Condividi:        

norton.exe - probabile W32.Cazinat@mm

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

norton.exe - probabile W32.Cazinat@mm

Postdi Mikizo » 13/05/04 13:04

Salve.
Premetto che ci ho provato a cercare - anche perchè mi pare cosa già nota - ma purtroppo la ricerca nel forum con "norton.exe" riporta un'enormità di topic inutili che parlano dell'antivirus - e non è questo il caso.

Allora, mi sono accorto che qualcosa non andava perchè Startup Monitor mi ha avvisato che "System Server Manager" aveva tentato di mettere in startup un certo norton.exe. Ovviamente non dò l'autorizzazione e me lo vado a cercare (nessuno crederà che si tratti di Norton AV, vero? E poi è un anno che non ce l'ho più).
Il bastardello stava in C:\WINNT\System32
Provo a cancellarlo ma Win2K mi avvisa che non può perchè il file è in uso - e ti pareva.
Riavvio in modalità provvisoria, lo cancello, riavvio e faccio partire una scansione con AVG che non trova un tubo. (Decido definitivamente che AVG è il peggior antivirus che io abbia mai provato.)
Lancio Ad-Aware e Spybot ma non trovano niente.
Al successivo riavvio mi accorgo che norton.exe è magicamente riapparso in system32 e che di nuovo tenta di mettersi in avvio automatico.
Cerco su Google:
http://www.google.com/search?q=norton.exe
I primi due risultati mi sembrano quelli giusti, ma "stranamente" il browser mi dice che il tentativo di connessione al sito della symantec è stato "rifiutato". Ok, ho capito.
Su altri siti trovo informazioni ma non il tool di rimozione.
Il virus pare essere W32.Cazinat@mm o qualche altro worm simile.
Ultimo tentativo: avvio l'antivirus online di pc-facile (con IE perchè con Firefox il pulsante Scan non è attivo). Sorpresina: la finestra dell'antivirus non si carica e mi riporta la dicitura:
"Interfaccia non caricata -- Devi avere privilegi di amministratore su questo computer: inoltre devi aver impostato Internet Explorer ad un livello di protezione medio. "
Inutile dire che sono amministratore e che il livello di protezione di IE è quello medio....

Help :D :aaah
Grazie
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Sponsor
 

Postdi Mikizo » 13/05/04 13:27

Piccolo aggiornamento:
in modalità provvisoria ho cancellato la chiave System Service Manager (con valore norton.exe) dal registro in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Postdi Dylan666 » 13/05/04 14:15

Dovresti aver risolto: sul sito Symantec parlano solo di quella chiave

http://securityresponse.symantec.com/av ... at@mm.html

Questa è la copia cache di Google se ancora il virus non ti facesse vedere il sito

http://www.google.it/search?q=cache:vAB ... tml+&hl=it

Il sito dà questi altri risultati se non fosse quello il virus:

Symantec Security Response - W32.Forlorn@mm

Symantec Security Response - W32.Poreon.Worm

Symantec Security Response - W32.Bajar.Worm.Int
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Mikizo » 13/05/04 14:23

Nel file hosts (in C:\WINNT\System32\Drivers\etc) ho trovato questo:
Codice: Seleziona tutto
127.0.0.1   www.symantec.com
127.0.0.1   securityresponse.symantec.com
127.0.0.1   symantec.com
127.0.0.1   www.sophos.com
127.0.0.1   sophos.com
127.0.0.1   www.mcafee.com
127.0.0.1   mcafee.com
127.0.0.1   liveupdate.symantecliveupdate.com
127.0.0.1   www.viruslist.com
127.0.0.1   viruslist.com
127.0.0.1   viruslist.com
127.0.0.1   f-secure.com
127.0.0.1   www.f-secure.com
127.0.0.1   kaspersky.com
127.0.0.1   www.avp.com
127.0.0.1   www.kaspersky.com
127.0.0.1   avp.com
127.0.0.1   www.networkassociates.com
127.0.0.1   networkassociates.com
127.0.0.1   www.ca.com
127.0.0.1   ca.com
127.0.0.1   mast.mcafee.com
127.0.0.1   my-etrust.com
127.0.0.1   www.my-etrust.com
127.0.0.1   download.mcafee.com
127.0.0.1   dispatch.mcafee.com
127.0.0.1   secure.nai.com
127.0.0.1   nai.com
127.0.0.1   www.nai.com
127.0.0.1   update.symantec.com
127.0.0.1   updates.symantec.com
127.0.0.1   us.mcafee.com
127.0.0.1   liveupdate.symantec.com
127.0.0.1   customer.symantec.com
127.0.0.1   rads.mcafee.com
127.0.0.1   trendmicro.com
127.0.0.1   www.trendmicro.com

Carino, molto completo :lol:
Tutto cancellato, naturalmente.
La pagina della symantec in copia cache da google l'avevo già letta ;)

Alla fine il virus l'ho trovato per caso, in una cartella sul desktop in cui tenevo samples in formato wave.
Peccato che l'ho cancellato molto in fretta e ora non mi ricordo il nome dell'eseguibile!
Confermo, almeno in questo caso, la totale inutilità di AVG.
L'ho depennato definitivamente dalla mia lista personale, non mi trova neanche (quasi mai) i virus nella posta (eppure me ne arrivano parecchi).
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Postdi Mikizo » 13/05/04 14:56

Allora, per i posteri: il virus è il worm Agobot:
http://www.sophos.com/virusinfo/analyse ... bothk.html
Lo si riconosce dal file smsls.exe che si dovrebbe trovare in system o in system32 - stranamente sul mio pc ha scelto una diversa destinazione.

AVG alla fine lo ha trovato, visto che si ricrea. Devo solo scoprire come e perchè, visto che
1) ho cancellato le chiavi dal registro
2) ho tolto manualmente il file norton.exe da system32
3) avevo eliminato i file norton.exe e smsls.exe dalla cartella che li conteneva
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Postdi Mikizo » 13/05/04 18:16

Proseguo il resoconto: il worm arriva da qualche parte e si ricrea, ma non riesco a capire da dove.
Dopo che ho tolto la condivisione alla cartella sul desktop, lì non ce l'ho più ritrovato (non so se c'entri, naturalmente).
Però è apparso su D:\ (partizione che non uso e non avvio da mesi, e che non è certo in condivisione)

Ulteriori info:
1) sono su Fastweb da pochi giorni
2) la rete per la quale avevo condiviso 3-4 cartelle era con un altro pc di casa, però per collegare l'unica scheda di rete del pc all'HAG ho dovuto scollegare l'altro pc, quindi ora il pc "infetto" è collegato solo alla rete Fastweb
3) dopo aver cancellato dal registro tutte le chiavi comprendenti norton.exe e smsls.exe, non pare che il worm sia in qualche modo attivo; riconpare solo il file smsls.exe da qualche parte ogni tanto

Domanda: è possibile che in qualche modo io prenda 'sto worm dalla rete senza fare alcunchè? (ne' scaricare posta ne' scaricare file ne' aprire pagine) solo per il fatto di essere collegato?
Chiedo perchè mi pare molto strano, ma d'altronde non ho alcuna esperienza precedente con Fastweb.
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Postdi BianConiglio » 13/05/04 18:30

di sicuro c'è qualcosa che lo ricrea..ho letto in giro che è interfacciato per dialogare con IRC, e forse può essere anch einstallato tramite irc exploit...

ti conviene installare il virus su un pc di prova e monitorare con regshot tutti i files e chiavi del registro modificati e creati dal virus in modo che tu possa comportarti di conseguenza..
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi Mikizo » 14/05/04 16:37

Eh coniglietto hai ragione ma chi ce l'ha il tempo? (e il pc da sacrificare?)
Visto che continuava a rompere le scatole ho provato col removal tool di Symantec per la famiglia dei vari Gaobot, speriamo che basti.

Una cosuccia: ho messo in sola lettura il file hosts, questo potrebbe in qualche modo crearmi problemi? A rigor di logica non credo, ma....
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Postdi pjfry » 14/05/04 18:03

mi sono ritrovato anch'io un paio di file infetti in una cartella condivisa, ma NAV me li ha bloccati... solo che non sono riuscito a capire da dove uscissero fuori, in teoria firewall e patch su quel pc erano a posto :roll:
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi Mikizo » 15/05/04 00:06

Anch'io mi sto scervellando per capire come possa averlo beccato... era il mio primo virus da tempo immemorabile!
Cmq per ora pare che non si stia rimaterializzando ;)
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Postdi Mikizo » 16/05/04 21:36

Mikizo ha scritto:Cmq per ora pare che non si stia rimaterializzando ;)

naaaaaaaaa è di nuovo qui

qualcuno ha scoperto qualcosa di nuovo??
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Postdi pjfry » 16/05/04 22:49

password 'debole'? :mmmh:
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi Mikizo » 16/05/04 22:59

password del sistema intendi?

Cmq temo che sia il pc di mio fratello a passarmelo regolarmente, siamo attaccati - saltuariamente - allo stesso HAG... ora cerco di "immunizzarglielo" ;)
Non mi era venuto in mente perchè non sono molto abituato alle reti :roll:
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Postdi pjfry » 16/05/04 23:11

si si password degli utenti, magari tra i 2 pc ne avete uno con password corta o come il nome dell'account o senza?
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi Mikizo » 16/05/04 23:19

mmmm
mi sa che mio fratello non ce l'ha neppure impostata (ne' nome utente ne' password)
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Postdi MrOZ » 21/05/04 00:47

La rete fastweb è satura di gaobot/agobot... i suoi utenti vengono facilmente infettati. di questa famiglia esistono una caterva di varianti che sfruttano varie falle di windows tra cui anche quella usata dal sasser. di solito crea o scarica delle backdoor attraverso le quali si può accedere al pc tramite dei canali irc .
MrOZ
Utente Junior
 
Post: 35
Iscritto il: 23/06/03 19:50

Postdi Mikizo » 21/05/04 02:05

MrOZ ha scritto:La rete fastweb è satura di gaobot/agobot... i suoi utenti vengono facilmente infettati. di questa famiglia esistono una caterva di varianti che sfruttano varie falle di windows tra cui anche quella usata dal sasser. di solito crea o scarica delle backdoor attraverso le quali si può accedere al pc tramite dei canali irc .

Me ne sono reso conto ;)
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside


Torna a Sicurezza e Privacy


Topic correlati a "norton.exe - probabile W32.Cazinat@mm":

probabile infezione
Autore: giadamusi
Forum: Software Windows
Risposte: 1

Chi c’è in linea

Visitano il forum: Nessuno e 59 ospiti