| Autore |
 Discussione  |
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 02/05/2008 : 16:06:06
|
Prova a far girare questo tool:
htt*://securityresponse.symantec[.com]/avcenter/FxBeagle.exe
Alla fine posta log che otterrai sul desktop  |
 |
|
|
lodrago
Senior Member
153 Messaggi |
Inserito il - 02/05/2008 : 18:53:14
|
volevo avvisare che continuando a riprovare ad eseguire avenger
(ho scaricato anche il vecchio file di avenger ma nulla di nuovo)
ho mandato in esecuzione gli script partendo da
files to delete:
e non da
Registry values to replace with dummy:
ho notato che in c: mi ha creato una cartella avenger ed un
file avexport.bat (file batch ms-dos) da 2 kb
ho mandato in esecuzione questo file
e mi si è aperta momentaneamente la finestra di dos
che eseguiva alcune operazioni
successivamente il file avexport.bat diventava da 3 kb
nella cartella avenger c'erano 9 file
numero.reg (voci di registrazione)
non so se sto facendo qualcosa di buono
male che vada butto il pc.......... |
|
|
|
lodrago
Senior Member
153 Messaggi |
Inserito il - 02/05/2008 : 20:09:07
|
come da te consigliato ho fatto girare il tool
all'avvio mi usciva questa maschera:
htt*://[www].freefilehosting.net/download/3gf86
ho cercato di chiudere questa maschera diverse volte
alla fine l'ho chiusa ed è partita la scansione.
alla fine è uscita un'altra maschera:
htt*://[www].freefilehosting.net/download/3gf87
dopo averla chiusa ho trovato sul desktop il log che posto
htt*://[www].freefilehosting.net/download/3gf7k |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 03/05/2008 : 18:44:25
|
Ciao lodrago,
scarica SystemScan, disconnetti il pc da internet, disattiva l'anrivirus ed esegui systemscan.
Clicca sul pulsante "Removal Script" nella finestra principale di Systemscan e, nella finestra che si apre, copia/incolla questo script:
Citazione:
files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\klif.sys
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\mdelk.exe
c:\Documents and Settings\Michele\Dati applicazioni\hidires\m_hook.sys
c:\Documents and Settings\Michele\Dati applicazioni\hidires\hidr.exe
c:\Documents and Settings\Michele\Dati applicazioni\hidires\srosa.sys
c:\Documents and Settings\Michele\Dati applicazioni\hidn\hidn2.exe
c:\Documents and Settings\Michele\Dati applicazioni\hidn\hldrrr.exe
c:\Documents and Settings\Michele\Dati applicazioni\m\data.oct
c:\Documents and Settings\Michele\Dati applicazioni\m\flec006.exe
folders to delete:
c:\WINDOWS\exefld
c:\WINDOWS\exefnd
C:\WINDOWS\exefqd
C:\WINDOWS\system32\drivers\downld
c:\Documents and Settings\Michele\Dati applicazioni\hidires
c:\Documents and Settings\Michele\Dati applicazioni\hidn
registry keys to delete:
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\m_hook
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\m_hook
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\pci32
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\pci32
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
drivers to disable:
srosa
pci32
m_hook
drivers to delete:
srosa
pci32
m_hook
Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): Controlla l'esito.
riesegui elibagle e posta il rapporto
Ricordati di riattivare l'antivirus prima di collegarti ad internet
ciao
|
|
|
|
lodrago
Senior Member
153 Messaggi |
Inserito il - 04/05/2008 : 14:57:10
|
forse siamo arrivati alla fine dell'epilogo.......
intanto volevo precisare che il pc è sprovvisto di antivirus
in quanto avevo, dopo l'attacco del trojan, disinstallato avast
per poter installare avg, senza riuscirci in quanto il virus
non mi permetteva di installare alcun antivirus.
ho seguito quanto sopra consigliato
avviato Systemscan, nell'incollare gli script
mi dava un errore di comandi
ho capito che non potevo inserire i seguenti comandi:
drivers to disable:
srosa
pci32
m_hook
drivers to delete:
srosa
pci32
m_hook
li ho eliminati ed ho cliccato su "Proceed with removal".
si è riavviato il pc ed è apparsa la finestra blu che confermava
la riuscita dell'esecuzione.
presumo che il log sia questo:
htt*://[www].freefilehosting.net/download/3gidj
ho eseguito elibagle ed allego il log
htt*://[www].freefilehosting.net/download/3gid6
ho scaricato nuovamente avast ed ho fatto la prova
ad installarlo....
operazione riuscita....
ho eseguito la scansione all'avvio di avast e stranamente
ho verificato che ha ancora trovato dei file temporanei di internet
infettati da win32 rootkit-gen che, a suo dire, ha cancellato.
avrò risolto?????
devo effettuare qualche altra prova ora????
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 04/05/2008 : 15:03:25
|
ottimo..
no, ora fai una scansione con Kaspersky_virusscanner, salva il rapporto, caricalo su Freefilehosting e posta il link ottenuto.
poi, scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop sempre su Freefilehosting e posta il link ottenuto.
