Ciao a tutti....ho un piccolo problema(sai che novità! direte voi :D )

qualche giorno fa un mio amico mi chiama e mi dice che c'è Norton AV che continua a sparargli fuori alert per un qualche virus.
Io vado a casa sua e dò un'occhiata al pc....faccio fare lo scan a Norton: 5 file infettati (1 da un vir che è riuscito a toglierlo Norton stesso,e 4 da W32.Spybot.worm) dei 4 intettati da Spybot, Norton ne ha riparati solo 3.....l'utlimo era Winsys.exe
vado sul sito della Symantec mi leggo le Removal Instructions e tramite VGA mode sitemo il tutto...
Riavvio....
faccio uno scan ed è tutto ok...
Allora decido di aggiornare win xp scarico una ventina di aggiornamenti e riavvio.....
Per sicurezza decido di fare un'altro scan....Sorpresa!!!!
Quando vado a cliccare l'icona di NAV nella barra delle app. l'icona sparisce(appena ci passo sopra col mouse)....vado da Start-->programmi--->ecc. ma cliccando sul collegamento Norton non parte(anche se la cpu ha un picco di utilizzo per un paio di sec)
Allora pensando che la causa potessero essere gli aggiornamenti di win appena installati, li disintallo....ma niente! il problema rimane....
(ah a proposito....Se faccio ctrl+Alt+Canc il TM appare ma scompare immediatamente, nonostante nella barra delle app. lo segni come presente)
A questo punto penso a un qualche problema di Norton e lo Unistallo e provo a mettere Avg....ma nulla, non me lo fa installare (il problema è che non da nessun messaggio di errore....non lo fa e basta)
Sinceramente non so dove andare a sbattere la testa :muro:
Vi ringrazio già da ora 4yourHelp

Ps:Scusate per la forma ma sono di frettissima.....grazie ancora

ok..andiamo x con calma
a. quando aggiorni il s/o, in auto si crea un punto di ripristino..se quella chiavica del nav non ha tolto tutto, il virus (o il malaware, più in generale), lì ci sta da dio, e non lo tocca nessuno ---> disattiva il ripristino
b. riprova in modalità provvisoria con supporto di rete, magari con uno scan on line
x il resto, sono solo premonizioni, senza un log...

Alcuni virus disattivano i prog di sicurezza, impediscono l'esecuzione del TM, di msconfig, regedit, dei file .exe e quant'altro.

x installare un altro av dopo aver tolto norton, bisogna pulire bene il sistema ed il regigistro dai residui del nav.

http://forum.hwupgrade.it/showthread.php?s=&threadid=541403

http://service1.symantec.com/SUPPORT/INTER/navintl.nsf/cd7fb8d8cddfdb4d85256d8d006a65d7/11ef7190657029b380256e75002fffb7?OpenDocument

Originariamente inviato da The Lenny
ok..andiamo x con calma
a. quando aggiorni il s/o, in auto si crea un punto di ripristino..se quella chiavica del nav non ha tolto tutto, il virus (o il malaware, più in generale), lì ci sta da dio, e non lo tocca nessuno ---> disattiva il ripristino
b. riprova in modalità provvisoria con supporto di rete, magari con uno scan on line
x il resto, sono solo premonizioni, senza un log...

Inanzitutto Grazie per le risposte......
poi.....per "disattiva il ripristino" intenti quello di win?perchè se intendi quello l'ho già fatto....lo scan on line non si puede far porque el mio amigo ha solo l'ADSL free e spenderei milioni di dollari....
I file di Log proverò a farveli avere...(ps:ma sè è un vir che impedisce l'avvio degli .exe come li trovo i log??)


Per MrOZ....Il Norton l'ho disinstallato in maniera completa(era il 2002)....non credo sia quello....

ps:ma sè è un vir che impedisce l'avvio degli .exe come li trovo i log??)

In questo specifico caso bisogna prima riattivare l'esecuzione dei file exe attraverso un file di registro.

potresti provare lo stinger Mcafee

a molti a funzionato contro quel virus...

se non saprei che altro consigliarti se non mettere mano a HijckThis...

