como se livrar do vírus wmpscfgs.exe, um leitor contribuiu guia

Se você tiver os sintomas acima, você praticamente tem o vírus que tive ontem. Aqui está o que você pode fazer para se livrar dele. Não se preocupe com a digitalização como scanners não pode corrigir totalmente o problema e acabam corrompendo suas aplicações.

Começando esta parte, passos precisa de mais experiência técnica. Se você não está confortável em fazer os passos abaixo, procure alguém que possa ajudá-lo.

Graças ao leitor Kan para escrever com este guia, e espero que ajude alguém!

Você não numerar os passos, mas você se referir a “etapa 9” em um ponto. Se você estiver escrevendo um procedimento como este, você deve sempre numerar os passos e especialmente se você quiser para se referir a um ou mais específicos passos. Obrigado.

Todas as dicas sobre como evitar ser infectado com este vírus em primeiro lugar?

Uma vez que este vírus parece envolver arquivos de inicialização e o aplicativo WinPatrol; (a) substitui o arquivo de inicialização e todos os programas de inicialização arquivos / exe referidos noutras posições; (b) mostra um aviso pop-up quando um novo arquivo ou aplicativo procura ser adicionado ao start-up, pelo nome; (c) permite-lhe autorizar ou recusar a permissão para o arquivo nomeado para começar em cima …………………………… .. inicialização; ganharia Patrol evitar que esse vírus de fazer qualquer ou todas de seu dano?

que tinha números quando eu submeti-los, mas parece que eles foram removidos em que foram colocadas aqui.

Sim, o post original tinha números. Temos um ligeiro erro em nosso sistema de publicação, no momento, ele mostra balas genéricos para tudo, incluindo listas ordenadas.

Bom trabalho, Kan !!

Obrigado a cabeça para cima.

im tendo este vírus, e eu não posso excluí-lo a partir da pasta Internet Explorer, ele diz que “acesso negado” Verifique se o disco não está cheio ou protegido contra gravação “Eu já verifiquei as tarefas em execução e ele não aparecer there..any sugestões?

Muito obrigado Kan. O procedimento funcionou, após o que pareceu horas gostaram e horas de correr MBAM, Spybot e que não se deve remover os vários trojans e vírus. Uma sugestão para as pessoas que são afetadas por isso seria matar o processess entrando em “Serviços” e “Parar” todos os arquivos infectados por vírus que fazem parte do seu processo de inicialização e, em seguida, excluí-los. Você também pode usar um software chamado “Unlocker” (pesquisa no Google para que o software) para excluir arquivos que você não tem permissão para excluir (ou ele irá apagar os arquivos após a reinicialização).

Eu sou uma boa geek do computador, e sabe como resolver este tipo de problemas, mas não há nenhuma maneira podemos manter-se com as “variantes” que surgem em todos os lugares. Graças a pessoas como você e site como estes, alguns de nós não perder nossa sanidade ou acabam por “formatação” do disco rígido. Este vírus foi instalado através de um software malicioso chamado Antivirus Plus (que foi incorporado com um anúncio pop-up em um site de jornal), que por sua vez também havia desativado o meu modo de segurança. Eu removi o vírus infectou o software antivírus (mais um screensaver do desktop infectado instalado por AVP) depois de 5 horas de trabalho duro só para ver wmpscfgs.exe aparecer. Como mencionado acima, o meu laptop é limpo depois de 12 horas de ajustes e espero que os outros não vêem este vírus executável desagradável.

Ha! Ha! Ha !. Eu contei a minha frango muito rápido. O Antivirus Plus também causou browser hijack e meus navegadores IE / Netscape são inúteis beyong indo para a minha home page (Google) porque dade será redirecionado para vários ad-plataformas. Então agora eu estou usando correção Combo, drcureit e removedor de ATF e talvez Virut dependendo do que eu ver em hijack isso. Apenas quando eu pensei que meu dia estava terminando com uma nota positiva.

Devo admitir que este filho de um b * perplexo me.Your passos funcionou, mas por algum motivo eu não poderia entrar em modo de segurança, então eu tinha que fazer isso de outra maneira.

Este foi em uma máquina XP Pro FYI.

Fui para msconfig e desmarcada todos os aplicativos de inicialização. Eu, então, escreveu o nome de todos eles e localizado cada um e é homólogo vírus. Atenção: esta lista foi diferente do que o do meu registro. Eu apaguei todos eles e qualquer outra coisa que eu pensei que era um vírus. Os mais difíceis de apagar era uma tarefa quicktime que teve 10 cópias diferentes. Eu só descobriu que um por causa de procura de arquivos modificados entre ontem e hoje com um tamanho de pelo menos 39kb.

Não tenho certeza de onde eu apanhei isto no, mas foi amarrado ao falso programa Antivirus 2010 por isso deve ser muito novo. Quando eu percebi que algo estava errado eu imediatamente desativado a internet e trabalhou com ele offline.

