| Autore |
 Discussione  |
|
stewie
Average Member
77 Messaggi |
 Inserito il - 28/05/2010 : 15:33:38
|
Ciao ragazzi, mi sono appena iscritto, avendo trovato questo forum nel tentativo di reperire informazioni per debellare questo malware che affligge il pc della mia ragazza (Intel Quad Core, con Windows XP SP2, Kaspersky e Ad-Aware come protezione in tempo reale, HD impostato sull'unità I:\ ). Inizialmente i malware erano molteplici, il solito BN4.tmp nella cartella Temp. I problemi che causavano erano vari, dal non funzionamento di Internet Explorer, alla disattivazione della modalità di ripristino di configurazione del sistema (senza poterla riattivare, anche se poi, tramite registro, ci sono riuscito, perdendo però i precedenti punti di ripristino), al danneggiamento dell'antivirus (Kaspersky), passando per lentezza del pc, mancanza delle icone principali nella systray, mediaplayer che non funzionava, impossibilità di visualizzare i file nascosti, ecc ecc. Successivamente tramite Malwarebytes sono riuscito a toglierli tutti tranne uno, che comunque non fa funzionare Internet Explorer. Il file in questione si chiama I:\WINDOWS\system32\drivers\oxolyawv.sys e non c'è verso di eliminarlo o editarlo, nemmeno dalla modalità provvisoria o dal prompt dei comandi ms-dos. Cercando con la funzione Trova sull'editor del registro il seguente testo "oxolyawv", mi trova diverse voci, molte delle quali, aimè, non si riescono a cancellare manualmente.
Posto di seguito i vari log, rispettivamente di MalwareBytes, Hijackthis, e SystemScan, sperando nel vostro aiuto.
htt ://wikisend[.com]/download/444374/mbam-log-2010-05-27 19-03-44 .txt
htt ://wikisend[.com]/download/437778/hijackthis27-05-2010
htt ://wikisend[.com]/download/945608/reportSYS.txt
|
Modificato da - death in Data 28/05/2010 19:41:27
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 28/05/2010 : 16:44:14
|
ciao
mentre controllo i rapporti fai questi passaggi
elimina quel rootkit che malwarebytes ha trovato
scarica e avvia rkill
scarica combofix sul desktop
(non installare la recovery console)
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.
non usare il pc durante la scansione, nemmeno il mouse! |
Modificato da - shang in data 28/05/2010 17:06:53 |
 |
|
|
stewie
Average Member
77 Messaggi |
Inserito il - 28/05/2010 : 18:00:55
|
Ciao, grazie innanzitutto in anticipo.
Con la frase "elimina quel rootkit che malwarebytes ha trovato" intendi PRIMA di scaricare e avviare Rkill? Oppure col medesimo? Perchè quel file non me lo fa eliminare manualmente, quindi suppongo tu intendessi con rkill. Comunque mi serve un po' di tempo, in quanto non sono sempre a casa della mia ragazza.
Se vuoi, intanto dai un occhio ai miei log. Di sicuro non appena potrò (probabilmente domani), seguirò i passaggi da te suggeriti. Grazie! |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 28/05/2010 : 18:33:18
|
rimuovi quel rootkit nel senso di riavviare malwarebytes e con la spunta accanto alla voce premi ''rimuovi elementi selezionati''
ti consiglio di non usare troppo il pc se non puoi eseguire subito i passaggi |
|
|
|
stewie
Average Member
77 Messaggi |
Inserito il - 28/05/2010 : 21:13:36
|
Citazione:
Messaggio inserito da shang
rimuovi quel rootkit nel senso di riavviare malwarebytes e con la spunta accanto alla voce premi ''rimuovi elementi selezionati''
ti consiglio di non usare troppo il pc se non puoi eseguire subito i passaggi
E' proprio questo il problema, con Malwarebytes non me lo rimuove, nonostante io selezioni la voce "rimuovi elementi selezionati". Mi dice tipo "impossibile...", qualcosa del genere. Infatti quando il pc era pieno di malware, il Malwarebytes li rimosse tutti, eccetto questo in oggetto. |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 28/05/2010 : 21:18:23
|
| esegui la scansione con combofix con le istruzioni che ti ho dato, vedrai che lo rimuove |
|
|
|
stewie
Average Member
77 Messaggi |
Inserito il - 30/05/2010 : 13:20:01
|
Citazione:
Messaggio inserito da shang
esegui la scansione con combofix con le istruzioni che ti ho dato, vedrai che lo rimuove
Allora, ho fatto il procedimento da te indicato. Ho avviato rkill, l'ho fatto lavorare, appena ha terminato ho copiato e avviato combofix. L'ho lasciato lavorare senza interferire, e dopo ho avviato malwarebytes. Ritrova sempre lo stesso rootkit.agent, e cioè il file I:\WINDOWS\system32\drivers\oxolyawv.sys . Clicco su "Rimuovi elementi selezionati", ma mi da un errore (qualcosa tipo impossibile eliminare, riavviare per completare la rimozione ecc ecc). Nel contempo la voce "No action taken" diventa "Delete on reboot". Riavvio e... il files è ancora lì, senza possibilità di eliminarlo. Posto comunque i log di ComboFix, e di Malwarebytes:
htt ://wikisend[.com]/download/907488/ComboFix.txt
htt ://wikisend[.com]/download/617030/mbam-log-2010-05-29 19-19-12 .txt
Dando un'occhiata al log di ComboFix, ho notato che oltre al file in questione, è presente anche una chiava, [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\oxolyawv] che comunque non riesco ad eliminare, per un problema di "autorizzazioni". |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 30/05/2010 : 13:39:22
|
dammi il tempo di controllare combofix ora ti preparo lo script per togliere quella chiave, l'ho individuata da prima
|
Modificato da - shang in data 30/05/2010 13:39:56 |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 30/05/2010 : 13:52:20
|
apri una pagina del blocco note e copia incolla quanto segue :
Citazione:
File::
i:\windows\system32\drivers\oxolyawv.sys
i:\windows\wsjd.exe
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\oxolyawv]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\oxolyawv]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\oxolyawv]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\oxolyawv]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\oxolyawv]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oxolyawv]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oxolyawv]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oxolyawv]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\oxolyawv]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\oxolyawv]
Driver::
oxolyawv
NetSvcs::
oxolyawv
salva la pagina nominandola obligatoriamente in CFScript.txt
a questo punto trascina e lascia il file CFScript.txt sull'icona di combofix
lascialo lavorare fino alla fine e riposta il suo log ... |
|
|
|
stewie
Average Member
77 Messaggi |
Inserito il - 30/05/2010 : 15:39:47
|
Grazie mille, lo farò al più presto e ti faccio sapere.
Questo dovrebbe rimuoverlo definitivamente? |
Modificato da - stewie in data 30/05/2010 15:41:29 |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 30/05/2010 : 15:43:08
|
dopo che avrai eseguito quello script potro' dirtelo
eseguilo e posta il rapporto che rilascia |
|
|
|
stewie
Average Member
77 Messaggi |
Inserito il - 30/05/2010 : 20:30:07
|
Citazione:
Messaggio inserito da shang
dopo che avrai eseguito quello script potro' dirtelo
eseguilo e posta il rapporto che rilascia
Eccomi qua. Allora, con lo script ha eliminato il file in questione. La chiave [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\oxolyawv] invece è rimasta, e non c'è verso di eliminarla. Tuttavia i problemi sul pc sono rimasti. Sulla systray mancano parecchie icone (le utility della scheda madre per aumentare le prestazioni, la scheda audio, e tante altre che prima di queste malware c'erano). Internet Explorer non funziona (cioè parte, ma non carica le pagine), e ad ogni (ma non tutte) applicazione che avvio (compreso ComboFix) mi compare la scritta di errore "grpconv.exe mancante". Stessa cosa se avvio la riparazione di Kaspersky (danneggiato).
Posto comunque i log, sia di ComboFix, sia di Malwarebytes (che stavolta non ha trovato più nulla):
htt ://wikisend[.com]/download/548874/ComboFix2.txt
htt ://wikisend[.com]/download/558344/mbam-log-2010-05-30 19-32-01 .txt |
Modificato da - stewie in data 30/05/2010 20:32:01 |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 30/05/2010 : 21:21:38
|
sembra strano che non vuole andar via
se hai eseguito correttamente lo script con quelle istruzioni deve essere cancellata
proviamo in questo modo
scarica avenger sul desktop
Avvia il file avenger.exe
Copi e incolli nella finestra: "Imput script here" il testo in rosso
Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\oxolyawv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\oxolyawv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\oxolyawv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\oxolyawv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\oxolyawv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oxolyawv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oxolyawv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oxolyawv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\oxolyawv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\oxolyawv
Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà. |
|
|
|
stewie
Average Member
77 Messaggi |
Inserito il - 30/05/2010 : 21:36:27
|
| Lo script l'ho eseguito correttamente, non è difficile. Tuttavia, quando l'ho eseguito, non c'erano programmi in avvio (ho chiuso Kaspersky), però mentre ComboFix lavorava, si è avviato Ad-Aware (che è in esecuzione automatica all'avvio, ma quando ho avviato lo script non era ancora partito). Pensi possa avere influito? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 30/05/2010 : 21:42:38
|
per ora esegui avenger con quello script
ti avviso che hai ancora altro da eliminare ed e' meglio farlo al piu' presto |
|
|
|
stewie
Average Member
77 Messaggi |
Inserito il - 30/05/2010 : 22:11:24
|
Citazione:
Messaggio inserito da shang
per ora esegui avenger con quello script
ti avviso che hai ancora altro da eliminare ed e' meglio farlo al piu' presto
Ok lo farò appena possibile. Invece del file grpconv.exe mancante che mi dici?
Intanto grazie per quello che stai facendo! |
|
|
|
Discussione |
|
Rimuovere Rootkit
Forum Bloccato
