Pagina 1 di 1

Problema con ccapp.exe e explorer.exe

MessaggioInviato: mer nov 22, 2006 1:11 pm
da isotta
Premetto che scrivo qui xchè ho già fatto una ricerca nel forum e avendo trovato un topic similare (ma non ho risolto il problema) credo sia un problema di sicurezza e non di SO.
Veniamo a dunque: ----XP prof sp2, norton internet security 2004----
all'accensione capita che il tutto si blocchi dopo aver caricato sino alla barra degli strumenti; resetto e task manager mi dice che ccapp.exe non risponde, se clicco "Termina adesso" viene un'altra finestra con explorer.exe non risponde, clicco ancora "Termina adesso" e finalmente spengo la macchina.
Ho già scansionato con ad-aware, ccleaner ma senza risultati ( o perlomeno adesso task manager funziona ieri quando si è presentato il problema dovevo spegnere brutalmente togliendo corrente)
Come si usa vi riporto il log di hijackthis:
can saved at 11.16.58, on 22/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\Norton Internet Security\ISSVC.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE
C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programmi\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Programmi\AntiMALWARE\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.thecopperlink.com/services/m ... dex.php.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/defau ... l=it&s=gen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www1.euro.dell.com/content/defau ... l=it&s=gen
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\Amministratore2\1121151525.dll
O2 - BHO: (no name) - {24DB2781-DACB-B78D-DEFB-15FCC05D44E3} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [IAAnotif] C:\Programmi\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB002" /M "Stylus D88"
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programmi\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [PrevxRootkitRemovalTool] "C:\Documents and Settings\Amministratore2\Impostazioni locali\Temporary Internet Files\Content.IE5\4RTIDIYV\91B7E23[1].exe" -scan
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{894BE4F4-6AA6-4B3F-B938-7B32381700A9}: NameServer = 62.211.69.150 212.48.4.15
O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Programmi\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor - Intel Corporation - C:\Programmi\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: ISSvc - Symantec Corporation - C:\Programmi\Norton Internet Security\ISSVC.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Intel NCS NetService - Intel(R) Corporation - C:\Programmi\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

Grazie se qualcuno vorrà o potrà rispondere
Simone

Re: Problema con ccapp.exe e explorer.exe

MessaggioInviato: mer nov 22, 2006 2:06 pm
da crazy.cat
Se non è il gromozon è il suo fratello minore il gromoz.
Installa Virit e fai la scansione con quello, meglio se dalla modalità provvisoria.
Se ancora non risolve prova con Antivir Pe ieri sono riuscito a farlo fuori con quello.

Le cose che devono sparire sono queste.
Dopo la scansione con virit, prova a riavviare il pc e vedi se le voci con il 02 sono sparite o ricompaiono dopo il riavvio.
Se ritornano prova allora con Antivir Pe.

R3 - Default URLSearchHook is missing
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\Amministratore2\1121151525.dll
O2 - BHO: (no name) - {24DB2781-DACB-B78D-DEFB-15FCC05D44E3} - (no file)
O4 - HKLM\..\Run: [PrevxRootkitRemovalTool] "C:\Documents and Settings\Amministratore2\Impostazioni locali\Temporary Internet Files\Content.IE5\4RTIDIYV\91B7E23[1].exe" -scan
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -

Vediamo poi se eliminando il virus spariscono anche gli altri problemi

MessaggioInviato: mer nov 22, 2006 2:16 pm
da Amantide
Il file ccapp.exe fa parte del Norton e penso che va in tilt per la presenza di Gromozon ed un dialer, quindi eliminando i file infetti si dovrebbe ristabilire, anche se ti consiglio di mettere un antivirus alternativo, se non vuoi continuare a farti male, continuando ad usare Norton.

