| Autore |
 Discussione  |
|
|
innmar
New Member
37 Messaggi |
 Inserito il - 10/04/2008 : 21:59:14
|
salve a tutti
da oggi avast all'avvio del pc mi segnala che è stato tr5ovato questo
rootkit : MBR: \\.\PHYSICALDRIVE0
ho provato a cercare online la soluzione per rimuoverlo, ma ci sono
decine di post complicatissimi nei vari forum. Ho provato con
programmi freeware come F-Secure Blacklight (me lo individua ma non me
lo elimina) e Sophos Anti-rootkit, che mi trova 3 hidden registry key,
che allego qua.
Area: Windows registry
Description: Hidden registry key
Location: \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\a347scsi
\Config\jdgg40
Removable: No
Notes: (no more detail available)
Area: Windows registry
Description: Hidden registry key
Location: \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\a347scsi
\Config\jdgg41
Removable: No
Notes: (no more detail available)
Area: Windows registry
Description: Hidden registry key
Location: \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\a347scsi
\Config\jdgg42
Removable: No
Notes: (no more detail available)
pero' come vedete mi dice che non sono "removable".
Come devo fare?
tenete conto che non sono un esperto nell'uso del pc, quindi per
favore aiutatemi con risposte comprensibili!!
grazie mille a chi mi rispondera'!!
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 11/04/2008 : 07:21:23
|
Disattiva il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta "disattiva ripristino configuraz. di sistema"
1 Scaricate questo tool (htt*://[www]2.gmer.net/mbr/mbr.exe) sul DeskTop e mettetelo direttamente nella Directory C:\
Riavviate il Pc in modalità provvisoria F8
Da Start - Esegui - digitate C:\mbr.exe e cliccate su OK
Allegate il log prodotto per il controllo
2 Vai su Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
Allegate il log prodotto per il controllo
3 Riavviate il PC in modalità normale
Da Start - Esegui - digitate C:\mbr.exe e cliccate su OK
Allegate il log prodotto per il controllo
5 Usa infine quest'altro tool:
htt*://[www].symantec[.com]/content/en/us/global/removal_tool/threat_writeups/FixMebroot.exe
Doppio click su FixMebroot.exe - cliccare su I Accept - cliccare su Start e seguire le istruzioni
Al termine della scansione verrà creato sul Desktop il log FixMebroot.log da allegare per il controllo
Allega i log delle 5 operazioni seguendo le regole del forum:
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255
fai una scansione con kaspersky:
htt*://[www].kaspersky[.com]/service?chapter=161739400
1.Clicca su Kaspersky Online Scanner
2.Scarica un componente ActiveX da Kaspersky, Clicca su "Yes."
3.Attendi la fine del download
4.Clicca su "Next"
5.Clicca su "Scan Settings"
6.Assicurati che siano spuntate le seguenti voci
Scan using the following Anti-Virus database:
Extended
spunta le voci di "Scan options"
Scan Archives
Scan Mail Bases
7.Clicca su "OK"
8.Scegli "My computer"
posta il log di Hijackthis => htt*://[www].trendsecure[.com]/portal/en-US/threat_analytics/hijackthis.php#
Metti il programma in un cartella dedicata (esempio: c:\programmi\Hijackthis), lancialo, fai clic su Main men e poi sul tasto "Do a system scan and save a log file. Posta il file di testo ottenuto secondo le regole del forum che trovi qui htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255
NB: quei 3 servizi nascosti che ti rileva sopohos nn sono nocivi e nn appartengono a 1 rootkit ma a daemon tools e alcohol 
|
Modificato da - Leleago in data 11/04/2008 10:01:15 |
 |
|
|
innmar
New Member
37 Messaggi |
Inserito il - 13/04/2008 : 18:27:10
|
ho fatto quello che mi hai detto, il responso di kaspersky è stato questo:
Scan Settings
Scan using the following antivirus database extended
Scan Archives true
Scan Mail Bases true
Scan Target My Computer
A:\
C:\
D:\
E:\
F:\
Scan Statistics
Total number of scanned objects 68220
Number of viruses found 5
Number of infected objects 8
Number of suspicious objects 0
Duration of the scan process 01:33:24
Infected Object Name Virus Name Last Action
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\Marco\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\62d00w62.default\cert8.db Object is locked skipped
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\62d00w62.default\history.dat Object is locked skipped
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\62d00w62.default\key3.db Object is locked skipped
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\62d00w62.default\parent.lock Object is locked skipped
