| Precedente :: Successivo |
| Autore |
Messaggio |
maragiavi
Eroe in grazia degli dei
Registrato: 26/09/07 10:43
Messaggi: 121
Residenza: firenze
|
 Inviato: 26 Set 2007 14:04 Oggetto: aiuto gmer + hjt |
 |
|
piccola premessa....
il portatile che mi hanno passato per un "controllino" era un mare di vasto di virus, dialer, troiani vari...ecc e ho passato un po' di tempo a vedere se potevo con vari programmini di ripulire un po' ed evitare così soluzioni drastiche
lo stesso hjt non si avviava neppure e ho seguito le varie procedure ampiamente descritte qui ed effettivamente sembrava tutto tornato nella normalità.
adesso volevo chiedere un supportino da parte vs. per far analizzare i file di log di hjt e gmer x dare il colpo finale e al secondo scan di gmer (quello del rootkit) appare la schermata blu di windows e il pc si riavvia.
intanto posso postare questi file di log
http://www.freefilehosting.net/download/MjQ1NzY=
http://www.freefilehosting.net/download/MjQ1ODQ=
x cortesia attendo un vs. contributo..
grazie a tutti |
|
| Top |
|
 |
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 26 Set 2007 23:32 Oggetto: |
|
|
Ciao maragiavi 
Avvia Hijackthis e metti la spunta a sinistra di queste righe:
| Citazione: | R3 - Default URLSearchHook is missing
O2 - BHO: Class - {A95E587E-C0B4-12AE-3273-60B48418BE79} - C:\WINDOWS\kotgt1.dll (file missing)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O4 - HKLM\..\Run: [winclean] c:\windows\system32\winclean.exe |
Clicca Fix Checked e rispondi si.
Scarica Virit da quì
Aggiornalo e fagli fare la scansione completa del PC.
Fai in modo che rimuova automaticamente i file infetti trovati.
Non dimenticare di disattivare momentaneamente il tuo antivirus.
Incolla poi quì il risultato.
Riprova a fare la scansione di Gmer rootkit.
Poi fai anche la scansione con FindAWF |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 27 Set 2007 08:42 Oggetto: |
|
|
| Dopo tutti i passaggi indicati da Sante62, collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui. |
|
| Top |
|
|
maragiavi
Eroe in grazia degli dei
Registrato: 26/09/07 10:43
Messaggi: 121
Residenza: firenze
|
| Inviato: 27 Set 2007 14:04 Oggetto: |
|
|
a metà di virIT mi si è resettato il pc
.. mi sto incominciando a preoccupare
 |
|
| Top |
|
|
maragiavi
Eroe in grazia degli dei
Registrato: 26/09/07 10:43
Messaggi: 121
Residenza: firenze
|
| Inviato: 27 Set 2007 16:04 Oggetto: |
|
|
arieccomi
ho riprovato e virit mi ha concluso lo scan
http://www.sendmefiles.com/virIT_rtf67
gmer invece mi continua a dare la schermata blu e si resetta
questo invece è il log di findAWF
http://www.sendmefiles.com/awf_txt52
ora provo con Kaspersky on line
grazie ancora
 |
|
| Top |
|
|
maragiavi
Eroe in grazia degli dei
Registrato: 26/09/07 10:43
Messaggi: 121
Residenza: firenze
|
| Inviato: 27 Set 2007 18:25 Oggetto: |
|
|
... ed alla fine arriva anche il log di kaspersky
http://www.sendmefiles.com/kaspersky_txt69
e gmer (... figlio di pdor ???  ) si comporta sempre uguale ...
grazie .... |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 27 Set 2007 19:25 Oggetto: |
|
|
Il log di Kaspersky è pulito come pure quello di Kaspersky.
Il log di Virit invece ha indentificato probabile Rostock.
Scarica Rustbfix
Avvia il file Rustbfix.exe e attendi la fine della scansione.
