| Autore |
 Discussione  |
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
 Inserito il - 06/02/2008 : 20:02:28
|
Citazione:
Messaggio inserito da Sibilla
NB: quello che hai postato è il log di hjt 
vorrei il rapporto di systemscan per vedere cos'altro esce di nuovo dopo le eliminazioni che abbiamo fatto.
Hai ragione 
aspetto cosa mi dici e poi faccio gmer e altro, dammi OK e vado avanti.
edit:
Una bella notizia... è qualcosa che ti sei preso a capodanno...
hai iniziato bene, quindi...
Bel anno nuovo, in questa occasione pc si e bruciato
Se guardi il mio Blog - capisci
  
|
Modificato da - bilbobagins in data 06/02/2008 21:20:11 |
 |
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/02/2008 : 20:06:15
|
scusa, non ti avevo visto.
Voglio finire di controllare la safeboot, così chiudiamo l'argomento provvisoria (forse)..
edit:
qui trovi il link al rapporto di systemscan => suspectfile_06_02_2008.txt |
Modificato da - Sibilla in data 06/02/2008 21:28:44 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 06/02/2008 : 20:11:19
|
sono qua e sono paziente  aspetto
Grazie |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/02/2008 : 20:51:40
|
La sorpresa di systemscam.. Esegui avenger al volo!
A dopo (per eliminare il resto…)
Citazione:
Files to delete:
W:\WINDOWS\fixnavi.txt
W:\WINDOWS\system32\oirijshrba011e3.sys
W:\WINDOWS\system32\oirijshr.ini
W:\WINDOWS\system32\oirijshr556325b0.sys
W:\WINDOWS\system32\burito68df-68bc.sys
W:\WINDOWS\system32\ufpydirh.tmp
W:\WINDOWS\system32\burito.ini
W:\WINDOWS\system32\drivers\eixvajeqtptl.sys
Folders to delete:
W:\WINDOWS\temp
|
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 06/02/2008 : 20:54:08
|
Grazie, scusa ma non ho capito una cosa
Eseguilo, clicca su "rootkit" - "scan" - attendi la fine della scansione - poi clicca "copy" - apri un nuovo file di testo - incolla e salva il file.
Se individua files in rosso, eliminali.
Posta il log.
Devo eliminare files in rosso dal log o fisicamente dal PC ???
La sorpresa di systemscam..
Aspetto perché Gmer sta lavorando poi lo faccio - grazie.
|
Modificato da - bilbobagins in data 06/02/2008 20:58:37 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/02/2008 : 21:00:52
|
Quando il pc si è riavviato, guarda il rapporto e vedi se sono stati cancellati i più importanti: oirijshrba011e3, oirijshr556325b0 e i 2 burito.
Se non si eliminano, salva in formato .reg (sempre in c:\) ciascuna chiave in rosso (numerate da 1 a 8) ed esegui questo avenger:
Citazione:
Files to delete:
W:\WINDOWS\fixnavi.txt
W:\WINDOWS\system32\oirijshrba011e3.sys
W:\WINDOWS\system32\oirijshr.ini
W:\WINDOWS\system32\oirijshr556325b0.sys
W:\WINDOWS\system32\burito68df-68bc.sys
W:\WINDOWS\system32\ufpydirh.tmp
W:\WINDOWS\system32\burito.ini
W:\WINDOWS\system32\drivers\eixvajeqtptl.sys
Folders to delete:
W:\WINDOWS\temp
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OIRIJSHR556325B0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oirijshr556325b0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_OIRIJSHR556325B0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oirijshr556325b0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OIRIJSHRBA011E3
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oirijshrba011e3
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_OIRIJSHRBA011E3
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oirijshrba011e3
ciaooo |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/02/2008 : 21:03:23
|
gmer ti evidenzia files in rosso? ma tu guarda... erano nascosti e ora non sappiamo se eliminarli con gmer o avenger
si, se escono li elimini da gmer.
edit: Dimenticavo. Elimina il link di systemscan. |
Modificato da - Sibilla in data 06/02/2008 21:36:22 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 06/02/2008 : 21:19:04
|
Log di Gmer
gmer 06 02.txt
non ho visto niente in rosso  |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/02/2008 : 21:22:08
|
esegui direttamente il secondo script per avenger e segui tutte le indicazioni.
edit:
quello che hai postato non è il rapporto di gmer......
non fa niente, eventualmente la scansione la rifai dopo.
ps: attento a postare i rapporti... che se ti scappa un file.reg per errore qualcuno potrebbe installarsi delle chiavi nel registro  |
Modificato da - Sibilla in data 06/02/2008 21:35:46 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 06/02/2008 : 22:09:18
|
Scusa ma mi sto perdendo tra vari log, gmer, logsystem, suspect e altri.
