Allego il log di Hijackthis.

(E' molto probabile che compaiano diverse altre schifezze: ho appena tolto Spybot e Adaware e li ho sostituiti con A-squared, Malwarebytes antimalware e Superantispyware, e dalle prime scansioni pare ci sia un bel po' da ripulire; tempo qualche giorno e sostituisco anche Avast con Antivir).

Ho anche i log di MBAM, A-squared e Superantispyware. Anche se non riesco ad allegarli direttamente in questo post con "Modifica"...

[Chill-Out]

Quote:

Originariamente inviato da ging

All'avvio di Windows (ho XP SP3) ottengo due volte l'errore "Impossibile avviare l'applicazione specificata. xul.dll non è stato trovato. Una nuova installazione dell'applicazione potrebbe risolvere il problema." per mswinvks.exe.
Allego il log di Hijackthis.

(E' molto probabile che compaiano diverse altre schifezze: ho appena tolto Spybot e Adaware e li ho sostituiti con A-squared, Malwarebytes antimalware e Superantispyware, e dalle prime scansioni pare ci sia un bel po' da ripulire; tempo qualche giorno e sostituisco anche Avast con Antivir).

Ho anche i log di MBAM, A-squared e Superantispyware. Anche se non riesco ad allegarli direttamente in questo post con "Modifica"...

Segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

[ging]

Quote:

Originariamente inviato da Chill-Out

Segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

Più che altro mi fido poco a disabilitare il ripristino configurazione di sistema. Se si inchioda l'avvio poi che faccio? Non sono ipersprovveduto ma nemmeno sono esperto... E al momento non mi è semplice aver accesso ad altri pc...

Poi non riesco a caricare i log (Mediafire è in manutenzione, su Wikisend e su fileQube ottengo un errore - mi chiedo se dipenda da NoScript) i log... Fa lo stesso se carico altrove?
Tipo qui:
http://www.host-a.net/