|
|||||||
|
|
|
 |
|
|
Strumenti |
01-09-2005, 09:14
|
#1 |
|
Member
Iscritto dal: Oct 2000
Messaggi: 176
|
Rootkit.h (E' veramente un bel casino!!!!)
Sono infettato da questo maledetto virus e non riesco a venirne fuori. Ho seguito i post precedenti ma purtroppo sul mio computer quando lancio msconfig.exe e Hijackthis non accade nulla, sembra che il virus li abbia disabilitati e quindi non riesco a creare il file di log del registro per postarlo sul forum. Se qualcuno mi può aiutare smetterò di sbattere la testa contro il muro! Grazie
|
|
|
|
01-09-2005, 09:25
|
#2 |
|
Senior Member
Iscritto dal: Oct 2004
Città: Milano
Messaggi: 2641
|
Hai già provato con ewido?
http://www.ewido.net/en/
__________________
FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci |
|
|
|
|
01-09-2005, 09:29
|
#3 |
|
Senior Member
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
|
Ciao, prova anche con questi tools adatti ai rootkit:
http://www.sysinternals.com/Files/RootkitRevealer.zip http://www.europe.f-secure.com/exclu...ght/blbeta.exe |
|
|
|
|
01-09-2005, 09:35
|
#4 |
|
Senior Member
Iscritto dal: May 2005
Città: Bari (ma vorrei vivere a Parigi...)
Messaggi: 821
|
fai qualche scansione con i tools consigliati anke da mod prov
__________________
Io faccio amicizia solo con gente amichevole e simpatica se non lo siete clik qui ma visitate Il Mio Sito 
|
|
|
|
|
01-09-2005, 12:20
|
#5 |
|
Member
Iscritto dal: Oct 2000
Messaggi: 176
|
BLBeta non trova nessun virus, ma vi posso assicurare che NOD32 lo rileva con finestra rossa ma poi non riesce a rimuoverlo perchè si rigenerà. Alla fine dei tentativi appare sulla barra delle applicazioni un file di nome ss.exe con messaggio di errore in apertura e non appena ci clicco sopra il computer si blocca e va resettato. Quali sono i tools consigliati da mod prov?
Grazie di nuovo |
|
|
|
|
01-09-2005, 12:24
|
#6 |
|
Senior Member
Iscritto dal: Sep 2004
Messaggi: 6387
|
hai disabilitato il ripristino di sistema?
|
|
|
|
|
01-09-2005, 12:24
|
#7 | |
|
Senior Member
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
|
Quote:
aggiornalo, nel setting impostalo su ''scan all files'' e vai in modalita' provvisoria a fare la scansione. Fai una scansione anche con ewido:http://download.ewido.net/ewido-setup.exe |
|
|
|
|
|
08-09-2005, 18:10
|
#8 |
|
Member
Iscritto dal: Oct 2000
Messaggi: 176
|
Seguendo i vostri consigli sono riuscito a far partire HiJackthis del quale vi posto il log, ma continuano ad apparire finestre di avviso virus sia con nod32 che con ewido. Non riesco ad eseguire Sysclean; parte regolarmente ma poi si blocca sulla scansione del file boot.ini. I messaggi sono: Trojan.lowzones.d, Trojan.rootkit.h,
Vedete un po voi cosa devo fare. Logfile of HijackThis v1.99.1 Scan saved at 17.51.09, on 08/09/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programmi\ewido\security suite\ewidoctrl.exe C:\Programmi\ewido\security suite\ewidoguard.exe C:\Programmi\Eset\nod32krn.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Eset\nod32kui.exe C:\Programmi\Java\j2re1.4.2_02\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\Documents and Settings\Belugas\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_02\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Compaq Service Drivers] amsn.exe O4 - HKCU\..\RunServices: [Compaq Service Drivers] amsn.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programmi\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido\security suite\ewidoguard.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe O23 - Service: PMXH - Sysinternals - www.sysinternals.com - C:\DOCUME~1\Belugas\IMPOST~1\Temp\PMXH.exe O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe |
|
|
|
|
08-09-2005, 18:34
|
#9 |
|
Senior Member
Iscritto dal: Oct 2004
Città: Milano
Messaggi: 2641
|
Disattiva il ripristino di configurazione di sistema
Fixa queste O4 - HKCU\..\Run: [Compaq Service Drivers] amsn.exe O4 - HKCU\..\RunServices: [Compaq Service Drivers] amsn.exe Fai una pulizia con ccleaner e rifai una scansione in modalità provvisoria con ewido, il tuo antivirus e i tool che ti aveva suggerito Andorra24. Metti l'Sp2, è importante. Ciao
__________________
FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci Ultima modifica di FOXYLADY : 08-09-2005 alle 18:48. |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 19:35.
