Olimpo Informatico

[Jolie65]

Salve a tutti,
sono nuova del forum e vi faccio i mie complimenti sia per il tempo che dedicate alla risoluzione dei più svariati problemi che vi sottopongono, sia per la competenza che dimostrate.
Ma veniamo al mio problema: da qualche giorno ho notato che durante le ricerche nel web vengo reindirizzata alla seguente pagina: http://201.218.196.152/click.php?c=54553e990a42c6c2d26f4005&r=1.
Da una scansione con KASPERSKY ONLINE SCANNER risulta questo messaggio: C:\WINDOWS\system32\credu.dll Infected: Trojan.Win32.BHO.abo.
Il mio antivirus (NOD32) non ha risolto il problema e HijackThis, effettuato in modalità provvisoria, non riesce a cancellare la voce O2 - BHO: (no name) - {A7703F84-6E63-4CBF-8A30-8C4C3D6BA0AE} - C:\WINDOWS\system32\credu.dll.
A questo punto vi chiedo un aiuto per risolvere il problema.
Grazie e saluti.

[bdoriano]

Ciao Jolie65,

postaci comunque il log completo di hijackthis e poi fai queste altre scansioni:
Scansione con FindAWF
Scansioni con GMER e posta i logs su FreeFileHosting come indicato qui.

PS: se vuoi, puoi presentarti qui

[Jolie65]

Ecco i log richiesti.
Attendo fiduciosa e ringrazio anticipatamente.
awf18.txt
Gmer11.txt
gmer223.txt
hijackthis405.log

[bdoriano]

Qualcosa di strano c'è...
Prima di procedere, fai questa scansione con SystemScan e posta il log su FreeFileHosting come indicato qui.

[Jolie65]

ECCO IL NUOVO LOG DI SUSPECTFILE:
05_12_2007_11_57_report1.zip
Ciao.

[bdoriano]

Solo una conferma, hai (o hai avuto) un lettore di smart card GemPlus?

Scarica avenger e scompattalo in una sua cartella non temporanea e non sul desktop

Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:

[Jolie65]

Ti confermo che attualmente uso il lettore GemPlus.
Ecco il nuovo hijackthis: hijackthis409.log. A quanto vedo il credu.dll è ancora al suo posto. Dopo aver eseguito la procedura con AVENGER si è riavviato il pc , Windows si è disconnesso e riavviato da solo. Non mi ha fornito il log di AVENGER ma questo backup: backup.reg.
La pagina web incriminata si carica ancora durante le ricerche, cosa faccio??

[bdoriano]

Verifica se esiste il file C:\avenger.txt e postalo nella tua prossima risposta.

PS: per cortesia, non usare il colore sui link, li sistemo io.

[Jolie65]

Il file avenger.txt è vuoto.

[bdoriano]

Cambiamo approccio...

Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:

[Jolie65]

Buongiorno,
ecco i nuovi log:
avenger38.txt
hijackthis412.log
Grazie per il tempo che mi stai dedicando, sono abbastanza disperata - il pc è quello che uso in ufficio -
Attendo notizie.

[bdoriano]

E' più bastardello di quanto mi aspettassi.
Appena puoi, rifai la scansione con SystemScan e postala.
Vediamo se è cambiato qualcosa nell'intervento di ieri.

[Jolie65]

report74.txt
P.S.: se non ricordo male il problema è iniziato nella mattinata del 29/11.
Grazie ancora.

[bdoriano]

Ti chiedo di usare anche ComboFix come indicato qui.

[Jolie65]

log_Combofix.txt
hijackthis413.log

[bdoriano]

Un'ultima domanda: il disco identificato dalla lettera D: è un CD o un secondo disco fisso/partizione?

[Jolie65]

E' un lettore CD/DVD.

[bdoriano]

Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:

[Jolie65]

avenger39.txt
hijackthis414.log

[bdoriano]

Niente da fare...
Ultimo tentativo, invertendo un paio di istruzioni.

Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe: