Olimpo Informatico

pierociriotto · Comune mortale Registrato: 09/07/07 16:01 Messaggi: 3

Salve
sono un nuovo iscritto.
Ho da poco rimosso il Norton Internet Security come suggeritomi dalla mail trasmessa dalla Simantec, al fine di poter installare il Norton Add-On Pack e migliorare la protezione virus.
Con grande sorpresa a seguito della disinstallazione e tentativo di reinstallazione, non sono più riuscito ad installare il Norton Internet Security.
Ho chiamato più volte il Supporto ed alla fine mi hanno detto che devo tenermi il problema, oltre a rivolgeri ad un'associazione per la tutela dei consumatori.
Da notare che in una delle telefonate mi è stato suggerito di eseguire una scansione ed ho verificato che sono stato infettato - pur protetto dalla Norton - dal Troina Anicmoo.
Un tecnico della Norton mi ha suggerito infine di eseguire una "scansione" con hijackthis e di copiare le stringhe su un motore di ricerca... così sono arrivato a voi.
Allego listato.
Logfile of HijackThis v1.99.1
Scan saved at 15.48.31, on 09/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Programmi\File comuni\ACD Systems\IT\DevDetect.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\Programmi\Logitech\SetPoint\SetPoint.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programmi\File comuni\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Utente\IMPOST~1\Temp\Rar$EX79.063\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.intercomp.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [Device Detector] "C:\Programmi\File comuni\ACD Systems\IT\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart17.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferito portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.intercomp.it
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {34F12AFD-E9B5-492A-85D2-40FA4535BE83} (AxProdInfoCtl Class) - http://www.symantec.com/techsupp/activedata/nprdtinf.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://194.243.104.176/ecwplugins/ncs.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54AB7302-1410-490E-8DD4-E2C90C5DDB81}: NameServer = 29.253.128.10,29.253.128.11
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

Vi prego - se potete - di aiutarmi.

Orange · Dio maturo Registrato: 18/02/07 13:20 Messaggi: 2224 Residenza: Roma

benvenuto

Questa è solo un'opinione personale, ma non mi è mai piaciuto Norton... che ne pensi di tirarlo giù del tutto e mettere un antivirus più serio? ce ne sono di ottimi anche in versione free... Rolling Eyes

tornando al tuo problema: il log di HiJack non presenta i malware caricato. quello che ti posso consigliare è:
1. fare la scansione on-line con Trend Micro HouseCall (che eventualmente questo tipo di infezioni li dovrebbe rimuovere)
1a. e già che ci sei, una passata al Trend Micro AntiSpy Razz

2. fare i passaggi indicati in questa discussione e mettere qui i links richiesti.

pierociriotto · Comune mortale Registrato: 09/07/07 16:01 Messaggi: 3

Cara Orange
ti ringrazio per la velocità della risposta.
Ho comunque provato ad attaccarmi al primo link segnalatomi, ma appena si apre la finestra di Trend House in cui si può verificare il mio Pc, mi viene chiesta l'applicazione J2SE Runtime Environment 5.0 Update 3, alla quale rispondo con installa. Di seguito appare un errore in msiexec.exe e la scelta tra Debug, Segnalazione errori o Non segnalare errori. Qualsiasi sia la scelta si attiva la barra rossa in fianco a sx con la scritta Apertura di Trend Micro HouseCall e va avanti all'infinito....
che fare?
Per nuovi antivirus, sono aperto a tutti i consigli (ho sentito parlare bene di Nod e di Avast).

Ancora grato resto in attesa

Orange · Dio maturo Registrato: 18/02/07 13:20 Messaggi: 2224 Residenza: Roma

aris73 · Eroe in grazia degli dei Registrato: 26/04/07 22:33 Messaggi: 102

scusa se dico la mia Wink

ciao orange Very Happy

ma ormai dato che installerà un nuovo av, potrebbe disinstallare il norton, installare AVS, aggiornarlo e da provvisoria col ripristino di configurazione disabilitato scansionare prima con rootkitbuster http://www.trendmicro.com/ftp/products/rootkitbuster/RootkitBusterv1.6-1055.zip
e successivamente con AVS

Orange · Dio maturo Registrato: 18/02/07 13:20 Messaggi: 2224 Residenza: Roma

a bello!!

ciao, Aris! quanto tempo....

aris73 · Eroe in grazia degli dei Registrato: 26/04/07 22:33 Messaggi: 102

non é meglio é diverso, li scova e li rimuove in automatico... rendendo la scansione successiva dell'av molto più efficace

pierociriotto · Comune mortale Registrato: 09/07/07 16:01 Messaggi: 3

Cari Orange ed Aris73, vi ringrazio nuovamente, non riesco a farne a meno...
Ora non sono più al lavoro e quindi non posso eseguire i vostri suggerimenti.
Mi sembra di capire che i canonici strumenti (Internet Explorer e Norton ad esempio) mi qualificano come particolarmente inadatto al lavoro ed alla navigazione sicura.
Domani appena arrivo in ufficio provo immediatamente i suggerimenti.

Ancora grazie e saluti a domattina

bdoriano

ciao pierociriotto, Ciao

solo una cosa:
ricordati che hijackthis va salvato in una sua cartella non temporanea e non sul desktop