Me lo sono trovato oggi, ma credo che fosse presente già da ieri.
Allora, uso Norton 2k4 ed infatti me l'ha rilevato proprio lui.
Il file è "smsls.exe", ho dovuto riavviare in modalità provvisoria per cancellarlo (ho fatto una ricerca sull'hdd), ho tolto la chiave di avvio dal registro e ho controllato che non ci fosse nessuna operazione di "rinomina" di file infetti in operazioni pianificate.
Kerio mi ha bloccato un tentativo di accesso proprio ad operazioni pianificate, fra l'altro.
Cmq, adesso non mi si apre più la pagina di symantec e quando ci provo leggo per un attimo nella status bar di explorer che punta all'ip locale.
Sto usando il fix di norton per questo virus e sto aggiornando il windows con l'update.
Ho Win2K SP3 (mea culpa, non ho ancora il 4 :rolleyes: ).
Suggerimenti?

Vai QUI (http://www.trendmicro.com/download/dcs.asp) e scaricati il Sysclean Package (quello da 1.6 Mb).
Vai anche QUI (http://www.trendmicro.com/download/pattern.asp) e scaricati il file lpt877.zip.
A questo punto creati una nuova cartella sul desktop e ficcaci dentro SYSCLEAN.exe ed il contenuto del file zip appena scaricato.
Esegui Sysclean.exe a premi il pulsante SCAN e fallo lavorare.
Fammi sapere se hai risolto!
Ciao

Originariamente inviato da ring
Vai QUI (http://www.trendmicro.com/download/dcs.asp) e scaricati il Sysclean Package (quello da 1.6 Mb).
Vai anche QUI (http://www.trendmicro.com/download/pattern.asp) e scaricati il file lpt877.zip.

Non trovo nulla, punta sempre in locale, possibile? :rolleyes:

Guarda, io ho provato anche adesso e funziona.
Ti posso postare i link, poi tu fai un copia-incolla.

1° link: http://www.trendmicro.com/download/dcs.asp

2° link: http://www.trendmicro.com/download/pattern.asp

Prova e fammi sapere!

Ciao

Originariamente inviato da ring
Guarda, io ho provato anche adesso e funziona.
Ti posso postare i link, poi tu fai un copia-incolla.

1° link: http://www.trendmicro.com/download/dcs.asp

2° link: http://www.trendmicro.com/download/pattern.asp

Prova e fammi sapere!

Ciao


Provato, ma evidentemente il virus mi ha modificato qualcosa nel registro, perchè se punto ad una di queste pagine nella barra di stato leggo che si connette in locale.

EDIT: in basso mi compare la scritta "connessione al sito: 127.0.0.1"

Allora dammi una mail e ti mando tutto lì.
Fai conto che servono circa 5,6 Mb di spazio.
Ciao

Originariamente inviato da ring
Allora dammi una mail e ti mando tutto lì.
Fai conto che servono circa 5,6 Mb di spazio.
Ciao

Ok.
mail in pvt. :)

OK.
Ti mando tutto lunedì mattina!

Originariamente inviato da ring
OK.
Ti mando tutto lunedì mattina!

Grazie.
Mettilo ben in evidenza nel subject della mail, altrimenti con le migliaia di spam che mi arrivano rischio di cancellarla per errore. :)

Originariamente inviato da Grem
Provato, ma evidentemente il virus mi ha modificato qualcosa nel registro, perchè se punto ad una di queste pagine nella barra di stato leggo che si connette in locale.

EDIT: in basso mi compare la scritta "connessione al sito: 127.0.0.1"

si' il worm ha inserito nel file hosts il riferimento locale ai siti dei produttori antivirus e quindi non ti apre l vera pagina ma una pagina bianca sul tuo HD

cioe'
127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 www.avp.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.viruslist.com
127.0.0.1 www.trendmicro.com

Originariamente inviato da nait
si' il worm ha inserito nel file hosts il riferimento locale ai siti dei produttori antivirus e quindi non ti apre l vera pagina ma una pagina bianca sul tuo HD

Ah ecco. Grazie. :)
Provo a cancellare sto file e vedo che succede.

Prova anche il tool della symantec, a volte funziona

http://forum.gladiator-antivirus.com/index.php?act=ST&f=110&t=14152&st=0#entry47673

Originariamente inviato da MrOZ
Prova anche il tool della symantec, a volte funziona

http://forum.gladiator-antivirus.com/index.php?act=ST&f=110&t=14152&st=0#entry47673

Grazie. :)
L'ho già provato, avevo scaricato proprio dal tuo link, e non m'ha trovato nulla. Cmq adesso il prob è solo ripristinare l'indirizzamento corretto per gli url modificati. :rolleyes:

Originariamente inviato da ring
Allora dammi una mail e ti mando tutto lì.
Fai conto che servono circa 5,6 Mb di spazio.
Ciao

Risolto, funzionano di nuovo gli url.
Adesso scarico, non c'è bisogno che me li mandi per mail, ma grazie lo stesso. :)