Ciao, ho letto le guide e spero di non postare le solite domande del cavolo. Succede qualcosa di strano su PC windows XP con AVIRA e SPYWARE TERMINATOR. Da pochi giorni Avira (ultima versione) mi segnala virus/trojan su file che dovrebbero essere normalissimi (e quindi non so se eliminarli o no, a rischio del funzionamento dei sw). Effettivamente qualcosa che non va c'è, PC lento soprattutto su internet. Ho ricontrollato con Panda da voi consigliato e mi rida lo stesso elenco di files infetti (cambia solo il nome del trojan/virus segnalato). Elenco PANDA:

Virus rilevato W32/Katusha.BN 09/12/2011 18.58.11 Verrà eliminato dopo aver riavviato il computer. Posizione: C:\Programmi\Lenovo\Rescue and Recovery\rrservice.exe

Virus rilevato W32/Katusha.BN 09/12/2011 18.58.09 Verrà eliminato dopo aver riavviato il computer. Posizione: C:\Programmi\Lenovo\Rescue and Recovery\rrpservice.exe

Virus rilevato W32/Katusha.BN 09/12/2011 18.58.07 Verrà eliminato dopo aver riavviato il computer. Posizione: c:\Programmi\File comuni\Lenovo\tvt_reg_monitor_svc.exe

Virus rilevato W32/Katusha.BN 09/12/2011 18.58.05 Verrà eliminato dopo aver riavviato il computer. Posizione: C:\Programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

Virus rilevato W32/Katusha.BN 09/12/2011 18.58.03 Verrà eliminato dopo aver riavviato il computer. Posizione: C:\Programmi\CDBurnerXP\NMSAccessU.exe

Virus rilevato W32/Katusha.BN 09/12/2011 18.58.01 Verrà eliminato dopo aver riavviato il computer. Posizione: C:\WINDOWS\system32\k4hidconvert.exe

Virus rilevato W32/Katusha.BN 09/12/2011 18.57.58 Verrà eliminato dopo aver riavviato il computer. Posizione: C:\Programmi\Spyware Terminator\sp_rsser.exe

Virus rilevato W32/Katusha.BN 09/12/2011 18.57.57 Verrà eliminato dopo aver riavviato il computer. Posizione: C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe

Virus rilevato W32/Katusha.BN 09/12/2011 18.57.55 Verrà eliminato dopo aver riavviato il computer. Posizione: C:\Programmi\Microsoft LifeCam\MSCamS32.exe

Virus rilevato W32/Katusha.BN 09/12/2011 18.57.53 Verrà eliminato dopo aver riavviato il computer. Posizione: c:\Programmi\Microsoft SQL Server\90\Shared\sqlwriter.exe

Virus rilevato W32/Katusha.BN 09/12/2011 18.57.39 Verrà eliminato dopo aver riavviato il computer. Posizione: C:\Programmi\Java\jre6\bin\jqs.exe

Virus rilevato W32/Katusha.BN 09/12/2011 18.57.37 Verrà eliminato dopo aver riavviato il computer. Posizione: C:\Programmi\File comuni\InterVideo\RegMgr\iviRegMgr.exe

Virus rilevato W32/Katusha.BN 09/12/2011 18.57.35 Verrà eliminato dopo aver riavviato il computer. Posizione: C:\Programmi\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe

L'elenco di AVIRA è praticamente uguale. Che succede? E' come se un virus stesse infettando i file normali e io non so cosa fare. Forse non ne capisco una mazza di virus ma è normale una cosa del genere o è da CSI Miami? Per favore aiutatemi, il mio computer controllato da qualcun altro non è una bella cosa da vedere...:confused: Mi date un consiglio?

- Scarica TDSSKiller http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

Ecco il log di TDSSKILLER, mi ha elimanato due o tre cose, poi ho fatto girare di nuovo panda e ha trovato altra roba. Credevo di essere salvo ma non va ancora. E' come se stessi beccando tutti i processi figli del virus (infezione di files normali) ma non riesco a beccare il virus vero e proprio. Inoltre: non riesco più ad accedere ad Internet (sto scrivendo da altro computer) e la prova che il virus c'è ancora è che continua ad infettarmi i files degli antivirus (ora mi segnalano infetti gli eseguibili di Panda e Avira nonostante disinstallazioni e reinstallazioni).


15:54:20.0156 3780 ============================================================
15:54:20.0156 3780 Scan finished
15:54:20.0156 3780 ============================================================
15:54:20.0171 3772 Detected object count: 2
15:54:20.0171 3772 Actual detected object count: 2
15:54:41.0078 3772 HKLM\SYSTEM\ControlSet001\services\7605fb35 - will be deleted on reboot
15:54:41.0078 3772 C:\WINDOWS\905643382:2314863818.exe - will be deleted on reboot
15:54:41.0078 3772 7605fb35 ( Rootkit.Win32.PMax.gen ) - User select action: Delete
15:54:42.0062 3772 Backup copy found, using it..
15:54:42.0078 3772 C:\WINDOWS\system32\DRIVERS\netbt.sys - will be cured on reboot
15:54:43.0218 3772 NetBT ( Rootkit.Win32.ZAccess.e ) - User select action: Cure

ciao, i log caricali su uno di questi siti: filedropper.com, fileqube.com, wikisend.com e mediafire.com e allega il link per il download.

