Come eliminare WORM/Winko.I.12 ?

[sorty]

Come da topic, mi trovo da molti giorni il mio Avira che continua a segnalarmi con il realtime scanner la presenza del worm su file costruiti al momento e di nome c:\windows\tcpsvr1.exe o tcpsvr2.exe. Blocco l'accesso o li elimino con lo stesso Avira ma poi ritornano a formarsi molto spesso.

Quando poi faccio la scansione (dopo che ho eliminato il file tcpsvrs1.exe)
La scansione fatta dallo stesso Avira a dal superantispyware non rilevano niente! Allego alcuni log di avira e il file hijackthis.txt da voi richiesto.

Avira stasera ad esempio ha trovato più volte:
Virus or unwanted program 'WORM/Winko.I.12 [worm]'
detected in file 'C:\WINDOWS\tcpsvr1.exe.

una volta questo:
Virus or unwanted program 'W32/Parite [virus]'
detected in file 'C:\WINDOWS\tcpsvrs1.exe.

poi una volta anche questo:
Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'C:\WINDOWS\tcpsvr2.exe.

e questo:
Virus or unwanted program 'WORM/Winko.I.13 [worm]'
detected in file 'C:\WINDOWS\tcpsvr3.exe.

ma sta storia va avanti da giorni.

Spero che qualche mago mi possa aiutare a capirci qualcosa. Ho cercato dappertutto su internet mettendo anche i nomi dei file tcpsvr1.exe ma ho trovato solo dei link a siti in CINESE !!

Allego il file di hijackthis:

[dubo]

dal log di hijackthis non sono visibili infezioni, controlliamo cosi' : spegni il tuo antivirus e sistemi di sicurezza vari
scarica Combofix:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
salvalo sul desktop ed esci dalla rete.

doppio click sull'icona di combofix presente sul desktop, accetta il disclaimer che ti avvisa dell'utilizzo e lascia compiere la scansione senza fare nulla con il pc
al termine il pc dovrebbe riavvarsi, verrà creato un file log chiamato C:\ComboFix.txt.
allega il log creato al prossimo post in formato .TXT

[sorty]

Sembra che combofix abbia eliminato dei file decisamente sospetti.
Oltre al log allego anche uno zip contenente alcuni file MOLTO SOSPETTI che ho notato grazie al log del combofix.

Non so se basta elimininare questi per togliermi il problema.
Ci sarà qualcos'altro, sicuramente nel registro.

Malwarebytes, superantispyware e avira non trovano nulla su quei file, eppure a me sembrano degli evidenti malware.

Attendo tue istruzioni.

GRAZIE!!!

A questo punto devo dotarmi di qualche meccanismo di difesa migliore. Uso sempre "firefox sandboxato", avira, comodo firewall e ogni tanto eseguo scansioni (pare quasi inutili) col superantispyware e il malwarebytes. Che altro mi consigli, su due piedi?

[dubo]

ti consiglio di non allegare file sul forum su cui ha il minimo sospetto di infezione, nello zip c'erano prprio dei file ed e' stato rimosso.
elimina la cartella backup di combofix C:\qoobox , svuota il cestino e pulisci il sistema con CCleaner o simili. se hai dei dubbi sui files di cui parli inviali qui http://www.virustotal.com/it/ per un controllo.

[sorty]

Scusami, ho visto che era possibile mandare dei file .zip e ho pensato che fosse il caso.
Comunque ti copoi qui il testo di uno di questi, che mi apre proprio faccia al caso mio!
Si chiama system1.bat e contiene:
ftp -s:dboy1.sys
start C:\Windows\tcpsrv1.exe
start C:\Windows\tcpsrv1.exe
del dboy1.sys
del %0

ho mandato i file come hai chiesto su virustotal. Sono in coda per il risultato.
Intanto hai visto il file log del combofix che avevo allegato? C'è qualche chiave di registro, servizio o file sospett0?

grazie

[sorty]

I risultati sono arrivati: alcuni antivirus hanno rilevato i trojan nei file che ho mandato.

Questi sono:
McAfee, Authentium, F-Prot, Norman, Panda, ViRobot

Ora vedo se esistono versioni freeware di almeno uno fra questi o se trovo indicazioni precise su come rimuovere quei virus.

In realtà io spero di trovare un tool che rimuova l'infezione, anche perchè avira antivir era stato in grado di rilevare l'infezione quando creava il file tcpsvr1.exe, ma non è mai stato in grado di rimuoverla.
Nemmeno combofix c'è riuscito, almeno non completamente in realtà, ma è stato molto utile :-)