NoTrace Security Forum

NoTrace Security Forum
Home | Discussioni Attive | Discussioni Recenti | Segnalibro | Msg privati | Utenti | Download | cerca | faq | RSS | Security Chat
Nome Utente:
 Password:
Salva Password
Password Dimenticata?

 Tutti i Forum
 Virus
 Computer Virus
 Problema grave ... gravissimo		  Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
I seguenti utenti stanno leggendo questo Forum Qui c'è:
Pagina Precedente
Autore Discussione Precedente Discussione Discussione Successiva
Pagina: di 2

piero123
Junior Member



66 Messaggi

Inserito il - 25/01/2008 : 14:58:11  Mostra Profilo
Fatto anche questo ... non ha rilevato niente

Nel frattempo con GMER ... che funziona,
sono riuscito ad individuare :

C:\WINDOWS\system32\drivers\hldrrr.exe
e in modalità provvisoria l'ho cancellato

ora il problema è tutto sulle modifiche del registro

AVENGER non funziona ne in modalità normale ne in provvisoria

Che faccio ??
Torna all'inizio della Pagina

Leleago
Advanced Member

Tanto impegno, buona volonta ma capacità di analisi malware da migliorare.



1918 Messaggi
Inserito il - 25/01/2008 : 15:22:00  Mostra Profilo
apri registro di windows:

vai su start, esegui e digita regedit

vai alla voce Hkey_local_machine e cerca le voci:

HKLM\SYSTEM\CurrentControlSet\Services\ elimina : m_hook
HKLM\SYSTEM\CurrentControlSet\Services\ elimina: rosa
HKLM\SYSTEM\CurrentControlSet\Services\ elimina: srosa
HKLM\SYSTEM\CurrentControlSet\Services\ elimina: pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root elimina: LEGACY_M_HOOK
HKLM\SYSTEM\CurrentControlSet\Enum\Root\ elimina: LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\ elimina: LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Enum\Root\ elimina: LEGACY_PCI32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run elimina: hldrrr

riavvia il pc





Torna all'inizio della Pagina

piero123
Junior Member



66 Messaggi
Inserito il - 25/01/2008 : 15:34:40  Mostra Profilo
HKLM\SYSTEM\CurrentControlSet\Services\ elimina : m_hook NON CE L'HO
HKLM\SYSTEM\CurrentControlSet\Services\ elimina: rosa NON CE L'HO
HKLM\SYSTEM\CurrentControlSet\Services\ elimina: srosa ELIMINATA
HKLM\SYSTEM\CurrentControlSet\Services\ elimina: pci32 NON CE L'HO
HKLM\SYSTEM\CurrentControlSet\Enum\Root elimina: LEGACY_M_HOOK NON CE L'HO
HKLM\SYSTEM\CurrentControlSet\Enum\Root\ elimina: LEGACY_rosa NON CE L'HO
HKLM\SYSTEM\CurrentControlSet\Enum\Root\ elimina: LEGACY_SROSA NON SI ELIMINA
HKLM\SYSTEM\CurrentControlSet\Enum\Root\ elimina: LEGACY_PCI32 NON CE L'HO
HKLM\Software\Microsoft\Windows\CurrentVersion\Run elimina: hldrrr ELIMINATA
Torna all'inizio della Pagina

Leleago
Advanced Member

Tanto impegno, buona volonta ma capacità di analisi malware da migliorare.



1918 Messaggi
Inserito il - 25/01/2008 : 16:54:23  Mostra Profilo
va nuovamente in modalità provvisoria e prova a far partire hjiack
Torna all'inizio della Pagina

piero123
Junior Member



66 Messaggi
Inserito il - 28/01/2008 : 09:13:50  Mostra Profilo
Ecco il log con una versione modificata, questa funziona da modalità normale,
ma l'antivirus non riparte


I log vanno postati secondo le regole del forum, ricordalo:
htt*://[www].freefilehosting.net/download/3b58k
Modificato da - michal in data 28/01/2008 11:19:51
Torna all'inizio della Pagina

Leleago
Advanced Member

Tanto impegno, buona volonta ma capacità di analisi malware da migliorare.



1918 Messaggi
Inserito il - 28/01/2008 : 10:23:19  Mostra Profilo
purtroppo dal log nn si nota nulla....

riprova ad eliminare da modalità provvisoria le chiavi di registro che ti avevo scritto di sopra
dopo scansiona sempre da provvisoria con:
htt*://research.pandasoftware[.com]/blogs/images/AntiRootkit.zip
htt*://[www].trendmicro[.com]/ftp/products/rootkitbuster/rootkitbusterv1.6.1060.zip
Modificato da - Leleago in data 28/01/2008 10:42:55
Torna all'inizio della Pagina

piero123
Junior Member



66 Messaggi
Inserito il - 28/01/2008 : 12:07:19  Mostra Profilo
Questo è il log di una scansione online con Kaspersky
sembra che ci siano delle tracce

quali sono le righe esatte da cancellare,
oltre a quelle chiaramente visibili ??

log110.txt

Prima di postare un LOG leggi bene qui htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255
Modificato da - Ohm in data 28/01/2008 15:25:19
Torna all'inizio della Pagina

Sibilla
Advanced Member

Impegno nella community e competenze nel supporto alla rimozione malware




2059 Messaggi
Inserito il - 28/01/2008 : 13:34:53  Mostra Profilo
...hai provato a disinstallare ed installare nuovamente l'antirirus

controlla manualmente:
Files
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hlpuybtr.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
c:\Documents and Settings\ \Dati applicazioni\hidires\m_hook.sys
c:\Documents and Settings\ \Dati applicazioni\hidires\hidr.exe
c:\Documents and Settings\ \Dati applicazioni\hidires\srosa.sys
c:\Documents and Settings\ \Dati applicazioni\hidn\hidn2.exe
c:\Documents and Settings\ \Dati applicazioni\hidn\hldrrr.exe
c:\Documents and Settings\ \Dati applicazioni\m\data.oct
c:\Documents and Settings\ \Dati applicazioni\m\flec006.exe

cartelle
c:\WINDOWS\exefld
c:\WINDOWS\exefnd
C:\WINDOWS\system32\drivers\down
c:\Documents and Settings\ \Dati applicazioni\hidires
c:\Documents and Settings\ \Dati applicazioni\hidn
Modificato da - Sibilla in data 28/01/2008 13:40:32
Torna all'inizio della Pagina
Pagina: di 2 Discussione Precedente Discussione Discussione Successiva  
Pagina Precedente

 Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
Vai a:
NoTrace Security Forum
 © Nazzareno Schettino
RSS NEWS 		Torna all'inizio della Pagina
Pagina generata in 0,39 secondi. TargatoNA | SuperDeeJay | Snitz Forums 2000