[HiJackThis] O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

[Atreyu_83]

Ho seguito tutti i consigli:

- ho intanto provato a rimuovere con HiJackThis [tenatativo fallito]
- poi ho riavviato il pc in modalità provvisoria disabilitando il ripristino di configurazione di sistema. Vado a ceracre il file in C:\WINDOWS\system\ ma non lo trovo
- ho allora cercato in C:\WINDOWS\system32. L'ho trovato ma non me lo fa cancellare
- nel mio pc è installato Ad-Aware con Ad-Watch che all'avvio mi da questo messaggio (vedi il file allegato). Come antivirus uso AntiVir.


Non so più cosa fare.........potreste darmi una mano???

Ho visto che altri utenti hanno avuto questo problema, ma sono riusciti a risolverlo facendo quello che ho rpovato a fare io con scarso successo.
Spero che questa discussione possa essere utile a tutti quelli che la leggeranno.

[juninho85]

avvia avenger con questo script:

Quote:

Files to delete:
C:\Windows\system\smss.exe
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|nvsvc

[Atreyu_83]

Ho scaricato Avenger ed ho inserito questo script:

Files to delete:
C:\Windows\system\smss.exe
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|.nvsvc

ma mi da i seguenti errori:

- Error: could not create zip file.

poi dopo che clicco ok:

- Press OK to log error and continue or Cancel to abort.

Io clicco ok:

- Error code: 0

Dopo questi errori mi fa invece vedere la finestrella First step completed per il riavvio. Clicco su Si ma al riavvio non è cambiato niente.

Che posso fare??? Devo avviare il programma quando sono in modalità provvisoria?

[Bugs Bunny]

segui la guida alla disinfezione per infetti.

[Atreyu_83]

Ho provato ad avviare Avenger dalla Modalità Provvisoria, con questo script:

Quote:

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|nvsvc

visto che il file smss.exe nella cartella system non c'è e non lo trova

ma quando riavvio mi dà questo log (mi dà anche degli errori quando dico ad Avenger di eseguire lo script):

Quote:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 0

cosa posso fare???

[Chill-Out]

Scarica SDFix e salvalo sul Desktop
Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Apri la cartella SDFix in C:\ e fai un doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premi un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovresti visualizzare il messaggio "Finished"
Premi un tasto per terminare lo script e ricaricare le icone del desktop
Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt
Download: http://downloads.andymanchesta.com/R...ools/SDFix.exe
Allega il log nel prossimo post.

[Atreyu_83]

OK. Intanto grazie tante per l'interessamento.

Ho fatto tutto quello che mi hai detto ed allego il log.

Spero si possa risolvere tutto (ad-watch cmq al riavvio mi ha segnalato di nuovo il problema che ssms.exe cercava di modificare il registro di sistema)



Edit:

ecco i link al log di SDFix:
http://www.zshare.net/download/5020109fe2094e/

ed ecco il log di HiJackThis:
http://www.zshare.net/download/5020225fd70383/

Grazie

[Chill-Out]

edita il post, hosta il log di SDFix su http://www.zshare.ner/ indicando il link + log di HijackThis

[Atreyu_83]

Editato

[Bugs Bunny]

sento puzza di rootkit...

fai una scansione con gmer e posta il log.

http://www.gmer.net/gmer.zip

Su hijackthis fixa:

O20 - Winlogon Notify: ddabb - C:\WINDOWS\

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

[Atreyu_83]

HiJackThis mi fixa

O20 - Winlogon Notify: ddabb - C:\WINDOWS\

ma quando vado a fixare

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

si riattiva da solo (lo noto nella finestra di Ad-Watch che rileva una modifica al registro di sistema quando provo a fixarlo)

ed ecco il log di gmer:
gmerlog.log - 0.10MB

[Chill-Out]

Per il momento abilita la visualizzazione delle Cartelle e File nascosti
Clicca su: Risorse del computer --> Strumenti --> Visualizzazione --> metti il segno di spunta su Visualizza cartelle e file nascosti --> applica e ok
cerca questo file C:\WINDOWS\system\smss.exe
facci sapere.

