PDA

Visualizza versione completa : Altro servizio di Windows XP che dà errori !


Massimo1973
09-06-2009, 19.47.23
Ciao a tutti, qualche giorno fa ho scritto un thread su un servizio di Windows XP Home Edition SP3 che dava errori 7023 nel visualizzatore eventi. Si di trattava di un famigerato "Server Security", con lo strano nome "jzgihlown", poi neutralizzato e cancellato con la procedura da riga di comando «sc delete "jzgihlown"».

Ora ne ho trovato un altro ! Si tratta del servizio "Microsoft Monitor", con il nome "hsnirgvf".

Anche questo non si riesce a disabilitare e cancellare come l'altro perché dà sempre "accesso negato". A differenza di quello sopra, però, non riesco da regeditor a dare le necessarie autorizzazioni per il settaggio in manuale, la disabilitazione o la cancellazione.

Qualcuno mi può aiutare ?

Grazie !

M.

Lionsquid
09-06-2009, 20.23.29
è un virus, probabilmente un trojan

lo puoi killare quante volte vuoi, riapparirà sempre con nomi diversi


possibili soluzioni:

usa malwarebytes da modalità provvisoria (con rete per permettere al programma di aggiornarsi) > http://www.malwarebytes.org/mbam.php

oppure

usa combofix > http://www.bleepingcomputer.com/combofix/it/come-usare-combofix

Massimo1973
09-06-2009, 20.44.56
Però Spybot non lo trova e nemmeno AVG 8.5 aggiornatissimo. Nemmeno lo strumento di rimozione del malware di Windows lo trova. Accidenti: dove sbaglio ? Forse nel non usare quanto mi consigli. Proverò malwarebytes... Però ora non ho tempo, vediamo domani o dopo... Accidenti.

Massimo1973
09-06-2009, 20.52.33
Fortuna per lo meno che "in superficie" questo trojan non dà grossi problemi. Solo alla mia mania di guardare continuamente il visualizzatore eventi, pare !

M.

Massimo1973
09-06-2009, 21.52.11
Ora ce l'ho fatta a rimuovere anche l'altro servizio strano. Non davo le corrette autorizzazioni. Vediamo se ne ricompare un altro.

Per la cronaca: avete notizia di precedenti di Trojan che operano in questo modo, inserendo servizi fasulli tra quelli di Windows ?

Losko
09-06-2009, 22.13.22
Fai delle scansioni antischifezze con i software suggeriti da Lionsquid ed anche con altri software antivirus magari puoi provare con i Rescue CD ;)

Personalmente AVG non mi piace, ma è una mia opinione.

Massimo1973
10-06-2009, 08.10.07
Boh, ho provato anche con altri software e con l'aggiornamento di Windows anti malware, ma non trova niente di rilevante. Chissà che razza di trojan è questo che inserisce servizi sconosciuti non avviabili...

Lionsquid
10-06-2009, 11.48.37
Fai delle scansioni antischifezze con i software suggeriti da Lionsquid ed anche con altri software antivirus magari puoi provare con i Rescue CD ;)

Personalmente AVG non mi piace, ma è una mia opinione.



concordo su AVG (Y)

@Massimo

usa GMER per verificare se ci sono processi HIDDEN (combofix dovrebbe farlo, se hai salvato il log potresti allegarlo in modo che ci facciamo un'idea di cosa ha trovato)

quel comportamento è virale a 99,99%, se gli "anti" non lo rilevano è perchè li blocca o li inganna ;)

puoi fare un boot esterno con un bartpe e rilanciare combofix???? ( scaricalo da un'altro PC e RINOMINALO!!)

Lionsquid
10-06-2009, 11.52.20
discussione spostata nella sez. di pertinenza ;)

Tecno214
10-06-2009, 12.09.40
Ora ce l'ho fatta a rimuovere anche l'altro servizio strano. Non davo le corrette autorizzazioni. Vediamo se ne ricompare un altro.

Per la cronaca: avete notizia di precedenti di Trojan che operano in questo modo, inserendo servizi fasulli tra quelli di Windows ?

E' Conficker (così ad occhio)....
Hai provato per caso a collegarti a siti di antivirus e/o il sito Microsoft?
Ti funziona?

Se per caso fosse lui basta googlare un pò per trovare almeno una tonnellata di materiale e removal tools vari per la disinfezione!

Massimo1973
10-06-2009, 15.41.56
Al sito della Microsoft sono collegato sempre in questi ultimi giorni, mentre a siti di Antivirus non ho provato. Nel caso di recidive proverà a verificare con google questo conficker che mi citi. Grazie a tutti per il momento.

Lionsquid: qual é la sezione di pertinenza ?

Lionsquid
10-06-2009, 16.27.24
...
Lionsquid: qual é la sezione di pertinenza ?


la discussione era stata inserita nella sezione WINDOWS XP/Vista... mentre nel svilupparsi è stato chiaro che era un problema di sicurezza e pertanto ho spostato la discussione nella sezione adatta dove avrà maggiore visibilità per chi cerca temi simili ;)

di fatto, la mia era una mera comunicazione di servizio ;)

Massimo1973
10-06-2009, 18.07.51
oops, scusa, Lionsliquid, non avevo visto che era variata la sezione !

Massimo1973
10-06-2009, 18.21.06
Comunque: ho scaricato anche GMER e l'ho provato. Non ho entry rosse e se volete posso condividere il log che ho copiato in un file di testo. Ora, non sono in grado di leggere e comprendere tutti i processi, ma non sono stati visualizzati messaggi di errore. Al momento non rilevo altri servizi anomali nel visualizzatore eventi.

Lionsquid: credi sia meglio provare comunque con Combofix ?

Massimo1973
10-06-2009, 18.30.21
Per condividere il file log di GMER come posso fare qua sul forum ? Sempre che qualcuno si presti per darmi questo consulto. Grazie in anticipo !

Massimo1973
10-06-2009, 18.51.44
Scusate la logorroicità, ma così, spulciando nel registry (e grazie a GMER che mi ha trovato una chiave di registro modificata) ho trovato il servizio jzgihlown ancora elencato nonostante la cancellazione dai servizi. Infatti nei services.msc non si trova più il corrispondente servizio: vuol dire che il servizio è stato eliminato ma la chiave permane ? Non riesco peraltro a cancellare questa sottochiave segnalata, nonostante le autorizzazioni siano ok.

Faccio presente che il pc funziona perfettamente e non ho più errori nell'event viewer.

Lionsquid
10-06-2009, 20.32.28
riprova con le autorizzazioni, se non va, riavvia in mod provv e accedi come ADMINISTRATOR, dovresti poter prendere i diritti sulla chiave

per allegare un file guarda più in basso nella pagina del RISPONDI (sotto ultimo post a sx) , non puoi allegare file dal box "risposta rapida" ;)

Massimo1973
10-06-2009, 20.51.46
Lionsquid, grazie. In effetti non si riesce a dare le autorizzazioni per la rimozione della chiave del servizio. Come detto il servizio già non compare più in services.msc, ma GMER identifica ancora questo "jzgihlown" come disabilitato e in regedit si trova un'evidenza incancellabile, con errore se si prova la cancellazione. Ora non ho tempo di avviare in mod provvisoria, per cui mi limito ad allegare il file di log di GMER di questa sera:

male che dovesse andare tengo le cose così, non c'è al momento alcun impatto su alcuna funzionalità del sistema. Vediamo. Per ora grazie.

Lionsquid
11-06-2009, 00.00.24
per rimuovere le chiavi che gmer elenca resta da usare "The Avenger"

Info (http://swandog46.geekstogo.com/avenger2/avenger2.html)

Tutorial (http://swandog46.geekstogo.com/avenger2/tutorial.html)

Download (http://swandog46.geekstogo.com/avenger2/download.php)

le chiavi sono queste:

HKLM\SYSTEM\CurrentControlSet\Services\jzgihlown\P arameters@ServiceDll
C:\WINDOWS\system32\xrkvn.dll

HKLM\SYSTEM\ControlSet002\Services\jzgihlown\Param eters@ServiceDll
C:\WINDOWS\system32\xrkvn.dll

come puoi vedere il file incriminato è xrkvn.dll (lo puoi cancellare con una distro live di linux o un bartpe oppure con The avenger)

esempio dello script per rimuovere le chiavi dal registro

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\jzgihlown\
HKLM\SYSTEM\ControlSet002\Services\jzgihlown\

Files to delete:
C:\WINDOWS\system32\xrkvn.dll

Massimo1973
11-06-2009, 08.13.51
Grazie mille ancora Lionsquid: cercherò ora Avenger e cercherò di far fuori queste chiavi residue insieme al file.

Due domande, ora però non sono sul pc in questione:

- non si riuscirà con una normale cancellazione a rimuovere la libreria xrkvn.dll ?
- l'opzione che mi hai suggerito ieri di avviare in modalità provvisoria rimane ancora suggeribile o è meglio provare subito con Avenger ?

Grazie ancora !

Lionsquid
11-06-2009, 17.14.13
molte operazioni di "pulizia" vanno fatte in mod. provvisoria per diminuire i rischi connessi al blocco del file in uso o peggio, all'inibizione da parte del virus del funzionamento del programma pulitore

per questo ti consiglio vivamente di rinominare i 2 programmi con nomi di fantasia


il file .dll, forse è rimovibile senza sforzi... non so, dovrei provare... nel dubbio usa avenger e non ci pensi +

Massimo1973
11-06-2009, 18.15.56
Lionsquid, ho provato Avenger, ma ahimé un po' pedestremente eseguendo la riga di comando sulla chiave di registro che hai riportato e non la trova: dopo il riavvio viene visualizzato un file log che riporta messaggi del tipo "not found". Probabilmente occorre riportare il path della chiave in modo esteso. HKLM è un'abbreviazione vero ?

Massimo1973
11-06-2009, 20.35.34
Sta di fatto però che il famigerato servizio è ora scomparso da regedit... Insomma, a qualcosa è servito, Avenger. Anche GMER non trova più modifiche alle chiavi. Le cose sembrano quindi a posto...

franco filippini
28-06-2009, 15.47.30
questi virus si prendono perchè si usano tanti antivirus free e i virus vanno a nozze la prima regola secondo me è usare un solo antivirus a pagamento esp.kapeski o G-Data e un solo anti spayare sempre a pagamento ( tanto spendi tanto ti porti a casa ) e stare lontani da siti a rischio.