| Autore |
 Discussione  |
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 06/05/2008 : 19:40:36
|
ok, ora vediamo se si riforma qualcosa: riesegui solo la scansione PC accounts e postala direttamente sul forum (non copiare tutto il rapporto ma solo da "Users on this computer" in poi, come l'ho postata io sopra).
cit: <<Ho tolto i seguenti files:>>
files? da dove? |
Modificato da - Sibilla in data 06/05/2008 19:42:32 |
 |
|
|
shaolina
Senior Member
91 Messaggi |
Inserito il - 06/05/2008 : 20:17:43
|
Ciao!
Le "cose" che ho tolto erano in Documents and settings.
Ehm...cosa devo rieseguire? |
Modificato da - shaolina in data 06/05/2008 20:34:19 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/05/2008 : 20:20:40
|
| hai ragione.. Esegui systemscan, clicca su "unselect all" e spunta solo la scansione "PC accounts" (non serve per ora eseguirlo per intero, voglio solo vedere gli user) |
Modificato da - Sibilla in data 06/05/2008 20:31:33 |
|
|
|
shaolina
Senior Member
91 Messaggi |
Inserito il - 06/05/2008 : 20:31:22
|
Ecco la risposta di SystemScan:
Users on this computer:
Is Admin? | Username
------------------
Yes | Administrator
Yes | aDSTWHGECIu
| ASPNET
| Guest
| HelpAssistant (Disabled)
Yes | iXRvSCf
Yes | LDpCFArBuF
Yes | OWYYXqP
| SUPPORT_388945a0 (Disabled)
Yes | TyefRrPuiZIw
Yes | Vaio
Yes | WnEMZBXxnrC |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/05/2008 : 20:36:15
|
facciamo così, vedo nel registro che mi manderai.
In più, non dirmi nulla ma riesegui tutto systemscan, voglio rendermi conto se sono solo le voci relative agli user non ancora eliminati (quelli che non hai trovato nel pannello di controllo ma di cui magari non esiste nulla) o se davvero si sono ricreati.. Spero di no..
cmq vedo che i nomi, seppur casuali, sono gli stessi.. quindi incrocio le dita  |
|
|
|
shaolina
Senior Member
91 Messaggi |
Inserito il - 06/05/2008 : 20:38:16
|
Ecco il report totale con SistemScan:
htt*://[www].sendmefile[.com]/00627581 |
Modificato da - shaolina in data 06/05/2008 23:19:19 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/05/2008 : 00:36:35
|
da quello che vedo le cartelle ci sono davvero..
se hai problemi a caricare i files del registro possiamo provare a cercare quello che mi serve manualmente.. Come vuoi :) |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/05/2008 : 02:47:53
|
esegui avenger
Citazione:
files to delete:
c:\programmi\file comuni\system\aux.exe
c:\programmi\file comuni\system\com6.exe
c:\programmi\file comuni\system\prn.exe
c:\programmi\file comuni\system\com8.exe
c:\programmi\file comuni\system\lpt7.exe
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\controlset001\services\winpyk
HKEY_LOCAL_MACHINE\SYSTEM\controlset002\services\winpyk
HKEY_LOCAL_MACHINE\SYSTEM\controlset003\services\winpyk
HKEY_LOCAL_MACHINE\SYSTEM\controlset001\services\netuuz
HKEY_LOCAL_MACHINE\SYSTEM\controlset002\services\netuuz
HKEY_LOCAL_MACHINE\SYSTEM\controlset003\services\netuuz
HKEY_LOCAL_MACHINE\SYSTEM\controlset001\services\sysvnk
HKEY_LOCAL_MACHINE\SYSTEM\controlset002\services\sysvnk
HKEY_LOCAL_MACHINE\SYSTEM\controlset003\services\sysvnk
HKEY_LOCAL_MACHINE\SYSTEM\controlset001\services\UpdFpi
HKEY_LOCAL_MACHINE\SYSTEM\controlset002\services\UpdFpi
HKEY_LOCAL_MACHINE\SYSTEM\controlset003\services\UpdFpi
HKEY_LOCAL_MACHINE\SYSTEM\controlset001\services\qxG
HKEY_LOCAL_MACHINE\SYSTEM\controlset002\services\qxG
HKEY_LOCAL_MACHINE\SYSTEM\controlset003\services\qxG
HKEY_LOCAL_MACHINE\SYSTEM\controlset001\enum\root\legacy_winpyk
HKEY_LOCAL_MACHINE\SYSTEM\controlset002\enum\root\legacy_winpyk
HKEY_LOCAL_MACHINE\SYSTEM\controlset003\enum\root\legacy_winpyk
HKEY_LOCAL_MACHINE\SYSTEM\controlset001\enum\root\legacy_netuuz
HKEY_LOCAL_MACHINE\SYSTEM\controlset002\enum\root\legacy_netuuz
HKEY_LOCAL_MACHINE\SYSTEM\controlset003\enum\root\legacy_netuuz
HKEY_LOCAL_MACHINE\SYSTEM\controlset001\enum\root\legacy_sysvnk
HKEY_LOCAL_MACHINE\SYSTEM\controlset002\enum\root\legacy_sysvnk
HKEY_LOCAL_MACHINE\SYSTEM\controlset003\enum\root\legacy_sysvnk
HKEY_LOCAL_MACHINE\SYSTEM\controlset001\enum\root\legacy_UpdFpi
HKEY_LOCAL_MACHINE\SYSTEM\controlset002\enum\root\legacy_UpdFpi
HKEY_LOCAL_MACHINE\SYSTEM\controlset003\enum\root\legacy_UpdFpi
HKEY_LOCAL_MACHINE\SYSTEM\controlset001\enum\root\legacy_qxG
HKEY_LOCAL_MACHINE\SYSTEM\controlset002\enum\root\legacy_qxG
HKEY_LOCAL_MACHINE\SYSTEM\controlset003\enum\root\legacy_qxG
drivers to disable:
winpyk
netuuz
sysvnk
UpdFpi
qxG
drivers to delete:
winpyk
netuuz
sysvnk
UpdFpi
qxG
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato
|
|
|
|
shaolina
Senior Member
91 Messaggi |
Inserito il - 07/05/2008 : 03:14:09
|
Ecco il report di Avenger:
htt*://[www].sendmefile[.com]/00627602
Grazie ancora Sibilla!!!!  |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/05/2008 : 09:55:49
|
ok, vedi se ora riesci ad eliminare a mano le chiavi in currentcontrolset (quelli che ieri ti davano accesso negato) e riesegui lo script di avenger di ieri pomeriggio (quello per eliminare gli user)...
ciao :)
edit:
1) dopo che l'hai fatto, verifica se si sono ricreate le cartelle in C:\documents and settings.
2) vedi anche se riesci ad eseguire registry serach tool.
3) entra nel registro e verifica di non aver piu' nulla (eccetto, eventualmente, quelle in currentcontrolset) per quanto riguarda le voci:
TyefRrPuiZIw
WnEMZBXxnrC
OWYYXqP
aDSTWHGECIu
LDpCFArBuF
iXRvSCf
Poi... nel caso non riuscissi ad eliminare i servizi in currentcontrolset, fai cosi:
a) clicca due volte su "ImagePath" e, nella finestra che si apre, cancella il riferimento al file e dai l'ok.
b) idem per la voce sottostante, che fa riferimento allo user (non ricordo il nome).
Fai questo per tutte e 5 le chiavi. |
Modificato da - Sibilla in data 07/05/2008 11:46:12 |
|
|
|
shaolina
Senior Member
91 Messaggi |
Inserito il - 07/05/2008 : 13:42:43
|
Ciao!
Ho trovato solo
WnEMZBXxnrC in qualche parte, ma non associato a .exe...cosa ne devo fare? |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/05/2008 : 14:55:03
|
ciao,
esporta la chiave come file di testo, caricala si freefilehosting e mandamela con un pm (file di testo, mi raccomando).
il resto dei controlli? li hai fatti? Avenger? |
|
|
|
shaolina
Senior Member
91 Messaggi |
Inserito il - 07/05/2008 : 16:20:23
|
Ciao!
Allora per il poco che ho fatto:
- le cartelle in documents and settings ci sono ancora;
- non riesco ad usare documents and settings;
- per il resto del registro mi sa che dobbiamo rivederci stasera..da sola non ci riesco a farlo...ops!
A dopo!
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 07/05/2008 : 16:50:11
|
Citazione:
Messaggio inserito da shaolina
- non riesco ad usare documents and settings;
 |
|
|
|
shaolina
Senior Member
91 Messaggi |
Inserito il - 07/05/2008 : 23:18:18
|
|
Ops!!! Ero stanca...non riesco ad usare Registry Search!!! |
|
|
|
Discussione |
|
Proprietà del Cestino che non funzionano
Forum Bloccato