FYI – Eu também tinha 24 entradas em minhas tarefas agendadas (um para cada hora) para este vírus para verificar o web. Eu apaguei aqueles.

Oi

Obrigado por isso, parece que não ajuda um pouco. O único problema que tenho é que eu não posso regedit aberto, ele continua dizendo desativado por admin. Mas im o administrador e eu havnt-lo desativado, e eu tenho seguido as instruções de “desativar prevenção de registo” e tudo isso, mas ainda não sorte. Eu poderia simplesmente arrancar em modo de segurança e excluir os wmpscfgs.exe de e todos os arquivos de 39KB?

obrigado

Ah, e im usando Windows 7.

obrigado

Dev () n, desculpe não muito familiarizado com como o Windows 7 obras. Mas sim, como mencionado acima, a sua recomendado para fazer a limpeza no modo de segurança de modo a que nem todos os serviços / processos estão todos em funcionamento. Você precisa parar os processos que o vírus iniciados antes de remover os arquivos infectados e renomeando de volta seus arquivos exe originais. Se você não pode executar regedit, você pode tentar msconfig que viagem utilizado.

Viagem, itens sim msconfig startup também precisa ser verificado. Parece que é mais abrangente do que as configurações de registro Run.

Ei!

Eu tentei isso (e eu estou correndo Win7), apenas o vírus é de alguma forma bloquear meus acesso em regedit. Eu não posso entrar, tentou muitas coisas (como editting em gpedit que eu estou autorizado a editar), mas o meu computador continua a bloquear-me com a mensagem que o administrador não deu permissão .. enquanto eu sou o administrador, mesmo quando eu clique em “executar como administrador” no momento, eu estou em uma perda, e eu não sei o que fazer .. se alguém poderia ajudar, seria muito apreciada.

Kelly

Estou tendo os mesmos problemas exatas. Não consigo acessar regedit e eu ter passado por 6 etapas diferentes que eu encontrei na net. Posso encontrar o wmpscfgs.exe culpado, mas não pode excluí-lo;. Meu computador também encontrou um outro vírus chamado agent_r.qm

Presumo que estes são bastante novos vírus porque não é um monte de ajuda para encontrar na rede sobre ele.

Conselho seria apreciado.

Aniz

Woohoo !!

Obrigado! Isso funcionou muito bem! Eu tenho o Windows XP por isso nem tudo combinava perfeitamente, mas só o fato de que o vírus renomeia os arquivos de execução de inicialização foi a chave para remover este vírus irritante. Muito obrigado =)

– Rob

Todo aquele que segue este não deve ter cuidado, pois há, de facto, um processo com um nome semelhante a este, na verdade, a sua chamada “wmpnscfg.exe” e é as definições de configuração para o serviço de compartilhamento de Rede do Windows Media Player, mesmo que eu não realmente usá-lo, ele é definido para executar todo o tempo e é um processo certificado Microsoft. Seu processo de Parceiro é “wmpnetwk.exe”, que é o serviço de compartilhamento real.

Só pensei que eu iria avisá-lo de tudo, eu acho que o meu aviso só afetaria aqueles que realmente usar o Windows Media Player.

Saúde

Conn

Você é o melhor. Desejo que eu poderia comprar uma cerveja.

Grande solução! Eu gostaria de enfatizar duas coisas.

1) Tome tempo para olhar para todos os arquivos que foram renomeados como descrito. Qualquer arquivo listado pela categoria O4 de relatórios HijackThis é provável que mudaram e nem todos estes aparecem no registro, como descrito acima.

2) Procurar o registro para wmpnscfg e eliminar todas as entradas. Eu tinha dois que estavam em outras áreas do registo que teve de ser removido para que o problema desapareça.

Qualquer mais conselhos para as pessoas que não têm acesso à regedit?

Aniz, tive a regedit bloqueado também. Por favor, procure google. Eu encontrei um simples passo que exigiu entrar em alguma configuração do painel de controle e mudar alguma coisa para habilitado. Desculpe eu estou escrevendo a partir da memória aqui. que fixa o problema regedit

Muito, muito obrigado para este como!

Para executar regedit.exe você precisa fazer login como o usuário “Administrador”. Esta conta é desativada por padrão.

Ir para Gerenciar computador, em seguida, Usuários e Grupos Locais> conta de administrador e desmarque a caixa Desabilitar. Da próxima vez que você encontrar Administartor em sua lista de usuários. Com esse usuário pode executar regedit;. Boa sorte.

Eu tenho o que quer que wmpsftct.exe bug na minha pasta IE e deve morrer agora. Então eu vou tentar seguir seus procedimentos. Para aqueles que não podem obter os direitos de administrador para chegar ao Gerenciador de Tarefas e Regedit, obter o Malwarebytes. PORQUE ele salvou o computador a partir de quase morte ea restituiu a BOM TRABALHO DE SAÚDE. Off para matar um outro vírus agora …

Para aqueles que não podem acessar regedit, ele pode ter sido desativado por este vírus. Se você executar o HijackThis você vai encontrar uma entrada O4 que mostra uma configuração do registro que permite a desativação do regedit.

Marque a caixa junto a esta entrada e clique em “Fix verificado” no canto inferior esquerdo da tela do HijackThis. Agora você deve ser capaz de acessar regedit.

Isto é o que funcionou para mim, por isso espero que ele vai trabalhar para os outros.

Se você não tem HijackThis, você pode baixá-lo aqui

http://download.cnet.com/Trend-Micro-HijackThis/3000-8022_4-10227353.html

Obrigado por postar essa correção, e graças a Kan para a sua apresentação. Esta tem sido uma coisa tão frustrante para lidar com, e essa correção permitiu-me para finalmente limpar o vírus do meu PC (bata na madeira!).

Muito obrigado.

Segui as instruções e apagou todas as cópias do vírus a partir de várias pastas e registro limpo, mas após a reinicialização ele volta … que eu estou ausente;? Thanx

Tem uma solução para aqueles de você ter problemas de abrir regedit. Você vai ter que copiar este código para o bloco de notas e salve-o como “regedit.vbs” incluir as aspas por isso mantém a extensão VBS. Em seguida, basta executar este sempre que o sistema está jogando-lhe a “regedit foi desactivada pelo administrador” erro. Você terá que remover o vírus antes que ele vai parar de desativá-lo imediately mas isso deve começar regedit correr para você toda vez que você possa fazer alterações, mesmo quando a sua desativada. Aqui está o script

On Error Resume Next; Set WshShell = WScript.CreateObject ( “WScript.Shell”); WSHShell.RegDelete “HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ DisableRegistryTools”; WSHShell.RegDelete “HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ DisableRegistryTools “; WSHShell.Run” Regedit.exe ”

Esta coisa é desagradável! Eu ainda não pode usar regedit. Parece ter vários métodos incapacitantes e downloads outro vírus para fazer outros danos ocultos. Eu só queria acrescentar: verifique Sistema de Informação Volume e outros lugares … Ela gosta de voltar-se para cima. No meu sistema que tinha mais de 40 backups. com ele é pequeno ícone caminhão vermelho que ele usa no meu sistema …. Boa sorte para todos nós.

@rrcccc wow, desculpe, eu era capaz de conseguir regedit a correr com esse script, você deve ter alguns rootkits que estão matando regedit, uma vez que percebe-lo funcionando. Veja se você pode obter GMER de http://www.gmer.net/ em seguida, executar o sistema em modo de segurança. Correr GMER e deixá-lo fazer a sua verificação inicial e apenas excluir os itens que aparecem em vermelho. Correr de volta através de seu sistema e limpar todos os “Caminhão vermelho” exe e renomear seus exe originais. Também antes de reiniciar o sistema no superantispyware e malwarebytes com as suas últimas definições normais modo de execução para tentar se livrar de todas as sobras que estão dando essa coisa de uma mão amiga. Se eles não têm, actualmente, as últimas atualizações, chegar a outro computador e baixar as atualizações de definições off-line para ambos os programas, movê-los para o computador infectado com um drive flash, e instalá-los antes de executar os programas. Continuei a ter que começar de novo porque eu perdi alguma coisa quando eu estava trabalhando sobre este vírus, mas uma vez eu usei o detector de rootkit, malwarebytes, e superantispyware em conjunto com as instruções desta página Eu finalmente foi capaz de chutá-la. Boa sorte!

Também para aqueles de vocês que estão tendo problemas para fazer em modo de segurança, tente selecionar o modo de segurança com prompt de comando. Uma vez que você faça o login e o prompt de comando aparece tipo “explorer.exe” sem as aspas e deve abrir o sistema e permite que você execute os scanners e permitem que você excluir esses arquivos traquinas que continuar dando-lhe “acesso negado” quando no modo normal. Boa sorte!

computador do meu filho foi infectado por esse arquivo. Ele tentou fazer Ctrl + Alt + Delete, mas o Gerenciador de Tarefas não estava lá. Oque parece ser o problema?

Gostaria de tentar usar esse script para obter gerenciador de tarefas em execução para você, mas como rrcccc disse antes que ele ainda pode estar bloqueando-lo, caso em que você pode ser capaz de seguir a minha resposta ao seu posto para obter o sistema funcionando para você. Você vai ter que copiar este código para o bloco de notas e salve-o como “TaskMgr.vbs” incluir as aspas por isso mantém a extensão VBS. Em seguida, basta executar este sempre que o gerenciador de tarefas não virá para você. Novamente, você terá que remover completamente o vírus antes que ele vai parar de desativá-lo imediately. Aqui está o script

On Error Resume Next; Set WshShell = WScript.CreateObject ( “WScript.Shell”); WSHShell.RegDelete “HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ DisableTaskMgr”; WSHShell.RegDelete “HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ DisableTaskMgr “; WSHShell.Run” taskmgr.exe ”

Ótimo! Graças funcionou para a minha vitória 7 também! Só que eu deletei um arquivo Avast forma imprudente e eu acho que eu tenho outra coisa para reparar agora 🙂

Ele grande homem;. Nunca encontrei algo melhor explicados :-); Amanhã vou reinstalar essa coisa com um sysdiff correndo para verificar o que realmente muda.

