Olimpo Informatico

quasar186

Salve a tutti!
Il mio problema è il seguente: quando utilizzo un motore di ricerca (perlopiù google) capita che quando clicco sui siti risultanti dalla ricerca non si apre la pagina richiesta ma un'altra che non c'entra niente. Se poi clicco indietro e ci riprovo mi si apre quella giusta (magari non sempre al primo tentativo). Questo fatto non capita sempre, ma spesso, ed è un pochino fastidioso... suggerimenti?
Grazie per la cortesia.

P.S.
Secondo il mio antivirus, che è AVG, il computer non ha nulla...
Dovrei installare qualche altro programma tipo spy-bot o ad-aware?

chemicalbit · Inviato: 22 Apr 2008 16:00 Oggetto:

Vedi qui e seguendo le istruzioni del messaggio subito sotto posta unlog di HijackThis.

quasar186 · Inviato: 22 Apr 2008 17:23 Oggetto:

Ecco:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.19.16, on 22/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\sistray.EXE
c:\windows\system32\svchost.exe
C:\WINDOWS\system32\keyhook.exe
C:\DOCUME~1\WinXp\IMPOST~1\Temp\eksbta.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4D91-8333-CF10577473F7} - C:\Documents and Settings\WinXp\Google\googletoolbar1.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [eksbta.exe] C:\DOCUME~1\WinXp\IMPOST~1\Temp\eksbta.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [EPSON Stylus D92 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE /FU "C:\WINDOWS\TEMP\E_S88.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.gamenext.it/online/online2/peggle/popcaploader_v10_en.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: BrlAPI - Unknown owner - C:\cygwin\bin\cygrunsrv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 4661 bytes

bdoriano · Inviato: 23 Apr 2008 14:57 Oggetto:

Ciao quasar186, Ciao

Fai queste pulizie generiche:

Disabilita il ripristino di sistema.
Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
Scarica Norman Malware Cleaner.
Avvia il pc in modalità provvisoria.
Avvia Norman Malware Cleaner e fagli fare la scansione completa.
Viene generato un log sul desktop chiamandolo NFix_2008-04-gg_hh-mm-ss.log, alla fine della scansione caricalo su FreeFileHosting come indicato qui e posta il link che ti viene assegnato.
Segui le istruzioni di questo topic per postare il log di combofix.

quasar186 · Inviato: 24 Apr 2008 12:20 Oggetto:

Ciao bdoriano! Scusa il ritardo ma Norman Malware Cleaner ci ha messo 3 orette buone a fare la scansione, ecco il log:
NFix_2008-04-24_10-12-38.log
Qualcosa ha trovato ed "epurato",ancora non ho visto se però mi ha veramente risolto il problema, cercherò di appurare...

Adesso vedo di fare la scansione anche con combofix e di postare il log. Grazie per la disponibilità!

quasar186 · Inviato: 25 Apr 2008 10:09 Oggetto:

Allora, ho provato a fare la scansione con combofix ma si è bloccato perchè non riesce ad eliminare l'applicazione BPSSR: qualcuno sa cosa sia? Io non ne ho la più pallida idea... Shocked

Ho anche provato a disinstallarla da Pannello di controllo->Installazione applicazioni ma mi dà dei messaggi di errore e non riesce a completare la disinstallazione! Dalle informazioni ho visto che l'autore è BulletProofSoft ma non ho proprio idea di cosa sia, a che cosa serva e se l'ho mai installato io o no... Embarassed

Suggerimenti? Come faccio a rimuoverlo per permettere a combofix di effettuare la scansione completa?

chemicalbit · Inviato: 25 Apr 2008 10:56 Oggetto:

Sai che file eseguibile sia sul tuo disco?

