Trojan blocca connessione wireless/LAN - Sicurezza Informatica

NoTrace Security Forum

Nome Utente:	Password:
Salva Password
Password Dimenticata?

Tutti i Forum

Virus

Computer Virus

Trojan blocca connessione wireless/LAN

Forum Bloccato

Versione Stampabile

Aggiungi Segnalibro

Pagina Successiva

Autore

Discussione

Pagina: di 2

Pierotti
Junior Member

Città: bergamo

55 Messaggi

Inserito il - 23/05/2008 : 10:35:51

ieri sera mi s'è infettato avast! m'ha trovato il cavolo di Trj in C:WINDOWS\System32\drivers\srosa.sys ovviamente ho selezionato CANCELLA, ma il problema sembra non risolversi!

Già scaricato Hijackthis e caricato .txt hijackthis_1211531544998.log

è abbastanza urgente visto che oggi pome compro Age Of Conan!

GRAZIE!

Pierotti
Junior Member

Città: bergamo

55 Messaggi

Inserito il - 23/05/2008 : 10:37:31

se può risultare più semplice aggiungetemi con msn che sono collegato tutta mattina..

Leleago
Advanced Member

Tanto impegno, buona volonta ma capacità di analisi malware da migliorare.

1918 Messaggi

Inserito il - 23/05/2008 : 10:38:33

disattiva il ripristino configurazione sistema:
start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok

Scaricati elibagla:

htt*://[www].zonavirus[.com]/datos/descargas/95/elibagla.asp

Ti sposti in fondo alla pagina e clicca sul bottone descarger elibagla

Salva il file sul desktop

Disconnettiti da internet e disattiva il tuo antivirus.

Doppio click sull'icona per avviare il programma:

Metti il segno di spunta a eliminar ficheros automaticamente e clicca sul bottone Explorar.

Al termine della scansione, comunque sia andata, dovrai riavviare il pc.

Al riavvio, dovresti trovare il log C:\InfoSat.txt.

postalo

Scarica htt*://[www].wikifortio[.com]/634658/Tools-Anti-Bagle.zip e avvia il file Megalabit_avenger

Esegui avenger e all'interno del box bianco copia/incolla il seguente testo COSI' COME l'ho scritto:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.ex_
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\klif.sys
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hlpuybtr.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\mdelk.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\m_hook.sys
c:\Documents and Settings\user\Dati applicazioni\hidires\hidr.exe
c:\Documents and Settings\user\Dati applicazioni\hidires\srosa.sys
c:\Documents and Settings\user\Dati applicazioni\hidn\hidn2.exe
c:\Documents and Settings\user\Dati applicazioni\hidn\hldrrr.exe
c:\Documents and Settings\user\Dati applicazioni\m\data.oct
c:\Documents and Settings\user\Dati applicazioni\m\flec006.exe

folders to delete:
c:\WINDOWS\exefld
c:\WINDOWS\exefnd
C:\WINDOWS\exefqd
C:\WINDOWS\system32\drivers\downld
c:\Documents and Settings\user\Dati applicazioni\hidires
c:\Documents and Settings\user\Dati applicazioni\hidn

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\m_hook
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pci32
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\pci32
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\pci32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr

drivers to disable:
srosa
pci32
m_hook

drivers to delete:
srosa
pci32
m_hook

(Modifica mettendo al posto dello "USER" il tuo user. Non lasciare spazi. Il nome del tuo user lo trovi in C:\Documents and Settings)

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.
Posta il report rilasciato

Scarica Ccleaner (htt*://[www].ccleaner[.com]/download/)
Lanciare il programma, scheda Pulizia, eseguire l’operazione “avvia pulizia"
Scheda Registro, eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato

Modificato da - Leleago in data 23/05/2008 11:00:04

Pierotti
Junior Member

Città: bergamo

55 Messaggi

Inserito il - 23/05/2008 : 11:11:22

fatto tutto, ed ecco i responsi:
-->InfoSat_1211533828614.txt
-->InfoSat_1211533844918.txt
-->cc_20080523_1106.reg

adesso dovrebbe connettersi tranquillamente o cosa?
perchè non mi rileva ancora niente..se può essere d'aiuto continua a bloccarmi "ZeroConfiguration rete senza fili"

grazie ancora

Pierotti
Junior Member

Città: bergamo

55 Messaggi

Inserito il - 23/05/2008 : 11:12:16

dannazione...
sbagliato a postare mi sa: il secondo è =>avenger_1211533925438.txt

Leleago
Advanced Member

1918 Messaggi

Inserito il - 23/05/2008 : 11:15:04

1.Scarica il file -
htt*://subs.geekstogo[.com]/ComboFix.exe
2. Doppio click su combofix.exe & e segui le istruzioni
3. Quando avrà finito, creerà log ....
Postare il log C:\combofix.txt e anche il file; C:\ComboFix-quarantined-files.txt

Modificato da - Leleago in data 23/05/2008 11:25:47

Pierotti
Junior Member

Città: bergamo

55 Messaggi

Inserito il - 23/05/2008 : 11:19:18

la seconda parte riesco, ma la prima no o meglio la faccio ma sul pc d'appoggio su cui sono adesso..

Pierotti
Junior Member

Città: bergamo

55 Messaggi

Inserito il - 23/05/2008 : 11:20:30

secondo link non lo trova..

Leleago
Advanced Member

1918 Messaggi

Inserito il - 23/05/2008 : 11:25:13

riprova col link di combofix che ti ho indicato ora!
Poi riattiveremo la connessione senza fili in modo che puoi fare la scansione sul pc infetto con kaspersky

Pierotti
Junior Member

Città: bergamo

55 Messaggi

Inserito il - 23/05/2008 : 11:32:47

fatto tutto ed ecco il responso:
-->ComboFix_1211535151252.txt

Pierotti
Junior Member

Città: bergamo

55 Messaggi

Inserito il - 23/05/2008 : 11:40:23

trovato secondo files:
-->ComboFix-quarantined-files_1211535562082.txt
scusa ma non era in C:\, besì in una sottocartella..:)

Leleago
Advanced Member

1918 Messaggi

Inserito il - 23/05/2008 : 11:47:02

Ok

Disattiva ripristino config di sistema!

Elimina la cartella Qoobox contenuta in c:\

Copia e incolla il testo sottostante così come l'ho scritto sul Blocco note:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]
"Start"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
"UuidSequenceNumber"=dword:0cdae01e

[HKEY_CURRENT_USER\Session\Information]
"ProgramCount"=dword:00000004

salva il file con il nome registro.reg (l'estensione del file deve essere REG e non TXT) sul desktop.

Fa doppio click sul file registro.reg e date la conferma per due volte.

Riavvia il computer.

Fa partire la scansione con kaspersky

Modificato da - Leleago in data 23/05/2008 11:47:26

Pierotti
Junior Member

Città: bergamo

55 Messaggi

Inserito il - 23/05/2008 : 11:53:55

dimmi che sei una donna perchè così ti posso sposare!!! m'hai appena risparmiato viaggio dal tecnico lunedì mattina, 3 gg d'attesa e 40€ di spesa!!

Leleago
Advanced Member

1918 Messaggi

Inserito il - 23/05/2008 : 11:55:20

no mi spiace

Ora asp report della scansione di kaspersky!
Salvalo cn estensione html e postalo

Modificato da - Leleago in data 23/05/2008 11:56:40

Pierotti
Junior Member