[virus] pingo ma non naviga

[yyzyyz]

allora, ho un pc con installato norton2003 agg. , quando apro l'antivirus mi segnala un errore sul campo email, gia' questo mi fa capire la macchina potrebbe avere ke un virus, (in scansione ne ha rilevato 443 sempre uguale ma il problema persiste) il problema è ke il pc pinga il il router ma nn naviga ho provato di tutto, avete qualke idea su cosa potrebbe essere ?

ciao

[Habanero]

comincia con la trafila tradizionale:
http://forum.html.it/forum/showthrea...hreadid=811189

[yyzyyz]

tutto gia' fatto, cmq se puo' esservi utile:
1) OS xp home sp2
2) non naviga su internet (ma vedo la rete)
3) (in safe mode) scansione norton2003 , microsoftAntispy, S&D,
AD-aware,CWShredder, HijackThis,(tutti aggiornati)
4)

Logfile of HijackThis v1.99.0
Scan saved at 9.32.59, on 30/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\RunDll32.exe
D:\Programmi\File comuni\Symantec Shared\ccApp.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Programmi\Messenger\msmsgs.exe
D:\WINDOWS\twain_32\A4S2600X\WATCH.exe
D:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
D:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
D:\WINDOWS\system32\cisvc.exe
D:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
D:\Programmi\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\tcpsvcs.exe
D:\WINDOWS\System32\snmp.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmi\File comuni\Symantec Shared\NMain.exe
C:\HIJACK REMOVE\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [taskmanager] c:\windows\taskmgr.com
O4 - HKLM\..\Run: [ccApp] "D:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [gcasServ] "D:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\RunServices: [RegisterDropHandler] D:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "D:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: Watch.lnk = D:\WINDOWS\twain_32\A4S2600X\WATCH.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'd:\programmi\newdotnet\newdotnet6_38.dll' missing
O23 - Service: C-DillaSrv - C-Dilla Ltd - D:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager - Symantec Corporation - D:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - D:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect - Symantec Corporation - D:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - D:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe

[amvinfe]

sicuro che HijakcThis sia aggiornato? A me non sembra.

ah, per cortesia quando inserisci un log di HJT evita di farlo servendoti del "CODE", grazie per questa volta l'ho modificato io.

[yyzyyz]

skusa nn mi ero akkorto

cmq tornando al discorso sto provando a fare una scansione in rete con un norton2005 rilevo altri spyaware, ora sto provando qualke fix della symantec sul link : http://securityresponse.symantec.com...ools.list.html

vi terro' informati.

[MarKK]

che impostazioni di rete hai?

[ragio]

Prova a stoppare il servizio IPSec

[Habanero]

Originariamente inviato da ragio
Prova a stoppare il servizio IPSec

e in base a cosa scusa? se non gli serve puo' anche disabilitarlo ma non vedo cosa c'entri col suo problema.


yyzyyz fa come ti ha detto amvinfe ed usa la versione aggiornata di HJT.


In particolare vedo una voce O4-RUN che avvia un taskmgr.com in system32 che non è proprio bello per niente...

[yyzyyz]

azz... sai ke nn avevo notato ke taskmgr.com doveva essere taskmgr.exe (mi ha fregato)
cmq ho risolto facendo un ripristino dell'os, anke xchè avevo poko tempo, cmq grazie a tutti x gli aiuti.

ps. a ke serve il servizio ipsec e come lo stoppo ?

[holifay]

Originariamente inviato da yyzyyz

ps. a ke serve il servizio ipsec e come lo stoppo ?

IPSec è l'abbrevazione di Internet Protocol Security. E' un protocollo, gestito da windows come un processo, che è usato per garantire la sicurezza dei dati durante le trasmissioni nelle reti, per lo più in ambito aziendale (devi fare login su domini NT?). In teoria - ed anche in pratica- si può anche sfruttare per proteggere il PC, definendo regole di filtrazione per il traffico in ingresso/uscita tramite opportune combinazioni di protocollo+porta.

Un po' di informazioni, se ti interessano, sono qui:
http://www.securityfocus.com/infocus/1519

La disabilitazione è come per tutti gli altri servizi: digita da avvio\esegui o da finestra Dos: services.msc, seleziona il processo e disabilitalo.