PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: Trojan Toosrr.SRR

Altre pagine della discussione:




luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.594 - Postato: 30/Gennaio/2008 alle 12:12


Nella ricerca manuale in HK Local Machine non ci sono valori nei percorsi indicati da te e dallo scriptquali german.exe o hldrr.exe 


luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.595 - Postato: 30/Gennaio/2008 alle 12:24


*** LOG ELIMINATO: perche' uguale a quello postato successivamente***


Modificato da prisca85 - 30/Gennaio/2008 alle 17:36


luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.597 - Postato: 30/Gennaio/2008 alle 13:16


 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mhalpauq
*******************
Script file located at: \??\C:\WINDOWS\system32\bdsfuxqc.txt
Script file opexxd successfully.
Script file read successfully
Backups directory opexxd successfully at C:\Avenger
*******************
Beginning to process script file:

File C:\WINDOWS\system32\drivers\hidr.exe not found!
File C:\WINDOWS\system32\drivers\srosa.sys not found!
File C:\WINDOWS\system32\wintems.exe not found!
File C:\WINDOWS\system32\hldrrr.exe not found!
File C:\WINDOWS\system32\trusted.exe not found!
File C:\WINDOWS\system32\drivers\pci32.sys not found!
Could not open file C:\Documents and Settings\luigi27\Dati applicazioni\hidires\hidr.exe for deletion
Could not open file C:\Documents and Settings\luigi27\Dati applicazioni\hidires\rosa.sys for deletion
Could not open file C:\Documents and Settings\luigi27\Dati applicazioni\m\data.oct for deletion
Could not open file C:\Documents and Settings\luigi27\Dati applicazioni\m\flec006.exe for deletion
Could not open file C:\Documents and Settings\luigi27\Dati applicazioni\hidires\m_hook.sys for deletion
File C:\WINDOWS\system32\drivers\hldrrr.exe not found!
File C:\WINDOWS\system32\drivers\hldrrr.ex_ not found!
File C:\WINDOWS\system32\mdelk.exe not found!
File C:\WINDOWS\system32\drivers\pci32.sys not found!
File C:\WINDOWS\system32\drivers\hIdrrr.exe not found!
File C:\WINDOWS\SYSTEM32\EDLM.EXE not found!
File C:\WINDOWS\SYSTEM32\EDLM2.EXE not found!
File C:\Windows\system32\LDR64.DLL not found!
Folder C:\WINDOWS\exefnd not found!
Folder C:\WINDOWS\exefld not found!
Folder C:\Documents and Settings\luigi27\Dati applicazioni\hidires not found!
Folder C:\WINDOWS\System32\drivers\down not found!
Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa not found!
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA not found!
Registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 not found!
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 not found!
Registry key HKLM\SYSTEM\CurrentControlSet\Services\rosa not found!
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa not found!
Registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook not found!
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK not found!
Registry key HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA not found!
Registry key HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA not found!
Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64 not found!
Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr

Completed script processing.
*******************
Finished!  Terminate.

***LOG MODIFICATO: sono state lasciate solo le voci piu' importanti***



Modificato da prisca85 - 30/Gennaio/2008 alle 17:54


luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.603 - Postato: 30/Gennaio/2008 alle 14:53


nella scansione on line dikasper risulto ancora infetto....solo non so come chiudere avast....non è che inflisc sulla scansione on line?????? Casomai lo debbo disistallare????? postero' i risultati della scansione.... 


luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.606 - Postato: 30/Gennaio/2008 alle 15:59


mi sembrava di essere pulito invece il virus c'è ancora.....riprovo tutto di nuovo??? attendo consigli....
 
-------------------------------------------------------------------------------
 KASPERSKY ONLINE SCANNER REPORT
 mercoledì 30 gennaio 2008 15.57.14
 Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
 Kaspersky Online Scanner version: 5.0.98.0
 Kaspersky Anti-Virus database last update: 30/01/2008
 Kaspersky Anti-Virus database records: 537894
-------------------------------------------------------------------------------

Scan Settings:
 Scan using the following antivirus database: extended
 Scan Archives: true
 Scan Mail Bases: true

Scan Target - My Computer:
 C:\
 D:\
 E:\

Scan Statistics:
 Total number of scanned objects: 50190
 Number of viruses found: 1
 Number of infected objects: 2
 Number of suspicious objects: 0
 Duration of the scan process: 01:16:07


C:\Documents and Settings\luigi27\Documenti\Adunanza\netcut  mac spoofing\netcut.exe/data0002 Infected: not-a-virus:NetTool.Win32.Netcut.a skipped
C:\Documents and Settings\luigi27\Documenti\Adunanza\netcut  mac spoofing\netcut.exe Inno: infected - 1 skipped

Scan process completed.

***LOG ELIMINATO: sono state lasciate solo le voci sospette***



Modificato da prisca85 - 30/Gennaio/2008 alle 17:58


luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.613 - Postato: 30/Gennaio/2008 alle 18:45


Ok ora ho provato ad eliminare manualmente i file ( un exe di un prograa da me dimenticato da chissa' quanto nel pc e sto pcedendo alla nuova scansione (stavolta velocissima) on line con kasper chiudendo il ripristino di sistema ....posto' lo i file infetti o sospetti o il resoconto finale......manca poco e smbra tutto a posto  ( sono all'85%)


prisca85
Senior Senior
prisca85
Senior Senior
prisca85
Senior
Senior

Avatar


Iscritto dal : 19/Aprile/2005
Da: Italy
Status: Offline
Posts: 1.485
Riporta il testo di: prisca85 Rispondibullet Topic: Post n° 78.614 - Postato: 30/Gennaio/2008 alle 18:46


ciao luigi,

ho fatto un po' di pulizia nei post delle voci che erano pulite, e ti ho lasciato un solo log di avenger anche se in pratica dice che non ha trovato nullaWink

ti rispondo con ordine partendo dall'altra pagina.

- per il programma ATNotes, se e' stato trovato infetto ed e' stato eliminato l'eseguibile, penso che probabilmente e' stato infettato dal virus quando l'hai avviato. di per se il programma e' leggittimo, quindi se ne hai una copia o lo vuoi riscaricare puoi farlo benissimo. per la voce dell'avvio automatico non preoccuparti piu' di tanto. dal log di Hijackthis non compare nell'avvio automatico. Dovresti essere tranquillo. Cmq al massimo controlla da qui:
avvio>esegui> digita "msconfig"> scheda avvio
e controlla che la voce "ATnotes" non abbia la spunta.
per le altre voci nel registro con "ATnotes" non preoccuparti, non cancellare nulla. non sono dannose. l'importante che hai tolto l'eseguibile se era infetto.

-per il fatto strano degli aggiornamenti di Windows e' "normale" perche' il virus purtroppo disabilita alcuni servizi importanti. nella guida che ti ho dato ci sono le spiegazioni su quali servizi vengono disabilitati e come riabilitarli. Leggi Qui nella sezione "Riattivazione dei servizi terminati", la parte del Safe Boot gia l'hai fattaWink

-il log di hijackthis e' pulitoThumbs%20Up, quindi diciamo che posso garantirti che non c'e' piu' virus attivo ne' le chiavi rimanenti (e su quello ci ha pensato anche il log di avenger visto che non le ha trovate) c'e' solo una voce innoqua e inutile da eliminare. avvia hijackthis, clicca su "do a system scan only" e metti la spunta accanto a :
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
clicca poi su "fix checked" e chiudi il programma

-elibagla e' pulito

-la ricerca nel registro della parola rosa ti ha trovato quella voce innoqua per questo (guarda le lettere in rosso):
ab (predefinito)  REG_SZ  NeroSavedSearchWindows Class

Quindi non c'e' da preoccuparsi. non cancellare nulla.

-ti ho eliminato il log di Gmer perche' era pulito, anche se non credo era tutto li'. non lo ripostare tutto d'accapo, conferma solamente che non trova piu' le voci in rosso, e se le trova, postami solo quelle.

-avenger, come ti ho detto, non trova nulla. quindi va bene cosi.

-Per Kaspersky come vedi ti ha trovato un solo virus, e non e' il Bagle. anzi, come dice anche il rapporto e' un "non-virus". trattandosi della cartella Adunanza, forse e' qualche eseguibile sospetto. per sicurezza comunque, io lo farei controllare da virus total. segui il percorso, e controlla la voce in rosso:
C:\Documents and Settings\luigi27\Documenti\Adunanza\netcut  mac spoofing\netcut.exe

direi comunque che il Bagle l'hai eliminatoSmile.





live right now, just be yourself..it doesn't matter if it's good enough for someone else



luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.615 - Postato: 30/Gennaio/2008 alle 19:05


Certo il bagle l'ho eliminato FVolevo ringraziarvi perche' siete stati e si stat di moltissimo aiuto. Consigliero' il sito ad amici e lo frequentero' anche;
ho provveduto ad eliminare il file in exe ( che era un programmino antinetcut scaricato un ano fa in rete e che avevo usato solo una volta e che probabilmente era stato la causa di una precedente formattazione ma che mi era rimasto nei documenti che salvo periodicamente )  e fatta la scansione è risultato tutto OK
Ho reinstallato ATnotes dopo averlo controllato con kasp on line ed era sano ( dopo aver provvedto ad eliminare quello infetto) e per il resto è come dici tu esattamente punto per punto!
Quello che è piu' importante il bagle è MORTO!!!!!!!!!!!!!!!!!!!!!
Sono diventato talmente bravo ora che se ti arriva un virus ti do' io le indicazioni ( scherzooooooooooooooooooooooo)
Ora seguiro' le tue indicazioni e ti faro' sapere .....grazie ancora!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!


luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.617 - Postato: 30/Gennaio/2008 alle 19:07


Oggeto : ultima scansione
 
L'analisi è stata completata Non è stato rilevato alcun virus Il report è voto
 
Il virus beagle non c'è piu'!!!!!!!!!!!!!! 


luigi2702
Apprendista Apprendista
luigi2702
Apprendista Apprendista
luigi2702
Apprendista
Apprendista

Avatar generico


Iscritto dal : 27/Gennaio/2008
Da: Italy
Status: Offline
Posts: 68
Riporta il testo di: luigi2702 Rispondibullet Topic: Post n° 78.630 - Postato: 30/Gennaio/2008 alle 23:20


L'unico problema che non riesco a risolvere neppure correggendo le funzionalità di windows xp riportate sulla guida è quello dell'impossibilità di effettuare l'update che risulta come bloccato anche se non lo è; ho provato a farlo direttamente sul sito  liberando tutte le porte di xp ed explorer ma mi rimane fisso il segnle giallo di update. Come lo avvio xp sembra aggiornarsi ma dopo pochi sencondi mi dice che non si è riusciti ad installare l'aggiornamento Testualmente : " i seguenti aggiornamenti non sono stati installati Aggiornamento della protezione per Windows XP con Runtime formato Windows Media 9.5 e 11 (KB941569)" ( ma credo valga a  per qualunque altro aggiornamento... xp con licenza originale ovviamente )
......se qualcuno dovesse avere una qualche idea me la comunichi!!


Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,047 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni