| Precedente :: Successivo |
| Autore |
Messaggio |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
 Inviato: 09 Gen 2010 15:05 Oggetto: |
 |
|
| Citazione: | | Mi scuso se in un mio intervento precedente sono sembrato critico |
Nessun problema.
E' la prima volta, che per la bonifica di un Beagle, mi ritrovo anche un keylogger, tra i piedi.
Ero concentrato, alla ricerca di file infetti, riferiti al Beagle, e altri troyan.
Non a un keylogger .
Comunque mi interessa (se possibile) risolvere la questione.
Come, non mi interessa. (anche con il tuo aiuto) |
|
| Top |
|
 |
Alliata
Mortale adepto
Registrato: 04/01/10 23:56
Messaggi: 30
Residenza: Livorno
|
| Inviato: 09 Gen 2010 16:07 Oggetto: |
|
|
Ciao
sono fuori casa per cui ho la tastiera!
scusate (R1) non fraintendete i miei msg, quale autodidatta cerco di aiutarvi a risolvere il mio problema, con quello che trovo in giro, magari vi illumina ulteriormente.
Attualmente sto scansionando con AVIRA in mod.tà prvvisoria e ha già trovato IN C:\:
RILEVAMENTI 3
AVVISI 1
non avendo la tastiera non posso scrivere troppo e con + dettagli.
La chiave che mi avevi indicato per togliere il keylogger non l'ho trovata: come mai?
Che ci sia un altra chiave che rigenera il blocco della tastiera ?
Non vi peritate a darmi spiegazioni elemntari del perché di certe azioni poiché posso cercare di imparare con entusiasmo.
Ritornerò con LOG di:
AVIRA
GMER
SYSTEMSCAN che avevo tagliato come da vs istruzioni per le righe ove indicava OK. Se volete lo riposto integrale.
Comunque grazie, sempre e comuqnue vada.  |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 09 Gen 2010 16:56 Oggetto: |
|
|
Ciao.
Tu posta pure, tutti i log.
| Citazione: | | La chiave che mi avevi indicato per togliere il keylogger non l'ho trovata: come mai? |
Lo vedremo dai log se c'è.
Più log vedo, (specie di Systemscan e GMER) e più mi aiuta a capire.
Sì, il log di Systemscan, postalo integrale. |
|
| Top |
|
|
Alliata
Mortale adepto
Registrato: 04/01/10 23:56
Messaggi: 30
Residenza: Livorno
|
| Inviato: 10 Gen 2010 14:50 Oggetto: |
|
|
http://wikisend.com/download/449572/09_01_2010_00_04_report.zip
http://wikisend.com/download/703338/10_01_2010_12_33_report.zip
http://wikisend.com/download/916202/report.txt
http://wikisend.com/download/482964/CureIt.zip
http://wikisend.com/download/519920/AVSCAN-20100109-140022-1E4D880D.LOG
http://wikisend.com/download/557558/GMERlog.log
http://wikisend.com/download/345450/SystemScan.txt
http://wikisend.com/download/614160/report.txt
 |
|
| Top |
|
|
Alliata
Mortale adepto
Registrato: 04/01/10 23:56
Messaggi: 30
Residenza: Livorno
|
| Inviato: 10 Gen 2010 21:45 Oggetto: |
|
|
questi TUTTI i logs richiesti. spero in un.... miracolo.
PS: Ho scoperto che esiste la tastiera sullo schermo - da "accessori"
ciao |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 11 Gen 2010 00:37 Oggetto: |
|
|
Ciao.
Guarda, non sò se sono io che non funziono, ma non riesco ad aprire quei log.
Posta solo i log do GMER, e Systemscan. |
|
| Top |
|
|
Alliata
Mortale adepto
Registrato: 04/01/10 23:56
Messaggi: 30
Residenza: Livorno
|
| Inviato: 11 Gen 2010 19:36 Oggetto: |
|
|
| R1 ha scritto: | Ciao.
Guarda, non sò se sono io che non funziono, ma non riesco ad aprire quei log.