Riprova ad eseguire con avenger lo script che hai eseguito con systemscan (serve a disabilitare i drivers e a verificare che ora avenger sia funzionante come programma.. NB: dimmi se si riavvia da solo)
ciao
|
|
|
|
lodrago
Senior Member
153 Messaggi |
Inserito il - 04/05/2008 : 18:40:00
|
ho eseguito:
1) scansione kaspersky;
durante la scansione i virus, evidentemente solleticati,
sono stato rilevati da avast in diversi file e spostati nel cestino;
ecco il log
htt*://[www].freefilehosting.net/download/3gik1
2)systemscan; ecco il log
htt*://[www].freefilehosting.net/download/3gik2
3) avenger con tutti gli script indicati per systemscan;
il pc si è riavviato automaticamente;
ecco il log
htt*://[www].freefilehosting.net/download/3gik3 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 04/05/2008 : 19:28:19
|
che ordine 
controllo i vari rapporti e ti faccio sapere. Ciao |
|
|
|
lodrago
Senior Member
153 Messaggi |
Inserito il - 04/05/2008 : 20:39:39
|
il mio ordine deriva dalla paura di sbagliare.....
maledetta ignoranza  
a presto |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 04/05/2008 : 22:37:36
|
C'è qualcoosa di strano nel tuo pc.. una marea di files di testo (a parte 2 sys), sparsi un po' in tutte le cartelle.
Crea una nuova cartella in c:\ e chiamala pluto
Esegui avenger:
Citazione:
files to move:
C:\zlgsmti.txt | c:\pluto\zlgsmti.txt
C:\documents and settings\tcyiagin.txt | c:\pluto\tcyiagin.txt
C:\WINDOWS\rblkj.txt | c:\pluto\rblkj.txt
C:\WINDOWS\esenshqk.txt | c:\pluto\esenshqk.txt
C:\WINDOWS\system32\aowws.txt | c:\pluto\aowws.txt
C:\WINDOWS\system32\fyux.txt | c:\pluto\fyux.txt
C:\WINDOWS\system32\jpack.txt | c:\pluto\jpack.txt
C:\Programmi\ayxvy.txt | c:\pluto\ayxvy.txt
C:\Programmi\mpvh.txt | c:\pluto\mpvh.txt
C:\Programmi\nxptvro.txt | c:\pluto\nxptvro.txt
C:\Programmi\dvcklk.txt | c:\pluto\dvcklk.txt
C:\WINDOWS\system32\drivers\kmcuopqu.sys | c:\pluto\kmcuopqu.sys
C:\WINDOWS\system32\drivers\gvvpi.sys | c:\pluto\gvvpi.sys
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato
Unisci tutti i files di testo in un unico file zip e caricalo su freefilehosting.
Inviami il link con un messaggio privato (mi raccomando.. non postarlo sul forum)
da hjt fixa la O4 relativa a ALCMTR.EXE
credo nulla più...
posta un nuovo systemscan dopo essere stato connesso un po'.
ciao |
Modificato da - Sibilla in data 04/05/2008 22:44:04 |
|
|
|
lodrago
Senior Member
153 Messaggi |
Inserito il - 05/05/2008 : 07:52:32
|
eccovi il log di avenger
htt*://[www].freefilehosting.net/download/3gj8e
ho fixato quanto da te consigliato dopo aver
rifatto la scansione con hjt.
htt*://[www].freefilehosting.net/download/3gj8f
oggi pomeriggio eseguirò systemscan e posterò il log
buon lavoro a tutti |
|
|
|
lodrago
Senior Member
153 Messaggi |
Inserito il - 05/05/2008 : 16:49:56
|
vi posto il log di systemscan
htt*://[www].freefilehosting.net/download/3gk0k
aspetto notizie.... spero positive
ho fatto la prova a disinstallare kaspersky online
da pannello di controllo=>installazione applicazioni=>rimuovi
ma non me lo fa fare.... mi dice:
microsoft internet explorer is running. please close it and click retry button.
eppure l'ho fatto dopo la scansione con systemscan
quando praticamente ero disconnesso |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/05/2008 : 00:02:30
|
ciao,
intanto, ho ricevuto i files.. sono praticamente i risultati delle scansioni, si... ma non sono affatto i files che avevo indicato nello script.. infatti, se vedi, con avenger non è stato spostato nessun file (sono tutti failed).
La cartella c:\pluto l'hai creata prima o dopo lo script?.. te lo dico perchè non la vedo in systemscan
Creala e riesegui avenger, per piacere (lo script serve per spostare i files di testo nella cartella c:\pluto.. se non la crei lo script non funziona)
Riguardo kaspersky, non mi viene in mente nulla..ipotesi zero a quest'ora..  |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 06/05/2008 : 07:28:26
|
Buon giorno a tutti, scusa l'intrusione Sibilla cara  , per rimuovere kaspersky, devi cercare il controllo activex dagli strumenti di internet explorer e rimuoverlo, poi disinstalli, altro metodo, entra in modalità provvisoria e prova a rimuoverlo direttamente. |
|
|
|
lodrago
Senior Member
153 Messaggi |
Inserito il - 06/05/2008 : 16:21:14
|
francamente io ricordo di aver creato la cartella prima
di eseguire avenger, ricordo anche di aver spostato qualche
file di testo da c: a pluto ma non dalle directory
da te indicate a pluto
eccoti il nuovo log
htt*://[www].freefilehosting.net/download/3gl7c
come noterai anche questa volta gli spostamenti sono falliti
ed i file sono rimasti lì
avast non mi sta più segnalando la presenza di trojan,
purtroppo non so fino a che punto è attendibile |
|
|
|
Discussione |
|
trojan rootkit-gen
Forum Bloccato
