ciao gente sono sul pc di una mia amica che ha un problema. credo che sia stata infettata da un virus o da un trojan che su un altro forum è stato chiamato "cloner". sostanzialmente parte da msn: viene inviato ai destinatari un messaggio in cui si chiede di accettare una "foto", che in realtà è uno zip contente non so cosa. ho usato hijackthis e questo è il log: come vedete c'è la voce C:\RECYCLER\msnservice.exe che però non so dove trovare e come eliminare. cioè mi sa che comunque, più che altroo, è uno di quei simpatici stronzetti che una volta che hai eliminato e riavviato, poi ricompaiono...beh insomma avrei bisogno di un po' di aiuto...thanks! :)

ho usato hijackthis e questo è il log:
Quale log?

Hai svuotato il cestino di windows?

cacchio non l'ha allegato. ve lo posto. comunque sì ho svuotato il cestino ma il problema permane...il log riprovo ad allegarlo perchè sennò è troppo lungo...

ps: che scemo, non avevo visto che l'estensione era *.log e non l'avevo cambiato in txt! :inn:

Penso che ti sia beccato il carpet.c worm!
Dovresti poterlo eliminare in questo modo
start > esegui > regedit
cerca hkey_local_machine software microsoft windows current version RUN
cerca a destra se c'è MSN\service e lo cancelli!
Ricorda di agire da modalità provvisoria e,preventivamente di fare un backup del registro.Rifai la scansione con hijackthis e facci sapere ;)

C:\Programmi\WinAntiVirus Pro 2006\WinAV.exe

C:\Programmi\File comuni\WinAntiVirus Pro 2006\uwa6pcw.exe

O2 - BHO: CIEIntegrator Object - {2178F3FB-2560-458F-BDEE-631E2FE0DFE4} - C:\Programmi\WinAntiVirus Pro 2006\winpgi.dll

O2 - BHO: IEFW Object - {B5141620-C2B2-4D95-9F0F-134D99C87AB0} - C:\Programmi\WinAntiVirus Pro 2006\IEFWBHO.dll

O4 - HKLM\..\Run: [WinAntiVirusPro2006] "C:\Programmi\WinAntiVirus Pro 2006\WinAV.exe" /min

O4 - HKLM\..\Run: [uwa6pcw] "C:\Programmi\File comuni\WinAntiVirus Pro 2006\uwa6pcw.exe" -c

O23 - Service: Firewall service (FWSvc) - WinSoftware, Ltd. - C:\Programmi\WinAntiVirus Pro 2006\FWSvc.exe

leggi cos'è questo oltre che fissarli con il bottone radio FIX CHECKED, cerca nel task manager. in ms config nelle due tab AVVIO E SERVIZI e disabilitalo se presente, poi cancella la cartella nella directory che vedi sopra ed eventuali riferimenti nel registro.

http://www.fbmsoftware.com/spyware-net/process/WinAV_exe/3001/

http://www.superadblocker.com/definition/winav/


http://virusinfo.prevx.com/pxparall.asp?PXC=919210078817
-------------------------------------------------------------

C:\RECYCLER\msnservice.exe
FIX CHECKED
---------------------------------------------------------------

C:\Programmi\Winsonar\winsonar.exe

C:\Programmi\Winsonar\winsonar.exe

confermami di aver installato questo programma e che lo usi.
-----------------------------------------------------------------

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
FIX CHECKED
-----------------------------------------------------------------

Prima di fare queste operazioni disattiva il ripristino di configurazione lo riattiveremo in seguito.
poi rifai un *.log come questo e postalo.

tecnicamente dovresti riuscire a far fuori il "falso antivirus" contratto utilizzando questo programma gratuito chiamato "RogueRemover free 1.9" che puoi scaricare da uno dei mirrors presenti nel sito http://www.malwarebytes.org/rogueremover.php e che trovi anche in questa news http://forum.wintricks.it/showthread.php?t=115793

quindi è il winantivirus la causa di tutto? e sarebbe da rimuovere con rogueremover e non manualmente, dunque?

Rogue Remover lo riconosce, scaricalo dal link che ti ha postato leofelix, poi dai una pulita con CCleaner o ATF Cleaner e te ne liberi.

sì presumo che il "falso antivirus" sia la causa principale.
I consigli di Alexsandra sono validissimi.
In prima pagina di Wintricks trovi le istruzioni per usare il CCleaner che nella versione senza toolbar puoi scaricare da qui
http://www.ccleaner.com/download/downloadpage.aspx?f=2

intanto Roguerevover free è giunto alla versione 1.20.

