Salve, chiedo una cortesia dopo diverse scansioni con Malwarebytes, le ho dovute fare in quanto avevo problemi di pagine Internet che non si aprivano, e dopo varie pulizie, ho avviato il mio Antivirus (F-Secure) e mi dà questo messaggio cosa posso fare ? ho provato a rimuoverlo manualmente ma non ci riesco ?

Rapporto di scansione
martedì 12 giugno 2012 21:26:57 - 21:28:07
Nome computer: ADMINISTRATOR
Tipo di scansione: Analizza destinaz.
Destinaz.: C:\Windows\System32\winver.exe
Risultato: 1 malware rilevati
Gen:Variant.Barys.338 (virus)
C:\Windows\System32\winver.exe Azione: NON RIUSC.

Grazie

Prova con un rescue disc che lavora offline tipo Avira (http://www.avira.com/it/download/product/avira-antivir-rescue-system)

non ho capito....

io ho scaricato avira ma dice :
http://img339.imageshack.us/img339/4417/immagine2gu.jpg (http://imageshack.us/photo/my-images/339/immagine2gu.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

Dice che manca il CD oppure il supporto non è compatibile con il lettore.
Volendo puoi farlo da USB o SD con Yumi (http://www.pendrivelinux.com/yumi-multiboot-usb-creator/).

Scusa ma allora io non ho capito che roba è un rescue:confused::confused::confused:

pensavo fosse un antivirus online ?

no, è un sistema avviabile da CD (o pendrive) capace di analizzare il tuo hard disk dall'esterno.
Essendo un sistema esterno "nuovo nuovo", non è sicuramente infetto e può fare il lavoro con maggiore tranquillità, senza paura di un risultato alterato dai un maleware e senza problemi relativi a file bloccati ecc...

ho avviato il mio Antivirus (F-Secure) e mi dà questo messaggio cosa posso fare ? ho provato a rimuoverlo manualmente ma non ci riesco ?

Rapporto di scansione
martedì 12 giugno 2012 21:26:57 - 21:28:07
Nome computer: ADMINISTRATOR
Tipo di scansione: Analizza destinaz.
Destinaz.: C:\Windows\System32\winver.exe
Risultato: 1 malware rilevati
Gen:Variant.Barys.338 (virus)
C:\Windows\System32\winver.exe Azione: NON RIUSC.

Grazie
Rimuovere cosa ?, winver.exe è un processo connesso con Version Reporter Applet da Microsoft Corporation. Questo processo fa parte di Microsoft® Windows® Operating System. Il file può essere stato modificato, quindi se anche tu lo concelli, potrebbe essere rimpiazzato. Ad ogni modo prova a spostarlo sul desktop, in questo modo lo potrai cancellare dopo un riavvio, sperando che il sistema lo abbia rimpiazzato con quello genuino. La cancellazione potresti farla anche con Unlocker (http://www.filehippo.com/it/download_unlocker/), ti consiglio comunque di fare una scansione con ComboFix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix).

Per tagliare la testa al toro bisogna che invii e testi il file incriminato su VirusTotal.

il problema è che mi da questo :


http://img844.imageshack.us/img844/2701/immagineyqi.jpg (http://imageshack.us/photo/my-images/844/immagineyqi.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

E' un problema di previlegi, ti appare quando cerchi di fare upload verso VirusTotal?
Se non riesci invialo a VirusTotal con sistema live...
Il file pare legittimo ma potrebbe essere stato infettato...
il responso di VT (che utilizza praticamente tutti i motori di scansione antivirus presenti sul mercato) ti può dare la certezza, in ogni caso ricorda comunque di scansionare l'intero sistema con i rescue disk di cui abbiamo parlato prima.

....ti appare quando cerchi di fare upload verso VirusTotal?

si proprio così, proverò con rescue

Grazie mille

Volendo c'è VirusTotal Uploader (https://www.virustotal.com/documentation/desktop-applications/), prova anche questo prima.

a riuscirci ......parla sempre dello stesso problema di autorizzazioni ???

Credo che il file non sia infetto, dai i permessi al file, da Utente Admin, tasto destro sul file winver.exe, Tab Protezione, dai tutti i consensi, compreso "Controllo Completo" al tuo Nome Utente o a Everyone.

http://blogs.dotnethell.it/filestore/3892_protezione%20tab.jpg

Ho Fatto con Virus Total,

mò come mi comporto ?

Mi sembra che sul forum di chicchedicala (http://www.chicchedicala.it/Forum/viewtopic.php?f=16&t=25385) ti stanno seguendo bene ;)

Giustamente come ti hanno fatto notare:
Non è che sentendo troppe campane contemporaneamente si rimane rintronati ?



A questo punto l'unica cosa che possiamo dire anche noi è:

Tienici informati se risolvi e con quale metodo, GRAZIE

Sicuramente il file è stato modificato in qualche modo perchè il mio da 0/42 e non 7/42.
I modi per risolvere te li abbiamo dati, ora attieniti a questi e vedrai che non avrai problemi.

Sicuramente il file è stato modificato in qualche modo perchè il mio da 0/42 e non 7/42.
I modi per risolvere te li abbiamo dati, ora attieniti a questi e vedrai che non avrai problemi.

Io non ho capito questo 0/42 - 7/42 dove lei lo legge,
comunque Io NON ho capito i modi per risolvere questo problema Ho seguito i Vostri consigli in quanto ho MOLTA poca dimestichezza con il PC ed ho cercato di seguire una strada a me + consona son riuscito attraverso il consiglio di AMIGA a far leggere il file a Virus Total ma io non ciò capito una sega.

Ma la cosa strana è Malware non trova nulla, l'unico è il mio F-secure che si avvia nn capisco come e perchè dicendomi
http://img689.imageshack.us/img689/1026/viruskg.jpg



e Visto che +/- tutti i Mod riescono a vedere i miei problemi, capitemi che posto dove la strada mi sembra meno difficoltosa,

Grazie a tutti comunque

Ah ecco dimenticavo ho provato a lanciare anche questo :
http://www.bleepingcomputer.com/combofix/how-to-use-combofix

x ben 2 volte ma nulla il PC dopo ore si è arrestato improvvisamente.

Poi ho provato anche a scaricare un rescue (ora non ricordo + nemmeno quale ho scaricato provate a vedere l'immagine)
http://img521.imageshack.us/img521/3512/rescueh.jpg



Ma nonostante ho dato al PC di partire da USB mi ha dato un Frase strana BOOTMDR mancante digitare CTRL+CAN+ALT x fa ripartire la macchina

L'errore BOOTMDR, dimostra che la Pendriver non ha un sistema bottabile. Tornando al problema virus, se tu stai usando un utente limitato, innalza il tuo utente ad Admin e fai una scansione con Malwarebytes (http://www.filehippo.com/download_malwarebytes_anti_malware/) ben aggiornato e poi facci sapere cosa ha trovato e se riesce a debbellare il virus, questo lo puoi vedere solo dopo aver rifatto la scansione con Malwarebytes.

Stò osservando la scansione di Malwarebytes come amministratore, quanto arriva alla cartella system32 ed al file incriminato winver.exe si avvia automaticamente anche il mio antivirus (f-secure) ma purtroppo la risposta è sempre la stessa :
non è stato possibile rimuovere l'oggetto.

Ecco il risultato

19310

che fò ?

Segui questa guida (http://forum.wintricks.it/showthread.php?t=155273) per scansionare il pc con un rescue cd

Scusi VincenzoGTA,

Ma prima devo scaricare l'immagine ISO di Kapersky ? perchè altrimenti quanto mi trovo ad installare UNetbootin se io ho windows devo per forza sceglire l'immagine ISO del Software Kapersky o sbaglio ?

Le distribuzioni a me Non servono ? (io ho solo W.7)

ma quì :
Se il sistema operativo del computer è in sospensione o le sue operazioni sono state interrote in modo errato, verrà chiesto di montare il file system o di riavviare il computer.
Per poter avviare il sistema dal disco rigido in modo da chiudere correttamente il sistema operativo, selezionare Riavvia il computer.
Se si seleziona Continua, l'applicazione proseguirà con il montaggio del file system, ma c'è un'elevata possibilità di danneggiare il file system.
Se si seleziona Salta, l'applicazione non eseguirà il montaggio del file system. Solo i settori di avvio e gli elementi presenti in Esecuzione Automatica verranno analizzati. C'è un'elevata possibilità di danneggiare il file system.

IO NON ho ben capito, ho possibilità che mi danneggi il s.o. ? di W.7 ??

