| Autore |
 Discussione  |
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 05/02/2008 : 21:26:28
|
non preoccuparti per systemscan. per ora quello che c'è basta e avanza.
purtroppo ancora devo finire.. ci vorrà ancora un po'.
Nel frattempo, lancia hijackthis, clicca su "Open the Misc Tool section" - "Open ADS Spy" - "Scan". Se rileva ADS spunta TUTTE le voci che eventualmente vengono rilevate e clicca su "remove selected".
EDIT: Scarica navilog1.exe_il mafioso sul desktop e installalo.
Lancialo, ti guiderà lui. Scegli la lingua (inglese o francese, come vuoi, non importa) e al menù di scelta seleziona l'opzione 1 (non scegliere le altre).
Ad un certo punto uscirà una scritta "Analysis ... Terminate", premi un tasto come richiesto e si aprirà un file di testo (il rapporto della scansione).
Posta il file secondo le regole del forum
|
Modificato da - Sibilla in data 05/02/2008 21:32:02 |
 |
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 05/02/2008 : 21:29:36
|
Ho capito che ho una bella collezione 
File updates362.exe
AntiVir 7.6.0.62 2008.02.05 TR/Crypt.XPACK.Gen
AVG 7.5.0.516 2008.02.05 Dropper.Agent.9.Q
BitDefender 7.2 2008.02.05 Trojan.Srizbi.AS
DrWeb 4.44.0.09170 2008.02.05 Trojan.MulDrop.10867
eSafe 7.0.15.0 2008.01.28 Suspicious File
Fortinet 3.14.0.0 2008.02.05 W32/Pakes.CBI!tr
F-Secure 6.70.13260.0 2008.02.05 W32/Smalltroj.CQDU
Ikarus T3.1.1.20 2008.02.05 Trojan.Win32.Pakes.cbi
Kaspersky 7.0.0.125 2008.02.05 Trojan.Win32.Pakes.cbi
NOD32v2 2850 2008.02.05 Win32/Agent.NPM
Norman 5.80.02 2008.02.05 W32/Smalltroj.CQDU
Prevx1 V2 2008.02.05 Heuristic: Suspicious File With Bad Parent Associations
Sophos 4.26.0 2008.02.05 Mal/Generic-A
Sunbelt 2.2.907.0 2008.02.05 Trojan.Crypt.XPACK.Gen
Symantec 10 2008.02.05 Trojan Horse
TheHacker 6.2.9.209 2008.02.05 Trojan/Pakes.cbi
Webwasher-Gateway 6.6.2 2008.02.05 Trojan.Crypt.XPACK.Gen
Che palle  Ti ringrazio tanto, sono tutti file creati nello stesso minuto e dovunque si guarda sono infetti.
Anche se ci vorrà del tempo io sono qui - dipende da te fin dove possiamo arrivare, adesso provo questa mossa con hijackthis
grazie ancora |
Modificato da - bilbobagins in data 05/02/2008 21:40:12 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 05/02/2008 : 21:43:20
|
quale mossa con hjt?
devi eseguire una scansione per gli hidden files.. è solo una scansione, non rimuove nulla..
sii paziente :(
edit:  ah si, gli ADS.
=> Ora puoi togliere anche il link a systemscan (i messaggi li sai modificare, quindi..). Lo rimetterò io. |
Modificato da - Sibilla in data 05/02/2008 21:49:39 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 05/02/2008 : 21:55:41
|
Il mafioso sta lavorando, quando finisce mando log.
Anzi ha finito adesso
fixnavi.txt
Buona serata o forse meglio buonanotte  |
Modificato da - bilbobagins in data 05/02/2008 22:04:28 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 05/02/2008 : 23:08:47
|
| fatto aspetta.. |
Modificato da - Sibilla in data 05/02/2008 23:20:08 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 05/02/2008 : 23:14:52
|
Citazione:
Messaggio inserito da Sibilla
fatto, aspetta..
Aspetterò di sicuro,
anche perché non ho idea come procedere altrimenti.  |
Modificato da - bilbobagins in data 05/02/2008 23:18:29 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 05/02/2008 : 23:19:51
|
Ne restano fuori parecchi (compr. _svchost ). Dovessi aver problemi con qualche programma (es. mio).. lo installi nuovamente..
