[win XP] utente molto scarso vs TROJAN.DOS.WIN32.OPDOS+W32.MALWARE.GE+GENERIC.MALWARE

[hgbav]

Calma e gesso, ecco cosa ho fatto:
1) ho rilanciato il combofix scaricato qualche giorno addietro, so che sembrerà strano, ma ha comandi e risposte in spagnolo e questo mi ha portato fuori strada sullo script cfscript (vedi poi), allego scritp in spagnolo...
2) ho cancellato il programma e l'ho riscaricato da lancetta, ora tutto in italiano e con comandi e richieste coerenti con la descrizione di lancetta
3) ho chiuso tutto, internet ma anche tutti gli altri programmi, mi sono fermato anche io sulla sedia senza respirare
4) l'ho lanciato, vedi log
5) trovato errore, MIO SOLO MIO , e ora riassociato script con combofix, allego log

PER NUZ, purtroppo non riesco a lanciare tuo script, quando provo a scompattarlo il messaggio che mi esce e' dio un archivio non valido, ho una evaluation version di winzip, che sia questo?

PER CHILL: scusa ancora per errore su tuo script, vedi punto 5), circa ultima risposta ecco quello che vedo:
- due file
- il primo si chiama predefinito con dati "valore non impostati"
- il secondo si chiama CTFMON.EXE con dati C:\WINDOWS\SYSTEM32\CTFMON.EXE

a voi, cari medici, la diagnosi, io aspetto buonino buonino nel mio letto d'ospedale, se devo morire ditemelo con tatto

[Nuz]

Per lo script prova con quest'altro:

http://www.fileup.itadib.com/downloa...3JdHDgbvPxxMyv

Quando lo esegui ti scomparirà la barra di explorer, ma non ti preoccupare torna tutto come prima.

Sui log di Combofix passo la mano.

[Chill-Out]

Quote:

a voi, cari medici, la diagnosi, io aspetto buonino buonino nel mio letto d'ospedale, se devo morire ditemelo con tatto

adesso controlliamo i logs, per quanto sopra te lo puoi scordare almeno non prima di aver spedito Toscani e Montecristo

[murack83pa]

se ti risolvo il problema, a me lo mandi una cassa di cohiba?

[Chill-Out]

Quote:

Originariamente inviato da murack83pa

se ti risolvo il problema, a me lo mandi una cassa di cohiba?

a te ti manda una cassa di testi Economia Politica

[lancetta]

mi sono un pò perso in quale log era presente entra.exe?
nel log di combo c'è sempre quella caz di voce di
(C:\Documents and Settings\Giuliano\Desktop\wininit.sys)

vebbè proviamo con quest'altro

Scarica questo programma sul desktop http://download.bleepingcomputer.com...r/OTMoveIt.exe Nel pannello di sinistra trovi la voce "Paste List of Files/Folders to be Moved" con relativo spazio bianco, nello spazio bianco copia e incolla questo

Quote:

C:\Documents and Settings\Giuliano\Desktop\wininit.sys
C:\WINDOWS\system32\EDDB18F4EE.sys

lascia le spunte di default (ocx e quell'altra che non ricordo)
Clicca sul pulsante rosso MoveIt!...Se i file non posso essere eliminati subito, ti chiederà il riavvio, nel caso rispondi di Yes (se non sia riavvia lo fai tu)
Nel pannello a destra trovi il box "Result" seleziona tutto il contenuto e salvalo sul block notes e lo alleghi
se non dovesse riuscire con questo riprova con avenger...questo lo script:

Quote:

Files to delete:
C:\Documents and Settings\Giuliano\Desktop\wininit.sys
C:\WINDOWS\system32\EDDB18F4EE.sys

magari anche da provvisoria se necessario (raivvii e premi ripetutamente F8,si apre schermata nera e scegli la mod provvisoria per l'appunto)
facci sapere

[lancetta]

Senti giuliano dopo un consulto tra me e Chill vorremmo sapere un paio di cose
sul tuo pc è mai stato usato un programma che si chiama Dr Divx???

[Chill-Out]

Dunque Giuliano dopo aver visto i logs, io e il buon Lancetta dopo esserci consultati in PM abbiamo deciso di procedere così:

Start- Esegui - digita Regedit - OK si apre l'Editor del Registro di sistema, naviga fino alla seguente chiave di registro

HKEY_USERS\S-1-5-21-1060284298-343818398-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run

la selezioni, nel pannello di dx dovresti trovare il seguente valore (indicato con @) MSNAgent che richiama l'ormai famoso C:\WINDOWS\Downloaded Program Files\CONFLICT.21\entra.exe selezioni il valore ovvero MSNAgent tasto dx del mouse e lo elimini

Effettuata l'eliminazione del valore sopraindicato lanci Gmer scansione Rootkit ed elimini con il tasto dx del mouse tutte le righe rosse dovresti trovare sicuramente questa:
C:\Documents and Settings\Giuliano\Desktop\wininit.sys <----- Rootkit

Poi per non saper ne leggere ne scrivere lanci Avenger ed inserisci questo script

Quote:

Files to delete:

C:\Documents and Settings\Giuliano\Desktop\wininit.sys
C:\Documents and Settings\Giuliano\wininit.sys
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\entra.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.10\entra.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.11\entra.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.12\entra.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.13\entra.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.14\entra.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.15\entra.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.16\entra.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.17\entra.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.18\entra.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.19\entra.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.2\entra.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.20\entra.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.21\entra.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.3\entra.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.4\entra.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.5\entra.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.6\entra.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.7\entra.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.8\entra.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.9\entra.exe
C:\WINDOWS\Downloaded Program Files\entra.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.21\entra.exe

inserito e confermato lo script il PC si dovrebbe riavviare eventualmente lo riavvi tu manualmente a questo punto lanci una scansione completa con Antivir e vadiamo se ci richiama ancora all'ordine

Riepilogo log da allegare:
Avenger
Nuovo log di Gmer
Log di Antivir

Ciao

[hgbav]

grazie dei consigli , vedo il lavoro che li sottende e lo apprezzo, montecristi pronti, sono da guadagnare, ma almeno voi due direi che ve li siete meritati , nuz è ancora al livello "toscano" (e poi gli avatar mica fumano, è una cosa disdicevole...), ma prima usciamo dal tunnel, domenica parto per la montagna, vorrei sistemare il pc prima...

risposte: a lancetta, non credo di aver mai usato il programma citato, ma non mi fido di me stesso, se mi dici per cosa lo potrei aver utilizzato forse posso essere + preciso; gli entra.exe non erano in combo, penso li rilevasse avira o uno degli altri programmi (anche io sto facendo un poco di confusiuone ), dopo aver fatto tutto controllo dove erano prima e lo faccio rigirare per verifica (almeno a questo riesco ad arrivarci anche io...)

alla prossima, spero con buone notizie

[Chill-Out]

Attendiamo con ansia notizie positive, se no Domenica non si parte niente montagna* se non abbiamo sistemato

PS: *ammazza quanto rosico

[hgbav]

Quote:

Originariamente inviato da murack83pa

se ti risolvo il problema, a me lo mandi una cassa di cohiba?

arruvi tardi, c'e' gente che ha già ravanato parecchio, una cassa di cohiba la darei volentieri per avere una usb da mettermi dietro la nuca (non piu' in basso, non facciamo doppi sensi) e assorbire tue conoscenze (e magari passarti le mie, facciamo un bel mix matrix - face off, ci sarebbe da ridere...)

[lancetta]

Quote:

Originariamente inviato da hgbav

grazie dei consigli , vedo il lavoro che li sottende e lo apprezzo, montecristi pronti, sono da guadagnare, ma almeno voi due direi che ve li siete meritati , nuz è ancora al livello "toscano" (e poi gli avatar mica fumano, è una cosa disdicevole...), ma prima usciamo dal tunnel, domenica parto per la montagna, vorrei sistemare il pc prima...

risposte: a lancetta, non credo di aver mai usato il programma citato, ma non mi fido di me stesso, se mi dici per cosa lo potrei aver utilizzato forse posso essere + preciso; gli entra.exe non erano in combo, penso li rilevasse avira o uno degli altri programmi (anche io sto facendo un poco di confusiuone ), dopo aver fatto tutto controllo dove erano prima e lo faccio rigirare per verifica (almeno a questo riesco ad arrivarci anche io...)

alla prossima, spero con buone notizie

il soft serve per masterizzare/convertire/leggere film vabbè poi vedremo pure sta cosa poichè risale ad un anno fà...comunque vai con le 2 procedure si con moveit/avenger che con quella a manina anzi fai prima quella a manina e poi il resto...altrimenti niente montagna (che te mettemo in castigo )
Facci sapere Giuliano che ormai è diventata na sfida..

