Infezioni informatiche e Sicurezza informatica in generale

PcPrimiPassi.it FORUM: SICUREZZA INFORMATICA: Infezioni informatiche e Sicurezza informatica in generale

Topic: SFZDRU Rootkit: come eliminarlo ?

Altre pagine della discussione:

RAVEN
Moderatore

Iscritto dal : 04/Settembre/2001
Da: Italy
Status: Offline
Posts: 16.234

Riporta il testo di: RAVEN Rispondi

Topic: Post n° 94.274 - Postato: 06/Aprile/2010 alle 22:47

proverò domani e ti faccio sapere....anche combofix l'ho fatto girare da safemode perchè sennò dava problemi....

Gmer identifica ancora l'oggetto nascosto per cui bisognerà che faccia quanto mi dici....

....confermo però che la navigazione è una saetta ....non so che abbia fatto combofix....mi pare di intravedere diverse modifiche al registro perchè mi ha cambiato alcune associazioni delle estensioni....boh....

Modificato da RAVEN - 06/Aprile/2010 alle 22:57

Stefano Ravagni - 'tanto prima o poi ti buco!'...disse il baco alla noce

SOSTIENICI

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 94.275 - Postato: 06/Aprile/2010 alle 23:21

Combofix è un po' una bomba... tipo stura lavandino.. LOL

(anche per questo bisogna usarlo con parsimonia) Comunque, se non riesci a far girarare avenger nemmeno da modalità provvisoria.. prova, sempre da modalità provvisoria, il comando sc.exe da prompt dei comandi..
Quindi, nel tuo caso, al prompt scrivi:

sc delete sfzdru

e premi invio naturalmente..
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

RAVEN
Moderatore

Iscritto dal : 04/Settembre/2001
Da: Italy
Status: Offline
Posts: 16.234

Riporta il testo di: RAVEN Rispondi

Topic: Post n° 94.283 - Postato: 07/Aprile/2010 alle 10:34

Con Avenger anche in modalità sicura non ho avuto successo...qualcosa blocca il servizio lanciato da cleanup.exe.....esegue il primo step ma al riavvio mi blocca questo programma...

Ho provato con SC DELETE SFZDRU ma dice che il servizio non esiste come servizio installato....

Ad ogni modo ho rilanciato GMER e non trova più l'oggetto nascosto...

Posso ritenermi pulito ? faccio un log di Hijackthis o altro ?

Stefano Ravagni - 'tanto prima o poi ti buco!'...disse il baco alla noce

SOSTIENICI

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 94.284 - Postato: 07/Aprile/2010 alle 10:57

riavvia e fai il log di gmer ed hijackthis.. controlla un po' quei file che ti ho detto
e fai la scansione approfondita

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

RAVEN
Moderatore

Iscritto dal : 04/Settembre/2001
Da: Italy
Status: Offline
Posts: 16.234

Riporta il testo di: RAVEN Rispondi

Topic: Post n° 94.328 - Postato: 08/Aprile/2010 alle 14:00

Ecco il log di Hijackthis

////////////////////////////////

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.55.00, on 08/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

*****************************

Log editato: Nessuna voce sospetta

*****************************

Il pc va benissimo ora, GMER non rileva più oggetti nascosti....forse c'è da correggere qualcosa qui in questo log però....

Il controllo con l'antivirus non rileva nulla....

Modificato da RAVEN - 11/Aprile/2010 alle 11:32

Stefano Ravagni - 'tanto prima o poi ti buco!'...disse il baco alla noce

SOSTIENICI

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 94.363 - Postato: 09/Aprile/2010 alle 10:40

Dal punto di vista del log di hijackthis non sembra esserci nulla di malevolo, e se pure il servizio non c'è più io controllerei bene la dll che ti ho indicato in un post precedente:

c:\windows\system32\swsnofe.dll

La vedo sospetta al 99.99%

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

RAVEN
Moderatore

Iscritto dal : 04/Settembre/2001
Da: Italy
Status: Offline
Posts: 16.234

Riporta il testo di: RAVEN Rispondi

Topic: Post n° 94.481 - Postato: 15/Aprile/2010 alle 17:36

mi dimentico sempre di cercarla avviando da modalità provvirosia come mi hai detto.....ma mi riprometto di farlo... il pc va bene ma qualche momento di eccessiva attesa c'è ancora...

....per farti capire andava meglio subito dopo avere passato combofix

Stefano Ravagni - 'tanto prima o poi ti buco!'...disse il baco alla noce

SOSTIENICI

RAVEN
Moderatore

Iscritto dal : 04/Settembre/2001
Da: Italy
Status: Offline
Posts: 16.234

Riporta il testo di: RAVEN Rispondi

Topic: Post n° 94.588 - Postato: 21/Aprile/2010 alle 16:32

Ho controllato avviando in madalità provvisoria con supporto di rete...quel file non c'è più....

che dici è possibile che combofix l'abbia eliminato ?

Stefano Ravagni - 'tanto prima o poi ti buco!'...disse il baco alla noce

SOSTIENICI

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 94.604 - Postato: 22/Aprile/2010 alle 10:30

Possibile, anche se non mi pareva dal log... fai una cosa.. crea nella stessa posizione un falso c:\windows\system32\swsnofe.dll (un semplice txt al quale dopo cambi nome ed estensione dandogli appunto il nome swsnofe.dll) e controlla se dopo il riavvio te lo elimina...
Ma poi la scansione completa con gmer sei riuscito a farla?

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

RAVEN
Moderatore

Iscritto dal : 04/Settembre/2001
Da: Italy
Status: Offline
Posts: 16.234

Riporta il testo di: RAVEN Rispondi

Topic: Post n° 94.610 - Postato: 22/Aprile/2010 alle 15:25

si ero riuscito a fare la scansione completa...se serve la rifaccio....

Stefano Ravagni - 'tanto prima o poi ti buco!'...disse il baco alla noce

SOSTIENICI

Altre pagine della discussione:

Rispondi con Editor completo Nuova Discussione

Versione stampabile

TI E' PIACIUTO QUESTO CONTENUTO ?

Suggerisci questa pagina

Supporta il nostro lavoro

Iscriviti ora alla newsletter!

Vai al Forum

Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Versione 5.7 Sviluppata da Stefano Ravagni

Infezioni informatiche e Sicurezza informatica in generale

Topic: SFZDRU Rootkit: come eliminarlo ?

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

Infezioni informatiche e Sicurezza informatica in generale

Topic: SFZDRU Rootkit: come eliminarlo ?

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !