PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: Trojan Toosrr.SRR

Altre pagine della discussione:




prisca85
Senior Senior
prisca85
Senior Senior
prisca85
Senior
Senior

Avatar


Iscritto dal : 19/Aprile/2005
Da: Italy
Status: Offline
Posts: 1.485
Riporta il testo di: prisca85 Rispondibullet Topic: Post n° 78.498 - Postato: 29/Gennaio/2008 alle 17:24


luigi, cerchiamo di fare un po' di chiarezza perche' c'e' molta confusione.

prima di tutto, il tool elibagla e' sicuro, e uno di quelli essenziali per rimuovere il virus. la cartella C;/muestras non e' altro che la cartella creata dal programma dove mettere in una sorta di quarantena i files nocivi che trova, nel caso in cui uno li vuole ripristinare per qualche problema (ti ricordo che il virus puo' infettare files leggittimi e di sistema). e' trovato "sospetto" e non nocivo da virus total per le sue abilita' euristiche, evidentemente quegli antivirus non conoscono elibagla. cmq ti assicuro che e' pulito. la frase in spagnolo significa "accesso negato" quindi non sono sicura che sia riuscito a rimuovere tutto.

ora, per i link ai vari programmi, sono tutti contenuti un po' nell'altra discussione, e nelle guide che ho indicato, che probabilmente non hai letto. cmq ecco qui tutti i link per comodita':

Avenger (leggi QUI per come usarlo e prendi lo script da li punto 4 di quella guida.)

Panda Antirootkit

Visto che CCleaner non ti funziona, ed infatti ricordo anche a me nn funzionava, prova a scaricarti ATFCleaner  (c'e' il link sotto, quando lo apri clicca su "select all", e poi "empty selected")
-se non funziona, manualmente, cancella tutti i files in :
c:\Documents and Settings\NomeVostroAccount\Dati applicazioni\Impostazioni locali\Temp

Gmer
(link con la guida e il link del programma)

Killbox (facendo "standard file kill" devi essere sicuro che ti esca una frase come "file deleted" oppure "file does not seem to exist"(il file nn esiste). se te ne esce una diversa, puo' avere problemi a cancellare il file, e quindi dovresti mettere su "delete at reboot")

Elibagla (clicca in fondo su "descargar Elibagla 10.93" l'ultima versione) da passare assolutamente in MODALITA' PROVVISORIA

ti ripeto una cosa luigi ma e' importantissima, fai le operazioni che ti ho indicato, o che sono presenti nelle varie guide che ho messo, attentamente, una dopo l'altra e tutte assieme in uno stessa "sessione". non puoi farle un giorno un po', poi un po' domani e cosi via...perche' ad ogni avvio il virus si ricrea d'accapo, anche se precedentemente hai cancellato alcuni files..e te li ritrovi ogni volta.

quindi, in linea generale,
-disattiva il rispristino,
-passa tutti i tools in modalita' normale
-controlla manualmente che i files messi nello script di avenger non ci siano nel tuo pc, e soprattutto nelle chiavi di registro
-metti apposto la modalita' provvisoria con quel tool che ti abbiamo indicato
-vai in modalita' provvisoria
-controlla che hai il ripristino disattivato
-ripassa tutti i tools in modalita' provvisoria
-ricontrolla che le chiavi non ci siano piu' nel registro e passa Elibagla finche' non ti dice che non trova piu' nessun file infetto.
-riavvia in modalita' normale, ripassa Elibagla e vedi se ti trova ancora files infetti.
-a questo punto, fai la scansione con Kasperky, e quando pensi di essere pulito, postaci un log di hijackthis (le info e link a questa pagina)



live right now, just be yourself..it doesn't matter if it's good enough for someone else



luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.500 - Postato: 29/Gennaio/2008 alle 17:38


Ok perfetto......grazie della spiegazione : ho capito che i file infetti erano stati messi da elibagla e infatti poi l'altro tool li h rimossi Faro' tutto ocme dici Infatti la difficlta' maggiore è che debbo stare ininterrottamente vicino al pc e purtroppo io faccio un altro lavoro....ma mi serve il pc per scrivere 
 Grazie dell'indicazione dei tool ; sto postando perfarti vedere i file infetti che sto eliminando Mi preoccupavo dei file di gmer ( eentuali falsi di sistema ma credo che fosseo tutti nocivi uelli trovati  rosso ) Grazie e ti terro' aggiornata


luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.506 - Postato: 29/Gennaio/2008 alle 18:42


In modalità provvisoria eabagla ha finalmente trovato ed eliminato 27 worm e bagle vari..........sto scansonando sysclean
Ma non riesco a far funzionare panda antirookit e avenger Come clicco per aprire il file exe mi esce una scritta il file C:Documents and settings....avenger.exe non è un 'applicazione  Win32 valida 
Come si spiega???Non avro' cancellato qualche file di sistema????


luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.545 - Postato: 29/Gennaio/2008 alle 21:26


Avengere ha funzionato solo in modaita' provvisoria come amministratore ma in modalita' normale non mi funziona ( esce la scritta detta prima ) Solo che poi postando come nella guida il txt mi ha fatto ripartire il sistema in modo normale......non so se dovevo essere io a frlo riaprtire in modalita' provvisoria....o meno; in pratica nell'eseguire il punto 4 dela guida che mi hai citato poi debbo riavviare in modalita' provvisoria??? Perche' lui fa ripartire il sistema di xp normalmente Posto ocmunque il log che mi ha data avenger che on sembra trovare piu' nulla; elibagla ha dato pure esito negativo e non ha trovato virus , ma non mi fido perche' ho trovato il ripristino di sisitema inserito e non spuntato....non dovrebbe rimanere settato cosi' al riavvio o è normale che si riporta come se non l'avessi mai spuntato????? Spero l emie domande siano utili ai meno esperti come me....( o con poca dimestichezza dei programmi usati ) per non ripetere gli eventuali errori.... 


luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.546 - Postato: 29/Gennaio/2008 alle 21:28


Ok cosa vuol dire?????? A me mi pare non ci siano piu' file infetti in teoria Ecco il log di avanger fatto pero' rientrando in modalita' normale dalla provvisoria .......spero si possa desumere qualcosa di positivo Io continuo e cerco di utilizzare l'ultimo tool in mod provvisoria....( panda antirootkit)
 
Log di Avanger:
 

Folder C:\WINDOWS\System32\drivers\down deleted successfully.

Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.

Registry key HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA deleted successfully.


Completed script processing.

*****************

***LOG MODIFICATO: sono state lasciate solo le voci importanti. Il resto delle voci dello script non sono state trovate ***


Modificato da prisca85 - 30/Gennaio/2008 alle 18:53


prisca85
Senior Senior
prisca85
Senior Senior
prisca85
Senior
Senior

Avatar


Iscritto dal : 19/Aprile/2005
Da: Italy
Status: Offline
Posts: 1.485
Riporta il testo di: prisca85 Rispondibullet Topic: Post n° 78.554 - Postato: 29/Gennaio/2008 alle 22:22


ciao luigi,
per l'errore di avenger e il rootkit del panda potrebbe essere qualche manomissione del virus Bagle a causarne l'errore. cmq dal log di avenger molti files per fortuna non li trova piu', ne ha trovato e cancellato questi qua:
Registry key HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.
Folder C:\WINDOWS\System32\drivers\down deleted successfully.

pero' se in modalita' normale non ti funziona, io al posto tuo andrei a cercare i files e le chiavi manualmente nel pc per essere sicuro che non ci siano piu'. e ripassa Gmer per vedere se ti trova ancora le voci in rosso (cioe' i files nascosti, che puoi cliccare con il tasto destro e cancellare). se elibagla non trova piu' nulla direi che stiamo sulla strada giusta.

 la prova del nove la potrai avere solamente scaricando un prodotto come Ccleaner, spybot, adaware o avast e provare ad installarlo. e un'altra prova posso vederla dal log di hijackthis, almeno in parte. oppure con la scansione online.

PS: per il ripristino, anche a me capitava che il virus me lo rimetteva ad ogni avvio, per quello ti ho detto di controllarlo sempreWink

facci sapere come va.

PPS: e' fondamentale pulire la temp e i files temporanei di internet con ATF cleaner o a mano. cmq non scordarti questo passaggio se no ti ritorna sempre.


Modificato da prisca85 - 29/Gennaio/2008 alle 22:25



live right now, just be yourself..it doesn't matter if it's good enough for someone else



luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.560 - Postato: 29/Gennaio/2008 alle 23:12


OK.....sonoriuscito ad usare pada antirootkit in modalia' normale e co' mi funziona ( in dalita'provvisoria non ho il collagamento internet e si bloccava con una pagina di I.E. vuota ) L'ho fatto andare in modalita' normale e  tutto ok non trova nulla o steso elbagla decisivè stata la pulizia in moalita' provvisoria in cui ha eliminato 27 files infetti ) tutto ok; ho povato a cancellare a mano i file dello script di aveger ( dopo averlo fattofare a lui ( non so se li ha trovati in quanto non avevo sostituito con C nel txt lasciando cosi' com'era )  In ogni caso per killbox non c'erano.  Non so cancellare a mano i file del registro ne' in killbox ne' in regedit Ho provato a cliccare strovma non li ha trovati.....    Ho cancellato continu,emte a ogni riavvio i file temporanei col pogramma utilissimo he mi hai fatto scaricare al psto di Cclaner e ogni volta ho settato prima i file all'1% ( per cancellarne la maggior parte )e poi la spunta di disativazione di ripristino ; ho finalmente riatticato l'antivirus di spywere terminatr clam av ) e sto dando una scansione in mod normale  di controllo generico Semra tuto a posto.....ma noni fido ancora Dopo riattivo avast e infine far' la scansione con hijaking e la posto; la cosa strana è c Sysclean non mi scansionava nulla in modalita' provvisoria indicandoERROR (?) mentre hafunzionato normalmete in modalita' normale; ti  ter' informata    


luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.561 - Postato: 29/Gennaio/2008 alle 23:15


accidenti quanti errori di battitura, ma non si puo' correggere? eheheh



luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.563 - Postato: 29/Gennaio/2008 alle 23:24


Comunque gmer pada antiroookit ed elibagla in modalita' normale non segnalano piu' nulla...credo ma non mi fido lo stesso di averl quasi eliminato il beagle....solo non so come cancelare manualmnte chiavi di registro indicate nello script; a idea dovrei andare in regedt e in trova Se non  trova vuol dire che non ci sono??E se le trovo ???? Questo prima di fare la scansione con hijacking.... per maggior scrupolo; 


prisca85
Senior Senior
prisca85
Senior Senior
prisca85
Senior
Senior

Avatar


Iscritto dal : 19/Aprile/2005
Da: Italy
Status: Offline
Posts: 1.485
Riporta il testo di: prisca85 Rispondibullet Topic: Post n° 78.568 - Postato: 30/Gennaio/2008 alle 00:10


ciao luigi,
allora, diciamo che tra una scansione e l'altra direi che dovresti aver risolto. se poi riesci ad installare il tuo antivirus e tutti gli altri programmi che il virus aveva disattivato, allora stai sicuro che almeno la parte attiva del virus l'hai eliminataWink

per le chiavi nel registro, vai su Avvio>esegui>regedit>ok
a questo punto puoi fare due cose:
1) clicca CTRL+F (cerca) e per cercare una delle chiavi trovate nelle varie scansioni o che fanno parte dello script di avenger, io ti consiglio di cercare solo l'ultima parola e non dimenticare di continuare a cercare finche' non ti trova piu' nulla.
Per esempio per questa chiave dello script di Avenger:
Registry key HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
io cercherei solo la parte segnata in rosso, oppure solo la parola SROSA. stai attento a cancellare le cose giuste, se hai dei dubbi e trovi qualche chiave strana, segnati tutto il percorso e mettila qui che ci diamo un'occhiata.

2) oppure potresti seguire il percordo manualmente e vedere se ci sono ancora quelle chiavi, per esempio ti consiglio di andare in questa chiave manualmente

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
e vedere nella finestra di destra trovi uno di questi valori : german.exe o hldrrr.exe. se ci sono eliminali.

se non trovi nulla, allora direi che non ci sono piu'. se invece le trovi ancora, prima di cancellarle, disattiva il ripristino di configurazione. poi lo riattivi.

fammi sapere come vanno i tuoi programmi per la sicurezza, e il log di hijackthis. per adesso ti modifico alcuni post precedenti per salvare un po' di spazioWink
PS: per modificare da solo i tuoi post devi passare di gradoSmile


Modificato da prisca85 - 30/Gennaio/2008 alle 00:10



live right now, just be yourself..it doesn't matter if it's good enough for someone else



Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,043 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni