rootkit

maxim00 · 31-05-2009, 18:45

Salve, sono infettato da un Rootkit che non riesco a togliere. Posso postare qui il file log gmer?
Grazie a chi mi risponderà

**Chill-Out** · 31-05-2009, 22:01

Ciao e benvenuto! Allega il log utilizzando uno dei Server Remoti indicati nelle Regole di sezione in firma

maxim00 · 01-06-2009, 00:55

Ciao Chill Out, grazie per avermi risposto. Posto il file log di gmer, sperando la procedura sia quella giusta:

http://www.mediafire.com/?sharekey=1...21d66e282a0ee8

**Chill-Out** · 01-06-2009, 01:02

Rilancia la scansione con Gmer terminata la stessa seleziona il Servizio identificato come hidden -> system32\drivers\gxvxcxjgdnhbrvtstltpccpbwulbyvpqwcauc.sys (*** hidden *** ) col tasto dx del mouse e clicca su Delete Service, successivamente segui la Guida alla disinfezione allegando tutti i log prodotti in un'unico post

Ciao

maxim00 · 01-06-2009, 12:02

Ciao, ho provato a cancellare il file ma quando ho fatto tasto dx mouse "cancella"mi dice.."percorso impossibile da specificare o trovare". La cosa strana è che sono andato a cercarlo fisicamente nella cartella system32 ma il file non c'è. O almeno non si visualizza.

**Chill-Out** · 01-06-2009, 12:05

Quote:

Originariamente inviato da maxim00

Ciao, ho provato a cancellare il file ma quando ho fatto tasto dx mouse "cancella"mi dice.."percorso impossibile da specificare o trovare". La cosa strana è che sono andato a cercarlo fisicamente nella cartella system32 ma il file non c'è. O almeno non si visualizza.

Dopo aver rilanciato la scasione con Gmer, selezione il file (quello di colore rosso) col tasto dx del mouse e clicchi su DELETE SERVICE

maxim00 · 01-06-2009, 12:17

E' quello che ho fatto. Ho selezionato il file rosso e poi cliccando col tasto destro del mouse ho fatto "delete service". Dopo la finestra di conferma per l'azione intrapresa è comparso il messaggio che ti dicevo..insomma non ha cancellato nulla perchè non si trova il file, il percorso. Ora sto riprovando a fare la scansione con Gmer per sicurezza.

**Chill-Out** · 01-06-2009, 12:18

Quote:

Originariamente inviato da maxim00

E' quello che ho fatto. Ho selezionato il file rosso e poi cliccando col tasto destro del mouse ho fatto "delete service". Dopo la finestra di conferma per l'azione intrapresa è comparso il messaggio che ti dicevo..insomma non ha cancellato nulla perchè non si trova il file, il percorso. Ora sto riprovando a fare la scansione con Gmer per sicurezza.

Dovevi solo deletare il servizio come indicato, attendo il log.

maxim00 · 01-06-2009, 14:59

Ecco il log di Gmer:

http://www.mediafire.com/?sharekey=1...4e75f6e8ebb871

**Chill-Out** · 01-06-2009, 15:46

Quote:

Originariamente inviato da maxim00

Ecco il log di Gmer:

http://www.mediafire.com/?sharekey=1...4e75f6e8ebb871

Ok, procedi pure con la Guida alla disinfeione linkata al Post#4 http://www.hwupgrade.it/forum/showpo...16&postcount=4

maxim00 · 01-06-2009, 15:59

Mi sono un pò perso, è tutto ok e devo fare il trattamento post-infezione?

**Chill-Out** · 01-06-2009, 16:13

Quote:

Originariamente inviato da maxim00

Mi sono un pò perso, è tutto ok e devo fare il trattamento post-infezione?

Il Trattamento post infezione viene solo dopo aver eseguito la Guida alla disinfezione http://www.hwupgrade.it/forum/showthread.php?t=1599737

maxim00 · 01-06-2009, 17:40

Ok, sto procedendo con le varie scansioni. Ma l'ultimo log che ti ho postato è pulito? Perchè non lo vedo più quel file nascosto.

**Chill-Out** · 01-06-2009, 18:37

Quote:

Originariamente inviato da maxim00

Ok, sto procedendo con le varie scansioni. Ma l'ultimo log che ti ho postato è pulito? Perchè non lo vedo più quel file nascosto.

Come detto sopra abbiamo deletato il Servizio

maxim00 · 02-06-2009, 17:08

Ecco il log finale:

http://www.mediafire.com/?sharekey=1...eada0a1ae8665a

**Chill-Out** · 02-06-2009, 21:15

Ciao ripeti scansione con i seguenti software, in quanto non hai fatto scansione completa come indicato in Guida

A-Squared
MBAM

Riallega il log di SysInspector in formato .xml sempre come indicato in Guida

maxim00 · 03-06-2009, 00:03

Ecco, spero di aver fatto tutto bene:

http://www.mediafire.com/?sharekey=1...018c8114394287

Ciao

**Chill-Out** · 03-06-2009, 00:11

Quote:

Originariamente inviato da maxim00

Ecco, spero di aver fatto tutto bene:

http://www.mediafire.com/?sharekey=1...018c8114394287

Ciao

Esegui HJT clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked

Quote:

O4 - HKCU\..\Run: [GridinSoft Trojan Killer] "C:\Program Files\GridinSoft Trojan Killer\trojankiller.exe" 0
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - http://toolbar.imageshack.us/toolbar...ackToolbar.cab
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {B9F79165-A264-4C4A-A211-133A5E8D647F} (F-Secure Health Check 1.1) - http://support.f-secure.com/enu/home...fshc/fscax.cab
O16 - DPF: {E6BB2089-163F-466B-812A-748096614DFD} (CAScanner Control) - hxxp://cainternetsecurity.net/scanner/cascanner.cab

Per il resto siamo a posto, quindi puoi procedere col trattamento post infezione http://www.hwupgrade.it/forum/showthread.php?t=1726383

maxim00 · 03-06-2009, 10:58

Lo devo fare in modalità provvisoria?
Grazie.

**Chill-Out** · 03-06-2009, 11:36

Quote:

Originariamente inviato da maxim00

Lo devo fare in modalità provvisoria?
Grazie.

No

31-05-2009, 18:45	#1
maxim00 Member Iscritto dal: May 2009 Messaggi: 31	rootkit Salve, sono infettato da un Rootkit che non riesco a togliere. Posso postare qui il file log gmer? Grazie a chi mi risponderà

31-05-2009, 22:01	#2
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Ciao e benvenuto! Allega il log utilizzando uno dei Server Remoti indicati nelle Regole di sezione in firma __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

02-06-2009, 21:15	#16
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Ciao ripeti scansione con i seguenti software, in quanto non hai fatto scansione completa come indicato in Guida A-Squared MBAM Riallega il log di SysInspector in formato .xml sempre come indicato in Guida __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

01-06-2009, 00:55	#3
maxim00 Member Iscritto dal: May 2009 Messaggi: 31	Ciao Chill Out, grazie per avermi risposto. Posto il file log di gmer, sperando la procedura sia quella giusta: http://www.mediafire.com/?sharekey=1...21d66e282a0ee8

01-06-2009, 01:02	#4
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Rilancia la scansione con Gmer terminata la stessa seleziona il Servizio identificato come hidden -> system32\drivers\gxvxcxjgdnhbrvtstltpccpbwulbyvpqwcauc.sys (* hidden * ) col tasto dx del mouse e clicca su Delete Service, successivamente segui la Guida alla disinfezione allegando tutti i log prodotti in un'unico post Ciao __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

01-06-2009, 12:02	#5
maxim00 Member Iscritto dal: May 2009 Messaggi: 31	Ciao, ho provato a cancellare il file ma quando ho fatto tasto dx mouse "cancella"mi dice.."percorso impossibile da specificare o trovare". La cosa strana è che sono andato a cercarlo fisicamente nella cartella system32 ma il file non c'è. O almeno non si visualizza.

01-06-2009, 12:17	#7
maxim00 Member Iscritto dal: May 2009 Messaggi: 31	E' quello che ho fatto. Ho selezionato il file rosso e poi cliccando col tasto destro del mouse ho fatto "delete service". Dopo la finestra di conferma per l'azione intrapresa è comparso il messaggio che ti dicevo..insomma non ha cancellato nulla perchè non si trova il file, il percorso. Ora sto riprovando a fare la scansione con Gmer per sicurezza.

01-06-2009, 14:59	#9
maxim00 Member Iscritto dal: May 2009 Messaggi: 31	Ecco il log di Gmer: http://www.mediafire.com/?sharekey=1...4e75f6e8ebb871

01-06-2009, 15:59	#11
maxim00 Member Iscritto dal: May 2009 Messaggi: 31	Mi sono un pò perso, è tutto ok e devo fare il trattamento post-infezione?

01-06-2009, 17:40	#13
maxim00 Member Iscritto dal: May 2009 Messaggi: 31	Ok, sto procedendo con le varie scansioni. Ma l'ultimo log che ti ho postato è pulito? Perchè non lo vedo più quel file nascosto.

02-06-2009, 17:08	#15
maxim00 Member Iscritto dal: May 2009 Messaggi: 31	Ecco il log finale: http://www.mediafire.com/?sharekey=1...eada0a1ae8665a

03-06-2009, 00:03	#17
maxim00 Member Iscritto dal: May 2009 Messaggi: 31	Ecco, spero di aver fatto tutto bene: http://www.mediafire.com/?sharekey=1...018c8114394287 Ciao

03-06-2009, 10:58	#19
maxim00 Member Iscritto dal: May 2009 Messaggi: 31	Lo devo fare in modalità provvisoria? Grazie.

Strumenti
Mostra una versione stampabile Invia questa pagina per email