Virus nascosto in un file zippato e protetto da password

[Ivar]

L'altra sera ho scaricato un file .zip con WinMX, alla fine del download mi è apparsa una finestrella in cui Norton mi avvisava che era in attesa di scansionare quel file ed il PC si è mezzo impallato, al ché ho dato l'ok e tutto si è sbloccato. Stupidamente, ho cercato di scompattare il file, però non ci sono riuscito perché windows (XP) mi ha avvertito che, prima un file, poi un altro, poi un altro ancora e così via, erano protetti da password. Dopo aver imprecato contro l'idiota che condivide un file protetto da password, l'ho cestinato ed ho spento il PC. Al riavvio la sorpresa: metà dei programmi, tra cui Norton, Outlook ed Internet Explorer non partivano se non dopo un quarto d'ora, la connessione sembrava staccata; tutto il resto (per quello che restava... calcolatrice, notepad... !!!) sembrava funzionare come prima. A fatica ho lancio la funzionalità di ripristino e riportato il sistema al giorno prima: tutto è tornato a funzionare perfettamente, del virus non c'è più traccia, una scansione completa del sistema con Norton aggiornato non ha trovato niente, i principali browser online hanno confermato la sicurezza del sistema. Per un po' tutto è andato bene, poi però il problema si è ripresentato, anche se in forma più lieve: la connessione sembra staccata e l'autoprotect di Norton non funziona (ma norton sì, anche se non trova niente). Se ripristino un punto precedente tutto torna a funzionare, se annullo il ripristino continua a funzionare. Sembra quasi che abbia nel sistema una bomba ad orologeria con un conto alla rovescia che si resetta ad ogni ripristino. Ho fatto una rapida ricerca online ed ho scoperto che spesso i virus vengono nascosti dentro file protetti perché così facendo non possono essere scansionati dall'antivirus. Tutto torna, sono un coglione. Ora però come ne esco, visto che gli antivirus sembrano impotenti?

[mardux]

hai già fatto scan dalla modalità provvisoria?

prova con + antivirus, non limitarti solamente a norton

[olly]

fai una scansione con HijackThis: per scaricarlo vai nei link in rilievo.

Poi posta il risultato della tua scansione.

[Ivar]

Sono entrato in modalità provvisoria ed ho fatto una scansione con Norton, che non ha trovato nulla, e con hijackthis, che ha restituito il seguente log (ho sostituito con asterischi quelli che mi sembrano dati potenzialmente personali):

Logfile of HijackThis v1.98.1
Scan saved at 12.45.49, on 04/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Ivar\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Documents%20and%20Settings/Ivar/Documenti/start.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Google Toolbar Helper - {********-****-****-****-************} - c:\windows\googletoolbar.dll
O2 - BHO: NAV Helper - {********-****-****-****-************} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {********-****-****-****-************} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {********-****-****-****-************} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {********-****-****-****-************} - c:\windows\googletoolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\GoogleToolbar.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://C:\WINDOWS\GoogleToolbar.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\WINDOWS\GoogleToolbar.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\WINDOWS\GoogleToolbar.dll/cmcache.html
O9 - Extra button: Related - {********-****-****-****-************} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {********-****-****-****-************ - C:\WINDOWS\web\related.htm
O16 - DPF: {********-****-****-****-************} (Symantec AntiVirus scanner) -

http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {********-****-****-****-************} (Symantec RuFSI Utility Class) -

http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {********-****-****-****-************} - http://toolbar.google.com/data/GoogleActivate.cab

[olly]

http://hijackthis.de/index.php?langselect=english

Incolla il risultato quì, ma fai attenzione a quello che cancelli però.

Di solito postiamo i valori interamente.

Facci sapere, se hai dei dubbi.

[Ivar]

Fatto. Mi ha segnalato una stringa da fixare, ma non ha risolto il problema.