Se riesci a trovarlo non eseguirlo
e caricalo su VirusTotal , farà una scansione con vari antivursu,
guarda che risultati dà.

p.s. se apri task manager, scheda processi,
hai in esecuzione un processo con quel nome?

combofix ha comunque generato (una parte del) log? Se sì postalo qui.
(e posta anche un nuovo log di HijackThis. Non so se serva, ma male non fa e si fa in fretta)

quasar186 · Inviato: 25 Apr 2008 12:41 Oggetto:

Sono un po' confuso: ho visto su internet che questo BPSSR sarebbe nient'altro che uno Spyware Remover della BulletProofSoft. La cosa strana è che sono sicuro di non averlo mai scaricato. Ho fatto una ricerca sul mio computer di file contenenti nel nome la parola "spyware" (BPSSR non lo trovava) ed ho visto che esistono diversi archivi con nome BPSSpywareRemover tutti nella stella cartella e tutti contenenti un eseguibile: la cartella si chiama Spybot - Search & Destroy/Recovery. Ma Spybot non l'ho installato! Come devo regolarmi? Shocked

Comunque ecco qui il log aggiornato di Hijack (combofix non lo ha generato...):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:20, on 2008-04-25
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\windows\system32\services.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\TEMP\jvzzba.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4D91-8333-CF10577473F7} - C:\Documents and Settings\WinXp\Google\googletoolbar1.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [jvzzba.exe] C:\WINDOWS\TEMP\jvzzba.exe
O4 - HKCU\..\Run: [EPSON Stylus D92 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE /FU "C:\WINDOWS\TEMP\E_S88.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.gamenext.it/online/online2/peggle/popcaploader_v10_en.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: BrlAPI - Unknown owner - C:\cygwin\bin\cygrunsrv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 3810 bytes

bdoriano · Inviato: 25 Apr 2008 13:30 Oggetto:

Fai questa scansione con RogueRemoverFree e, dopo, riprova a seguire le istruzioni di questo topic per postare il log di combofix.

quasar186 · Inviato: 25 Apr 2008 14:24 Oggetto:

Ho scaricato RogueRemover, effettivamente quel BPSSR ricadeva nei programmi che avrebbe dovuto eliminare, dico avrebbe dovuto perchè in realtà anche se gli ho fatto fare 2 volte la scansione lui dice che non ha trovato alcun file, tant'è che BPSSR risulta ancora un'applicazione installata e quegli archivi che ho trovato non sono stati toccati...
Che devo fare? Riprovo ugualmente a fare la scansione con combofix?

P.S.
Ma dal log di HJT non c'è qualcosa da spuntare?
(sia lì che su task manager ho visto un processo denominato jvzzba e non lo avevo mai notato, è una coincidenza?...)

bdoriano · Inviato: 25 Apr 2008 15:08 Oggetto:

quasar186 · Inviato: 25 Apr 2008 17:03 Oggetto:

Allora, la scansione con combofix si è ribloccata allo stesso punto: compare una finestra di windows installer per la disinstallazione di BPSSR con una barra dello stato del processo, solo che prima arriva fino a quasi metà, poi si ferma e torna piano piano a zero, finchè compare un'altra finestra con scritto che non riesce a trovare l'installation package nè da CD nè su una directory del computer; le uniche opzioni che ho sono ok (e ci riprova con la directory che ha, ritornando a questo punto), sfoglia (ho provato a vedere se in quei vari archivi con nome BPSSpywareRemover c'era un file con l'estensione msi, che richiedeva, ma niente) e cancel (clicco, mi dà un messaggio di errore per l'impossibilità di continuare e poi ci riprova, tornando a questo punto): l'unico modo per uscire da questo ciclo continuo è premere cancel mentre c'è la finestra di windows installer con la barra di stato. A quel punto si sentono una serie di "bip" (non so come dirvelo, è un suono di windows, come quando il computer si blocca e spingi un tasto sulla tastiera...) e nella schermata blu di combofix compare un messaggio di errore (tipo "stdin: 2 occurrences changed"...). Ho provato ad aspettare un bel po' per vedere se succedeva dell'altro ma alla fine ho dovuto chiudere io la schermata blu, perchè il programma non girava più. Nessun log prodotto.
Ho provato con SmitFraudFix, tutto bene fino alla pulizia dei registri: quando premo y ed invio nelle 7-8 righe subito sotto appare la scritta "impossibile trovare il file richiesto", poi si apre il blocco note con il report che vi posto qui sotto. Scusate la lunghezza ma ho cercato di essere il più esauriente possibile. Ci sono speranze di venirne a capo? Embarassed

