Worm:kamsoft.exe/vamsoft.exe[era:Il solito virus immortale.. Mi aiutate a stanarlo?]

Da qualche giorno Avast mi segnala un virus durante l'uso del PC, compare questa finestra:



alla quale premo "eliminare ora" e compare subito dopo quest'altra:



alla quale premendo "si" mi riavvia il PC ed effettua una lunga scansione con la schermata blu di avvio di Windows ma nn trova nemmeno un file infetto.

Alla fine della scansione si riavvia XP e dopo qualche minuto Avast mi risegnala il virus.

Ho anche provato ad effettuare scansioni di Avast sia in modalità normale che provvisoria ma nn trova nulla. Ad-Aware invece mi ha trovato qualche file infetto ma li ho cancellati nn risolvendo nulla.

Che potrebbe essere? Il PC si comporta in modo normalissimo, potrebbe essere un bug dell'antivirus o qualcos'altro?
E' abbastanza fastidioso durante l'uso del pc la finestrella dell'antivirus..

Cosa mi consigliate di fare?

Grazie!

cerca se hai nel pc questo file KAMSOFT.EXE


guarda nel registro e se le trovi cancella queste voci


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run kamsoft C:\WINDOWS\system32\ckvo.exe HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden value: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ShowSuperHidden value: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NoDriveTypeAutoRun [REG_DWORD, value: 00000091]

link

Ho trovato qualcosa del genere, è questo? : KAMSOFT.EXE-2C222B10.pf

Per cancellare le voci dal registro devo fare regedit?

Grazie della veloce risposta!

Sono andato in regedit, ho cancellato solo 2 di quelle voci, nn ho trovato queste:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run kamsoft C:\WINDOWS\system32\ckvo.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden value:

dj-upe, 17/12/2008 12.00:

---

Ho trovato qualcosa del genere, è questo? : KAMSOFT.EXE-2C222B10.pf

Per cancellare le voci dal registro devo fare regedit?

Grazie della veloce risposta!

---

si è quel file

fai una cosa ulteriore

vai su virustotal lo inserisci e vedi il report

poi se come credo lo rileva infetto (a meno che non abbia grandezza pari a 0 KB)segnati il nome dei virus e postali

poi lo togli

fai una bella scansione completa con a-squared (potrebbe esser abb lunga)

si le voci vanno tolte tramite regedit

dj-upe, 17/12/2008 12.08:

---

Sono andato in regedit, ho cancellato solo 2 di quelle voci, nn ho trovato queste:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run kamsoft C:\WINDOWS\system32\ckvo.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden value:

---

non importa già due voci vanno benone

vuol dire che è quel worm e quel file incriminato

ora inizia la scansione e poi usa hijackthis e controlla il report che ti da togliendo tutte le voci considerate da eliminare

Ok, grazie, ti faccio sapere

Hijackthis mi ha trovato il file kamsoft e subito sotto ce n'è un altro che si chiama vamsoft.. Lo lascio lì? è solo una coincidenza?


Ultima cosa per eliminare tali file devo fare fix checked da hijack o devo cercarli nel pc ed eliminarli manualmente?

Perdona la mia ignoranza ma di sicurezza capisco poco purtroppo..

dj-upe, 17/12/2008 12.25:

---

Hijackthis mi ha trovato il file kamsoft e subito sotto ce n'è un altro che si chiama vamsoft.. Lo lascio lì? è solo una coincidenza?


Ultima cosa per eliminare tali file devo fare fix checked da hijack o devo cercarli nel pc ed eliminarli manualmente?

Perdona la mia ignoranza ma di sicurezza capisco poco purtroppo..

---

si si entrambi anche vamsoft è un worm

clicca su entrambi i nomi(spunti la voce della casella a finco ai nomi) e poi fix checked

Fatto! Morite bastardi!!!

grazie di tutto! sei un mago!

dj-upe, 17/12/2008 12.32:

---

Fatto! Morite bastardi!!!

grazie di tutto! sei un mago!

---

aspetta a cantar vittoria

prima fai le ulteriori scansioni in mod provvisoria poi se noin trovi nulla puoi anche andare in strada come se avessimo vinto la coppa del mondo

Buahuahuahuaha!!!

Ok farò le scansioni, sarebbe il colmo rilevare qualche virus dal momento che prima nn rilevava nulla..

dj-upe, 17/12/2008 16.16:

---

Buahuahuahuaha!!!

