|
|||||||
|
|
|
 |
|
|
Strumenti |
26-04-2008, 13:37
|
#1 |
|
Member
Iscritto dal: Jan 2002
Messaggi: 74
|
Trojan WIN32.Agent + altre schifezze su WINXP SP2:help!
Vi chiedo cortesemente aiuto per debellare queste schifezze...
Ho eseguito passo passo la procedura di bonifica messa in evidenza,e cioè: 1)Log iniziale di Hijack: http://www.zshare.net/download/1112848170345339/ 2)Pulizia con CC Cleaner:tutto fixato come da indicazioni 3)Scan con ESET Ads: http://www.zshare.net/download/11128501f22f9f55/ 4)Scan con A squared:non ho log,ma ho fixato tutto come da indicazioni 5)Scan con PrevxCSI:mi segnala 16 files infetti http://www.zshare.net/download/11128522e4e471ee/ 6)Due scansioni online con antivirus.La prima con Panda (che si è bloccata dopo l'esito della scansione senza darmi log:mi ha trovato cmq 10 infetti e 3 sospetti), la seconda con virit: http://www.zshare.net/download/111285543ea6e906/ 7)Nuovo logo con Hijack e report voci in rosso: http://www.zshare.net/download/11128558729c9e55/ http://www.zshare.net/image/111285720cbbd4d9/ 8)Scan con Gmer: http://www.zshare.net/download/1112858371c474bf/ Quest'ultimo mi segnala 4 rootkit in rosso,di questo tipo: SSDT \??\C:windows\ydhqzop.sys ZWcreateKey (3 di questo tipo) Service C:windows\ydhqzop.sys (***hidden***) [system]ydhqzop Vi ringrazio per tutto l'aiuto che vorrete darmi... Plat |
|
|
|
26-04-2008, 14:16
|
#2 |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
per fortuna virit, tra le altre cose, ha segato il rustock...
per essere sicuro che nn c sia piu traccia: Scarica Rustock Remova tool http://www.uploads.ejvindh.net/rustbfix.exe dopodichè disabilita l'antivirus ed esegui il rustbfix.exe...se trova l'infezione ti chiederà di riavviare il pc Probabilmente il computer si riavvierà due volte una dopo l'altra, è normale. Dopodichè scarica RegRun Reanimator url]http://greatis.com/reanimator.zip[/url] Dezippa il contenuto della cartella Reanimator in una cartella dedicata e avvii il file reanimator.exe, Clicchi su "Remove Rustock Rootkit" Il programma ti chiederà di avviare l'utility "rootkit NO"...lo Avvii ti chiederà di riavviare il pc per rimuovere il rustock. Dopo il riavvio, il Rustock sarà eliminato usando "Partizan" che è in RegRun Reanimator, Alla fine del processo di rimozione si dovrà eliminare Partizan dal boot di windows, cliccando su Unistall Partizan. posta i relativi log riavvia il pc, fai una bella pulizia completa, anche del registro, con CCLEANER, nuovo log di PREVX CSI, nuovo log di GMER e nuovo log di HIJACKTHIS, a tal proposito, hai una versione vecchia di hijackthis, scarica quella nuova: DONWLOAD prima disinstalla quella che hai, x fare ciò: avvia hijackthis, clicca su Open The Misc Tool Section, poi scorri l'elenco in basso e premi su Uninstall Hijackthis poi penseremo al resto....vediamo cosa c rimane... PS: controlla di avere disabilitato il ripristino configurazione sistema PSS: come si puo desumere da questo articolo di megalab, è fondamentale tenere aggiornato il proprio windows, e già vedo che una versione obsoleta di internet explorer, un browser che a questo riguardo è cmq sconsigliato da megalab stesso... 
|
|
|
|
|
26-04-2008, 14:21
|
#3 |
|
Member
Iscritto dal: Jan 2002
Messaggi: 74
|
Ho eseguito il tool di rimozione del rustock,non mi segnala nulla.
