windows security alert popup

**Quadus** · 05-11-2008, 06:00

Ciao a tutti. Sono capitato per caso su questo thread e ho visto che trattavate del problema che da ieri affligge il mio pc: il popup con "windows security alert".
Ho provato a tentare qualche operazione consigliata, ma i file da cancellare non sono presenti.
Vi riporto il testo di hijackthis. Spero mi possiate aiutare!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 4.51.54, on 05/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
E:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
E:\xampp\apache\bin\apache.exe
E:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
E:\xampp\apache\bin\apache.exe
E:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
E:\Programmi\Alwil Software\Avast4\ashWebSv.exe
E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\NetLimiter\NetLimiter.exe
E:\Programmi\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
E:\Programmi\RogueRemover PRO\RogueRemoverPRO.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
E:\Programmi\Mozilla Thunderbird\thunderbird.exe
C:\Programmi\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
E:\Programmi\Mozilla Firefox\firefox.exe
E:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/yco...//it.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 87.252.2.147 L2authd.lineage2.com
O1 - Hosts: 87.252.2.147 L2testauthd.lineage2.com
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.d ll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.d ll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programmi\K-Lite Codec Pack\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NetLimiter] C:\Programmi\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Rainlendar2] E:\Programmi\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [Packard Bell Software Suite] C:\Programmi\Packard Bell\Packard Bell Software Suite\Launcher.exe /run
O4 - HKCU\..\Run: [wixpo] "C:\Documents and Settings\Fabio\Application Data\Google\mupd1_2_645698.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [RogueMonitor] E:\Programmi\RogueRemover PRO\RogueRemoverPRO.exe /monitor
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Registration Heroes of Might & Magic 5.LNK = D:\Programmi\Ubisoft\Heroes of Might and Magic V\registration\RegistrationReminder.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = E:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O8 - Extra context menu item: Download with GetRight - E:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - E:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O23 - Service: Apache2.2 - Apache Software Foundation - E:\xampp\apache\bin\apache.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - E:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - E:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - E:\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: mysql - Unknown owner - E:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Cor

**Deifobe** · 05-11-2008, 10:31

questo e' il thread a cui fai riferimento: http://forum.html.it/forum/showthrea...3&pagenumber=4
Ho anche diviso la discussione, la prossima volta aprine una nuova.

Torniamo al tuo pc..

scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

**Quadus** · 05-11-2008, 14:45

Eccolo.
Spero di aver fatto tutto correttamente.

**Deifobe** · 05-11-2008, 21:38

eh.. abbiamo qualche ospite...

1) scarica in c:\ mbr.exe, disattiva l'antivirus
start => esegui => digita: c:\mbr.exe -f
Attento che c'è uno spazio da rispettare prima di -f
posta il rapporto, lo trovi in c:\

2) Scarica ed esegui Avenger e nella finestra che si apre copia/incolla:

files to delete:
C:\WINDOWS\system32\8q235fND.exe
C:\WINDOWS\system32\8q235fND.exe.a_a
C:\WINDOWS\system32\2NqGs23o.exe
C:\WINDOWS\system32\2NqGs23o.exe.a_a
C:\WINDOWS\temp\bca4e2da.$$$
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At59.job
C:\WINDOWS\tasks\At60.job
C:\WINDOWS\tasks\At58.job
C:\WINDOWS\tasks\At55.job
C:\WINDOWS\tasks\At56.job
C:\WINDOWS\tasks\At57.job
C:\WINDOWS\tasks\At61.job
C:\WINDOWS\tasks\At63.job
C:\WINDOWS\tasks\At72.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At64.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At65.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At66.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At67.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At68.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At69.job
C:\WINDOWS\tasks\At70.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At71.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At49.job
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At50.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At51.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At52.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At53.job
C:\WINDOWS\tasks\At54.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At62.job
C:\WINDOWS\TEMP\4D5.tmp

registry keys to delete:
HKLM\system\currentcontrolset\services\{DEF85C80-216A-43ab-AF70-1665EDBE2780}
HKLM\system\controlset001\services\{DEF85C80-216A-43ab-AF70-1665EDBE2780}
HKLM\system\controlset002\services\{DEF85C80-216A-43ab-AF70-1665EDBE2780}

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

3) Scarica e scompatta sul desktop questo file hosts.zip
=> clic con il tasto destro del mouse - "copia" - e "incolla" il file nella cartella C:\Windows\system32\drivers\etc
"ect" è una cartella... => li' troverai già un altro file hosts, quindi accetta la sostituzione

4) analizza il file C:\Documents and Settings\Fabio\Application Data\Google\mjkmsk.dll su Virustotal e posta il link della scansione.

