| Precedente :: Successivo |
| Autore |
Messaggio |
whitesquall
Amministratore
Registrato: 26/06/07 15:03
Messaggi: 8413
|
 Inviato: 05 Ott 2007 20:51 Oggetto: possibile infezione Trackware.Alexa |
 |
|
ciao Orange e bdoriano 
ieri, mentre ero in internet, l'anti virus (Norton Internet Security 2007) ha dato un avviso del tipo "Auto-protect ha rilevato la minaccia Trackware.Alexa" ....
dopo un paio di minuti è comparso un altro avviso, che diceva che il rischio era stato "risolto"... fatto sta che controllando sulla cronologia dell'anti-virus (volevo capire che tipo di malware era) ho scoperto che la scelta di Norton era stato "ignora"... contmporaneamente ho controllato i dettagi del malware, e ho visto che apparivano infette 99 chiavi del registro, 1 cache del browser e 2 file (ieplore.exe, mi pare...)
allora ho lanciato la scansione dell'intero sistema e Norton ha rilvevato il malware, e io ho scelto l'opzione "risolvi" piuttosto che "ignora"...
a questo punto dovrebbe essere tutto a posto, ma la questione delle 99 voci del registro infette mi ha spaventato un po'...
potreste dare un occhiata al mio log?
Logfile of HijackThis v1.99.1
Scan saved at 20.27.11, on 05/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Utente\Documenti\Programmi\yodm3D\Yodm3D.exe
C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\podXP\podXP.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Mostra Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Repair Registry Pro] C:\Programmi\Repair Registry Pro\RepairRegistryPro.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\Programmi\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yodm3D] C:\Documents and Settings\Utente\Documenti\Programmi\yodm3D\Yodm3D.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: podXP.lnk = C:\Programmi\podXP\podXP.exe
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Alice - {6CD1628E-BE4C-4C8F-B37A-B61DD597AFA7} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Convalida password di Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 06 Ott 2007 09:22 Oggetto: |
|
|
Ciao Squall, 
Se è solo Alexa, non c'è nulla di cui preoccuparsi. 
Dal log di hijackthis, ti consiglio di eliminare questa voce:
| Citazione: | | O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ |
Per il resto, non vedo nulla di strano.
Per cortesia, posta anche il log di Norton per vedere cosa (e dove) ha trovato. |
|
| Top |
|
|
whitesquall
Amministratore
Registrato: 26/06/07 15:03
Messaggi: 8413
|
| Inviato: 06 Ott 2007 14:00 Oggetto: |
|
|
Ciao e grazie dell'aiuto
purtroppo Norton non lascia dei log... posso solo andare in cronologia di sicurezza... ma le voci infette non possono essere copiate come in un editor di testo 
ecco una schermata, così ti puoi fare un idea di cosa intendo 
posso scorrere l'elenco sotto, ma non posso copiarlo
| Codice: | | O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ |
per curiosità, che cos'è ?   |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 06 Ott 2007 15:09 Oggetto: |
|
|
| Squall ha scritto: | Ciao e grazie dell'aiuto
purtroppo Norton non lascia dei log... posso solo andare in cronologia di sicurezza... ma le voci infette non possono essere copiate come in un editor di testo
ecco una schermata, così ti puoi fare un idea di cosa intendo
posso scorrere l'elenco sotto, ma non posso copiarlo |
Un motivo in più per stare alla larga da Norton... 
Comunque, Alexa viene installato da Windows stesso.
Qualsiasi antispyware (spybot, ad-aware o altri) lo può eliminare senza problemi.
| Squall ha scritto: | | Codice: | | O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ |
per curiosità, che cos'è ? |
Un rimasuglio (leggi spazzatura), infatti è incompleto, nulla di che. |
|
| Top |
|
|
whitesquall
Amministratore
Registrato: 26/06/07 15:03
Messaggi: 8413
|
| Inviato: 06 Ott 2007 15:29 Oggetto: |
|
|
| bdoriano ha scritto: | | Qualsiasi antispyware (spybot, ad-aware o altri) lo può eliminare senza problemi. |
quindi che posso fare?
Norton va in conflitto con gli altri anti-virus o anti-spy
comunque Norton Internet Security 2007 è un pacchetto che comprende anti-virus, firewall e anti-spyware, quindi, dandogli l'opzione "rimuovi" dovrebbe avermelo tolto
| bdoriano ha scritto: | | Comunque, Alexa viene installato da Windows stesso. |
 cioè?
| bdoriano ha scritto: | | Un motivo in più per stare alla larga da Norton... |
lo so, infatti in un altro pc ho messo su i programmi che mi avete consigliato
quando scade l'abbonamento tolgo Norton anche dal mio pc |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 06 Ott 2007 15:51 Oggetto: |
|
|
| Squall ha scritto: | Norton va in conflitto con gli altri anti-virus o anti-spy
comunque Norton Internet Security 2007 è un pacchetto che comprende anti-virus, firewall e anti-spyware, quindi, dandogli l'opzione "rimuovi" dovrebbe avermelo tolto |
Spero di si. 
| Squall ha scritto: | | bdoriano ha scritto: | | Comunque, Alexa viene installato da Windows stesso. |
cioè? |
Quello che ho detto, quando installi Windows XP, viene installata anche Alexa (un file html, se non ricordo male). |
|
| Top |
|
|
whitesquall
Amministratore
Registrato: 26/06/07 15:03
Messaggi: 8413
|
| Inviato: 06 Ott 2007 15:54 Oggetto: |
|
|
| bdoriano ha scritto: | | Squall ha scritto: | | bdoriano ha scritto: | | Comunque, Alexa viene installato da Windows stesso. |
cioè? |
Quello che ho detto, quando installi Windows XP, viene installata anche Alexa (un file html, se non ricordo male). |
intnedevo dire: perché XP comprende un trackware publicitario?
Comunque ti ringrazio per l'aiuto |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 06 Ott 2007 16:05 Oggetto: |
 |
|
| Squall ha scritto: | | intendevo dire: perché XP comprende un trackware pubblicitario? |
Non so, appena vedo Guglielmo Cancelli III glielo chiedo. 
| Squall ha scritto: | | Comunque ti ringrazio per l'aiuto |
Prego! Se hai problemi, fai un fischio.   |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