Spero di nn aver fatto casini

perchè prima mi si è avviato questo :
http://support.kaspersky.com/it/faq/?qid=208282164
poi questo :
http://forum.wintricks.it/showthread.php?p=1654138#post1654138

ad un certo punto mi ha detto che dei files erano già presenti e se volevo sovrascriverli
consigliandomi/raccomandato di cliccare YES ALL

mica ho ben capito questo giro di cose

o forse il 2° link è da far girare sul PC ?

Segui questa guida (http://forum.wintricks.it/showthread.php?t=155273) per scansionare il pc con un rescue cd

non funge il rescue sembra partire ma poi dopo un attimo si ferma e non riesco a capire il dati dice fail e poi nn ricordo

Mah... questi antivirus continuano a lasciarmi dubbioso !!!!!!!!!

http://img593.imageshack.us/img593/3356/immaginelw.jpg (http://imageshack.us/photo/my-images/593/immaginelw.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

Prima di tutto io controllerei la dimensione del file e poi farei una ricerca su internet.
O magari chi ha windows seven service pack 1 - win 7 sp1 - potrebbe mostrare qui, in questa discussione, le proprietà del suo winver.exe...
Winver.exe dovrebbe trovarsi in c:\windows\sytem32 (altrimenti fai una ricerca nel computer).
Io uso windows xp sp3 e il file winver.exe restituisce queste proprietà:

dimensione: 5,50 KB (5.632 byte) (però occupa 8 KB, ovvero due cluster)
data creazione: giovedì 19 agosto 2004, 15.39.46
modificato: domenica 13 aprile 2008, 19.14.26
ultimo accesso: giovedì 8 settembre 2011, 22.30.46

Siccome al mio antivirus risulta sicuro, eseguendolo mi esce questo:


http://img96.imageshack.us/img96/9075/immaginejlc.png

Stò osservando la scansione di Malwarebytes come amministratore, quanto arriva alla cartella system32 ed al file incriminato winver.exe si avvia automaticamente anche il mio antivirus (f-secure) ma purtroppo la risposta è sempre la stessa :
non è stato possibile rimuovere l'oggetto.
Fai lavorare Malwarebytes, disinstalla f-secure, poi lo installi exnovo.

Prima di tutto io controllerei la dimensione del file e poi farei una ricerca su internet.
O magari chi ha windows seven service pack 1 - win 7 sp1 - potrebbe mostrare qui, in questa discussione, le proprietà del suo winver.exe...
Winver.exe dovrebbe trovarsi in c:\windows\sytem32 (altrimenti fai una ricerca nel computer).
Io uso windows xp sp3 e il file winver.exe restituisce queste proprietà:



Siccome al mio antivirus risulta sicuro, eseguendolo mi esce questo:


http://img96.imageshack.us/img96/9075/immaginejlc.png

Quello dell'ufficio è così
(solo che la Versione Seven non è la Ultimate è la professional )

Cioè in ufficio hai windows 7 professional (32 o 64 bit?) che ha queste proprietà:
dimensione: 78,0 KB (79.872 byte) (però occupa 80 KB, ovvero 20 cluster)
data creazione: martedì 14 luglio 2009, 1.41.47
modificato: martedì 14 luglio 2009, 3.14.46
ultimo accesso: martedì 14 luglio 2009, 1.41.47

Mentre windows seven ultimate, che a quanto pare è quello che hai a casa, che proprietà ha?

PS: da ulteriori ricerche (click) (http://www.dllsuite.com/Windows/Windows_7_Ultimate_Edition__32-bit/list_w/winver.exe.html), risulta che su sistema operativo Windows 7 Ultimate Edition 32-bit il file winver.exe ha dimensione 79872 byte e data di creazione 13/7/2009 16:41:48 ... Praticamente coincide con la dimensione di windows 7 professional.
Ora rimane da vedere se hai la versione 32 o 64bit (sul pc incriminato), oltre alle proprietà del file.

Sempre cercando nello stesso sito, sembra che il file winver.exe sia sempre lo stesso per tutte le versioni di windows 7... Se nel pc incriminato la dimensione del tuo winver.exe è diversa da 79872 byte, probabilmente è un virus come ti viene segnalato da f-secure... In questo caso prendi il winver.exe corretto dal computer che non è infetto e lo sostituisci al tuo winver inquinato e hai risolto il problema (se non ci sono altri file inquinati ovviamente...).
Se per caso winver.exe è in esecuzione fai ctrl-alt-canc, che ti apre task manager, termini il processo winver.exe (click destro sul processo e termina) e riprovi.

