| Autore |
 Discussione  |
|
anghelvs
Advanced Member
.jpg)
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 11/03/2008 : 21:16:05
|
ripristinato...anche se ora sta ripristinando un milione di chaivi nello startup(online armor mi stà riempiendo di avvisi)anche chiavi di programmi che non sono installati da tempo ,compresi vecchi driver |
 |
|
|
anghelvs
Advanced Member
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 11/03/2008 : 21:38:04
|
posto un'img con l'elenco dell'avvio automatico,magari c'è qualcosa di strano,anche perchè ripeto,molti fanno riferimento a driver e programmi non più presenti sul pc...startup.JPG
inoltre in msconfig sono presenti valori(sisattivati chiaramente)che si riferiscono a vecchie installazioni...sto impazzendo |
Modificato da - anghelvs in data 11/03/2008 21:40:39 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 11/03/2008 : 23:39:52
|
dai uno sguardo qui: sophos_Troj/Lmir-EX ... IDEM francese sophos_Troj/Lmir-EX... solo che mica ne sono certa.. mah, tanto cmq non l'hai quel file e il servizio ti da fastidio..
comincia ad esportare come file reg queste chiavi:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\mchInjDrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MCHINJDRV
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\mchInjDrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MCHINJDRV
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV
Sai che le altre 2 non le trovo? Il processo ozuhrys.sys lo vedi nell'avvio del firewall e basta, giusto? Aughhhhh si ma da qualche parte deve pur venire.. come ci è finito altrimenti nel firewall appena installato?!
Ho provato anche a metterlo puntato (o.z.u.) per vedere se veniva (visibilmente) richiamato da qualche REG_BINARY ma niente.. ma mi sa che è proprio così che succede..
.[.com]unque.. puoi eliminarlo da li'? |
|
|
|
hunter
New Member
45 Messaggi |
 Inserito il - 12/03/2008 : 00:13:03
|
| ciao a tutti,riguardo a questo problema che mi sembra stia diventando un incubo,(scherzo), che ne dite se si crea un profilo utente nuovo? così da vedere come si comporta il sistema...in base a quello poi si decide se formattare o installare i programmi uno per volta, magari si trova quale provoca l'errore. |
|
|
|
anghelvs
Advanced Member
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 12/03/2008 : 00:13:19
|
ozuhrys.sys lo vedo solo dal firewall e posso bloccarlo
poi ho esportato le chiavi che mi avevi chiesto..le posto qui?
Ps:perchè i processi vecchi risultano ancora nell'elenco dello startup?sia nel firewall che in msconfig?posso eliminarli,visto che le relative installazioni non esistono più? |
|
|
|
anghelvs
Advanced Member
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 12/03/2008 : 00:21:26
|
ho letto i 2 link che mi hai inviato...devo seguire la procedura guidata per eliminare il trojan?
---->hunter:Il problema(da quello che ho capito,poco)è nelle chiavi LOCAL_MACHINE,e quindi riguarda l'intero sistema,e creando un nuovo utente non credo cambino le cose,ma non si sa mai..si potrebbe pure provare.
Grazie |
Modificato da - anghelvs in data 12/03/2008 00:22:21 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/03/2008 : 01:49:27
|
non serve postare qui quelle chiavi e si, togli quel processo e controlla che non ci sia anche l'altro...
Domattina ti posto la procedura per eliminare le chiavi..
faccio anche qualche altra ricerca..
ps: non devi eseguire le procedure del link.
pss: no, elimina solo questo per ora.. sistemiamo una cosa alla volta e se si arriva a non avere più quell'errore, lasci tutto come sta. |
Modificato da - Sibilla in data 12/03/2008 02:03:19 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/03/2008 : 07:35:32
|
con avenger:
Citazione:
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\mchInjDrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MCHINJDRV
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\mchInjDrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MCHINJDRV
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Riguardo gli altri 2 files, niente da fare.. eliminali solo dall'esecuzione del firewall.
|
Modificato da - Sibilla in data 12/03/2008 07:54:56 |
|
|
|
hunter
New Member
45 Messaggi |
Inserito il - 12/03/2008 : 08:19:24
|
| ciao, per curiosità avete provato a controllare i programmi all'avvio da start-esegui-msconfig e il file boot.ini? |
|
|
|
anghelvs
Advanced Member
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 12/03/2008 : 12:25:10
|
| Ciao,si da msconfig non risulta nulla di strano,tralasciando che non si aggiorna,ovvero che rimangono nell'elenco chiavi di programmi eliminati...(ovviamente deselezionate).. |
|
|
|
anghelvs
Advanced Member
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 12/03/2008 : 12:34:05
|
ho provato con avenger,ma quando incollo lo script e faccio execute, mi esce un'errore :Invalidi Script.A valid script must begin whit a command directive.Aborting execution!
questo è lo script che ho incollato
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\mchInjDrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MCHINJDRV
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\mchInjDrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MCHINJDRV
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV
Grazie
Ps.quali sono gli altri 2 file che devo bloccare dal firewall oltre ozuhrys.sys?
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/03/2008 : 13:58:51
|
ti volevo inviare il vecchio avenger... ma e' immediatamemte partito l'antivirus, quindi non so cosa c'e' nella cartella. Ti posto comunque il link (non posso verificarlo). Vedi se funziona.... 
avenger2.zip
edit: capito.. probabilmente vuole il comando x eliminare i servizi... |
Modificato da - Sibilla in data 12/03/2008 14:00:49 |
|
|
|
anghelvs
Advanced Member
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 12/03/2008 : 14:44:17
|
allora ho scaricato iil vecchio avenger,eseguito lo script,ma poi è apparsa una schermata blue,IRQ_NOT_LESS_OR_EQUAL(o una cosa simile),ho riavviato e non so se avenger è riuscito ad eseguire il2°punto,perchè è apparso l'errore del device firerito al cmd.exe,inoltre un programma chiamato ixwjudkc.sys si è aggiunto nell'avvio automatico(lo vedo da onlinearmor).
Che è successo?
edit:inoltre ora si è aggiunto un certo tkbepovp.bat |
Modificato da - anghelvs in data 12/03/2008 14:47:22 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/03/2008 : 16:14:23
|
Citazione:
l'errore del device firerito al cmd.exe
parli di quel messaggio che dice qualcosa tipo: non e' stato trovato il file zip in avenger.. ecc ecc? Se e' quello, ok. Lo script potrebbe anche essere stato eseguito, bisogna vedere nel registro per averne conferma.
allora, se vedi onlinearmor vuol dire che il pc si avvia...
riesegui systemscan, sono usciti fuori gli ospiti.. vediamo se sono fantasmi o reali.
se la scansione si blocca ad un certo punto, rieseguila saltandola (cioe' devi togliere la spunta alla scansione corrispondente)
che non trovi i files nel pc e' irrilevante...
|
Modificato da - Sibilla in data 12/03/2008 16:20:00 |
|
|
|
anghelvs
Advanced Member
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 12/03/2008 : 17:00:34
|
|
ecco il log di systemscan....report88.txt |
|
|
|
Discussione |
|
errore device\harddisk4\dr 10
Forum Bloccato
