problemi virus - Sicurezza Informatica pagina 3 NoTrace Security Forum

NoTrace Security Forum

Nome Utente:	Password:
Salva Password
Password Dimenticata?

Tutti i Forum

Virus

Computer Virus

problemi virus

Forum Bloccato

Versione Stampabile

Aggiungi Segnalibro

Pagina Precedente | Pagina Successiva

Autore

Discussione

Pagina: di 6

Sibilla
Advanced Member

Impegno nella community e competenze nel supporto alla rimozione malware

2059 Messaggi

Inserito il - 09/02/2008 : 23:24:35

stanno tutte lì! ho separato le chiavi ma se non funziona nemmeno stavolta dovrai fare delle scansioni perchè systemscan non vede in tutte le cartelle..

Apri il blocco note e copia questo script

Citazione:
Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{04321726-C5EE-4B70-AC57-D19427171B61}]

[-HKEY_USERS\S-1-5-21-583907252-688789844-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{04321726-C5EE-4B70-AC57-D19427171B61}]

[-HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{04321726-C5EE-4B70-AC57-D19427171B61}]

[-HKEY_LOCAL_MACHINE\system\controlset002\services\llckgcwz]

[-HKEY_LOCAL_MACHINE\system\controlset001\services\llckgcwz]

[-HKEY_LOCAL_MACHINE\system\currentcontrolset\services\llckgcwz]

e salvalo così:
in: c:\
salva come=> tutti i files
nome file: fix.reg

lo script per avenger

Citazione:
files to delete:
C:\WINDOWS\system32\drivers\ttxcvqzz.dat
C:\DOCUME~1\rosanna\IMPOST~1\Temp\snxomvpw.dat
C:\WINDOWS\system32\drmclienc.dll

Programs to launch on reboot:
c:\fix.reg

giusto per sicurezza... ovviamente questo file che vedo in c:\ fix11.reg.txt non è il file con l'estensione modificata che dovevi creare.. quello che hai fatto tu era fix11.reg, giusto? (non si sa mai)

estrella.80
Senior Member

111 Messaggi

Inserito il - 10/02/2008 : 00:54:24

ops...si quello è quello che ho salvato io!

Sibilla
Advanced Member

2059 Messaggi

Inserito il - 10/02/2008 : 00:57:33

l'hai salvato come fix.reg.txt?

... ok allora fai quello che ti ho scritto stasera.. così non ci saranno errori

...se poi siamo sfortunate, le rivedremo anche dopo questa procedura..

posta la solita ricerca nel registro, così sapremo se si sono ancora..

Modificato da - Sibilla in data 10/02/2008 00:59:52

estrella.80
Senior Member

111 Messaggi

Inserito il - 10/02/2008 : 18:40:00

scusami per ieri se ti ho lacsciata in asso è andata via la luce e ho lasciato tutto come si trovava...

il file di avenger
htt*://[www].freefilehosting.net/download/3bm11

ma fix11.reg quando si riavvia mi dice che no lo trova..boh
grazie ..e sopratutto per la tua pazienza

Modificato da - estrella.80 in data 10/02/2008 19:42:36

Sibilla
Advanced Member

2059 Messaggi

Inserito il - 10/02/2008 : 20:28:44

perchè mai dovrebbe trovare fix11?

Ti ho indicato di chiamarlo fix.reg.. e nello script c'è scritto anche lì fix.reg... quindi a cosa ti riferisci?...

Posti un nuovo rapporto di hjt?

estrella.80
Senior Member

111 Messaggi

Inserito il - 10/02/2008 : 22:56:00

htt*://[www].freefilehosting.net/download/3bm37

...scusa sono un pò fusa era fix.reg....non so da dove mi è venuto 11?

Sibilla
Advanced Member

2059 Messaggi

Inserito il - 10/02/2008 : 23:21:53

stasera sono fusa..
posti un nuovo rapporto di systemscan?
la differenza è che ti sono comparse alcune O16

Praticamente il reg non si è avviato (da come hai detto) e i files nemmeno sono stati eliminati...
Se provi a fare la ricerca nel registro su 04321726-C5EE-4B70-AC57-D19427171B61 ritrovi le stesse chiavi?

