Probabile virus PC

[marco70]

Buonasera a tutti e complimenti per il Forum!

Mi scuso per la genericità del titolo di questa discussione ma, visto anche che ne mastico abbastanza poco di PC (e di virus), non sapevo bene come intitolarla anche perchè probabilmente il problema sarà più di uno...

Detto questo, passo alla descrizione del problema...
Io ho 2 PC e all'incirca da un paio di mesi ad intervalli più o meno regolari mi appaiono 2 files (un Setup.exe/UPX ed un file Autorun) nelle cartelle condivise di entrambi i PC che il Kaspersky mi riconosce come Trojan-Proxy.Win32.Horst.km
Li elimina ma puntualmente questi si ricreano...
Ieri ho iniziato a scaricare un pò di programmini e tool per provare a rimuovere questi file e da ieri non li vedo più apparire ma non sò se sono riuscito nell'intento di debellarlo definitivamente!

Dalle scansioni fatte con il mio antivirus e da quelle fatte on-line (da kaspersky e BitDefender) non è risultato nulla...

Inoltre (e questo l'ho scoperto soltanto oggi) su uno soltanto dei 2 PC nella finestra degli Account Utente ci sono i seguenti profili
Administrator - Guest - Marco -IUSR_HOME - IWAM_MARCO
Presumo che negli ultimi 2 ci sia qualcosa che non và...ho provato ad eliminarli ma, naturalmente, al riavvio del PC questi si ricreano!

Se potete darmi una mano a risolvere il problema ve ne sarei enormemente grato...

Questo è il log di HijackThis (che per me è arabo! )

Logfile of HijackThis v1.99.1
Scan saved at 23.00.58, on 25/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\ASUS\Ai Booster\OverClk.exe
F:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
F:\VEXPLITE\MONLITE.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
F:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
F:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
F:\Programmi\Nikon\NkView6\NkvMon.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
F:\VEXPLITE\viritsvc.exe
F:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\system32\inetsrv\DavCData.exe
C:\Programmi\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.amicitreni.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IECatcher Class - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - F:\Programmi\Mass Downloader\MDHELPER.DLL
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [Launch Ai Booster] "C:\Programmi\ASUS\Ai Booster\OverClk.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [kis] "F:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] F:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] F:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = F:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NkvMon.exe.lnk = F:\Programmi\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: Aggiungi a Kaspersky Anti-Banner - F:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: Download &All using Mass Downloader - F:\Programmi\Mass Downloader\Add_All.htm
O8 - Extra context menu item: Download using &Mass Downloader - F:\Programmi\Mass Downloader\Add_Url.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - F:\Programmi\Mass Downloader\massdown.exe
O9 - Extra 'Tools' menuitem: &Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - F:\Programmi\Mass Downloader\massdown.exe
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - F:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O20 - AppInit_DLLs: F:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: !SASWinLogon - F:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - F:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas http://www.tgsoft.it - F:\VEXPLITE\viritsvc.exe

Vi ringrazio e di nuovo complimenti a tutti per la competenza in materia...

Cordialmente

[marco70]

...e da ieri non li vedo più apparire ma non sò se sono riuscito nell'intento di debellarlo definitivamente!

...e infatti, come sospettavo, questi 2 file sono riapparsi di nuovo (almeno dal PC da cui vi scrivo)...

[marco70]

Salve a tutti...
Poco fà il kaspersky mi ha segnalato di nuovo la presenza di quei file su entrambi i PC e sempre nelle stesse cartelle (quelle condivise) soltanto che ora l'avviso è Trojan Backdoor.win32.IRCBot.xq

Ho fatto analizzare il log di Hijackthis che ho postato quì (e anche quello dell'altro PC) e sembra che non abbia rilevato nulla di grave, ma i problemi persistono.
Così come persiste il problema degli Account Utente precedentemente segnalati ad ogni riavvio di questo PC (l'altro sembra regolare da questo punto di vista)

[marco70]

Salve a tutti...
Poco fà il kaspersky mi ha segnalato di nuovo la presenza di quei file su entrambi i PC e sempre nelle stesse cartelle (quelle condivise) soltanto che ora l'avviso è Trojan Backdoor.win32.IRCBot.xq

Ho fatto analizzare il log di Hijackthis che ho postato quì (e anche quello dell'altro PC) e sembra che non abbia rilevato nulla di grave, ma i problemi persistono.
Così come persiste il problema degli Account Utente precedentemente segnalati ad ogni riavvio di questo PC (l'altro sembra regolare da questo punto di vista)

[marco70]

Salve a tutti...
Poco fà il kaspersky mi ha segnalato di nuovo la presenza di quei file su entrambi i PC e sempre nelle stesse cartelle (quelle condivise) soltanto che ora l'avviso è Trojan Backdoor.win32.IRCBot.xq

Ho fatto analizzare il log di Hijackthis che ho postato quì (e anche quello dell'altro PC) e sembra che non abbia rilevato nulla di grave, ma i problemi persistono.
Così come persiste il problema degli Account Utente precedentemente segnalati ad ogni riavvio di questo PC (l'altro sembra regolare da questo punto di vista)

[maxs]

Salve a tutti ... ho un problemino.. appena collegato in internet Avast mi ha trovato questo virus ( Win32:Qqpass-DY [trj] NOTEPAD.EXE ). Ho fatto come avast mi consiglia di solito, cioè spostarlo nel cestino, ma appena l'ho cestinato è uscito un messaggio di windows che non ricordo esattamente cosa diceva, ma che era necessario inserire il cd windows home editon pack2 per il ripristino file altrimenti il sistema non avrebbe funzionato come dovuto ( più o meno diceva così). che devo fare? posso cancellare il virus che avast mi ha trovato oppure rischio che il pc non mi funzioni più?

Spero che qualcuno sappia dirmi cosa fare.. che ansia!

[brunella84]

anchio ho il tuo stesso problema...
ma come diamine si fa a cancellare questo maledetto cavallo di troia
Win32:Qqpass-DY

[andorra24]

@maxs
@brunella84

Si tratta di un falso positivo di avast dovuto agli aggiornamenti di oggi. Poco fa sono stati rilasciati nuovi updates (per l'esattezza il VPS 0643-6) che hanno corretto il falso positivo. Controllate se avete l'ultimo update o effettuate manualmente l'aggiornamento.

[ale83_webmaster]

Anchio ho avuto lo stesso problema (Win32:Qqpass-DY [Trj], e tra l'altro questo trojan non l'ho trovato nemmeno su Google) e adesso si è risolto.
Solo che ora il collegamento a Blocco note nella barra delle applicazioni non mi funziona più.
Cosa devo fare? A quale file devo collegarlo?
Grazie!

[marco70]

...vedo che il mio problema suscita scarso interesse...
Pazienza, vuol dire che appena ne avrò la possibilità riformatterò tutto!

[Luke57]

@marco70
Ciao, il log pare pulito e gli account sono legittimi.

[marco70]

Ciao Luke, e allora da dove escono quei file ogni volta?
Poi stò notando (ma non sò se è un problema di tutti) che da questa mattina, spesso non riesco a scorrere le pagine di questo Forum (impossibile visualizzare la pagina) e che la data dell'ultimo messaggio inserito in questa sezione del Forum è di questa mattina alle 11:49 (Alexsandra)...a volte questo problema me lo dà anche su altri Siti...
Inoltre, sempre su questo Forum e sempre da stamattina, quando posto risposte mi dà uno strano errore (infatti come puoi vedere, una mia risposta di questa mattina è stata inserita 2 volte in quanto io credevo che non era stata inserita)...
Questo è l'errore
http://www.amicitreni.info/staff/marco70/Imm1.jpg


OK riguardo gli account...

[marco70]

Ciao Luke, e allora da dove escono quei file ogni volta?
Poi stò notando (ma non sò se è un problema di tutti) che da questa mattina, spesso non riesco a scorrere le pagine di questo Forum (impossibile visualizzare la pagina) e che la data dell'ultimo messaggio inserito in questa sezione del Forum è di questa mattina alle 11:49 (Alexsandra)...a volte questo problema me lo dà anche su altri Siti...
Inoltre, sempre su questo Forum e sempre da stamattina, quando posto risposte mi dà uno strano errore (infatti come puoi vedere, una mia risposta di questa mattina è stata inserita 2 volte in quanto io credevo che non era stata inserita)...
Questo è l'errore
http://www.amicitreni.info/staff/marco70/Imm1.jpg


OK riguardo gli account...

[marco70]

...dimenticavo pure di dire che quando avvio il PC (sempre quello del log postato sopra) la barra delle applicazioni spesso inizia ad essere attiva soltanto dopo 5-7 minuti...

Ti ringrazio per l'interessamento

Ciao

[marco70]

...il problema dell'ultimo post è risolto...era Acrobat che aveva qualche problema e rallentava l'avvio oltre a dare un problema anche alla chiusura di XP!
Permane invece il problema del file setup.exe (è appena rispuntato!) nelle cartelle condivise...

