Olimpo Informatico

[spaceoddity]

Facendo la scansione del PC con Norton Antivirus aggiornato quotidianamente, il programma non mi rileva alcuna intrusione delle diverse specie esistenti, vale a dire virus, malware, spyware, adaware e tutti gli altri che riconosce.

All'uso ed all'aggiornamento continuo del Norton aggiungo l'uso e l'aggiornamento continuo di programmi quali Ad-Aware, Spybot e Norton Internet Security, che come detto uso e aggiorno ogni giorno.

Nonostante questo, il pc non riesce a rimuovermi alcune tracce del Virus:

Virus:Trj/Downloader.CQW

che avrei ragione di credere il Norton aggiornato dovrebbe riconoscere. Dico avrei non per caso perchè solamente facendo la scansione on line dal sito del Panda Antivirus, questo mi rileva sistematicamente le suguenti parti infette:

Virus:Trj/Downloader.CQW Disinfettato C:\WINDOWS\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\file\my.class-dc825cc-6aa5de44.class
Virus:Trj/Downloader.CQW Disinfettato C:\WINDOWS\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\file\my.class-dc825cc-61b02017.class
Virus:Trj/Downloader.CQW Disinfettato C:\bla.exe

Il mio sistema operativo è Windows 98 SE e ho già provato alcune applicazioni per rimuvere questo virus, quali HyJackThis, CCCleaner e TheCleaner.

Se diversamente effettuo la scansione on Line dal sito Trend Micro del Pc Cillin antivirus, i file infetti non vengono rilevati.

Cosa posso fare?

Premetto che nell'uso del registro di windows e nella rimozione delle voci, le mie competenze sono limitate.

Anticipo i miei ringraziamenti per ogni risposta.

[spaceoddity]

A quanto già sopra detto, aggiungo che numerose volte durante la giornata, mi accade che il Firewall del Norton Internet Security mi segnali un tentativo di intrusione utilizzando:

Regola "Blocca condivisione file di Windows" bloccata (213.213.230.44,netbios-ssn(139))
Connessione TCP in entrata
Indirizzo locale, servizio: ("NOMECOMPUTER"(213.213.61.191),netbios-ssn(139))
Indirizzo remoto, servizio: (213.213.230.44,4872)
Nome processo: "C:\WINDOWS\System32\svchost.exe"

Mi chiedo, è normale che mi accada visto e considerato che sono un semplice utente che usa privatamente il pc e che i tentativi durante una giornata normale sono almeno cinque? In alcuni casi il Firewall mi ha indicato che l'ipotetico attacco provenisse dalla California.

[fdd]

Relativamente all'svchost.exe se ne è già parlato qui.
Relativamente all'infezione, ti posso dire che anche a me in passato è capitato una volta o due che l'housecall non rilevasse nulla mentre il Panda si, che poi è la ragione che spinge ad utilizzare congiuntamente Ad-Aware e Spybot, quindi questa non è una cosa anomala o preoccupante in se.
Quando dici che non riesci ad eliminarlo, mi sembra di capire che pur venendo "disinfettato", questo trojan (ma il file bla.exe pare sia associato anche a dei virus) si ripresenta. Per caso hai rilevato rallentamenti o comportamenti anomali del browser (ad esempio dei ridirezionamenti)? Se cancelli il file bla.exe per caso ricompare quando ti connetti ad internet?

[holifay]

Ti consiglio questa procedura:

1) entra in windows in modalità provvisoria (se hai XP devi prima disabilitare il ripristino di sistema)

2) esegui scansione completa con Antivirus aggiornato, Spybot e ADaware. Controlla eventualmente di non aver listato per errore qualche applicazione o qualche voce di registro tra quelle da ignorare (in Spybot si trovano in impostazioni). Un altro valido tool antispyware, è Counterspy . Puoi provarlo, ma è shareware.

3) Chiudi tutte le applicazioni e fai un log con Hijach This. Se vuoi posta il file di log, che gli diamo un'occhiata.

Per quanto riguarda i tentativi di accessi dall'esterno anche il mio firewall ne segnala in continuazione, in particolare dal brasile, ma anche dalla germania, india, UK, slovenia o belgio (come nel tuo caso). E' la dura legge di Internet: occorre difendersi ...

.

[fdd]

[Shannara]

Prova a controllare cosa viene avviato col sistema.





-

[Gateo]

Per la parte sotto java devi lanciare il Java tramite l'apposita icona , clicchi su cache e successivamente su cancella; per il resto ti conviene scaricarti l'ultimissimo AVGfree (in fondo alla pagina), installarlo, andare possibilmente in modalita provvisoria e lanciare una scansione su tutto il disco fisso. E' anche consigliabile cancellare, sempre da modalita' provvisoria, i file temporanei sia di windows che di internet, nonche il contenuto di Downloaded program files.

[holifay]

[spaceoddity]

Finalmente, ma non sò se posso dire così', il Norton pare rilevi il Virus che in realtà non è un virus degli ultimi giorni ma la sua nascita è già datata di qualche anno.

Mi domando quindi perchè non lo riconoscesse fino ad un paio di giorni fà.

Comunque, il fatto è che dalla prima volta che lo ha riconosciuto, avvenuta nel dopo cena circa alle 21.30 quando accendendo il pc mi sono connesso ad internet ed ho aperto il browser sulla pagina iniziale predefinita, vale a dire Virgilio, succede che, il virus viene eliminato ma tutte le sere alla stessa ora il problema si ripresenta.

Norton, con una finestra aperta automaticamente, mi informa che l'attività del virus è stata interrotta ed i files eliminati. Io me ne stò col pc pulito (ho fatto anche delle scansioni ad orari diversi) fino all'indomani, quando riaccendendo il pc dopo cena si ripresentano le due stesse identiche finestre che mi informano di aver bloccato ed eliminato il virus.

Dico riacceso non per caso, perchè comunque il pc era stato acceso e connesso ad internet sempre passando da Virgilio anche nelle ore precedenti alla cena. Ma alle 21.30 il problema da qualche giorno si ripresenta.

E' possibile che sia legato davvero all'orario? O c'è un qualcosa che non capisco?

[holifay]

[fdd]

Se il problema rilevatoti dal Norton è, come indicato nel tuo primo messaggio sempre relativo al file bla.exe presente sul root di C, allora potresti prova una cosa.
Da qualche parte ho letto, naturalmente non mi è dato verificare, che cancellando il file esistente e creandone uno (anche vuoto) dallo stesso nome, estensione e nella stessa collocazione si evita che all'atto della connessione ci si reinfetti.
Prova a vedere se funziona.

[horus]

[Gateo]

Ma tu, Spaceoddity, hai provato ad applicare uno dei consigli che ti abbiamo dato?

[SverX]

O addirittura potrebbe essere il Norton a scaricare il virus. Sul Symantec che avevo in ufficio (l'ho tolto in fretta poi...) tutte le volte che scaricava gli aggiornamenti si tirava dietro un trojan... non mi chiedere come facesse...

[holifay]

[SverX]

lol

NON perchè fosse previsto che lo facesse, sia ben chiaro. Solo che è un software e ha dei bachi e alcuni sono stati sfruttati...

[spaceoddity]

Scusate ma non ho potuto connettermi per qualche giorno

Rispondo..

Si, ho provato alcuni dei consigli che mi avete dato, ma nessuno di questi pare proprio poter risolvere il problema. Però, c'è un però:

cambiando la pagina iniziale di explorer, prima impostata su quella principale di Virgilio, in Google il problema non si ripresenta ogni qualvolta apro internet explorer.

Ma la cosa comunque non puo' dirsi conclusa:

1. Anche prima il problema non si presentava se non nell'immediato dopocena aprendo explorer sulla pagina iniziale predefinita Virgilio. In altri momenti della giornata, pur connettendosi alla home page di Virgilio, non accadeva nulla.
2. Se comunque accedo ad uno dei siti annessi a Vigilio, quali Tin.it, quali RossoAlice ecc ecc.. ecco che puntualmente Norton Antivirus 2004 rileva gli stessi identici files infetti.
3. La stessa cosa avviene sui siti di supereva, ed è infatti su supereva che è accaduto la prima volta. Aprendo un sito della rete supereva, ora non piu' esistente, il browser fù dirottato sulla home page di Supereva e di lì arrivò per la prima volta il virus. Sottolineo però che comunque la pagina iniziale era Virgilio, e che quindi ho aperto il sito annesso a Supereva prima che si caricasse la pagina iniziale per intero, probabilmente quindi è stato sempre Virgilio a farlo comparire.

Comunque, tutte le diverse scansioni che mi avete indicato non hanno rivelato alcunchè, e pensandoci è giusto che sia così perchè i files sono infetti solamente nel lasso di tempo che intercorre tra l'apertura dei siti della rete Virgilio e il rilevamento di questi da parte del Norton. Altrimenti il pc pare pulito.


Grazie per i numerosi interventi e consigli.