| Autore |
 Discussione  |
|
Andread
Senior Member
232 Messaggi |
 Inserito il - 28/02/2007 : 17:03:26
|
sapete dirmi qualcosa riguardo questo problema? nel forum ho trovato una discussione che accennava a ciò ma non parlava di una soluzione precisa. mi potreste aiutare?
ciao...
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 28/02/2007 : 23:24:01
|
| prova a rinominare il file e vedi se funge |
 |
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 01/03/2007 : 11:39:10
|
| anche rinominandolo rimane aperto un nanosecondo e poi si chiude...esistono altri programmi che potrei utilizzare al posto di hijackers? |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 01/03/2007 : 13:31:54
|
scarica GMER htt*://[www].gmer.net/ scopatta, sempre sul desktop il file gmer.zip.
esegui gmer.exe
Clicca sul Tab "Rootkit"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Esegui gmer.exe
Clicca sul Tab "Autostart"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Copia in questa discussione entrambi i log
secondo le regole
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255 |
|
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 01/03/2007 : 20:11:30
|
Citazione:
Messaggio inserito da michal
scarica GMER
....mi piacerebbe poterlo fare!! appena si apre la pagina del link si chiude subito. idem se faccio ricerche con quel nome o se apro il programma (precedentemente scaricato da un altro pc)...
sospetti un rootkit?? |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 01/03/2007 : 23:27:01
|
Beh... michal non saprei, ma io lo sospetto sicuramente 
Prova a fare questa procedura: htt*://[www].notrace.it/Forum2/topic.asp?TOPIC_ID=7540
Vediamo cosa ne esce... |
|
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 02/03/2007 : 13:53:27
|
1) il problema persiste! quando lancio HijackThis si chiude immediatamente (anche se lo rinomino) idem per gmaer.
2)la scansione con Virit ha dato buoni frutti. Mi ha trovato due chiavi infette, una da BHO.linkoptimizer.b e l'altra da BHO.linkoptimizer.d. La cosa strana è che la prima me la rimuove, l'altra mi dice solo che è infetta ma non mi viene rimossa (non compare la scritta ***RIMOSSO***). Un'altra cosa strana è che mi rileva sempre entrambe le chiavi infette ogni scansione che faccio (ne ho fatte svariate) come se ogni volta le trovasse. Virt ha anche rimosso due files infetti da BHO.linkoptimizer.c e da trojan.win32.rootkit.e. anche gli altri programmi indicati nella provedura mi hanno rimosso un po' di schifezze.
2) è inutile che io installi gli aggiornamenti indicati nella procedura se tengo aggiornato costantemente windows, giusto?
aspetto con ansia vostre notizie...grazie mille per il lavoro svolto fin'ora. siete sempre i migliori!!
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 02/03/2007 : 14:35:50
|
| hai scaricato i tool di rimozione dal link indicatoti da floatman? |
|
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 02/03/2007 : 15:26:07
|
Citazione:
Messaggio inserito da Leleago
hai scaricato i tool di rimozione dal link indicatoti da floatman?
certo...ho seguito la procedura passo passo tranne che per la disattivazione del ripristino configurazione sistema. è necessaria? |
|
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 02/03/2007 : 17:25:55
|
ci sono riuscito!!!! navigando disperatamente in internet nella ricerca di una soluzione (sia bene chiaro, non è che non mi fido di voi ma vorrei imparare a cavarmela ) mi sono imbattuto nei consigli di un tipo che diceva di aprire task manager e terminare i processi uno a uno (relativi al mio utente) fino a quando nn mi veniva concesso di eseguire hijackers. così ho fatto e quando ho terminato sgbhp.exe mi è stato possibile eseguirlo!!!
ecco il log: htt*://[www].uploadtemple[.com]/view.php/1172852394.rar |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 02/03/2007 : 18:50:47
|
No, non ci siamo per niente 
Rifai la procedura; da provvisoria, con ripristino disabilitato e ovviamente disconnesso.
Segui questo ordine: Pulizia temp > tool Symantec > PrevX > Virit
Poi posta un nuovo log.
|
|
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 02/03/2007 : 20:21:38
|
Citazione:
Messaggio inserito da Floatman
No, non ci siamo per niente
Rifai la procedura; da provvisoria, con ripristino disabilitato e ovviamente disconnesso.
Segui questo ordine: Pulizia temp > tool Symantec > PrevX > Virit
Poi posta un nuovo log.
...secondo me non è cambiato nulla...tu che dici??
htt*://[www].uploadtemple[.com]/view.php/1172862936.rar
|
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 02/03/2007 : 23:52:31
|
Ok...non è successo un cavolo...
Ora proviamo un bel po' di fixaggi, siccome sarò abbastanza largo, ti consiglio di aspettare conferma da qualcuno...
metti mai che faccio danni (hai sempre il backup, ma sai com'è)
Se non conosci questi ip, fixa le voci, *altrimenti lascia stare*:
O1 - Hosts: 192.8.1.7 sfchw01 #Host SAP R/3 4.6C Produzione
O1 - Hosts: 192.8.1.250 sfchw02 #Host SAP R/3 3.0
O1 - Hosts: 192.8.1.9 sfchw03 #Host SAP R/3 4.6C Sviluppo/Test
O1 - Hosts: 192.8.1.250 sun2 #Host SAP R/3 3.0
O1 - Hosts: 192.10.1.98 MILDCI #Server Lotus Notes Milano
Queste le fixi di sicuro:
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O16 - DPF: {11BD6F81-233F-4B62-BAFB-27ECABD3CBCF} (NTR Activex 1.0.6) - htt*://212.163.185.8/inquiero/mod/ntractivex106 .cab
Anche tutte le 017:
O17 - HKLM\System\CCS\Services\Tcpip\..\{37FA9AF0-0387-4634-AC30-A50813E8B9CB}: NameServer = 192.106.1.1,193.205.245.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{3BECEB04-0631-4DF9-B577-897CADFBA94D}: NameServer = 192.106.1.1,193.205.245.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CF01A75-8E4A-4BC5-A70E-9E544549E76C}: NameServer = 192.106.1.1,193.205.245.66
Anche queste due mi prendono male, quindi le fixerei:
O23 - Service: UpdLgq - Unknown owner - C:\Programmi\File comuni\System\QIM.exe (file missing)
O23 - Service: UpdSht - Unknown owner - C:\Programmi\File comuni\System\GPC.exe (file missing)
Fatto questo, prova a vedere se trovi i due ultimi file:
C:\Programmi\File comuni\System\QIM.exe
C:\Programmi\File comuni\System\GPC.exe
Se non ci sono, meglio. Se ci sono, molto male. Comunque se li trovi eliminali, al limite usando Avenger.
Poi riprova a far partire Gmer e posta i log "Rootkit" e "Autostart". |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 03/03/2007 : 00:13:47
|
i fixaggi servono a poco hai link optimizer:
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
devi far girare i due tool di rimozione presenti nella mia guida, dalle tue risposte non capisco se li hai utilizzati.
|
|
|
|
Andread
Senior Member
232 Messaggi |
Inserito il - 03/03/2007 : 10:51:50
|
Citazione:
Messaggio inserito da michal
devi far girare i due tool di rimozione presenti nella mia guida, dalle tue risposte non capisco se li hai utilizzati.
certo che li ho utilizzati! |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 03/03/2007 : 11:28:21
|
|
fixa le voci indicate da floatman e rifai le scansioni con i due tool. |
|
|
|
Discussione |
|
chiusura automatica di hijackers
Forum Bloccato
