| Autore |
 Discussione  |
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/02/2008 : 23:36:46
|
il rapporto è buono... vorrei capire dove sei tu, ora... 
edit: ok, guardo il rapporto |
Modificato da - Sibilla in data 06/02/2008 23:41:20 |
 |
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 06/02/2008 : 23:40:41
|
Sono qua,
Insomma sono andato a fumare  beccato |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 06/02/2008 : 23:42:37
|
Beccato? No, a me è venuto un colpo..
Se il pc non si rompe da solo, lo farò io pezzo pezzo..
Aspetta 
1) Con regsrch cerca:
0FSFilter Copy Protection
0FSFilter Replication
cercali prima con lo zero. Se non trova nulla, lo togli e cerchi la parte restante. Voglio capire se sono davvero tutte le voci modificate.
2) hai eliminato quelle 2 chiavi che avevi in più nella safeboot? |
Modificato da - Sibilla in data 07/02/2008 02:34:44 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 06/02/2008 : 23:54:00
|
0FSFilter Copy Protection not found
0FSFilter Replication not found
FSFilter Copy Protection not found
FSFilter Replication not found
Per le chiavi
Sto notando ora (sempre per il Gol51) che mentre prima trovava come scanning hidden services & system hive queste voci:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet e ControlSet002\Services\Gol51]
"Type"=dword:00000001
"Tag"=dword:00000001
"Group"="System Reserved\0Boot Bus Extender\0System Bus Extender\0SCSI miniport\0Port\0Primary Disk\0SCSI Class\0SCSI CDROM Class\0FSFilter Infrastructure\0FSFilter System\0FSFilter Bottom\0FSFilter ecc ecc ecc\0"
"ErrorControl"=dword:00000001
"Start"=dword:00000000
facendo regedit non li trovo
 
|
Modificato da - bilbobagins in data 07/02/2008 00:16:24 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/02/2008 : 00:17:04
|
Quando hai finito di fare quello al post precedente:
Con CCleaner ripulisci i temp. e i cookies (esegui 2 volte)
Svuota W:\WINDOWS\Prefetch ed esegui questo script:
Citazione:
registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\botreg
files to delete:
W:\WINDOWS\Prefetch\KDRRQ.EXE-0A05DA51.pf
W:\WINDOWS\system32\kdrrq.exe
W:\Documents and Settings\kcmxnrni.txt
W:\xpqqkimn.txt
W:\WINDOWS\system32\igtdftgu.tmp
Posta il rapporto
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/02/2008 : 00:18:42
|
Citazione:
Messaggio inserito da bilbobagins
facendo regedit non li trovo
cosa non trovi?
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet e ControlSet002\Services\Gol51
gol51?
Le chiavi che devi salvare e poi eliminare e a cui mi riferivo sono queste:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Reserved
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Option
|
Modificato da - Sibilla in data 07/02/2008 00:21:56 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 07/02/2008 : 00:21:22
|
E si, ho sbagliato qualcosa ?
Le chiavi che devi salvare e poi eliminare e a cui mi riferivo sono queste:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Reserved
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Option
OK faccio subito 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Option
non ce 
Quella altra ho eliminato
|
Modificato da - bilbobagins in data 07/02/2008 00:30:55 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/02/2008 : 00:26:17
|
elimina quelle chiavi, poi esegui avenger.
Per ora non ci stiamo interessando ancora a Gol51..
Posta il rapporto di avenger e systemscan x gli hidden.. |
Modificato da - Sibilla in data 07/02/2008 02:33:58 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 07/02/2008 : 00:39:21
|
Citazione:
Messaggio inserito da Sibilla
elimina quelle chiavi, poi esegui avenger.
Posta il rapporto di avenger e systemscan x gli hidden..
Non ho capito, cosa devo fare con avenger ???
Scuza |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/02/2008 : 00:41:19
|
devi eseguire questo script:
Citazione:
registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\botreg
files to delete:
W:\WINDOWS\Prefetch\KDRRQ.EXE-0A05DA51.pf
W:\WINDOWS\system32\kdrrq.exe
W:\Documents and Settings\kcmxnrni.txt
W:\xpqqkimn.txt
W:\WINDOWS\system32\igtdftgu.tmp
Citazione:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Option
non ce
eppure quando hai salvato la chiave safeboot (oggi) c'era.
Mah, quando avremo finito la verificheremo, giusto x sicurezza
--------
EDIT:
salva e poi elimina anche questa:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Reserved
(non è la stessa di prima.. è un'altra...) |
Modificato da - Sibilla in data 07/02/2008 00:59:41 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 07/02/2008 : 00:50:38
|
scusa mi e sfuggito, ancora qualche minuto 
ho pulito e svuotato e ho ance log di avenger 
avenger 07 02.txt
ho levato la chiave indicata da te quell'altra
ancora un momento e avrò systemscan nuovo |
Modificato da - bilbobagins in data 07/02/2008 01:10:35 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/02/2008 : 01:11:31
|
mancano systemscan => hidden
puoi andare a modificare:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
System => kdrrq
non so se l'hai visto ma è stato eliminato anche questo
Te lo ripeto.. non devi eliminare "system" ma devi cliccarci sopra due volte e cancellare da dentro la finestra che si apre "kdrrq".
Poi chiudi questa finestra piccola (credo ci sia un ok da cliccare) e premi F5. Vedi cosa succede.. |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 07/02/2008 : 01:24:53
|
Citazione:
Messaggio inserito da Sibilla
mancano systemscan => hidden
puoi andare a modificare:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
System => kdrrq
Eccolo systemscan
report 07 02.txt
kdrrq e finito, non si rimette più 
dopo una notizia buona arriva quella cativa, sto facendo Rootkit e vedo un certo
Gol51 e asc3550p in rosso
mi devo preoccupare ??? |
Modificato da - bilbobagins in data 07/02/2008 01:30:13 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/02/2008 : 01:31:09
|
Lo abbiamo ammazzato a poco a poco.. Speriamo muoia del tutto...
Ora vediamo di fare fuori l'ottavo ed ultimo...
Con avenger:
Citazione:
files to delete:
W:\WINDOWS\system32\drivers\Gol51.sys
Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Gol51
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Gol51
Posta il rapporto.
X domani o stanotte, se ti va:
Esegui gmer e posta il rapporto.
Esegui una scansione con kaspersky (quello che si fermava al 20% della scansione).
Un nuovo rapporto (intero) di systemscan
Elenco di tutte le cose che ancora non vanno.
|
|
|
|
Discussione |
|
Windows has detected spyware infection
Forum Bloccato