Intanto ho eseguito script con avenger e faccio rootkit vedo una voce in rosso ( Gol51 ) ti dice qualcosa ???
Quanto e palloso Windows
Che faccio ?
Scusa non lo faro piu e adesso log/gmer/rootkit giusto
non si vedeva niente ??? ripeto
Comunque grazie, sei fantastica 
|
Modificato da - bilbobagins in data 06/02/2008 22:33:38 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/02/2008 : 22:31:38
|
la voce cui ti riferisci è uno dei files che non vedi e puoi eliminarla... così poi passeremo al registro
Sto notando ora (sempre per il Gol51) che mentre prima trovava come scanning hidden services & system hive queste voci:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet e ControlSet002\Services\Gol51]
"Type"=dword:00000001
"Tag"=dword:00000001
"Group"="System Reserved\0Boot Bus Extender\0System Bus Extender\0SCSI miniport\0Port\0Primary Disk\0SCSI Class\0SCSI CDROM Class\0FSFilter Infrastructure\0FSFilter System\0FSFilter Bottom\0FSFilter ecc ecc ecc\0"
"ErrorControl"=dword:00000001
"Start"=dword:00000000
ora nel nuovo rapporto di systemscan non ci sono più...
edit:
apri il rapporto di gmer....
Citazione:
Scusa ma mi sto perdendo tra vari log, gmer, logsystem, suspect e altri.
Hai ragione... Mi rendo conto che ti faccio fare cose a raffica ma c'era davvero tanto da fare. L'ultima cosa che vorrei è farti ritrovare con il pc fuori uso per una mossa avventata.
Probabilmente avremmo risolto velocemente eliminando direttamente tutte le chiavi superflue dal registro.. ma facendo passo per passo sapremmo esattamente dove recuperare in caso di problemi.. |
Modificato da - Sibilla in data 06/02/2008 23:03:06 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 06/02/2008 : 22:54:52
|
Citazione:
Messaggio inserito da bilbobagins
Scusa non lo faro piu e adesso log/gmer/rootkit giusto
non si vedeva niente ??? ripeto
Grazie per incoraggiamento, merito di questo lavoro e tutto tuo
Io non capisco niente e per questo sono arrabbiato con me stesso.
Ce un problema, non riesco salvare log di gmer, ala fine della scansione clicko copy ma dopo non ce niente da incollare, per questo prima ho mandato un log sbagliato, anche con save non si salva niente. non so come mandartelo adesso  |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/02/2008 : 23:01:41
|
capito.
passa ad avenger (secondo script).
Posta il rapporto di avenger e, con systemscan, fai una scansione solo dei recent files e Hidden objects (a tutte le altre opzioni puoi togliere la spunta). |
Modificato da - Sibilla in data 06/02/2008 23:06:47 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 06/02/2008 : 23:08:41
|
Gmer ha finito la scansione, ce un mess.
GMER has found system modification caused by ROOTKIT activity.
Faccio OK e poi Copy ???
Non si e copiato niente, adesso faccio come dici tu. |
Modificato da - bilbobagins in data 06/02/2008 23:10:31 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/02/2008 : 23:12:53
|
....se si riferisce al Gol51... effettivamente...
edit: oh accipicchia  mi sa che sono tutte le modifiche che sono state fatte nel tuo registro
Mi è cascato l'occhio qui:
---------------------
|[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet...
|"Type"=dword:00000001
|"Tag"=dword:00000001
|"Group"="System Reserved\ <=
-------------------------
è una delle 2 chiavi che ti ho segnalato prima (nella safeboot). Ma.. dovesse essere così... è un elenco lunghissimo..
Dopo facciamo qualche verifica.. |
Modificato da - Sibilla in data 06/02/2008 23:25:14 |
|
|
|
Discussione |
|
Windows has detected spyware infection
Forum Bloccato
