| Autore |
 Discussione  |
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 07/02/2008 : 01:33:02
|
Citazione:
Messaggio inserito da bilbobagins
dopo una notizia buona arriva quella cativa, sto facendo Rootkit e vedo un certo Gol51 e asc3550p in rosso
eliminali..
non è una brutta notizia... c'è sempre stato 
te lo avevo inserito nello script per avenger ma puoi eliminarlo da lì.
Citazione:
mi devo preoccupare?
...e io perchè l'avrei tenuto per ultimo?
fai una copia .reg delle chiavi prima di eliminarle con avenger... non si sa mai...
I file in rosso sono sempre "brutti"... |
Modificato da - Sibilla in data 07/02/2008 01:41:16 |
 |
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 07/02/2008 : 01:45:11
|
Ho lanciato script avanger e mi dice che tutto esequito, ma raporto di gmer non si vuole salvare.
Per stanotte forse basta e avanza 
Meglio se andiamo a dormire, anche se ho visto che hai tanti clienti come me 
Tanto virus sono fedeli come la sfiga e domani li ritroviamo come nuovi 
Forse mi e sfuggito qualcosa, o forse non capisco piu niente, rimandiamo a domani.
Intanto grazie tantissime per il tuo impegno e anche per la simpatia
Buonanotte e S.D. |
Modificato da - bilbobagins in data 07/02/2008 01:50:10 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/02/2008 : 01:54:53
|
Se torna te ne renderai conto lanciando systemscan.
Se vedi che io non ci sono sul forum, il link al rapporto di systemscan mandamelo con un pm (devi cliccare su "Sibilla"). Poi lo allego io come sempre.
X domani fai quello che c'è scritto nella pagina precedente.
Se kaspersky è lungo, puoi scaricare Virit (devi installarlo e aggiornarlo). La scansione falla in modalità provvisoria. Ad ogni modo dovrai verificare se kaspersky arriva alla fine o no..
Sempre riguardo kaspersky, non serve restare collegati tutto il tempo. Puoi disconnetterti dopo aver selezionato "my computer" e che è iniziata la scansione.
I file per eseguire la scansione li scarica all'inizio, dopo il collegamento ad internet non serve più.
notte |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/02/2008 : 01:56:42
|
notte |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/02/2008 : 02:11:39
|
dimenticavo:
prendi anche tutti i file.reg, i systemscan, i rapporti di avenger, i files di testo del registro, le ricerche sulle chiavi..... tutto quello che è stato creato in questi 2 gg e mettili in una nuova cartella (che poi cestinerai).
_______
(07/02 edit: non eliminanarla, forse è legittima, anche se non dovrebbe uscire tra gli hidden services)
ti posto i nuovi valori (quelli sono da modificare)
l'altro file che ti trova gmer appartiene a questa chiave:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550p]
"ErrorControl"=dword:00000000
"Start"=dword:00000002
"Group"="SCSI miniport"
"Tag"=dword:0000002a
"Type"=dword:00000001
Se guardi, c'è un group = SCSI miniport, che sta anche dentro la chiave Gol51. Quindi effettivamente credo che questo:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Gol51
"Group"="System Reserved\0Boot Bus Extender\0System Bus Extender\0SCSI miniport\
0Port\0Primary Disk\0SCSI Class\0SCSI CDROM Class\0FSFilter Infrastructure\0FSFilter System\
0FSFilter Bottom\0FSFilter Copy Protection\0FSFilter Security Enhancer\0FSFilter Open File\
0FSFilter Physical Quota Management\0FSFilter Encryption\0FSFilter Compression\0FSFilter HSM\
0FSFilter Cluster File System\0FSFilter System Recovery\0FSFilter Quota Management\0FSFilter Content Screener\
0FSFilter Continuous Backup\0FSFilter Replication\0FSFilter Anti-Virus\0FSFilter Undelete\0FSFilter Activity Monitor\
0FSFilter Top\0Filter\0Boot File System\0Base\0Pointer Port\0Keyboard Port\0Pointer Class\0Keyboard Class\
0Video Init\0Video\0Video Save\0File System\0Event Log\0Streams Drivers\0NDIS Wrapper\0COM Infrastructure\
0UIGroup\0LocalValidation\0PlugPlay\0PNP_TDI\0NDIS\0TDI\0NetBIOSGroup\0ShellSvcGroup\0SchedulerGroup\
0SpoolerGroup\0AudioGroup\0SmartCardGroup\0NetworkProvider\0RemoteValidation\0NetDDEGroup\
0Parallel arbitrator\0Extended Base\0PCI Configuration\0MS Transactions\0"
sia l'elenco di tutte le modifiche "group" che sono state fatte.
Prima o poi finiremo... 
x michal: potrebbe essere |
Modificato da - Sibilla in data 07/02/2008 09:00:26 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/02/2008 : 10:09:05
|
1)
questi sono i valori che devi modificare.
Per sicurezza, controlla le tre chiavi
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3350p
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\asc3550p
e
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\asc3350p
"ErrorControl"=dword:00000001 (tu hai 00000000)
"Group"="SCSI miniport"
"Start"=dword:00000004 (tu hai 00000002)
"Tag"=dword:00000039 (tu hai 0000002a)
"Type"=dword:00000001 (tu hai 00000001)
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\asc3350p\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\asc3350p\Parameters\PnpInterface]
"1"=dword:00000011 (non so)
2)
ho provato a cercare con regsrch 03,00,00,00,01,00,00,00,02,00,00,00,03,00,00
e come risultato ho avuto un elenco di voci.. che sono quelle segnalate della chiave Gol51.
030000000100000002000000030000.txt
verifica solo:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GroupOrderList]
"FSFilter Security Enhancer"=hex:03,00,00,00,01,00,00,00,02,00,00,00,03,00,00,\
|
Modificato da - Sibilla in data 07/02/2008 10:12:48 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 07/02/2008 : 12:14:07
|
Buongiorno (si spera  )
1 X domani o stanotte, se ti va:
2 Esegui gmer e posta il rapporto.
3 Esegui una scansione con kaspersky (quello che si fermava al 20% della scansione).
4 Un nuovo rapporto (intero) di systemscan
5 Elenco di tutte le cose che ancora non vanno.
--------------------------------------------------------------------
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3350p
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\asc3550p
e
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\asc3350p
"ErrorControl"=dword:00000001 (tu hai 00000000)
"Group"="SCSI miniport"
"Start"=dword:00000004 (tu hai 00000002)
"Tag"=dword:00000039 (tu hai 0000002a)
"Type"=dword:00000001 (tu hai 00000001)
Valori sono come hai scritto e non questi in rosso
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\asc3350p\Parameters]
non impostato
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\asc3350p\Parameters\PnpInterface]
"1"=dword:00000011 (non so)
e questo: 1 reg dword 00000011(17)
---------------------------------------------------------------------
Vado avanti secondo queste indicazioni, man mano che finisco aggiorno questo post.
------------------------------------------------------------------------------
1: Gmer non trova le voci in rosso ma non riesco a salvare rapporto
attacco la rete e vediamo che succede |
Modificato da - bilbobagins in data 07/02/2008 12:38:43 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/02/2008 : 12:38:27
|
Buongiorno
Citazione:
Vado avanti secondo queste indicazioni, man mano che finisco aggiorno questo post.
ok
<<1: Gmer non trova le voci in rosso ma non riesco a salvare rapporto>>
evidentemente non ha nulla da dirci.
strano solo che non te lo abbia fatto salvare ieri...
<<Valori sono come hai scritto e non questi in rosso>>
anche nella CurrentControlSet è lì che risultava modificato secondo systemscan.. boh.. ok.. |
Modificato da - Sibilla in data 07/02/2008 12:44:19 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 07/02/2008 : 12:45:09
|
Citazione:
Messaggio inserito da Sibilla
Buongiorno
[quote]
<<Valori sono come hai scritto e non questi in rosso>>
anche nella CurrentControlSet boh.. ok..
Si nel CurrentControlSet e identico come nel ControlSet0020
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3350p\Parameters]
predefinito non impostato
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3350p\Parameters\PnpInterface]
"1"=dword:00000011
Dimmi che va bene cosi anche se e una bugia dimmela lo stesso
Grazie - vado con Kaspersky 
|
Modificato da - bilbobagins in data 07/02/2008 12:57:12 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/02/2008 : 12:51:24
|
| va bene (bugia) :) deve essere impostato a 11 e così sta.. :) ok. |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 07/02/2008 : 13:04:01
|
Citazione:
Messaggio inserito da Sibilla
va bene (bugia) :) deve essere impostato a 11 e così sta.. :) ok.
Grazie - vado con Kaspersky
Scusa ma devo disattivare Spybot e Avast ??? |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/02/2008 : 13:06:39
|
vedi se ti danno problemi.. Preferirei di no.. :/
Posti anche il file di testo (di testo ) di questa chiave?
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GroupOrderList |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 07/02/2008 : 13:19:27
|
Citazione:
Messaggio inserito da Sibilla
vedi se ti danno problemi.. Preferirei di no.. :/
Posti anche il file di testo (di testo ) di questa chiave?
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GroupOrderList
eccola qua :
07 02 13 40.txt
intanto Kaspersky ha trovato qualcosa (faccio Critical Areas, sta a 1%)
Posso staccare cavetto di rete - vero ?
Ha finito Kaspersky report 1.txt
faccio scan completo ??? |
Modificato da - bilbobagins in data 07/02/2008 13:26:24 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/02/2008 : 13:23:56
|
si, certo
......
edit:
No, magari solo 5 minuti.... giusto per vedere se il sito di kaspersky funziona....
e se riesci, per mille coincidenze, a finirlo, mandami il rapporto con un pm... |
Modificato da - Sibilla in data 07/02/2008 13:29:57 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 07/02/2008 : 13:29:09
|
Citazione:
Messaggio inserito da Sibilla
si, certo
Bene, benissimo allora ci sentiamo domani sera
[OT]
non mi sono neanche accorto ma sono diventato un membro con la stellina ( Allora a Sibilla devono dare una medaglia d'onore e la macchina nuova ) |
Modificato da - bilbobagins in data 07/02/2008 13:33:05 |
|
|
|
Discussione |
|
Windows has detected spyware infection
Forum Bloccato
