Ho seguito tutti i consigli:

- ho intanto provato a rimuovere con HiJackThis [tenatativo fallito]
- poi ho riavviato il pc in modalità provvisoria disabilitando il ripristino di configurazione di sistema. Vado a ceracre il file in C:\WINDOWS\system\ ma non lo trovo
- ho allora cercato in C:\WINDOWS\system32. L'ho trovato ma non me lo fa cancellare
- nel mio pc è installato Ad-Aware con Ad-Watch che all'avvio mi da questo messaggio (vedi il file allegato). Come antivirus uso AntiVir.


Non so più cosa fare.........potreste darmi una mano???

Ho visto che altri utenti hanno avuto questo problema, ma sono riusciti a risolverlo facendo quello che ho rpovato a fare io con scarso successo.
Spero che questa discussione possa essere utile a tutti quelli che la leggeranno.

avvia avenger (http://www.megalab.it/articoli.php?id=946) con questo script:
Files to delete:
C:\Windows\system\smss.exe
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|nvsvc

Ho scaricato Avenger ed ho inserito questo script:

Files to delete:
C:\Windows\system\smss.exe
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|.nvsvc

ma mi da i seguenti errori:

- Error: could not create zip file.

poi dopo che clicco ok:

- Press OK to log error and continue or Cancel to abort.

Io clicco ok:

- Error code: 0

Dopo questi errori mi fa invece vedere la finestrella First step completed per il riavvio. Clicco su Si ma al riavvio non è cambiato niente.

Che posso fare??? Devo avviare il programma quando sono in modalità provvisoria?

segui la guida alla disinfezione per infetti.

Ho provato ad avviare Avenger dalla Modalità Provvisoria, con questo script:
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|nvsvc
visto che il file smss.exe nella cartella system non c'è e non lo trova

ma quando riavvio mi dà questo log (mi dà anche degli errori quando dico ad Avenger di eseguire lo script):

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 0

cosa posso fare???

Scarica SDFix e salvalo sul Desktop
Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Apri la cartella SDFix in C:\ e fai un doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premi un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovresti visualizzare il messaggio "Finished"
Premi un tasto per terminare lo script e ricaricare le icone del desktop
Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt
Download: http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Allega il log nel prossimo post.

OK. Intanto grazie tante per l'interessamento.

Ho fatto tutto quello che mi hai detto ed allego il log.

Spero si possa risolvere tutto (ad-watch cmq al riavvio mi ha segnalato di nuovo il problema che ssms.exe cercava di modificare il registro di sistema)



Edit:

ecco i link al log di SDFix:
http://www.zshare.net/download/5020109fe2094e/

ed ecco il log di HiJackThis:
http://www.zshare.net/download/5020225fd70383/

Grazie

edita il post, hosta il log di SDFix su http://www.zshare.ner/ indicando il link + log di HijackThis

Editato

sento puzza di rootkit...

fai una scansione con gmer e posta il log.

http://www.gmer.net/gmer.zip

Su hijackthis fixa:

O20 - Winlogon Notify: ddabb - C:\WINDOWS\

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

HiJackThis mi fixa

O20 - Winlogon Notify: ddabb - C:\WINDOWS\

ma quando vado a fixare

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

si riattiva da solo (lo noto nella finestra di Ad-Watch che rileva una modifica al registro di sistema quando provo a fixarlo)

ed ecco il log di gmer:
gmerlog.log - 0.10MB (http://www.zshare.net/download/5041655e4efcba/)

Per il momento abilita la visualizzazione delle Cartelle e File nascosti
Clicca su: Risorse del computer --> Strumenti --> Visualizzazione --> metti il segno di spunta su Visualizza cartelle e file nascosti --> applica e ok
cerca questo file C:\WINDOWS\system\smss.exe
facci sapere.

Chill-Out e gli altri....grazie davvero per il tempo che state dedicando al mio problema!! Speriamo di poter essere d'aiuto agli utenti futuri.

Il file l'ho cercato e non c'è. Ditemi un po' voi

vai su start> esegui> digita

cmd

poi digita:

del C:\Windows\system\smss.exe

e premi invio. cosa ti dice?

Fai una scansione con panda antirootkit,avg antirootkit e f-secure blacklight. Posta i risultati della scansione

-------------------------------------------------------

Consultazione con gli altri esperti del forum:

O c'è un rootkit non rilevato (ipotesi avvalorata dal fatto che smss.exe non si trova e c'è una appinit_dll che non fa riferimento a nessun file,solo alla cartella C:\windows) oppure non saprei...

------------------------------------------------------------------------

vai su start> esegui> digita



poi digita:



e premi invio. cosa ti dice?

