| Autore |
 Discussione  |
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 11/02/2008 : 02:44:46
|
smantelliamola e vediamo cosa succede.
Una copia delle chiavi llckgcwz già dovresti averla. Salva anche le altre e disconnetti il pc da inernet.
Solito file da salvare (secondo le precedenti indicazioni) in c:\ con estensione reg (si chiamerà modifica.reg)
Citazione:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\volk]
"twac"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings]
"bf"=-
"bk"=-
"iu"=-
"vr"=-
"tc"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{04321726-C5EE-4B70-AC57-D19427171B61}]
[-HKEY_USERS\S-1-5-21-583907252-688789844-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{04321726-C5EE-4B70-AC57-D19427171B61}]
[-HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{04321726-C5EE-4B70-AC57-D19427171B61}]
[-HKEY_LOCAL_MACHINE\system\controlset002\services\llckgcwz]
[-HKEY_LOCAL_MACHINE\system\controlset001\services\llckgcwz]
[-HKEY_LOCAL_MACHINE\system\currentcontrolset\services\llckgcwz]
poi, con avenger:
Citazione:
files to delete:
C:\WINDOWS\system32\drivers\ttxcvqzz.dat
C:\DOCUME~1\rosanna\IMPOST~1\Temp\snxomvpw.dat
C:\WINDOWS\system32\drmclienc.dll
Programs to launch on reboot:
c:\modifica.reg
cerca la CLSID nel registro per verificare l'eliminazione.
per qualsiasi problema, ti basterà cliccare 2 volte sulle chiavi .reg salvate x ripristinarle nel registro. |
Modificato da - Sibilla in data 11/02/2008 08:34:00 |
 |
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 11/02/2008 : 13:29:43
|
scusami sibilla ma non capisco cosa devo fare...perdonami |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 11/02/2008 : 13:31:44
|
devi salvare la prima citazione come file "modifica.reg"
...e con la seconda citazione devi eseguire avenger.
Cosa non e' chiaro?
...e per sicurazza devi salvarti queste chiavi:
1) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings]
2) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{04321726-C5EE-4B70-AC57-D19427171B61}]
3) [HKEY_USERS\S-1-5-21-583907252-688789844-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{04321726-C5EE-4B70-AC57-D19427171B61}]
4) [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{04321726-C5EE-4B70-AC57-D19427171B61}]
da quello che ho visto la soluzione alternativa e' usare combofix ma io evito..
Oppure.. possiamo fare anche un tentativo con SmitfraudFix, magari lo sgancia lui da iexplore...
entra in modalità provvisoria ed esegui SmitfraudFix.
Seleziona l'opzione 2 (Clean) e premi invio (elimina i file infetti).
Alla domanda "Registry cleaning - Do you want to clean the registry ?", rispondi "si", digitando "Y" e dai l'invio (rimuove tutto quanto associato con l'infezione - se non erro reimposta lo sfondo del desktop, quindi il tuo potrebbe sparire).
Il computer si riavviera' per completare il processo di pulizia (altrimenti riavvialo tu in modalita' normale).
Sul desktop verra' visualizzato un file di testo con risultati: dovresti trovare questo report anche in C:\rapport.txt.
Posta il log di SmitfraudFix
|
Modificato da - Sibilla in data 11/02/2008 13:41:01 |
|
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 11/02/2008 : 13:40:47
|
ok..allora smhit
htt*://[www].freefilehosting.net/download/3bmkf
avenger: htt*://[www].freefilehosting.net/download/3bmki
ma mi sache non si è risolto..appena apro una pagina di intExplorer mi ricompare la schermata del virus di avast
|
Modificato da - estrella.80 in data 11/02/2008 14:11:09 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 11/02/2008 : 14:09:36
|
| niente da fare.. Continua come descritto sopra.. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 11/02/2008 : 14:22:03
|
ok. Quando arrivo a casa ti posto la procedura x eliminare tutta la chiave oppure combofix.. non so ancora.
nel frattempo prova ad eseguirla nuovamente ma quando si riavvia, prima di connetterti, prova ad eliminare manualmente i files spostandoli in una nuova cartella.
ci sentiamo stasera. Ciao :) |
|
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 11/02/2008 : 14:26:44
|
ok |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 11/02/2008 : 22:44:58
|
scarica combofix.zip sul desktop.
