| Autore |
 Discussione  |
|
|
gilez
New Member
43 Messaggi |
 Inserito il - 26/03/2007 : 10:19:52
|
da una piccola ricerca sul web a proposito di questa voce sul task manager ho letto che potrebbe trattarsi di un *n.
mi sono imbattuto su un utente di questo forum con i miei stessi dubbi.
come da vs consiglio ho scaricato hijackthis, quindi dopo aver fatto una scansione, vi proporro il risultato per aiutarmi a capire se il mio pc è infetto.
grazie a tutti per l'aiuto.
GIL
|
|
|
gilez
New Member
43 Messaggi |
Inserito il - 26/03/2007 : 10:33:09
|
questa è una parte della scansione con hijackthis:
htt*://[www].freefilehosting.net/files/MTUxNDY1
ori: gilez, rileggi il regolamento per imparare come si postano i log |
Modificato da - ori in data 26/03/2007 11:01:17 |
 |
|
|
gilez
New Member
43 Messaggi |
Inserito il - 26/03/2007 : 12:52:37
|
| grazie, provvedo subito, chiedo scusa per l'incoveniente. |
|
|
|
gilez
New Member
43 Messaggi |
Inserito il - 26/03/2007 : 12:58:29
|
indirizzo log:
<a href="htt*://freefilehosting.net/files/MTUxOTIy">log 1.txt</a> |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 26/03/2007 : 14:12:04
|
apri hijack e fixa:
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: [No-Spam]xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Alice - {C78ED80D-1522-41F4-B551-C3E19FB7114F} - htt*://gw.aliceadsl.it/alice (file missing) (HKCU)
elimina manualmente LSSAS.EXE contenuto in c:\windows\system32 |
Modificato da - Leleago in data 26/03/2007 14:13:30 |
|
|
|
gilez
New Member
43 Messaggi |
Inserito il - 26/03/2007 : 21:38:08
|
ho eseguito il tutto, tranne per l'eliminazione manuale di Lsass, che ho trovato in c:\windows\system32
mi dice che non è possibile eliminarlo per ACCESSO NEGATO
ma il file che ho trovato è nominato Lsass, non Lsass.exe |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 27/03/2007 : 00:33:42
|
Ciao Gilez... senti la raffinatezza di questo trojan (Agobot)...
In system32 hai un processo che è lsass.exe, legittimo del sistema; oltre a questo dovresti cercare anche il processo maligno e cioè lssas.exe eventualmente visualizzando i file nascosti.
Comportamento analogo ha Agobot nei confronti di altri file di sistema, ad esempio il citato crss.exe creato come "brutta copia" del processo legittimo csrss.exe
A fine lavoro, oppure se non trovi il file, posta un nuovo log di HijackThis *seguendo le regole*: htt*://[www].notrace.it/Forum2/regolamento.asp |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 27/03/2007 : 06:32:29
|
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli
files to delete:
C:\WINDOWS\System32\lssas.exe
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente |
|
|
|
gilez
New Member
43 Messaggi |
Inserito il - 31/03/2007 : 15:03:59
|
ho fatto una ricerca manuale del file L.SASS.EXE ma non ho trovato nulla, poi ho usato AVENGER.EXE e ho seguito le istruzioni.
adesso faccio il log e lo posto.
grazie |
|
|
|
gilez
New Member
43 Messaggi |
Inserito il - 31/03/2007 : 15:10:20
|
| htt*://freefilehosting.net/download/MTYxNzcz |
|
|
|
gilez
New Member
43 Messaggi |
Inserito il - 31/03/2007 : 15:11:00
|
| htt*://freefilehosting.net/download/MTYxNzcz |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 31/03/2007 : 15:33:17
|
dal log fixa questa voce:
O4 - HKLM\..\Run: [ukeilykt] C:\ssctwgti.bat
per il resto è tutto ok  |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 31/03/2007 : 17:40:06
|
[OT]Wow!! Un .bat, allora esistono ancora  |
|
|
|
gilez
New Member
43 Messaggi |
Inserito il - 02/04/2007 : 20:14:12
|
| grazie mille!!! |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 02/04/2007 : 20:30:02
|
|
di niente |
|
|
| |
Discussione |
|
crss.exe
Forum Bloccato