Muito obrigado

Rene

Eu fui atingido com este vírus depois de visitar um dos sites na Fast Flip de Google … hmmm. Eu tive alguns, mas não al dos sintomas descritos acima. Microsoft Security Essentials mantido identificar os threts de Unruy.c e Cutwail.gen! F, dizendo que eles tinham limpado, e fazendo-me reiniciar.

De qualquer forma, para cortar uma longa história curta, eu comecei os passos acima, apenas para descobrir wmpscfgs.exe copiado-se de volta para a pasta IE; e copiado em si em regedit e regedit.exe – nenhum backup neste momento.

No ponto de desespero, eu fiz uma restauração do sistema para um ponto ontem – problema resolvido. Parece que essa é a primeira coisa a fazer!

Gênio puro! Você me salvou um monte de tempo e de agravamento. Graças ao cargo incrível.

Gostaria de restauração do sistema, mas o vírus tem me trancado para fora de meus próprios privilégios de administrador. Eu estou esperando que seu método irá funcionar para mim, me desejem sorte! Se eu não tivesse instalado outra versão do Windows XP na máquina de dual boot, eu seria completamente SOL porque o vírus desliga o meu PC completamente na versão do Windows que infectado.

Boa sorte, este é um vírus desagradável você tem que lutar literalmente contra.

Eu tinha o vírus. Eu descobri que o vírus mantém seu próprio log em C: \ Temp \ log.txt (Win XP pro). Ele registra todos os exe que sequestra. PS! usando Pesquisa e limitando-o para arquivos recentes abaixo de 40 kb é um deve fazer, única maneira que eu me livrei dele eventualmente. Eu também tive que excluir um arquivo chamado 0996336.exe ou algo parecido. Ele tinha adicionado-se a lista de inicialização. Ele também tinha uma cópia e um “original” com um espaço (… .336.exe) mas que foi, na verdade, o vírus também.

Reformatar meu disco rígido e reinstalar o Windows XP Home fora dos meus discos de recuperação da HP foi a rota que eu tomei. Minha instalação do Windows XP foi ultra lenta de todos os programas que eu adicionados ao longo dos anos, então eu precisava fazer isso independentemente. Não sei como eu poderia ter feito sem ser em modo dual boot, porque embora o vírus desligar meu PC completamente. Quando bati algumas delas através de outro sistema operacional, ele desativou todos os meus última opção para colocar o meu sistema de volta ao que era antes.

Eu tenho tido vários problemas. isso além de arcotray.exe são irritantes o inferno fora de mim. Arcotray está na pasta adobe e não pode ser excluído. Eu resolvi isso movendo-a para a área de trabalho, reiniciar e, em seguida, apagar imediatamente na inicialização. Eu estou tendo alguns problemas diferentes do que o resto de vocês, porque eu estou correndo 64bit VISTA.

“Ctv290.exe” parece ter começado essa bagunça toda no meu computador. ele também olha para http://verticalhorizonads.com/banner.php?aff_id=5534;http://ad.seeknet2.com/goad/?aff_id=1273

exe arquivos deve ser executado como administrador para executar e um monte de outras coisas estranhas estão acontecendo. Eu não posso correr regedit, então eu desinstalado leitor de adobe todos juntos. Eu não posso descobrir como entrar na lista de execução. Alguém pode me dizer como?

Olá a todos

Primeiro de tudo eu só quero dizer obrigado a Kan para a apresentação deste guia inestimável, mas ele precisa de alguns passos extras. Tenho a apenas passado muitas horas lutando com isso e depois de finalmente limpá-lo fora há alguns pedaços que faltam de seu guia que é por isso que algumas pessoas continuam sendo re-infectados (em Lealdade o problema é mencionado, mas apenas de passagem). Enfim, espero que este post é útil para as pessoas.

Os passos descritos por Kan está absolutamente correto que não seja o que você precisa para localizar e remover as duas chaves de registro e arquivos com um tipo de arquivo de “.delmennn” (onde nnn é um número). Na minha máquina (XP) o vírus rundll32 infectado (que sempre é executado na inicialização do Windows). Mesmo depois de substituir rundll32 com a versão correta do vírus ainda substituiu isto com a versão corrompida.

OK – por favor, também ter em mente que este doesn ‘Tjust afeta os arquivos na lista de inicialização também pode afetar outros arquivos executáveis ​​que você executa manualmente. passos para adicionais a guia de Kan (depois de estar em modo de segurança, executando o gerenciador de tarefas etc.).

1 / A maneira rápida e suja para “box” isto enquanto você está indo através do processo de remoção é ir para c: \ Arquivos de Programas \ Internet Explorer e excluir tanto wmpscfgs.exe e js, mui (se você executar um digitalizador estes são os arquivos que são detectados). Em seguida, copiar um programa seguro (eu usei notepad.exe de C: \ Windows \ System32) em c: \ Arquivos de Programas \ Internet Explorer e renomeá-lo para wmpscfgs.exe a partir deste ponto, embora você ainda tem o vírus é efetivamente “castrado “como é o wmpscfgs.exe que faz com que a ameaça e faz o download do spyware adicional. Nesta fase você terá Notepad começando a cada hora ou assim, mas grande negócio, o seu sistema é seguro você só tem que fechar o bloco de notas.

2 / Open Iniciar -> Programas -> Acessórios -> Ferramentas do Sistema -> Agendador de Tarefas; No Agendador de Tarefas que você vai notar nome de cerca de 24 postos de trabalho “AT1” para “AT24” ou similar – APAGAR TUDO destes. São estas as tarefas que executar o programa “wmpscfgs.exe”.

3 / Run regedit e procurar todas as ocorrências de “.delme” e excluir todas as chaves com esta cadeia

4 / Executar uma pesquisa de disco do seu disco rígido à procura de “* .delme *” e excluir qualquer arquivos encontrados. Isso, juntamente com as tarefas programadas e entradas reistry) é o culpado que recria o arquivo wmpscfgs.exe quando o Windows é iniciado (se wmpscfgs.exe não existe razão pela qual a solução rápida e suja na etapa 1 funciona).

5 / Execute o resto do processo de Kan e ele vai limpar isso (isso pode ser validado quando tiver concluído a limpeza executando MalwareBytes AntiMalware quando você está acabado).

6 / Quando terminar lembre-se de excluir o arquivo wpmscfgs.exe que o criou no passo 1

Só mais um par de comentários

1 / Ao procurar .exe arquivos que foram renomeadas para incluir um espaço (ou, em alguns casos múltiplos espaços) eu encontrei o utilitário FileSearchEX ser inestimável, uma vez que permite que você faça uma busca em disco para “* .exe” (note a espaço) – se você usar essa basta digitar * .exe sem as aspas e procure a unidade C:.

2 / Isto leva-me ao pouco estranho – onde é que ela vem em primeiro lugar? Eu não tenho uma resposta definitiva para isso e eu estou agora maneira difamar (ou apontar dedos em) qualquer um desses programas, mas no meu caso eu suspeitava que era devido ou Google Chrome, o Google Updater ou InstallShield (ISUS). Tirei tudo isso para ser seguro e não tiveram problemas.

Como eu disse eu espero que este seja útil para as pessoas.

Kol

Oi tudo, eu tive problemas com wmpscfgs no meu Win7 x64 final, mesmo se eu estava correndo mbam e antivr pessoal 10, achei wmpscfgs.exe no diretório do IE, um carregador como Acrotray e uma dll (app_dll.dll) que era difícil de remover. No entanto, eu li muito e tentou soluções diferentes, mas ganhou contra o malware usando RegAlyzer vez do regedit, superantispyware e Spybot Search bloqueado e destruir (e explorador processo sysinternals para verificar processo indesejado como Sched.exe da Avira, que carregou uma cópia de wmpscfgs.exe) .; I escreveu uma regra para parar wmpscfgs.exe no dir do iE usando a política de segurança local das Ferramentas administrativas

por isso o meu 2 centavos; 1.reboot em modo de segurança (será lançado nenhum processo ruim); 2.Use sas; 3.use spybot triste; 4.reboot em modo de segurança; 5.use RegAlyzer para encontrar wmpscfgs.exe ou app_dll. dll, você não deve ter quaisquer infecções

Alguns conselhos para aqueles que não podem acessar o registro; 1. é definição de política de grupo – gpedit.msc -> user config -> Modelos de Administração -> Sistema -> impedir o acesso ao registro ferramentas de edição -> torná-lo desabilitada ou não configurada;. 2. Alternativamente, você pode acessar o Registro remotamente a partir de outra máquina, basta começar a serviço de registro remoto na máquina de destino;. 3. chaves de registro monitores App_dll.dll responsável por acessar registro mantendo-deficientes. As tentativas de eliminar App_dll.dll levam a lugar nenhum – acesso negado ou arquivo em uso ou algum outro bs; resolução: ou inicialização de algum CD de arranque (WinPE) e fazê-lo de lá ou usar sysinternals ferramenta MoveFile http://technet.microsoft.. com / en-us / sysinternals / bb897556.aspx. – Ele irá apagar App_dll.dll na reinicialização;. 4. Enquanto estiver lá verificar outras ferramentas Sysinternals (autoruns, processo de monitor e t c) – cada um deles funciona. É uma pena que Mark vendido para M $, mas isso é uma outra história toda;. 5. Pratique computação segura!

hey, eu tentei o seu método, e eu tenho algumas probs; ive tenho windows xp. I iniciado em modo de segurança e realizou as duas primeiras etapas, então eu abri este diretório; C: \ Program Files \ Internet Explorer, e para esse arquivo, mas eu sou incapaz de excluí-lo. eu recebo o seguinte msg

Não é possível excluir wmpscfsg: acesso negado; Certifique-se o disco não está cheio ou proteced e que o arquivo não está atualmente em uso

e mais, eu sou incapaz ot acceess meu editor do registro. Eu tentei o método acima mencionado, mas eu ainda estou ficando o mesmo msg …:. –

Por favor me ajude … ..

Olá, primeira coisa que eu quero dizer é obrigado por este artigo;! Ele me ajudou a se livrar do vírus;. A primeira coisa que fiz foi para digitalizar com antivírus (do BitDefender), em seguida, o Spybot S & D;. Computador foi infectado com outro vírus também .; então eu renomeado todos os arquivos que o vírus substituídos como descrito (muito!);. então eu inicializado em um LiveCD e wmpscfgs.exe removido, em seguida, copiar notepad.exe na pasta e, finalmente renomeado notepad.exe para wmpscfgs. exe;. no próximo bloco de notas de inicialização lançados a cada vez que eu abria um programa;. I decidiu fixar o exe (search fixexe.reg no google) .; Então eu apagar todas as tarefas agendadas relacionadas com o vírus;. Depois que o sistema parece ser limpo, mas eu corri antivírus e anti-Spybot novamente.

Espero que este irá ajudar; dvd

O procedimento parece ter funcionado bem. Eu tive que fazer uma rodada extra de arquivos de remoção, como havia um monte deles. Após a primeira rodada, meu antivírus Norton também começou a me ajudar. Os arquivos infectados no meu computador foram 31KB. Eu também removeu um arquivo js.mui do meu diretório Internet Explorer, que foi criado na mesma data e 31KB. Thanks a lot;. Taco.

Este foi um inferno de um trojan desagradável, nunca vi nada como isso antes.

Primeiro de tudo eu queria agradecer ao OP e Kol W para a sua visão .. a coisa agendador de tarefas me iludiu e estou contente por eu vim aqui 🙂

Em segundo lugar o trojan didnt se originam com o arquivo wmpscfgs.exe, eu acho que o meu originado a partir de um arquivo chamado “reader_s.exe”

Os sintomas I primeira vez foram o uso da CPU incomum, eu abri o gerenciador de tarefas e viu mais de 11 casos de iexplorer.exe, services.exe (trojan não de MS), lsass.exe com uma linha de comando contendo o pior exe em todo este bando “ixkubm.exe”. Outra coisa foi que continuei tocando um arquivo de som sobre alguns stocks merda, e eu achei um biscoito em arquivos temporários de Internet chamado stocksaving.txt [1] ou algo semelhante a isso.

Além disso, quando eu tentar acabar com esses processos, eles imediatamente reiniciar e eu não posso acabar com elas. Felizmente Spybot S & d pegou sobre eles, e eu era capaz de excluí-los com uma varredura completa e reiniciar … No entanto, eu ainda estou recebendo lotes de danos, mesmo depois que os arquivos foram completamente removidos.

Eu não posso permitir que meu firewall (diz algo sobre as políticas de grupo) e coisas como AVG watchdog estão caindo constantemente. Não há mais entradas no arranque, também eu dobro verificado além msconfig e nada está lá, Ive ido através do Registro nos locais mencionados no artigo e nos comentários acima e não encontrou nada (já correu Registro ccleaner limpo e removido as entradas) e eu baixei o Avast além AV e os serviços avast vai começar …; Ive acabou de instalar MalwareBytes AntiMalware e eu vou ver se ele pega qualquer coisa que os outros 2 programas não podem.

Aqui é um lixo Spybot para ilustrar os arquivos infectados.

Win32.Agent.ieu: [SBI $ AEF3B6B0] Executable (File, fixo); C: \ Windows \ services.exe; Properties.size = 0; Properties.md5 = D41D8CD98F00B204E9800998ECF8427E

Microsoft.Windows.Explorer: [SBI $ DA080EA7] As configurações do usuário (mudança de registo, fixo); HKEY_USERS \ S-1-5-21-3257203932-3686277470-1923465384-1000 \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ NoFolderOptions

Microsoft.WindowsSecurityCenter.FirewallOverride: [SBI $ 0C94D702] Configurações (mudança de registo, fixo); HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft Centro \ Security \ FirewallOverride

Microsoft.WindowsSecurityCenter_disabled: [SBI $ 2E20C9A9] (alteração do Registro, fixo) Definições; HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wscsvc \ Start

Microsoft.WindowsSecurityCenter_disabled: [SBI $ 2E20C9A9] (alteração do Registro, fixo) Definições; HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wscsvc \ Start

Microsoft.Windows.disableSystemRestore: [SBI $ 6296EC95] Configurações (mudança de registo, fixos); HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore \ DisableSR

Microsoft.Windows.disableSystemRestore: [SBI $ 6296EC95] Configurações (mudança de registo, fixos); HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore \ DisableSR

