View Full Version : Windows Firewall disattivato a ogni riavvio
Ciao a tutti.
Apro questo thread per chiedervi se vi è mai capitato che il firewall di windows si disattiva ad ogni avvio perchè sul mio pc mi sta capitando questa situazione.
Attendo il vostro aiuto.
Ciao.
Stefano.
xcdegasp
15-07-2007, 22:20
Ciao a tutti.
Apro questo thread per chiedervi se vi è mai capitato che il firewall di windows si disattiva ad ogni avvio perchè sul mio pc mi sta capitando questa situazione.
Attendo il vostro aiuto.
Ciao.
Stefano.
sì è già capitato... puoi installare un vero firewall software così correggi il problema ;)
Comodo-Firewall o Jetico sono due ottimi firewall free
Ti ringrazio della risposta. Comunque vorrei tentare di correggere il problema anzichè raggiralo con un nuovo firewall. Anche perchè non vorrei installare altre cose sul pc e poi essendo convinto che è un virus vorrei eliminarlo.
xcdegasp
15-07-2007, 22:55
Ti ringrazio della risposta. Comunque vorrei tentare di correggere il problema anzichè raggiralo con un nuovo firewall. Anche perchè non vorrei installare altre cose sul pc e poi essendo convinto che è un virus vorrei eliminarlo.
contento te.. ma un qualsiasi altro firewall avrebbe bloccato l'infezione...
ad ogni modo:
http://support.microsoft.com/kb/283673/it
magari lanciando Gmer o facendo la scansione con HijackThis trovi qualcosa di utile..
ma non sapebdo chi attacca il servizio di windows non posso darti altre info.
buona fortuna :)
contento te.. ma un qualsiasi altro firewall avrebbe bloccato l'infezione...
ad ogni modo:
http://support.microsoft.com/kb/283673/it
magari lanciando Gmer o facendo la scansione con HijackThis trovi qualcosa di utile..
ma non sapebdo chi attacca il servizio di windows non posso darti altre info.
buona fortuna :)
Non ho capito l'utilità del link sull'attivazione firewall.
In ogni modo il log di HijackThis è questo:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 4.46.25, on 15/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
d:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\LVCOMSX.EXE
D:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
F:\AVGFRE~1\avgcc.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
f:\AVGFRE~1\avgamsvr.exe
F:\Acrobat 6.0\Distillr\acrotray.exe
f:\AVGFRE~1\avgupsvc.exe
f:\Ewido\security suite\ewidoctrl.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\wdfmgr.exe
D:\WINDOWS\System32\alg.exe
E:\Emule\emule.exe
D:\WINDOWS\system32\svchost.exe
D:\Programmi\Mozilla Firefox\firefox.exe
G:\eseguibili e programmi\HiJackThis_v2.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\ntos.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - f:\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programmi\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] f:\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [swg] D:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [userinit] D:\WINDOWS\system32\ntos.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] f:\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = F:\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - D:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - f:\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - f:\AVGFRE~1\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - f:\Ewido\security suite\ewidoctrl.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - d:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
--
End of file - 6137 bytes
Grazie mille dell'aiuto.
xcdegasp
15-07-2007, 23:37
con l'opzione code non si legge na mazza.. metti il quote ;)
cmq questa è molto strana:
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\ntos.exe,
aggiorna acrobat reader o disinstallalo preferendo "foxit reader";
lancetta
16-07-2007, 00:16
con l'opzione code non si legge na mazza.. metti il quote ;)
cmq questa è molto strana:
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] D:\WINDOWS\system32\ntos.exe trojan
aggiorna acrobat reader o disinstallalo preferendo "foxit reader";
quella è proprio da fixare.... sento puzza di rootkit scansione con gmer e vedi se ti da voci in rosso ed un'altro log di hijackthis ed inoltre continua QUI (http://www.hwupgrade.it/forum/forumdisplay.php?f=125)
Riverside
16-07-2007, 16:00
quella è proprio da fixare.... sento puzza di rootkit scansione con gmer e vedi se ti da voci in rosso ed un'altro log di hijackthis ed inoltre continua QUI (http://www.hwupgrade.it/forum/forumdisplay.php?f=125)
Esatto Lancetta, ma non basta, oltre a fixare:
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
e:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe
prima, terminare il processo ntos.exe, da Task Manager;
poi, intervenire, manulamente, sul Registro, quindi:
-START - ESEGUI - nella casella di comando digitare REGEDIT e cercare questa chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- selezionare WINLOGON e nella schemata di destra, doppio click sulla chiave USERINIT
- nella successiva schermata, individuare la stringa contenente il valore USERINIT
c:\windows\system32\userinit.exe,"C:\WINDOWS\system32\ntos.exe"
che va modificata, rimuovendo questa parte di stringa:
"C:\WINDOWS\system32\ntos.exe"
Infine, eliminare, manualmente, ntos.exe, chiudere tutte le finestre aperte e riavviare il sistema, ed il problema dovrebbe essere risolto.
Poi, almeno dal quel poco che si può rilevare dalla parte di log postata, ci sarebbero altre diverse cosucce che andrebbero sistemate.
lancetta
16-07-2007, 16:07
si glielo avrei detto successivamente ma nella sez. apposita....sai qui i mod sono un poco severi :D (giustamente)
Edit: con cautela sulla chiave in questione altrimenti non parte più il pc
Riverside
16-07-2007, 16:23
si glielo avrei detto successivamente ma nella sez. apposita....sai qui i mod sono un poco severi :D (giustamente)
Mi scuso, immediatamente, con i Moderatori :doh:
P.S: la sezione apposita, quale sarebbe, per cortesia?
lancetta
16-07-2007, 16:28
http://www.hwupgrade.it/forum/forumdisplay.php?f=125 presente anche in rilievo sulla schermata ;)
Saluti :cool:
Attenzione che in giro c'è una variante di ntos.exe che cripta i dati e devi pagare 300$ per farteli decriptare:D
Riverside
16-07-2007, 18:16
Attenzione che in giro c'è una variante di ntos.exe che cripta i dati e devi pagare 300$ per farteli decriptare:D
Santa Eset, madre di tutte le info ......:ave:
http://www.nod32.it/threat-center/encyclopedia1.php?id=1617
Bugs Bunny
16-07-2007, 20:38
http://www.prevxresearch.com/unransomme.exe
tool di rimozione e de-criptazione di Prevx
kaspersky tra poco aggiungerà l'algoritmo di decript per i files e penso che lo faranno in molti, il pdm di kaspersky lo blocca, idem per il truprevent di panda, f-prot lo riconosce per via euristica(senza l'esecuzione del file)
Kaspersky Pdm
http://images.kaspersky.com/en/pictures/vlweblog/208187398.png
http://images.kaspersky.com/en/pictures/vlweblog/208187397.png
Fonte:http://www.viruslist.com/en/weblog
TruPrevent(Panda)
http://img337.imageshack.us/img337/5223/truprevent2tj8.png (http://imageshack.us)
Ciao
http://vil.nai.com/vil/content/v_142712.htm
http://www.viruslist.com/en/viruses/encyclopedia?virusid=164339
Esatto Lancetta, ma non basta, oltre a fixare:
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
e:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe
prima, terminare il processo ntos.exe, da Task Manager;
poi, intervenire, manulamente, sul Registro, quindi:
-START - ESEGUI - nella casella di comando digitare REGEDIT e cercare questa chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- selezionare WINLOGON e nella schemata di destra, doppio click sulla chiave USERINIT
- nella successiva schermata, individuare la stringa contenente il valore USERINIT
c:\windows\system32\userinit.exe,"C:\WINDOWS\system32\ntos.exe"
che va modificata, rimuovendo questa parte di stringa:
"C:\WINDOWS\system32\ntos.exe"
Infine, eliminare, manualmente, ntos.exe, chiudere tutte le finestre aperte e riavviare il sistema, ed il problema dovrebbe essere risolto.
Poi, almeno dal quel poco che si può rilevare dalla parte di log postata, ci sarebbero altre diverse cosucce che andrebbero sistemate.
Ho fixato le due voci:
F2..... eccetera eccetera rimane
04..... eccetera eccetera si cancella
Il provesso ntos non è nel task manager mentre il file esiste e non riesco a cancellarlo perchè in uso.
La voce del registro l'ho modificata, altro da fare?
lancetta
18-07-2007, 00:55
se spieghi meglio in dettaglio cosa hai fatto.....per la cancellazione possiamo usare avenger però per favore qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125 apri un post con dettagliatamente le tue azioni.Non vorrei passi qualche mod e ti chiuda il 3d.grazie
vBulletin® v3.6.4, Copyright ©2000-2026, Jelsoft Enterprises Ltd.