|
|
|
|
Strumenti |
06-09-2006, 08:32 | #81 |
Member
Iscritto dal: May 2006
Messaggi: 161
|
Riscusatemi, ho eseguito il Removal Tool LinkOptimizer Gromozon e mi ha detto che non ha trovato nulla e che il sistema è pulito. Grazie e scusate ancora.
|
06-09-2006, 11:35 | #82 |
Senior Member
Iscritto dal: Jul 2005
Città: Ferrara
Messaggi: 3475
|
Ciao a tutti!!!
Qualcuno sa come rimuovere il servizio che il virus crea? Ho provato ad eliminare la chiave dal registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecKvc Ma mi dice errore durante l'eliminazione....
__________________
The flapping of a single butterfly's wing is enough to change the weather patterns throughout the world. |
06-09-2006, 12:57 | #83 | |
Senior Member
Iscritto dal: Jun 2003
Città: ..By The Sea..
Messaggi: 564
|
Quote:
__________________
Without Contraries is no Progression... |
|
07-09-2006, 09:02 | #84 | |
Senior Member
Iscritto dal: May 2002
Città: Toscana
Messaggi: 3438
|
Quote:
Una domanda: ma come avete fatto a togliere il rootkit dalla modalita' normale di windows (non provvisoria), quando nessun altro antivirus e antispyware vi riesce, neppure partendo da un cd-live di linux? byezzz
__________________
ASUS TUF GAMING Z790-PRO WIFI (1424) + Intel i5@13600K + 32GB RAM DDR5 XMP3.0 6400MT/s CL32 FURY Renegade + SSD M2 990 PRO 1 TB + SSD M2 980 Pro 500GB + n°2 SSD 860 EVO 500GB + WD Blue 2 TB + MSI VENTUS 2X WHITE RTX 4060 8GB GDDR6 pci-ex4.0 + Scheda Audio Asus Xonar Phoebus Solo 7.1 |
|
07-09-2006, 12:19 | #85 |
Senior Member
Iscritto dal: Aug 2005
Messaggi: 1267
|
Al tool si potrebbe aggiungere il backup dei files eliminati,magari zippati con una pass. che sapete solo voi,alla fine il tool prende questo archivio e ve lo invia,altrimenti lo fa l'utente,in questo modo,potete migliorare il tool avendo molti files a disposizione
__________________
Il dubbio è il padre del sapere. |
07-09-2006, 14:24 | #86 |
Junior Member
Iscritto dal: Aug 2006
Messaggi: 25
|
SI MI HA ELIMINATO DELLA ROBA MA MI E' RIMASTO ANCORA UN FILE STRANO IN "C:\Programmi\File comuni\Microsoft Shared\VFSY.exe" SAPRESTE DIRMI COSA SIA?
|
07-09-2006, 16:11 | #87 | |
Senior Member
Iscritto dal: Jun 2003
Città: ..By The Sea..
Messaggi: 564
|
Quote:
__________________
Without Contraries is no Progression... |
|
07-09-2006, 21:49 | #88 |
Member
Iscritto dal: Jul 2006
Messaggi: 117
|
comunque questo tool toglie tutto il gusto... insomma, finalmente si lavorava con qualche programma diverso da hijackthis, più complesso.....
|
07-09-2006, 22:07 | #89 | |
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28661
|
Quote:
|
|
08-09-2006, 10:31 | #90 |
Member
Iscritto dal: Feb 2005
Messaggi: 25
|
due dubbi sul tool
Ciao a tutti ho 2 problemi:
1) Ho usato il tool, mi ha rimosso i virus ma mi ha cancellato parte dei menu nella voce avvio tipo accessori ecc. che ho dovuto ripristanare a mano e parte di office che ho dovuto reinstallare e riattivare. 2) Mi è rimasto in c:un file sospetto _cleaned.tmp Ho lanciato comunque gmer ma non ci sono file + sospetti nel dicsco. Che devo fare secondo voi. Grazie anticipatamente. Pietro |
08-09-2006, 21:30 | #91 | |
Junior Member
Iscritto dal: Sep 2006
Messaggi: 5
|
Quote:
Questo è il mio primo post ma, a parte le presentazioni ci tenevo a ringraziarvi. Son due settimane che sto combattendo contro questo maledetto trojan e manualmente credevo di aver ripulito tutto, persisteva solo un servizio creato dal maledetto UpdDlf sotto un utente fittizio. Ho fatto girare il tool e in realtà ha trovato ancora altro da ripulire. La situazione ora è ... Disabling rootkit file: C:\:zapotew.bmp Resetting file permissions... Clearing attributes... Impossibile trovare il file - C:\_cleaned.tmp Removing file... Rootkit removed! Cleaning up... Removing temp files... Scanning: C:\WINDOWS Scanning: C:\Programmi\File comuni Trojan.Gromozon Removed! Mi era rimasto ancora il servizio attivo a cui non avevo accesso, e non riuscivo a chiudere, ma con questa risposta spero di aver finalmente finito. Una sola domanda, avendo dato l'sc delete, c'è la possibilità che il servizio al restart riappaia (e nel caso che fare per rendere la cancellazione definitiva) oppure sto bene così? Ciao e grazie |
|
09-09-2006, 09:19 | #92 | |
Senior Member
Iscritto dal: Jun 2003
Città: ..By The Sea..
Messaggi: 564
|
Quote:
__________________
Without Contraries is no Progression... |
|
09-09-2006, 10:18 | #93 |
Senior Member
Iscritto dal: May 2001
Città: Genova
Messaggi: 247
|
ciao, avevo postato su windows e directx per comportamenti strani del pc. Si trattava del trojan link optimizer, su questa sezione ho trovato il tool di removal, l'ho lanciato ma mi dice che nn sono infetto.. però..
che è sintomo di infezione..anche ewido mi dice che sono pulito..che fare? avevo già eliminato gli utenti dai nomi impronunciabili da windows, mi rimangono i tre file nel pc. Ho fatto, come scritto pochi post sopra, di deletare i servizi tramite il comando "sc delete nomeservizio" ma i file incriminati ancora non si lasciano cancellare. Proverò in modalità provvisoria.. |
10-09-2006, 09:19 | #94 |
Senior Member
Iscritto dal: Nov 2003
Città: Sorrento (NA)
Messaggi: 9508
|
La mia cpu ringrazia, il processo smc.exe mi occupava in oscillazione dal 10 al 50%, l'explorer si mangiava a dismisura la memoria per non parlare degli svchost ....ottimo davvero!!!
__________________
Concluso ottimi affari con: Simoncino, Devil!, Dive76, Lucadue, luciferme(2), ilcalmo, Rhadamanthis, Guns81(2), oldfield, DARIO-GT(3), remok, asdasdasdasd, kjing, smanet(2), bollit, sdedo71, aje85, overthetop, piripikkio, vash79(2) voodoo13, russo30, nick-86, gwwmas(4) Holy_knight, MM, bebeto, miki66, jemofrà, vasquali, AquilaDelNord, ilaria81, giorgio156c, DonaldDuck, valerio86, Raven, copacabanas, spike69, potoah, shokobuku e molti altri...(credo almeno un 300) |
10-09-2006, 22:06 | #95 | |
Junior Member
Iscritto dal: Sep 2006
Messaggi: 5
|
Quote:
|
|
11-09-2006, 07:21 | #96 | |
Junior Member
Iscritto dal: Sep 2006
Messaggi: 14
|
Quote:
Sono alle prese appunto con l'impossibilità di lanciare regmon. Avevo già usato il tool e cancellato l'utente ed il servizio random, oltre al com5.exe, com6.bvu, xlixg1.dll. cosa fare adesso? Ho usato anche http://www.sophos.com/products/free-...i-rootkit.html mi restituisce (accedendo ai processi) a) Failed to set privileg SeDebugPrivilege. You may not have sufficient access rights. Non tuti i privilegi menzionati sono assegnati al chiamante. b) Could not initialize Toolhelp.Pleas restart and try again. Accesso negato. Apparentemente non ho altri segni, ma SENTO che non sono ancora libero (al contrario di quello che dice Armadalog Un saluto e ringraziamento a chi spenderà un po' di tempo per aiutarmi (ed anche agli altri!!!) Clemente |
|
11-09-2006, 08:32 | #97 | |
Senior Member
Iscritto dal: Jun 2003
Città: ..By The Sea..
Messaggi: 564
|
Quote:
Per controllare ulteriormente, fai una passata con rootkitrevealer o gmer e posta i log qua, o forse è meglio sul thread su linkoptimizer dove ce ne sono già molti, anche se mi pare di capire che i file del rootkit li hai già cancellati tu, quindi in qualche modo li hai individuati. Per quanto riguarda il debug privilege, esegui secpol.msc, e dentro regole locali (o qualcosa del genere ), assegnazione diritti utenti, cerca la voce che riguarda il debug e aggiungici il nome dell'utente che utilizzi o comunque degli utenti o gruppi a cui vuoi riassegnare quel privilegio. Infine, se risulterà che il tool della Prevx non ti ha trovato qualcosa, comunicalo qua e magari tieni da parte i file, in questo modo quel tool potrà essere ulteriormente perfezionato. I dettagli casomai te li fornirà Eraser. Saluti!
__________________
Without Contraries is no Progression... |
|
12-09-2006, 19:10 | #98 |
Junior Member
Iscritto dal: Sep 2006
Messaggi: 14
|
Mi sposto su aiuto sono infetto, cosa faccio.
Mi ero permesso di inserirmi in questo thread perchè stanco e dopo lungo navigare e MOLTI aiuti ricevuti e l'illusione con i miei salvatori di essermi salvato, con tool che non rivelano più nulla, ma la presenza di STRANEZZE, mi è rimasta la sensazione che qualcosa non va ed ho continuato a cercare imbattendomi (purtroppo tardivamente) in questo forum (durante le ricerche iniziali lo avevo scartato per il nome HARDWARE) che, mi pare, ospiti fra i maggiori esperti di GROMOZON tool. In più una delle stranezze (che avevo ottimisticamente attribuito a DANNI residui e non ad comportamenti attivi di malware TUTTORA a bordo) era il blocco a regmon che ho visto citato. Mi sono, quindi tuffato, sì per avere aiuto, ma, anche, per passare nuovi dettagli e, quindi, essere d'aiuto a chi certamente ne sa più di me, ma, senza indizi dal campo, potrebbe avere difficoltà a progredire. Posterò i log altrove, anche se penso non serva a granchè (penso che i vari RootkitRevealer Gmer, a meno di nuove releases che ignoro siano OUT e ci voglia qualcosa di nuovo) Se posso , un'ultima cosa: Poichè aveger non riusciva a creare la chiave dummy (H_KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs ), l'ho creata a mano riuscendoci (cancellabile, modificabile etc.). Al riavvio, però, era sostituita dalla stringa RootKit_File, a sua volta cancellabile e modificabile (replicato più volte) Un saluto... e io speriamo che me la cavo PS: anche se in modo "Criptico" avevo dichiarato di aver usato il tool della Prevx con log "pulito" e non so che file postare qui. Ancora ciao Ultima modifica di gianninicp : 12-09-2006 alle 19:15. Motivo: aggiunta |
12-09-2006, 19:32 | #99 |
Senior Member
Iscritto dal: Jun 2003
Città: ..By The Sea..
Messaggi: 564
|
@giannicp
Visti i log possiamo fare le prime considerazioni, prima non so cosa dirti.. magari postali nel thread di linkoptimizer, visto che i sintomi sembrano quelli.
__________________
Without Contraries is no Progression... |
13-09-2006, 12:27 | #100 |
Member
Iscritto dal: Oct 2001
Messaggi: 43
|
sì, ma i file 'coi nomi strani'?
intanto, OTTIMO LAVORO!!! ho pulito un PC in pochi secondi mentre a mano la settimana scorsa ci ho messo una giornata di lavoro...
ho già cercato all'interno della discussione e non mi sembra di aver trovato nulla a riguardo: volevo sapere se il tool rimuove anche i file strani creati dal worm (tipo lpt*.*, com*.* ecc.) in caso di FAT32, o i file dagli ADS nel caso di NTFS... perché su un PC che ho ripulito son partito con il CD di boot di kaspersky (creato con bartPE) e sono riuscito a cancellare il file mediante la sintassi Codice:
del \\.\c:\percorso\file.ext grassie mille ciao ciao Ultima modifica di joker76 : 13-09-2006 alle 12:33. |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 21:55.