Questo lo fai a mano.. non l’ho inseirto nello script,
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon | System
=> Apri il registro (start – esegui – digita regedit e dai l’ok)
Clicca su “file” – “esporta” – salva in c:\
Segui questo percorso:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Nella finestra a destra individua System, cliccaci sopra due volte e cancella kdrrq.exe
Premi F5 e chiudi il registro.
Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento. All'interno della finestra "Wiew/edit script", nel box bianco, copia/incolla:
Citazione:
Registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon \Notify\botreg
files to delete:
W:\WINDOWS\QTFont.for
W:\WINDOWS\twain_32.exe
W:\WINDOWS\mmall.exe
W:\WINDOWS\mmyh_co.exe
W:\WINDOWS\mm_tmpoc1.exe
W:\WINDOWS\b122.exe
W:\WINDOWS\syss_.exe
W:\WINDOWS\mrofinu27.exe
W:\WINDOWS\QTFont.qfn
W:\WINDOWS\system32\L6E1.tmp.exe
W:\WINDOWS\system32\updates298.exe
W:\WINDOWS\system32\winsub.xml
W:\WINDOWS\system32\updates228.exe
W:\WINDOWS\system32\Loadwer.bwz
W:\WINDOWS\system32\L324D.tmp.exe
W:\WINDOWS\system32\LE22D.tmp.exe
W:\WINDOWS\system32\dllgh8jkd1q2.exe
W:\WINDOWS\system32\vx.tll
W:\WINDOWS\system32\csrssw.dll
W:\WINDOWS\system32\shift.exe.exe
W:\WINDOWS\system32\updates251.exe
W:\WINDOWS\system32\updates362.exe
W:\WINDOWS\system32\4_exception.nls
W:\WINDOWS\system32\gdygtuht.tmp
W:\WINDOWS\system32\2556253730.dat
W:\WINDOWS\system32\vedxga1me4t1.exe
W:\WINDOWS\system32\max1d11643v.exe
W:\WINDOWS\system32\vedxga3me2.exe
W:\WINDOWS\system32\vedxg4am1et2.exe
W:\WINDOWS\system32\vedxg6ame4.exe
W:\WINDOWS\system32\kr_done1
W:\WINDOWS\system32\10514525841.dll
W:\WINDOWS\system32\updates376.exe
W:\WINDOWS\system32\svchost.t__
W:\WINDOWS\system32\J8dj3jg.dll
W:\WINDOWS\system32\Hfkr4g.dll
W:\WINDOWS\system32\dllgh8jkd1q8.exe
Folders to delete:
W:\WINDOWS\temp
Fai una scansione con Kaspersky_virusscanner e posta i risultati (salvali in formato txt).
Riesegui systemscan ma lascia spuntato solo “recent files” e posta il rapporto.
Questa ti dice qualcosa? Penso di no…
LEGACY_BURITO68DF-68BC
|
Modificato da - Sibilla in data 05/02/2008 23:21:42 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 05/02/2008 : 23:23:24
|
prima di tutto, scusa:
Disattiva il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta "disattiva ripristino configuraz. di sistema"
scarica CCleaner.
Eseguilo e ripulisci sia i file temporanei e cookie (2 volte) che il registro.
Edit:
Non so se l'avete scaricato voi ma a me sembra russo viste le ricerche
C:\Documents and Settings\filip\Documenti\scrabble
sai cos'è? Ti serve? Se no, lo elimini... tanto se è infetto andrà via comunque con le prossime scansioni..
|
Modificato da - Sibilla in data 05/02/2008 23:33:31 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 05/02/2008 : 23:37:01
|
Ho provato
Segui questo percorso:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Nella finestra a destra individua System, cliccaci sopra due volte e cancella kdrrq.exe
Premi F5 e chiudi il registro.
premendo f5 valore ritorna kdrrq.exe
scrabble e un famoso gioco di parole da tavolo, questa e una versione online, non ho problemi a cancellarlo
adesso pulisco - grazie
ho ripulito e poi ho esequito script, adesso sta riaviando, escono cose strane
serve log di avanger ? |
Modificato da - bilbobagins in data 05/02/2008 23:59:09 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 05/02/2008 : 23:57:57
|
X Michal:
1) Dai 1 occhiata a queste: CurrentControlSet.txt
Gli hidden files si rifanno a quelle chiavi.
