| Autore |
 Discussione  |
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 09/02/2008 : 22:01:42
|
il tuo rapporto di systemscan: report49.txt
1) cerca nel registro: vhosts e posta i risultati.
edit: non serve più.
Di sicuro è un malware (msupdate)... le eliminiamo con avenger
Citazione:
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msupdate
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSUPDATE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msupdate
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSUPDATE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msupdate
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSUPDATE
Posta il rapporto.
2) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\CLSID]
"\30 A?E?2?A?E?D?8?F?-?5?6?9?5?-?4?a?6?d?-?9?7?0?9?-?1?4?E?5?1?C?D?1?7?B?1?C?'?"=""
Io non capisco... perchè si ricrea
...
...
ECCOOOOO 
A?E?2?A?E?D?8?F?-?5?6?9?5?-?4?a?6?d?-?9?7?0?9?-?1?4?E?5?1?C?D?1?7?B?1?C?
è questa:
"‘AE2AED8F-5695-4a6d-9709-14E51CD17B1C'"=""
cercala nel registro con regsrch (AE2AED8F-5695-4a6d-9709-14E51CD17B1C), poi, percorsi alla mano, vai a vedere di cosa si tratta. |
Modificato da - Sibilla in data 09/02/2008 22:15:33 |
 |
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 09/02/2008 : 22:19:02
|
Ancora ??? da dove cavolo escono questi ?????
Ho lanciato avenger adesso mando il report.
avenger44.txt
Ho ataccato Win alla rete - fatto bene ???
Sto cercando AE2AED8F-5695-4a6d-9709-14E51CD17B1C con regedit.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\CLSID
Ce solo qui, anche se gia abiamo visto le chiavi invisibili
Con regsearch e lo stesso
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\CLSID]
"‘AE2AED8F-5695-4a6d-9709-14E51CD17B1C'"=""
Intanto rimango ataccato, e molto piu comodo e veloce 
staccato  cativa cativa cativa
|
Modificato da - bilbobagins in data 09/02/2008 22:38:20 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/02/2008 : 22:32:21
|
no, staccalo
edit1: ma se stiamo ancora ad eliminare robaccia?
Vuoi collegarlo? Per me va bene  .. non so se va veramente bene a te, piuttosto..
edit2: superantispyware non ha trovato nulla? |
Modificato da - Sibilla in data 09/02/2008 23:35:47 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 09/02/2008 : 23:41:06
|
Citazione:
Messaggio inserito da Sibilla
no, staccalo
Vuoi collegarlo? Per me va bene .. non so se va veramente bene a te, piuttosto..
Scherzavo
Citazione:
edit2: superantispyware non ha trovato nulla?
Non si e incollato niente |
Modificato da - bilbobagins in data 09/02/2008 23:49:26 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 09/02/2008 : 23:48:32
|
si ok ma aveva trovato qualcosa?
edit: => W:\DOCUME~1\Przemek\IMPOST~1\Temp\mbr.sys
se lo trovi, lo analizzi su vitustotal? o hai bisogno di collegare il pc a internet?
appartievne a queste chiavi:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mbr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MBR
edit2: non ho capito come.. ma stanno in un programma di/per linux.. boh.. lasciamole stare, va..
edit3: taskmon gira ancora? uffaaaaaaa
edit4: spybot l'hai? non lo ricordo.. Se si, domani fai una scansione in modalità provvisoria. Se non danno problemi nè Superantispyware nè spybot lo mandi in rete e vediamo cosa succede.
ieri notte però hai avuro un probema con la posta...
Non mi pare sia stato eliminato nulla di che oggi..