[hgbav]

attività e risultati
1) script di NUZ eseguito, non sparisce barra di explorer, ma solo quella sotto, dura pochi secondi poi finisce
2) script di lancetta con link (otmoveit.exe), il link mi porta ad una pagina con messaggio " ", se anche clicco sopra l'unico link arrivo a virtualmin, e non trovo nulla con il nome indicato, cosa faccio?
3) script di lancetta per delete winint.sys, lanciato sia da normale che da provvisoria, allego log, ma a naso mio non han prodotto molto
4) intervento a manina: alla fine del percorso trovo due file: il primo denominato predefinito ha dati "valori non impostati", il secondo è CTFMON.EXE. con valori "C\WINDOWS\SYSTEM32\CTFMON.EXE", cheffaccio? cancello uno dei due o entrambi (il bobcat sgomma in garage....)
5) script napalm chill out su entra.exe, lanciato ma non credo abbia trovaato nulla, allego log, lo script non gira e quindi non ho lanciato gmer (sono in preda dallo sconforto e il bobcat comincia a dirmi che lui lo aveva detto, meglio una sana pulizia radicale...
6) ho lanciato avira, spero non trovi i 21 animali, ma temo di far la fine di quello che sperava vivendo e ... a presto

[hgbav]

soliti 21 animali presenti, sono in preda allo sconforto, adesso vado a piangere in garage sul bobcat...

cheffaccio?

ma se cancellare la dir e' proprio cosi' brutto?
no, fallo pure
hei torna in garage!!!


aiutatemi, please



ps: e' possibile che cambino le impostazioni di gestione risorse? improvvisamente non vedo + le estensioni dei file, flag nascondi estensioni..., e l'impostazione delle cartelle e' tornata a icone, bho?

[Chill-Out]

Giuliano sai che ho perso il filo della procedura indicata qui http://www.hwupgrade.it/forum/showpo...1&postcount=88
post #88 cosa hai fatto?

[hgbav]

Quote:

Originariamente inviato da Chill-Out

Dunque Giuliano dopo aver visto i logs, io e il buon Lancetta dopo esserci consultati in PM abbiamo deciso di procedere così:

Start- Esegui - digita Regedit - OK si apre l'Editor del Registro di sistema, naviga fino alla seguente chiave di registro

HKEY_USERS\S-1-5-21-1060284298-343818398-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run

la selezioni, nel pannello di dx dovresti trovare il seguente valore (indicato con @) MSNAgent che richiama l'ormai famoso C:\WINDOWS\Downloaded Program Files\CONFLICT.21\entra.exe selezioni il valore ovvero MSNAgent tasto dx del mouse e lo elimini

Effettuata l'eliminazione del valore sopraindicato lanci Gmer scansione Rootkit ed elimini con il tasto dx del mouse tutte le righe rosse dovresti trovare sicuramente questa:
C:\Documents and Settings\Giuliano\Desktop\wininit.sys <----- Rootkit

Poi per non saper ne leggere ne scrivere lanci Avenger ed inserisci questo script



inserito e confermato lo script il PC si dovrebbe riavviare eventualmente lo riavvi tu manualmente a questo punto lanci una scansione completa con Antivir e vadiamo se ci richiama ancora all'ordine

Riepilogo log da allegare:
Avenger
Nuovo log di Gmer
Log di Antivir

Ciao

il file che mi hai indicato MSNAGENT che richiama entra.exe non c'e', ci sono solo i due che ti ho indicato, quindi ho sospeso la procedura. gmer lo sta andando in questo momento, ma non ha prodotto righe rosse, allego log appena finito (ps: non devo disconnettermi mentre gira vero?)

[hgbav]

gmer allegato, ma non penso ci siano buone notizie, ho deciso per una cosa drastica, vado a letto e ci dormo sopra, domani controllo le ultime news di voi angeli della notte, ma se vi spedisco il case a casa? io se contonuo a vedermelo davanti lo prendo a martellate o scateno il bobcat...

[Nuz]

Per visualizzare i file nella cartella Downloaded Program Files puoi fare così:

Start->esegui->cmd. Clicca su ok.

Si apre il prompt e scrivi

Quote:

cd C:\WINDOWS\Downloaded Program Files\

poi scrivi

Quote:

dir /p

e dicci se vedi il file entra.exe.

[Chill-Out]

Non vedo il log di Gmer, però vista l'ora può anche succedere

[lancetta]

tra l'altro sto ca@@o di OTMoveIt non è più presente su server di bleeping ..ma lo cercherò altrove..ora vi saluto vado a nanna buonanotte