| Autore |
 Discussione  |
|
|
paolinho
New Member
42 Messaggi |
 Inserito il - 30/06/2010 : 16:14:22
|
Buongiorno a tutti.
Ho appena fatto una scansione con Superantyspyware e mi ha rilevato il Trojan rootkit.gen nel file c:\WINDOWS\SYSTEM32\DRIVERS\WZITOA.SYS
Ho appena fatto una pulizia con CCcleaner e qui sotto ho messo il log di combofix perchè in precedenti post ho visto che è necessario fare una procedura e salvare un file di testo chiamato CFScript.txt.
Volevo sapere se qualcuno poteva leggere il log e spiegarmi questa procedura.
htt*://[www].freefilehosting.net/95uLbqpR
Grazie in anticipo
|
Modificato da - in Data
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 30/06/2010 : 21:07:04
|
ciao Paolinho
apri un file di testo (dal blocco note di windows), al suo interno incollaci il seguente script:
Citazione:
File::
c:\windows\system32\drivers\wzitoa.sys
Driver::
wzitoa
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\wzitoa]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\wzitoa]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\wzitoa]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\wzitoa]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\wzitoa]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wzitoa]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wzitoa]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wzitoa]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wzitoa]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\wzitoa]
salva il file nella stessa cartella dove hai messo combofix chiamandolo obbligatoriamente CFScript.txt
Fatto ciò, con il puntatore del mouse, trascina il file sull'icona di combofix
l programma avvierà una nuova scansione, come la precedente. Non fare e non muovere nulla. Al termine di essa, se non si riavvierà automaticamente il computer, fallo tu. Allega il nuovo file c:\combofix.txt prodotto dalla scansione. |
Modificato da - shang in data 30/06/2010 22:55:29 |
 |
|
|
paolinho
New Member
42 Messaggi |
Inserito il - 01/07/2010 : 09:30:08
|
Prima di tutto grazie per l'assistenza.
Ecco il link per il secondo report prodotto da Combofix
htt*://[www].freefilehosting.net/ublG3tV4
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 01/07/2010 : 11:39:38
|
rimuovi combofix con OTC by OldTimer
eseguilo
Clicca su CleanUp.
Alla richiesta di riavvio clicca SI
vai in C:\ e rimuovi la cartella qoobox (se presente)
disinstalla il tuo antivirus solo per il tempo necessario per effettuare questo controllo, dopo lo reinstalli e scarica avira free
scarica anche scarica antivir_rootkit
scompattalo
clicca su ''start scan''
quando finisce vai in basso su ''view report'' e copia il rapporto che rilascia
|
|
|
|
paolinho
New Member
42 Messaggi |
Inserito il - 01/07/2010 : 15:14:25
|
Ecco il risultato dopo aver fatto la scansione con antivir rootkit
htt*://[www].freefilehosting.net/jMRzAVkQ
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 01/07/2010 : 18:07:20
|
Scarica ed installa
CCleaner
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
nel menu a sinistra, clicca sulla voce Pulizia
clicca su tasto Avvia pulizia per eseguire la scansione
finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
clicca sul tasto Trova problemi ed avvia una scansione
al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)
scarica e installa malwarebytes
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto.
|
|
|
|
paolinho
New Member
42 Messaggi |
Inserito il - 02/07/2010 : 09:51:41
|
Ciao.
Ecco anche il rapporto con malwarebytes
htt*://[www].freefilehosting.net/oA1Qcscd
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 02/07/2010 : 10:39:34
|
malwarebytes non ha rilevato niente, il rootkit e' stato eliminato
ora controlla se hai ancora quel rilevamento e posta un log di hijackthis per verifica |
|
|
|
paolinho
New Member
42 Messaggi |
Inserito il - 02/07/2010 : 12:01:10
|
Ho rifatto tutti i controlli con antivirus e antimalware/spyware.
Non mi rilevano più nulla
Questo è il link del log di hijackthis
htt*://[www].freefilehosting.net/fSFJS0Ou
Mi sembra tutto a posto perchè le voci sconosciute sono riferimenti che mi rimandano a programmi che utilizzo. |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 02/07/2010 : 12:11:19
|
vai sul sito di virus total e controlla questo eseguibile, e' ancora in fase di ricerca
C:\WINDOWS\system32\spool\drivers\w32x86\3\SN0XRCV.exe
fai un controllo anche qui |
|
|
|
paolinho
New Member
42 Messaggi |
Inserito il - 02/07/2010 : 14:47:23
|
Ho fatto quello che mi hai chiesto ma non mi hanno rilevato nulla.
Ho trovato questo in internet:
"Windows errors related to sn0xrcv.exe?
sn0xrcv.exe is a PCFXRCV.exe belonging to PC-Fax Job Reciever from SHARP CORPORATION We strongly recommend that you run a FREE registry scan to identify sn0xrcv.exe related errors."
Leggendo tra le righe secondo me non crea problemi perchè ho una multifunzione Sharp e tra l'altro questo file lo trovo anche negli altri pc che ho in rete.
Che ne dici? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 02/07/2010 : 19:47:10
|
questo e' quello che ho trovato in rete
infatti sembrerebbe far parte di sharp
htt*://[www].processlibrary[.com]/search/?q=SN0XRCV.exe
se lo conosci lascialo li', il pc sembrerebbe rispondere bene per ora |
Modificato da - shang in data 02/07/2010 20:05:54 |
|
|
|
paolinho
New Member
42 Messaggi |
Inserito il - 05/07/2010 : 09:21:37
|
Ho verificato e mi sembra tutto ok.
Grazie mille per l'assistenza.
Senza il tuo aiuto sarebbe stato improbabile riuscire a risolvere il problema!!!
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 05/07/2010 : 11:27:34
|
ora se vuoi puoi disinstallare avira con questo tool oppure decidere di provarlo per un po' di tempo, e' un ottimo antivirus
decidi tu cosa fare
se hai bisogno di altro siamo qui  |
|
|
| |
Discussione |
|
rootkit gen
Forum Bloccato