Da dove riparto? Ti ringrazio PS:sì,il ripristino config è disabilitato. PSS:hai perfettamente ragione,infatti poi vorrei chiederti qualche info in merito. Ultima modifica di Platoon : 26-04-2008 alle 14:31. |
|
|
|
|
26-04-2008, 14:32
|
#4 | |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
Quote:
cmq incomincia a fare pulizia con ccleaner, scaricare la nuova versione di hijackthis e fare un nuovo log, nuovo log di prevx csi, nuovo log di gmer |
|
|
|
|
|
26-04-2008, 14:44
|
#5 |
|
Member
Iscritto dal: Jan 2002
Messaggi: 74
|
Scusa,ho qualche problema con la procedura di reanimator.
Ho seguito l'iter fino al punto in cui si chiede di riavviare.Dopodichè,al riavvio,schermata blu in cui entra in funzione il programma e ritorno al desktop. Non ho ben capito cosa devo fare a questo punto con Partizan... Scusami... 
|
|
|
|
|
26-04-2008, 14:46
|
#6 |
|
Member
Iscritto dal: Jan 2002
Messaggi: 74
|
Intanto ti indico il link del rustbfix,eseguito di nuovo
http://www.zshare.net/download/111308687474d939/ Ho anche eseguito CC cleaner e fixato tutto. Ti linko anche il log di Hijack http://www.zshare.net/download/111310445de624ab/ Sto eseguendo gli altri due nel frattempo. Ecco il log Gmer http://www.zshare.net/download/111314221106e71f/ Ecco infine il log di prevxcsi: http://www.zshare.net/download/111315841032b3a4/ Ora segna 9 infetti contro i 16 di inizio thread Ultima modifica di Platoon : 26-04-2008 alle 15:08. |
|
|
|
|
26-04-2008, 15:02
|
#7 | |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
Quote:
quindi devi solo riavviare nuovamente regrun reanimator e cliccare su uninstall partizan... fai le nuove scansioni che ti ho chiesto...e posta i log |
|
|
|
|
|
26-04-2008, 15:08
|
#8 |
|
Member
Iscritto dal: Jan 2002
Messaggi: 74
|
Ok,ti ho postato tutto di sopra.
Grazie |
|
|
|
|
26-04-2008, 15:20
|
#9 |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
1- scarica SDFix: DOWNLOAD
Una volta scaricato,doppio click su SDFix.exe per lanciare l'installazione Cliccate su Install (verrà creata una cartella alla radice dell'HD dal nome SDFix) Finita l'installazione riavviate il sistema in modalità provvisoria Una volta in modalità provvisoria, fate un doppio click sul file RunThis.bat selezionate Y premete INVIO per lanciare la pulizia. Pazientate qualche attimo e il tool vi chiederà di premere un tasto per riavviare. Al riavvio SDFix porterà a termine la procedura e visualizzerà un messaggio nel quale indica la fine della pulizia e l'opzione per visualizzare il log. posta il log 2- riavvia il pc e scarica questo programma: DOWNLOAD Installa KASPERSKY VIRUS REMOVAL TOOL ● verrà creata una apposta cartella sul Desktop ● all’interno della cartella è presente la classica icona (una K) di Kapsersky ● clicca sull’icona per lanciare il tool ● imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default) ● al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati salva il log che verrà rilasciato e postalo qui 3- scarica TRENDMICRO ROOTKIT BOOSTER: DOWNLOAD ● scompattalo in una cartella dedicata (è un tool standalone) ● lancia il tool e clicca su Scan ● al termine della scansione ti verrà richiesto di salvare il log ● se venissero rilevati Rootkit provvedi alla loro eliminazione ● il log verrà salvato in una cartella denominata TRMBLog che trovi all'interno della cartella dedicata che hai precedentemente creato ● allega il log salvato posta i log di questi programmi + nuovo log di hijackthis Ultima modifica di murack83pa : 26-04-2008 alle 18:44. |
|
|
|
|
26-04-2008, 15:47
|
#10 |
|
Member
Iscritto dal: Jan 2002
Messaggi: 74
|
Ho eseguito il primo passo,ti posto il log.