SmitFraudFix v2.319

Scan done at 17:21:44.34, 2008-04-25
Run from C:\Documents and Settings\WinXp\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Versione 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\Tasks\At?.job Deleted
C:\WINDOWS\Tasks\At??.job Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS1\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS2\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

quasar186 · Inviato: 25 Apr 2008 17:05 Oggetto:

A proposito, ma è stato SmitFraudFix a togliere lo sfondo al desktop e a cambiare l'home page che avevo impostato?

chemicalbit · Inviato: 25 Apr 2008 18:53 Oggetto:

Può essere stato combofix

So che cambi alcune cose (tra cui le impostazioni dell'orlogio) e poi alla fine rimette a posto.

Ma nel tuo caso si è interrotto, e quindi non ha finito.

quasar186 · Inviato: 25 Apr 2008 22:57 Oggetto:

Ok. E riguardo al problema si riscontra qualcosa dal report che ho postato? Come devo agire? Quel problema me lo fa ancora...

chemicalbit · Inviato: 25 Apr 2008 23:27 Oggetto:

provo a riassumere:

quindi non sei riuscito ad eseguire con completezza e senza errori
né combofix né SmitFraudFix

(SmitFraudFix che ti ha dato un errore,ma nel log non lo riporta. sentiamo chi è più esperto)

Dopo che hai eseguito SmitFraudFix , hai riporvato ad eseguire combofix?

come proseguire ...
non sono esperto, sentiamo bdoriano o altri.
Nel frattempo hai, come ti avevo detto, uplodato il file di BPSSR su VirusTotal ? (sempre che tu ci riesca e il malware non te loi mpedisca ...)

E se non vuoi stare con le mani in mano in attesa di consigli più mirati, altre idee che mi vengono in mente -tieni sempre conto che non sono esperto- è
fare una nuova scansione con il Norman Malware Cleaner.
Oppure
visto che probabilmente c'è qualcosa che si nasconde bene (rootkit?) puoi provare con SystemScan (vedi questo messaggio
per lo stesso motivo con GMER (vedi questo messaggio).

bdoriano · Inviato: 26 Apr 2008 08:49 Oggetto:

Come giustamente ha già detto chemicalbit, Combofix e Smitfraudfix fanno delle modifiche per estromettere eventuali modifiche apportate dai virus.

Oltre a fare la scansione con Norman, usa KASPERSKY VIRUS REMOVAL TOOL: clicca qui per il download
Compatibilita: Windows XP
scarica la versione del tool più aggiornata rispetto alla data e ora di pubblicazione

Installa KASPERSKY VIRUS REMOVAL TOOL:
verrà creata una apposta cartella sul Desktop
Avvia il pc in modalità provvisoria
Spostati all?interno della cartella creata sul desktop
Troverai la classica icona (una K) di Kaspersky
clicca sull?icona per lanciare il tool
imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default): scegli tutti i dischi fissi
al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
salva il log che verrà rilasciato
Nota 1: Il tool è incompatibile se si hanno già prodotti Kaspersky installati
Nota 2: non possiede una funzione di aggiornamento automatico delle firme

Al termine, carica il log generato su FreeFileHosting come indicato qui.

quasar186 · Inviato: 26 Apr 2008 09:54 Oggetto:

quasar186 · Inviato: 26 Apr 2008 11:22 Oggetto:

Ho caricato l'intero archivio su VirusTotal che lo ha scansionato con tutti i vari antivirus a disposizione. Risultato: secondo tutti il file è pulito, tutto regolare, a parte che nod32v2 e sunbelt hanno dato messaggi di errore perchè è un file criptato con password ("error - password-protected file" e "<Encrypted Archive> ").

Allora adesso proverò a far girare di nuovo norman, poi scaricherò systemscan, gmer e kaspersky virus removal tool, vediamo un po'...
Penso che ci risentiremo direttamente stasera, l'ultima volta norman ci ha messo "solo" tre orette... Smile

Bye

chemicalbit · Inviato: 26 Apr 2008 11:46 Oggetto:

Dai la priorità a
kaspersky virus removal tool

visto che è quello che ha indicato bdoriano nel suo ultimo messaggio.