| Autore |
 Discussione  |
|
lodrago
Senior Member
153 Messaggi |
 Inserito il - 28/04/2008 : 18:02:15
|
ciao a tutti
come un pollo ci sono cascato
la prima volta mi è andata bene..... ora invece...
per cercare un maledetto solitario che piace a mia moglie (mahjong) per ben due volte ho trovate dei file infetti.
praticamente ora all'avvio avast mi rileva dei trojan
win32:rootkit-gen.
li sposto in cestino ma niente.
li cancello ma niente.
li rinomino ma niente.
ho usato *n remover. ha pulito e vi posto il log
htt*://[www].freefilehosting.net/download/3g9ac
purtroppo all'avvio avast mi rileva sempre i trojan.
a questo punto non so che fare........
ho provveduto a fare una scansione con hijackthis
eccovi il log
htt*://[www].freefilehosting.net/download/3g9ad
mi affido alle vostre esperte mani
un saluto ed un ringraziamento anticipato
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 28/04/2008 : 18:18:56
|
disattiva il ripristino configurazione di sistema: start => pannello di controllo => sistema => ripristino configurazione di sistema => spunta "disattiva ripristino configuraz. di sistema"
apri hijack e spunta:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programmi\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programmi\AskTBar\bar\1.bin\ASKTBAR.DLL
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
clicca su fix checked
scaricati Ccleaner (htt*://[www].ccleaner[.com]/download/)
Lanciare il programma, scheda Pulizia, eseguire l’operazione “avvia pulizia"
Scheda registro, eseguire problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato
Poi scaricati elibagla:
htt*://[www].zonavirus[.com]/datos/descargas/95/elibagla.asp
Ti sposti in fondo alla pagina e clicca sul bottone descarger elibagla
Salva il file sul desktop
Disconnettiti da internet e disattiva il tuo antivirus.
Doppio click sull'icona per avviare il programma:
Metti il segno di spunta a eliminar ficheros automaticamente e clicca sul bottone Explorar.
Al termine della scansione, comunque sia andata, dovrai riavviare il pc.
Al riavvio, dovresti trovare il log C:\InfoSat.txt.
postalo
Fai una scansione con kaspersky:
htt*://[www].kaspersky[.com]/service?chapter=161739400
1.Clicca su Kaspersky Online Scanner
2.Scarica un componente ActiveX da Kaspersky, Clicca su "Yes."
3.Attendi la fine del download
4.Clicca su "Next"
5.Clicca su "Scan Settings"
6.Assicurati che siano spuntate le seguenti voci
Scan using the following Anti-Virus database:
Extended
spunta le voci di "Scan options"
Scan Archives
Scan Mail Bases
7.Clicca su "OK"
8.Scegli "My computer"
Attendi la fine della scansione e salva il rapporto cliccando su "Save as Text". Posta il report secondo le regole del forum 
|
 |
|
|
lodrago
Senior Member
153 Messaggi |
Inserito il - 28/04/2008 : 18:44:14
|
purtroppo il trojan non mi permette di fare nulla.
nel frattempo ho disinstallato avast (e me lo ha fatto fare)
ho provato ad installate avg (e non me lo ha fatto fare)
ora che ho letto la vostra risposta
ho provato ad aprire hjt per seguire i vostri consigli
ma non riesco ad aprirlo!!!!!!!
ed ora????????????? |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 29/04/2008 : 08:45:22
|
| Fa le scansioni con elibagla e kaspersky online e posta i relativi logs |
Modificato da - Leleago in data 29/04/2008 10:42:21 |
|
|
|
lodrago
Senior Member
153 Messaggi |
Inserito il - 29/04/2008 : 17:56:51
|
sono riuscito con un pò di difficoltà ad eseguire le due scansioni
come da te consigliato
htt*://[www].freefilehosting.net/download/3gakb
htt*://[www].freefilehosting.net/download/3gakd
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 29/04/2008 : 20:14:58
|
Scarica htt*://[www].wikifortio[.com]/634658/Tools-Anti-Bagle.zip e avvia il file Megalabit_avenger
Esegui avenger e all'interno del box bianco copia/incolla:
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.ex_
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\klif.sys
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hlpuybtr.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\mdelk.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\m_hook.sys
c:\Documents and Settings\user\Dati applicazioni\hidires\hidr.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\srosa.sys
c:\Documents and Settings\user\Dati applicazioni\hidn\hidn2.exe
c:\Documents and Settings\user\Dati applicazioni\hidn\hldrrr.exe
c:\Documents and Settings\user\Dati applicazioni\m\data.oct
c:\Documents and Settings\user\Dati applicazioni\m\flec006.exe
C:\DOCUME~1\Michele\IMPOST~1\Temp\mirc631.exe
C:\DOCUME~1\Michele\IMPOST~1\Temp\NERO13359\Toolbar.exe
folders to delete:
c:\WINDOWS\exefld
c:\WINDOWS\exefnd
C:\WINDOWS\exefqd
C:\WINDOWS\system32\drivers\downld
c:\Documents and Settings\user\Dati applicazioni\hidires
c:\Documents and Settings\user\Dati applicazioni\hidn
C:\DOCUME~1\Michele\IMPOST~1\Temp\NERO13359
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\m_hook
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pci32
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\pci32
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\pci32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
drivers to disable:
srosa
pci32
drivers to delete:
srosa
pci32
(Modifica mettendo al posto dello "USER" il tuo user. Non lasciare spazi. Il nome del tuo user lo trovi in C:\Documents and Settings)
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.
Posta il report rilasciato
Scarica Ccleaner (htt*://[www].ccleaner[.com]/download/)
Lanciare il programma, scheda Pulizia, eseguire l’operazione “avvia pulizia"
Scheda Registro, eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato
Posta log di avenger che trovi in c:\ |
Modificato da - Leleago in data 29/04/2008 20:15:47 |
|
|
|
lodrago
Senior Member
153 Messaggi |
Inserito il - 29/04/2008 : 20:45:05
|
forse ho capito male io...
dove ho trovato la parola user l'ho sostituita con il nome che
ho trovato in C:\Documents and Settings)....
erano due cartelle:
una all user
...ho riportato in nome dell'altra.
ho copiato tutte le stringhe comprese quelle modificate
le ho incollate all'interno del riquadro bianco
ho spuntato "Automatically disable any rootkits found"
ed ho cliccato su "execute".
è uscita una maschera ed ho cliccato su yes
il computer non si è riavviato e l'ho fatto manualmente.
purtroppo al riavvio non è avvenuto nulla.
tutto questo con estrema difficoltà
in quanto il programma si chiude in automatico dopo qualche secondo
ho riprovato a farlo ancora ma mi è difficile
in quanto il programma si chiude |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 30/04/2008 : 08:15:28
|
si esatto hai messo correttamente il tuo user!
Hai provato a vedere se in c:\ c'è il file avenger.txt? |
|
|
|
lodrago
Senior Member
153 Messaggi |
Inserito il - 30/04/2008 : 16:31:36
|
francamente in c: il log che ho trovato è il seguente
htt*://[www].freefilehosting.net/download/3gc6b
ho riprovato ancora ad eseguire l'operazione con
Megalabit_avenger ma niente |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 01/05/2008 : 08:44:16
|
Scarica combofix da qui:
htt*://subs.geekstogo[.com]/ComboFix.exe
Doppio click su combofix.exe & e segui le istruzioni
Quando avrà finito, creerà log ....
Posta i logs C:\combofix.txt e C:\ComboFix-quarantined-files.txt
|
Modificato da - Leleago in data 01/05/2008 08:45:08 |
|
|
|
lodrago
Senior Member
153 Messaggi |
Inserito il - 01/05/2008 : 08:51:31
|
quando cerco di aprire combofix.exe
mi dice che "non è un'applicazione di Win32 valida"
stessa scritta che mi appare quando cerco di aprire hijack |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 01/05/2008 : 09:44:32
|
| Prova a vedere se funziona il pc in modalità provvisoria! Se sì fallo partire in modalità provissoria e riutilizza sia avenger che combofix |
|
|
|
lodrago
Senior Member
153 Messaggi |
Inserito il - 01/05/2008 : 09:56:59
|
purtroppo il pc non mi permette
di riavviarmi in modalità provvisoria |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 01/05/2008 : 11:31:37
|
Il fatto che il pc nn si avvia in modalità provvisoria è colpa del Bagle!
Scarica questo file htt*://[www].megalab.it/include/download.php?id=349
Scompatti la cartella e salva il file con safeboot sul desktop!
Fai doppio clic sul safeboot salvato sul desktop e poi riavvia il pc!
Il pc dovrebbe ridarti l'opzione della modalità provvisoria. Avvialo quindi in quella modalità e riesegui avenger con lo script che ti avevo scritto e combofix
|
Modificato da - Leleago in data 01/05/2008 11:32:34 |
|
|
|
lodrago
Senior Member
153 Messaggi |
Inserito il - 02/05/2008 : 14:30:52
|
| non riesco a scaricare il file |
|
|
|
lodrago
Senior Member
153 Messaggi |
Inserito il - 02/05/2008 : 15:17:35
|
sono riuscito a scaricare il file.
eseguito......
purtroppo il trojan non mi fa riavviare in modalità provvisoria...
mi chiedo: è il caso di arrendersi e formattare??????????? |
|
|
|
Discussione |
|
trojan rootkit-gen
Forum Bloccato
