| Autore |
 Discussione  |
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 16/02/2008 : 11:28:17
|
x Estrella: cos'è F:\?
Copia/incolla questa citazone in un file di testo e chiamalo CFScript.txt (salvalo sul desktop)
Citazione:
File::
F:\femwrytyi.exe
F:\gjnmcinoi.exe
C:\WINDOWS\system32\drivers\ttxcvqzz.dat
C:\WINDOWS\system32\drivers\cxtntdvl.sys
C:\WINDOWS\system32\drivers\mtijscfb.sys
C:\WINDOWS\system32\drmclienc.dll
Driver::
C:\WINDOWS\system32\drivers\ttxcvqzz.dat
C:\WINDOWS\system32\drivers\cxtntdvl.sys
C:\WINDOWS\system32\drivers\mtijscfb.sys
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1add97f1-d34a-11dc-8b9d-000e2e025ef1}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ae58ef46-ca8e-11dc-8b42-000e2e025ef1}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bf4707f5-bf8b-11dc-b17a-000e2e025ef1}]
Trascina il file CFScript.txt sull'icona di ComboFix.
Il PC si dovrebbe ravviare, eventualmente riavvialo tu.
Posta il rapporto C:\ComboFix.txt.
Dimmi cosa contiene questa cartella: C:\WINDOWS\system32\mgrlist
Posta un nuovo rapporto di systemscan. |
 |
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 16/02/2008 : 15:13:45
|
ciao sibilla allora F: è o la PSP, o la USB per i lettori MP3 che i miei fratelli utilizzano( SONO TRE )!
Mentre all'interno di Sistem32\mgrlist ci sono 4 file CRC
se ti può essere utile uno è questo ma sembrano tutti uguali
il file di combofix:
htt*://[www].freefilehosting.net/download/3c59f
sistscan:
htt*://[www].freefilehosting.net/download/3c5ab
scusa |
Modificato da - estrella.80 in data 16/02/2008 15:44:36 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 16/02/2008 : 15:26:57
|
Ciao estrella, allora ti conviene aprire l'USB (nel senso di "esplora"), cercare quei files e analizzarli. A parte che non esistono, hanno dei nomi palesemente random e non vorrei fosse infetta...
_______
EDIT: non so se puoi fermarti sul forum. Io guardo il report di combofix. Nel frattempo verifica se per caso hai questo:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ascuouvv
Se non la trovi lì, vedi in controlset001 o currentcontrolset.
Ho già scritto la procedura per le chiavi nel registro ma a questo punto te ne inserisco una e completa.
EDIT:
X Michal: le lascio, si???
Citazione:
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] e
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)
"NoFavoritesMenu"= 0 (0x0)
"NoSMMyPictures"= 0 (0x0)
"NoStartMenuMyMusic"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)
"NoInstrumentation"= 0 (0x0)
"NoSimpleStartMenu"= 0 (0x0)
|
Modificato da - Sibilla in data 16/02/2008 15:46:35 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 16/02/2008 : 15:52:32
|
Ok. Stampa queste indicazioni (controlla che venga stampato tutto..)
Step #1
Disconnetti il pc da internet ed entra in modalità provvisoria.
Tieni disattivato il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> deve essere spuntata la scritta "disattiva ripristino configurazione di sistema"
Teoricamente dovresti già averle salvate in formato .reg ma, per sicurezza, rifallo.
Se qualche chiave risulta bloccata e non te la fa eliminare, devi sbloccarla: ciccaci sopra, seleziona “autorizzazioni” e spunta “full control” ad Everyone.
Entra nel registro, salva (e poi elimina) queste chiavi con il loro nome: ci clicchi sopra con il tasto destro del mouse e selezioni “esporta” – gli dai il nome 1llckgcwz.reg, 2llckgcwz.reg, 3llckgcwz.reg – le salvi in c:\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\llckgcwz
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\llckgcwz
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\llckgcwz
E ripeti la stessa cosa per queste, se presenti (puoi chiamarle 1Leg_llckgcwz, 2Leg_llckgcwz, 3Leg_llckgcwz):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_llckgcwz
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_llckgcwz
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_llckgcwz
Poi salva ed elimina queste 3 chiavi (puoi chiamarle CLSID1.reg, CLSID2.reg e CLSID3.reg):
1) HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{04321726-C5EE-4B70-AC57-D19427171B61}
2) HKEY_USERS\S-1-5-21-583907252-688789844-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{04321726-C5EE-4B70-AC57-D19427171B61}
3) HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{04321726-C5EE-4B70-AC57-D19427171B61}
Riavvia il pc e prova a collegarti. In caso di problemi devi cliccare due volte su tutti i files che hai salvato (serve a ripristinare chiavi e valori).
Se invece va tutto bene, entri nel forum, ci lasci un bel post con scritto “tutto ok”  e ti ari-disconnetti.
----------
Step #2
Rientra in modalità provvisoria, vai su quest’altra chiave, esportala chiamandola Browser_Settings.reg (sempre in c:\)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings
Una volta salvata, nella finestra a destra ( => ) elimina questi nomi:
"bf"=-
"bk"=-
"iu"=-
"vr"=-
"tc"=-
Fatto questo, clicca 2 volte (nella finestra a sinistra ( <= ) su browser settings e si aprirà:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\volk
elimina il nome
"twac"=-
Riprova a collagarti.
Se non va, ripristini il file Browser_Settings.reg.
Solo una cortesia… avvertimi se va tutto ok che se non ti sento mi preoccupo..
 ( => ) + ( <= ) = è un mio piccolo problema: non distinguo immediatamente la destra dalla sinistra… e fu così che tante persone ebbero indicazioni sbagliate….
|
Modificato da - Sibilla in data 16/02/2008 15:54:05 |
|
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 16/02/2008 : 15:54:08
|
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ascuouvv
eliminato sia da controlset 01 che 02
ok ti avverto oggi sono tutto il giorno a casa...
un'ultima cosa ho controllato la psp ma non ci sono quei file di F:
ora verifico anche nei lettori.
 |
Modificato da - estrella.80 in data 16/02/2008 15:59:52 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 16/02/2008 : 15:58:41
|
se tanto mi da tanto, esiste anche una:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\emun\root\legacy_ascuouvv
(vedi sempre sia in currentcontrolset, controlset001 e controlset002).
Citazione:
ho controllato la psp ma non ci sono quei file di F:
ora verifico anche nei lettori
si perchè da qualche parte stavano... potrebbero anche essere chiavi rimaste da una precedente infezione e mai rimosse. Al limite, quando finiremo, cercherai i nomi dei due files nel registro.
EDIT: ora che hai eliminato le chiavi, assicurati non ci sia più nemmeno il file C:\WINDOWS\system32\drivers\mtijscfb.sys (pare che combofix l'abbia saltato o forse non l'ha trovato) |
Modificato da - Sibilla in data 16/02/2008 16:15:33 |
|
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 16/02/2008 : 16:34:43
|
| tutto ok |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 16/02/2008 : 16:37:56
|
si... il bello viene ora  |
|
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 16/02/2008 : 16:45:09
|
fatto tutto sembra tutto a posto!
 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 16/02/2008 : 16:47:04
|
| hai anche riavviato? |
|
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 16/02/2008 : 16:52:16
|
| un paio di volte |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 16/02/2008 : 16:58:23
|
Ottimo e abbiamo anche ripulito il registro... la parte restante della chiave la lasciamo li'.
Ora vai nel registro ed elimina
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\emun\root\legacy_ascuouvv
(vedi sempre sia in currentcontrolset, controlset001 e controlset002)
fammi sapere dove li trovi.
---------
Esegui regsrch e cerca separatamente:
femwrytyi
gjnmcinoi
posta i risultati e una nuova scansione di systemscan, così do 1 occhiata ai servizi.
------
Ah si... hai mai usato Sophos-anti-rootkit?
C'è una chiave che usa un temp invece del file che dovrebbe esserci.
Se poi vogliamo controllarla, devi esportarla (come file di testo stavolta, mi raccomando):
HKLM\system\currentcontrolset\services\MEMSWEEP2
|
|
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 16/02/2008 : 16:59:30
|
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\emun\root\legacy_ascuouvv
queste non ci sono
e quello sophos,l'avevo scaricato da un cd allegato a una rivista ma l'avevo disinstallato... |
Modificato da - estrella.80 in data 16/02/2008 17:01:50 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 16/02/2008 : 17:04:09
|
se... esporta la chiave, va (formato testo)
e fai le ricerche degli altri due files
edit:
anzi.. guarda che puoi proprio eliminarle...
quelle e anche quelle che trovi in enum\root (legacy)
edit2:
e, se presente, elimina il file:
c:\windows\system32\1.tmp
|
Modificato da - Sibilla in data 16/02/2008 17:07:30 |
|
|
|
estrella.80
Senior Member
111 Messaggi |
Inserito il - 16/02/2008 : 17:10:21
|
con regsearch, per il primo file:
htt*://[www].freefilehosting.net/download/3c5d9
per il secondo no istance nn trova nada..
procedo con sistscan..a dopo |
|
|
|
Discussione |
|
problemi virus
Forum Bloccato
