PDA

Visualizza versione completa : Norman Malware Cleaner - AIUTO


sikano
03-04-2008, 19.04.56
Ciao a tutto il forum ed allo staff di wintricks... vi seguo da una vita :)
Non so se è questo il thread adatto.. nel caso mi scuso se ho sbagliato a postare.
Detto questo Vi pongo il mio problema:
ho eseguito il norman malware cleaner ed ho avuto la disattenzione di eseguirlo in modalità normale (non provvisoria)
nella scansione ha rilevato un trojan che secondo lui andava cancellato (allego log) e nel contempo ha disabilitato alcune chiavi di registro
premetto che il nod32 non ha mai rilevato quel trojan e nessun altro tipo di trojan...
PROBLEMA... la connessione o almeno l'apertura della pagine di internet è lentissima. .spesso non si aprono, preciso che la pagina di WT mi si apriva la volo
allego il log dell'operazione effettuata dal Norman in modalita normale (non provvisoria). C'è UN MODO PER RIPRISTINARE TUTTO COME PRIMA?

Norman Malware Cleaner
Copyright © 1990 - 2008, Norman ASA. Built 2008/03/09 20:10:13

Norman Scanner Engine Version: 5.91.10
Nvcbin.def Version: 5.90.00, Date: 2008/03/09 20:10:13, Variants: 1383781

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Professional 5.1.2600 Service Pack 2
Logged on user:

Set registry value: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = "D:\WINDOWS\system32\perfc000.dat" -> ""
Removed registry value: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\System -> DisableRegistryTools = 0x00000000
Removed registry value: HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVer sion\Policies\System -> DisableRegistryTools = 0x00000000
Removed registry value: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\System -> DisableTaskMgr = 0x00000000
Removed registry value: HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVer sion\Policies\System -> DisableTaskMgr = 0x00000000
Removed registry value: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\System -> NoDispAppearancePage = 0x00000000
Removed registry value: HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVer sion\Policies\System -> NoDispAppearancePage = 0x00000000
Removed registry value: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\System -> NoDispBackgroundPage = 0x00000000
Removed registry value: HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVer sion\Policies\System -> NoDispBackgroundPage = 0x00000000
Removed registry value: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\Explorer -> NoActiveDesktopChanges = 0x00000000
Removed registry value: HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVer sion\Policies\Explorer -> NoActiveDesktopChanges = 0x00000000
Removed registry value: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\Explorer -> NoFolderOptions = 0x00000000
Removed registry value: HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVer sion\Policies\Explorer -> NoFolderOptions = 0x00000000

Scan started: 01/04/2008 18:27:07


Scanning running processes and process memory...

D:\WINDOWS\system32\winlogon.exe(1424) (d:\windows\system32\dataservice.dll!0x01C80000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

D:\WINDOWS\system32\Ati2evxx.exe(1652) (d:\windows\system32\dataservice.dll!0x10000000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

D:\Programmi\IVT Corporation\BlueSoleil\BlueSoleilCS.exe(908) (d:\windows\system32\dataservice.dll!0x10000000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

D:\WINDOWS\system32\svchost.exe(744) (d:\windows\system32\dataservice.dll!0x10000000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

D:\Programmi\ESET\ESET Smart Security\ekrn.exe(1372) (d:\windows\system32\dataservice.dll!0x10000000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

D:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE(388) (d:\windows\system32\dataservice.dll!0x10000000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

D:\WINDOWS\system32\oodag.exe(508) (d:\windows\system32\dataservice.dll!0x003D0000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

D:\Programmi\CyberLink\Shared Files\RichVideo.exe(396) (d:\windows\system32\dataservice.dll!0x10000000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

D:\WINDOWS\system32\Ati2evxx.exe(1048) (d:\windows\system32\dataservice.dll!0x10000000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

D:\WINDOWS\Explorer.EXE(1364) (d:\windows\system32\dataservice.dll!0x10000000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

D:\WINDOWS\system32\taskswitch.exe(2508) (d:\windows\system32\dataservice.dll!0x10000000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

D:\Programmi\Creative\WebCam Control\CAMTRAY.EXE(2616) (d:\windows\system32\dataservice.dll!0x00950000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

D:\Programmi\ASUS\Ai Booster\OverClk.exe(2652) (d:\windows\system32\dataservice.dll!0x10000000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

D:\Programmi\Java\jre1.6.0_05\bin\jusched.exe(2832 ) (d:\windows\system32\dataservice.dll!0x10000000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

D:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE(2852) (d:\windows\system32\dataservice.dll!0x00C90000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

D:\Programmi\VistaDriveIcon\DrvIcon.exe(2864) (d:\windows\system32\dataservice.dll!0x10000000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

D:\Programmi\IVT Corporation\BlueSoleil\BtTray.exe(2896) (d:\windows\system32\dataservice.dll!0x02090000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

D:\Programmi\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe(2908) (d:\windows\system32\dataservice.dll!0x01040000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

D:\Programmi\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe(2916) (d:\windows\system32\dataservice.dll!0x00A10000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

D:\WINDOWS\system32\Rundll32.exe(3012) (d:\windows\system32\dataservice.dll!0x10000000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

D:\Programmi\ESET\ESET Smart Security\egui.exe(3184) (d:\windows\system32\dataservice.dll!0x10000000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

D:\Programmi\Messenger\msmsgs.exe(3228) (d:\windows\system32\dataservice.dll!0x10000000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

D:\Programmi\Windows Live\Messenger\MsnMsgr.Exe(3412) (d:\windows\system32\dataservice.dll!0x01A20000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

D:\Programmi\NLauncher\NLauncher.exe(3432) (d:\windows\system32\dataservice.dll!0x00B50000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

..seguono altri programmi rilevati con lo stesso trojan

D:\Programmi\JGsoft\EditPadLite\EditPad.exe(1100) (d:\windows\system32\dataservice.dll!0x00C00000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)

Number of processes/threads found: 3411
Number of processes/threads scanned: 3410
Number of processes/threads not scanned: 1
Number of infected processes/threads terminated: 0
Total scanning time: 1m 45s


Scanning file system...

Scanning: C:\*.*

C:\System Volume Information\_RESTO~1\RP353\A0144530.EXE (Infected with W32/DLoader.AISD)
Deleted file

C:\System Volume Information\_RESTO~1\RP353\A0144735.exe (Infected with Suspicious_F.gen)
Deleted file

C:\System Volume Information\_RESTO~1\RP358\A0166017.EXE (Infected with W32/DLoader.AISD)
Deleted file

C:\System Volume Information\_RESTO~1\RP358\A0166222.exe (Infected with Suspicious_F.gen)
Deleted file


Running post-scan cleanup routine:

Number of files found: 1799
Number of archives unpacked: 0
Number of files scanned: 1799
Number of files not scanned: 0
Number of files skipped due to exclude list: 0
Number of infected files found: 4
Number of infected files repaired/deleted: 4
Number of infections removed: 4
Total scanning time: 1m 40s

chiedo scusa per la lunghezza del post

PS
ho un portatile e l'apertura delle pagine è normale, quindi escludo un problema di connessione.

il file dataservice.ddl cosa è?

Grazie

leofelix
04-04-2008, 03.43.52
ciao sikano benvenuto nel forum di wintricks,
il file "dataservice.dll" è una libreria dinamica di Microsoft Visual Studio.Net, cfr:
http://www.processlibrary.com/directory/files/dataservice/335959
e
http://www.programchecker.com/file/8874.aspx

Io ho il sospetto che tu abbia eseguito il Norman Malware Cleaner anche con la protezione residente attiva del NOD32.
A quanto pare il tool avrebbe eliminato anche questo file che fa parte del NOD32
"D:\Programmi\ESET\ESET Smart Security\ekrn.exe(1372) (d:\windows\system32\dataservice.dll!0x10000000) (Infected with W32/Agent.EAZV)
File marked for defered cleaning (reboot required)"
considerandolo infetto...
E anche dei file di sistema come "svchost.exe" che è per altro anche nella directory giusta, quindi teoricamente non dovrebbe essere infetto..

Penso quindi si tratti di un falso positivo causato da un conflitto tra il tool e il NOD32: sarebbe buona norma difatti lanciare un qualsiasi virus removal tool (*) disattivando prima temporaneamente qualsiasi programma di sicurezza attivo e solo quando si sospetta che il sistema sia infetto.

Ora se tu non hai già riavviato Windows dopo l'uso del Norman Malware Cleaner, dovrebbe essere sufficiente cliccare su "riavvia il sistema", poco dopo premi il tasto F8 (più volte se necessario), ti si dovrebbe presentare un menu con alcune opzioni: scegli quella dove troverai scritto "riavvia il sistema dall'ultima configurazione funzionante"

Se quei files non sono stati di fatto eliminati, il problema dovrebbe essere risolto. (Mi auguro e questo sempre se il sistema non era effettivamente infetto)
------------
In ogni caso, ce la fai a scaricare il Trend Micro HiJackThis

http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

sul desktop, fargli fare una scansione e postarne il LOG qui? (basta un copia e incolla del risultati, questo aiuterà a capire cosa accade al tuo portatile Asus)

-------
(*) farei eccezione per il PREVX CSI ( http://www.prevx.com/freescan.asp ) che tuttavia non disinfetta il sistema, a meno che non si paghi il programma stesso, ma rimane sempre un ottimo - non infallibile - strumento di rilevazione malware

sikano
04-04-2008, 09.15.15
Ciao Leofelix, innanzi tutto grazie per la risposta
debo precisare che la scanzione con NMC è stata fatta in data 31/03/2008 e subito dopo essermi accorto della lentezza di apertura pagine internet, ho fatto un rispristino di sistema ma senza nessuna miglioria, infatti il responso era 'nessuna modifica è stata effettuata".
preciso che attualmente il sistema è stabile e che l'unico problema riscontrato è nelle aperture delle pagine internet.
il dubbio che mi sorge è relativo alle chiavi di registro che il NMC ha eliminato... se non lo risolvo.. mi troverò costetto a passare a vista o ad reinstallare XP

Sergio Neddi
04-04-2008, 13.21.02
Mah, in realtà il ripristino di sistema ripristina anche il registro, quindi le chiavi non dovrebbero essere andate perse.

leofelix
05-04-2008, 14.51.13
Mah, in realtà il ripristino di sistema ripristina anche il registro, quindi le chiavi non dovrebbero essere andate perse.

già è quello che sapevo anche io...
non sapendo quale browser usa il ns nuovo amico, e presupponendo che naviga con Internet Explorer 6.0/7.0, potrebbe tentare di installare Opera ( www.opera.com ) che è al momento uno dei browsers più veloci e sicuri, oltre che gratuiti e disponibili anche in italiano, o Firefox ( http://www.mozilla-europe.org/it/ ) che è anche open source e a mio modesto avviso più personalizzabile, più intuitivo e sicuro con le giuste estensioni ("no script" e "adblock plus" intendo)... ma che occupa più RAM (problema risolto già nelle versioni 3.0 dalla beta 3 in poi)
e controllare se il fenomeno da lui riscontrato si verifica ancora.

Potrebbe anche dare una bella pulita ai files temporanei e cronologia di navigazione per esempio con leggero e gratuito CCleaner, e magari anche fargli fare anche una pulizia del registro accurata e sufficientemente sicura.

http://www.ccleaner.com/download/builds

;)

sikano
10-04-2008, 20.23.21
Ciao ragazzi
scusate il ritardo ma tra il lavoro ed altro non ho avuto modo di dedicarmi al mio amato pc.
Credo di aver risolto il problema della navigazione, ripristinando il sistema a 5 gg prima della scansione con NMC. Tutto ok
Grazie per le rapide risposte

PS
NMC usato in modalita provvisoria è il migliore di tutti... in ufifcio ha rilevato molti trojan e malware
WINTRICKS... continua cosi:)

Sergio Neddi
10-04-2008, 23.20.12
Provando su un paio di PC di clienti NMC non ha trovato nulla... dipende sempre da che malware c'è in giro. In compenso NMC era rilevato da PrevxCSI come malware! :D:D:D

leofelix
11-04-2008, 16.28.32
Provando su un paio di PC di clienti NMC non ha trovato nulla... dipende sempre da che malware c'è in giro. In compenso NMC era rilevato da PrevxCSI come malware! :D:D:D

Anche il KAV 7.0 rileva il PREVX CSI come Trojan.Dowloader..
sto meditando di abbandonare anche il KAV mumble :wall: