| Precedente :: Successivo |
| Autore |
Messaggio |
ovlasm
Mortale adepto
Registrato: 06/10/09 10:55
Messaggi: 34
|
 Inviato: 31 Ott 2010 20:03 Oggetto: Problema trojan in winlogon exe |
 |
|
Salve intanto i miei complimenti ancora una volta x la vostra passione e professionalita' nell'aiutare le persone un po 'in crisi con i virus,io gia' in passato sono stato aiutato a rimuovere un bagle che per molti era impossibile da levare tramite il GRANDE BT DORIANO....cmq passo al mio problema..
Come ho visto in un altra discussione penso di non essere il solo ad avere beccato un trojan in winlogon exe,me lo segnala ad ogni avvio avira e malgrado io faccia nega accesso o elimina o sposta il problema si ripropone sempre,malgrado il s.o non si riavvia automaticamente o le applicazioni siano inutilizzabili..
Quindi volevo sapere che programmi devo usare per postarvi i vari log in modo che abbiate una idea precisa della situazione e su come risolverla,grazie in anticipo!!! |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 31 Ott 2010 21:46 Oggetto: |
|
|
Ciao ovlasm, 
bentornato. 
Fai queste operazioni:
- Scarica questo programma (OTL) e salvalo sul desktop
- Doppio click sull'icona di OTL per avviarlo
- Metti il segno di spunta su Scan All Users
- Clicca il bottone Quick Scan
- Aspetta pazientemente fino al termine dei lavori
- Verranno creati 2 logs:
- OTListIt.txt (ridotto a icona)
- Extra.txt (ridotto a icona)
- Carica entrambi i logs su wikisend e posta i forum links che ti verranno assegnati
- Scarica Rootkit UnHooker e salvalo sul desktop
- Doppio click sull'icona di RKUnhookerLE per avviarlo
- Clicca Report
- Clicca Scan
- Metti il segno di spunta su Drivers e Stealth
- Togli il segno di spunta alle altre voci
- Clicca OK
- Aspetta pazientemente fino al termine dei lavori
- Clicca File
- Clicca Report
- Salva il log sul desktop
Carica il file salvato su wikisend e posta il forum link che ti viene assegnato
Nota: potresti ricevere questo messaggio "Rootkit Unhooker has detected a parasite inside itself! It is recommended to remove parasite, okay?". Ignoralo tranquillamente. |
|
| Top |
|
|
ovlasm
Mortale adepto
Registrato: 06/10/09 10:55
Messaggi: 34
|
| Inviato: 31 Ott 2010 22:19 Oggetto: |
|
|
ecco a te tutto il materiale...grazie mille sei un mito ancora una volta!
OTL.Txt
Extras.Txt
Report.txt |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 01 Nov 2010 09:25 Oggetto: |
|
|
Dopo dovrai aggiornare parecchi programmi... 
Segui le istruzioni di questo topic per postare il log di combofix. |
|
| Top |
|
|
ovlasm
Mortale adepto
Registrato: 06/10/09 10:55
Messaggi: 34
|
| Inviato: 01 Nov 2010 17:34 Oggetto: |
|
|
ciao mito,ho eseguito tutto con combofix e ora all'avvio non mi compare piu la scritta di avira con il trojan in sistem 32 win logon exe,cmq ti posto il log cosi' puoi vedere tu stesso se il problema e' risolto,infine se cortesemente abusando ancora della tua bonta' puoi dirmi quali programmi dovrei aggiornare come mi avevi anticipato,grazie ancora sei un grande!
ComboFix.txt
ps-
Niente riattivando avira ora mi son accorto che mi da ancora quel messaggio di trojan in winlogon exe,eppure in combo diceva Restore file dopo il riavvio...non so ,sono nelle tue mani! |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 01 Nov 2010 18:20 Oggetto: |
|
|
Ciao.
Non hai scaricato Combofix sul Desktop (ma in "Documenti") come da indicazioni della guida.
Questo non permetterà di effettuare lo script necessario per la bonifica.
Consiglio di disistallare Combofix così:
Segui le istruzioni di questo topic per rimuovere combofix, http://forum.zeusnews.com/viewtopic.php?t=47670
Reistalla Combofix, prestando attenzione, a scaricarlo sul Desktop:
http://forum.zeusnews.com/viewtopic.php?t=45224
Rifai la scansione.
Posta il log. |
|
| Top |
|
|
ovlasm
Mortale adepto
Registrato: 06/10/09 10:55
Messaggi: 34
|
| Inviato: 01 Nov 2010 19:12 Oggetto: |
|
|
ciao r16,grazie in anticipo per l'aiuto,ho corretto quel passaggio e ti posto il log di combo-fix,ricordandoti che ancora il tojan in sistem32 winlogon exe c'e' e ad ogni avvio avira me lo segnala ma malgrado faccio o nega accessa o sposta in quarantena o elimina si ripropone a ogni avvio,spero mi possa aiutare a risolvere,grazie ancora mito..
ComboFix.txt |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 01 Nov 2010 19:23 Oggetto: |
|
|
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt
| Codice: | KillAll::
RegNull::
[HKEY_USERS\S-1-5-21-1659004503-2077806209-682003330-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{83B8D940-F093-4017-9726-303ACDDEC5D2}*]
RegLock::
[HKEY_USERS\S-1-5-21-1659004503-2077806209-682003330-500\Software\Microsoft\Internet Explorer\User Preferences]
FCopy::
c:\windows\NiwradSoft Shell Pack\Backup\winlogon.exe|c:\windows\system32\winlogon.exe |
e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Se il pc non si riavvia da solo, riavvialo tu.
Posta il log aggiornato di combofix |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 01 Nov 2010 19:26 Oggetto: |
|
|
Riesci a postare i logs di Avira?
Ti faccio controllare i file di sistema (tieni pronto il cd di Windows XP, potrebbe venirti richiesto durante il controllo):
- Clicca Start
- Clicca Esegui...
- Digita:
Clicca su ok
si apre la finestra DOS, digita:
premi invio e attendi pazientemente il termine delle operazioni.
al termine della scansione, digita:
premi invio
Riavvia il pc |
|
| Top |
|
|
ovlasm
Mortale adepto
Registrato: 06/10/09 10:55
Messaggi: 34
|
| Inviato: 01 Nov 2010 19:43 Oggetto: |
|
|
aspettate ragazzi,intanto ribadisco ancora una volta che siete i piu' grandi che ci sono su internet,consiglio sempre a un sacco di persone questo forum e modestamente qualcuna l'ho portata io,poi sul problema virus,ecco intanto il log di combo con quello che mi avevi detto tu r16,ho fatto quel blocco note messo poi in combofix ha fatto scansione e poi si e' riavviato automaticamente e al riavvio il note txt e' scomparso,volevo sapere adesso come dovevo muovermi....devo fare il passaggio tuo bt doriano?o qualcos'altro prima???grazie ancora mitici..
ComboFix.txt |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 01 Nov 2010 19:45 Oggetto: |
|
|
Se ti è possibile, vorrei vedere i logs di Avira.
Il passaggio di controllo dei files, se hai il cd di windows, fallo ugualmente. Male non fa.  |
|
| Top |
|
|
ovlasm
Mortale adepto
Registrato: 06/10/09 10:55
Messaggi: 34
|
| Inviato: 01 Nov 2010 19:51 Oggetto: |
|
|
| cioe' serve una scansione dell'intero sistema di avira?perche' di solito ci sta minimo 1 ora e 30 minuti ogni volta,il materiale sull'hard disk e' molto quindi i tempi sono questi,eventualmente se ti serve possiamo rinviare a domani perche' adesso non arriverei a farla....per quanto riguarda il cd di xp,il fatto e' che nel pc vi e' installata una copia del rivenditore,non so se sia pirata,quindi non ho il supporto magnetico diciamo..dovrei saltare quel passaggio..dimmi te mito |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
|
| Top |
|
|
ovlasm
Mortale adepto
Registrato: 06/10/09 10:55
Messaggi: 34
|
| Inviato: 01 Nov 2010 20:24 Oggetto: |
|
|
allora per quanto riguarda il log di avira in quella sezione ve ne erano molti io ti sto mandando l'ultimo in ordine cronologico che sarebbe il file del report per il report selezionato,non so se ho sbagliato in caso dimmi tu quale devo prendere tra i tanti....e poi ecco il log dello scan con suspect file...
Upd-2010-11-01-14-43-37.log
report.txt |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 02 Nov 2010 23:22 Oggetto: |
|
|
edit
L'ultima modifica di R16 il 02 Nov 2010 23:25, modificato 2 volte |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 02 Nov 2010 23:22 Oggetto: |
|
|
Il log che mi hai inviato riguarda l'ultimo aggiornamento fatto con Avira, a me serve un log di scansione o rilevamento del virus per capire cosa fa "scattare" l'antivirus.
Sembrerebbe, comunque, un problema legato alle versioni moddate di Windows XP.
E, mi sembra di capire, tu ne abbia giusto una caricata sul tuo pc.
La prova empirica da fare è disinstallare completamente NiwradSoft Shell Pack.
Al limite, questo è un winlogon non moddato di Windows XP SP3: winlogon.exe
Si può provare a sostituire il file moddato... per vedere se risolve.
Inoltre, nel log di Systemscan, ho notato alcuni ADS sospetti.
Avvia Hjackthis e pulisci gli ADS in questo modo:
- clicca sulla voce Open the misc tool section
- clicca su Open ads spy
- togli la spunta alla voce Quick scan (windows base folder only)
- clicca su Scan
- se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected
edit: paripost!  |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 02 Nov 2010 23:43 Oggetto: |
|
|
Scusa bdoriano:
Dovrà ripristinare anche una copia di midimap.dll visto che Combofix l'ha trovata infetta.
O sbaglio?
| Codice: | La copia infetta di c:\windows\system32\midimap.dll è stata trovata e disinfettata
ipristinata copia da - c:\windows\NiwradSoft Shell Pack\Backup\midimap.dll |
Poi sinceramente, non ho capito, se riscontra ancora il problema di Winlogon.exe.
L'ultima modifica di R16 il 02 Nov 2010 23:45, modificato 1 volta |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 02 Nov 2010 23:45 Oggetto: |
|
|
| No, in questo caso, combofix ha rimesso al suo posto la versione non moddata (che è stata salvata nella cartella backup durante l'installazione della mod). |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 02 Nov 2010 23:49 Oggetto: |
|
|
Non capisco:
| Citazione: | | ipristinata copia da - c:\windows\NiwradSoft Shell Pack\Backup\midimap.dll |
Combo l'ha ripristinata sempre da :NiwradSoft Shell Pack (dal suo Backup)
Comunque, sarà una cosa che non mi entra in testa.
Ciao! |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 03 Nov 2010 00:03 Oggetto: |
 |
|
Appunto!
Quando Shell Pack ha modificato i files, ha copiato gli originali nella sua cartella di backup.
Combofix si è accorto della presenza del file originale e l'ha ripristinato nella sua destinazione.
Mi sembra strano che non abbia fatto la medesima cosa anche per winlogon. Ma questo è un altro discorso. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
