Risultati da 1 a 14 di 14

Discussione: msr.exe svhost.exe:eliminare il malware

  1. #1
    Member
    Data Registrazione
    29-05-2004
    Messaggi
    79

    msr.exe svhost.exe:eliminare il malware

    Geni degli antivirus..

    Mi sono beccato questo worm/virus, ma non riesco ad eliminarlo.

    msr.exe (che genera il servizio Microsoft Reverse Proxy Service)
    svhost.exe (che genera il servizio Network Monitor service)

    Il problema principale che riscontro è che non riesco a collegarmi con un altro pc in rete.

    Ho cercato di eliminarli dal regedit; sono riuscito solo a segare msile.exe che precedentemente avevo, seguendo tele consiglio: http://automaticacalculatoare.wordpr...ileexe-solved/

    Dopo un po' che li elimino ricompaiono. (gli ho anche eliminati dal Delete file on reboot.. funzionalità di hijackthis.. ma dopo un po' ricompaiono)

    Eccovi comunque l'esito di Hijackthis:

    LOG RIMOSSO

    grazie.......geni!
    Ultima modifica di dubo; 16-03-2009 alle 23.50.24 Motivo: rimozione log

  2. #2
    Rōnin Member
    浪人
    L'avatar di dubo
    Data Registrazione
    24-02-2008
    Località
    Milano
    Messaggi
    10.863
    allega il log come spiegato qui http://forum.swzone.it/showthread.php?t=52573 NO COPIA E INCOLLA

    p.s. titolo modificato: la prossima vota metti un titolo che gia' spieghi il problema altrimenti riceverai un warning, grazie per la collaborazione.

  3. #3
    Member
    Data Registrazione
    29-05-2004
    Messaggi
    79
    In allegato il file di hijackthis.

    P.S.
    L'unico che sembrerebbe "beccarlo" è Prevx CSI, ma non è gratuito!

  4. #4
    Rōnin Member
    浪人
    L'avatar di dubo
    Data Registrazione
    24-02-2008
    Località
    Milano
    Messaggi
    10.863
    Citazione Originariamente Scritto da fabbrox Visualizza Messaggio
    In allegato il file di hijackthis.

    P.S.
    L'unico che sembrerebbe "beccarlo" è Prevx CSI, ma non è gratuito!
    spegni il tuo antivirus e sistemi di sicurezza vari
    scarica Combofix:
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    salvalo sul desktop ed esci dalla rete.

    doppio click sull'icona di combofix presente sul desktop, accetta il disclaimer che ti avvisa dell'utilizzo e lascia compiere la scansione senza fare nulla con il pc
    al termine il pc dovrebbe riavvarsi, verrà creato un file log chiamato C:\ComboFix.txt.
    allega il log creato al prossimo post in formato .TXT

  5. #5
    Member
    Data Registrazione
    29-05-2004
    Messaggi
    79
    Citazione Originariamente Scritto da dubo Visualizza Messaggio
    spegni il tuo antivirus e sistemi di sicurezza vari
    scarica Combofix:
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    salvalo sul desktop ed esci dalla rete.

    doppio click sull'icona di combofix presente sul desktop, accetta il disclaimer che ti avvisa dell'utilizzo e lascia compiere la scansione senza fare nulla con il pc
    al termine il pc dovrebbe riavvarsi, verrà creato un file log chiamato C:\ComboFix.txt.
    allega il log creato al prossimo post in formato .TXT
    Ecco qui il file di Combo.
    Grazie per l'aiuto..

  6. #6
    Rōnin Member
    浪人
    L'avatar di dubo
    Data Registrazione
    24-02-2008
    Località
    Milano
    Messaggi
    10.863
    Citazione Originariamente Scritto da fabbrox Visualizza Messaggio
    Ecco qui il file di Combo.
    Grazie per l'aiuto..
    molto e' gia stato rimosso da combofix: elimina la cartella backup di combofix C:\qoobox, svuota il cestino e fai una scansione completa(da spuntare) con malwarebytes http://www.malwarebytes.org/mbam.php dopo averlo installato ed aggiornato. al termine della scansione premi rimuovi elementi selezionati e riavvia il sistema, allega il log della scansione di MBAM al prossimo post.

    p.s. puoi anche disinstallare prevx csi.....

  7. #7
    Member
    Data Registrazione
    29-05-2004
    Messaggi
    79
    Citazione Originariamente Scritto da dubo Visualizza Messaggio
    molto e' gia stato rimosso da combofix: elimina la cartella backup di combofix C:\qoobox, svuota il cestino e fai una scansione completa(da spuntare) con malwarebytes http://www.malwarebytes.org/mbam.php dopo averlo installato ed aggiornato. al termine della scansione premi rimuovi elementi selezionati e riavvia il sistema, allega il log della scansione di MBAM al prossimo post.

    p.s. puoi anche disinstallare prevx csi.....
    ti ringrazio per la disponibilità...

    Allora:
    Mi sono tolto un po' di antispy inutili...tra cui prevx csi..