Fai una scansione con panda antirootkit,avg antirootkit e f-secure blacklight. Posta i risultati della scansione

-------------------------------------------------------

Consultazione con gli altri esperti del forum:

O c'è un rootkit non rilevato (ipotesi avvalorata dal fatto che smss.exe non si trova e c'è una appinit_dll che non fa riferimento a nessun file,solo alla cartella C:\windows) oppure non saprei...

------------------------------------------------------------------------

Bugs attendiamo sviluppi in funzione della tua procedura.

Ho provato a cancellare il file dal prompt --------> Impossibile trovare C:\Windows\system\smss.exe

Eseguito scan con Panda Antirootkit -----------> Esito negativo

Eseguito scan con AVG Anti-Rootkit -----------> Esito negativo

Non hanno trovato niente. Per loro è tutto pulito.

Attendo i risultati dello scan con f-secure blacklight

Non so proprio che pesci pigliare :(


Edit:

Eseguito scan con F-Secure Blacklight ----------> Esito negativo
Anche lui non trova niente

A questo punto è necessario seguire questa guida http://www.hwupgrade.it/forum/showthread.php?t=1599737
e rifare un analisi preliminare del problema, rimaniamo in attesa dei log secondo le modalità indicate, ciao.

Scusate....andrò un po' :ot: , ma prima di proseguire devo capire una cosa:

sto eseguendo la scansione con ESET ADS Revealer ed il programma mi sta selezionando un sacco di file (.doc .jpg .zip .pdf .ttf); se, a scansione finita, clicco su "Clean" che succede??? Mi cancella tutti questi files??? Oppure mi cancella qualcosa che è in relazione a questi files lasciandoli intatti; perchè, effettivamente, tra questi, ci sono files che non vorrei cancellare come fotografie e documenti importanti

Grazie a tutti e spero di risolvere insieme a voi il problema

Scusate....andrò un po' :ot: , ma prima di proseguire devo capire una cosa:

sto eseguendo la scansione con ESET ADS Revealer ed il programma mi sta selezionando un sacco di file (.doc .jpg .zip .pdf .ttf); se, a scansione finita, clicco su "Clean" che succede??? Mi cancella tutti questi files??? Oppure mi cancella qualcosa che è in relazione a questi files lasciandoli intatti; perchè, effettivamente, tra questi, ci sono files che non vorrei cancellare come fotografie e documenti importanti

Grazie a tutti e spero di risolvere insieme a voi il problema

non ti cancella il file ma solo l'ads a cui è associato.

facciamo così.... scarica nuovamente avenger http://swandog46.geekstogo.com/avenger.zip
aprilo e seleziona input script manually,poi clicca sulla lente d'ingrandimento ed incolla:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|nvsvc

poi clicca su done,clicca sul semaforo e su sì 2 volte.

Allora.......ecco gli ultimi risultati:

- ESET ADS Revealer ---------> Ha trovado un po' di ADS; li ho cancellati tutti. Non mi ha fatto cancellare quelli di alcune immagini e di files che conoscevo, ma non sono riuscito a fare il log (se mi spiegate come fare, rifaccio la scansione e lo posto)

- A-Squared --------> Ha trovato qualcosa che ho messo in quarantena. Allego il log: a2scan_071121-161111.txt - 0.01MB (http://www.zshare.net/download/507917566f48ea/)

- Prevx CSI --------> Non ha trovato niente

- DrWeb CureIt --------> Non ho capito se ha trovato qualcosa. Gli ho detto di spostarlo (non so effettivamente dove). Allego il log: drweb.csv - 0.00MB (http://www.zshare.net/download/50792081eaaca6/)

- HiJackThis --------> Riporta sempre lo stesso problema. Allego il log: hijackthis.log - 0.01MB (http://www.zshare.net/download/5079223fc38e24/). Ho detto al prog di fixare smss.exe, ma, come al solito, appena fixato Ad-Watch ha rilevato una modifica al registro di sistema.

Mi appresto a provare la soluzione proposta da Bugs Bunny. Vi faccio sapere.

Grazie

Da modalità provvisoria F8 disabilità la protezione di Ad-Watch e fixa le seguenti voci:

C:\DOCUME~1\GIUSEPPE\IMPOST~1\Temp\RarSFX0\_start.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

Riavvia il PC in modalità normale e scarica scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download http://www.filehippo.com/download/836aab53c0dfd8723b25ba68ecc6b540/download/

al termine allega nuovo log di HijackThis
Ciao

Allora ho fatto tutto quello che mi avete detto

C:\DOCUME~1\GIUSEPPE\IMPOST~1\Temp\RarSFX0\_start.exe
(questo file non esiste; non c'è nemmeno la cartella RarSFX0)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
(l'ho fixato ma si è ripresentato)