Fai girare questo http://anywhere.webrootcloudav.com/antizeroaccess.exe e allega il log

Allora ragazzi, sono nei guai. Ho usato tutti gli strumenti indicati e anche altri sia da modalità normale che provvisoria (XP SP3). Dopo un incredibilmente lungo lavoro di scansioni varie ho eliminato parecchie cose e ora pare che le infezioni siano scomparse. Problema: le cure hanno avuto un effetto collaterale, non vado più su Internet! Il modem ADSL si connette (mi esce il popup nella barra in basso a destra) ma poi non c'è scambio di dati. Su IE esce la pagina come quando si è in off-line, anche Outlook mi sembra non tiri giù le mail, quindi è successo qualcosa. Ho davvero bisogno del vostro aiuto per rispristinare (credo che qualche file sia andato a male oppure gli antivirus abbiano "esagerato" con le cure). Nel frattempo allego un pò di log delle scansioni fatte (scusate se prima li ho postati direttamente).

Grazie :muro: :muro:

http://www.filedropper.com/antizeroaccess
http://www.filedropper.com/avira_2
http://www.filedropper.com/tdsskiller_2
http://www.filedropper.com/panda_2
http://www.filedropper.com/pandab
http://www.filedropper.com/anti-malware

Ragazzi sono nella m... Sto dando fondo a tutte le mie conoscenze informatiche... Cerco di farvela breve. Non vado in internet, mi sono accorto che nel log di hijackthis mancavano gli usuali numeri di Infostrada per la connessione, allora ho reinstallato il modem ADSL StarModem di Libero, i numeri sono tornati ma non funziona ancora. Dopo, non ricordo più come, ma mi sono accorto che il windows firewall era bloccato e mi sono insospettito. Non è possibile avviarlo (errore 10050: rete inattiva rilevata durante l'operazione del socket). Ho notato quindi tra il PC bloccato e il NB funzionante (da cui scrivo) ci sono, sul primo, vari servizi relativi alle connessioni remote bloccati e non avviabili dagli strumenti di amministrazione. Mi ritrovo più o meno in questo thread che è il più completo che ho trovato http://forum.aiutamici.com/yaf_postst75445p2_Errori-di-connessione-10050-e-10091.aspx

Faccio notare che i file AFD.sys, netbt.sys e tcpip.sys sono nominati nei log degli antivirus che ho postato quindi credo proprio che il problema sia qui (i file erano infetti e/o gli antivirus li hanno sminchiati)!!! Ho quindi copiato tali files dal NB sovrascrivendoli nel PC sperando che risolversse ma non ha funzionato.
Forse adesso ho trovato il problema ma non ne sono sicuro: nel post n. 4 della seconda pagina del forum linkato si parla di verificare tali files in gestione periferiche di xp. Li ho tutti tranne AFD.sys!! In pratica in Windows/system32/drivers c'è ma sembra non sia installato.

Come posso fare per rinstallarlo o per risolvere??? Ho bisogno di gente esperta come voi, mi sto arrendendo. :muro: :muro: :muro: :muro:
Non voglio reinstallare tutto, credo esista una speranza.

Ah ultima cosa: le infezioni mi avevano attaccato i file degli antivirus. Ora li ho disinstallati ma permangono, nelle relative cartelli, 1 file ciascuno senza nome ed estensione (solo icona) completamente incancellabili, movibili o altro. Neanche FileAssasins o BitzBlank riescono a fare nulla.

riconfigura la connessione su windows... penso mancano l'ip, il getaway, il subnet mask e i dns...

magari se è cancella la rete presente e creane una nuova mettendo cmq gli stessi dati.


io cmq avrei tentato di cambiar antivirus...

io cmq avrei tentato di cambiar antivirus...
E magari anche OS :asd:

riconfigura la connessione su windows... penso mancano l'ip, il getaway, il subnet mask e i dns...

magari se è cancella la rete presente e creane una nuova mettendo cmq gli stessi dati.


io cmq avrei tentato di cambiar antivirus...

Grazie per il tuo aiuto... Unico problema, se di PC me ne intendo abbastanza di reti mica tanto. Cosa devo fare esattamente? Ti va di aiutarmi passo passo? Ti ringrazio. P.S.: Ma se sono in DHCP questi dati non sono inutili?

@Eress: purtroppo inizio a rendermi conto anche io della schifezza di Microsoft...

Dai log si evice che ZeroAccess è statyo debellato, i problemi che lamenti sono il frutto della scansione con Panda.

Sono d'accordo con te, infatti mi pare che era dopo la seconda scansione di Panda che ho avuto questo problema e mi pare di vedere sui log di Panda proprio il file afd.sys
Ma non capisco... Questo Panda alla fine ha fatto più casini che altro?????

In ogni caso come posso ripristinare? Come posso reinstallare il file (o i file se qualcuno di voi crede) in oggetto? A quanto capisco io, da ignorante, il file sul disco fisso c'è ma non è installato o qualcosa del genere.

Grazie per l'aiuto ragazzi, confido in voi.

Ma perchè i log che ho caricato non sono più disponibili?????