Visualizza lista dei Membri del Forum

Ricerca nel Forum

Aiuto

Login

Infezioni informatiche e Sicurezza informatica in generale

PcPrimiPassi.it FORUM: SICUREZZA INFORMATICA: Infezioni informatiche e Sicurezza informatica in generale

Icona di Messaggio

Topic: trojan Downloader Genric6.WHD

Altre pagine della discussione:

1
2
3
4
5

utente
Principiante

utente
Principiante

utente
Principiante

Iscritto dal : 04/Dicembre/2007
Status: Offline
Posts: 19

Riporta il testo di: utente Rispondi

Topic: Post n° 74.791 - Postato: 08/Dicembre/2007 alle 17:30

grazie questo è il risultato per ... cryptdlgc.dll

F-Secure

6.70.13030.0

2007.12.08

Trojan.Win32.Pakes.bpw

Kaspersky

7.0.0.125

2007.12.08

Trojan.Win32.Pakes.bpw

Microsoft

1.3007

2007.12.08

VirTool:Win32/Obfuscator.Q

Norman	5.80.02	2007.12.07	BZub.gen2
Panda	9.0.0.4	2007.12.08	Adware/AVSystemCare
Prevx1	V2	2007.12.08	TROJAN.VIRTUMONDE
Rising	20.21.42.00	2007.12.07	Trojan.Win32.Pakes.bpw
Sophos	4.24.0	2007.12.08	Troj/BHO-EG

Symantec

10

2007.12.08

Trojan.Adclicker

Webwasher-Gateway

6.6.2

2007.12.08

Win32.Malware.gen!88

***POST MODIFICATO: sono stati lasciati solo gli antivirus che trovano il file infetto***

per quanto riguarda ... admparsef.dll non riesce a riceverlo "0 bytes size received "

Modificato da prisca85 - 14/Gennaio/2008 alle 05:21

prgn
Esperto

prgn
Esperto

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 74.793 - Postato: 08/Dicembre/2007 alle 18:23

Ciao... elimina il ripristino configurazione di sistema... scarica avenger...

Link per il download diretto

lo scarichi... lo metti in una cartella... lo decomprimi... lo fai partire... seleziona
input script manually... clicca sulla lente di ingrandimento... e nella finestra che ti
si apre... inserisci il seguente script:

Segue del testo riportato...

Files to delete:
C:\WINDOWS\system32\evq43q89w.exe

Files to replace with dummy:
c:\windows\system32\cryptdlgc.dll
C:\WINDOWS\system32\admparsef.dll

Fine testo riportato...

Dopo aver incollato lo script... (per copiarlo... selezionalo... Ctrl+C, ... per
incollarlo... clicca nella finestra... e usa Ctrl+V) clicca Done poi sul semaforo...
ed il pc verrà riavviato per eseguire lo script...

Hai seguito tutte le istruzioni precedenti di notwen...?
Fai un'altra cosa... ancora...
Scarica il tool TrendMicro... ed il pattern (lpt871.zip) aggiornato..., il link del
pattern... dopo pochi giorni...non è più valido... e questo a causa del fatto
che il file viene aggiornato...
Scarica il pattern (è un file .zip) e scompattalo nella cartella del tool di
Trendi Micro... dopo di che potrai far partire lo scan...
E facci sapere cosa ti trova...
Inoltre... avenger dovrebbe produrre un log... dove dice se l'operazione
è andata a buon fine... controllalo... e vedi se ci sono stati problemi...
Anche il tool di trend micro... produce un log... con i risultati dello scan...
Avenger... ti sostituirà i file infetti con dei file fantocci... innocui... (mentre
i file infetti... verranno copiati in un archivio di backup)
Facci sapere come è andata... e se tutto è andato a buon fine...
posta il log di hijackthis...
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

utente
Principiante

utente
Principiante

utente
Principiante

Iscritto dal : 04/Dicembre/2007
Status: Offline
Posts: 19

Riporta il testo di: utente Rispondi

Topic: Post n° 74.808 - Postato: 09/Dicembre/2007 alle 12:40

con avenger ho questo risultato

File C:\WINDOWS\system32\evq43q89w.exe not found!
Deletion of file C:\WINDOWS\system32\evq43q89w.exe failed!

Could not process line:
C:\WINDOWS\system32\evq43q89w.exe
Status: 0xc0000034

Could not open file c\windows\system32\cryptdlgc.dll for replacement
Replacement with dummy of file c\windows\system32\cryptdlgc.dll failed!

Could not process line:
c\windows\system32\cryptdlgc.dll
Status: 0xc0000022

Could not open file C:\WINDOWS\system32\admparsef.dll for replacement
Replacement with dummy of file C:\WINDOWS\system32\admparsef.dll failed!

Could not process line:
C:\WINDOWS\system32\admparsef.dll
Status: 0xc0000022

Completed script processing.

*******************

Finished! Terminate.

mentre Trend Micro

trova una serie di file tra cui cryptdlgc.dll e admparsef.dll e riporta errore 94

prgn
Esperto

prgn
Esperto

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 74.811 - Postato: 09/Dicembre/2007 alle 12:57

Ciao...
Fai partire da modalità provvisoria... ed applica ad avenger il seguente
script (come hai fatto precedentemente... ma adesso da modalità provvisoria):

Segue del testo riportato...

Files to delete:
c:\windows\system32\cryptdlgc.dll
C:\WINDOWS\system32\admparsef.dll

Fine testo riportato...

Sarebbe interessante sapere i malware rilevati da sysclean...
Dopo che hai fatto con avenger... controlla che i file siano stati
cancellati... poi... riavvia in modalità provvisoria... e prova se in modalità
provvisoria... sysclean funziona correttamente...
Dacci più indicazioni su i malware che ti trova sysclean... ed i relativi files infetti...

Modificato da prgn - 09/Dicembre/2007 alle 12:59

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

utente
Principiante

utente
Principiante

utente
Principiante

Iscritto dal : 04/Dicembre/2007
Status: Offline
Posts: 19

Riporta il testo di: utente Rispondi

Topic: Post n° 74.827 - Postato: 09/Dicembre/2007 alle 17:10

ciao ho eseguito avenger in mod. prov. ed ecco il log

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qeejxhib

*******************

Script file located at: \??\C:\Program Files\lfjbkrqh.txt
Script file opexxd successfully.

Script file read successfully

Backups directory opexxd successfully at C:\Avenger

*******************

Beginning to process script file:

Could not open file c:\windows\system32\cryptdlgc.dll for deletion
Deletion of file c:\windows\system32\cryptdlgc.dll failed!

Could not process line:
c:\windows\system32\cryptdlgc.dll
Status: 0xc0000022

Could not open file C:\WINDOWS\system32\admparsef.dll for deletion
Deletion of file C:\WINDOWS\system32\admparsef.dll failed!

Could not process line:
C:\WINDOWS\system32\admparsef.dll
Status: 0xc0000022

Completed script processing.

i 2 file .dll sono ancora li

poi sempre in mod. prov. ho avviato sysclean ed ecco il risultato

... UsrClass.dat

... UsrClass.dat.LOG

... NTUSER:DAT

... ntuser.dat.LOG

... NVEExport.mpg

... VTS_01.0001.mpg

... UsrClass.dat

... UsrClass.dat.LOG

... NTUSER.DAT

... ntuser.dat.LOG

c:pagefile.sys

Pourcell Henry The Fairy Queen ... (filr scaricato con emule)

WINDOWS\sistem32\config\default

WINDOWS\sistem32\config\default.LOG

WINDOWS\sistem32\config\SAM

WINDOWS\sistem32\config\SAM.LOG

WINDOWS\sistem32\config\SECURITY

WINDOWS\sistem32\config\SECURITY.LOG

WINDOWS\sistem32\config\software

WINDOWS\sistem32\config\software.LOG

WINDOWS\sistem32\config\system

WINDOWS\sistem32\config\system.LOG

... drivers\oiswftlb.dat

tutti con la dicitura error 94

non sono stati individuati i 2 fille *.dll che peraltro ci sono e che non riesco a cancellare direttamente

prgn
Esperto

prgn
Esperto

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 74.835 - Postato: 09/Dicembre/2007 alle 20:08

Ciao...
Sicuro che fai il tutto da un account amministratore...?
Vai in un account amministratore... vai in start... esegui... e digita la seguente
stringa:

regsvr /u cryptdlgc.dll

(e premi invio per fare accettare...)
poi... allo stesso modo... fai per l'altra dll... usando la seguente stringa:

regsvr /u admparsef.dll

(e premi invio per fare accettare...)
dopo aver fatto questo... (il sistema ti darà un messaggio relativo all'avvenuta
operazione...), segui il percorso dei file... e trova dove si trovano...
e cambiagli nome...
Allora... cerca il file:

c:\windows\system32\cryptdlgc.dll

e rinominalo... in cry.dll
Adesso fai la stessa cosa con l'altro file... cioè... cerca il file:

C:\WINDOWS\system32\admparsef.dll

e rinominalo... in adm.dll
(quando fai queste operazioni... ti conviene disattivare momentaneamente
l'antivirus... che ti potrebbe impedire di toccare i file...)
Adesso... seleziona il file così rinominato... e premi la combinazione di
tasti Shift + Canc (in questo modo.... non passa nemmeno per il cestino)
e fai lo stesso anche per l'altro file...
Se non dovesse farli cancellare in questo modo... ma comunque li fa rinominare...
prova sempre con Avenger... con il seguente script (valido se li hai rinominati
con il nome che ti ho indicato...)

Segue del testo riportato...

Files to delete:
c:\windows\system32\cry.dll
C:\WINDOWS\system32\adm.dll

Fine testo riportato...

Se non riesci... molto probabilmente... c'è qualche ADS di mezzo...
facci sapere che ti do altre indicazioni...
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

utente
Principiante

utente
Principiante

utente
Principiante

Iscritto dal : 04/Dicembre/2007
Status: Offline
Posts: 19

Riporta il testo di: utente Rispondi

Topic: Post n° 74.842 - Postato: 09/Dicembre/2007 alle 23:07

ciao

dunque ho cercato di digitare la stringa nella modalità suggerita ma non veniva riconosciuta come comando (regsvr/u) per cui ho aperto il prompt dei comandi e con il comando dos erase ho cercato di eliminate i 2 file ).

in effetti non sono più presenti nella directory WINDOWS/system32.

ho risolto il problema?

grazie per la Tua PAZIENZA

prgn
Esperto

prgn
Esperto

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Riporta il testo di: prgn Rispondi

Topic: Post n° 74.874 - Postato: 10/Dicembre/2007 alle 15:35

Va beh... quando digiti i comandi... devi sempre stare attento a come li
digiti... (il pc.... non ha modo di distinguere se per errore non hai inserito uno
spazio... ) il comando è regsvr e l'opzione e /u... da come vedo... tu hai
legato tutto... scrivendo... regsvr/u... ed allora non è stato riconosciuto...
Se i files sono stati cancellati... allora bene...
ti consiglio però di postare un altro log di Hijackthis, inoltre... prova una scansione
online... e sarebbe opportuno settare la scansione del proprio antivirus...
in modo che scansioni tutti i file... a prescindere dalla estensione...
Inoltre... scarica Gmer... ( GMER 1.0.13.12551 ) appena parte... fagli
fare uno scan del pc... dalla sezione Rootkit... clicca su copy... (in questo
modo copia in memoria il log generato... ed un successivo incolla... lo incolla dove
vuoi...) in pratica... se dovesse riconoscere qualche rootkit conosciuto...
dovrebbe avvertirti...
Tu... comunque... se non è tanto grande... incollalo in un post... che poi
lo si toglie... altrimenti lo potresti mandare anche direttamente per pm...
ed io metterò in un post le voci interessanti...
Indica anche se ti da delle voci in rosso... e quali sono indicate in rosso
nella schermata rootkit di gmer...
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

utente
Principiante

utente
Principiante

utente
Principiante

Iscritto dal : 04/Dicembre/2007
Status: Offline
Posts: 19

Riporta il testo di: utente Rispondi

Topic: Post n° 74.878 - Postato: 10/Dicembre/2007 alle 16:50

CIAO

eco qui il log di GMER

GMER 1.0.13.12551 - http://www.gmer.net
Rootkit scan 2007-12-10 16:42:55
Windows 5.1.2600 Service Pack 2

***LOG ELIMINATO: non ci sono voci sospette nel log***

ed ecco il log di hijck

Logfile of HijackThis v1.99.1
Scan saved at 16.49.23, on 10/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: (no name) - {009C1909-2CC9-4C15-BBE9-9F33024E66E9} - C:\WINDOWS\system32\admparsef.dll (file missing)

O2 - BHO: (no name) - {E979BEBB-55D7-45EB-8164-D0365544A108} - c:\windows\system32\cryptdlgc.dll (file missing)

O20 - Winlogon Notify: wezvrqlk - cryptdlgc.dll (file missing)

O4 - HKLM\..\Run: [LanzarL2007] "C:\DOCUME~1\orazio\IMPOST~1\Temp\{A410AAA3-43B6-491E-8C48-1744EE3A5CA7}\{D1DA2B A7-2592-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe" /SETUP:"/l0x0010"

***LOG ELIMINATO: sono state lasciate solo le voci sospette***

Modificato da prisca85 - 14/Gennaio/2008 alle 05:36

utente
Principiante

utente
Principiante

utente
Principiante

Iscritto dal : 04/Dicembre/2007
Status: Offline
Posts: 19

Riporta il testo di: utente Rispondi

Topic: Post n° 74.879 - Postato: 10/Dicembre/2007 alle 16:52

a dimenticavo nessuna voce in rosso

grazie

Altre pagine della discussione:

1
2
3
4
5

Rispondi con Editor completo Nuova Discussione

Versione stampabile

Versione stampabile

TI E' PIACIUTO QUESTO CONTENUTO ?

Suggerisci questa pagina

Suggerisci questa pagina

Supporta il nostro lavoro

Supporta il nostro lavoro

Iscriviti ora alla newsletter!

Vai al Forum

Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,051 secondi.

Versione 5.7 Sviluppata da Stefano Ravagni