Ok farò le scansioni, sarebbe il colmo rilevare qualche virus dal momento che prima nn rilevava nulla..

---

prevenire è meglio che curare

Beh caro boy ti comunico ufficialmente che il bastardo è stato eliminato!!! La vittoria è miaaaaa!!

Infatti stamane nn è uscito il messaggio di avast (usciva circa ogni mezz'ora usando il pc).

Grazie ancora, ti devo una birra!

buona giornata

/upe

dj-upe, 18/12/2008 12.24:

---

Beh caro boy ti comunico ufficialmente che il bastardo è stato eliminato!!! La vittoria è miaaaaa!!

Infatti stamane nn è uscito il messaggio di avast (usciva circa ogni mezz'ora usando il pc).

Grazie ancora, ti devo una birra!

buona giornata

/upe

---

la berrò volentieri

Nn apro un nuovo post perchè penso che il problema sia il medesimo..
Vengo al dunque.. dopo un periodo di calma apparente si è ripresentato un virus, questa volta è diverso e come al solito Avast nn riesce ad eliminarlo, anzi, durante la scansione in mod. provv. nemmeno lo rileva..

L'unica certezza è la solita finestra del primo post, leggi sopra, che segnala il virus:


Ultima curiosità, avevo installato Antivir col quale mi trovo bene sul PC di casa però appena si avvia windows segnala in sequenza circa 17 virus i quali se li metto in quarantena o li elimino poi si rigenerano automaticamente facendo diventare il pc inutilizzabile.
L'ho subito disinstallato cmq.

Aiutatemi ragà, nn ne posso più!!

dj-upe, 02/02/2009 11.05:

---

Nn apro un nuovo post perchè penso che il problema sia il medesimo..
Vengo al dunque.. dopo un periodo di calma apparente si è ripresentato un virus, questa volta è diverso e come al solito Avast nn riesce ad eliminarlo, anzi, durante la scansione in mod. provv. nemmeno lo rileva..

L'unica certezza è la solita finestra del primo post, leggi sopra, che segnala il virus:


Ultima curiosità, avevo installato Antivir col quale mi trovo bene sul PC di casa però appena si avvia windows segnala in sequenza circa 17 virus i quali se li metto in quarantena o li elimino poi si rigenerano automaticamente facendo diventare il pc inutilizzabile.
L'ho subito disinstallato cmq.

Aiutatemi ragà, nn ne posso più!!

---

comincia a dare un'occhiata qua e cancella tutte le voci che ti segnala il link


edit

non è lo stesso problema di prima comunque o almeno non è lo stesso rootkit mi pare

Ok allora vedo un pò se riesco a fare qualcosa, a più tardi, grazie.

Scusami boy, nn capisco dal link quali file bisogna eliminare.. Per caso quelli sotto la voce File Activity (da eliminare tra,mite regedit?)?
Spiegami per favore, ti ricordo che sono un pò ignorantello sull'argomento

grazie!

dj-upe, 02/02/2009 11.05:

---

Nn apro un nuovo post perchè penso che il problema sia il medesimo..
Vengo al dunque.. dopo un periodo di calma apparente si è ripresentato un virus, questa volta è diverso e come al solito Avast nn riesce ad eliminarlo, anzi, durante la scansione in mod. provv. nemmeno lo rileva..

iutatemi ragà, nn ne posso più!!

---

Hai mai provato a far girare l'antivirus in modalità provvisoria e con il ripristio di sistema disattivato???
Altrimenti è altamente probabile che i virus continui a trovarli nonostante l'AV li abbia eliminati.

Ho fatto delle scansioni in mod provvisoria ma senza disattivare il ripristino, in ogni caso l'antivirus nn trova niente..
Dici che disattivando il ripristino il risultato cambia?

dj-upe, 03/02/2009 8.54:

---

Scusami boy, nn capisco dal link quali file bisogna eliminare.. Per caso quelli sotto la voce File Activity (da eliminare tra,mite regedit?)?
Spiegami per favore, ti ricordo che sono un pò ignorantello sull'argomento

grazie!

---

questi li devi cercare nel pc

File Activity
One or more files with the name A2H2.COM creates, deletes, copies or moves the following files and folders:

questi invece nel registro

Registry Activity
One or more files with the name A2H2.COM creates or modifies the following registry keys and values:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run cdoosoft C:\WINDOWS\system32\olhrwef.exe HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden value: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ShowSuperHidden value: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NoDriveTypeAutoRun [REG_DWORD, value: 00000091]

Perfetto ho cancellato tutte le voci dal registro e il file dal pc, dopo 5 secondi però avast mi ha rilevato una nuova minaccia, questa nn l'avevo mai vista..

