Chi conosce questa bestia ?

xsdioz · 02-08-2007, 11:22

Sintomi:

- Chiude GMer (terminando anche explorer.exe che poi viene richiamato)
- Chiude SpyBot S&D (stessa cosa)
- Lascia il NOD a poltrire (le scansioni non danno risultato)
- Viene rilevato da FixGromozone, ma al riavvio si ripresenta
- ADSR rileva alcuni stream che però non può rimuovere
- Cambia i privilegi di amminstrazione all'utente corrente

ed ora ciliegina sull torta...

In modalità provvisoria mette le password agli account

La cosa avviene ogni volta che si tenta un avvio in modalità provvisoria, ed probabilmente fa il controllo tutte le volte ... anche perchè provando con Active PWD changer a rimuovere almeno quella da administrator, al riavvio seguente se la è già ricreata.

Premesso che... posso fare bakup, e riformattare la macchina... c'è mica qualcuno che ci è incappato che odio dargliela vinta ?

Grazie mille

ste_95 · 02-08-2007, 13:03

azzo.... cattivo èèè...

scan online li riesci a fare...?

Mazda RX8 · 02-08-2007, 14:23

vai su file comuni--system e vedi se ci sono file con nomi strani in verde...

prova hijackthis, (ma credo ke ti si chiuderà come GMER...

)...

Sisupoika · 02-08-2007, 14:55

Questo e' figo

Fai questa prova, almeno per impedirgli di cambiare le impostazioni degli utenti, e poi vediamo come procedere.

Avvia poi Security Policies (Start->Run->secpol.msc),

Account Policies -> Password Policy -> Minimum password length-> metti un valore alto, per es. 20 caratteri, cosi' la bestiolina non dovrebbe riuscire facilmente a cambiare le password degli utenti.

Cambia poi le password di tutti gli account, rispettando la lunghezza minima.
Se la bestiolina e' stupida e non controlla le policies, non dovrebbe riuscire a cambiare le password - nella speranza che tenti di settarne di piu' brevi del minimo da te impostato

Riavvia dunque il sistema, e vedi se ti ha cambiato le password. Se ha funzionato e le password non sono state cambiate, allora vediamo cos'altro provare.

Facci sapere

Sisupoika · 02-08-2007, 14:56

prova anche a creare un nuovo admin con nome a caso, e disabilitare Administrator.

xsdioz · 02-08-2007, 15:48

Ma graande Sisupoika... in effetti questa non l'ha digerita il fetentone...

Si... Hijack lo termina, anzi ... manco arrivo a lanciarlo, appena accedo alla directory di Hijack sulla pendrive... mi chiude explorer.exe e poi lo riavvia terminando tutti i processi a desktop.

Adesso vedo se riesco a rinominare un po di immondizia, gia esser entrato in provvisoria mi da gioia e speranza.

O raga, comunque ultimamente è una tragedia con i rootkit... non se ne può più ! ... fino a poco tempo fa si riuscivano a pulire con le buone o con le cattive... credo di aver bakuppato e reinstallato piu da 6 mesi ad adesso che in 5 anni !

Sisupoika · 02-08-2007, 16:01

Quote:

Originariamente inviato da xsdioz

Ma graande Sisupoika... in effetti questa non l'ha digerita il fetentone...

Si... Hijack lo termina, anzi ... manco arrivo a lanciarlo, appena accedo alla directory di Hijack sulla pendrive... mi chiude explorer.exe e poi lo riavvia terminando tutti i processi a desktop.

Adesso vedo se riesco a rinominare un po di immondizia, gia esser entrato in provvisoria mi da gioia e speranza.

O raga, comunque ultimamente è una tragedia con i rootkit... non se ne può più ! ... fino a poco tempo fa si riuscivano a pulire con le buone o con le cattive... credo di aver bakuppato e reinstallato piu da 6 mesi ad adesso che in 5 anni !

LOL quindi ha funzionato

Adesso, loggato col tempAdmin, prova a cancellare tutto dalla chiave Run del registro e dall'esecuzione automatica se c'e' qualcosa; riavvia, e vedi se qualcosa e' stato automaticamente aggiunto. Se e' vuota come l'avevi lasciata (sperem) prova a chiudere tutti i processi a parte quelli di sistema e disattiva tutti i servizi che puoi disattivare - non sappiamo ancora se e a che livello ha controllo sul kernel, e prova hijackthis di nuovo. Facce sape'

Mazda RX8 · 02-08-2007, 16:17

Quote:

Originariamente inviato da xsdioz

Ma graande Sisupoika... in effetti questa non l'ha digerita il fetentone...

