maxim00
31-05-2009, 18:45
Salve, sono infettato da un Rootkit che non riesco a togliere. Posso postare qui il file log gmer?
Grazie a chi mi risponderà
Grazie a chi mi risponderà
View Full Version : rootkit
Chill-Out
31-05-2009, 22:01
Ciao e benvenuto! Allega il log utilizzando uno dei Server Remoti indicati nelle Regole di sezione in firma :)
maxim00
01-06-2009, 00:55
Ciao Chill Out, grazie per avermi risposto. Posto il file log di gmer, sperando la procedura sia quella giusta:
http://www.mediafire.com/?sharekey=18e1ac7a3bdf5e5800d27174b47c66575f01d12c6c003d575621d66e282a0ee8
;)
http://www.mediafire.com/?sharekey=18e1ac7a3bdf5e5800d27174b47c66575f01d12c6c003d575621d66e282a0ee8
;)
Chill-Out
01-06-2009, 01:02
Rilancia la scansione con Gmer terminata la stessa seleziona il Servizio identificato come hidden -> system32\drivers\gxvxcxjgdnhbrvtstltpccpbwulbyvpqwcauc.sys (*** hidden *** ) col tasto dx del mouse e clicca su Delete Service, successivamente segui la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post
Ciao
Ciao
maxim00
01-06-2009, 12:02
Ciao, ho provato a cancellare il file ma quando ho fatto tasto dx mouse "cancella"mi dice.."percorso impossibile da specificare o trovare". La cosa strana è che sono andato a cercarlo fisicamente nella cartella system32 ma il file non c'è. O almeno non si visualizza.
Chill-Out
01-06-2009, 12:05
Ciao, ho provato a cancellare il file ma quando ho fatto tasto dx mouse "cancella"mi dice.."percorso impossibile da specificare o trovare". La cosa strana è che sono andato a cercarlo fisicamente nella cartella system32 ma il file non c'è. O almeno non si visualizza.
Dopo aver rilanciato la scasione con Gmer, selezione il file (quello di colore rosso) col tasto dx del mouse e clicchi su DELETE SERVICE
Dopo aver rilanciato la scasione con Gmer, selezione il file (quello di colore rosso) col tasto dx del mouse e clicchi su DELETE SERVICE
maxim00
01-06-2009, 12:17
E' quello che ho fatto. Ho selezionato il file rosso e poi cliccando col tasto destro del mouse ho fatto "delete service". Dopo la finestra di conferma per l'azione intrapresa è comparso il messaggio che ti dicevo..insomma non ha cancellato nulla perchè non si trova il file, il percorso. Ora sto riprovando a fare la scansione con Gmer per sicurezza.
Chill-Out
01-06-2009, 12:18
E' quello che ho fatto. Ho selezionato il file rosso e poi cliccando col tasto destro del mouse ho fatto "delete service". Dopo la finestra di conferma per l'azione intrapresa è comparso il messaggio che ti dicevo..insomma non ha cancellato nulla perchè non si trova il file, il percorso. Ora sto riprovando a fare la scansione con Gmer per sicurezza.
Dovevi solo deletare il servizio come indicato, attendo il log.
Dovevi solo deletare il servizio come indicato, attendo il log.
maxim00
01-06-2009, 14:59
Ecco il log di Gmer:
http://www.mediafire.com/?sharekey=18e1ac7a3bdf5e5800d27174b47c6657e04e75f6e8ebb871
http://www.mediafire.com/?sharekey=18e1ac7a3bdf5e5800d27174b47c6657e04e75f6e8ebb871
Chill-Out
01-06-2009, 15:46
Ecco il log di Gmer:
http://www.mediafire.com/?sharekey=18e1ac7a3bdf5e5800d27174b47c6657e04e75f6e8ebb871
Ok, procedi pure con la Guida alla disinfeione linkata al Post#4 http://www.hwupgrade.it/forum/showpost.php?p=27672916&postcount=4
http://www.mediafire.com/?sharekey=18e1ac7a3bdf5e5800d27174b47c6657e04e75f6e8ebb871
Ok, procedi pure con la Guida alla disinfeione linkata al Post#4 http://www.hwupgrade.it/forum/showpost.php?p=27672916&postcount=4
maxim00
01-06-2009, 15:59
Mi sono un pò perso, è tutto ok e devo fare il trattamento post-infezione?
Chill-Out
01-06-2009, 16:13
Mi sono un pò perso, è tutto ok e devo fare il trattamento post-infezione?
Il Trattamento post infezione viene solo dopo aver eseguito la Guida alla disinfezione http://www.hwupgrade.it/forum/showthread.php?t=1599737
Il Trattamento post infezione viene solo dopo aver eseguito la Guida alla disinfezione http://www.hwupgrade.it/forum/showthread.php?t=1599737
maxim00
01-06-2009, 17:40
Ok, sto procedendo con le varie scansioni. Ma l'ultimo log che ti ho postato è pulito? Perchè non lo vedo più quel file nascosto.
Chill-Out
01-06-2009, 18:37
Ok, sto procedendo con le varie scansioni. Ma l'ultimo log che ti ho postato è pulito? Perchè non lo vedo più quel file nascosto.
Come detto sopra abbiamo deletato il Servizio :)
Come detto sopra abbiamo deletato il Servizio :)
maxim00
02-06-2009, 17:08
Ecco il log finale:
http://www.mediafire.com/?sharekey=18e1ac7a3bdf5e5800d27174b47c66574fc7f9d2e47519efb8eada0a1ae8665a
:D
http://www.mediafire.com/?sharekey=18e1ac7a3bdf5e5800d27174b47c66574fc7f9d2e47519efb8eada0a1ae8665a
:D
Chill-Out
02-06-2009, 21:15
Ciao ripeti scansione con i seguenti software, in quanto non hai fatto scansione completa come indicato in Guida
A-Squared
MBAM
Riallega il log di SysInspector in formato .xml sempre come indicato in Guida
A-Squared
MBAM
Riallega il log di SysInspector in formato .xml sempre come indicato in Guida
maxim00
03-06-2009, 00:03
Ecco, spero di aver fatto tutto bene:
http://www.mediafire.com/?sharekey=18e1ac7a3bdf5e5800d27174b47c6657a16b9a3d3fa2856bce018c8114394287
Ciao;)
http://www.mediafire.com/?sharekey=18e1ac7a3bdf5e5800d27174b47c6657a16b9a3d3fa2856bce018c8114394287
Ciao;)
Chill-Out
03-06-2009, 00:11
Ecco, spero di aver fatto tutto bene:
http://www.mediafire.com/?sharekey=18e1ac7a3bdf5e5800d27174b47c6657a16b9a3d3fa2856bce018c8114394287
Ciao;)
Esegui HJT clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked
O4 - HKCU\..\Run: [GridinSoft Trojan Killer] "C:\Program Files\GridinSoft Trojan Killer\trojankiller.exe" 0
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - http://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {B9F79165-A264-4C4A-A211-133A5E8D647F} (F-Secure Health Check 1.1) - http://support.f-secure.com/enu/home/onlineservices/fshc/fscax.cab
O16 - DPF: {E6BB2089-163F-466B-812A-748096614DFD} (CAScanner Control) - hxxp://cainternetsecurity.net/scanner/cascanner.cab
Per il resto siamo a posto, quindi puoi procedere col trattamento post infezione http://www.hwupgrade.it/forum/showthread.php?t=1726383
http://www.mediafire.com/?sharekey=18e1ac7a3bdf5e5800d27174b47c6657a16b9a3d3fa2856bce018c8114394287
Ciao;)
Esegui HJT clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked
O4 - HKCU\..\Run: [GridinSoft Trojan Killer] "C:\Program Files\GridinSoft Trojan Killer\trojankiller.exe" 0
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - http://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {B9F79165-A264-4C4A-A211-133A5E8D647F} (F-Secure Health Check 1.1) - http://support.f-secure.com/enu/home/onlineservices/fshc/fscax.cab
O16 - DPF: {E6BB2089-163F-466B-812A-748096614DFD} (CAScanner Control) - hxxp://cainternetsecurity.net/scanner/cascanner.cab
Per il resto siamo a posto, quindi puoi procedere col trattamento post infezione http://www.hwupgrade.it/forum/showthread.php?t=1726383
maxim00
03-06-2009, 10:58
Lo devo fare in modalità provvisoria?
Grazie.
Grazie.
Chill-Out
03-06-2009, 11:36
Lo devo fare in modalità provvisoria?
Grazie.
No
Grazie.
No
maxim00
04-06-2009, 08:31
Chill-Out, volevo ringraziarti per il supporto e per la tempestività nel darmi indicazioni. Ho praticamente fatto tutto e ora dovrebbe essere tutto ok.
Ciao e grazie. :cincin:
Ciao e grazie. :cincin:
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.