5) posta un nuovo systemscan

**Quadus** · 06-11-2008, 02:22

Originariamente inviato da Deifobe
eh.. abbiamo qualche ospite...

Azz!!

1) scarica in c:\ mbr.exe, disattiva l'antivirus
start => esegui => digita: c:\mbr.exe -f
Attento che c'è uno spazio da rispettare prima di -f
posta il rapporto, lo trovi in c:\

1) ecco sotto il rapporto di mbr.exe

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0xfffeb05 size 0x1c6 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

2) Scarica ed esegui Avenger

2) Fatto. Ho riavviato seguendo le istruzioni del programma.
Il log l'ho caricato su Savefile: http://www.savefile.com/files/1873065.

3) Scarica e scompatta sul desktop questo file hosts.zip

3) Fatto. Sostituito il file.

4) analizza il file C:\Documents and Settings\Fabio\Application Data\Google\mjkmsk.dll su Virustotal e posta il link della scansione.

4) Link a Virustotal: http://www.virustotal.com/it/analisi...10f1754a2d851f.

5) posta un nuovo systemscan

5) Nuovo systemscan: http://www.savefile.com/files/1873086

Speriamo in bene :master:

**Deifobe** · 06-11-2008, 02:29

controllo

**Deifobe** · 06-11-2008, 02:39

allora.. avenger: ok
systemscan: ok
mbr: ok
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

hosts: ok

teoricamente avresti finito.. facciamo un po' di pulizia e un ulteriore controllo.

- abilita il firewall, lo vedo disattivato.

- esegui Hijackthis, clicca sul tasto "Do a system scan only", spunta le seguenti voci e clicca su "fix Checked"

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programmi\Java\jre6\bin\jusched.exe"
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = E:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

- scarica ed esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte)

- quando hai tempo, fai una scansione on-line con Kaspersky:
clicca su Kaspersky Online Scanner => Accept => (partirà l'update)
=> seleziona "my computer" (a sinistra) e da questo momento in poi puoi anche disconnettere il pc da internet se non vuoi restare connesso
=> al termine della scansione clicca su "View Scan Report"
=> "Save Report As" => salva e posta il rapporto.

**Quadus** · 06-11-2008, 02:47

Ora faccio tutto ma -ahimé- il problema sta persistendo: continua a comparire la finestrella.

**Deifobe** · 06-11-2008, 02:50

ok, vedremo di risolverla..
fai la scansione, al più proviamo con smitfraudfix anche.

notte...

**Quadus** · 07-11-2008, 02:20

Allora...
Fatto tutto.
Con Ccleaner ho barrato le seguenti caselle:
Internet Explorer:
* File temporanei internet
* Cookie
Sistema
* File temporanei
Firefox
* Cache Internet
* Cookie
* Cronologia dei download
* Cronologia internet

Kaspersky l'ho fatto separatamente per ogni disco, perché a farlo tutto insieme mi s'impallava.
In C: il risultato sembra pulito.

Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes
Scan area Folder
C:\
Scan statistics
Files scanned 27372
Threat name 0
Infected objects 0
Suspicious objects 0
Duration of the scan 00:54:44

No malware has been detected. The scan area is clean.
The selected area was scanned.

In D: invece qualcosa ha trovato, ma non credo siano i colpevoli di questa dannata finestrella, visto che sono tutti file presenti da anni nel pc, in copie di backup di vecchie mail che sono lì da una vita e che sempre da una vita non guardo e non apro.

Ecco il log di D.

Inizio a preoccuparmi

VVoVe:

Discussione: windows security alert popup

Strumenti discussione

Ricerca discussione

Visualizza

stesso problema

Permessi di invio