Falso Messaggio Windows Security Alert

[dimadriano78]

ciao ragazzi,

da qualche giorno sono tartassato da un falso messaggio di Windows security alert che mi chiede di scaricare un un prog. per la rimozione degli spyware.

non ci sono cascato e vi posto il log di HiJackThis.

GRAZIE A CHI MI AIUTERA'

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23.20.41, on 27/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\Explorer.exe

E:\WINDOWS\system32\spoolsv.exe

E:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe

E:\WINDOWS\system32\printer.exe

E:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

E:\Programmi\3dfx Interactive\3dfx Tools\Apps\3dfxMan.exe

E:\PROGRA~1\Grisoft\AVG7\avgcc.exe

E:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

E:\WINDOWS\system32\ctfmon.exe

E:\Programmi\Messenger\msmsgs.exe

E:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

E:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe

E:\PROGRA~1\Grisoft\AVG7\avgemc.exe

E:\WINDOWS\system32\svchost.exe

E:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe

E:\WINDOWS\system32\devldr32.exe

E:\WINDOWS\system32\wscntfy.exe

E:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

F2 - REG:system.ini: Shell=Explorer.exe E:\WINDOWS\system32\printer.exe

O4 - HKLM\..\Run: [3dfx Tools] rundll32.exe 3dfxCmn.dll,CMNUpdateOnBoot

O4 - HKLM\..\Run: [3dfx Task Manager] "E:\Programmi\3dfx Interactive\3dfx Tools\Apps\3dfxMan.exe"

O4 - HKLM\..\Run: [AVG7_CC] E:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "E:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "E:\Programmi\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [DoNotDelete] E:\WINDOWS\system32\explore.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] E:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: system.exe

O4 - Global Startup: Microsoft Office.lnk = E:\Programmi\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: autorun.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe

O20 - AppInit_DLLs: E:\WINDOWS\system32\systems.txt

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - E:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe

--

End of file - 3599 bytes

[Kuma]

[ben]adri78[/ben]

Ciao...

Hai per caso installato dei codec non legittimi???

Per prima cosa, passaci questo tool:

Vundo FIX

clicca su su Scan for Vundo.

· A scansione finita clicca su Remove Vundo: riceverai una richiesta di conferma per la rimozione, cliccate su OK

· A rimozione conclusa conferma il messaggio che chiederà di riavviare il PC

Il log verrà creato in C:\vundofix.txt ....Postalo....

Poi...

Scarica questi programmi che ti serviranno anche per una futura manutenzione:

Ccleaner (pulizia generale) +

Vise Registry Cleaner (per pulire il registro)

Quando installi Ccleaner ricordati che se lasci le spunte di default ,verrà installata anche la toolbar yahoo (togli le spunte se non la vuoi)

STAMPA queste istruzioni (oppure salvale in un file sul desktop)

Ricordati di mettere HIJACK in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop o in cartelle temporanee.... è importante se vuoi salvare i backup

Esegui queste operazioni essendo disconnesso e con tutte le applicazioni chiuse

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata e disattiva "nascondi file protetti di sistema"

e Togli la spunta da: "Nascondi le estensioni dei file per i tipi di file conosciuti"(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Avvia il sistema in Modalità Provvisoria

CON TUTTE LE APPLICAZIONI CHIUSE....

.Avvia Hijack e clicca su "do a system scan only"

Metti la spunta davanti a queste voci (potrebbero non esserci tutte) e clicca su "fix checked

F2 - REG:system.ini: Shell=Explorer.exe E:\WINDOWS\system32\printer.exe

O4 - HKCU\..\Run: [DoNotDelete] E:\WINDOWS\system32\explore.exe

O4 - Startup: system.exe

O4 - Global Startup: autorun.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O20 - AppInit_DLLs: E:\WINDOWS\system32\systems.txt

Trova e se ci sono elimina questi files o cartelle usando esplora risorse

E:\WINDOWS\system32\printer.exe

E:\WINDOWS\system32\explore.exe

E:\WINDOWS\system32\systems.txt

Ripulisci il sistema con Ccleaner

ma prima di effettuare la pulizia, vai in Opzioni\Avanzate e togli la spunta a :

Pulisci il registro con Vise registry Cleaner (Pulizia del Registro)

Dal pannello di controllo, clicca sull'icona JAVA e svuota la cache( nella scheda "Generale" clicca su "file temporanei di Internet" --> Impostazioni --> Elimina file)

NB___se le voci non compaiono in modalità provvisoria vanno fissate da quella normale.

RIAVVIA IL PC

Hai il registro disabilitato....

se non puoi eseguire le istruzioni qui sotto, scarica il file che ti allego ed eseguilo...

(decomprimilo, click destro sul file e seleziona INSTALLA

----------

Da Start/Esegui digita regedit e dai l'OK

portati alla chiave

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

individua nella finestra di destra Shell

facci doppio click sopra ed elimina il valore C:\WINDOWS\SYSTEM32\PRINTER.EXE ...

IMPORTANTE: deve rimanere solo il valore Explorer.exe

----------

Ci sarebbero anche da eliminare questi due:

....\system.exe

...\autorun.exe

Ma non so in che posizione si trovano... e comunque, vista la situazione serve anche un log di Kaspersky:

Fai una scansione Avanzata come descritto qui ed allega il log in formato HTML

http://forum.wininizio.it/index.php?showtopic=36981&hl=

rifai il log di Hijack e mettilo qui per un ulteriore controllo (il log va fatto in modalità normale)

specificando se il problema ti pare che si sia risolto e le cose che non sei riuscito a fare

RegRepair.rar

[dimadriano78]

questo è il log di vundoFix...

mi sembra un pò strano.

grazie per l'aiuto che mi stai dando!!!

VundoFix V6.5.9

Checking Java version...

Sun Java not detected

Scan started at 18.23.57 29/09/2007

Listing files found while scanning....

No infected files were found.

Beginning removal...

[dimadriano78]

sto provando a cancellare printer.exe ma mi dice che è impossibile poichè in uso, come posso fare?

[Steve75]

ciao

Attiva la visualizzazione dei file nascosti

(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)

1) metti la spunta su: Visualizza file e cartelle nascoste

2) Disattiva: nascondi file protetti di sistema

* Scarica AGVPFix

- Estrai l'archivio

- avvia il file AGVPFix.exe

- clicca su Start

- si aprirà una finestra simile a quella di esplora risorse , scorri l'albero fino al file in questione (E:\WINDOWS\system32\printer.exe)

selezionalo e dai l'ok

Ripeti la stessa operazione con tutti i file che non riesci ad eliminare.....

poi esegui i consigli di kuma per il resto