Microsoft.WindowsSecurityCenter.RegistryTools: [SBI $ D60CD1E3] (alteração do registro, fixos) Definições; HKEY_USERS \ S-1-5-21-3257203932-3686277470-1923465384-1000 \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ DisableRegistryTools

DNSFlush.cws: [SBI $ 893785D8] definições de execução automática (16934) (Valor do registro, fixação falhou); HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ 16934

DNSFlush.cws: [SBI $ 893785D8] arquivo de programa (File, fixo); C: \ Users \ Jenkins \ AppData \ Local \ Temp \ ixkubm.exe; Properties.size = 23040; Properties.md5 = CDE62E1ECC78C12874E04292471AE3C1; Properties.filedate = 1271481920; Properties.filedatetext = 2010-04-17 15:25:19

DNSFlush.cws: [SBI $ 455D41DA] Definições do utilizador (alteração do registro, fixa); HKEY_USERS \ S-1-5-21-3257203932-3686277470-1923465384-1000 \ Software \ Microsoft \ Internet Explorer \ New Windows \ PopupMgr

DNSFlush.cws: [SBI $ 9C28881C] As configurações do usuário (mudança de registo, fixo); HKEY_USERS \ S-1-5-21-3257203932-3686277470-1923465384-1000 \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Avançado \ Invisível

DNSFlush.cws: [SBI $ FB926B58] As configurações do usuário (mudança de registo, fixo); HKEY_USERS \ S-1-5-21-3257203932-3686277470-1923465384-1000 \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Avançado \ HideFileExt

DNSFlush.cws: [SBI $ A1906895] As configurações do usuário (mudança de registo, fixo); HKEY_USERS \ S-1-5-21-3257203932-3686277470-1923465384-1000 \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Avançado \ SuperHidden

PWS.LDPinchIE: [SBI $ 32D83D62] As configurações do usuário (valor de Registro, fixo); HKEY_USERS \ S-1-5-21-3257203932-3686277470-1923465384-1000 \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ idstrf

Win32.Joleee.K: [SBI $ 39C82568] (valor de Registro, fixo) Definições; HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ services \ del

Win32.Virut.bg: [SBI $ EB4AA03C] Executable (File, fixo); C: \ Windows \ System32 \ reader_s.exe; Properties.size = 0; Properties.md5 = D41D8CD98F00B204E9800998ECF8427E

Win32.Virut.bg: [SBI $ 57174D45] Executable (File, fixo); C: \ Users \ Jenkins \ reader_s.exe; Properties.size = 0; Properties.md5 = D41D8CD98F00B204E9800998ECF8427E

Virtumonde.sci: [SBI $ EFC6E8D5] Browser Helper Object (chave de registo, fixo); HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {A9BA40A1-74F1-52BD-F431-00B15A2C8953}

Virtumonde.sci: [SBI $ 1A3C6884] (valor de Registro, fixo) Definições; HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ SharedTaskScheduler \ {A9BA40A1-74F1-52BD-F431-00B15A2C8953}

Virtumonde.sci: [SBI $ 544AF722] Classe ID (valor de Registro, fixo); HKEY_CLASSES_ROOT \ CLSID \ {A9BA40A1-74F1-52BD-F431-00B15A2C8953} \ InprocServer32 \ = … C: \ Windows \ SysWow64 \ ue2rb.dll …

Virtumonde.sci: [SBI $ 7B5D9136] Classe ID (chave de registo, fixo); HKEY_CLASSES_ROOT \ CLSID \ {A9BA40A1-74F1-52BD-F431-00B15A2C8953}

Virtumonde.sci: [SBI $ 69D3F216] Library (Arquivo, fixo); C: \ Windows \ SysWOW64 \ ue2rb.dll; Properties.size = 0; Properties.md5 = D41D8CD98F00B204E9800998ECF8427E

Virtumonde.sdn: [SBI $ CA6D3FF8] Library (Arquivo, fixo); C: \ Windows \ System32 \ msxsltsso.dll; Properties.size = 0; Properties.md5 = D41D8CD98F00B204E9800998ECF8427E

Win32.Agent.ie: [SBI $ 28E93B4C] Executable (File, fixo); C: \ Arquivos de Programas (x86) \ Internet Explorer \ wmpscfgs.exe; Properties.size = 0; Properties.md5 = D41D8CD98F00B204E9800998ECF8427E

Agora, a parte mais estranha é que eu estava navegando MediaMonkey Wiki no momento da obtenção deste trojan, mais especificamente olhando para a página Peles e, em seguida, meu sistema começou a ir bonkers.

Mais uma vez obrigado pela ajuda e eu espero que eu não tenho que formatar a ficar totalmente livrar deste bugger traquinas

-Jenkins

Este pestinha desagradável infectado meu computador neste fim de semana e eu passei a maior parte do fim de semana classificando-o para fora.

Obrigado por todas as orientações, dicas, etapas fornecidas aqui especialmente por Kan. Eles foram realmente útil no combate a este Trojan.

Algumas notas adicionais a partir de minha experiência, – desconectar da Internet imediatamente;. – Corri Malware e meu programa antivírus McAfee atualizada. Eles detectaram o trojan e apagado os arquivos. Ao reiniciar, os trojans estavam de volta como se não tivesse sido removido.

– Além de o vírus wmpscfgs.exe (que estava no meu c: \ Program Files \ Internet Explorer pasta), encontrei também um outro arquivo – wwwman32.exe – na minha pasta menu de inicialização (no meu caso C: \ Documents and Settings \ xxxxx \ Start menu \ Programs \ Startup). Você tem que excluir esses arquivos manualmente.

– Eu fui através da lista de todos os aplicativos Run do registo, conforme detalhado por Kan acima. Eu também corri msconfig (Iniciar> Executar> msconfig) e foi até a aba Inicializar. Eu fui para a pasta de cada um dos itens sobre estas duas listas (a maioria deles são os mesmos itens).

– Nas pastas onde esses arquivos exe são, a própria nomes de tróia após o arquivo exe e renomeia o arquivo exe original com um espaço pouco antes do “.exe”. Os arquivos de Tróia podem ser facilmente identificados, pois têm um ícone que se parece com um coração vermelho do amor despojado. Fechei os processos em execução usando o Gerenciador de Tarefas, apagados manualmente o trojan e renomeou o nome do arquivo autêntico através da remoção do referido espaço.

– In my case, the trojan files were all approx. 30.5KB. Run a search of all files with the same size as the wmpscfgs.exe file. The trojan files are easily identifiable via the stripped red love heart icon.

– Clear the cache, history etc on your browser(s) – you can use CCleaner to do this. Even after cleaning out the infected files, once I reconnected to the web, windows to random, dodgy-looking websites kept popping up once in a while.

I am still running random checks once in a bit to ensure I got the infection out completely. Hope that the tips above are helpful.

Saúde!

Thanks to everyone above for your help on this. I had a horrible time with this virus for a number of hours. The information above helped me to finally get rid of the little devil.

I might be repeated other advice but just thought it might be worth mentioning that the repetitive nature of the virus (ie it kept coming back on reboots) turned out to be a SYSTEM STARTUP issue as much as anything else. Going into msconfig and checking my startup items I finally found that the virus had attached itself to (in my case) YouSendIt. It was only after I checked off all YouSendIt startup items that I finally managed to break the cycle….After I did this I no longer got the virus reappearing in the Internet Explorer folder of my Program Files.

Perhaps I should have sniffed this out earlier, because an error message regarding YouSendIt was one of the first signs of something wrong with my computer.

I should also add that I’d followed many of the steps listed above and removed several (potentially infected) programs from my system before I finally kicked the virus with the startup menu revelation.

Thanks again everyone.

Thanks again for all the help. I’m still trying to kill it off on a friends computer, but at least I have enough options to find the last copy of this sucker. If you forget one, you can start all over again.

As to where it comes from: I’ve caught the bastard from WTSO.net Quite some of the videos there are infected with this and a couple of other virusses. At least, they get downloaded whenever I watch specific videos. The fullscreen mode suddenly disappears, and the appdata\local\temp is filled with crap. I don’t know whether it is contained in the videos itself or if it is coming from some ads on the page, but it’s always happening with the same videos.

Wow, thanks to all! In my case I was infected with virtumonde (vundo) and Unruy.c also. I was able to get rid of most issues using steps from here: http://forums.majorgeeks.com/showthread.php?t=35407;I believe that MBAS and Combofix helped with virtumonde, and a Java update helped with unruy.c. However, I would not have been able to finish it off without these posts. I suggest that anyone having this problem read through all of the replies to this post before starting. The scheduled events every hour of every day are particularly evil. Well, at least I’m more familiar with regedit now…

One of my clients had this virus (im a webdesigner, but no computer technician), and i did all these steps BUT NOT in safe mode. I got the virus removed, but after that the whole computer was inoperable. It became so slow it was impossible to work with.

Strange thing was that it is operable in safe-mode now.

I did some virus scans and CCleaning.

What can i do to save my clients computer?

Best regards, Axel.

I was fighting for 3 weeks with pop-ups warning me that I’m going a Web page is going to be shut down and urging me to stay on this page. The page was

ad.seeknet2.com/goad/?aff.id+19026

Tried various antivirus and antispyware programs, free and commercial but nothing worked. Finally I found your site and a solution. Except nothing worked in my case. There was no file wmpscfgs.exe anywhere. But I found a suspected file named: wmiprvse.exe and some other extension. Found the date created in the Properties and it looked as it was created right at the time of infection. Additionally, it was not certified by Microsoft as oposed to the small program of the same name and extension. This file was approximately 30Kb and after removing it while in the “Safe” mode and rebooting, the pop-ups disappeared. Hope this will help someone.

Taco Bell é nomeado após o fundador Glen Bell.