Cioè in ufficio hai windows 7 professional (32 o 64 bit?) che ha queste proprietà:
Esatto

Mentre windows seven ultimate, che a quanto pare è quello che hai a casa, che proprietà ha?
Vedi allegato

PS: da ulteriori ricerche (click) (http://www.dllsuite.com/Windows/Windows_7_Ultimate_Edition__32-bit/list_w/winver.exe.html), risulta che su sistema operativo Windows 7 Ultimate Edition 32-bit il file winver.exe ha dimensione 79872 byte e data di creazione 13/7/2009 16:41:48 ... Praticamente coincide con la dimensione di windows 7 professional.
Ora rimane da vedere se hai la versione 32 o 64bit (sul pc incriminato), oltre alle proprietà del file.

Sempre cercando nello stesso sito, sembra che il file winver.exe sia sempre lo stesso per tutte le versioni di windows 7... Se nel pc incriminato la dimensione del tuo winver.exe è diversa da 79872 byte, probabilmente è un virus come ti viene segnalato da f-secure... In questo caso prendi il winver.exe corretto dal computer che non è infetto e lo sostituisci al tuo winver inquinato e hai risolto il problema (se non ci sono altri file inquinati ovviamente...).
Se per caso winver.exe è in esecuzione fai ctrl-alt-canc, che ti apre task manager, termini il processo winver.exe (click destro sul processo e termina) e riprovi.

Il problema è che nonostante i diritti di amministratore nn riesco a smuovere winver dal mio PC casa (Ultimate)

Ok, anche se l'immagine si vede malissimo, si riesce a vedere che il file supera gli 81,5kb, dunque non dovrebbe essere il file originale... quindi pare che il tuo antivirus f-secure abbia ragione e malwarebytes torto.
Non hai ancora detto se hai la versione 32 bit o 64 bit

19315Scusi
ho la 32

Forse ora si vede meglio

Possibilmente scrivi anche le date di creazione, modifica e accesso :)

Possibilmente scrivi anche le date di creazione, modifica e accesso :)

scusi ma la data di che ?

io leggo:
data di creazione 14 luglio 2009 1.41.27
ultima modifica 20 dicembre 2010 5.33.57
ultimo accesso 24 maggio 2012 21.49.43

corretto?
La dimensione esatta non riesco a leggerla

ma vedo che Lei è in linea non è che si riesce a chattare direttamente ?

Comunque si tutto mi sembra esatto
ora le invio questo :
http://img98.imageshack.us/img98/7852/winver.png (http://imageshack.us/photo/my-images/98/winver.png/)

Uploaded with ImageShack.us (http://imageshack.us)

controlla premendo ctrl alt canc (task manager) se il processo winver.exe è presente (in tal caso click destro e termina).... Ammesso che funzioni

non c'è

Scarica hijackthis da qui
http://www.trendmicro.com/ftp/products/hijackthis/HiJackThis.msi
Installalo, avvialo, clicca open the misc tool section, clicca delete a file on reboot..., trova il file incriminato c:\windows\system32\winver.exe, premi apri/ok, ti appare direttamente un messaggio di windows che ti chiede di riavviare il pc e naturalmente gli dici di sì.
Più semplice di così non si può direi :)

(Poi prendi il giusto winver.exe dal computer dell'ufficio e lo metti nel tuo pc)

Ho fatto quanto da Te suggerito,

ora non trovo + il file winver.exe che mi creava problems

ho fatto la scansione con il mio antivirus (F-secure) e sembra nn aver trovato nulla
file:///C:/Program%20Files/F-Secure/Anti-Virus/FSAV_REP.HTM

che dici lo rimetto il file winver dell'ufficio ??

Certo :)
Sono sicuro che si trova lo stesso file anche in internet, cercando un po'.

ma se il PC funge senza problemi perchè cercare quel file ??

Certo :)
Sono sicuro che si trova lo stesso file anche in internet, cercando un po'.

Ciao Mitico

guarda un po ?

Cioè lo hai messo? :)

Si Si, e tutto sembra filare liscio :inn:

Molte grazie Xilo76