windows security allert

guylmaster · 22-03-2011, 22:15

Salve,
mi sono "beccato" il famoso virus windows security allert, che mi dice ogni cinque secondi che secondo lui ho un hard disk danneggiato tanto da avermi fatto sparire un pò di cartelle dall'hard disk (benchè lo spazio è ancora magicamente occupato).

Ho provato a fare una passata di avira antivirus ma non mi ha trovato nulla, hijackThis mi da il seguente log

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:06:21, on 22/03/2011
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32\StikyNot.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\ProgramData\wTfSWRujMjxCkB.exe
C:\ProgramData\32956168.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\program files\avira\antivir desktop\avcenter.exe
C:\Program Files\Java\jre6\bin\javaw.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com/?a=ddr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: facemoods Helper - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files\facemoods.com\facemoods\1.4.17.5\bh\facemoods.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office14\GROOVEEX.DLL
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~4\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: facemoods Toolbar - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files\facemoods.com\facemoods\1.4.17.5\facemoodsTlbr.dll
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [facemoods] "C:\Program Files\facemoods.com\facemoods\1.4.17.5\facemoodssrv.exe" /md I
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [BCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [wTfSWRujMjxCkB] C:\ProgramData\wTfSWRujMjxCkB.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Startup: Dropbox.lnk = Neptune2\AppData\Roaming\Dropbox\bin\Dropbox.exe
O4 - Startup: MagicDisc.lnk = C:\Program Files\MagicDisc\MagicDisc.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: I&nvia a OneNote - res://C:\PROGRA~1\MICROS~4\Office14\ONBttnIE.dll/105
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O13 - Gopher Prefix: 
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: AcerSyncSystemService - Unknown owner - C:\Program Files\Acer\AcerSync\AcerSyncSystemService.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7618 bytes

Si riesce a farlo volare via?

Dimenticato ho windows seven a 32 bit.

guylmaster · 22-03-2011, 22:34

Ho fixato tutte le voci che sembravano sospette ed ora pare non apparire più, permane però un problema: Non riesco a far riapparire quella cartella. Ho provato anche a mostrare i file protetti da sistema (ancora me lo avesse messo come file nascosto, mbho) ma nulla.

Se digito il percorso della cartella me la appre ma me la da vuota. Cosa mi sfugge?

xcdegasp · 23-03-2011, 14:44

hai il pc infetto ne hijackthis non rimuove nulla al limite disabilita esecuzioni auutomatiche e servzi.
questo è quello relativo al tuo caso -> http://www.threatexpert.com/report.a...bbab056da8964f

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti

ciottina · 23-03-2011, 15:40

Segnalo lo stesso problema. Ho eliminato la fonte, ma rimane il problema delle cartelle invisibili! Qualcuno le ha recuperate?

guylmaster · 23-03-2011, 17:36

Cioè il fatto che abbia eliminato con Hijackthis le parole che lo fanno avviare all'avvio, ed ora non appaia più, non significa che lo abbia eliminato?

Cioè si, ho capito che il virus sarà ancora da qualche parte, ma cosi non dovrebbe "partire più" avendo fixato le chiavi di registro con hijackthis?!? che altro dovrei fare per eliminarlo del tutto?

xcdegasp · 23-03-2011, 17:48

hai solo disabilitato delle esecuzioni automatiche ma ti rimane ancora da fare tutto il resto..
come vedi dal link che ti ho messo l'infezione agisce eliminando delle chiavi di registro, creandone di nuove e via discorrendo..

quindi se vuoi perseguire questa strada manuale dovrai fare l'operazione inversa rispetto a quella fatta dal malware.

guylmaster · 23-03-2011, 18:07

Quote:

Originariamente inviato da xcdegasp

hai solo disabilitato delle esecuzioni automatiche ma ti rimane ancora da fare tutto il resto..
come vedi dal link che ti ho messo l'infezione agisce eliminando delle chiavi di registro, creandone di nuove e via discorrendo..

quindi se vuoi perseguire questa strada manuale dovrai fare l'operazione inversa rispetto a quella fatta dal malware.

E come si fa a ripristinarle? qualche consiglio?

Perchè anche se ora pare funzionare io accedo al sito della carta di credito dal pc, e benchè sopra ho cifre ridicole (si parla di poche decine di euro) preferirei evitare di doverle manovrare con un trojan sul pc

ciottina · 24-03-2011, 07:46

Appunto, chi può ci dia una dritta... ho 2 pc infetti a casa e non sappiamo come togliere definitivamente la bestiaccia!

xcdegasp · 24-03-2011, 12:19

io la soluzione te l'avevo data

Quote:

Originariamente inviato da xcdegasp

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti

ciottina · 24-03-2011, 12:51

domandina: come mai va disattivato il sistema di ripristino? mi fa un pò paura farlo perchè finora è l'unica cosa che mi ha salvata da perdite sicure! Solo grazie a questo, ad esempio, le cartelle sono tornate a loro posto dopo questa infezione anche se trasparenti (almeno nn sono invisibili!)!!!

Qualcuno sa interpretare questo log??

Log rimosso, leggere le Regole di sezione, grazie.

guylmaster · 25-03-2011, 01:14

Sto riscontrando da oggi, strano ieri non lo faceva, uno strano problema:

Praticamente dopo un 5-10 minuti che il pc sta accesso il processore va di colpo al 100% di utilizzo senza che apro nulla che lo sovraccarichi. Ho provato anche ad aprire il task menager ma non sono riuscito ad individuare cos'è che mi da questo problema!

Può essere che quei registri che non sono riuscito a ripristinare siano importanti? come faccio a ripristinarli a dovere?

23-03-2011, 14:44	#3
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	hai il pc infetto ne hijackthis non rimuove nulla al limite disabilita esecuzioni auutomatiche e servzi. questo è quello relativo al tuo caso -> http://www.threatexpert.com/report.a...bbab056da8964f segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

23-03-2011, 15:40	#4
ciottina Senior Member Iscritto dal: Apr 2003 Messaggi: 762	Segnalo lo stesso problema. Ho eliminato la fonte, ma rimane il problema delle cartelle invisibili! Qualcuno le ha recuperate? __________________ CPU Intel i5-650 - Asus P7H55-M PRO - 8 GB DDRIII 133 - ATI HD5770 1GB- HHD 1500 GB SATA II - HD Maxtor SATA 250 GB - MAST DVD+-RW LG SATA - Windows 7 64bit e XP Pro SP3

23-03-2011, 17:48	#6
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	hai solo disabilitato delle esecuzioni automatiche ma ti rimane ancora da fare tutto il resto.. come vedi dal link che ti ho messo l'infezione agisce eliminando delle chiavi di registro, creandone di nuove e via discorrendo.. quindi se vuoi perseguire questa strada manuale dovrai fare l'operazione inversa rispetto a quella fatta dal malware. __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

24-03-2011, 07:46	#8
ciottina Senior Member Iscritto dal: Apr 2003 Messaggi: 762	Appunto, chi può ci dia una dritta... ho 2 pc infetti a casa e non sappiamo come togliere definitivamente la bestiaccia! __________________ CPU Intel i5-650 - Asus P7H55-M PRO - 8 GB DDRIII 133 - ATI HD5770 1GB- HHD 1500 GB SATA II - HD Maxtor SATA 250 GB - MAST DVD+-RW LG SATA - Windows 7 64bit e XP Pro SP3

24-03-2011, 12:51	#10
ciottina Senior Member Iscritto dal: Apr 2003 Messaggi: 762	domandina: come mai va disattivato il sistema di ripristino? mi fa un pò paura farlo perchè finora è l'unica cosa che mi ha salvata da perdite sicure! Solo grazie a questo, ad esempio, le cartelle sono tornate a loro posto dopo questa infezione anche se trasparenti (almeno nn sono invisibili!)!!! Qualcuno sa interpretare questo log?? Log rimosso, leggere le Regole di sezione, grazie. __________________ CPU Intel i5-650 - Asus P7H55-M PRO - 8 GB DDRIII 133 - ATI HD5770 1GB- HHD 1500 GB SATA II - HD Maxtor SATA 250 GB - MAST DVD+-RW LG SATA - Windows 7 64bit e XP Pro SP3 Ultima modifica di Chill-Out : 24-03-2011 alle 20:01.

22-03-2011, 22:34	#2
guylmaster Senior Member Iscritto dal: Aug 2002 Messaggi: 2518	Ho fixato tutte le voci che sembravano sospette ed ora pare non apparire più, permane però un problema: Non riesco a far riapparire quella cartella. Ho provato anche a mostrare i file protetti da sistema (ancora me lo avesse messo come file nascosto, mbho) ma nulla. Se digito il percorso della cartella me la appre ma me la da vuota. Cosa mi sfugge?

23-03-2011, 17:36	#5
guylmaster Senior Member Iscritto dal: Aug 2002 Messaggi: 2518	Cioè il fatto che abbia eliminato con Hijackthis le parole che lo fanno avviare all'avvio, ed ora non appaia più, non significa che lo abbia eliminato? Cioè si, ho capito che il virus sarà ancora da qualche parte, ma cosi non dovrebbe "partire più" avendo fixato le chiavi di registro con hijackthis?!? che altro dovrei fare per eliminarlo del tutto?

25-03-2011, 01:14	#11
guylmaster Senior Member Iscritto dal: Aug 2002 Messaggi: 2518	Sto riscontrando da oggi, strano ieri non lo faceva, uno strano problema: Praticamente dopo un 5-10 minuti che il pc sta accesso il processore va di colpo al 100% di utilizzo senza che apro nulla che lo sovraccarichi. Ho provato anche ad aprire il task menager ma non sono riuscito ad individuare cos'è che mi da questo problema! Può essere che quei registri che non sono riuscito a ripristinare siano importanti? come faccio a ripristinarli a dovere?

Strumenti
Mostra una versione stampabile Invia questa pagina per email