| Autore |
 Discussione  |
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 06/02/2008 : 01:07:19
|
ci sono 2 o 3 cose da eliminare.
se aspetti ari-modifico l'altro script che devi lanciare (pagina precedente) includendo questi files |
 |
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 06/02/2008 : 01:12:09
|
Io sono qui, scan di computer e arrivato a 18%  |
Modificato da - bilbobagins in data 06/02/2008 01:12:46 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/02/2008 : 01:20:49
|
Credo sia il caso di fare nanna.. lo lasci acceso e vai..
scansione con cosa, poi? c'è qualcosa di troppo in arretrato da fare 
Ah, ho rimesso il tuo rapporto nella discussione. Lo trovi in 1^ pagina.
Poi.. ho nuovamente eliminato la voce kdrrq.exe. Ne voglio prima parlare con michal.
Solo una curiosità ma non credo che li troverai..
se visualizzi i files nascosti questi li vedi?
W:\WINDOWS\system32\drivers\Gol51.sys
W:\WINDOWS\system32\kdrrq.exe
W:\WINDOWS\system32\burito.ini
|
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 06/02/2008 : 01:31:23
|
Hai ragione e tardi, scansione si e fermata con la schermata blu 
Adesso provo con Panda e a domani.
Buonanotte e sogni doro.
Grazie grazie grazie
Solo una curiosità ma non credo che li troverai..
se visualizzi i files nascosti questi li vedi?
W:\WINDOWS\system32\drivers\Gol51.sys
W:\WINDOWS\system32\kdrrq.exe
W:\WINDOWS\system32\burito.ini
no non ci sono |
Modificato da - bilbobagins in data 06/02/2008 01:35:05 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/02/2008 : 01:33:16
|
ti conviene eseguire lo script e vedere cosa succede...
|
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 06/02/2008 : 01:35:55
|
si hai ragione - e non e la prima volta  |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 06/02/2008 : 01:38:07
|
Citazione:
Messaggio inserito da Sibilla
ci sono 2 o 3 cose da eliminare.
se aspetti ari-modifico l'altro script che devi lanciare (pagina precedente) includendo questi files
Per questo aspettiamo domani, anche perché questa e la mia ora di rincogl....... totale |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/02/2008 : 01:39:14
|
a chi lo dici.
a domani. |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 06/02/2008 : 14:04:15
|
Citazione:
Messaggio inserito da Sibilla
Citazione:
Messaggio inserito da bilbobagins
...gia prima non capivo niente come faccio adesso a capire ancora meno ???
tranquillo, non era x te. Comunque.. Scarica questo file burito22.txt in c:\
Rinominalo cambiando l'estensione in .reg e non eseguirlo. Si dovrà chiamare burito22.reg
Svuota la cartella w:\windows\prefetch\
Esegui avenger:
Citazione:
Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BURITO68DF-68BC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\burito68df-68bc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_BURITO68DF-68BC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\burito68df-68bc
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\botreg
Files to delete:
W:\WINDOWS\desktop.html
W:\WINDOWS\system32\runtime.exe
W:\WINDOWS\system32\taskmon.sys
W:\WINDOWS\system32\updates331.exe
W:\WINDOWS\taskmon.exe
Per qualsiasi problema dovessi avere, anche da provvisoria, basterà cliccare 2 volte sul file .reg
Poi passiamo ai files.
PS posta o dimmi se i risultati di avenger sono ok.
Buongiorno a tutti, sono tornato adesso, pensavo di fare un punto della situazione :
Scipt con Avenger ho eseguito
avenger 06 02.txt
Burrito? ho capito poco o niente
Cartella w:\windows\prefetch\ e svuotata (93 elementi)
Scan online con Kaspersky o Panda finisce a 20% con la schermata blu 
Pc si avvia velocemente ma per due volte quando ha sentito la connessione ha provato mandare in giro lo spam (segnalato e blocato da Avast)
Ho in funzione Spybot (in modalita prov. e disattivato) e non so se per le operazioni devo disattivarlo o no
Ripristino - disattivato
Sono logato in modalità provvisoria come admin
E che dio cela mandi buona e con le .............. (scusate, scherzo )
Grazie per lavoro che state facendo  |
Modificato da - bilbobagins in data 06/02/2008 14:10:25 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/02/2008 : 14:08:48
|
dimmi se vedi le cose peggiorare dopo qualche intervento o script, ok?
Ne elimineremo una alla volta.. Scarica Registry Search Tool
riavvia nuovamente il pc e con Registry Search Tool cerca separatamente (fai copia/incolla e non lasciare spazi):
burito
oirijshr
Gol51
kdrrq
Unisci i risultati in un unico file di testo e postalo secondo le regole del forum.
Nel prossimo script facciamo fuori oirijshr
Attendo ancora una risposta da michal su questo:
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon | System
dove: "system"="kdrrq" - altro hidden file
|
Modificato da - Sibilla in data 06/02/2008 14:09:41 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 06/02/2008 : 14:38:24
|
Ciao.
Eccolo il report di RegSearch:
reg search 06 02.txt
Peggioramenti non ho notato anche perche non faccio niente, comunque mi sembra tutto piu veloce. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/02/2008 : 16:40:31
|
mi posti anche un rapporto di systenscan quando puoi?
Allora, burito e' ko. Restano solo gli hidden
Vediamo come fare per le altre, senza combinare pasticci...
Entra nel registro, ed esporta le chiavi in rosso salvandole in c:\ (metti i nomi che vuoi).
BADA che quando le salvi devi sezionare il formato txt, altrimenti le esporti in .reg.. (cioe' pronte per aggiungerle al registro..).
Una volta salvate, uniscile tutte in un unico file word e postalo.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OIRIJSHR556325B0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OIRIJSHRBA011E3
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oirijshr556325b0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oirijshrba011e3
Prova anche a vedere se ora riesci ad eliminare questa:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
System => kdrrq
Ti ricordo che non vedi cancellare SYSTEM ma cliccarci sopra 2 volte e cancellare il contenuto "kdrrq" nella finestra che si apre.
Premi F5, cosi' ti rendi conto se si ripristina immediatamente.
Riguardo tutte le cose che avevi scritto circa la modalita' provvisoria... c'e' una cosa che mi sfugge: ma in modalita' normale entri, no?
Esporta anche questa:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
e caricala sempre copiata in file word, mi raccomando.
|
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 06/02/2008 : 17:08:00
|
Ci sono quasi, qui ce systemlog
hijackthis 06 02.txt
quel bastardo di kdrrq.exe sta sempre li e non sene va
sono in mod.prov. perché consigliato ma posso anche entrare normalmente, dura di più.
adesso finisco con quella roba in rosso 
primi due in rosso sono delle directory (cartelle) con dentro /000/control/predefinito (valore non impostato)
si buonanotte mi sono rimbambito 
ecco le chiavi hkey.txt
grazie |
Modificato da - bilbobagins in data 06/02/2008 17:35:43 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/02/2008 : 18:53:41
|
Scarica gmer e scompattalo sul desktop.
Eseguilo, clicca su "rootkit" - "scan" - attendi la fine della scansione - poi clicca "copy" - apri un nuovo file di testo - incolla e salva il file.
Se individua files in rosso, eliminali.
Posta il log.
NB: quello che hai postato è il log di hjt
vorrei il rapporto di systemscan per vedere cos'altro esce di nuovo dopo le eliminazioni che abbiamo fatto. |
Modificato da - Sibilla in data 06/02/2008 19:07:25 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/02/2008 : 19:05:08
|
Prova anche a fixare nuovamente queste:
O20 - Winlogon Notify: botreg - W:\WINDOWS\
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - w:\windows\system32\vhosts.exe (file missing)
O23 - Service: Manutenzione collegamenti distribuiti client TrkWksupnphost (TrkWksupnphost) - Unknown owner - W:\WINDOWS\system32\L54A.tmp.exe (file missing)
e rilancia hjt. Non serve postarlo, dimmi solo se ci sono ancora.
____________
edit:
Una bella notizia... è qualcosa che ti sei preso a capodanno...
hai iniziato bene, quindi...
____________
nella safeboot hai 2 chiavi in più:
1) Nome chiave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Reserved
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 05/02/08 - 11.38
Valore 0
Nome <Senza nome>
Tipo REG_SZ
Dati Driver Group
2) Nome chiave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Option
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 06/02/08 - 13.56
Valore 0
Nome OptionValue
Tipo REG_DWORD
Dati 0x1
anch'esse modificate di recente..
le eliminiamo perchè tra "option" e "system reserved" non mi ispirano molto..
Puoi anche farlo tu a mano, entrando nel registro.
Stavolta, però, prima esporta in formato .reg tutta la chiave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
e salvala in c:\safeboot.reg
così, dovessero esserci problemi, puoi rimettere le voci nel registro.
Ci si sente dopo, ora devo andare
Ciao
(mi dispiace x capodanno....)
|
Modificato da - Sibilla in data 06/02/2008 20:18:00 |
|
|
|
Discussione |
|
Windows has detected spyware infection
Forum Bloccato