Ho provato anche a fare la pulizia del registro con CCleaner (dopo aver naturalmente fatto al pulizia generale): ho pulito un po' tutto tranne queste 3 voci (allego un'immagine). Sono quelle un po' più sospette. Appena clicco su "Ripara selezionati", Ad-Watch nota le modifiche del registro che partono da questi tre files

http://sigma.zshare.net/thumb/5081535/thumb.gif (http://www.zshare.net/image/50815357fce385/)

ed ecco il log di HiJackThis: hijackthis.log - 0.01MB (http://www.zshare.net/download/50816380bdfc0b/)

Chiedo scusa la voce da fixare era questa, la solita
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
insieme a questa che non trovi
C:\DOCUME~1\GIUSEPPE\IMPOST~1\Temp\RarSFX0\_start.exe ma che adesso non esiste più

ma da modalità provvisoria con Ad-Watch disabilitato

poi a proposito delle screenshot riporta per estesto la chiave di registro associata al terzo processo C:\WINDOWS\system\smss.exe /w

i primi 2 sono innocui...

secondo me qui c'è un rootkit non rilevato. comunque usa lo script di avenger che serve a rimpiazzare la chiave di registro con una senza valore.

per Chill-Out:
ho fixato da modalità provvisoria la voce relativa ad smss.exe. Effettivamente se poi rifaccio la scan in modalità provvisoria, non mi riappare più. Comunque quando riavvio in modalità normale, Ad-Watch nota subito una modifica del registro dovuta appunto ad smss.exe.

La chiave di registro completa è:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
e la voce aggiunta è .nvsvc

per Bugs Bunny:
adesso provo da modalità provvisoria ad avviare Avenger ed a rimpiazzare la chiave di registro. Anche se credo che poi al riavvio c'è qualcosa che la rimodifica ulteriormente col valore .nvsvc


Cmq una domanda: ma gli effetti di questo virus quali sono??? Così vediamo anche se fa quello che dovrebbe fare

log di HJT in modalità normale, grazie.

Allora.......ecco gli ultimi risultati:

- ESET ADS Revealer ---------> Ha trovado un po' di ADS; li ho cancellati tutti. Non mi ha fatto cancellare quelli di alcune immagini e di files che conoscevo, ma non sono riuscito a fare il log (se mi spiegate come fare, rifaccio la scansione e lo posto)

- A-Squared --------> Ha trovato qualcosa che ho messo in quarantena. Allego il log: a2scan_071121-161111.txt - 0.01MB (http://www.zshare.net/download/507917566f48ea/)

- Prevx CSI --------> Non ha trovato niente

- DrWeb CureIt --------> Non ho capito se ha trovato qualcosa. Gli ho detto di spostarlo (non so effettivamente dove). Allego il log: drweb.csv - 0.00MB (http://www.zshare.net/download/50792081eaaca6/)

- HiJackThis --------> Riporta sempre lo stesso problema. Allego il log: hijackthis.log - 0.01MB (http://www.zshare.net/download/5079223fc38e24/). Ho detto al prog di fixare smss.exe, ma, come al solito, appena fixato Ad-Watch ha rilevato una modifica al registro di sistema.

Mi appresto a provare la soluzione proposta da Bugs Bunny. Vi faccio sapere.

Grazie

quando hai tempo, non c'è fretta, vai nella quarantena di a-squared e verifica che siano stati trasmetti al server centrale tutti i file (lo vedi attraverso la colonna "submitted"), se sono stati trasmessi ripristina i seguenti file:

I:\Programmi\Masterizzare\Nero-7.8.5.0_ita_update.exe/Toolbar.exe In quarantena Adware.Win32.MyWebSearch
I:\Programmi\Masterizzare\Nero.Ultra.Edition.v8.0.3.0.MULTILANGUAGE.rar/Toolbar.exe In quarantena Adware.Win32.MyWebSearch
D:\Documenti Giuseppe\Programmi\ADSL\EvID4226Patch223d-en\EvID4226Patch.exe In quarantena Email-Worm.Win32.Runouce.b
D:\Documenti Giuseppe\Programmi\ADSL\EvID4226Patch223d-en.zip/EvID4226Patch.exe In quarantena Email-Worm.Win32.Runouce.b
C:\Documents and Settings\GIUSEPPE\Desktop\SDFix.exe/Process.exe In quarantena Riskware.RiskTool.Win32.Processor.20
C:\SDFix\apps\Process.exe In quarantena Riskware.RiskTool.Win32.Processor.20

sono falsi positivi anche se non ho certezza sui due file di Nero...

Log di HiJackThis in modalità normale: hijackthis.log - 0.01MB (http://www.zshare.net/download/5104876bc6187b/)

Lo script che ti ha indicato Bugs l'hai eseguito? se si allega il log

forse non hai capito a cosa serve quello script... mentre ora la chiave

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\.nvsvc

ha il valore C:\windows\system\syss.exe

quello script lascia la chiave togliendo solo il valore,per cui risuta vuota ma esistente. così il malware vede che la chiave esiste e forse non si piazza di nuovo in avvio!