ho disperatamente bisogno d'aiuto.

win xp sp2.
avast
router.

e.. credo di avere un virus sul pc.
lo deduco dal fatto che.. ho cercato finora di eliminare un trojan che avast mi identifica come "Win32:horst-C [trj]" e che sembra legato al file smss.exe il quale creava in continuazione quel trojan, avast lo rimnuoveva e lui puntualmente riappariva dopo poco.

elimino il file smss.exe (omonimo di un processo windows, solo in una cartella diversa) seguendo i consigli trovati in rete e..al riavvio del pc, nel task manager mi ritrovo "csrss.exe" e "services.exe" ..altri trojan, se nn sbaglio.
perchè questi nn me li rileva??
come li elimino? nn riesco a trovare nulla in rete che mi sia utile..


e poi.. se è un vrus che si diverte a seminare trojan qui e lì e..avast nn me lo vede.. come faccio a sapere chi è il mio nemico?!

grazie dell'aiuto.. sto veramente impazzendo.. =°

non ti si può lasciare sola un attimo....

fai una scansione con ewido
www.ewido.net

e poi posta un log di hijackthis
http://80.237.140.193/downloads/hijackthis_199.zip

unzippi in una cartella lanci e premi il primo bottone in alto e copi e incolli qui il contenuto del file di testo creato

lavora in modalità provvisoria;leggi qui come:
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/idocid/20020722090503924
poi usa ewido,e anche questo:
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

dunque..
ho fatto qnto mi avete detto.
la scansione con ewido però l'ho fatta prima che mi suggeriste la mod.provvis.
dr.web invece è andato in provvisoria.

risultati:

DR.WEB (http://img46.imageshack.us/img46/1703/drw3b9vu.jpg) ha trovato qualcosa.

EWIDO (http://img220.imageshack.us/img220/9083/ewid07xc.jpg) ha trovato qualcosa.

eppure i due processi:

csrrs.exe
& services.exe
sn ancora lì nel task manager al riavvio.
e nn è da escludere che anche smss.exe che avevo eliminato in precedenza sia lì di nuovo, solo che qui ho il dubbio tra il processo omonimo di windows che è giusto che sia lì e il trojan..

allego anche il log di hijackthis.

aiuto..! =°°

dopo aver disattivato il ripristino configurazione di sistema
fixa questi:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O23 - Service: Boonty Games - BOONTY - C:\Programmi\File comuni\BOONTY Shared\Service\Boonty.exe

e disattiva la segnalazione errori windows

e togli la roba indicata da ewido e cure
services.exe se è in windows/system32 è legittimo
csrrs.exe dal log non lo vedo....
ad ogni modo se dovesse essere da qualche parte toglilo con killbox

dunque..

ho cercato le voci di registro corrispondenti a questi file

- che peraltro sono TUTTI omonimi di processi di windows normalmente presenti solo che si trovano in directory diverse da quelle dv si trovano gli omonimi "buoni".

ho cancellato gli omonimi "cattivi" e le voci di registro che ho trovato essere collegate a loro.

riavviato il pc..

e.. nel task manager ci sn ancora gli exe di questi processi ma, se faccio una ricerca in C: x ognuno di questi files, me ne trova uno solo per ognuno e sembrano essere quelli "buoni" nel senso che si trovano nella cartella in cui dovrebbero essere, quella di default di windows.

quelli cattivi sarebbero sistemati tutti altrove.

ciò vuol dire che.. forse..nn era un virus ma tanti trojan indipendenti?
o forse il virus era quello che dr.web ha eliminato e.. eliminati gli ultimi trojan ora il pc è pulito??

qsta è l'unica spiegazione che trovo..
può essere che abbia ragione?

intanto.. grazie infinite per tutto l'aiuto!
siete mitici! ^_^

ps:
fixa questi
vuol dire che devo cancellarli?

e disattiva la segnalazione errori windows
come si fa?

ad ogni modo se dovesse essere da qualche parte toglilo con killbox
dovrebbe essere quello "buono" quindi nn dovrebbe servire "killarlo".
ma x un eventuale futuro: killbox è un programma? e.."killare" cos'ha di diverso da "cancellare"?

sarò una rompib0lle.. =°)

killbox è un programmino/utility che elimina i files che non si eliminano tramite riavvio ma se non hai più nulla non ti serve

fixare vuol dire selezionare le voci e premere fix (sempre da hijackthis)

per disattivare la segnalazione errori windows:
risorse del computer (tasto destro proprietà) avanzate segnalazione errori
disabilita segnalazione errori
togli la spunta a notifica cmq errori critici

Devi disabilitare il system restore,perchè i virus si rigenerano da lì:
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/idocid/20020823151930924

ti ringrazio!

"notifica cmq errori critici" era già senza spunta così come era già disabilitata la segnalazione errori.

ora provo a "fixare" quelle voci. ^_^

grazie grazie grazie! ^_^

Devi disabilitare il system restore,perchè i virus si rigenerano da lì:
http://service1.symantec.com/SUPPOR...020823151930924

mmm.. si può davver arrivare a tanto? nn è "pericolosa" come manovra?
lo chiedo dal basso della mia beata ignoranza..

grazie anche a te, davvero!

puoi anche tenerlo disabilitato, per quello che serve...