http://www.zshare.net/download/1113288080dcb474/ Ora procedo con kasper. Ho trovato vari file da scaricare:ho scaricato l'ultimo,quello più aggiornato,credo... Ultima modifica di Platoon : 26-04-2008 alle 15:49. |
|
|
|
|
26-04-2008, 15:56
|
#11 |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
hai fatto bene, una cosa: nn tentare di disinstallare il tool di kaspersky..lo facciamo dopo, esiste una procedura particolare...
ciao ps: il prox log caricalo su su FileUp, pubblicando il link che verrà rilasciato per il download |
|
|
|
|
26-04-2008, 18:41
|
#12 |
|
Member
Iscritto dal: Jan 2002
Messaggi: 74
|
Finalmente ho terminato con kasper
 er sicurezza ho fatto una scansione globale.Mi ha rilevato 9 infezioni,tutte rimosse. Invio il log http://www.fileup.itadib.com/downloa...mU7rO9xUcphr7S Ora procedo con TrendMicro. |
|
|
|
|
26-04-2008, 18:44
|
#13 |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
asp: quello che ho linkato è una versione vecchia di rooktit buster
link alla nuova versione: http://www.trendmicro.com/ftp/produc...er2.2.1014.zip |
|
|
|
|
26-04-2008, 18:49
|
#14 |
|
Member
Iscritto dal: Jan 2002
Messaggi: 74
|
Ok,cmq è negativo per entrambi.
Ti linko il log: http://www.fileup.itadib.com/downloa...apjSVGOkDm82pQ Ecco anche il log Hijack http://www.fileup.itadib.com/downloa...fXoagbE00TerAd |
|
|
|
|
26-04-2008, 19:03
|
#15 |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
allora
per prima cosa, ti chiedo: conosci questo software? C:\Programmi\Svconr\Svconr.exe per si e per no prendi questo file: svconr.exe e lo fai analizzare su www.virustotal.com e posta qui il link del rapporto poi,riavvia il pc e segui le seguenti istruzioni per rimuovere il vundo: http://www.hwupgrade.it/forum/showthread.php?t=1603273 servono tutti i log dei programmi VirtumundoBeGone (il link del download manca  ): DOWNLOADfermati al punto 5, ovvero rifammi un nuovo log di prevx csi e nuovo log di hijackthis buon lavoro 
|
|
|
|
|
26-04-2008, 19:12
|
#16 |
|
Member
Iscritto dal: Jan 2002
Messaggi: 74
|
No,quel file non lo conosco.
L'ho fatto analizzare,pare un trojan. Ti allego il link: http://www.virustotal.com/it/analisi...7d23ee6961c16b |
|
|
|
|
26-04-2008, 19:20
|
#17 |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
ok, per ora segui quella guida x la rimozione del vundo
poi penseremo a quel programma... io sto uscendo, c leggiamo domani mattina, spero con tutti i log e senza problemi buon lavoro e a domani ciao |
|
|
|
|
26-04-2008, 19:24
|
#18 |
|
Member
Iscritto dal: Jan 2002
Messaggi: 74
|
Ok,ti ringrazio.
Anch'io esco,sono inchiodato al Pc dalle 10 del mattino... Grazie ancora per la tua generosa disponibilità! A domani.
|
|
|
|
|
26-04-2008, 19:40
|
#19 |
|
Member
Iscritto dal: Jan 2002
Messaggi: 74
|
Ok,linko il log di RenV:negativo
http://www.fileup.itadib.com/downloa...YhoBVsDFHvM9pI Ho eseguito anche VundoFix:negativo,ma non mi ha rilasciato alcun log. |
|
|
|
|
26-04-2008, 19:51
|
#20 |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
sto aspettando un mio amico...continua a postare...al limite, ho visto c'è il mio socio lancetta in giro x il forum
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 19:46.
