Accedi per seguire   
Seguaci 0
Bubina

Msvcrt.exe

48 messaggi in questa discussione

Inviato (modificato)

Ciao a tutti amici :)

Oggi appena mi sono messa al pc è andato in crash,ho riavviato più volte ma niente,caricava windows e andava in crash,nelle motivazioni non c'era niente di rilevante solo ***STOP*00000......

Contollando nel task manager ho trovato questa voce che non so a cosa abbinare msvcrt.exe,il percorso porta a system32.

Disabilitandolo da msconfig il pc non è più andato in crash,sapete da dove può arrivare questo file? L'antivirus non lo riconosce come minaccia.

Grazie. :emot129:

Modificato da Bubina

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao ,

sei sicura che si esegue da C:\Windows\System32 e non da C:\Windows?

perché nel secondo caso si traterebbe di sicuro di un malware con funzioni da rootkit, piu precisamente questo

Comunque fallo esaminare su www.virustotal.com e facci sapere in modo da prendere le dovute misure :P

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao ...puoi provare a individuare il file e farlo analizzare --->QUI<------

Virus Total mi pare sia irraggiungibile stasera...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Si è in system32,l'ho cercato manuamente e l'ho fatto scansionare da Kasper ma non me l'ha rilevato come minaccia.

Anche in msconfig il percorso è C:Windows\system32\msvcrt.exe

Modificato da Bubina

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Service load: 0% 100%

File: msvcrt.exe

Status: POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: this file was only classified as malware by scanners known to generate more false positives than the average scanner. Do not consider these results definately accurate. Also, because of this, results of this scan will not be recorded in the database.)

MD5: 850008305b162519a1e22979522ccb59

Packers detected: -

Bit9 reports: Not analyzed yet (more info)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

da chi lo hai fatto analizzare??? (jotti???)

prova su Virus Total (nella mia firma) e allega il risultato completo (se fai una foto è meglio :) )

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Ciao...

da chi lo hai fatto analizzare??? (jotti???)

prova su Virus Total (nella mia firma) e allega il risultato completo (se fai una foto è meglio :P )

Ciao Kuma....Virus Total è off line da due giorni... :P

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Kuma....Virus Total è off line da due giorni... :P

:)

VirusTotal è di nuovo online (è stato rinnovato)

:P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

VirusTotal è di nuovo online (è stato rinnovato)

:)

Ma ha cambiato URL?? quelli che clicco nelle varie firme (Kuma e altri) danno un errore...

è questo il nuovo sito??

:P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ma ha cambiato URL?? quelli che clicco nelle varie firme (Kuma e altri) danno un errore...

è questo il nuovo sito??

:)

si è quello.....

:P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Com'era il link per caricare le immagini?

Modificato da Bubina

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Com'era il link per caricare le immagini?

Guarda nella mia firma ...--->inserire immagini :)

:P

Ti consiglio di salvarti il link nei preferiti.....lo si usa spesso

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

sgphoto20070718185533an8.th.png

Ho modificato l'immagine.

Modificato da Bubina

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ma ha cambiato URL?? quelli che clicco nelle varie firme (Kuma e altri) danno un errore...

è questo il nuovo sito??

:)

Uh ... non me ne ero neppure accorto :sonno:

Grazie dell'info ragazzi...

PS-- ora i motori di ricerca sono saliti a 32

____________

Bubina l'immagine è troppo piccola.... non so pensare se è un falso positivo o una minaccia reale

Sono più propenso per la seconda ipotesi... prima di eliminarlo, prova a rinominarlo modificando l'estensione da exe a old e vedi se tutto funziona...

Nella mia cartella \System32 esiste un msvcrt.dll, ma non un msvcrt.exe

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

anche nella mia,c'è sia il tuo che msvcrt20.dll e msvcrt40.dll.

cmq il computer andava in crash subito (non finiva nemmeno di caricare tutto all'avviamento) come ho detto in principio e togliendolo dall'avvio automatico è andato tutto a posto.

Vorrei sapere da dove arriva,se è un virus o fa parte di un programma.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

prova a comprimerlo e a tenerlo cosi per qualche giorno... vedi che succede

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Il file msvcrt.exe viene creato dal worm W32/Tilebot-Q, alias anche Backdoor.Win32.SdBot.aad.

Al primo avvio W32/Tilebot-Q si copia in C:\Windows\msvcrt.exe e crea il file System\rdriv.sys.

Il file rdriv.sys viene riconosciuto come nuovo driver di sistema e crea valori aggiuntivi al registro in :

HKLM\SYSTEM\CurrentControlSet\Services\rdriv\

Il file msvcrt.exe viene registrato come nuovo driver dal nome wdfmgr e viene visualizzato col nome di Ampi32 che si avvia in automatica all'avvio del SO, vengono creati nuovi valori in :

HKLM\SYSTEM\CurrentControlSet\Services\wdfmgr\

Il W32/Tilebot-Q disabilita l'avvio automatico di alcuni software modificando le impostazioni del registro :

HKLM\SYSTEM\CurrentControlSet\Services\Messenger Start 4

HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry Start 4

HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr Start 4

E setta questi così :

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate DoNotAllowXPSP2 1

HKLM\SOFTWARE\Microsoft\Ole EnableDCOM N

HKLM\SYSTEM\CurrentControlSet\Control\Lsa restrictanonymous 1

Inoltre vengono aggiunti i valori di registro in :

HKLM\SOFTWARE\Microsoft\Security Center\

HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\

HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\

Spero di essere stato di aiuto :)

Modificato da Dadomike

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

come già detto nell'altro post, prima di fornire consigli o procedure, assicurarsi che non siano già state trattate :wub:

:)

Ciao ,

sei sicura che si esegue da C:\Windows\System32 e non da C:\Windows?

perché nel secondo caso si traterebbe di sicuro di un malware con funzioni da rootkit, piu precisamente questo

Comunque fallo esaminare su www.virustotal.com e facci sapere in modo da prendere le dovute misure :P

:P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Scusami Steve75, ma a me quel link nn mi si apre, altrimenti nn avrei postato :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Uso IE7, cmq oggi lo apro, evidentemente c'era qualcosa che nn andava ieri, chiedo di nuovo scusa a Steve75, se avessi saputo cosa c'era in quel link nn avrei perso tempo a postare :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

come mi spiegate che togliendolo dall'avvio automatico è tornato tutto a posto?

Modificato da Bubina

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Che probabilmente è infetto :angel_not:

Me lo invii???

Mettilo qui: http://www.easy-share.com/

( e dammi l'URL per scaricarlo che lo facci analizzare più a fondo)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Uso IE7, cmq oggi lo apro, evidentemente c'era qualcosa che nn andava ieri, chiedo di nuovo scusa a Steve75, se avessi saputo cosa c'era in quel link nn avrei perso tempo a postare :P

ciao,

non c'è bisogno di scuse,il mio era solo un consiglio :P

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0