Nome del file: C:\pook.com
Tipo: Rootkit: processo nascosto

Nn so proprio che sta succedendo anche se sospetto che la causa di tutto siano le chiavette usb.. lavorando in uno studio dove arrivano file di cani e porci (spesso tramite chiavetta) è inevitabile!
Il problema è che appunto lavorandoci con questo pc devo mantenerlo sempre efficiente, per questo sono disperato!

Che mi dite di quest'altro virus?

Grazie di tutto ragà, siete la mia salvezza!

dj-upe, 04/02/2009 9.00:

---

Perfetto ho cancellato tutte le voci dal registro e il file dal pc, dopo 5 secondi però avast mi ha rilevato una nuova minaccia, questa nn l'avevo mai vista..

Nome del file: C:\pook.com
Tipo: Rootkit: processo nascosto

Nn so proprio che sta succedendo anche se sospetto che la causa di tutto siano le chiavette usb.. lavorando in uno studio dove arrivano file di cani e porci (spesso tramite chiavetta) è inevitabile!
Il problema è che appunto lavorandoci con questo pc devo mantenerlo sempre efficiente, per questo sono disperato!

Che mi dite di quest'altro virus?

Grazie di tutto ragà, siete la mia salvezza!

---

in internet non ho trovato nulla

usa hijackthis e postami i file sopsetti

Hijack sembra che nn trova niente di sospetto, ti posto ugualmente il log, forse allo scan log è sfuggito qualcosa..

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.59.37, on 04/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AhnRpta.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\OpenOffice.org 3\program\soffice.exe
C:\Programmi\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ArchVision\ArchVision Content Manager\rpcACMapp.exe
C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IAAnotif] "C:\Programmi\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programmi\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: ArchVision Content Manager Service - ArchVision - C:\Programmi\ArchVision\ArchVision Content Manager\rpcACMapp.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programmi\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 8076 bytes


Thanks!

C:\WINDOWS\AhnRpta.exe ->lo togli manualmente dal pc e poi cerchi cosa cancellare da qua

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Aggiorno la situazione, nn ho ancora perso le speranze!

Ho fatto tutto, cancellato file dal registro e dal PC, Avast sembrava nn segnalare più nulla allora finalmente ho deciso di disinstallare definitivamente quest'ultimo visto che si è dimostrato poco efficace, tra l'altro nn si aggiorna più e addirittura quando tento di installare le versione aggiornata scaricata dal sito mi da errore.

Nuovo problema.. Avast nn si disinstalla, quando premo sull'apposito tasto in installazione applicazioni, esce la clessidra per mezzo secondo e torna tutto come prima (anche provando 10 volte nn mi caga proprio). Ah ho provato anche in mod. provvisoria ma niente da fare..

Vabè mi son detto, installo lo stesso Antivir e così ho fatto!
installo il programma e appena finisco l'installazione mi segnala questi 2 virus:



Che nn mi fa cancellare, mettere in quarantena ecc. l'unico comando che è andato a buon fine è rinomina, dopo il quale nn mi ha segnalato più nulla..

Nn sò più che fare, che dite è meglio portarlo a formattare o c'è ancora speranza?

Grazie dell'aiuto che mi state dando!

Fermi tuttiiii!!!!

Ho effettuato una scansione con antivir la quale ha trovato 15 minacce che ha spostato in quarantena, sembra essere andato tutto a buon fine, ho riavviato e nn mi ha segnalato più nulla.
Adesso sto facendo un'ulteriore scansione per essere sicuro di nn avere più niente.. vi tengo aggiornati!

Ok, credo di essere quasi alla fine di questa lunga storia.. Antivir questa volta ha trovato "solo" 5 minacce che portano lo stesso nome, cioè TR/Crypt.XPACK.Gen ma nonostante accetti il comando "delete" alla scansione successiva lo rileva dinuovo..

Se riesco a stanare questo credo di risolvere tutti i problemi, sapete quali file sono da eliminare dal registro?

Se può essere utile allego il Report di fine scansione di Antivir:

___________________________________________________ _ _ _

Avira AntiVir Personal
Report file date: mercoledì 4 febbraio 2009 16:07

Scanning for 1313027 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 3) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name: PC2

Version information:
BUILD.DAT : 8.2.0.337 16934 Bytes 18/11/2008 13:05:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:26
AVSCAN.DLL : 8.1.4.0 40705 Bytes 26/05/2008 07:56:40
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:19
LUKERES.DLL : 8.1.4.0 12033 Bytes 26/05/2008 07:58:52
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14/01/2009 13:58:50
ANTIVIR2.VDF : 7.1.1.207 1359360 Bytes 30/01/2009 13:58:59
ANTIVIR3.VDF : 7.1.1.224 163840 Bytes 04/02/2009 13:59:01
Engineversion : 8.2.0.71
AEVDF.DLL : 8.1.1.0 106868 Bytes 04/02/2009 13:59:14
AESCRIPT.DLL : 8.1.1.39 344443 Bytes 04/02/2009 13:59:13
AESCN.DLL : 8.1.1.6 127348 Bytes 04/02/2009 13:59:12
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
AEPACK.DLL : 8.1.3.6 393589 Bytes 04/02/2009 13:59:11
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 04/02/2009 13:59:10
AEHEUR.DLL : 8.1.0.89 1569143 Bytes 04/02/2009 13:59:09
AEHELP.DLL : 8.1.2.0 119159 Bytes 04/02/2009 13:59:04
AEGEN.DLL : 8.1.1.12 328053 Bytes 04/02/2009 13:59:04
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
AECORE.DLL : 8.1.6.4 176501 Bytes 04/02/2009 13:59:02
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:05
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:28:01
AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:40
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:49
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:40
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12/06/2008 13:48:07
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27/06/2008 13:34:37

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\programmi\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mercoledì 4 febbraio 2009 16:07

The scan of running processes will be started
Scan process 'avwsc.exe' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'StarWindServiceAE.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'MDM.EXE' - '1' Module(s) have been scanned
Scan process 'jqs.exe' - '1' Module(s) have been scanned
Scan process 'IAANTmon.exe' - '1' Module(s) have been scanned
Scan process 'GoogleUpdaterService.exe' - '1' Module(s) have been scanned
Scan process 'AdskScSrv.exe' - '1' Module(s) have been scanned
Scan process 'rpcACMapp.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'soffice.bin' - '1' Module(s) have been scanned
Scan process 'soffice.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned
Scan process 'wcescomm.exe' - '1' Module(s) have been scanned
Scan process 'NMBgMonitor.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'winampa.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'reader_sl.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'ashDisp.exe' - '1' Module(s) have been scanned
Scan process 'IAAnotif.exe' - '1' Module(s) have been scanned
Scan process 'RTHDCPL.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'ashServ.exe' - '1' Module(s) have been scanned
Scan process 'aswUpdSv.exe' - '1' Module(s) have been scanned
Scan process 'aawservice.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
45 processes with 45 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '58' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\System Volume Information\_restore{3EFD34D4-5079-491A-A30E-45576A1DB165}\RP2\A0002046.dll
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
[NOTE] The file was deleted!
C:\System Volume Information\_restore{3EFD34D4-5079-491A-A30E-45576A1DB165}\RP2\A0002047.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
[NOTE] The file was deleted!
C:\System Volume Information\_restore{3EFD34D4-5079-491A-A30E-45576A1DB165}\RP2\A0002048.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
[NOTE] The file was deleted!
C:\System Volume Information\_restore{3EFD34D4-5079-491A-A30E-45576A1DB165}\RP2\A0002049.dll
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
[NOTE] The file was deleted!
C:\System Volume Information\_restore{3EFD34D4-5079-491A-A30E-45576A1DB165}\RP2\A0002050.dll
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
[NOTE] The file was deleted!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!


End of the scan: mercoledì 4 febbraio 2009 16:46
Used time: 39:10 Minute(s)

The scan has been done completely.

8376 Scanning directories
493605 Files were scanned
5 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
5 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
493598 Files not concerned
3167 Archives were scanned
2 Warnings
5 Notes

in internet sembra che sto virus faccia sfracelli in + per debellarlo ogni forum ti fa usare almeno 5 programmi per poi tenertelo ancora...vediamo se siamo più fortunati noi

hai 2 opzioni

1)usi antivir in mod provvisoria disattivando il ripristino di sistema (poi tornato in mod normale lo riattivi)
2)scarichi combofix e gli fai fare una bella passata (fa tutto lui e ti mette ciò che ha tolto in una cartella sua)