Si... Hijack lo termina, anzi ... manco arrivo a lanciarlo, appena accedo alla directory di Hijack sulla pendrive... mi chiude explorer.exe e poi lo riavvia terminando tutti i processi a desktop.

Adesso vedo se riesco a rinominare un po di immondizia, gia esser entrato in provvisoria mi da gioia e speranza.

O raga, comunque ultimamente è una tragedia con i rootkit... non se ne può più ! ... fino a poco tempo fa si riuscivano a pulire con le buone o con le cattive... credo di aver bakuppato e reinstallato piu da 6 mesi ad adesso che in 5 anni !

come prevedevo... è una variante gromozon...

vai su file comuni--system e vedi se ci sono file con nomi strani in verde...

xsdioz · 03-08-2007, 09:13

Va beh... sto giro ho formattato che il tempo a disposizione non era particolarmente clemnte, la prossima volta farò un immagine del disco da torturare !!!

Grazie a tutti per le dritte !!!

Mazda RX8 · 03-08-2007, 09:19

Quote:

Originariamente inviato da xsdioz

Va beh... sto giro ho formattato che il tempo a disposizione non era particolarmente clemnte, la prossima volta farò un immagine del disco da torturare !!!

Grazie a tutti per le dritte !!!

Sisupoika · 03-08-2007, 10:12

Quote:

Originariamente inviato da xsdioz

Va beh... sto giro ho formattato che il tempo a disposizione non era particolarmente clemnte, la prossima volta farò un immagine del disco da torturare !!!

Grazie a tutti per le dritte !!!

Hai sbagliato. Mai arrendersi

Mazda RX8 · 03-08-2007, 10:17

Quote:

Originariamente inviato da Sisupoika

Hai sbagliato. Mai arrendersi

un mio amico ke voleva formattare x i virus, io gli ho detto: fammi pensare a me ke te lo sistemo senza formattare... e gli ho ripulito oltre 400 virus, spyware e altra roba...

e ankora nn è pulito al 100%...

wizard1993 · 03-08-2007, 11:11

Quote:

Originariamente inviato da Sisupoika

Hai sbagliato. Mai arrendersi

quoto, formattare è uguale a dire sono stato talemtne incapace da farmi battare da un ammasso di bit

Sisupoika · 03-08-2007, 12:24

Quote:

Originariamente inviato da wizard1993

quoto, formattare è uguale a dire sono stato talemtne incapace da farmi battare da un ammasso di bit

el_marchet · 03-08-2007, 13:51

Quote:

Originariamente inviato da deepdark

Kaspersky aggiornato + BatPE + Windows = Cd con kasp. e win autoavviante che elimina qualunque cosa

interessante, mi spiegheresti come creare questo cd?

wizard1993 · 03-08-2007, 14:36

Quote:

Originariamente inviato da el_marchet

interessante, mi spiegheresti come creare questo cd?

installi kaspersky antivirus lo aggiorni installi bartpe mi pare alla sezione servizio ci sia il tasto realtivo all'opzione

xsdioz · 03-08-2007, 15:37

Malefici ! Mi fate sentire in colpa...

ok ok ... la prossima volta vi allegherò i "brandelli" di Virus sconfitto!

el_marchet · 03-08-2007, 18:00

Quote:

Originariamente inviato da wizard1993

installi kaspersky antivirus lo aggiorni installi bartpe mi pare alla sezione servizio ci sia il tasto realtivo all'opzione

what is BartPe? dove lo trovo?

Mazda RX8 · 03-08-2007, 18:02

Quote:

Originariamente inviato da el_marchet

what is BartPe? dove lo trovo?

http://download.html.it/software/ved...artpe-builder/

el_marchet · 03-08-2007, 18:03

Ma posso utilizzare il cd che creero' su tutti i pc infetti, oppure funzionera' solo sul pc da cui l'ho creato?

02-08-2007, 11:22	#1
xsdioz Junior Member Iscritto dal: Oct 2005 Messaggi: 17	Chi conosce questa bestia ? Sintomi: - Chiude GMer (terminando anche explorer.exe che poi viene richiamato) - Chiude SpyBot S&D (stessa cosa) - Lascia il NOD a poltrire (le scansioni non danno risultato) - Viene rilevato da FixGromozone, ma al riavvio si ripresenta - ADSR rileva alcuni stream che però non può rimuovere - Cambia i privilegi di amminstrazione all'utente corrente ed ora ciliegina sull torta... In modalità provvisoria mette le password agli account La cosa avviene ogni volta che si tenta un avvio in modalità provvisoria, ed probabilmente fa il controllo tutte le volte ... anche perchè provando con Active PWD changer a rimuovere almeno quella da administrator, al riavvio seguente se la è già ricreata. Premesso che... posso fare bakup, e riformattare la macchina... c'è mica qualcuno che ci è incappato che odio dargliela vinta ? Grazie mille

