Infezioni informatiche e Sicurezza informatica in generale

PcPrimiPassi.it FORUM: SICUREZZA INFORMATICA: Infezioni informatiche e Sicurezza informatica in generale

RISOLTO!

Topic: [RISOLTO] Norton auto protect, WS.Viral.1.

(

Topic Chiuso)

Altre pagine della discussione:

Renaultrxe
Principiante

Iscritto dal : 28/Ottobre/2011
Da: Italy
Status: Offline
Posts: 3

Topic: Post n° 99.101 - Postato: 29/Ottobre/2011 alle 00:12

Salve a tutti! Da qualche settimana all'avvio del pc (windows xp, Norton 2012 regolarmente registrato) compare il seguente avviso di Norton autoprotect:
"Norton autoprotect sta eleborando il rischio per la sicurezza
WS.Viral.1."
Dopo 30/40 secondi l'avviso scompare per riapparire puntualmente solo al successivo riavvio del pc. Inconvenienti riscontrati: assolutamente nessuno se si esclude un modesto rallentamento del pc solo nei 40 secondi necessari ad autoprotect per questa elaborazione e il fastidio di ripresentarsi ad ogni riavvio.
Ho cercato in rete questo WS.Viral.1. ma non ho trovato nulla di utile se non nel sito della Symantec che dice che si tratta di un qualcosa a bassissimo rischio però nella sezione rimozione mi pare non ci sia nulla di utile per l'eliminazione. Mi par di ricordare che consiglino di rimuovere con l'apposito tool Norton e riprocedere alla installazione ma volevo evitare di farlo.
Facendo una scansione profonda con Norton mi dice che è tutto a posto e anche Malwarebytes non rileva assolutamente nulla.
Se qualcuno a idea di come si possa risolvere questo piccolo problema gli sare molto grato.

Renaultrxe
Principiante

Iscritto dal : 28/Ottobre/2011
Da: Italy
Status: Offline
Posts: 3

Topic: Post n° 99.102 - Postato: 29/Ottobre/2011 alle 00:17

Dimenticavo, sono Lazar60001 ma non avevo più modo di inserirmi nelle discussioni e purtroppo non ho trovato di meglio che iscrivermi con un altro account che è sempre una cosa un po antipatichetta ed è quindi giusto che di questo avvisi i moderatori. Ciao.

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 99.103 - Postato: 29/Ottobre/2011 alle 01:03

Ciao, si tratta di una potenziale minaccia che il norton bolla come "ws.viral.1", quindi non è un file che lui riconosce infetto perchè è nelle sue firme. Quindi non ti sta dicendo "l'ho riconosciuto è lui il malware!". Bisognerebbe che tu smanettassi un po' negli eventi sicuramente registrati dall'antivirus per vedere se riporta il nome del file e la posizione in modo da poterci fare un'idea di cosa sia.
Il passo di fare una scansione approfondita del sistema è stato ottimo!

Rispetto l'account Lazar60001, provo a dare un'occhiata io e intanto segnalo il tutto all'amministratore in modo che faccia una verifica. La prossima volta loggati come Lazar60001 e vedi se ti fa postare.

Ciao

Modificato da prgn - 29/Ottobre/2011 alle 13:36

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

Renaultrxe
Principiante

Iscritto dal : 28/Ottobre/2011
Da: Italy
Status: Offline
Posts: 3

Topic: Post n° 99.105 - Postato: 29/Ottobre/2011 alle 11:12

Prima di tutto ti ringrazio per il tuo intervento, tenterò di smanettare negli interventi come consigli e la prossima volta proverò anche a loggarmi come Lazar60001. Grazie!

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 99.107 - Postato: 29/Ottobre/2011 alle 13:39

Di nulla, facci sapere!
Rispetto lazar... adesso dovrebbe funzionare.
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 99.116 - Postato: 31/Ottobre/2011 alle 11:15

No, ma il problema non sarà sicuramente services.exe (è normale che tu lo veda anche nella cartella j386). Si tratta di un file di sistema che avvia e chiude i servizi di sistema... quindi abbastanza delicato. Vedi indicati altri file o processi nella cronologia (legati a questo evento)? Hai installato nuovi software o nuove periferiche ultimamente?
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 99.125 - Postato: 01/Novembre/2011 alle 11:38

Hai ragione, jqs appartiene a java (a volte però sembra un worm e "succhia" risorse, ma non penso sia lui il problema).
Ti prospetto delle strade, 3 strade da percorrere, un controllo rispetto malware tipo rootkit (capaci di nascondere infezioni all'antivirus), avviare manualmente il liveupdate di norton (in modo da installare eventuali patch di aggiornamento al software, solo che, onestamente, non conosco norton 2012, non so indicarti i menù da seguire o se ancora presente l'opzione), contattare il loro supporto tecnico.
Per i rootkit proviamo prima a controllare il settore d'avvio del disco. Scarica questo file: mbr.exe
Intanto avvia il liveupdate poi riavvia in modalità provvisoria, entra nella cartella dove si trova il file scaricato e facci doppio clic, il controllo è instantaneo, ti creerà un log (mbr.log) nella stessa cartella, posta il contenuto del log. Riavvia e controlla come va.
Se non si è risolto, si passa a qualche controllo più approfondito.
Ciao

PS: se nel log di mbr.exe dovesse esserci indicato qualcosa di infetto, avvia subito una scansione approfondita con l'antivirus. Un log normale potrebbe essere tipo (a parte i valori identificativi dell'hard disk) il seguente:

Segue del testo riportato...

stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6000 Disk: ST3500320AS rev.SD1A -> Harddisk1\DR1 -> \Device\Ide\IdeDeviceP3T0L0-4

device: opexxd successfully
user: MBR read successfully
kernel: MBR read successfully
user != kernel MBR !!!
sectors 976773166 (+1): user != kernel

Fine testo riportato...

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 99.158 - Postato: 03/Novembre/2011 alle 21:40

Non ti preoccupare!
Allora, sai che è successo? Mi sa che la tua scheda madre è una asus, quindi, premendo F8, entri nel menù di boot (il menù di boot ti chiede su quale unità vuoi che venga letto il sistema operativo), a questo menù bisogna premere appunto esc per uscire e poi, immediatamente dopo, ancora F8, in modo da accedere al menù per avviare in modalità provvisoria. Non chiedermi il perchè alla asus abbiano pensato di utilizzare proprio il tasto F8 (da anni già utilizzato per accedere alla modalità provvisoria di windows) per aprire il menù di boot (per fortuna non su tutte le MB), me lo chiedo anche io. Forse volevano esser ricordati nelle nostre imprecazioni ogni qualvolta si tenta di accedere alla modalità provvisoria ed invece si apre il menù di boot??? Mah, è un mistero!

Il mio non è un discorso che prende in considerazione l'antivirus (sai già quello che penso del norton, ma non è assolutamente questo che condiziona il mio discorso) o lo stesso malware, qualunque esso sia, il mio discorso è logico, se io ho un pc che potenzialmente è compromesso sotto l'aspetto sicurezza, non mi posso fidare dei software di sicurezza installati.
Quando mi accorgo di essere stato, anche solo potenzialmente, infettato, a me non interessa più la bonta del mio software di sicurezza, quello che faccio sostanzialmente è raccogliere informazioni su quello che è successo e poi mi comporto di conseguenza....
Poi, decidi tu, se proprio per te va bene così come è, contatta almeno la loro assistenza, altrimenti la licenza che la si paga a fare??? Wink

Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 99.358 - Postato: 21/Novembre/2011 alle 23:43

Eccomi, scusa se non ti ho risposto subito ma dovevo rileggere ed il tempo non è mai abbastanza. Ok, per quando riguarda mbr.exe, mbr ok. Adesso facciamo altri 2 controlli, uno con gmer e l'altro con hijackthis.

Gmer lo puoi prendere dal seguete link: gmer

Scaricalo e decomprimi il file compresso in una cartella, fai la scansione del pc, prendi il log e copialo in un post della discussione (per prendere il log di gmer, fai partire il programma e dalla finestra di partenza, cioè nella cartella "rootkit" del programma stesso, clicca su Scan e quando ha finito clicca sul tasto Copy. Incolla quello che hai appena copiato, in un post, facendo attenzione che il log, dopo averlo postato, ci sia tutto)

Se il log di Gmer dovesse essere molto grande, potresti usare un servizio di file hosting.. (tipo mediafire.com) e dopo aver fatto l'upload del file indicarne il link.

Rispetto hijackthis lo puoi prendere da questo indirizzo: http://it.trendmicro.com/it/products/personal/free-tools-and-services/

avvia il programma (penso sia l'installer quello che ti farà scaricare, quindi dovrai installarlo prima) fai fare la scansione che produce il log, per far questo, vai in "Main menù", se non si avvia direttamente da li, e clicca su "Do a system scan and save a log file", in questo modo ti si aprirà il bloc note con il log, appena finita la scansione. Postalo.

In questo modo avremo un quadro di eventuali oggetti nascosti e non...

Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 99.375 - Postato: 23/Novembre/2011 alle 19:07

No, vanno benissimo in modalità normale, anche se puliti si nota una cosa che potrebbe rappresentare l'inghippo!

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

L'avvio di ctfmon.exe a questa maniera potrebbe essere interpretato come sospetto. Le successive chiamate a ctfmon.exe son invece quelle che dovrebbero essere corrette.
Alcune impostazioni del sistema operativo posso portare all'impostazione della chiave run in modo che avvii ctfmon. (cosa insolità, ma che fa anche qualche malware)
Proviamo a toglierla dall'avvio usando msconfig (sperando che la voce non venga ricreata), riavviamo e vediamo se l'antivirus ti dice ancora qualcosa.
Vai in start -> esegui e digita: msconfig
Premi invio per fare accettare. Vai nella scheda avvio, trova ctfmon.exe, togli il segno di spunta, applica e ok.
chiudi msconfig e riavvia.
All'avvio successivo ti dovrebbe avvisare che l'avvio è stato variato, per adesso non ci dare peso, basta dirgli di non avvisarti più, a noi adesso interessa sapere se l'antivirus ti avvisa ancora del pericolo e se la voce si è rigenerata (controlla con una scansione di hijsckthis per vedere se si è ricreata dopo l'avvio)
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

Altre pagine della discussione:

Rispondi con Editor completo Nuova Discussione

Versione stampabile

TI E' PIACIUTO QUESTO CONTENUTO ?

Suggerisci questa pagina

Supporta il nostro lavoro

Iscriviti ora alla newsletter!

Vai al Forum

Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Versione 5.7 Sviluppata da Stefano Ravagni

Infezioni informatiche e Sicurezza informatica in generale

Topic: [RISOLTO] Norton auto protect, WS.Viral.1.

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

Infezioni informatiche e Sicurezza informatica in generale

Topic: [RISOLTO] Norton auto protect, WS.Viral.1.

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !