|
|||||||
|
|
|
 |
|
|
Strumenti |
30-05-2007, 10:10
|
#1 |
|
Bannato
Iscritto dal: Feb 2006
Messaggi: 70
|
[HELP] VIRUS ---> IL PC SI RIAVVIA DA SOLO !!!
Ragazzi,vi prego di aiutarmi
 ho AVG Free Edition come Antivirus... l'altro giorno navigando su internet mi arriva l'avviso dell'intrusione di un Virus..mi pare un Trojan  feci la scansione e mi trovò diversi file nella cartella Temp infetti...che ho corretto o eliminato però i sintomi sono tuttora presenti: NAVIGAZIONE INTERNET LENTA e RIAVVII IMPROVVISI DEL PC,specie mentre navigo  cosa mi consigliate di fare? eccetto formattare o altro  GRAZIE |
|
|
|
30-05-2007, 10:37
|
#2 | |
|
Senior Member
Iscritto dal: Feb 2006
Città: Perugia
Messaggi: 1340
|
Quote:
Se puoi formattare senza problemi ti consiglio di farlo, una volta ripristinato il sistema nn installare avg che fà pietà, metti antivir, sempre free. |
|
|
|
|
|
30-05-2007, 10:40
|
#3 |
|
Bannato
Iscritto dal: Feb 2006
Messaggi: 70
|
mhhh
 ...non vorrei formattare il pc mi serve..non posso portarlo in assistenza,son lentissimi e salatissimi c'è qualche rimedio alternativo? se non ricordo male,diverso tempo fa presi un virus simile...e ricordo che in qualce modo lo eliminai 
|
|
|
|
|
30-05-2007, 14:17
|
#4 | |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
Quote:
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
|
30-05-2007, 17:16
|
#5 | |
|
Bannato
Iscritto dal: Feb 2006
Messaggi: 70
|
Quote:
SSDT Hooks Detector/restorer Hidden processes detector Hidden driver detector Hidden file detector Code Hooks detector Report nella sezione Hidden Processes Detector ci sarà una lista di una 40ina di file...molti segnalati come Not Accessible from User Mode che devo fare?
|
|
|
|
|
|
30-05-2007, 17:22
|
#6 | |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
Quote:
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
|
30-05-2007, 17:46
|
#7 | |
|
Bannato
Iscritto dal: Feb 2006
Messaggi: 70
|
Quote:
 ...gli altri non c'è scritto niente
|
|
|
|
|
|
30-05-2007, 18:20
|
#8 | |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
Quote:
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
|
31-05-2007, 09:41
|
#9 | |
|
Bannato
Iscritto dal: Feb 2006
Messaggi: 70
|
Quote:
SSDT \??\C:\WINDOWS\system32\windev-77c4-5cf5.sys <-- ROOTKIT !!! ZwEnumerateKey SSDT \??\C:\WINDOWS\system32\windev-77c4-5cf5.sys <-- ROOTKIT !!! ZwEnumerateValueKey SSDT \??\C:\WINDOWS\system32\windev-77c4-5cf5.sys <-- ROOTKIT !!! ZwQueryDirectoryFile Service C:\WINDOWS\system32\windev-77c4-5cf5.sys (*** hidden *** ) [AUTO] windev-77c4-5cf5 File C:\WINDOWS\system32\windev-77c4-5cf5.sys <-- ROOTKIT !!! |
|
|
|
|
|
31-05-2007, 10:06
|
#10 | |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
Quote:
ecco un altro simpatico rootkit ancora sconosciuto; bene ora bisogna riusare rku vai alla scheda driver e controlla se c'è qualcosa di hidden; intanto io trovo qualche altra info
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
|
31-05-2007, 11:34
|
#11 | |
|
Bannato
Iscritto dal: Feb 2006
Messaggi: 70
|
Quote:
Scanned File Status C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk=>C:\Programmi\DVDIdle Pro\DVDIdlePro.exe Infected with: Backdoor.Pcclient.GV C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk=>C:\Programmi\DVDIdle Pro\DVDIdlePro.exe Disinfection failed C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk=>C:\Programmi\DVDIdle Pro\DVDIdlePro.exe Deleted C:\Documents and Settings\All Users\Menu Avvio\Programmi\DVDIdle Pro\DVDIdle Pro.lnk Update failed C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\0LYRO5UB\alt[1].exe Infected with: Trojan.Peed.HUJ.Gen C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\0LYRO5UB\alt[1].exe Deleted C:\System Volume Information\_restore{4CC19F44-3180-4BBF-8D86-29EB4F8C5B0D}\RP3\A0003037.exe Infected with: Backdoor.Pcclient.GV C:\System Volume Information\_restore{4CC19F44-3180-4BBF-8D86-29EB4F8C5B0D}\RP3\A0003037.exe Disinfection failed C:\System Volume Information\_restore{4CC19F44-3180-4BBF-8D86-29EB4F8C5B0D}\RP3\A0003037.exe Deleted C:\WINDOWS\system32\alt.exe Infected with: Trojan.Peed.HUJ.Gen C:\WINDOWS\system32\alt.exe Deleted C:\WINDOWS\system32\alt.exe.exe Infected with: Trojan.Peed.HTN C:\WINDOWS\system32\alt.exe.exe Disinfection failed C:\WINDOWS\system32\alt.exe.exe Deleted C:\WINDOWS\system32\jjaa.dll Infected with: Trojan.Linkoptimizer.AZ C:\WINDOWS\system32\jjaa.dll Disinfection failed C:\WINDOWS\system32\jjaa.dll Deleted C:\WINDOWS\system32\pee.exe.exe Infected with: MemScan:Trojan.Peed.HQX C:\WINDOWS\system32\pee.exe.exe Disinfection failed C:\WINDOWS\system32\pee.exe.exe Deleted cmq,con RKU non mi da nessun Driver come Hidden :-) Ultima modifica di T3NAX86 : 31-05-2007 alle 12:47. |
|
|
|
|
|
31-05-2007, 15:10
|
#12 | |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
Quote:
disabilità il system restore; e rifai la scan con bitdef; credo tu abbia gromozon, ma di fonte alla non concordansa dei due scanner antirootkit; ne proviamo un terzo http://download.sysinternals.com/Fil...itRevealer.zip scansiona e vedi che ti dice
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
|
31-05-2007, 15:36
|
#13 | |
|
Senior Member
Iscritto dal: Feb 2006
Città: Perugia
Messaggi: 1340
|
Quote:
Ti conviene, una volta pulito il sistema, o formattato, mettere un livello di pretezione adeguato. |
|
|
|
|
|
31-05-2007, 17:39
|
#14 | |
|
Bannato
Iscritto dal: Feb 2006
Messaggi: 70
|
Quote:
HKU\S-1-5-21-2052111302-1604221776-725345543-1003\Software\Adobe\MediaBrowser\MRU\Photoshop\ApplicationPath 20/01/2007 16.24 53 bytes Data mismatch between Windows API and raw hive data. HKU\S-1-5-21-2052111302-1604221776-725345543-1003\Software\Microsoft\RAS Autodial\Control\LoginSessionDisable 31/05/2007 18.30 4 bytes Data mismatch between Windows API and raw hive data. HKU\S-1-5-21-2052111302-1604221776-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:P:\Qbphzragf naq Frggvatf\Znepb\Qrfxgbc\Ahbin pnegryyn\Qocbjrenzc Zhfvp Pbairegre I 1 31/05/2007 18.29 16 bytes Hidden from Windows API. HKU\S-1-5-21-2052111302-1604221776-725345543-1003\Software\Zepter Software\RegLib*4c656ba6 11/05/2006 7.12 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAC* 08/09/2005 10.50 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAI* 08/09/2005 10.50 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{E211B736-43FD-11D1-9EFB-0000F8757FCD}\ 29/03/2007 12.15 19 bytes Data mismatch between Windows API and raw hive data. HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-408-1D6E 29/05/2007 20.48 0 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5 29/05/2007 20.48 0 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\Service 31/05/2007 18.27 34 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\DeviceDesc 31/05/2007 18.27 34 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 03/10/2006 9.17 0 bytes Access is denied. HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5 31/05/2007 18.27 0 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5\ImagePath 31/05/2007 18.27 90 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5\DisplayName 31/05/2007 18.27 34 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-408-1D6E 29/05/2007 20.48 0 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5 29/05/2007 20.48 0 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\Service 31/05/2007 18.27 34 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\DeviceDesc 31/05/2007 18.27 34 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5 31/05/2007 18.27 0 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5\ImagePath 31/05/2007 18.27 90 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5\DisplayName 31/05/2007 18.27 34 bytes Hidden from Windows API. C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\[email protected]\SharingMetadata\[email protected]\DFSR\Staging\CS{996AB4EA-19F3-575A-7FEB-9EE2E33EBB13}\01\10-{996AB4EA-19F3-575A-7FEB-9EE2E33EBB13}-v1-{A62002D 24/09/2006 21.42 8 bytes Hidden from Windows API. C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\[email protected]\SharingMetadata\[email protected]\DFSR\Staging\CS{996AB4EA-19F3-575A-7FEB-9EE2E33EBB13}\11\11-{8178A223-976C-41A4-AC87-6563EDF693B6}-v11-{8178A2 24/09/2006 21.42 3.22 KB Hidden from Windows API. C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\[email protected]\SharingMetadata\[email protected]\DFSR\Staging\CS{996AB4EA-19F3-575A-7FEB-9EE2E33EBB13}\14\14-{8178A223-976C-41A4-AC87-6563EDF693B6}-v14-{8178A2 24/09/2006 21.42 3.43 KB Hidden from Windows API. C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\[email protected]\SharingMetadata\[email protected]\DFSR\Staging\CS{996AB4EA-19F3-575A-7FEB-9EE2E33EBB13}\16\16-{8178A223-976C-41A4-AC87-6563EDF693B6}-v16-{8178A2 24/09/2006 21.42 80 bytes Hidden from Windows API. C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG:KAVICHS 31/05/2007 18.29 36 bytes Hidden from Windows API. C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat:KAVICHS 29/05/2007 14.06 36 bytes Hidden from Windows API. C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 31/05/2007 18.29 64.00 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\system32\windev-77c4-5cf5.sys 29/05/2007 20.48 150.13 KB Hidden from Windows API. C:\WINDOWS\system32\windev-peers.ini 31/05/2007 18.25 42.81 KB Hidden from Windows API. |
|
|
|
|
|
31-05-2007, 17:53
|
#15 |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
mai visto un casino simile; ora vediamo che si può fare; ma forse credo dovrai formattare
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
31-05-2007, 18:00
|
#16 |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
con the avanger http://www.megalab.it/articoli.php?id=946
insersci questo script Files to delete: C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb C:\WINDOWS\system32\windev-77c4-5cf5.sys C:\WINDOWS\system32\windev-peers.ini Registry keys to delete: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-408-1D6E HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5 HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\Service HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\DeviceDesc HKLM\SYSTEM\ControlSet001\Services\sptd\ HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5 HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5\ImagePath HKLM\SYSTEM\ControlSet001\Services\windev-77c4-5cf5\DisplayName HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-408-1D6E HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5 HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\Service HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDEV-77C4-5CF5\0000\DeviceDesc HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5 HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5\ImagePath HKLM\SYSTEM\ControlSet003\Services\windev-77c4-5cf5\DisplayName per il resto non sono un esperto; inoltre edita quel log e mettilo come allegato su un file di testo
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
01-06-2007, 08:10
|
#17 | |
|
Bannato
Iscritto dal: Feb 2006
Messaggi: 70
|
Quote:
cmq spesso al riavvio,appena arrivato in windows,mi arriva l'errore : Microsoft Windows - Il sistema è stato ripristinato in seguito ad un grave errore |
|
|
|
|
|
01-06-2007, 17:25
|
#18 |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
adesso fai una scan con un qualsiasi scan ads
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
06-06-2007, 01:03
|
#19 |
|
Junior Member
Iscritto dal: Mar 2007
Messaggi: 1
|
A me la stessa cosa..
A me pure però con un pc portatile.. Di 4 anni fà.. Prima questi sintomi non c'è li aveva..
|
|
|
|
|
06-06-2007, 10:56
|
#20 |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
posta un log di rootkit revealer
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 13:42.
