| Autore |
 Discussione  |
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
 Inserito il - 15/01/2009 : 12:05:05
|
|
Facciamo una prova, vai su questo sito htt*://[www].virustotal[.com]/it/ clicca su sfoglia e cerca il file svchost nel tuo computer clicca su invia file, il sito scansionerà il file e ti rilascerà un report, verifica se viene dato infetto, ripeti l'operazione per quello nella dllcache. |
 |
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 15/01/2009 : 12:19:47
|
aggiornamento
sto facendo analisi con virustotal
nel frattempo ti confermo che la scnasione area di kaspersky ha trovato il file infetto (solo su system32) quindi penso che posso provare a metterci quello della cachedll
importante
ho rieseguito avenger e ho controllato quello che succedeva
ora avenger da
File "C:\WINDOWS\system32\vmtyre.dll" deleted successfully.
ma il file riappare subito dopo
infatti anche kaspersky me lo ha ritrovato infetto
gli altri file infetti di kaspersky sono tutti temp
sotto il log
significa che anche se avenger lo cancella qualcosa lo ripristina...
come posso fare?
grazie
htt*://wikisend[.com]/download/504186/karsperky2-15-1-2009.html
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 15/01/2009 : 12:25:48
|
Buon giorno, ti sei ripreso tutti i files infetti che ti avevo eliminato.. sostituisci il file svchost poi ripostami un nuovo systemscan, così so cosa fare dopo cena per digerire, nel mentre controllo quel file dll se ha istanze nel registro, spero solo che quel pc non si infetti da qualcuno dei pc in rete. |
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 15/01/2009 : 12:35:34
|
come imamginavo...
virustotal non rileva infezione sul svchost.exe...
ma lo rileva su vmtyre.dll
htt*://[www].virustotal[.com]/it/analisis/7913448b1a7cf009f5dbc50922498e9f
anche se non capisco perche' io gli faccio fare scansione di vmtyre.dll
e lui da nel report file scansionato fqnqin32.dll
qualche idea?
ora comunque provo a togliere il vecchio svchost
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 15/01/2009 : 12:48:11
|
| Va bene, ho visto quello che volevo dal report, cambia nome la dll, è polimorfica, postami un systemscan nuovo così posso verificare alcuni files oltre a prepararti lo script per avenger per rimuovere di nuovo tutti i files infetti, se non ho capito male il funzionamento del tuo cliente dovresti ritrovarti il file svchost infetto, sostituiscilo, riavvia il pc poi riscansionalo su virus total, vediamo se si infetta ad ogni avvio. |
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 15/01/2009 : 13:10:54
|
eccomi
forse ho fatto laprima cavolata
ho cambiato (con molte difficolta', perche' era sempre in esecuzione, anche piu di uno anche in modalita' provvisoria, dopo un po ci sono riuscito termimando sempre da task manager fino a che me lo ha cancellato e ho subito copiato il nuovo svchost - almeno credo
il problema principale e' che
non ho salvato il vecchio....quindi ora ho solo il nuovo..
il pc si e' terminato da solo (sai quella schermata NT...hai 60 secondi regressivi)
al riavvio noto che
la finestra che dice e' stato chiuso svdhost per facilitare la protezione ecc. e' rimasta come sempre
mi ha dato diverse finestre di errore, la prima era cosi'..
Windows - disco non presente
Exception Processing Message c0000013 Parameters 75b1bf9c 4 75b1bf9c 75b1bf9c
inoltre
il pc ha tentato di connettersi a ***.binaryfortress[.com]
o qualcosa di simile, me ne sono accorto perche' era dsconnesso dalla rete...e quindi e' apparso il messaggio
attendo istruzioni nel frattempo faccio scansione
grazie
|
Modificato da - death in data 15/01/2009 13:12:32 |
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 15/01/2009 : 13:13:01
|
dimenticavo
ho controllato in modalita' provvisoria quel vmtyre.dll
e non c'era...
l'ho ricontrollato dopo il riavvio normale e non c'era
poi mi sono collegato a internet per venire qui sul forum
e ora e' riapparso in system32 vmtyre.dll
quindi o si scaricano dalla rete o da internet...giusto?
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 15/01/2009 : 13:18:06
|
Cambiando il file svchost, sta cercando di riconnettersi per scaricare qualcosa, poi mi tolgo il pensiero e apro quel sito con linux, ma questo me lo tengo per aperitivo domenicale, in ogni caso dal report vecchio di systemscan credo di aver individuato 4 cartelle che fanno capo alla dll, la cosa simpatica è che hanno il nome diverso rispetto alla scheda tecnica che ho trovato sul web...te l'avevo detto che mi servivano 15 giorni di ferie  .. non oso pensare cosa ci sia su tutti i pc in rete e sul server....finiamo questo, se ti è possibile non connetterti a internet e non collegarlo in rete con gli altri, non so se tu fai da untore agli altri o viceversa. |
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 15/01/2009 : 13:30:37
|
aggiornamento
allora rifatto kasp
ovviamente trova sempre svc e vm...oltre a qualche tmp
(gli altri li avevo tolti io con l'ultimo giro di avenger)
log
htt*://wikisend[.com]/download/552294/karsperky3-15-1-2009.html
devo trovare il modo di cambiare svchost
e di eliminare vmtyre penso io...giusto?
ora come fare se poi si riaggiornano?
ci deve essere qualcosa che li fa aggiornare...
tra l'altro e' pure difficile sostituire il svchost (anche dalla modalit'a provvisoria, perche' sempre in uso...
c'e' un modo per farlo "pulito"?
dimenticavo
rifatto systemscan
htt*://wikisend[.com]/download/217396/15_01_2009_13_22_report.zip
attendo istruzioni
grazie
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 15/01/2009 : 13:37:32
|
| Ci aggiorniamo domani, il report mi prenderà del tempo, in quanto a svchost, te lo faccio fare io con avenger facendo una operazione di sposta file da una cartella creata appositamente a system32, così lo esegue lui in avvio, in ogni caso dovessi rifarlo a mano, con il pc disconnesso dalla rete interna e da internet, chiudi tutte le istanza svchost da taskmanager poi sostituisci il file. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 15/01/2009 : 20:19:33
|
Buona sera, come promesso, ti lascio i compiti per riprendere lo show domani mattina, devo dirti che non so cosa riusciremo a fare se neppure combofix in prima istanza l'ha eliminato, per fare un lavoro decente dovrei essere veramente seduto davanti a quel pc, in ogni caso non perdiamoci d'animo e cominciamo:
crea una cartella c:\pippo, copia al suo interno il file svchost.exe contenuto nella dllcache
poi
riesegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\WINDOWS\system32\svchost.exe:ext.exe
C:\khq
C:\WINDOWS\system32\vmtyre.dll
C:\WINDOWS\temp\BN2.tmp
C:\WINDOWS\temp\BN3.tmp
C:\WINDOWS\temp\EF886F.tmp
C:\WINDOWS\Temp\aqc5.tmp
C:\WINDOWS\system32\svchost.exe
folders to delete:
C:\DOCUME~1\Federico\IMPOST~1\Temp\svj5h.tmp
C:\DOCUME~1\Federico\IMPOST~1\Temp\WER1a56.dir00
C:\DOCUME~1\Federico\IMPOST~1\Temp\WER0a36.dir00
C:\DOCUME~1\Federico\IMPOST~1\Temp\WER0a02.dir00
C:\DOCUME~1\Federico\IMPOST~1\Temp\WER1257.dir00
registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vmtyre
files to move:
c:\pippo\svchost.exe | c:\windows\system32\svchost.exe
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Poi mi serve un elenco dei files contenuti in questa cartella:
C:\DOCUME~1\Federico\IMPOST~1\Temp\Rar$EX00.437
aprila, poi premi il tasto stamp, apri paint, fai incolla e salva l'immagine, caricala sul web come un report normale.
poi vai su virustotal e analizza questo file:
C:\DOCUME~1\Federico\IMPOST~1\Temp\um.um
DOCUME~1=documents and settings
Se tutto funziona ci restano 2 servizi da eliminare
|
Modificato da - death in data 15/01/2009 20:20:43 |
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 16/01/2009 : 10:47:52
|
buongiorno
allora avenger con lo script che mi hai dato non riesce a cancellare svchost... quindi nemmeno a muovere quello nuovo
ho riprovato a mano
ma mi fa sempre riavviare prima di riusciurci
ci sono 4-5-6 svchost e come ne cancello uno riparte un altro...
se ne tolgo uno in particolare parte la finestra che chiude windows automaticamente dopo 60 secondi regressivi...
cosa fare?
grazie
|
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 16/01/2009 : 11:09:34
|
eccomi (su altro pc)
ho notato che c'e' qualcosa che ripristina svchost
anche se lo cancello lo riscrive lui da solo nella cartella system32
(l'ho notato perche' io avevomesso versione 5512 e lui mi ha rimesso versione 2180) se anche lo cancello dopo 4-5 secondi riappare da solo
quindi immagino ci sia qualcosa che lo riscrive sempre
ho dato un'occhiata al registro e ci sono diverse chiavi che contengono il famoso vmtyre
dici che le posso cancellare?
c'e' anche una cartella che non mi swuadra chiamata OpenSaveMRU
in cui ci sono sottocartelle come sedue *, dll, exe, html, txt, xml,zip
alcune di queste contengono il riferimento a vmtyre.dll
dici che posso cancellarle?
attendo una tua
grazie
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 16/01/2009 : 11:11:47
|
| Buon girono, non toccare nulla, avenger si è interrotto o è andato a buon fine per le eliminzaioni? mi posti il report per cortesia, se non riesco a vedere facciamo solo pasticci. |
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 16/01/2009 : 11:20:27
|
avenger ha finito
ma ha detto che non poteva eliminare estensione exe
il post non ce l'ho perche' si e' riavviato...
comunque rieseguo lo script e te lo posto
cosi' puoi leggerlo integralmente
a tra poco |
|
|
|
Discussione |
|
TDSS e trojan Vundo
Forum Bloccato
