| Autore |
 Discussione  |
|
Flipper
Junior Member
57 Messaggi |
Inserito il - 01/01/2008 : 23:50:21
|
ok e grazie per la vostra pazinza
|
 |
|
|
Flipper
Junior Member
57 Messaggi |
Inserito il - 02/01/2008 : 00:52:57
|
finalmente Gmer ha terminato.....
ma non ha trovato alcun file con la scritta rossa
vi posto comunque il risultato
URL="htt*://[www].freefilehosting.net/files/39mcc"]GMER (Rootkit).txt[/URL] |
|
|
|
Flipper
Junior Member
57 Messaggi |
Inserito il - 02/01/2008 : 01:36:28
|
non ho capito cosa intendevi con ....Se hai problemi con il SeDebug...
ecco il rapporto di SistemScan
report(suspect file).txt |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 02/01/2008 : 02:11:24
|
Vedo che hai già fatto :)
Non preoccuparti del SeDebug, era nel caso non riuscissi ad effettuare la scansione.
Analizzo il rapporto di systemscan oggi con calma.
Ciao
PS: quando vuoi modificare un post per integrarlo basta cliccare sulla terza icona in capo al messaggio. Se vuoi eliminarlo, invece, devi cliccare sulla X rossa ed inserire la password quando richiesto. |
Modificato da - Sibilla in data 02/01/2008 02:12:56 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 02/01/2008 : 15:55:01
|
Scarica dal Toll_rimoz_Bagle Sophos BAGLEGUI, Avenger, elibagla, CCleaner.
Entra in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8.
Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^).
Disattiva il ripristino configurazione di sistema (start - pannello di controllo - sistema - ripristino configurazione di sistema - spunta "disattiva ripristino configuraz. di sistema")
Visualizza file nascosti: da una cartella clicca su strumenti - opzioni cartella - visualizza - visualizza file nascosti
Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento.
All'interno della finestra "Wiew/edit script", nel box bianco, copia/incolla:
Citazione:
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Files to delete:
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hlpuybtr.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
c:\Documents and Settings\Felicex\Dati applicazioni\hidires\m_hook.sys
c:\Documents and Settings\Felicex\Dati applicazioni\hidires\hidr.exe
c:\Documents and Settings\Felicex\Dati applicazioni\hidires\m_hook.sys
c:\Documents and Settings\Felicex\Dati applicazioni\hidires\hidr.exe
folders to delete:
c:\Documents and Settings\Felicex\Dati applicazioni\hidires
c:\WINDOWS\exefld
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\system\ControlSet003\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pci32
registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | hidr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | wintems
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | hlpuybtr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | trusted
Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato in C:\Avenger secondo le regole del forum.
Esegui BAGLEGUI (clicca su "GO" per iniziare la scansione).
Esegui ELIGABLA e poi CCleaner (ripulisci sia i file temporanei e cookie che il registro - esegui 2 volte).
Attendi l'ok di michal, ci sta che inserisce\elimina info
In piu', io sono ancora alle prese con systemscan..
Continuo stasera 
X michal: => c:\windows\System32\Drivers\awyshbaw.SYS (?)
Non riesco a identificare la cartella e i file con sicurezza.
..e temo di cancellare qualche file poco conosciuto.. Quindi utilizzo uno script generico.
 Eventualmente, dai 1 occhiata a tutto... mi farebbe molto piacere...
|
|
|
|
Flipper
Junior Member
57 Messaggi |
Inserito il - 02/01/2008 : 18:26:15
|
Ciao sibilla,
ho letto ora il tuo ultimo messaggio, ma non ho capito se devo eseguire le operazioni che mi hai indicato comunque o devo aspettare l'ok di michal che deve inserire qualcosa e poi farle ???
nel frattempo sono andato in modalità provv. ed ho provato a fare avenger,
avenger9.txt |
Modificato da - Flipper in data 02/01/2008 19:44:14 |
|
|
|
Flipper
Junior Member
57 Messaggi |
Inserito il - 02/01/2008 : 20:20:20
|
ho fatto la scansione con baglegui risultato: tutto le voci 0
scansione con eligabla risultato: (si apre dopo un po un messaggio di errore x 2 volte):
acceso denegado a la carpeta:
C:\Documents and Settings\Felice (16)
faccio ok e continua la scansione con risultato:
InfoSat1.txt
devo essere proprio ben inguaiato ?? |
|
|
|
Flipper
Junior Member
57 Messaggi |
Inserito il - 02/01/2008 : 22:55:39
|
in attesa di altri consigli da voi, leggendo qua e la ho provato fare questa scansione, può esservi di aiuto????