Modificato da - Sibilla in data 10/02/2008 23:32:16

estrella.80
Senior Member

111 Messaggi

Inserito il - 10/02/2008 : 23:48:26

ok faccio sistscan..vediam

si e le chiavi le ritrova..il file di report è identico a quello di ieri
htt*://[www].freefilehosting.net/download/3bkf5

sistscan
htt*://[www].freefilehosting.net/download/3bm57

Modificato da - estrella.80 in data 11/02/2008 00:18:32

Sibilla
Advanced Member

2059 Messaggi

Inserito il - 11/02/2008 : 00:33:32

1) crea una cartella "estrella" in c:\
esegui avenger con le chiavi direttamente qui, così non dovrà cercare il file:

Citazione:
files to replace with dummy:
C:\WINDOWS\system32\drivers\ttxcvqzz.dat
C:\WINDOWS\system32\drmclienc.dll

files to move:
C:\WINDOWS\system32\drivers\ttxcvqzz.dat | c:\estrella\ttxcvqzz.dat
C:\WINDOWS\system32\drivers\drmclienc.dll | c:\estrella\drmclienc.dll

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{04321726-C5EE-4B70-AC57-D19427171B61}
HKEY_USERS\S-1-5-21-583907252-688789844-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{04321726-C5EE-4B70-AC57-D19427171B61}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{04321726-C5EE-4B70-AC57-D19427171B61}

vedi se i file sono stati spostati nella cartella estrella e ricontrolla le chiavi nel registro

Sibilla
Advanced Member

2059 Messaggi

Inserito il - 11/02/2008 : 00:35:00

...ma se vai sul file drmclienc e ci clicchi sopra con il tasto destro del mouse e selezioni proprietà, cosa ti dice?

estrella... ma quei file li vedi nelle cartelle?

e cerca nel registro ttxcvqzz e drmclienc

Modificato da - Sibilla in data 11/02/2008 00:43:43

estrella.80
Senior Member

111 Messaggi

Inserito il - 11/02/2008 : 00:53:17

applicazione sconosciuta 82kb...drmclienc.dll data creazione 22/01/2008

nella cartella estrella non c'è niente

ed in più al riavvio non mi ha dato report,anzi mi ha detto con messaggio d'errore che il file è utilizzato da un'altro programma,lo stesso messaggio che mi da se provo a eliminarlo.....in più si è impallato e l'ho dovuto riavviare dal pulsante dell'accensione

se cerco le chiavi su regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{04321726-C5EE-4B70-AC57-D19427171B61}] (IMPOSSIBILE ELIMINARE)

[-HKEY_USERS\S-1-5-21-583907252-688789844-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{04321726-C5EE-4B70-AC57-D19427171B61}] (ELIMINATA)

[-HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{04321726-C5EE-4B70-AC57-D19427171B61}]
( IMPOSSIBILE ELIMINARE)

[-HKEY_LOCAL_MACHINE\system\controlset002\services\llckgcwz]
( IMPOSSIBILE ELIMINARE)

[-HKEY_LOCAL_MACHINE\system\controlset001\services\llckgcwz]
( IMPOSSIBILE ELIMINARE)

[-HKEY_LOCAL_MACHINE\system\currentcontrolset\services\llckgcwz]
( IMPOSSIBILE ELIMINARE)

se cerco con regedit con la prima non trova niente con la seconda invece
htt*://[www].freefilehosting.net/download/3bm5h

Modificato da - estrella.80 in data 11/02/2008 01:09:55

Sibilla
Advanced Member

2059 Messaggi

Inserito il - 11/02/2008 : 01:17:30

stavo controllando la chiave che avevi esportato, credo che la risposta stia lì. Ho anche aggiornato il post della pagina precedente..

Oltre a quelle CLSID, si fa riferimento a questa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\browser settings
che io non ho.....
Puoi esportarla in formato di testo? (mi raccomando.. testo

)

edit:
il file che hai trovato nel registro (drmclienc) sta proprio dentro una delle chiavi che non si eliminano. Quindi tutto ok (si fa per dire.. ma almeno sappiamo che sta lì.)
L'altro file (ttxcvqzz) sta di sicuro nella chiave llckgcwz (nei dati).

Resta solo da vedere cos'è e cosa contiene quella chiave browser settings