Eliminazione script MS32DLL.dll.vbs
Stampato da: PCPRIMIPASSI.IT
Categoria: SICUREZZA INFORMATICA
Nome del Forum: Infezioni informatiche e Sicurezza informatica in generale
Descrizione del forum: Per chi è stato infettato o ha problemi con virus o cavalli di Troia, Rootkits, Adware, Spyware e Malwares in generale o per discutere di tematiche relative alla sicurezza informatica.
URL: Vedi discussione
Data di Stampa: 08/Giugno/2024 alle 19:12
Topic: Eliminazione script MS32DLL.dll.vbs Postato da: arsagit
Soggetto: Eliminazione script MS32DLL.dll.vbs
Postato in data: 10/Gennaio/2008 alle 14:51
Ho questo problema con il PC che uso per lavoro:
da qualche giorno se provo ad accedere al disco C
mi esce il seguente messaggio:
"impossibile trovare il file di script C:\.MS32DLL.dll.vbs.
Ho fatto la scansione con Norton Antivirus, ma non
trova nulla.
Ho fatto la scansione con Ccleaner, ma quel file non
appare.
Ho controllato nel registro di sistema, ma anche qui
non compare nulla.
Come posso fare per eliminare il file?
da qualche giorno se provo ad accedere al disco C
mi esce il seguente messaggio:
"impossibile trovare il file di script C:\.MS32DLL.dll.vbs.
Ho fatto la scansione con Norton Antivirus, ma non
trova nulla.
Ho fatto la scansione con Ccleaner, ma quel file non
appare.
Ho controllato nel registro di sistema, ma anche qui
non compare nulla.
Come posso fare per eliminare il file?
Risposte:
Postato da: RAVEN
Postato in data: 10/Gennaio/2008 alle 15:26
Scaricati http://www.superantispyware.com/ - Superantispyware che dovrebbe rimuovere il problema...
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: arsagit
Postato in data: 10/Gennaio/2008 alle 16:48
Dopo il trattamento con Superantispyware la situazione si è complicata:
MS32DLL.dll.vbs non è stato rilevato nè rimosso
D'altra parte ora all'accensione del PC appare
quest'altro messaggio: "impossibile trovare file
C:\Windows\boot.ini
Come procediamo?
MS32DLL.dll.vbs non è stato rilevato nè rimosso
D'altra parte ora all'accensione del PC appare
quest'altro messaggio: "impossibile trovare file
C:\Windows\boot.ini
Come procediamo?
Postato da: prisca85
Postato in data: 10/Gennaio/2008 alle 17:37
ciao arsagit,
qui di sotto ti metto la procedura per l'eleminazione manuale di MSMS32DLL.dll.vbs:
-apri il task manager e clicca con il tasto destro su questo processo se lo trovi wscript.exe> termina processo. (tutti i processi con quel nome se ce ne sono piu' di uno) (nn eliminarlo dal pc)
-vai su Risorse del computer> clicca su strumenti>opzioni cartelle> clicca su Visualizza. metti una spunta accanto "visualizza file e cartelle nascoste" e togli la spunta da "nascondi file di sistema".
-clicca su start> cerca e ricerca nel tuo pc il file autorun.inf . tutte le voci con il file MS32DLL.dll.vbs vanno cancellate.
-clicca su risorse del computer> esplora e in C:windows cancella il file MS32DLL.dll.vbs (ricerca anche in altri dischi se li hai, inclusi quelli esterni, USB, ecc ecc)
-ora vai su start>esegui clicca regedit >ok
vai sotto questa chiave: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \Current Version \Run
elimina il valore MS32DLL
-vai sotto questa chiave:HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \Main e cancella il valore “Window Title” che dovrebbe essere qualcosa come “Hacked by Godzilla“
-esci dal registro, cancella i files dal cestino.
per il problema boot.ini controlla questa cosa:
-vai su start, esegui e digita: msconfig >ok
vai sulla scheda "avvio" e controlla che non ci sia un qualcosa che contenga "winboot" o "wscript.exe /E:vbs C:\WINDOWS\boot.ini"
se c'e' qualcosa di simile disattivala.
-fai poi tutte le scansioni con il tuo antivirus aggiornato e con software come AVG antispyware 7.5, Adware 2007, o spybot. ti consiglio caldamente di farne almeno una scansione online o con Kaspersky, Panda o trendmicro. i link diretti li trovi nella nostra http://www.pcprimipassi.it/default.asp - homepage sotto "scanner online gratuiti". a fine scansione salva il rapporto e mettimelo qui.
-fammi sapere come va
-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else
qui di sotto ti metto la procedura per l'eleminazione manuale di MSMS32DLL.dll.vbs:
-apri il task manager e clicca con il tasto destro su questo processo se lo trovi wscript.exe> termina processo. (tutti i processi con quel nome se ce ne sono piu' di uno) (nn eliminarlo dal pc)
-vai su Risorse del computer> clicca su strumenti>opzioni cartelle> clicca su Visualizza. metti una spunta accanto "visualizza file e cartelle nascoste" e togli la spunta da "nascondi file di sistema".
-clicca su start> cerca e ricerca nel tuo pc il file autorun.inf . tutte le voci con il file MS32DLL.dll.vbs vanno cancellate.
-clicca su risorse del computer> esplora e in C:windows cancella il file MS32DLL.dll.vbs (ricerca anche in altri dischi se li hai, inclusi quelli esterni, USB, ecc ecc)
-ora vai su start>esegui clicca regedit >ok
vai sotto questa chiave: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \Current Version \Run
elimina il valore MS32DLL
-vai sotto questa chiave:HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \Main e cancella il valore “Window Title” che dovrebbe essere qualcosa come “Hacked by Godzilla“
-esci dal registro, cancella i files dal cestino.
per il problema boot.ini controlla questa cosa:
-vai su start, esegui e digita: msconfig >ok
vai sulla scheda "avvio" e controlla che non ci sia un qualcosa che contenga "winboot" o "wscript.exe /E:vbs C:\WINDOWS\boot.ini"
se c'e' qualcosa di simile disattivala.
-fai poi tutte le scansioni con il tuo antivirus aggiornato e con software come AVG antispyware 7.5, Adware 2007, o spybot. ti consiglio caldamente di farne almeno una scansione online o con Kaspersky, Panda o trendmicro. i link diretti li trovi nella nostra http://www.pcprimipassi.it/default.asp - homepage sotto "scanner online gratuiti". a fine scansione salva il rapporto e mettimelo qui.
-fammi sapere come va
-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else
Postato da: arsagit
Postato in data: 10/Gennaio/2008 alle 20:20
Ciao Prisca, grazie per i suggerimenti!
Alcune operazioni fra quelle proposte le ho già fatte prima di chiedere aiuto e precisamente:
- Spunte nelle opzioni cartella
- ricerca del file MS32DLL...: non trovato!
- ricerca di autorun.inf: non trovato!
- ricerca delle chiavi di registro: non trovate!
- scansione con Norton antivirus aggiornato
Domani farò le 2 operazioni mancanti 8 quella con il task
manager e quella sulla scheda avvio.
Poi riferirò i risultati.
Alcune operazioni fra quelle proposte le ho già fatte prima di chiedere aiuto e precisamente:
- Spunte nelle opzioni cartella
- ricerca del file MS32DLL...: non trovato!
- ricerca di autorun.inf: non trovato!
- ricerca delle chiavi di registro: non trovate!
- scansione con Norton antivirus aggiornato
Domani farò le 2 operazioni mancanti 8 quella con il task
manager e quella sulla scheda avvio.
Poi riferirò i risultati.
Postato da: prisca85
Postato in data: 11/Gennaio/2008 alle 05:03
ciao arsagit,
visto che il file ha due estensioni, tra le opzioni cartelle prova anche a togliere la spunta da "nascondi estensione per file conosciuti" prima di cercarlo. piccolo consiglio se utilizzi la funzione cerca, non mettere il nome per intero, ma solo ms32dll
visto che non appare nel registro, potresti fare un log di hijackthis e postarlo qui, cosi vediamo quali sono i processi vengono caricati all'avvio..magari ce ne sono altri nocivi.
-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else
visto che il file ha due estensioni, tra le opzioni cartelle prova anche a togliere la spunta da "nascondi estensione per file conosciuti" prima di cercarlo. piccolo consiglio se utilizzi la funzione cerca, non mettere il nome per intero, ma solo ms32dll
visto che non appare nel registro, potresti fare un log di hijackthis e postarlo qui, cosi vediamo quali sono i processi vengono caricati all'avvio..magari ce ne sono altri nocivi.
-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else
Postato da: arsagit
Postato in data: 11/Gennaio/2008 alle 09:26
Ciao Prisca,
prima di procedere con quanto mi hai suggerito oggi,
riferisco il risultato delle due operazioni che dovevo
ancora effettuare:
Task manager: processo wscript.exe non trovato
Scheda avvio: trovato e disattivato processo wscript.exe
... ma dopo nulla è cambiato: i messaggi continuano a comparire.
prima di procedere con quanto mi hai suggerito oggi,
riferisco il risultato delle due operazioni che dovevo
ancora effettuare:
Task manager: processo wscript.exe non trovato
Scheda avvio: trovato e disattivato processo wscript.exe
... ma dopo nulla è cambiato: i messaggi continuano a comparire.
Postato da: arsagit
Postato in data: 11/Gennaio/2008 alle 10:01
Ecco il log di Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9.55.40, on 11/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\.MS32DLL.dll.vbs
O4 - HKLM\..\Run: [winboot] wscript.exe /E:vbs C:\WINDOWS\boot.ini
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = eppendorf.mi.it
O17 - HKLM\Software\..\Telephony: DomainName = eppendorf.mi.it
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = eppendorf.mi.it
***LOG ELIMINATO: sono state lasciate solo le voci sospette***
-------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9.55.40, on 11/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\.MS32DLL.dll.vbs
O4 - HKLM\..\Run: [winboot] wscript.exe /E:vbs C:\WINDOWS\boot.ini
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = eppendorf.mi.it
O17 - HKLM\Software\..\Telephony: DomainName = eppendorf.mi.it
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = eppendorf.mi.it
***LOG ELIMINATO: sono state lasciate solo le voci sospette***
-------------
Postato da: prisca85
Postato in data: 11/Gennaio/2008 alle 18:46
ciao arsagit,
dal log si vedono ancora le voci del registro. piccola domanda, essendo il pc dell'ufficio, non e' che non hai tutti i permessi per "smanettare" nel pc come amministratore? non vorrei che questo potesse influire sulla pulizia del pc.
cmq, disabilita il ripristino configurazione (avvio, tasto destra su risorse del computer, proprieta', clicca su ripristino configurazione, metti la spunta su "disattiva ripristino su tutte le unita'...")
poi avvia hijackthis, con tutte le applicazioni chiuse incluso IE o Firefox.
(assicurati che il file wscript.exe non sia in esecuzione).
fixa queste due voci:
O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\.MS32DLL.dll.vbs
O4 - HKLM\..\Run: [winboot] wscript.exe /E:vbs C:\WINDOWS\boot.ini
per le voci 017, per caso conosci il dominio eppendorf.mi.it ?
potresti anche controllare se nella parte in alto di Internet Exlorer (sopra la barra per intenderci) c'e' una scritta strana?
a questo punto per scrupolosita' controlla in percorso C:\WINDOWS\.MS32DLL.dll.vbs, con tutte le spunte del caso(estensione, file nascosti, ecc ecc). mi sembra alquanto strano che non esista se appare nel log di hijackthis.
oppure se e' un file nascosto, puoi usare un programmino come http://sw.wintricks.it/article.php?ID=12000 - Killbox per eliminarlo (copia il percorso, clicca su standard file kill > croce bianco/rossa e vedi se esce una scritta come "file does not seem to exist").
fai anche una pulizia con Ccleaner, togliendo la spunta (opzioni>avanzate) da cancella files in win temp solo se piu' vecchi di 48 ore. (importante eliminare la Temp di windows e file temporanei di IE)
hai fatto la scansione online? ha trovato qualcosa?
a questo punto riavvia il pc e riattiva il rispristino configurazione. se non dovesse risolversi, prova a fare la procedura dalla modalita' provvisoria.
in piu' ti consiglio di eseguire gli aggiornamenti di windows, soprattutto sulla sicurezza, cosi avrai un pc meno fallato.
-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else
dal log si vedono ancora le voci del registro. piccola domanda, essendo il pc dell'ufficio, non e' che non hai tutti i permessi per "smanettare" nel pc come amministratore? non vorrei che questo potesse influire sulla pulizia del pc.
cmq, disabilita il ripristino configurazione (avvio, tasto destra su risorse del computer, proprieta', clicca su ripristino configurazione, metti la spunta su "disattiva ripristino su tutte le unita'...")
poi avvia hijackthis, con tutte le applicazioni chiuse incluso IE o Firefox.
(assicurati che il file wscript.exe non sia in esecuzione).
fixa queste due voci:
O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\.MS32DLL.dll.vbs
O4 - HKLM\..\Run: [winboot] wscript.exe /E:vbs C:\WINDOWS\boot.ini
per le voci 017, per caso conosci il dominio eppendorf.mi.it ?
potresti anche controllare se nella parte in alto di Internet Exlorer (sopra la barra per intenderci) c'e' una scritta strana?
a questo punto per scrupolosita' controlla in percorso C:\WINDOWS\.MS32DLL.dll.vbs, con tutte le spunte del caso(estensione, file nascosti, ecc ecc). mi sembra alquanto strano che non esista se appare nel log di hijackthis.
oppure se e' un file nascosto, puoi usare un programmino come http://sw.wintricks.it/article.php?ID=12000 - Killbox per eliminarlo (copia il percorso, clicca su standard file kill > croce bianco/rossa e vedi se esce una scritta come "file does not seem to exist").
fai anche una pulizia con Ccleaner, togliendo la spunta (opzioni>avanzate) da cancella files in win temp solo se piu' vecchi di 48 ore. (importante eliminare la Temp di windows e file temporanei di IE)
hai fatto la scansione online? ha trovato qualcosa?
a questo punto riavvia il pc e riattiva il rispristino configurazione. se non dovesse risolversi, prova a fare la procedura dalla modalita' provvisoria.
in piu' ti consiglio di eseguire gli aggiornamenti di windows, soprattutto sulla sicurezza, cosi avrai un pc meno fallato.
-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else
Postato da: arsagit
Postato in data: 12/Gennaio/2008 alle 09:03
Ciao Prisca,
hai ragione, ma ti assicuro che nel registro non avevo
trovato nulla. I poteri di intervento li ho.
Proverò ancora a controllare.
L'unica difficoltà è che trattandosi di un PC aziendale
non mi azzardo a disattivare il ripristino configurazione.
Ti farò sapere se ci sono novità.
hai ragione, ma ti assicuro che nel registro non avevo
trovato nulla. I poteri di intervento li ho.
Proverò ancora a controllare.
L'unica difficoltà è che trattandosi di un PC aziendale
non mi azzardo a disattivare il ripristino configurazione.
Ti farò sapere se ci sono novità.
Postato da: arsagit
Postato in data: 15/Gennaio/2008 alle 11:02
Problema risolto!
Fixato il file ...boot.ini
Non trovato MS32DLL, ma trovato finalmente autorun.inf.:
cancellato questo, tutto si è sistemato.
Fixato il file ...boot.ini
Non trovato MS32DLL, ma trovato finalmente autorun.inf.:
cancellato questo, tutto si è sistemato.
Postato da: prisca85
Postato in data: 15/Gennaio/2008 alle 15:57
ciao arsagit, scusa non mi sono piu' ricordata di questa discussione..
pero' sono contenta che hai risolto. 
-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else
pero' sono contenta che hai risolto.
-------------
live right now, just be yourself..it doesn't matter if it's good enough for someone else