Olimpo Informatico

[diegoin]

Innanzitutto, dato che questo è il mio primo post, saluto tutti e mi scuso se questo non è il forum adatto: ho fatto una ricerca (che non mi ha dato risultati utili) sia qui sia in rete. Ecco perché provo con una domanda diretta.

Da qualche giorno, ogni tanto mi compare una finestra (di Norton Security) che mi avvisa che il programma xyzw.1.exe sta cercando di accedere a intenet; la risposta di default è "consenti" perché il programma risulta con un certificato valido.
Il prefisso xyzw cambia ogni volta; l'ultima volta il nome completo era "s1sc.1.exe", ma il prefisso - ribadisco - cambia ogni volta e, talvolta, è cambiato anche il temrine intermedio (1.exe, 2.exe fino a 5.exe).
Ho fatto una breve ricerca ed ho trovato che questo file è nella directory "C:/documents and settings/HP_Porprietario/impostazioni locali/temp" insieme ad altri file, quali (in questo preciso momento):
- s1sc.2.exe
- s1sc.4
- s1sc.5

Se anche li cancello, al prossimo riavvio ne trovo altri. Inoltre, s1sc.1.exe risulta tra i processi attivi che il task manager mi mostra.
La cosa non mi darebbe fastidio più di tanto, se non fosse che ciò accade solo da qualche giorno.

Sapete darmi qualche dritta?
Grazie in anticipo.

[ioSOLOio]

ovviamente avrai un pc adeguatamente protetto con antivirus e antispyware e avrai già fatto una scansione di controllo immagino.

leggo nel percorso che indichi HP_Porprietario...visto che dici che capita solo da qualche giorno, hai installato qualcosa di recente sul tuo pc che ha a che fare con la HP ?
Se neghi la richiesta di accesso a internet cosa capita ?

Hai controllato per bene cosa parte all'avvio ? Eventualmente anche con un programmino come Starter..


la nostra brava ed esperta holifay probabilmente ti consiglierebbe l'uso di HijackThis per controllare eventuali presenze indesiderate..



comunque se queste notifiche compaiono solo da alcuni giorni evidentemente qualcosa di nuovo deve essere successo..
personalmente valuto accadimenti di fatti nuovi come sospetti fino a prova contraria per cui nego loro qualsiasi permesso, tanto più se ciò non crea problemi.

[holifay]

[GrayWolf]

mmmm

quella s iniziale mi ricorda molto il virus Sasser.....
una delle sue caratteristiche o quella di una delle sue varianti,
è quella di replicarsi come exe in tutte le librerie....

posso sbagliarmi, me lo auguro per te...... però........

controlla d avere l'antivirus aggiornato (ioSOLOio dixit)
una delle cose che puoi fare è anche quella di andare sul sito della McAfee
e trovare il tool per rimuoverlo..... male non fa....


ah, benvenuto !

[diegoin]

Innanzitutto grazie delle risposte.
Sì, ho il Norton Security (firewall e antivirus)costantemente aggiornati, e periodicamente faccio andare SpyBot. Nessuno dei due mi ha segnalato niente.
Ora proverò quello che mi avete suggerito.
L'unica novità di questi ultimi giorni è che ho installato un plug-in (di cui ora non ricordo il nome) che proveniva però da una fonte attendibile (lo so, lo so...). L'installazione non era andata a buon fine (mi aveva detto il sistema) e così avevo dimenticato il fatto.

Stamattina poi ho fatto una cosa drastica - spero di non pentirmene in seguito... - e cioé ho fatto una scansione del registro; ho trovato una entry della sezione Local_machine che riportava una serie di valori, di cui uno era appunto il famigerato "1.exe" mentre le seguenti erano cinque o sei di quelle combinazioni di quattro caratteri alfanumerici che menzionavo nel mio post. Non ho cancellato la entry completa ma solo tutti questi valori (incluso il solito 1.exe).