Una volta pulito tutto il possibile sia fissando con HijackThis, sia usando "RogueRemover free" e puliti i files temporanei e le tracce di navigazione con CCleaner, sarebbe opportuno dare una scansione on line ad esempio collegandoti qui:

http://www.bitdefender.com/scan8/ie.html

se non basta e se usi un sistema Windows 2000/XP o Vista
io scaricherei e farei una scansione completa con AVG Antispyware 7.5.1 free/trial da qui:
http://www.ewido.net/en/download/

E suggerirei anche alla tua amica di navigare con qualcosa di più sicuro se non usa di già Mozilla Firefox 2.00.4 e/o Opera 9.21
:)

ok, pare che il falso antivirus sia stato rimosso, però adesso c'è un certo nmz.exe che rompe le palle...e intanto mi sono accorto che qua non c'era nessun firewall e ho attivato quello di windows...

vi allego un log di hijackthis. che palle mi sa che qua formatto tutto e pari perchè è un casino della madonna.

ok, pare che il falso antivirus sia stato rimosso, però adesso c'è un certo nmz.exe che rompe le palle...e intanto mi sono accorto che qua non c'era nessun firewall e ho attivato quello di windows...

vi allego un log di hijackthis. che palle mi sa che qua formatto tutto e pari perchè è un casino della madonna.

http://spywarefiles.prevx.com/RRCECB041810397/HJHQZ.EXE.html

http://spywarefiles.prevx.com/RRCAJF040345014/RPYUC.EXE.html

quindi dici di usare questo prevx? consiglio: dopo averlo usato lo disinstallo o lo lascio?

Perchè insistere a farsi del male usando Norton antivirus?

Usa unlocker o killbox e cancella i due file e le chiavi di registro che trovi nel link che ti segnalo più sotto.
con hijackthis cancelli queste tre righe.

O4 - HKLM\..\Run: [1] nzm.exe
O4 - HKLM\..\RunServices: [1] nzm.exe

C'è anche questo vermicello
http://www.avira.com/it/threats/section/fulldetails/id_vir/3266/worm_sdbot.19212.html
O23 - Service: Microsoft windows FTPd - Unknown owner - C:\WINDOWS\system32\dllcache\updtftpini.exe

quindi dici di usare questo prevx? consiglio: dopo averlo usato lo disinstallo o lo lascio?

Se hai letto attentamente i due link hai visto che il programma è specifico per il virus che hai riportato, penseremo dopo a togliere il programma. Quando hai fatto posta un *.log di Hijacthis perferisco guardarlo dopo a cose fatte.

Perchè insistere a farsi del male usando Norton antivirus?

Usa unlocker o killbox e cancella i due file e le chiavi di registro che trovi nel link che ti segnalo più sotto.
con hijackthis cancelli queste tre righe.

O4 - HKLM\..\Run: [1] nzm.exe
O4 - HKLM\..\RunServices: [1] nzm.exe

C'è anche questo vermicello
http://www.avira.com/it/threats/section/fulldetails/id_vir/3266/worm_sdbot.19212.html
O23 - Service: Microsoft windows FTPd - Unknown owner - C:\WINDOWS\system32\dllcache\updtftpini.exe

Norton? :confused:

Norton? :confused:
basta guardare il tuo log di hijackthis...se non vuoi chiamarlo norton antivirus, chiamalo norton internet security, ma il risultato non cambia.

O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe

basta guardare il tuo log di hijackthis...se non vuoi chiamarlo norton antivirus, chiamalo norton internet security, ma il risultato non cambia.

O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe

mah...non credo che abbiano il norton sul quel pc...al massimo norton partition magic...

Perchè insistere a farsi del male usando Norton antivirus?.... [OT ON] bella questa, me la segno .... purtroppo è una triste verità ;) [OT OFF]

E questo che cosa è?
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe

navapsvc.exe Process Information
navapsvc.exe - navapsvc - Process Information

Description:
navapsvc.exe is a part of the Norton AntiVirus application. It is running in the background and provides auto-protection features to the system. This process should not be removed to ensure that your system is secure.


[OT ON] bella questa, me la segno .... purtroppo è una triste verità ;) [OT OFF]
Piccola battaglia personale contro norton antivirus, usare tutto tranne quello.

..Piccola battaglia personale contro norton antivirus, usare tutto tranne quello.Purtroppo è vero...... è il potere della pubblicità e degli accordi con M$. Quando uno lo toglie dopo ... non lo mette più :)

dirò di toglierlo...ma spero che stiano per formattare tutto perchè è vermente un casino quel pc