| Autore |
 Discussione  |
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 12/03/2008 : 17:47:49
|
con il primo avenger scaricato (quindi non quello "mio") esegui questo script:
Citazione:
drivers to disable:
mchInjDrv
Spunta "Automatically disable any rootkits found" e clicca su "execute".
systemscan sembra pulito... continuo a controllare..
edit: li conosci?
C:\WINDOWS\Downloaded Program Files\conspawn.exe
C:\WINDOWS\Downloaded Program Files\meminfo.exe
li analizzi su Virustotal?
meminfo dovrebbe, al più, trovarsi in una cartella meminfo, così:
c:\programmi\meminfo\meminfo.exe
è stato scaricato/modificato 4 gg fa
poi, questo pure e' nuovo:
021) "ar7e666k"
---> STAT = (NOT RUNNING) Started manually
---> TYPE = Kernel device driver
poi, idem come sopra:
068) "cvscukeb"
---> STAT = (NOT RUNNING) Started by operating system loader
---> FILE = system32\drivers\ixwjudkc.sys
---> TYPE = Kernel device driver
questo è il servizio della procedura:
134) "mchInjDrv"
---> STAT = (NOT RUNNING) Disabled
---> FILE = C:\WINDOWS\TEMP\mc21.tmp
---> TYPE = Kernel device driver
|
Modificato da - Sibilla in data 12/03/2008 18:19:36 |
 |
|
|
anghelvs
Advanced Member
.jpg)
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 12/03/2008 : 19:15:36
|
allora ovviamente non li ho trovati nel pc(facendo sfoglia da virustotal)...ma ho incollato la directory scritta da te e ora sta facendo la scansione..vediamo
per quanto riguarda meminfo.exe non ho trovato la cartella in programmi,ma ora faccio la scansione su virus total e ti dirò... |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/03/2008 : 19:21:28
|
Citazione:
meminfo dovrebbe, al più, trovarsi in una cartella meminfo, così: c:\programmi\meminfo\meminfo.exe
nel senso che se lo cerchi in internet lo trovi in quella cartella e non in Downloaded Program come l'hai tu.... intendevo dire questo.
ma se apri quella cartella, i files li vedi?? Se si, vuoi vedere nelle proprietà cosa ti esce?
---
edit: mi esporti come file di testo le chiavi:
HKLM\system\currentcontrolset\services\ar7e666k
HKLM\system\currentcontrolset\services\cvscukeb
mi sa che vanno eliminate.. cvscukeb contiene il file ixwjudkc.sys, lo hai trovato anche tu nel firewall. Dell'altra chiave non si vede nulla ma mi è già capitato una volta di vedere chiavi infette abilitarsi all'improvviso.. Quindi devo capire qual è il file che richiama. Inutile dirti che nel registro di ieri sera non c'è nessun servizio con quel nome.
Mi spieghi cosa è successo esattamente tra quando hai eseguito avenger e quando hai scaricato systemscan? Fino a che non hai provato ad eliminare quelle chiavi questi due file non c'erano, giusto? Sono usciti quando si è riavviato il pc?
NB: dalle chiavi esportate si vedrà la data di creazione.. quindi capiremo qualcosa in più quando le guarderemo.. |
Modificato da - Sibilla in data 12/03/2008 19:35:01 |
|
|
|
anghelvs
Advanced Member
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 12/03/2008 : 19:47:12
|
allora i due file non sono visibili nella cartella C:\WINDOWS\Downloaded Program Files,però se inserisco il percorso manualmente(non sfoglia)virustotal li esamina.Allora conspawn.exe risulta pulito,mentre meminfo.exe ha trovato un risultato----->F-Secure 6.70.13260.0 2008.03.12 Suspicious:W32/Malware!Gemini.
Ora ho esegiuto avenger,manca di fare il rebot,che ora farò[.com]unque mi è uscita per la seconda volta la schermata blue col IRQ_LESS_OR_NOT EQUAL_ riferita sempre ad onlinearmor.Per quanto riguarda la vecchia esecuzione di avenger al riavvio mi usciva un'errore di cmd.exe con la scritta device\ecc.ecc. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/03/2008 : 19:52:24
|
Citazione:
Messaggio inserito da anghelvs
Per quanto riguarda la vecchia esecuzione di avenger al riavvio mi usciva un'errore di cmd.exe con la scritta device\ecc.ecc.
no, ti chiedevo info su quando sono comparsi i due nuovi files di cui mi hai scritto oggi.. se sono comparsi SOLO dopo il riavvio di avenger... |
|
|
|
anghelvs
Advanced Member
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 12/03/2008 : 19:56:24
|
ho eseguito avenger ed è nato nuovamente il problema(device\) di cmd.exe però sul log di avenger c'è scritto Driver "mchInjDrv" disabled successfully.quindi credo lo abbbia disabilitato.Per quanto riguarda i file nuovi sono nati ripristinando il registro di sistema.
PS le chiavi le devo postare qui? |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/03/2008 : 20:00:36
|
Citazione:
IRQ_LESS_OR_NOT EQUAL_ riferita sempre ad onlinearmor
mi comincio un po' a preoccupare.. vediamo di ripulire presto il firewall da quei processi.
ah, si... nel dubbio che conspawn.exe e meminfo.exe siano processi legittimi, magari di onlinearmor, non so (ma lo verificheremo) crea una nuova cartella in c:\ chiamata pluto. Visto che non si vedono, con avenger provo a spostare i 2 files in quella cartella |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/03/2008 : 20:04:04
|
Citazione:
Messaggio inserito da anghelvs
Per quanto riguarda i file nuovi sono nati ripristinando il registro di sistema.
parli del ripristino che hai eseguito ieri sera? L'avevo quasi rimosso..
Citazione:
PS le chiavi le devo postare qui?
si si
edit: hai visualizzato i files nascosti? Vuoi ricontrollare se quei due files davvero non riesci a vederli, per piacere? |
Modificato da - Sibilla in data 12/03/2008 20:06:27 |
|
|
|
anghelvs
Advanced Member
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 12/03/2008 : 20:38:35
|
Ho controllato,sia coi file nascosti,che con file di sistema,ma nulla...
ecco le chiavi sotto forma ti .txt
ar7e666k.txt
cvscukeb.txt
PS:pure io inizio a perdermi tra tutte queste chiavi e ripristini.
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/03/2008 : 21:31:26
|
Per prima cosa, hai creato la cartella pluto? Se no, creala..
ar7e666k appartiene al ripristino che hai fatto ieri sera.
La chiave cvscukeb è di oggi, alle 14:35.. ed il file C:\WINDOWS\lnwbnsne.txt esiste davvero...
ti affogherei solo per il fatto che stiamo lavorando su quello che hai ripristinato ieri... 
entra nel registro ed esporta in c:\ le chiavi ar7e666k e cvscukeb in formato reg.
esegui avenger (sempre il primo che hai scaricato)
Citazione:
drivers to disable:
cvscukeb
ar7e666k
drivers to delete:
cvscukeb
ar7e666k
mchInjDrv
files to delete:
C:\WINDOWS\lnwbnsne.txt
c:\windows\system32\drivers\ixwjudkc.sys
C:\WINDOWS\ojvjxbvi
files to move:
C:\WINDOWS\Downloaded Program Files\conspawn.exe | c:\pluto\conspawn.exe
C:\WINDOWS\Downloaded Program Files\meminfo.exe | c:\pluto\meminfo.exe
Spunta "Automatically disable any rootkits found" e clicca su "execute".
fatto questo, verifica che siano state eliminate e cerca nel registro hpxsbcnw, fwgbpywr, ojvjxbvi e fgurjnab.
controlla nel firewall quali altri processi "strani" trovi.
Se non ne trovi nessuno, esegui gmer, scansione rootkit.
dopo il riavvio da sempre lo stesso problema? ...no... GLI stessi problemi?  |
Modificato da - Sibilla in data 12/03/2008 21:35:19 |
|
|
|
anghelvs
Advanced Member
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 12/03/2008 : 21:45:12
|
| le chiavi devo esportare semplicemente in c?oppure nella cartella pluto? |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/03/2008 : 21:49:08
|
| si, puoi salvarle anche nella cartella pluto, tanto x ora non la eliminiamo. Puoi anche spostare li' dentro tutte le chiavi che hai salvato ieri sera (mchInjDrv), le copie del registro ecc ecc. |
|
|
|
anghelvs
Advanced Member
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 12/03/2008 : 21:58:49
|
avenger64.txt questo è il log di avenger,anche se alcune chiavi non le ha trovate.poi le 2 chiavi che avevo appena esportato sono sparite... non ci sono più in C:\
Ora cerco queste nel registro hpxsbcnw, fwgbpywr, ojvjxbvi e fgurjnab
Ps(va bene se faccio la ricerca da regedit con la funzione trova?) |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/03/2008 : 22:03:56
|
come non le trovi? staranno in qualche altra cartella, magari in documenti...
 vabbè, poco importa..
I due file che non ha trovato li ho presi da una delle due chiavi, quindi è tutto ok.
ok, utilizza la funzione cerca del regedit. F3 x spostarti.
Fammi sapere anche del firewall.. e se continua a darti lo stesso problema |
|
|
|
anghelvs
Advanced Member
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 12/03/2008 : 22:10:16
|
allora le chiavi che mi avevi chiesto non le ho trovate....
Poi nei processi in sturtup del firewall ho trovato: ixwjudkc.sys;muIO.sys;ozuhrys.sys;PzWDM.sys;sptd.sys;tkbepovp.bat.....questi sono quelli che secondo me sono sospetti...inoltre ho trovato delle chiavi della starforce(che a mia conoscenza è una protezione per i giochi che ha dato più di un problema)con i suoi relativi driver...
|
|
|
|
Discussione |
|
errore device\harddisk4\dr 10
Forum Bloccato
