[win XP] virus Windows security alert - Pagina 3

**Chill-Out** · 24-10-2007, 11:04

Quote:

Originariamente inviato da Azzurro979

Buongiorno a tutti,
scusate l'intrusione, sono nuovo e avrei bisogno di un supporto perchè ho anch'io il medesimo problema...
sono stato infettato dal medesimo virus...
ho passato HijackThis e Ccleaner, ora non mi si apre più la finestra Windows Security Alert e non ci sono più i .exe malefici in avvio automatico, ma comunque non ho più accesso al pannello di controllo perchè dice "Sono state attivate delle restrizioni. Contattare l'amministratore di sistema".
Io sono unico amministratore e non ho scaricato alcun aggiornamento di Windows (ho Windows XP, SP2 con processore pentium dual core 2.8 Ghz, 2Gb RAM, scheda ATI Radeon X550). Di seguito riporto il log di HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.39.12, on 22/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Microsoft LifeCam\MSCamSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Microsoft LifeCam\LifeExp.exe
C:\WINDOWS\asicutil2.exe
C:\DOCUME~1\Daniele\IMPOST~1\Temp\1188935714.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O3 - Toolbar: Mostra Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [LifeCam] "C:\Programmi\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [mp3creator] C:\WINDOWS\asicutil2.exe "MP3 Creator" "mp3creator" 3
O4 - HKLM\..\Run: [crtfmon] C:\DOCUME~1\Daniele\IMPOST~1\Temp\1188935714.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: ERUNT AutoBackup.lnk = C:\Programmi\ERUNT\AUTOBACK.EXE (User 'SYSTEM')
O4 - .DEFAULT Startup: ERUNT AutoBackup.lnk = C:\Programmi\ERUNT\AUTOBACK.EXE (User 'Default user')
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programmi\ERUNT\AUTOBACK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A10ABD46-076D-4070-91E5-84010F958D3F}: NameServer = 85.37.17.4 85.38.28.70
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Convalida password di Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe

--
End of file - 5904 bytes

Grazie mille a chiunque volesse aiutarmi.....

Daniele

Se il tuo problema è il medesimo segui la seguente procedura:
http://www.hwupgrade.it/forum/showpo...1&postcount=10

a.xin90 · 24-10-2007, 19:57

io ho ancora gli stessi problemi di accesso e dopo aver cancellato molti servizi il pc è diventato lentissimo...penso di risolvere con una formattazione...

Riverside · 24-10-2007, 23:01

Disintallate gli aggioramenti di Net.Framworks 2.0 e 3.0, intanto.
Poi postate un nuovo log di HThis.

checcopa · 27-01-2008, 15:22

anche io ho lo stesso problema...mi potreste aiutare??

questo è il mio log

salve a tutti questo è il mio file log... potresti aiutarmi??

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.59.16, on 27/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
- log rimosso almeno leggere il thread!!! -

--
End of file - 11165 bytes

lancetta · 27-01-2008, 15:27

http://www.hwupgrade.it/forum/showthread.php?t=1589984
http://www.hwupgrade.it/forum/showthread.php?t=1599737

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

1 se il relativo txt generato è max 20 kb, allegarlo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2 se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download[/quote]

checcopa · 28-01-2008, 16:39

scusate ecco il log...

**Chill-Out** · 28-01-2008, 16:44

hai di tutto di più, toglimi una curiosità hai il Norton 2008?

checcopa · 28-01-2008, 19:34

si ho il norton 2008 ma l'ho installato dapoco prima avevo nod...cmq che posso fare??

lancetta · 28-01-2008, 19:49

Quote:

Originariamente inviato da checcopa

si
si ho il norton 2008 ma l'ho installato dapoco prima avevo nod...cmq che posso fare??

puoi seguire questo

checcopa · 28-01-2008, 19:56

scusami con questo vuoi dire la discussione??no perchè volevo sapere se dovevo fixare, eliminare,ecc quelche file

murack83pa · 28-01-2008, 20:10

Quote:

Originariamente inviato da checcopa

scusami con questo vuoi dire la discussione??no perchè volevo sapere se dovevo fixare, eliminare,ecc quelche file

credo che devi aprire una nuova discussione, seguendo la guida che ti aveva linkato lancetta, esponi in dettagli i tuoi problemi, scansioni con i programmi della guida e posti qui i log

questa è la guida che ti aveva linkato lancetta:
http://www.hwupgrade.it/forum/showthread.php?t=1599737

queste sono regole di sezione, che è buona norma(oltre che obbligatorio,x il vostro interesse ovviamente) leggere:
http://www.hwupgrade.it/forum/showthread.php?t=1589984

apri un nuovo 3d, cosi ti spiego nel dettaglio la guida

ciao

checcopa · 29-01-2008, 19:40

leggendo la guida(PRIMA ANALISI - PRELIMINARE) ho riscontrato già un primo problema...mi dice che ripristino configurazione di sistema ha riscontrato un errore durante il tentativo di attivare/disattivare una o più unità...
cosa dovrei fare???

murack83pa · 29-01-2008, 20:42

.

3mJ4y · 05-03-2008, 19:47

Dopo un medio inseguimento fra voci di registro, processi e files, il virus è stato acciuffato e rimosso (sono stato fino alle 3 di stanotte!). Vi evito la cronostoria. Per toglierlo:

Eliminate i files:

apdqnxp.dll
fqspogw.exe
enlfxgw.dll
btrklfr.dll

si trovano nella directory di WINDOWS

poi aprite il registro di sistema (per i meno pratici "Esegui" -> regedit -> "OK") e cercate tutte le ricorrenze (chiavi, valori, dati) di:

apdqnxp
fqspogw
enlfxgw
btrklfr
6FF80A5C-38B7-45ED-B011-F9064FF16703
C5C1C68B-79A3-461B-BF41-410CF67FABB4
DA84AF07-1D56-4EAA-B590-33E0D8ECB877

eliminatele!

Riavviate il pc
"Esegui" -> regedit -> " iexplore "" " -> "OK"
appena si apre IE andate su Strumenti e rimettete la vosta homepage preferita, il virus dovrebbe averla cambiata.

Spero di essere stato utile.

Ciao,
Maurizio G.

juninho85 · 06-03-2008, 02:16

solitamente son nomi random che vengono generati sia per i file chè per le chiavi di registro

scorpion09 · 20-10-2008, 10:51

Salve ho anche io il problema windows security alert vi scrivo il log di hijackthis

Log rimosso leggi le Regole di sezione sono indicate le modalità per allegare i log, grazie.

wjmat · 20-10-2008, 10:56

Ciao benvenuto nel pronto soccorso di HU.
segui qui la guida per la rimozione di Falsi Antispyware/Antivirus e posta in quella discussione tutti i log richiesti secondo le modalità .

xcdegasp · 20-10-2008, 15:44

chiudo per evitare doppioni

27-01-2008, 15:22	#44
checcopa Junior Member Iscritto dal: Jan 2008 Messaggi: 5	un po' d'aiuto anche io ho lo stesso problema...mi potreste aiutare?? questo è il mio log salve a tutti questo è il mio file log... potresti aiutarmi?? Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14.59.16, on 27/01/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: - log rimosso almeno leggere il thread!!! - -- End of file - 11165 bytes Ultima modifica di xcdegasp : 27-01-2008 alle 16:47. Motivo: log rimosso

27-01-2008, 15:27	#45
lancetta Senior Member Iscritto dal: Feb 2007 Città: Salerno...... Messaggi: 3259	http://www.hwupgrade.it/forum/showthread.php?t=1589984 http://www.hwupgrade.it/forum/showthread.php?t=1599737 MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI: 1 se il relativo txt generato è max 20 kb, allegarlo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI; 2 se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download[/quote] __________________ Opera disabilitazione script ed iframe Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA \| GUIDA:ShutdownTimer (Spegnimento auto pc) \| Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta...