Ricontrollo..
edit5: a livello di files direi proprio nulla.. in compenso abbiamo alleggerito di parecchio il registro..
|
Modificato da - Sibilla in data 10/02/2008 00:54:01 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 09/02/2008 : 23:50:50
|
Citazione:
Messaggio inserito da Sibilla
si ok ma aveva trovato qualcosa?
scusa mi sono confuso,
Stamattina ha trovato e messo in quarantena taskmon e loader-suspicious
Sta lavorando adesso, appena so qualcosa ti avviso. |
Modificato da - bilbobagins in data 10/02/2008 00:06:03 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 10/02/2008 : 01:05:36
|
Citazione:
Messaggio inserito da Sibilla
edit3: taskmon gira ancora? uffaaaaaaa
ho trovato taskmon nel registro
InUseFiles.txt |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 10/02/2008 : 01:09:25
|
esporta tutta la chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware[.com]\SUPERAntiSpyware\InUseFiles (testo)
ricordo che all'inizio della discussione pure venne fuori sto fatto dei files in uso da superantispyware.. e ricordo che taskmon non era il solo..
cos'è questo?
C:\FILE SCARICATI\PDUMP32\PDUMP32\PDUMP32\SECUROM\LOADER.EXE |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 10/02/2008 : 01:14:13
|
Scusa mo stavo pensando che forse sarebbe anche ora di riposarsi un pochino, siamo arrivati a 15 pagine, 220 post, una settimana di computer, ormai anche sabato sera e passato.......
Tanto un giorno di piu non cambia niente.
Che dici ???
 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 10/02/2008 : 01:18:31
|
mi pareva di averti detto che ero esausta...
quindi.. Ti :)
..notte  |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 10/02/2008 : 01:19:55
|
Citazione:
Messaggio inserito da Sibilla
esporta tutta la chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware[.com]\SUPERAntiSpyware\InUseFiles
SUPERAntiSpyware.txt
Buonanotte sogni doro |
Modificato da - bilbobagins in data 10/02/2008 01:27:08 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 10/02/2008 : 01:22:24
|
notte..
domani ti lascio scritto cosa devi fare.. togliamo anche la Services\mbr e poi ti connetti.
ciao :)
ps.. c'è solo taskmon. Meglio. |
Modificato da - Sibilla in data 10/02/2008 01:23:31 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 10/02/2008 : 10:57:38
|
buondì
Elimina in:
HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware[.com]\SUPERAntiSpyware\InUseFiles
nella finestra a destra i due riferimenti a taskmon.
Ne trovi uno anche qui:
HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware[.com]\SUPERAntiSpyware\InUseRegistry\RegItem0
Questo cos'è?
C:\FILE SCARICATI\PDUMP32\PDUMP32\PDUMP32\SECUROM\LOADER.EXE
edit:
essodato che forse non servono (forse servivano per la partizione), vai in currentcontrolset e salva queste due (in formato reg - nome mbr1 ed mbr2):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mbr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MBR
poi esegui avenger:
Citazione:
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mbr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MBR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mbr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MBR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mbr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MBR
posta il rapporto
do uno sguardo alla root e services
EDIT:
continua a stare li'. Eliminala manualmente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASC3550P
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550p
e connettilo ad internet.
|
Modificato da - Sibilla in data 10/02/2008 11:28:08 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 10/02/2008 : 11:15:47
|
Citazione:
Messaggio inserito da Sibilla
buondì
Elimina in:
HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware[.com]\SUPERAntiSpyware\InUseFiles
nella finestra a destra i due riferimenti a taskmon.
Ne trovi uno anche qui:
HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware[.com]\SUPERAntiSpyware\InUseRegistry\RegItem0
Fatto
Citazione:
Questo cos'è?
C:\FILE SCARICATI\PDUMP32\PDUMP32\PDUMP32\SECUROM\LOADER.EXE
Manco mi ricordo, posso cancellare Anzi ho cancellato
Ricordi che mi hai detto di fare chkdisk, ho faffo e non ha trovato errori, ma ce qualcosa che non va perché non lo posso analizzare con utilità di deframmentazione di dischi. |
Modificato da - bilbobagins in data 10/02/2008 11:43:57 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 10/02/2008 : 11:56:26
|
Citazione:
Messaggio inserito da bilbobagins
ce qualcosa che non va perché non lo posso analizzare con utilità di deframmentazione di dischi.
hai il file dfrg.msc in system32? |
|
|
|
Discussione |
|
Windows has detected spyware infection
Forum Bloccato
