| Autore |
 Discussione  |
|
slevin82
Senior Member
203 Messaggi |
 Inserito il - 14/09/2010 : 22:07:40
|
ciao a tutti chi mi da un consiglio per eliminare Rootkit.Agent?
ho provato combofix ma niente da fare e neanche con malwa riesco ad eliminarlo
il log di malwa htt*://wikisend[.com]/download/495208/mbam-log-2010-09-14 (19-57-51).txt
il log di combofix htt*://wikisend[.com]/download/538186/ComboFix.txt
e quello di hijackthis htt*://wikisend[.com]/download/567388/hijackthis.log
spero che mi aiutate a dopo
|
Modificato da - in Data
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 14/09/2010 : 22:38:48
|
ciao e benvenuto
Ora apri una pagina del blocco note e copia incolla quanto segue
Citazione:
File::
c:\windows\system32\drivers\bjeskik.sys
Driver::
bjeskik
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\bjeskik]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\bjeskik]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\bjeskik]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\bjeskik]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\bjeskik]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bjeskik]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\bjeskik]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\bjeskik]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\bjeskik]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\bjeskik]
salva la pagina nominandola obligatoriamente in CFScript.txt
a questo punto trascina e lascia il file CFScript.txt sull'icona di combofix
lascialo lavorare fino alla fine e riposta il suo log .. |
 |
|
|
slevin82
Senior Member
203 Messaggi |
Inserito il - 14/09/2010 : 23:06:32
|
| ecco il log aggiornato htt*://wikisend[.com]/download/155494/ComboFix.txt |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 14/09/2010 : 23:21:03
|
| hai copiato bene lo script? una volta copiato devi salvarlo sul desktop come CFScript.txt e trascinarlo sull'icona di combofix |
|
|
|
slevin82
Senior Member
203 Messaggi |
Inserito il - 14/09/2010 : 23:24:49
|
quello che ho copiato è questo
File::
c:\windows\system32\drivers\bjeskik.sys
Driver::
bjeskik
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\bjeskik]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\bjeskik]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\bjeskik]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\bjeskik]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\bjeskik]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bjeskik]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\bjeskik]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\bjeskik]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\bjeskik]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\bjeskik]
è giusto cosi? si salvato sul desktop e fatto tutto giusto ...
solo che ho fatto girare combofix in provvisoria... |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 14/09/2010 : 23:27:22
|
no non deve andare in provvisoria con lo script
riprova in modalita' normale |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 14/09/2010 : 23:45:38
|
posta il log, se non dovesse andare ci aggiorniamo a domattina e risolviamo
vado a nanna
|
|
|
|
slevin82
Senior Member
203 Messaggi |
Inserito il - 14/09/2010 : 23:49:28
|
credo che adesso sia giusto htt*://wikisend[.com]/download/544416/ComboFix.txt
senti una cosa mentre girara comfofix si è aperta una piccola finestra di errore che diceva che PEV.EXE HA SMESSO DI FUNZIONARE spero che nn sia una cosa grave ???? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 15/09/2010 : 12:04:59
|
Scarica ed installa
CCleaner
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
nel menu a sinistra, clicca sulla voce Pulizia
clicca su tasto Avvia pulizia per eseguire la scansione
finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
clicca sul tasto Trova problemi ed avvia una scansione
al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)
disattiva l'antivirus e disconnettiti dalla rete
scarica systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Allega il file con estensione .zip nella tua prossima risposta.
|
Modificato da - shang in data 15/09/2010 12:06:22 |
|
|
|
slevin82
Senior Member
203 Messaggi |
Inserito il - 15/09/2010 : 14:16:28
|
| ciao shang ecco il log htt*://wikisend[.com]/download/479686/15_09_2010_14_03_report.zip |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 15/09/2010 : 15:27:24
|
apri il registro start\esegui digita regedit
segui il percorso di questa chiave
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\
un clic su ''services'' e controlla sul lato destro quali sono i servizi che vedi |
|
|
|
slevin82
Senior Member
203 Messaggi |
Inserito il - 15/09/2010 : 15:42:13
|
quello che vedo e questo :
nome tipo dati
ab(predifinito REG_SZ (valore non impostato) |
Modificato da - slevin82 in data 15/09/2010 15:45:30 |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 15/09/2010 : 15:45:17
|
credo che possiamo concludere, anche systemscan non rileva piu' niente
hai ancora problemi col pc? come va ora?
fai la solita pulizia con ccleaner e posta un log aggiornato di hijackthis |
|
|
|
slevin82
Senior Member
203 Messaggi |
Inserito il - 15/09/2010 : 15:53:06
|
ecco il log htt*://wikisend[.com]/download/948320/hijackthis.log
credo che possiamo chiudere non ho altri problemi per il momento adesso va bene il pc
grazie di tutto shang
ps: mi dai il coso per eliminare combofix
alla prox e grazie ancora |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 15/09/2010 : 15:57:12
|
il log e' a posto  |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 15/09/2010 : 15:58:28
|
dimenticavo
rimuovi combofix con OTC by OldTimer
eseguilo
Clicca su CleanUp.
Alla richiesta di riavvio clicca SI
vai in C:\ e se la vedi elimina la cartella qoobox |
|
|
|
Discussione |
|
Rootkit.Agent
Forum Bloccato