Posta solo i log do GMER, e Systemscan. |
http://wikisend.com/download/508078/SystemScan.txt
http://wikisend.com/download/544962/GMERlog.log
ecco i 2 logs
ciao |
|
| Top |
|
|
Alliata
Mortale adepto
Registrato: 04/01/10 23:56
Messaggi: 30
Residenza: Livorno
|
| Inviato: 11 Gen 2010 22:17 Oggetto: |
|
|
senti,
aggeggiando in :
services.mcsc
servizi terminal è avviato e io l'ho disabilitato.ma rimane sempre avviato non si evidenziano i comandi tipo 'arresta'.quindi rimne visualizzto 'avviato' e accanto 'disabilitato'.
vuol dire qualcosa ? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 12 Gen 2010 16:43 Oggetto: |
|
|
Ciao.
Scusa il ritardo, ma non ho potuto risponderti prima.
Allora:
Questa chiave rilevata da Systemscan, è strana:
| Citazione: | ===================== HIDDEN OBJECTS =====================
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0 |
Anche GMER, rileva qualcosa di poco chiaro:
| Citazione: | SSDT F8E2A386 ZwCreateKey
SSDT F8E2A37C ZwCreateThread
SSDT F8E2A38B ZwDeleteKey
SSDT F8E2A395 ZwDeleteValueKey
SSDT F8E2A39A ZwLoadKey
SSDT F8E2A368 ZwOpenProcess
SSDT F8E2A36D ZwOpenThread
SSDT F8E2A3A4 ZwReplaceKey
SSDT F8E2A39F ZwRestoreKey
SSDT F8E2A390 ZwSetValueKey
SSDT F8E2A377 ZwTerminateProcess
...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000 |
Vorrei sentire (se ancora legge questo topic) il parere di bdoriano, e, (visto che ha già dato indicazioni utili) di H5N1 riguardo un software specifico, da usare per l'SSDT. ( un antirootkit serio)
Oppure procedere manualmente.
Ho visto dal log, tracce di Prevx, per cui, presumo che sia stato usato. |
|
| Top |
|
|
Alliata
Mortale adepto
Registrato: 04/01/10 23:56
Messaggi: 30
Residenza: Livorno
|
| Inviato: 13 Gen 2010 09:27 Oggetto: |
|
|
Ciao
no problem, l'importante é..arrivare.
Prevx l'ho usato solo per rilevare i malware, non ho la licenza full.
In effetti aveva rilevato qualcosa ma a mano non riuscivo a fare niente.
Se vuoi lo rinstallo e scannerizzo di nuovo |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Gen 2010 14:28 Oggetto: |
|
|
| Alliata ha scritto: | Ciao
no problem, l'importante é..arrivare.
Prevx l'ho usato solo per rilevare i malware, non ho la licenza full.
In effetti aveva rilevato qualcosa ma a mano non riuscivo a fare niente.
Se vuoi lo rinstallo e scannerizzo di nuovo |
Sì, fammi questa cortesia.
Fammi questa scansione con Prevx, e postami il log. |
|
| Top |
|
|
Alliata
Mortale adepto
Registrato: 04/01/10 23:56
Messaggi: 30
Residenza: Livorno
|
| Inviato: 13 Gen 2010 15:47 Oggetto: |
|
|
Ciao R1
non rilascia un log il programma.
Proverò a fare la stampa dello screen perché anche volendo ricopiare a mano il percorso completo dei files infetti non viene mostrato. Il rigo é troncato e non sono mai riusvcito ad aprirlo completamente.
PS: control V + control C per copiare lo screen ? altro metodo alternativo pls ? su questo forum non viene... thnks |
|
| Top |
|
|
Alliata
Mortale adepto
Registrato: 04/01/10 23:56
Messaggi: 30
Residenza: Livorno
|
| Inviato: 13 Gen 2010 21:58 Oggetto: |
|
|
la scansione di PREVXCSI 3.0 è NEGATIVA
La tastiera non va ancora  |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
|
| Top |
|
|
Alliata
Mortale adepto
Registrato: 04/01/10 23:56
Messaggi: 30
Residenza: Livorno
|
| Inviato: 15 Gen 2010 08:53 Oggetto: |
 |
|
gdday, non mi è riuscito di mantenere trascinato in alto il bottone di 'report' per cui allego il fil di log zippato generato da 'manual disinection'.
http://wikisend.com/download/506994/avptool_sysinfo.zip
spero vada bene, se no pf dimmi come fare altrimenti. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