Immagine11.JPG |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 02/01/2008 : 23:22:07
|
Ciao flipper :)
Ho visto, è stato eliminato esellerareengine e i riferimenti nel registro.
Eligabla:
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS + HIDR --> Eliminado Bagle
Eliminada Carpeta "%WinDir%\exefld"
la cartella che non c'era nei log 
...ma non doveva essere già stata eliminata da agenger? ..e anche srosa.sys!
edit: avenger non ha funzionato.. Flipper rivedo tutto con calma più tardi. Ora come va il pc?
facciamo così:
scarica Registry Search Tool e cerca srosa - HIDR. Unisci i rusultati in un solo file e allegalo. Se sono poche voci puoi anche postarle direttamente (poche = 3 o 4 in tutto :) )
riguardo gli antivirus credo ci sia ancora da lavorare nel registro.
Hai già riavviato il sistema?
Citazione:
continuo a non vedere i file eseguibili degli antivirus, tranne quello nessun altro problema
è quello il problema che causa il bagle..
ma questo succede solo per l'antivirus, vero? Le altre cartelle e i files li vedi? |
Modificato da - Sibilla in data 02/01/2008 23:36:50 |
|
|
|
Flipper
Junior Member
57 Messaggi |
Inserito il - 02/01/2008 : 23:40:17
|
il risultato di Registry Search Tool è:
No instances of"srosa - HIDR" found |
|
|
|
Flipper
Junior Member
57 Messaggi |
Inserito il - 02/01/2008 : 23:44:16
|
si vedo tutto perfettamente e senza problemi, credo che funzionano tutti gli applicativi e anche la navigazione in rete sembra ok!!
ma ho paura di essere scoperto senza antivirus |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 03/01/2008 : 13:22:25
|
ciao Flipper, allora
vai su Virustotal e controlla questo file: c:\windows\System32\Drivers\awyshbaw.SYS. Fammi sapere (dovresti avere ancora attiva la visualizzazione dei file nascosti).
Fai una scansione con Kaspersky_trial (installala e aggiornala), con Panda AntiRootkit e ripassa CCleaner.
A questo punto, con Registry Search Tool cerca e posta i risultati su:
hook
wintems
Se vedi che i risultati delle scansioni sono buoni, disinstalla l'antivirus e prova a reinstallarlo... comincia con Spybot, va..
Se non te lo fa fare, si passa al registro.. a meno di altre idee :)
|
Modificato da - Sibilla in data 03/01/2008 13:50:41 |
|
|
|
Flipper
Junior Member
57 Messaggi |
Inserito il - 03/01/2008 : 19:16:12
|
Evvivaaaaaaaaa
Carissima Sibilla oggi appena riacceso il Pc ho provato a installare Kaspersky e come per miracolo ha funzionato, allora ho provato anche a reinstallare Spy bot-S&D ed anche quello ok...!!!!!
tutto funziona nuovamente alla grande, credo che le operazioni eseguite ieri sera abbiano funzionato ma me ne sono accorto solo dopo il riavvio del PC.
Non so come ringraziarti e scusa se quindi ti ho fatto perdere inutilmente del tempo 
Siete veramente GRANDI e offrite un servizio eccezzionale
Grazzzzzzzzie
P.S. ho comunque provato con c:\windows\System32\Drivers\awyshbaw.SYS. (ma non c'era) forse perchè fatto dopo Spybot; Kaspersky; SuperAntiSpyware e CCleaner. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 03/01/2008 : 19:43:53
|
Miracolato dove vai, non scappare!
Visto che ora funziona tutto e sei più tranquillo, esegui comunque tutto quello che ti ho scritto (guarda che te lo avrei fatto fare comunque).
Fidati di me e fallo.
Ciao,
Sibilla
Ok senza Kaspersky ;) |
Modificato da - Sibilla in data 03/01/2008 19:44:48 |
|
|
|
Flipper
Junior Member
57 Messaggi |
|
|
Discussione |
|
Indispensabile Vostro Aiuto
Forum Bloccato
