Forum ottimizzato da cdlab seo agency Milano

WinME-services.exe accede a internet e disattiva notepad.exe

Categoria dedicata a Windows ed alle configurazioni di questo sistema operativo. Come configurare Windows per utilizzare i servizi e le reti degli operatori telefonici come Iliad, Tim, Vodafone e WindTre. Impostazioni di connessione, modalità di configurazione del modem o router, velocità della connessione, gestione delle reti Wi-Fi e molto altro.
Rispondi
Avatar utente
stoddard
Veterano
OFFLINE
Veterano
Iscritto il: 13 feb 2021

Messaggio stoddard »

Disistallazione di file Services.exe

Configurazione: computer AMD Athlon XP 2400+, RAM 512 Mb, S.O.=. Windows ME; Zone Alarm, Peer guardian , Avast istallati e running all time, collegamento a internet = fibra.

Circa 10 GIORNI fa inizia a comparire una richiesta di accesso da parte di un file services ( avviso di zonealarm). Detecto tre cose strane:
1) ( Uso di JV16) presenza di due chiavi di registro nuove : HKLM e HKLU = programma xp_system; Nome file : C.\windows\inetg\services.exe
2) presenza della suddetta directory inetg
3) malfunzionamento di notepad: cliccando notepad il programma non si avvia, ma compare la richiesta di accesso a internet da parte di services.
Il file services.exe indagato presenta firma di mucrosoft (?). Notepad. exe ha una dimensione ridotta rispetto all' originale ( di cui dispongo su un' altra macchina) ma la data di creazione del file e' anno 2000 (?!). Se avvio notepad non parte, ma nel task manager mi viene mostrato in esecuzione sia notepad che services. Se rimuovo le chiavi e la directory inetg al riavvio del computer esse ricompaiono. Le opzioni di internet sembrano modificate. Dando l' accesso ad internet a services.exe si modifica la barra di navigazione di internet.
Adaware, spyboot SD, avast non rilevano cose significative. Idem la ricerca di Mydoom con apposita freeware di norton.
Il dubbio e' che si tratti di un dialer ( che non funziona su fibra) o di un Hijack, oppure di un istallante la barra internet di Google, ma il problema e' scocciante.
Ho adottato la seguente soluzione che ha funzionato:
PRIMA DI TUTTO HO DISATTIVATO IL RIPRISTINO DI SISTEMA in proprieta'-fyle system
a) chiuso da task manager il file services in esecuzione
b) resettato internet explorer
c) eliminata la directory inetg, e notepad.exe dalla directory principale di windows
d) eliminate le chiavi di registro
e) creato un batch file come segue:

c:\windows\command\deltree.exe /y c:\windows\Temp*.*
c:\windows\command\deltree.exe /y c:\windows\History*.*
del c:*.log
del c:*.swp
del c:windows*.swp

f) eseguito il batch file
g) svuotato il cestino ( si puo' anche aggiungere una apposita istruzione al batch file)
h) riavviato il computer e fatte le verifiche : tutto Ok
i) resinserito notepad.exe in versione originale prelevato da un' altra macchina.
l) riverifica: tutto Ok
Controllando oggi con hijackthis. ( programma che non conoscevo) rilevo solo un residuo nel file winini con un run che fa ancora riferimento a C.\windows\inetg\services.exe, ma che ormai appare inefficace mancando il target. Basta andare a eliminarlo in win.ini.

DISCLAIMER - NOTA IMPORTANTE : anche se il sistema ha funzionato nel mio caso e anche se a volte e' un metodo utilizzabile con le dovute modifiche per sbarazzarsi di worm tenaci ( aggiungendo eventualmente nel batch file istruzioni per cancellare i file della directory di restore ) chi volesse utilizzarlo lo fa a proprio rischio e pericolo.

******PRIMA DI USARE IL DITO USARE IL CERVELLO ******
Top

ANNUNCIO ADSENSE
Avatar utente
stoddard
Veterano
OFFLINE
Veterano
Iscritto il: 13 feb 2021

Messaggio stoddard »

Correzione: dove ho scritto:
"Il file services.exe indagato presenta firma di mucrosoft (?). "
leggasi:
"Il file services.exe indagato presenta firma di microsoft (?). "
Chiedo scusa

******PRIMA DI USARE IL DITO USARE IL CERVELLO ******
Top
Rispondi

Torna a “WINDOWS”