28-01-2008, 16:44	#47
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	hai di tutto di più, toglimi una curiosità hai il Norton 2008? __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

28-01-2008, 19:56	#50
checcopa Junior Member Iscritto dal: Jan 2008 Messaggi: 5	mmm scusami con questo vuoi dire la discussione??no perchè volevo sapere se dovevo fixare, eliminare,ecc quelche file

29-01-2008, 19:40	#52
checcopa Junior Member Iscritto dal: Jan 2008 Messaggi: 5	cominciamo bene... leggendo la guida(PRIMA ANALISI - PRELIMINARE) ho riscontrato già un primo problema...mi dice che ripristino configurazione di sistema ha riscontrato un errore durante il tentativo di attivare/disattivare una o più unità... cosa dovrei fare???

24-10-2007, 19:57	#42
a.xin90 Junior Member Iscritto dal: Oct 2007 Messaggi: 20	io ho ancora gli stessi problemi di accesso e dopo aver cancellato molti servizi il pc è diventato lentissimo...penso di risolvere con una formattazione...

24-10-2007, 23:01	#43
Riverside Bannato Iscritto dal: Jul 2007 Città: Riverside House Messaggi: 3333	Disintallate gli aggioramenti di Net.Framworks 2.0 e 3.0, intanto. Poi postate un nuovo log di HThis.

28-01-2008, 19:34	#48
checcopa Junior Member Iscritto dal: Jan 2008 Messaggi: 5	si si ho il norton 2008 ma l'ho installato dapoco prima avevo nod...cmq che posso fare??

29-01-2008, 20:42	#53
murack83pa Bannato Iscritto dal: Oct 2007 Città: Palermo Messaggi: 4623	.

05-03-2008, 19:47	#54
3mJ4y Junior Member Iscritto dal: Mar 2008 Messaggi: 1	Rimozione grezza virus "Windows Security Alert" Dopo un medio inseguimento fra voci di registro, processi e files, il virus è stato acciuffato e rimosso (sono stato fino alle 3 di stanotte!). Vi evito la cronostoria. Per toglierlo: Eliminate i files: apdqnxp.dll fqspogw.exe enlfxgw.dll btrklfr.dll si trovano nella directory di WINDOWS poi aprite il registro di sistema (per i meno pratici "Esegui" -> regedit -> "OK") e cercate tutte le ricorrenze (chiavi, valori, dati) di: apdqnxp fqspogw enlfxgw btrklfr 6FF80A5C-38B7-45ED-B011-F9064FF16703 C5C1C68B-79A3-461B-BF41-410CF67FABB4 DA84AF07-1D56-4EAA-B590-33E0D8ECB877 eliminatele! Riavviate il pc "Esegui" -> regedit -> " iexplore "" " -> "OK" appena si apre IE andate su Strumenti e rimettete la vosta homepage preferita, il virus dovrebbe averla cambiata. Spero di essere stato utile. Ciao, Maurizio G.

06-03-2008, 02:16	#55
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28983	solitamente son nomi random che vengono generati sia per i file chè per le chiavi di registro

20-10-2008, 10:51	#56
scorpion09 Junior Member Iscritto dal: May 2008 Messaggi: 12	Salve ho anche io il problema windows security alert vi scrivo il log di hijackthis Log rimosso leggi le Regole di sezione* sono indicate le modalità per allegare i log, grazie.* Ultima modifica di Chill-Out : 20-10-2008 alle 11:05.

20-10-2008, 10:56	#57
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	Ciao benvenuto nel pronto soccorso di HU. segui qui la guida per la rimozione di Falsi Antispyware/Antivirus e posta in quella discussione tutti i log richiesti secondo le modalità . __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

20-10-2008, 15:44	#58
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	chiudo per evitare doppioni __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

Strumenti
Mostra una versione stampabile Invia questa pagina per email