Per eliminare tutti i componenti di questo trojan affidati a questa guida.
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\Amministratore2\1121151525.dll

MessaggioInviato: mer nov 22, 2006 5:17 pm
da isotta
Scansione con virit e qualcosa ha trovato (ecco il log):
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
22/11/2006 - 14:30:38
SCANSIONE DEL REGISTRO]
{33331111-1131-1111-1111-611111193428} Infetto da Trojan.Win32.Agent.ZH
* * * RIMOSSO * * *
{33331111-1111-1111-1111-615111193427} Infetto da Trojan.Win32.Agent.ZH
* * * RIMOSSO * * *
{14D1A72D-8705-11D8-B120-0040F46CB696} Infetto da BHO.Agent.AZ
* * * RIMOSSO * * *
{2a6af021-17a2-4014-8624-cf6015f82fad} Infetto da BHO.Agent.BA
* * * RIMOSSO * * *

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\Documents and Settings\Amministratore2\1121151525.dll Infetto da BHO.Agent.AZ
* * * RIMOSSO * * *
C:\WINDOWS\10523110096.exe Infetto da Trojan.Win32.Small.NE
* * * RIMOSSO * * *
C:\WINDOWS\hfjqa1.dll Infetto da BHO.LinkOptimizer.I
* * * RIMOSSO * * *
C:\WINDOWS\service32.exe Infetto da Trojan.Win32.Small.NE
Contattare il Supporto Tecnico TG Soft
C:\WINDOWS\sys32exploer.dll Infetto da Trojan.Win32.Small.NE
Contattare il Supporto Tecnico TG Soft
C:\WINDOWS\system32\pyaa.dll Infetto da BHO.Agent.BD
* * * RIMOSSO * * *

Chiavi Registro infette: 4.
Files Infetti: 6.
Files Sospetti: 0.
Files Analizzati: 29087.
Files Totali: 29087.
Chiavi Registro rimosse: 4.
Virus Rimossi: 4.




22/11/2006 - 15:12:36

[SCANSIONE DEL REGISTRO]
OK
[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
C:\WINDOWS\service32.exe Infetto da Trojan.Win32.Small.NE
* * * RIMOSSO * * *
C:\WINDOWS\sys32exploer.dll Infetto da Trojan.Win32.Small.NE
* * * RIMOSSO * * *

Chiavi Registro infette: 0.
Files Infetti: 2.
Files Sospetti: 0.
Files Analizzati: 29089.
Files Totali: 29089.
Chiavi Registro rimosse: 0.
Virus Rimossi: 2.

Sono 2 scansioni xchè la prima non l'ho fatta in modalità provvisoria.

Il problema sembra essere sparito (ho riavviato 2 volte senza problemi)
però dal log di hijackthis non sono spariti gli O2 e O4 come diceva CRAZY CAT. Allego:
Scan saved at 16.06.44, on 22/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\Norton Internet Security\ISSVC.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE
C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programmi\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\AntiMALWARE\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.thecopperlink.com/services/m ... dex.php.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/defau ... l=it&s=gen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www1.euro.dell.com/content/defau ... l=it&s=gen
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {24DB2781-DACB-B78D-DEFB-15FCC05D44E3} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [IAAnotif] C:\Programmi\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB002" /M "Stylus D88"
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programmi\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [PrevxRootkitRemovalTool] "C:\Documents and Settings\Amministratore2\Impostazioni locali\Temporary Internet Files\Content.IE5\4RTIDIYV\91B7E23[1].exe" -scan
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{894BE4F4-6AA6-4B3F-B938-7B32381700A9}: NameServer = 62.211.69.150 212.48.4.15
O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Programmi\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor - Intel Corporation - C:\Programmi\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: ISSvc - Symantec Corporation - C:\Programmi\Norton Internet Security\ISSVC.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Intel NCS NetService - Intel(R) Corporation - C:\Programmi\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

Conviene fare ancora una scansione, magari con antivir?
Aspetto ancora i Vs (preziosi a giudicare dai risultati) consigli.
Grazie e ciao

MessaggioInviato: mer nov 22, 2006 5:38 pm
da Amantide
Fai anche la scansione con i tools di rimozione della Prevx e della Symantec, i link e la guida completa li trovi qui.

MessaggioInviato: mer nov 22, 2006 6:14 pm
da crazy.cat
Se guardi uno dei 02 è sparito ed è stato eliminato da virit.

Rifai la scansione con hijackthis e metti il flag nelle caselle di queste righe e poi premi fix.
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {24DB2781-DACB-B78D-DEFB-15FCC05D44E3} - (no file)
O4 - HKLM\..\Run: [PrevxRootkitRemovalTool] "C:\Documents and Settings\Amministratore2\Impostazioni locali\Temporary Internet Files\Content.IE5\4RTIDIYV\91B7E23[1].exe" -scan

Per sicurezza fai la scansione con il tools della prevx ma direi che il virus se ne dovrebbe essere andato.

MessaggioInviato: ven nov 24, 2006 1:43 pm
da isotta
Grazie per le dritte. Il problema principale sembra essere risolto.
Ora però succedono due cose "strane" che non saprei dire se sono una conseguenza:
1)ad ogni apertura di iexplorer compare sempre la "Yhaoo toolbar" sotto la barra degli indirizzi di IE;
2) In basso a destra i due computerini della connessione sono continuamente accesi, anche se chiudo IE. Sto forse trasmettendo qualcosa?

Se riuscite a darmi una mano anche con questo... Grazie

MessaggioInviato: ven nov 24, 2006 1:51 pm
da Amantide
isotta ha scritto:1)ad ogni apertura di iexplorer compare sempre la "Yhaoo toolbar" sotto la barra degli indirizzi di IE;

Se non la desideri, basta che vai su Installazione applicazioni e la disinstalli da li.
isotta ha scritto:2) In basso a destra i due computerini della connessione sono continuamente accesi, anche se chiudo IE. Sto forse trasmettendo qualcosa?

Anche i vari programmi usano la connessione, per esempio per fare gli aggiornamenti: antivirus, firewall, e tanti altri programmi...
Raramente sono i malware a trasmettere i dati ai malintenzionati, questo ci risolve installando un buon firewall.

Ti do 2 consigli: lascia perdere IE e passa ad Opera o Firefox, ed anche il Norton non è la scelta migliore. [8D]

MessaggioInviato: ven nov 24, 2006 4:09 pm
da isotta
Fastidio 1) risolto!!! Grazie
Problema 2) non mi spiego come mai scarichi tutti questi aggiornamenti solo ora, sino al giorno prima che mi succedesse quanto sopra non avevo questo scambio così intenso di byte... [sbigot]
Ho bloccato gli aggiornamenti di XP e non ho installato nuovi programmi da martedì...
Comunque mi sto adoperando per fare tesoro dei tuoi consigli.

MessaggioInviato: ven nov 24, 2006 4:21 pm
da Amantide
isotta ha scritto: 2) non mi spiego come mai scarichi tutti questi aggiornamenti solo ora, sino al giorno prima che mi succedesse quanto sopra non avevo questo scambio così intenso di byte... [sbigot]
Ho bloccato gli aggiornamenti di XP e non ho installato nuovi programmi da martedì...

Forse non te n'eri mai accorta. Se ti faccio la lista dei programmi che ti partono all'avvio e scaricano gli aggiornamenti.. rimarrai sbalordita [:-D]

Intanto queste voci puoi disabilitare, non sono essenziali all'avvio e cosi ridurrai leggermente il traffico sospetto. Basta che rifai la scansione con hijackthis, selezioni queste voci e premi Fix checked:
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"

MessaggioInviato: ven nov 24, 2006 4:48 pm
da isotta
Non prendere male la mia testardaggine, ma quello che voglio dire è (giuro e spergiuro) che tutto sto movimento prima non c'era.
Non esiste la possibilità di vedere che tipo di dati e a chi stanno andando?

MessaggioInviato: ven nov 24, 2006 4:56 pm
da Amantide
Apri il firewall e vedi il log, è la via più breve.

MessaggioInviato: mar dic 12, 2006 8:02 pm
da isotta
Posto per chiudere la discussione. E' tutto OK. Risolti i problemi.
Grazie 1000 ragazzi [:-D]

P.S. x Amantide: abbandono Norton ma vorrei eliminarlo bene, il link presente nel forum per il tool di rimozione non mi funziona. Esistono altri metodi?

MessaggioInviato: mar dic 12, 2006 8:10 pm
da crazy.cat
isotta ha scritto:P.S. x Amantide: abbandono Norton ma vorrei eliminarlo bene, il link presente nel forum per il tool di rimozione non mi funziona. Esistono altri metodi?

Questo funziona

MessaggioInviato: mer dic 13, 2006 11:03 am
da isotta
Se seguo i link mi si apre prima la finestra del service di symantec, se poi al Passaggio 2 cerco di scaricare il tool di Win XP si apre la finestra in ftp ma dopo un po' mi dice" Impossibile trovare il server...etc" succede anche a Voi? E ancora: i due link dal service (per win xp e win ME/98) fanno riferimento allo stesso file Norton_Removal_Tool_9x.exe . Come mai?
Scusate ancora. Giuro che nella prossima vita vado a fare informatica