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\62d00w62.default\search.sqlite Object is locked skipped
C:\Documents and Settings\Marco\Dati applicazioni\Mozilla\Firefox\Profiles\62d00w62.default\urlclassifier2.sqlite Object is locked skipped
C:\Documents and Settings\Marco\Desktop\shared\programmi\mirc616.exe/data0001.bin Infected: not-a-virus:Client-IRC.Win32.mIRC.616 skipped
C:\Documents and Settings\Marco\Desktop\shared\programmi\mirc616.exe mIRC: infected - 1 skipped
C:\Documents and Settings\Marco\Desktop\TMRBLog\REALMBR.BIN Infected: Backdoor.Win32.Sinowal.bn skipped
C:\Documents and Settings\Marco\Documenti\utilities\mIRC6.21-Italiano-TuttoIRC\mIRC.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.621 skipped
C:\Documents and Settings\Marco\Documenti\utilities\mIRC6.21-Italiano-TuttoIRC.zip/mIRC6.21-Italiano-TuttoIRC/mIRC.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.621 skipped
C:\Documents and Settings\Marco\Documenti\utilities\mIRC6.21-Italiano-TuttoIRC.zip ZIP: infected - 1 skipped
C:\Documents and Settings\Marco\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\62d00w62.default\Cache\_CACHE_001_ Object is locked skipped
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\62d00w62.default\Cache\_CACHE_002_ Object is locked skipped
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\62d00w62.default\Cache\_CACHE_003_ Object is locked skipped
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\62d00w62.default\Cache\_CACHE_MAP_ Object is locked skipped
C:\Documents and Settings\Marco\Impostazioni locali\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped
C:\Documents and Settings\Marco\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Marco\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Marco\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Programmi\Alwil Software\Avast4\DATA\aswResp.dat Object is locked skipped
C:\Programmi\Alwil Software\Avast4\DATA\Avast4.db Object is locked skipped
C:\Programmi\Alwil Software\Avast4\DATA\log\nshield.log Object is locked skipped
C:\RECYCLER\NPROTECT\00325197 Infected: Backdoor.Win32.Ciadoor.13 skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\4UD3RUWlou.ini Infected: Backdoor.Win32.Ciadoor.fz skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\drivers\atapi.sys Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Temp\Perflib_Perfdata_4bc.dat Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
Scan process completed. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 13/04/2008 : 20:18:58
|
Buona sera a tutti, benvenuto innmar, ho visto che il buon lele ti ha preso in cura, ho letto la discussione mancano i log degli strumenti di rimozione che ti ha consigliato leleago, cortesemente se puoi postarli.
Post per lele, se vuoi una certezza matematica sulla pulizia del master boot record, consiglia la solita procedura Avira con guida e scansione inizale del mbr, per lo meno hai un confronto certo, già testato e funziona  |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 14/04/2008 : 08:29:35
|
Controlla sia disattivato il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta "disattiva ripristino configuraz. di sistema"
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Copi e incolli nella finestra: "Imput script here" il SEGUENTE testo COSI' come l'ho scritto CON le diciture files to delete e folders to delete:
files to delete:
C:\Documents and Settings\Marco\Desktop\shared\programmi\mirc616.exe\data0001.bin
C:\Documents and Settings\Marco\Desktop\shared\programmi\mirc616.exe
C:\Documents and Settings\Marco\Documenti\utilities\mIRC6.21-Italiano-TuttoIRC\mIRC.exe
C:\Documents and Settings\Marco\Desktop\TMRBLog\REALMBR.BIN
C:\Documents and Settings\Marco\Documenti\utilities\mIRC6.21-Italiano-TuttoIRC.zip\mIRC6.21-Italiano-TuttoIRC\mIRC.exe
C:\WINDOWS\system32\4UD3RUWlou.ini
folders to delete:
C:\Documents and Settings\Marco\Documenti\utilities\mIRC6.21-Italiano-TuttoIRC
C:\Documents and Settings\Marco\Desktop\TMRBLog
C:\Documents and Settings\Marco\Documenti\utilities\mIRC6.21-Italiano-TuttoIRC.zip
C:\RECYCLER\NPROTECT\00325197
C:\RECYCLER\NPROTECT
Spunta "Automatically disable any rootkits found"
clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
scaricati Ccleaner (htt*://[www].ccleaner[.com]/download/)
Lanciare il programma, eseguire l’operazione “avvia pulizia"
Eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato
Sarebbe opportuno postassi i log delle scansioni mbr che ti avevo consigliato |
|
|
| |
Discussione |
|
rootKit come rimuoverlo?
Forum Bloccato