Per cancellare chiavi nascoste di programmi disinstallati usate regseeker e' gratuito e in italiano.

Comunque non credo sia ancora lo Spybot.....non so perchè ma è una sensazione:D....cmq nei prossimi giorni potremo vedere i log...speriamo in bene:sperem:

Originariamente inviato da netquik
potresti provare lo stinger Mcafee

a molti a funzionato contro quel virus...

se non saprei che altro consigliarti se non mettere mano a HijckThis...

lo stinger sul sito della McAfee non si trova +....devono averlo rimosso considerato che ritengono "low Risk" questo vermozzolo:muro:

http://vil.nai.com/vil/stinger/


;)

ecco il Log.....qualcuno gli potrebbe dare un'occhiata please?
thanz


Logfile of HijackThis v1.97.7
Scan saved at 16.16.06, on 30/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\winmx.exe
C:\WINDOWS\System32\video_32sD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\OperaMM\Enza2001\ZANBAR.EXE
C:\Documents and Settings\User\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.excite.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [lsasss.exe] C:\WINDOWS\lsasss.exe
O4 - HKLM\..\Run: [Microsoft CONFIG] winmx.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] kwved32.exe
O4 - HKLM\..\Run: [msn] msnmsgr.exe
O4 - HKLM\..\Run: [skynetave.exe] C:\WINDOWS\skynetave.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] systemse.exe
O4 - HKLM\..\Run: [NVIDIA Video drivers] video_32sD.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\avwupv.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\aufvasi.exe
O4 - HKLM\..\RunServices: [Microsoft CONFIG] winmx.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] kwved32.exe
O4 - HKLM\..\RunServices: [msn] msnmsgr.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] systemse.exe
O4 - HKLM\..\RunServices: [NVIDIA Video drivers] video_32sD.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft CONFIG] winmx.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] kwved32.exe
O4 - HKCU\..\Run: [msn] msnmsgr.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [Microsoft Update Machine] systemse.exe
O4 - HKCU\..\Run: [NVIDIA Video drivers] video_32sD.exe
O4 - Startup: Ricerca voci dell'Enciclopedia Zanichelli 2001.lnk = C:\OperaMM\Enza2001\ZANBAR.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38161.3412847222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab

mi sembra che hai virus

leggi qui
http://it.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=59948&VName=WORM_SDBOT.AS&VSect=T

e scarica lo stinger dal link del post sopra...

per hijackthi puoi provare a fixare queste righe...
ma ricorda che hai bisogno si un aiuto antivirus

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
(su questo potrei sbagliarmi)
O4 - HKLM\..\Run: [Microsoft CONFIG] winmx.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] kwved32.exe
O4 - HKLM\..\Run: [skynetave.exe] C:\WINDOWS\skynetave.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] systemse.exe
O4 - HKLM\..\Run: [NVIDIA Video drivers] video_32sD.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\avwupv.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\aufvasi.exe
O4 - HKLM\..\RunServices: [Microsoft CONFIG] winmx.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] kwved32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] systemse.exe
O4 - HKLM\..\RunServices: [NVIDIA Video drivers] video_32sD.exe
O4 - HKCU\..\Run: [Microsoft CONFIG] winmx.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] kwved32.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] systemse.exe
O4 - HKCU\..\Run: [NVIDIA Video drivers] video_32sD.exe
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.com...ebio5_1_6_0.cab

ho già fatto una bella passata con lo stinger, ho disinstallato Norton e messo Acg....aggiornato il tutto, fatto lo scan (17 vir individuati ed eliminati....) Aggiornato win xp...adesso sembra andare tutto a posto...

Ps: "fissare" con HJT significa Eliminare ?

significa selezionare le righe e fare FIX

comunque se hai risolto non ci dovrebbero essere problemi

se vuoi riposta il log nuovo

ho capito che significa cliccare su fix!!!!!!!!!!!:D(non sono babbo fino a questo punto)
chiedevo se "cliccare su fix" comporta l'eliminazione della chiave di registro...(?)

non necessariamente...

per le chiavi si resgistro in run...sì