Se non va prova questo
Ovviamente posta quì il risultato dell'uno o dell'altro. |
|
| Top |
|
|
maragiavi
Eroe in grazia degli dei
Registrato: 26/09/07 10:43
Messaggi: 121
Residenza: firenze
|
| Inviato: 28 Set 2007 13:46 Oggetto: |
|
|
con rustbfix non ho trovato niente
http://www.sendmefiles.com/pelog_txt62
questo è invece il log di regrun
http://www.sendmefiles.com/regrunlog_txt91
e finalmente ecco il log del rootkit con gmer
http://www.sendmefiles.com/gmer2_log13
forse ci siamo  |
|
| Top |
|
|
maragiavi
Eroe in grazia degli dei
Registrato: 26/09/07 10:43
Messaggi: 121
Residenza: firenze
|
| Inviato: 28 Set 2007 14:30 Oggetto: |
|
|
tanto per rompere ulteriormente ...
ho fatto ripassare virIT
http://www.freefilehosting.net/download/MjUwNjc=
e questo è il nuovo log di HJT
http://www.freefilehosting.net/download/MjUwNjg=
 |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 28 Set 2007 16:55 Oggetto: |
|
|
| maragiavi ha scritto: | con rustbfix non ho trovato niente
|
Invece ha trovato e forse anche eliminato dato che non compare più negli altri log. Intanto avvia HJT e metti la spunta a sinistra di queste righe:
| Citazione: | R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
O9 - Extra button: Alice - {16661163-C5C5-472C-B15A-D8F0F12FEBF0} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O23 - Service: SysAbv - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\QMGiZ.exe (file missing) questa se la conosci non eliminarla |
Clicca Fix Checked e rispondi si.
C'è quest'altro processo nascosto che non mi dice niente di buono:
| Citazione: | | ymgnwuwt - C:\WINDOWS\system32\drivers\tmwjgxul.sys |
e di cui non sono riuscito a trovare nulla. Eventualmente per questo aspettiamo un ulteriore parere. Intanto come va il PC? |
|
| Top |
|
|
maragiavi
Eroe in grazia degli dei
Registrato: 26/09/07 10:43
Messaggi: 121
Residenza: firenze
|
| Inviato: 28 Set 2007 17:12 Oggetto: |
|
|
il pc direi che sta andando regolarmente ... non mi ha dato più dato segni di "infettatura"
all'avvio mi si apriva sul desktop la cartella di windows/system32 o quella di mydocuments ... ora sembra tutto a posto
ho ripassato HJT fissando quello che mi hai segnalato.
http://www.sendmefiles.com/hijackthis3_log69
queste si possono eliminare ??
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
sono i vari scan on line che ho fatto immagino.... |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 28 Set 2007 19:53 Oggetto: |
|
|
| maragiavi ha scritto: |
queste si possono eliminare ??
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
sono i vari scan on line che ho fatto immagino.... |
Si, prima però vai su installazione applicazioni e se sono presenti procedi con la normale disinstallazione e dopo togli tutti i riferimenti con HJT.
Intalla anche urgentemente un firewall altrimenti ci saranno altri problemi.
Sul primo link della pagina principale del forum trovi le discussioni al riguardo. |
|
| Top |
|
|
maragiavi
Eroe in grazia degli dei
Registrato: 26/09/07 10:43
Messaggi: 121
Residenza: firenze
|
| Inviato: 01 Ott 2007 12:04 Oggetto: |
|
|
solo x ringraziare tutti per l'aiuto e la disponibilità fornita ....
il portatile sembra davvero sano
... mi sa che tornerò presto a chiedere supporto
ciao |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 01 Ott 2007 18:39 Oggetto: |
|
|
fantastico
se vuoi, passa a presentarti alla comunità "divina" del Olimpo. ti aspettiamo al nostro speciale Comitato d'accoglienza.
[mod. promozione ON]
vorresti partecipare alla seconda sfida fotografica dell'Olimpo Informatico?
Al primo classificato verrà assegnato in premio una videocamera digitale Axis 207
molti altri premi in palio
L'iscrizione e la partecipazione gratuita
Le regole e modalità del concorso sono disponibili a questo indirizzo
[mod. promozione OFF] |
|
| Top |
|
|
maragiavi
Eroe in grazia degli dei
Registrato: 26/09/07 10:43
Messaggi: 121
Residenza: firenze
|
| Inviato: 01 Ott 2007 18:52 Oggetto: |
 |
|
sono già passato dal CANI ... e ho brindato pure con un po ' di compagni di bevute ... ora effettivamente potrei passare a qualcosa di + serio con il concorso ... vediamo
grazie anche a te (e ...  salute !!)
ciao |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