Siccome poi sono stato fuori casa fino a poco fa, ho potuto accendere il pc solo da pochi minuti: fino ad ora il problema non si è ripresentato.

In ogni caso voglio far girare il software che mi suggerite, per vedere se trova qualche traccia. Poi posterò il risultato della scansione.

Grazie ancora.

[diegoin]

Ho fatto girare sia Starter sia hiJackThis, ma adesso sono un po' in difficoltà a leggerli. Sul sito di hiJackThis dice che ora non ha più tempo di leggere i log.

L'unica cosa strana che vedo è questo elemento che è presente nella sezione Registro / Tutti gli utenti / run di Starter (e che si trova anche in hiJackThis (il nome dell'elemento è "rusto"):

rusto "C:\DOCUME~1\HP_PRO~1\IMPOST~1\Temp\s2ng.3.exe"

A qualcuno dice qualcosa?
Grazie per l'aiuto.

PS: Devo postare tutto il file di log prodotto da hiJackThis?

[GrayWolf]

[holifay]

[chemicalbit]

[diegoin]

Ecco il copia e incolla del file di log, dopo aver cancellato dal system tray tutto quello che potevo cancellare.
Per chiarezza devo dire che ho installato programmi di comunicazione con:
- cellulare SE P900
- palmare Sony Clie UX50,
- iPod (di mia figlia)
- Creative Zen (mio)
- sistema altoparlanti creative Lab

e alcuni programmi:
- Norton security (firewall e antivirus)
- sticky (pgm residente per prendere appunti al volo)
- sw per collegamenti wireless

Per la cronaca, questa mattina il problema si è ripresentato e, nella task list di windows vedo attivo il processo "s304.1.exe" (pgm che trovo anche nella solita directory e che risulta anche dal log di hiJackThis).
Sembra proprio che i miei tentativi non abbiano sortito nessun effetto.
Ieri sera mi ero trovato nella parte alta della lista programmi (Start / Tutti i programmi) anche un certo "comunicator.exe" che ho localizzato e cancellato dal pc, dopo aver controllato su internet.

Ecco il log:
Logfile of HijackThis v1.99.1
Scan saved at 11.34.00, on 30/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\Norton Internet Security\ISSVC.exe
c:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\HP\KBD\KBD.EXE
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
c:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Arcadyan Wireless\pctwpasv.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
c:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\HELPEX~1\SMARTB~1\MotiveSB.exe
C:\Programmi\MediaGateway\MediaGateway.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe
C:\PROGRA~1\HELPAN~1\HPQ\XPXWWPP5\plugin\bin\PCHButton.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Sony Ericsson\Mobile\audevicemgr.exe
c:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CapMan.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\ElogErr.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\BROADC~1.EXE
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\SCRFS.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\HP_PRO~1\IMPOST~1\Temp\s304.1.exe
C:\PROGRA~1\SONYER~1\Mobile\AUFILE~1.EXE
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\Ecfmserv.exe
C:\Programmi\Microsoft Office\Office\OUTLOOK.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
C:\New\hiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programmi\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: GoogleTracker - {4BC9A7AC-2329-49D0-B07F-5FE484029DC2} - C:\WINDOWS\system32\gtrack.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: IE Agent - {CC56A1F3-9B83-45FF-8CB6-D58959492F0F} - C:\WINDOWS\system32\kaboom.dll
O3 - Toolbar: Vista HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programmi\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programmi\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Programmi\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Palm MulitUser Config] C:\Programmi\Sony Handheld\Configtool.exe
O4 - HKLM\..\Run: [SoftAP] C:\Programmi\Arcadyan Wireless\NetCfgWizard.exe /U
O4 - HKLM\..\Run: [Wireless SoftAP] "C:\Programmi\Arcadyan Wireless\Configuration\SoftAp.exe" /M
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\HELPEX~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [MediaGateway] C:\Programmi\MediaGateway\MediaGateway.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programmi\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [Creative Detector] C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HELPAN~1\HPQ\XPXWWPP5\plugin\bin\PCHButton.exe
O4 - Startup: HotSync Manager.lnk = C:\Programmi\Sony Handheld\HOTSYNC.EXE
O4 - Startup: Stickys.lnk = C:\Programmi\Stickys\Stickys.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HELPExpress.lnk = C:\Programmi\HELPExpress\bin\matcli.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Monitor conn. telefonica.lnk = C:\Programmi\Sony Ericsson\Mobile\audevicemgr.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programmi\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: www.umts-gprs-mondo-telefonino-cellulare.biz
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/23a08df7c94ddf694605/netzip/RdxIE601_it.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c11.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BE9B2B7C-6680-44E6-9F51-05384AD9C2FF} (MapConnect Control) - http://eu.mywayfinder.com/MapConnect.ocx
O16 - DPF: {C606BA60-AB76-48B6-96A7-2C4D5C386F70} (PreQualifier Class) - file://F:\vadsl\guida\pctester\files\MotivePreQual.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programmi\Norton Internet Security\ISSVC.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - c:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SoftAP WPA Authenticator Service (PCTWPASV) - PCTEL Inc. - C:\Programmi\Arcadyan Wireless\pctwpasv.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

Ancora grazie a tutti per l'interessamento e per l'aiuto, oltre che per l'accoglienza.

[ioSOLOio]

per sicurezza puoi aspettare holifay o procedere come già accennato da lei con la procedura di fix...

rivedo in elenco

[diegoin]

No che non l'ho aggiunto io alla trusted zone. A meno che non l'abbia fatto per errore (ultimamente sto andando in giro per la rete a informarmi perché voglio cambiare il mio cellulare).

Leggendo il log incollato poco sopra, ho visto meglio i link e credo che tre righe siano senz'altro da cancellare; una è quella che dici tu, le altre due sono quelle che fanno riferimento a zango e scorch, che ho trovato essere trojan o simili.

Ora incarico hiJackThis di sistemare il problema e poi riavvio.

[diegoin]

Ho dimenticato di rispondere: sì, ho un pc HP con tutta una serie di programmi che arrivano già installati.
Media Gateway dovrebbe essere (penso) legato a un programma che ho installato e che serve per vedere i canali tv sul pc.

[zius]

ciao diegoin, anch'io sono felice di darti il mio piccolo benvenuto!

Se il tuo problema fosse un .exe che ti spunta tra quelli in esecuzione penserei ad un semplice dialer, ma se dopo averlo eliminato rinasce... mmmhhh

come ha scritto grayWolf ti consiglio una bella scansione con un altro antivirus, vedi quello che ti ha suggerito lui altrimenti fai una scansione "al volo" sul sito della McAfee e se ancora non ci sono risultati (difficile) magari ti scarichi anche STINGER, un antivirus stand-alone frequentemente aggiornato.

Altra cosa:
Personalmente ho imparato a diffidare di Norton, non sempre si è mostrato quel mostro di affidabilità, sia come AV che come Firewall;
in questa discussione e in qualche altra del forum troverai alcune indicazioni utili
idem per InternetExplorer: troppe persone si dilettano a scovarne i buchi prova Firefox o Opera 8)

[holifay]

ti lascio la procedura "sistematica" che andrebbe fatta. Se non hai già risolto, ovviamente


Non ti avevo consigliato di chiudere tutte le applicazioni?

Allora, sarebbe meglio operare dalla modalità provvisoria, se hai XP dovrai disabilitare il ripristino di configurazione (pulsante destro su risorse del computer e spunta la voce) altrimenti non riesci ad entrare.

1 ) scarica da internet DelDomain.inf e salvalo sul desktop
2 ) Disabilita il ripristino di configurazione (pulsante destro su risorse del computer e spunta la voce
3 ) Riavvia premendo F8 per entrare in mod. provvisoria
4 ) Chiudi tutte le applicazioni e disconnettiti da Internet (quindi prima stampa questo post )
5 ) Abilita la visualizzazione dei file nascosti e di sistema (sono 2 flag nel menu di Gestione Risorse: Strumenti\Opzioni\Visualizzazione)
6 ) Apri TaskManager e se attivi termina i processi: MediaGateway.exe e s304.1.exe
7 ) avvia HijackThis e clicca "Do a system scan only"
8 ) Metti un segno di spunta su queste voci e al termine premi "Fix checked"

[diegoin]

Allora... sono un po' demoralizzato, è da dopo pranzo che provo e riprovo ma non sono venuito a capo di niente.

Ho eseguito i passi da 1 a 16 (a proposito avevo chiuso tutti i programmi attivi e quelli del system tray quando avevo lanciato hiJackThis).

Kaspersky mi ha segnalato un po' di virus, tra cui
- uno in kaboom.dll
- uno in gtrack.dll
dei quali mi dice: "Infected: Trojan-Clicker.Win32.Bomka.a "

Ho scaricato Kaspersky, l'ho fatto girare (ho dovuto disabilitare Norton) e ora quello che mi succede è che Kaspersky mi indica che ha rilevato un attacco ogni volta che apro una finestra di windows (una qualsiasi) e mi segnala che i file incriminati sono - appunto - kaboom.dll e gtrack.dll

Che li cancelli io, che li faccia cancellare a lui non cambia niente: la volta seguete che apro una finestra di windows (explorer, file manager, etc), mi capita la stessa cosa.

Non so più che cosa fare. Ho controllato e ho visto che il "ripristino sistema" è ancora disabilitato.
Che cos'altro posso fare?

Grazie per l'aiuto.

[zius]

giusto perchè siamo al weekend oggi ho fatto un giro della salute sul mio pc: Ad-Aware, Spybot, HijackThis, CwShredder, EasyCleaner e Avast (aggiornato a oggi pomeriggio): un simil-dialer rilevato da Spybot, un altro rilevato da Ad-Aware e 1 chiave sospetta rilevata da HikackThis, indovina quale?
Kaboom.dll

L'ho fatto subito secco tramite Hijackthis direttamente e non ho avuto alcun problema e nessun virus rilevato.

Il pc pare funzionare tranquillamente...

DUBBIO
Non è che ultimamente hai ricevuto pure tu un'email che ti invitava a vedere dei "video divertenti" (come in questo topic)?

[diegoin]

A me capita che la cancello (manualmente o tramite hiJackThis) ma poi ricompare alla successiva accensione del pc... non capisco.

Be', Kaspersky mi ha trovato un sacco di cosette che ha sistemato; il disco K, poi, era pieno e l'ho staccato direttamente.

Però mi resta sempre questo problema di kaboom che ricompare a ogni accensione... ricompare in windows/system32 e nelle chiavi di registro.

Mah... non so più che cosa fare.

[zius]

come segnalato su questa pagina di Paolo Attivissimo il virus che ti sei beccato (e che mi ero beccato anch'io a quanto pare ) proviene quasi sicuramente da una mail che induceva a visitare un sito per vedere video divertenti, se i video non si riuscivano a vedere ti consigliavano di scaricare il codec=virus...

a quanto pare esiste un eseguibile sul tuo pc che riproduce questa libreria: come ti dicevo prima, io ne ho stanati due con l'utilizzo incrociato di Ad-Aware e Spybot; dopo ho rimosso kaboom.dll con HijackThis e il problema non si è più presentato.

N.B.
i due eseguibili si trovavano in due punti del disco completamente fuori dal mondo, addirittura su due partizioni diverse ed erano "nascosti" ovvero non visibili.

[diegoin]

Ti ricordi come hai fatto a stanarli? ho scaricato la versione free di Ad-aware e ho aggiornato SpyBot, li ho fatti girare due volte e ora non trova niente di strano; però lo stesso, alla riaccensione vengono rigenerate le entry nel registro e la dll.
Grazie per l'aiuto.