Quella fetecchia di Norton2004
23 Marzo 2006
Martedì pomeriggio
Chiama un cliente: “Il computer continua a visualizzare finestre porno, la connessione ADSL continua a bloccarsi, bla bla bla, la banca, le e-mail, io non guardo i porno [NdPS: bello il divx da 55 minuti che ho sequestrato come prova 😛 ], sono innocente, bla bla bla …”
Mercoledì pomeriggio
Arrivo dal cliente: il pc ha Windows2000sp4, il Norton2004 aggiornato con le definizioni dei virus del giorno precedente, ci sono una decina di strane finestre (non del sistema operativo) che avvisano che la connessione ad Internet è stata chiusa, svariate icone del tipo “Incontri” nel menu di Avvio e sul desktop.
Procedo con il mio abituale modus operandi per la depornizzazione:
- Aggiorno l’antivirus
- Scollego Internet
- Controllo che la connessione ADSL non abbia binding strani
- Apro il task manager è uccido tutti i processi con nomi sospetti
- Chiudo tutti i software presenti nella tray bar
- Elimino tutti i file temporanei (sistema operativo ed Internet), cookie e cronologia
- Faccio la scansione completa con l’antivirus
- Elimino da “Installazione applicazioni” tutti i software inutili e/o sospetti
- Controllo le chiavi di registro per verificare quali software ci sono in esecuzione automatica
- Ripulisco le opzioni di Internet Explorer (tipicamente elimino i porno dai siti affidabili)
- Riavvio la macchina e controllo il task manager alla ricerca di infiltrati
- Ricollego Internet, faccio gli aggiornamenti di Windows
- Verifico ed eventualmente aggiorno la JavaVM di Sun
- Installo SpyBot S&D, aggiorno e faccio la scansione completa
- Installo HiJackThis e rimuovo le voci sospette
- Deframmento il disco
Dopo circa 3 ore me ne vado soddisfatto del risultato dell’operazione.
Giovedì pomeriggio
Richiama il cliente, è tornato tutto come prima.
Stavolta ripeto la procedura ma comincio a dubitare dell’antivirus, per cui mi scarico la demo di 30 giorni del NOD32, aggiorno e faccio la scansione con quello.
Non soddisfatto disattivo l’anteprima in quel colabrodo di Outlook Express e metto su un firewall provvisorio (ZoneAlarm).
Venerdì pomeriggio
Ennesima chiamata dal cliente, di nuovo il computer impestato.
Stavolta disinstallo completamente Norton Antivirus ed installo la versione commerciale di NOD32, rifaccio la scansione e ripulisco. Controllo i programmi autorizzati ad uscire nel firewall e scopro che è rispuntato un file exe (chakaisen.exe o qualcosa di simile): sinceramente mi chiedo come sia entrato con antivirus e firewall 😕
Sto per andarmene, quando mi viene il dubbio e chiedo al cliente:
PS: Di preciso, cosa hai fatto dopo che me ne sono andato?
CL: Sono andato su Internet…
PS: Ok, ma dove?
CL: Ho cercato un numero di telefono su Pagine Gialle
PS: Ok, ma hai digitato l’indirizzo?
CL: No, ce l’ho nei preferiti…
Vai a controllare i preferiti e cosa scopri? Tutti gli indirizzi sono stati modificati! Se prima l’indirizzo puntava a http://www.paginegialle.it, ora punta ad un sito (preferiti-windows.com) che fa apparire una barra laterale sulla sinistra, carica il sito originale nella parte destra dello schermo e ti impesta il pc di dialer!
Nel momento in cui ho fatto clic su uno dei preferiti il NOD32 ha cominciato a bestemmiarmi addosso in aramaico: possibile che quella fetecchia del NAV2004 non sia in grado di riconoscere una minaccia del genere? A cosa serve attivare l’autoprotezione e mantenere aggiornate le definizioni dei virus? Evidentemente solo ad appesantire il pc 🙁
12 commenti/trackback a “Quella fetecchia di Norton2004”
Trackback e pingback
- Nessun trackback o pingback disponibile per questo articolo
Non è possibile inserire nuovi commenti. I commenti vengono disattivati automaticamente dopo 60 giorni.
23 Marzo 2006 alle 10:10
😮
Una conoscente dei miei non era sicura se il suo NOD32 fosse un buon antivirus.
Non lo conoscevo, e non ho mai saputo cosa rispondergli. Ora lo so.
23 Marzo 2006 alle 14:04
Il NOD32 è un OTTIMO antivirus, leggero e potente; purtroppo è abbastanza difficile da trovare nei negozi 🙁
Se hai la possibilità di fare acquisti di qualche pezzo ed hai una p.iva puoi ordinarlo direttamente dal distributore italiano (www.nod32.it).
23 Marzo 2006 alle 23:44
Nessuno ti ha detto che siamo nel 2006 ??!! Aggiornare la versione?
Scherzi a parte in ufficio avevamo la versione 2005 e appena aggiornata
a quella 2006 ci ha beccato una bella quantita di virus & Co un pò su ogni
macchina
24 Marzo 2006 alle 09:06
L’antivirus non era il mio, la licenza valeva ancora per 3 mesi, ogni anno il Norton si appesantisce di un buon 20%
Ti servono altri motivi? 😛
24 Marzo 2006 alle 09:22
anche qui da me è capitata la stessa cosa… icone di incontri.exe e cellulare.exe nel menu avvio e sul desktop… (causati da un’email ricevuta dal famoso dominio melagodo.biz e l’utente ha cliccato sul link ovviamente perchè il messaggio non era nella posta indesiderata di Outlook e quindi attendibile) ho tolto tutto con Microsoft Antispyware che era già installato ma il bello è che lui ti chiede “Allow” o “Block” e secondo te uno cosa clicca? 😉
Aggiorno anche il pc con Windows Defender Beta, scansione e tutto regolare.
Dopo 2-3 ore mi richiama per dirmi che è tutto come prima rifaccio la scansione con Windows Defender e non mi trova niente… (tra l’altro fa anche schifo preferisco l’Antispyware) chiedo allora cos’è che ha fatto e mi dice solo che ha provato ad aprire un sito dai preferiti e lì scopro anch’io che puntavano tutti a preferiti-windows.com. Ho cancellato tutti i preferiti, sono tornato alla versione precedente di Microsoft Antispyware e installato Mozilla Firefox 1.5 🙂
25 Marzo 2006 alle 17:48
Norton, ai suoi tempi, forse era un bell’antivirus… ma ora fa decisamente pena!
Anche Spybot S&D sta subendo attacchi da una concorrenza più agguerrita e (sembra) più efficace, però credo che in questo caso si tratti solo di falsi positivi.
1 Aprile 2006 alle 15:36
installatevi il nod32 e toglietevi il norton,riconosce solo il 20% dei virus e molti non li toglie.
1 Aprile 2006 alle 15:48
lascio cmq un consiglio,se non riuscite a toglierli adoperate i vecchi ,ma sempre ottimi,comandi dos,hanno imparato a renderli non visibili tramite l’opzione attrib -h riuscirete a vederti e renderli visibili cosi da eliminarli 😉 cmq riguardo al nod32 do pienamente ragione al nostro amico che ha segnalato questo antivirus,è decisamente il migliore infatti nella mia azienda lo utilizziamo e li rischiamo con i virus lavorando per telecom ,tim e altre compagnie T.I. questo è l’unico decente che insieme al proxy elimina ogni problema 😉
7 Aprile 2006 alle 09:24
Per la rimozione di “preferiti-windows” devi usare Virit dal sito http://www.tgsoft.it
Questa è la scheda tecnica del virus:
http://www.virit.com/startup/scheda.asp?num=2409
Ciao
21 Aprile 2006 alle 15:11
ciao io ho istallato il nod32
21 Aprile 2006 alle 19:23
Sono contento per te 😛
1 Marzo 2008 alle 15:36
Bhe leggendo per sbaglio questo blog, imbattuto per caso, non faccio altro che quotare quanto scritto sopra, Norton è prima di tutto un “mattone” per il sistema operativo, poi per di più, neanche me li toglieva a tempi che fu i virus (parliamo del 2004).Oggi posso dire di utilizzare Nod32 da parecchio e di dire che é un antivirus eccezionale!!!Volevo segnalarvi un forum dove descrive come configurare il Nod in maniera ottimale:
http://www.wilderssecurity.com/showthread.php?t=37509