Questo sotto è il log dell'altro PC...

Logfile of HijackThis v1.99.1
Scan saved at 23.34.16, on 26/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.amicitreni.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IECatcher Class - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - C:\Programmi\Mass Downloader\MDHELPER.DLL
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [kis] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: Aggiungi a Kaspersky Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: Download &All using Mass Downloader - C:\Programmi\Mass Downloader\Add_All.htm
O8 - Extra context menu item: Download using &Mass Downloader - C:\Programmi\Mass Downloader\Add_Url.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - C:\Programmi\Mass Downloader\massdown.exe
O9 - Extra 'Tools' menuitem: &Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - C:\Programmi\Mass Downloader\massdown.exe
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas http://www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

[Angie]

Salve a tutti ... ho un problemino.. appena collegato in internet Avast mi ha trovato questo virus ( Win32:Qqpass-DY [trj] NOTEPAD.EXE ). Ho fatto come avast mi consiglia di solito, cioè spostarlo nel cestino, ma appena l'ho cestinato è uscito un messaggio di windows che non ricordo esattamente cosa diceva, ma che era necessario inserire il cd windows home editon pack2 per il ripristino file altrimenti il sistema non avrebbe funzionato come dovuto ( più o meno diceva così). che devo fare? posso cancellare il virus che avast mi ha trovato oppure rischio che il pc non mi funzioni più?

Spero che qualcuno sappia dirmi cosa fare.. che ansia!

Ho anch'io lo stesso problema. Non mi funziona più il notepad e poichè anche l'altro computer che ho in rete ha avuto un problema non posso postare il log di Hijackthis. Che faccio? Vado nel cestino di Avast e ripristino i file con nome notepad??? E' pazzesco!

[Angie]

Salve a tutti ... ho un problemino.. appena collegato in internet Avast mi ha trovato questo virus ( Win32:Qqpass-DY [trj] NOTEPAD.EXE ). Ho fatto come avast mi consiglia di solito, cioè spostarlo nel cestino, ma appena l'ho cestinato è uscito un messaggio di windows che non ricordo esattamente cosa diceva, ma che era necessario inserire il cd windows home editon pack2 per il ripristino file altrimenti il sistema non avrebbe funzionato come dovuto ( più o meno diceva così). che devo fare? posso cancellare il virus che avast mi ha trovato oppure rischio che il pc non mi funzioni più?

Spero che qualcuno sappia dirmi cosa fare.. che ansia!

Ho anch'io lo stesso problema. Non mi funziona più il notepad e poichè anche l'altro computer che ho in rete ha avuto un problema non posso postare il log di Hijackthis. Che faccio? Vado nel cestino di Avast e ripristino i file con nome notepad??? E' pazzesco!

[marco70]

Salve a tutti,
ancora persistono i problemi segnalati nei giorni scorsi nei precedenti post...possibile che non esista soluzione?
http://www.allfreenet.it/staff/marco70/kis1.jpg

[moscovita]

...salve a tutti...vengo subito al punto...anche se non ti sarà di conforto marco70...ho anch'io questi maledetti files!!!!!!!!

...come te nelle cartelle di condivisione...e non riesco neanche piu a cancellarli....ma è possibile che nessuno sappia niente a riguardo?!!!

...se hai informazioni nuove fammi sapere...farò lo stesso...

[marco70]

Ciao moscovita...penso che neanche quello che ti dico io ti sarà di conforto, infatti non trovando soluzione al problema, 3 giorni fà ho formattato entrambi i PC!
Per ora (ancora NON ho ricondiviso cartelle in rete tra i 2 PC) sembra tutto a posto ma ho paura che ricondividendo cartelle il problema si ripresenti...

Tutto quello che sò io è che, sembra, che questo trojan sia relazionato ad un file smss.exe nella cartella System (quello in System32 è legittimo) ed un file nvsvcd.exe nella cartella System32
Dicono che eliminando questi file (con tutte le procedure del caso) e disabilitando il ripristino di sitema il problema si risolve.
Purtroppo non posso confermartelo perchè io NON ho mai avuto quei 2 file in System e System32 quindi per me rimane un mistero!
In rete, sui Siti Francesi (e su quelli in lingua Inglese) qualcosa si trova...se conosci queste 2 lingue puoi provare a vedere!
Intanto potresti cominciare da quì anche se a me non è stato di aiuto...
http://grandpublic.kaspersky.fr/forum/v ... 7c9c100593

In bocca al lupo!