Quindi sarebbero da eliminare tutte queste:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BURITO68DF-68BC]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OIRIJSHR556325B0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OIRIJSHRBA011E3]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\burito68df-68bc]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oirijshr556325b0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oirijshrba011e3]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_BURITO68DF-68BC]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_OIRIJSHR556325B0]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_OIRIJSHRBA011E3]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\burito68df-68bc]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oirijshr556325b0]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oirijshrba011e3]
e non so, sicuramente anche queste (sempre da hidden):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Gol51]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Gol51]
"E quindi?", ti chiederai? 
Ecco burito_alias Worm_Nuwar.Bk... ma gli altri due cosa sono?
2) Poi.. posso applicare questa senza problemi?
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon | System
dove: "system"="kdrrq" - altro hidden file
3) Le novità non mi piacciono proprio x questo..
Buona giornata |
Modificato da - Sibilla in data 06/02/2008 01:46:21 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 06/02/2008 : 00:05:35
|
Bene anzi benissimo, gia prima non capivo niente come faccio adesso a capire ancora meno ??? 
Attacco la rete e provo con kaspersky |
Modificato da - bilbobagins in data 06/02/2008 00:06:22 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/02/2008 : 00:12:10
|
Citazione:
Messaggio inserito da bilbobagins
cancella kdrrq.exe premi F5 e chiudi il registro.
Premendo f5 valore ritorna kdrrq.exe
urrà... non so se c'entra ma hai disattivato il ripristino configurazione di sistema?
Ok, prima di kaspersky esegui anche una scansione con Panda AntiRootkit e prova a rieseguire quelle con Symantec_removal_tool_linkOpt e Prevx_Gromozon, che già avevi scaricato.
Citazione:
scrabble e un famoso gioco di parole da tavolo, questa e una versione online, non ho problemi a cancellarlo
Mi affido alle scansioni. Mi piacerebbe sapere su quale server
..a questo punto aspettiamo. |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 06/02/2008 : 00:25:42
|
Kaspersky sta lavorando e per ripristino si e disattivato,
Per scrabble ci sono vari server in varie lingue, poi ce anche dizionario e altri programmi correlati,adesso non mi ricordo bene ma comunque non mi interessa, ho tutto nelle versioni aggiornate montato su Linux.
Ce una ottimistica nota
Questo free on line virus scanner è molto potente e scansiona il tuo PC profondamente, perciò ci vorranno ore prima che finisca l'operazione. Suggeriamo di effettuarla in un periodo di bassa attività.
Mi conviene fare la doccia ???
Chi sa, almeno una sigaretta   
|
Modificato da - bilbobagins in data 06/02/2008 00:45:53 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/02/2008 : 00:33:02
|
Citazione:
Messaggio inserito da bilbobagins
...gia prima non capivo niente come faccio adesso a capire ancora meno ???
tranquillo, non era x te. Comunque.. Scarica questo file burito22.txt in c:\
Rinominalo cambiando l'estensione in .reg e non eseguirlo. Si dovrà chiamare burito22.reg
Svuota la cartella w:\windows\prefetch\
Esegui avenger:
Citazione:
Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BURITO68DF-68BC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\burito68df-68bc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_BURITO68DF-68BC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\burito68df-68bc
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\botreg
Files to delete:
W:\WINDOWS\desktop.html
W:\WINDOWS\system32\runtime.exe
W:\WINDOWS\system32\taskmon.sys
W:\WINDOWS\system32\updates331.exe
W:\WINDOWS\taskmon.exe
Per qualsiasi problema dovessi avere, anche da provvisoria, basterà cliccare 2 volte sul file .reg
Poi passiamo ai files.
PS posta o dimmi se i risultati di avenger sono ok. |
Modificato da - Sibilla in data 06/02/2008 11:59:53 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 06/02/2008 : 00:58:51
|
Per avenger non ho la piu pallida idea se sono buoni (sospetto che qualcosa andato storto) pero almeno so dove sono, e sono qui:
avenger30.txt
O quanto sono furbo e scemo
Comunque grazie per la pazienza,
Qui risultato di Critical Areas di Kaspersky (memory pulito)
kaspersky1.txt |
Modificato da - bilbobagins in data 06/02/2008 01:01:35 |
|
|
|
Discussione |
|
Windows has detected spyware infection
Forum Bloccato