02-08-2007, 14:23	#3
Mazda RX8 Senior Member Iscritto dal: Jun 2007 Città: Palermo Messaggi: 34432	vai su file comuni--system e vedi se ci sono file con nomi strani in verde... prova hijackthis, (ma credo ke ti si chiuderà come GMER...)... __________________ Case: Fractal Design Pop XL Air \| PSU: Seasonic PRIME TX-1000 \| CPU: Intel® Core™ i7 6950X Extreme Edition @ 4.0GHz w/ Alphacool Eisbaer Pro (Solo) + EK-Quantum Surface S280 MB: ASUS RAMPAGE V EXTREME/U3.1 \| RAM: G.SKILL Trident Z DDR4 64GB @ 3200MHz (F4-3200C15Q-64GTZ) \| VGA: ASUS ROG Strix GeForce® RTX 3080 Ti OC Edition 12GB Audio: Creative Sound Blaster® ZxR \| SSD_1: Samsung SSD 980 PRO NVMe 1TB \| SSD_2: Samsung SSD 870 QVO SATA 4TB \| Monitor: ViewSonic ColorPro VP2776

02-08-2007, 15:48	#6
xsdioz Junior Member Iscritto dal: Oct 2005 Messaggi: 17	Sisupoika Ma graande Sisupoika... in effetti questa non l'ha digerita il fetentone... Si... Hijack lo termina, anzi ... manco arrivo a lanciarlo, appena accedo alla directory di Hijack sulla pendrive... mi chiude explorer.exe e poi lo riavvia terminando tutti i processi a desktop. Adesso vedo se riesco a rinominare un po di immondizia, gia esser entrato in provvisoria mi da gioia e speranza. O raga, comunque ultimamente è una tragedia con i rootkit... non se ne può più ! ... fino a poco tempo fa si riuscivano a pulire con le buone o con le cattive... credo di aver bakuppato e reinstallato piu da 6 mesi ad adesso che in 5 anni !

03-08-2007, 18:03	#20
el_marchet Senior Member Iscritto dal: Jul 1999 Città: Gemona del Friuli (UD) Messaggi: 1926	Ma posso utilizzare il cd che creero' su tutti i pc infetti, oppure funzionera' solo sul pc da cui l'ho creato? __________________ Manoscritto di S.M. il re Vittorio Emanuele III ad Alcide De Gasperi: "Signor Presidente, lascio al popolo italiano la collezione di monete che è stata la più grande passione della mia vita".

02-08-2007, 13:03	#2
ste_95 Member Iscritto dal: Jun 2007 Messaggi: 191	azzo.... cattivo èèè... scan online li riesci a fare...?

02-08-2007, 14:55	#4
Sisupoika Registered User Iscritto dal: Nov 2006 Città: Espoo, Finland Messaggi: 1631	Questo e' figo Fai questa prova, almeno per impedirgli di cambiare le impostazioni degli utenti, e poi vediamo come procedere. Avvia poi Security Policies (Start->Run->secpol.msc), Account Policies -> Password Policy -> Minimum password length-> metti un valore alto, per es. 20 caratteri, cosi' la bestiolina non dovrebbe riuscire facilmente a cambiare le password degli utenti. Cambia poi le password di tutti gli account, rispettando la lunghezza minima. Se la bestiolina e' stupida e non controlla le policies, non dovrebbe riuscire a cambiare le password - nella speranza che tenti di settarne di piu' brevi del minimo da te impostato Riavvia dunque il sistema, e vedi se ti ha cambiato le password. Se ha funzionato e le password non sono state cambiate, allora vediamo cos'altro provare. Facci sapere

02-08-2007, 14:56	#5
Sisupoika Registered User Iscritto dal: Nov 2006 Città: Espoo, Finland Messaggi: 1631	prova anche a creare un nuovo admin con nome a caso, e disabilitare Administrator.

03-08-2007, 09:13	#9
xsdioz Junior Member Iscritto dal: Oct 2005 Messaggi: 17	Va beh... sto giro ho formattato che il tempo a disposizione non era particolarmente clemnte, la prossima volta farò un immagine del disco da torturare !!! Grazie a tutti per le dritte !!!

03-08-2007, 15:37	#17
xsdioz Junior Member Iscritto dal: Oct 2005 Messaggi: 17	Malefici ! Mi fate sentire in colpa... ok ok ... la prossima volta vi allegherò i "brandelli" di Virus sconfitto!

Strumenti
Mostra una versione stampabile Invia questa pagina per email