| Autore |
 Discussione  |
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
 Inserito il - 07/02/2008 : 20:30:43
|
Citazione:
Messaggio inserito da bilbobagins
[quote]Messaggio inserito da Sibilla
lancia solo Master Boot Record e vediamo se lo fa
Ha fatto , ti serve log ?
report mast log.txt
 hmmm, sono stato abbandonato
SUPERAntiSpyware finisce con la schermata blu
.....................................................
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GOL51
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Gol51
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_GOL51
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GOL51
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OIRIJSHR556325B0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OIRIJSHRBA011E3
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oirijshr556325b0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oirijshrba011e3
tutti morti
..................................................... |
Modificato da - bilbobagins in data 07/02/2008 20:46:02 |
 |
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/02/2008 : 21:12:53
|
Ora con systemscan esegui (separatamente) queste:
-Network settings
-Suspicious Files
-Installed Applications
-Include Hijackthis log
vai nel registro ed esporta in formato di TESTO questa chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay |
Modificato da - Sibilla in data 07/02/2008 21:18:50 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 07/02/2008 : 21:25:22
|
Ciao
sto facendo scan disco C con lo SuperAntispyware, aspetto che finisce  |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/02/2008 : 21:29:00
|
si, non ci sono problemi :)
Ti ho chiesto di fare quelle scansioni perchè con systemscan ti sei sempre fermato agli hidden. Temo che quella che non riuscirai a fare sia proprio la Network settings, mentre non avrai problemi con le altre.
Intanto puoi esportare (txt) la chiave CancelAutoplay, così dopo la controllo.
|
Modificato da - Sibilla in data 07/02/2008 21:31:16 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 07/02/2008 : 21:49:58
|
Citazione:
Messaggio inserito da Sibilla
si, non ci sono problemi :)
Ti ho chiesto di fare quelle scansioni perchè con systemscan ti sei sempre fermato agli hidden. Temo che quella che non riuscirai a fare sia proprio la Network settings, mentre non avrai problemi con le altre.
Intanto puoi esportare (txt) la chiave CancelAutoplay, così dopo la controllo.
..............................................................
21 12 53.txt
..............................................................
-Network settings - manda tutto in tilt blu 
OK adesso faccio queste cose, una domanda.
|
Modificato da - bilbobagins in data 08/02/2008 00:39:37 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/02/2008 : 22:26:47
|
asp fammi vedere con calma..
intanto vai qui:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\CLSID
e, tra le varie CISL, vedi che il valore #2 è vuoto (viene dopo "33C060AF-53FE-4e21-A487-70DCE485F5E5"). Eliminalo. Se sei in dubbio, importa un'immagine.
Controllo il resto.. |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 07/02/2008 : 23:27:37
|
Citazione:
Messaggio inserito da Sibilla
asp fammi vedere con calma..
intanto vai qui:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\CLSID
e, tra le varie CISL, vedi che il valore #2 è vuoto (viene dopo "33C060AF-53FE-4e21-A487-70DCE485F5E5"). Eliminalo. Se sei in dubbio, importa un'immagine.
Controllo il resto..
qui ci sono 20 chiavi e nessuna a nessun valore impostato ci sono solo nomi e tipo REG SZ
clsid.txt
ho controllato, quelle che vedo sul monitor ci sono tutte sul elenco esportato, valore 2 sul elenco non vedo sul monitor.
Qelle visibili sul monitor sono queste (prime quatro cifre)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
AutoplayHandlers\CancelAutoplay\CLSID
AE2A
272C
33C0
3B31
40F8
43E2
4DA0
5556
5FD6
62A7
6743
7647
9B39
AB00
AEB8
BBEB
D54A
D619
E10D
FFDE
 |
Modificato da - bilbobagins in data 08/02/2008 00:38:15 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 08/02/2008 : 00:13:19
|
[OT]
Una curiosità : tutti tuoi clienti qui sono cosi rognosi o altri ragazzi del forum hanno capito subito e sono scappati ???
Citazione:
Messaggio inserito da Sibilla
edit: te lo anticipo: ci lavoreremo un po' (urrà...)
Allora lo sapevi
Cavolo di un virus, sono tre giorni (e notti)che siamo qui. Se potessi li direi quatro parole,
come queste qui: htt*://[www].gnometto.it/index.asp?menu=video&id_video=22
Grazie per aiuto e buonanotte
|
Modificato da - bilbobagins in data 08/02/2008 00:36:52 |
|
|
|
chiusoenrico
Advanced Member
.jpg)
Città: Salzano (VE)
578 Messaggi |
Inserito il - 08/02/2008 : 08:15:23
|
Dirò... una cavolata....
....e se fosse il grub ad essere infetto? htt*://[www].thespyware.net/mbr_virus.php
...dopo 9 pagine è difficile starvi dietro a se l'avete già scartata come ipotesi!
In tal caso consiglio sempre la live linux system rescue CD
htt*://[www].oneopensource.it/22/10/2007/system-rescue-cd-live-per-ogni-emergenza/
all'interno ce stà il clamav come antivirus... non sarà il massimo... ma.... boh, fate voi! |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 08/02/2008 : 09:48:08
|
Ciao, grazie per interessamento, ovviamente grazie a Sibilla per il suo aiuto prezioso.
In effetti la faccenda si e ingarbugliata un pochino.
Se non sbaglio sysresccd live ofre acesso al sistema in riga di comando e per uno come me diventa difficile sfruttare questa opportunità. Forse sono informato male adesso controllo.
A dopo. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 08/02/2008 : 10:21:56
|
Citazione:
Messaggio inserito da bilbobagins
qui ci sono 20 chiavi e nessuna a nessun valore impostato
vabbè... poi vedremo se e come toglierla. I valori in tutto sono 21, il n^2 non lo vedi, come hai già detto.
Citazione:
Se potessi li direi quatro parole, come queste qui:
...
Citazione:
....e se fosse il grub ad essere infetto?
penso che ci sia qualcosa in:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters
oppure
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
Inizialmente aveva 85.255.113.130,85.255.112.113 (UKRAINE) e alcune cose che abbiamo eliminato avevano effettivamente nomi tipici, diciamo..
Ha anche scaricato dei programmi (uno è proprio scarabble, ricordi? te lo avevo detto..)
Non so cosa me ne farei più di tanto, comunque puoi provare ad esportare (testo) quelle due chiavi che ti ho indicato e che sono quelle che vengono analizzate per eseguire l'unica scansione che non funziona di systemscan.
|
Modificato da - Sibilla in data 08/02/2008 11:08:20 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 08/02/2008 : 11:15:53
|
Ricapitolando:
Avevi tre chiavi nella safeboot in più => ok
8 hidden files di cui:
Burito: chiavi CurrentControlSet/2 + files => ok
Oirijshr: chiavi CurrentControlSet/2 + files => ok
Kdrrq: valore System + file => ok
Gol51+ chiavi CurrentControlSet/2 => ok (il significato di queste chiavi è ancora da capire... cma la si ritrova un 2 o 3 pagine fa)
il messaggi di errore (systemscan)
(05/02) - scansione NETWORK SETTINGS:
Citazione:
stop: 0x0000008e (0x0000005,0xedf68670,0xedaba8b0,0x00000000)
oirijshr556325b0.sys - Address edf68670 base at edf68000, datestamp 4779f18c
(06/02) (era riuscito a fare la scansione completa)
Citazione:
~~~~~~ TCP/IP network configuration ~~~~~~~
Si è verificato un errore interno: Richiesta non supportata.
Contattare il Servizio supporto tecnico Microsoft per ulteriori informazioni.
Informazioni aggiuntive: impossibile recuperare i parametri DHCP.
-----HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
\{9CDC6872-12C5-4CEF-A0D3-B1361564CC70} NameServer= 152.158.2.48
\{DDCC1367-058B-4845-8680-41A57599DED4} NameServer= 152.158.2.48
eliminati:
1) HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{5C644A15-4951-41D6-9F72-5230533559E8}
"DhcpNameServer"="85.255.113.130,85.255.112.113
2) HKLM\SOFTWARE\~\Winlogon\ "System"="kdrrq.exe"
Le chiavi eliminate:
Citazione:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Reserved
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Reserved
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Option
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OIRIJSHR556325B0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OIRIJSHRBA011E3
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oirijshrba011e3
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oirijshr556325b0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_OIRIJSHR556325B0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_OIRIJSHRBA011E3
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oirijshrba011e3
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oirijshr556325b0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OIRIJSHR556325B0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OIRIJSHRBA011E3
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oirijshr556325b0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oirijshrba011e3
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GOL51
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Gol51
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_GOL51
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Gol51
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GOL51
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Gol51
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BURITO68DF-68BC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\burito68df-68bc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_BURITO68DF-68BC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\burito68df-68bc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APDLTIRD
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\apdltird
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_APDLTIRD
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\apdltird
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\yrxvjklr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_YRXVJKLR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\yrxvjklr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_YRXVJKLR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\asc3550p
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\asc3550p
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TASKMON.SYS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TASKMON.SYS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\taskmon.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\taskmon.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eixvajeqtptl
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\eixvajeqtptl
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EIXVAJEQTPTL
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_EIXVAJEQTPTL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Driver
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Driver
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TrkWksupnphost
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TrkWksupnphost
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TRKWKSUPNPHOST
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TRKWKSUPNPHOST
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msupdate
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSUPDATE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msupdate
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSUPDATE
Gli hidden eliminati:
Citazione:
W:\WINDOWS\Prefetch\KDRRQ.EXE-0A05DA51.pf
W:\WINDOWS\system32\kdrrq.exe
W:\WINDOWS\system32\drivers\Gol51.sys
W:\WINDOWS\system32\burito.ini
W:\WINDOWS\system32\burito68df-68bc.sys
W:\WINDOWS\system32\oirijshr.ini
W:\WINDOWS\system32\oirijshr556325b0.sys
W:\WINDOWS\system32\oirijshrba011e3.sys
Kaspersky non si blocca più.. ma si blocca SUPERAntiSpyware e systemscan alla scansione NETWORK SETTINGS..
Voci in hjt ancora da eliminare
...così è più semplice e non bisogna rileggere 9 pagine di discussione. |
Modificato da - Sibilla in data 09/02/2008 22:35:22 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 08/02/2008 : 11:17:02
|
Controlla anche se ci siano:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_BURITO68DF-68BC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\burito68df-68bc
|
Modificato da - Sibilla in data 08/02/2008 12:12:12 |
|
|
|
bilbobagins
Senior Member
Città: Roma
171 Messaggi |
Inserito il - 08/02/2008 : 12:53:50
|
Citazione:
Messaggio inserito da Sibilla
Controlla anche se ci siano:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_BURITO68DF-68BC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\burito68df-68bc
Buongiorno adesso controllo.
con regedit non li trovo -
Piccolo aggiornamento, SuperAntiSpyware a finito e completato le scansioni separatamente, cioe una scansione=un disco
|
Modificato da - bilbobagins in data 08/02/2008 12:59:37 |
|
|
|
Discussione |
|
Windows has detected spyware infection
Forum Bloccato
