Infezione "alga.exe" con servizio avviato "service.exe" della Microsoft
Ciao a tutti.
Eccomi qui che apporto anch'io il mio contributo al sito, non rimuovendo infezioni....ma andandomele a beccare in pieno.
Ecco il computer infetto:
Notebook Toshiba Qosmio
MS WindowsXP Professional SP3
Intel Pentium M processor 2.00GHz, 2,0GB RAM, NVIDIA GeForce Go 660
Il problema:
All'avvio del computer mi si avvia il servizio "service.exe" della "Microsoft" ; nome servizio "Microsoft Ms" ; percorso "C:\WINDOWS\system32\service.exe" ; descrizione "Microsoft Service" ; Company Name "Microsoft"
e il programma "alga exe" ; Company Name "Microsoft" ; che parte dall'esecuzione automatica "C:\Documents and Settings\User\Menu Avvio\Programmi\Esecuzione automatica".
l'Effetto e l'avvio del Browser alla cartella "file:///C:/Documents%20and%20Settings/user/Impostazioni%20locali/Temporary%20Internet%20Files/web.html"
Preciso che nč avira nč malwarebytes riconoscono l'infezione lanciando la scansione dei 2 file "alga.exe" e "service.exe"
inoltre il browser mi apre il file, come detto prima, "file:///C:/Documents%20and%20Settings/user/Impostazioni%20locali/Temporary%20Internet%20Files/web.html" , perō se provo a raggiungere con "explorer" di windows il percorso "C:/Documents%20and%20Settings/user/Impostazioni%20locali/Temporary%20Internet%20Files/" non mi trova il file incriminato "web.html" , anche se ho spuntato l'opzione visualizza i file nascosti e l'opzione visualizza i file di sistema.
In realtā č come se mi aprisse un altra cartella, infatti se digito lo stesso percorso in "winrar.exe" mi visualizza la cartella e il file incriminato con molti meno file.
Credo che il file che ha portato l'infezione sia questo:
"D:\FDM\Provandi Software\RemoteComputerManager6.0.3_1.rar" (mi piacerebbe sapere se č stato lui)
ma eventualmente nč avira nč malwarebytes lo hanno rilevato.
1)Disinstalla RemoteComputerManager
2)Scarica il file in allegato e copia il contenuto del file nel box bianco di OTL.Clicca su RUN FIX.
Allega il log generato.
Riavvia il pc
3) Rieffettua una scansione con OTL allegando solo OTL.txt
Ultima modifica di vicky67; 28-11-2013 alle 10.18.46
L'infezione era localizzata sull'avvio automatico e su un servizio che avrebbe potuto rigenerare il file se non eliminato.
Era firmato microsoft per confondere gli utenti,ma niente aveva a che fare con la microsoft.
dato che avevo il grosso sospetto che quel programma(RemoteComputerManager) avesse infettato il pc ti ho consigliato di disinstallarlo.
Se hai analizzato il file online e eset ha trovato infezioni l'ipotesi era giusta.
Adesso esegui nuovamnete il fix in allegato per completare la rimozione di quel programma di controllo in remoto.
Poi scarica ed esegui adwcleaner (guida ai tools rimozione in firma)
Segnalibri