    Dopodichè mi sono accorto che msr.exe ancora c'era.. ed è abbastanza balordo...
    Ho quindi fatto partire Malwarebytes' con il seguente esito: mbam-log-2009-03-17 (18-02-47).txt

    Poi ho fatto ripartire ComboFix... dove puoi leggere il risultato su Combo seconda passata.txt

    Ho fatto partire poi per "n" volte Malwarebytes ma mi trovava sempre qualcosa da eliminare... nonostante abbia chiuso tutte le connessioni di rete.
    il risultato dell'ennesima volta lo trovi in mbam-log-2009-03-17 (19-27-00).txt

    Sono alquanto scocciato da quella balorda finestra di errore che mi si apre ogni 40 secondi! (Immagine.JPG)

    confido nella tua maestria....

  8. #8
    Rōnin Member
    浪人
    L'avatar di dubo
    Data Registrazione
    24-02-2008
    Località
    Milano
    Messaggi
    10.863
    fammi vedere un nuovo log di hijackthis, eseguito adesso dopo le rimozioni...

  9. #9
    Member
    Data Registrazione
    29-05-2004
    Messaggi
    79
    Citazione Originariamente Scritto da dubo Visualizza Messaggio
    fammi vedere un nuovo log di hijackthis, eseguito adesso dopo le rimozioni...
    Eccolo...
    come puoi rivedere è rispuntato msile :-(

    Grazie..

  10. #10
    Rōnin Member
    浪人
    L'avatar di dubo
    Data Registrazione
    24-02-2008
    Località
    Milano
    Messaggi
    10.863
    avvia nuovamente hijackthis, seleziona do a systemscan only, metti la spunta accanto a queste voci:

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm

    O23 - Service: microsoft install le (msile) - Unknown owner - C:\WINDOWS\system\msile.exe

    O23 - Service: Network Monitor service (MSNETDED) - Unknown owner - C:\WINDOWS\system\svhost.exe

    O23 - Service: Microsoft Reverse Proxy Service (msrpxy) - Unknown owner - C:\WINDOWS\system32\msr.exe

    e premi fix checked

    riavvia il sistema in modalita' provvisoria http://www.megalab.it/articoli.php?id=817 rendi visibili file e cartelle nascoste http://www.megalab.it/2127 cerca ed elimina(tasto destro --elimina) i file evidenziati:

    C:\WINDOWS\system\svhost.exe

    C:\WINDOWS\system32\msr.exe

    C:\WINDOWS\system\msile.exe

    riavvia in modalita' normale e verifica come stanno le cose.

  11. #11
    Member
    Data Registrazione
    29-05-2004
    Messaggi
    79
    brutte notizie...
    chiaramente per me

    Nell'immagine in allegato quello che accade se spunto i vari msile msr e svhost.

    Ovvero sia mi rimane l'iimagine in bianco ma non mi da nessun esito.

    Quando chiudo e riapro hijackthis (e me lo fa fare) e ritento di eliminarli mi rimane la schermata del programma in bianco...

    Ho poi provato ad riavviare in modalità provvisoria... ma dopo che sta caricando appenda accede mi spegne il pc!! Come è possibile che il sitema vada in crash in modalità provvisoria?? e non in quella normale?

    Ti ringrazio sempre per la tua disponibilità...
    Ultima modifica di fabbrox; 18-03-2009 alle 21.54.35

  12. #12
    Rōnin Member
    浪人
    L'avatar di dubo
    Data Registrazione
    24-02-2008
    Località
    Milano
    Messaggi
    10.863

  13. #13
    Member
    Data Registrazione
    29-05-2004
    Messaggi
    79
    Citazione Originariamente Scritto da dubo Visualizza Messaggio
    Ti ringrazio per la disponibilità... ma ho desistito alla tentazione di uccidere questo balordo malware, quindi, dopo che non mi partiva il programma da te consigliato, (findykill non mi faceva vedere neanche la schermata iniziale!), oramai quasi propenso a ripristinare il sitema con un vecchissima immagine di Drive image.. mi son detto ma perchè dargliela vinta???

    Mi sono comprato la licenza di un anno di Prevx CSI, e mi ha segato tutto inseime a tanti file con estensione numero.scr.. mi son detto è fatta evvai!!!

    Macchè!!! dopo che ho riavviato il pc dopo circa un minuto mi sono accorto che msr è ricomparso! porca p..... ho buttato 20 euris.... allora ho sconnesso tutte le connessioni di rete tra cui internet.. con un altro pc ho scaricato degli aggiornamenti che mi mancavano... WindowsXP-KB894391-x86-ITA.exe
    e WindowsXP-KB958644-x86-ITA.exe. sempre a connessioni spente ho fatto ripartire prevx csi che mi ha risegato tutto... ho ridato un bottarella anche con Malwarebytes e dopo un'oretta... guarda che splendore il log di HJT!!!!

    A questo punto ti chiedo un consiglio su che altro aggiornamento tirarmi giù e se mi conviene tirarmi giù il service pack 3

    grazie dubo

  14. #14
    Rōnin Member
    浪人
    L'avatar di dubo
    Data Registrazione
    24-02-2008
    Località
    Milano
    Messaggi
    10.863
    meglio cosi'. prevx csi e' un ottimo programma, aggiorna senza problemi a SP3. un ultimo consiglio se adesso ila situazione e' risolta, come sembra, disattiva il ripristino, riavvia la macchina e riattiva il ripristino

    p.s. se fai immagini del disco in maniera regolare il ripristino di configurazione puo' anche rimanere disattivato

Segnalibri

Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •