| Autore |
 Discussione  |
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 30/05/2010 : 23:01:35
|
|
andiamo con ordine....inizia con avenger poi recupereremo i file mancanti |
 |
|
|
stewie
Average Member
77 Messaggi |
 Inserito il - 04/06/2010 : 00:53:12
|
Citazione:
Messaggio inserito da shang
andiamo con ordine....inizia con avenger poi recupereremo i file mancanti
Ecco il log di Avenger, dopo avere seguito le tue istruzioni:
htt ://wikisend[.com]/download/613540/avenger.txt |
Modificato da - stewie in data 04/06/2010 00:54:37 |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 04/06/2010 : 09:59:54
|
apri un file di testo e incolla questo script, punto e virgola compresi mi raccomando
Citazione:
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\oxolyawv]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\oxolyawv]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\oxolyawv]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\oxolyawv]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\oxolyawv]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oxolyawv]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oxolyawv]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oxolyawv]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\oxolyawv]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\oxolyawv]
;
salvalo sul desktop come fix.reg >>>tutti i file
individua il file .reg che hai salvato >>>doppio clic e accetta le modifiche
Apri il registro >>>>>start\esegui\regedit
una volta aperto il registro, segui il percorso di questa chiave, per verificare la presenza o meno di questi servizi:
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\oxolyawv
Se il servizio indicato in grassetto e' presente clicca col destro->elimina.
vai in C:\ ed e limina il file di testo Combofix.txt una volta eliminato riesegui combofix e posta il nuovo rapporto
|
|
|
|
stewie
Average Member
77 Messaggi |
Inserito il - 04/06/2010 : 17:49:47
|
| Tra un po' vado ad eseguire queste istruzioni. Se ti può tornare utile, posso fare una ricerca nel registro con la funzione trova, cercando la parola "oxolyawv" e comunicandoti tutte le voci presenti nel registro... |
|
|
|
stewie
Average Member
77 Messaggi |
Inserito il - 04/06/2010 : 20:11:16
|
Ecco. Allora, ho fatto quello che mi hai detto. Avviato il file .reg, avviato l'editor del registro, la chiave HKEY_LOCAL_MACHINE\System\ControlSet002\Services\oxolyawv non c'era. Così ho avviato il combofix, sottolineo che ogni volta che lo avvio mi dà il messaggio di errore di grpconv.exe mancante, ma poi parte comunque. Fatta la scansione, si è riavviato, e appena ripartito il windows, il kaspersky mi ha bloccato un file .sys, che comunque sicuramente apparteneva a combofix (che nel contempo diceva "creazione del log", ma non andava avanti in quanto Kaspersky bloccava). Così ho chiuso Kaspersky e Ad-Aware (che partono all'avvio di windows in automatico), e il log di combofix è stato creato. Eccolo:
htt ://wikisend[.com]/download/446138/ComboFix04-06-10.txt
|
Modificato da - stewie in data 04/06/2010 20:12:33 |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 04/06/2010 : 22:03:47
|
finalmente la chiave e' stata eliminata
ora segui questi passaggi, abbiamo ancora altro da fare per pulire bene il pc
scarica avenger sul desktop
Avvia il file avenger.exe
Copi e incolli nella finestra: "Imput script here" il SEGUENTE testo COSI' come l'ho scritto CON la dicitura files to delete:
files to delete:
I:\Documents and Settings\Daniela\Desktop\sys22731.exe
I:\DOCUME~1\Daniela\IMPOST~1\Temp\jo2lej.exe
I:\DOCUME~1\Daniela\IMPOST~1\Temp\gsxxr3.exe
I:\DOCUME~1\Daniela\IMPOST~1\Temp\system.exe
I:\WINDOWS\system32\2571152294.dat
Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.
apri un file di testo e incolla questo script, punto e virgola compresi mi raccomando (come prima)
Windows Registry Editor Version 5.00
[-MSConfig\startupreg\hsfe8owijfisjhgs7ye39gjsoighsd7y3eu]
[-MSConfig\startupreg\hsfg9w8gujsokgahi8gysgnsdgefshyjy]
;
salvalo sul desktop come fix.reg >>>tutti i file
individua il file .reg che hai salvato >>>doppio clic e accetta le modifiche
scarica SpyDLLRemover
avvia la scansione da ''Start scan'' e controlla se rileva qualche dll infetta
posta il rapporto
scarica MBR:EXE direttamente nella Directory dove hai il S.O. quindi se non sbaglio dovrebbe essere I:\
Riavvia il computer in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8. Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^
Da Start - Esegui - digita C:\mbr.exe e clicca su OK
Posta il log che troverai in C:\ come mbr.log
|
|
|
|
stewie
Average Member
77 Messaggi |
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 06/06/2010 : 17:37:17
|
disattiva l'antivirus e disconnettiti dalla rete
riesegui systemscan e posta il nuovo rapporto |
Modificato da - shang in data 06/06/2010 17:38:13 |
|
|
|
stewie
Average Member
77 Messaggi |
Inserito il - 07/06/2010 : 20:24:37
|
Citazione:
Messaggio inserito da shang
disattiva l'antivirus e disconnettiti dalla rete
riesegui systemscan e posta il nuovo rapporto
Ecco il log di systemscan:
htt ://wikisend[.com]/download/448210/report2.txt
Che mi dici? Siamo vicini alla soluzione? Il fatto che ancora manchino parecchie icone dalla systray, e che il Kaspersky è danneggiato (senza possibilità di ripararlo, dato l'errore "grpconv.exe mancante"), mi preoccupa non poco. |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 07/06/2010 : 20:44:44
|
prima che controllo systemscan
hai il cd di windows? dobbiamo recuperare i due file mancanti |
|
|
|
stewie
Average Member
77 Messaggi |
Inserito il - 07/06/2010 : 22:10:25
|
Citazione:
Messaggio inserito da shang
prima che controllo systemscan
hai il cd di windows? dobbiamo recuperare i due file mancanti
Si ce l'ho, ho già messo da parte il file grpconv.exe dal mio pc, ma il mio è il Service Pack 3, il computer infetto è un SP2. Non so se va bene... |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 09/06/2010 : 10:18:30
|
stewie ptima di procedere con l'operazione del recupero file dobbiamo fare un passaggio piu' importante
scarica antivir_rootkit
scompattalo
clicca su ''start scan''
quando finisce vai in basso su ''view report'' e copia il rapporto che rilascia |
Modificato da - shang in data 09/06/2010 10:20:37 |
|
|
|
stewie
Average Member
77 Messaggi |
Inserito il - 10/06/2010 : 01:54:28
|
Citazione:
Messaggio inserito da shang
stewie ptima di procedere con l'operazione del recupero file dobbiamo fare un passaggio piu' importante
scarica antivir_rootkit
scompattalo
clicca su ''start scan''
quando finisce vai in basso su ''view report'' e copia il rapporto che rilascia
Il programma non parte, mi da il seguente messaggio d'errore: "One of the Avira AntiVir Desktop product must be installed first. The application will exit". |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 10/06/2010 : 10:40:12
|
| usa questo |
|
|
|
stewie
Average Member
77 Messaggi |
Inserito il - 11/06/2010 : 21:10:41
|
|
Ho fatto la scansione, non ha trovato alcun oggetto infetto. |
|
|
|
Discussione |
|
Rimuovere Rootkit
Forum Bloccato