[Atreyu_83]

Chill-Out e gli altri....grazie davvero per il tempo che state dedicando al mio problema!! Speriamo di poter essere d'aiuto agli utenti futuri.

Il file l'ho cercato e non c'è. Ditemi un po' voi

[Bugs Bunny]

vai su start> esegui> digita

Quote:

cmd

poi digita:

Quote:

del C:\Windows\system\smss.exe

e premi invio. cosa ti dice?

Fai una scansione con panda antirootkit,avg antirootkit e f-secure blacklight. Posta i risultati della scansione

-------------------------------------------------------

Consultazione con gli altri esperti del forum:

O c'è un rootkit non rilevato (ipotesi avvalorata dal fatto che smss.exe non si trova e c'è una appinit_dll che non fa riferimento a nessun file,solo alla cartella C:\windows) oppure non saprei...

------------------------------------------------------------------------

[Chill-Out]

Quote:

Originariamente inviato da Bugs Bunny

vai su start> esegui> digita



poi digita:



e premi invio. cosa ti dice?

Fai una scansione con panda antirootkit,avg antirootkit e f-secure blacklight. Posta i risultati della scansione

-------------------------------------------------------

Consultazione con gli altri esperti del forum:

O c'è un rootkit non rilevato (ipotesi avvalorata dal fatto che smss.exe non si trova e c'è una appinit_dll che non fa riferimento a nessun file,solo alla cartella C:\windows) oppure non saprei...

------------------------------------------------------------------------

Bugs attendiamo sviluppi in funzione della tua procedura.

[Atreyu_83]

Ho provato a cancellare il file dal prompt --------> Impossibile trovare C:\Windows\system\smss.exe

Eseguito scan con Panda Antirootkit -----------> Esito negativo

Eseguito scan con AVG Anti-Rootkit -----------> Esito negativo

Non hanno trovato niente. Per loro è tutto pulito.

Attendo i risultati dello scan con f-secure blacklight

Non so proprio che pesci pigliare


Edit:

Eseguito scan con F-Secure Blacklight ----------> Esito negativo
Anche lui non trova niente

[Chill-Out]

A questo punto è necessario seguire questa guida http://www.hwupgrade.it/forum/showthread.php?t=1599737
e rifare un analisi preliminare del problema, rimaniamo in attesa dei log secondo le modalità indicate, ciao.

[Atreyu_83]

Scusate....andrò un po' , ma prima di proseguire devo capire una cosa:

sto eseguendo la scansione con ESET ADS Revealer ed il programma mi sta selezionando un sacco di file (.doc .jpg .zip .pdf .ttf); se, a scansione finita, clicco su "Clean" che succede??? Mi cancella tutti questi files??? Oppure mi cancella qualcosa che è in relazione a questi files lasciandoli intatti; perchè, effettivamente, tra questi, ci sono files che non vorrei cancellare come fotografie e documenti importanti

Grazie a tutti e spero di risolvere insieme a voi il problema

[Chill-Out]

Quote:

Originariamente inviato da Atreyu_83

Scusate....andrò un po' , ma prima di proseguire devo capire una cosa:

sto eseguendo la scansione con ESET ADS Revealer ed il programma mi sta selezionando un sacco di file (.doc .jpg .zip .pdf .ttf); se, a scansione finita, clicco su "Clean" che succede??? Mi cancella tutti questi files??? Oppure mi cancella qualcosa che è in relazione a questi files lasciandoli intatti; perchè, effettivamente, tra questi, ci sono files che non vorrei cancellare come fotografie e documenti importanti

Grazie a tutti e spero di risolvere insieme a voi il problema

non ti cancella il file ma solo l'ads a cui è associato.

[Bugs Bunny]

facciamo così.... scarica nuovamente avenger http://swandog46.geekstogo.com/avenger.zip
aprilo e seleziona input script manually,poi clicca sulla lente d'ingrandimento ed incolla:

Quote:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|nvsvc

poi clicca su done,clicca sul semaforo e su sì 2 volte.