con avenger e disconnessa da internet (se dal taskmanager termini anche explorer e richiami avenger da li' sarebbe meglio):
Citazione:
files to replace with dummy:
C:\WINDOWS\system32\drivers\ttxcvqzz.dat
C:\DOCUME~1\rosanna\IMPOST~1\Temp\snxomvpw.dat
C:\WINDOWS\system32\drmclienc.dll
files to delete:
C:\WINDOWS\system32\drivers\ttxcvqzz.dat
C:\WINDOWS\system32\drmclienc.dll
C:\DOCUME~1\rosanna\IMPOST~1\Temp\snxomvpw.dat
registry keys to replace with dummy:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\llckgcwz
registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\llckgcwz
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{04321726-C5EE-4B70-AC57-D19427171B61}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{04321726-C5EE-4B70-AC57-D19427171B61}
HKEY_LOCAL_MACHINE\system\controlset002\services\llckgcwz
HKEY_LOCAL_MACHINE\system\controlset001\services\llckgcwz
HKEY_USERS\S-1-5-21-583907252-688789844-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{04321726-C5EE-4B70-AC57-D19427171B61}
e al riavvio vai a vedere se ci sono i files, se si, prova ad eliminarli.
in caso di problemi con internet, ripristina la reg browser settings
se collegandoti ad internet vedi che non si è risolto nulla, esegui combofix e segui le indicazioni.
Non toccare assolutamente del pc fin quando non ha completato tutto il processo di scansione Posta i risultati (C:\combofix.txt)
|
|
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 15/02/2008 : 13:58:18
|
scusa sibilla se non ti ho più risposto ma ho avuto da lavorare e non mi sono potuta collegare...ho seguito la procedura che mi hai indicato ma il problema non si è risolto per niente!
Riformatto?
si scusa
htt*://[www].freefilehosting.net/download/3c465
(l'avevo cancellato) |
Modificato da - estrella.80 in data 15/02/2008 14:24:02 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 15/02/2008 : 14:05:02
|
no, veramente dovresti postarmi il rapporto di combofix...
bentornata
EDIT:: Ho dato una veloce occhiata.. Controllo per bene e ti faccio sapere. L'unita' F:\ cos'e'? c'e' qualcosa che non va anche li'. |
Modificato da - Sibilla in data 15/02/2008 16:26:26 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 15/02/2008 : 21:53:02
|
Per qualcuno più esperto e di buona volontà (c'è da rileggere un po' di roba), c'è qui una descrizione dell'infezione: estrella.doc. Sono in dubbio sul come procedere..
edit:
Il file a lungo andare andrà perso... Desidero che la descrizione, visto che si sta risolvendo, resti sul forum.
Ecco di seguito il file estrella.doc:
Allora.. il tutto è iniziato da questa chiave:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\llckgcwz
che, se aperta, mostra:
C:\WINDOWS\system32\drivers\ttxcvqzz.dat (imagePath)
e contiene dei REG_BINARY che riportano a:
1) C:\WINDOWS\system32\drmclienc.dll
2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings
(= infezione Trojan.Win32.BHO.agz - mi fa temere che non funzioni più IE se la elimino)
3) HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{04321726-C5EE-4B70-AC57-D19427171B61}
4) HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{04321726-C5EE-4B70-AC57-D19427171B61}
(queste ultime tre, a loro volta aperte, fanno sempre riferimento a C:\WINDOWS\system32\drmclienc.dll, così come la Services\llckgcwz)
Se vuoi vedere i reg_binary, si trovano a pag. 1 della discussione.
Da combofix, però, il file drmclienc.dll risulta creato nel 2004, anche se si trova in una posizione "di dubbia affidabilità".
Eppure tutte le chiavi sono legate tra loro.. E comunque che servizio sarebbe Services\llckgcwz? Non esiste..
Sempre da combofix, sono emersi anche i files:
C:\WINDOWS\system32\drivers\cxtntdvl.sys
C:\WINDOWS\system32\drivers\mtijscfb.sys
C:\WINDOWS\system32\1.tmp
F:\femwrytyi.exe
F:\gjnmcinoi.exe
Non esiste (o io non l'ho trovata) in internet una descrizione abbastanza precisa da rassicurarmi.
Se qualcuno la trova, mi farà un piacere..
Riguardo il Trojan.Win32.BHO.agz, lo stesso
htt*://[www].threatexpert[.com]/report.aspx?uid=bd0540ab-1cf8-4593-849b-cb09f6cc4dd8
non fa che riferimento alla chiave Explorer\Browser Settings. Di tutto il resto non esiste nulla.
La CLSID di cui sopra si trova anche in:
HKEY_USERS\S-1-5-21-583907252-688789844-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{04321726-C5EE-4B70-AC57-D19427171B61}
Una soluzione coraggiosa sarebbe l'eliminazione di queste chiavi/valori dal registro:
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1add97f1-d34a-11dc-8b9d-000e2e025ef1}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ae58ef46-ca8e-11dc-8b42-000e2e025ef1}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bf4707f5-bf8b-11dc-b17a-000e2e025ef1}
(tutte e tre legate ai files F:\femwrytyi.exe F:\gjnmcinoi.exe)
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\llckgcwz]
"Name"=-
"File"=-
"ImagePath"=-
"F10"=-
"R11"=-
"R12"=-
"R13"=-
(se non direttamente tutta la chiave)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\volk]
"twac"=-
e
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings]
"bf"=-
"bk"=-
"iu"=-
"vr"=-
"tc"=-
(tutti questi sono i valori creati dal trojan, ma potrebbe essere eliminata tutta la chiave)
e l'eliminazione anche di:
1) HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{04321726-C5EE-4B70-AC57-D19427171B61}]
2) HKEY_USERS\S-1-5-21-583907252-688789844-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{04321726-C5EE-4B70-AC57-D19427171B61}]
3) HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{04321726-C5EE-4B70-AC57-D19427171B61}]
(tutti i riferimenti alla CLSID, come si è visto sopra.
Con avenger, invece, l'eliminazione di:
C:\WINDOWS\system32\drivers\cxtntdvl.sys
C:\WINDOWS\system32\drivers\mtijscfb.sys
C:\WINDOWS\system32\1.tmp
F:\femwrytyi.exe
F:\gjnmcinoi.exe
C:\WINDOWS\system32\drmclienc.dll
C:\WINDOWS\system32\drivers\ttxcvqzz.dat
----------
Nel frattempo, posto una soluzione più tranquilla ma che potrebbe non risolvere nulla (nel senso che non si eliminerà nessun file),
... ma cosa ne pensate del resto? C’è qualcuno disposto a dire la propria?
Successivamente sono state eliminate altre chiavi.. vedi + avanti  |
Modificato da - Sibilla in data 16/02/2008 17:24:55 |
|
|
|
chiusoenrico
Advanced Member
.jpg)
Città: Salzano (VE)
578 Messaggi |
Inserito il - 15/02/2008 : 22:04:22
|
Io sarò anche gnurànt.. ma chiedo....
...non c'è un modo di "asteriscare" semplicemente le chiavi senza cancellarle affinché vengano semplicemente "saltate" se non c'è il coraggio di eliminarle... solo per fare un esperimento? 
Possibile?
p.s.: Sib... onestamente... rispetto la tua modestia, ma credi veramente che la tua ultima domanda nel .doc trovi risposta? Io provo a dare idee, ma non ne vengo a capo, capisco le sfide, ma delle volte... |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 15/02/2008 : 22:23:44
|
hai ragione.. Se da un lato questo problema vorrei risolverlo come faccio solitamente, dall'altro più vado avanti e meno mi convinco che toccherò il registro. Mi ha preso proprio male..
Sembra che nessuno mai abbia fatto un solo passo un più nelle eliminazioni: solo files. E' mai possibile?
Penso che mi accontenterò di eliminare i files infetti. Punto.
Dopo provo a dare uno sguardo ai services.. ma oramai credo di aver già deciso..
.. .. grazie...  |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 16/02/2008 : 10:47:38
|
ho esaminato il tuo resoconto e devo dire che il ragionamento fila alla perfezione ma nemmeno io sono sicuro che possa fungere al meglio.
La situazione che c'è è nuova ed ogni soluzione radicale potrebbe anche far danni.
Il perno su cui ruota il tutto credo sia drmclienc.dll(la data di creazione non la considero in quanto potrebbe essere stata modificata) infatti è stata l'unica visibile da HJt.
inoltre il servizio \llckgcwz non esisiste (creato dal virus) direi di eliminare tutta la chiave
La chiave Browser setting è sicuramente stata creata dal maleware per cui direi da eliminare(in toto) insieme alle altre due.
I file rilevati da combofix sono di supporto al maleware e vanno eliminati insieme a tutti i loro collegamenti
anche i collegamenti con CLSID\{04321726-C5EE-4B70-AC57-D19427171B61
sono da eliminare, perciò la tua soluzione "coraggiosa" per me è valida.
Ritengo di prenderla in cosiderazione ed utilizzarla se non si risolve in altra maniera.
Bel lavoro comunque Sibì.
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 16/02/2008 : 11:15:59
|
ok.... facciamo così, se questi sono tutti i files presenti, allora resterà solo un po' sporco il registro. Cominicio da questi.
Che finezza, "DRMCLIEN.DLL" (senza C finale) "This is a component of Windows Media Player".
Grazie Michal..
edit: ieri poi ho visto 1 altra cosa:
C:\WINDOWS\system32\1.tmp appartiene al servizio "MEMSWEEP2" (il file sarebbe dovuto essere C:\WINDOWS\system32\SophosMEMSWEEP.SYS, cioè Sophos-anti-rootkit... invece c'è un temp.. boh)
|
Modificato da - Sibilla in data 16/02/2008 11:57:33 |
|
|
|
Discussione |
|
problemi virus
Forum Bloccato
