Windows Firewall disattivato a ogni riavvio

[boysna]

Ciao a tutti.

Apro questo thread per chiedervi se vi è mai capitato che il firewall di windows si disattiva ad ogni avvio perchè sul mio pc mi sta capitando questa situazione.

Attendo il vostro aiuto.

Ciao.
Stefano.

[xcdegasp]

Quote:

Originariamente inviato da boysna

Ciao a tutti.

Apro questo thread per chiedervi se vi è mai capitato che il firewall di windows si disattiva ad ogni avvio perchè sul mio pc mi sta capitando questa situazione.

Attendo il vostro aiuto.

Ciao.
Stefano.

sì è già capitato... puoi installare un vero firewall software così correggi il problema
Comodo-Firewall o Jetico sono due ottimi firewall free

[boysna]

Ti ringrazio della risposta. Comunque vorrei tentare di correggere il problema anzichè raggiralo con un nuovo firewall. Anche perchè non vorrei installare altre cose sul pc e poi essendo convinto che è un virus vorrei eliminarlo.

[xcdegasp]

Quote:

Originariamente inviato da boysna

Ti ringrazio della risposta. Comunque vorrei tentare di correggere il problema anzichè raggiralo con un nuovo firewall. Anche perchè non vorrei installare altre cose sul pc e poi essendo convinto che è un virus vorrei eliminarlo.

contento te.. ma un qualsiasi altro firewall avrebbe bloccato l'infezione...
ad ogni modo:
http://support.microsoft.com/kb/283673/it

magari lanciando Gmer o facendo la scansione con HijackThis trovi qualcosa di utile..
ma non sapebdo chi attacca il servizio di windows non posso darti altre info.

buona fortuna

[boysna]

Quote:

Originariamente inviato da xcdegasp

contento te.. ma un qualsiasi altro firewall avrebbe bloccato l'infezione...
ad ogni modo:
http://support.microsoft.com/kb/283673/it

magari lanciando Gmer o facendo la scansione con HijackThis trovi qualcosa di utile..
ma non sapebdo chi attacca il servizio di windows non posso darti altre info.

buona fortuna

Non ho capito l'utilità del link sull'attivazione firewall.
In ogni modo il log di HijackThis è questo:

Codice:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 4.46.25, on 15/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
d:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\LVCOMSX.EXE
D:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
F:\AVGFRE~1\avgcc.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
f:\AVGFRE~1\avgamsvr.exe
F:\Acrobat 6.0\Distillr\acrotray.exe
f:\AVGFRE~1\avgupsvc.exe
f:\Ewido\security suite\ewidoctrl.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\wdfmgr.exe
D:\WINDOWS\System32\alg.exe
E:\Emule\emule.exe
D:\WINDOWS\system32\svchost.exe
D:\Programmi\Mozilla Firefox\firefox.exe
G:\eseguibili e programmi\HiJackThis_v2.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\ntos.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - f:\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programmi\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] f:\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [swg] D:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [userinit] D:\WINDOWS\system32\ntos.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] f:\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = F:\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - D:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - f:\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - f:\AVGFRE~1\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - f:\Ewido\security suite\ewidoctrl.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - d:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6137 bytes

Grazie mille dell'aiuto.

[xcdegasp]

con l'opzione code non si legge na mazza.. metti il quote
cmq questa è molto strana:
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\ntos.exe,

aggiorna acrobat reader o disinstallalo preferendo "foxit reader";

[lancetta]

Quote:

Originariamente inviato da xcdegasp

con l'opzione code non si legge na mazza.. metti il quote
cmq questa è molto strana:
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] D:\WINDOWS\system32\ntos.exe trojan
aggiorna acrobat reader o disinstallalo preferendo "foxit reader";

quella è proprio da fixare.... sento puzza di rootkit scansione con gmer e vedi se ti da voci in rosso ed un'altro log di hijackthis ed inoltre continua QUI

[Riverside]

Quote:

Originariamente inviato da lancetta

quella è proprio da fixare.... sento puzza di rootkit scansione con gmer e vedi se ti da voci in rosso ed un'altro log di hijackthis ed inoltre continua QUI

Esatto Lancetta, ma non basta, oltre a fixare:
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
e:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe
prima, terminare il processo ntos.exe, da Task Manager;
poi, intervenire, manulamente, sul Registro, quindi:
-START - ESEGUI - nella casella di comando digitare REGEDIT e cercare questa chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- selezionare WINLOGON e nella schemata di destra, doppio click sulla chiave USERINIT
- nella successiva schermata, individuare la stringa contenente il valore USERINIT
c:\windows\system32\userinit.exe,"C:\WINDOWS\system32\ntos.exe"
che va modificata, rimuovendo questa parte di stringa:
"C:\WINDOWS\system32\ntos.exe"
Infine, eliminare, manualmente, ntos.exe, chiudere tutte le finestre aperte e riavviare il sistema, ed il problema dovrebbe essere risolto.
Poi, almeno dal quel poco che si può rilevare dalla parte di log postata, ci sarebbero altre diverse cosucce che andrebbero sistemate.

[lancetta]

si glielo avrei detto successivamente ma nella sez. apposita....sai qui i mod sono un poco severi (giustamente)

Edit: con cautela sulla chiave in questione altrimenti non parte più il pc

[Riverside]

Quote:

Originariamente inviato da lancetta

si glielo avrei detto successivamente ma nella sez. apposita....sai qui i mod sono un poco severi (giustamente)

Mi scuso, immediatamente, con i Moderatori
P.S: la sezione apposita, quale sarebbe, per cortesia?

[lancetta]

http://www.hwupgrade.it/forum/forumdisplay.php?f=125 presente anche in rilievo sulla schermata

Saluti

[lucas84]

Attenzione che in giro c'è una variante di ntos.exe che cripta i dati e devi pagare 300$ per farteli decriptare

[Riverside]

Quote:

Originariamente inviato da lucas84

Attenzione che in giro c'è una variante di ntos.exe che cripta i dati e devi pagare 300$ per farteli decriptare

Santa Eset, madre di tutte le info ......
http://www.nod32.it/threat-center/en...a1.php?id=1617

[Bugs Bunny]

http://www.prevxresearch.com/unransomme.exe
tool di rimozione e de-criptazione di Prevx

[lucas84]

kaspersky tra poco aggiungerà l'algoritmo di decript per i files e penso che lo faranno in molti, il pdm di kaspersky lo blocca, idem per il truprevent di panda, f-prot lo riconosce per via euristica(senza l'esecuzione del file)
Kaspersky Pdm




Fonte:http://www.viruslist.com/en/weblog

TruPrevent(Panda)

Ciao

[lucas84]

http://vil.nai.com/vil/content/v_142712.htm
http://www.viruslist.com/en/viruses/...virusid=164339

[boysna]

Quote:

Originariamente inviato da Riverside

Esatto Lancetta, ma non basta, oltre a fixare:
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
e:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe
prima, terminare il processo ntos.exe, da Task Manager;
poi, intervenire, manulamente, sul Registro, quindi:
-START - ESEGUI - nella casella di comando digitare REGEDIT e cercare questa chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- selezionare WINLOGON e nella schemata di destra, doppio click sulla chiave USERINIT
- nella successiva schermata, individuare la stringa contenente il valore USERINIT
c:\windows\system32\userinit.exe,"C:\WINDOWS\system32\ntos.exe"
che va modificata, rimuovendo questa parte di stringa:
"C:\WINDOWS\system32\ntos.exe"
Infine, eliminare, manualmente, ntos.exe, chiudere tutte le finestre aperte e riavviare il sistema, ed il problema dovrebbe essere risolto.
Poi, almeno dal quel poco che si può rilevare dalla parte di log postata, ci sarebbero altre diverse cosucce che andrebbero sistemate.

Ho fixato le due voci:
F2..... eccetera eccetera rimane
04..... eccetera eccetera si cancella

Il provesso ntos non è nel task manager mentre il file esiste e non riesco a cancellarlo perchè in uso.

La voce del registro l'ho modificata, altro da fare?

[lancetta]

se spieghi meglio in dettaglio cosa hai fatto.....per la cancellazione possiamo usare avenger però per favore qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125 apri un post con dettagliatamente le tue azioni.Non vorrei passi qualche mod e ti chiuda il 3d.grazie