| Autore |
 Discussione  |
|
Alex.n
Senior Member
235 Messaggi |
 Inserito il - 22/07/2008 : 22:47:16
|
Ciao a tutti, ok fatto questo è il testo uscito
Logfile of The Avenger Version 2.0, (c) by Swandog46
htt*://swandog46.geekstogo[.com]
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\Documents and Settings\AN\Impostazioni locali\Temp\.tt15.tmp" deleted successfully.
Folder "C:\Documents and Settings\AN\Dati applicazioni\rhc5dtj0eec9\Quarantine\Packages" deleted successfully.
Folder "C:\Documents and Settings\AN\Dati applicazioni\rhc5dtj0eec9\Quarantine\BrowserObjects" deleted successfully.
Folder "C:\Documents and Settings\AN\Dati applicazioni\rhc5dtj0eec9\Quarantine\Autorun\StartMenuCurrentUser" deleted successfully.
Folder "C:\Documents and Settings\AN\Dati applicazioni\rhc5dtj0eec9\Quarantine\Autorun\StartMenuAllUsers" deleted successfully.
Folder "C:\Documents and Settings\AN\Dati applicazioni\rhc5dtj0eec9\Quarantine\Autorun\HKLM\RunOnce" deleted successfully.
Folder "C:\Documents and Settings\ANO\Dati applicazioni\rhc5dtj0eec9\Quarantine\Autorun\HKLM" deleted successfully.
Folder "C:\Documents and Settings\AN\Dati applicazioni\rhc5dtj0eec9\Quarantine\Autorun\HKCU\RunOnce" deleted successfully.
Error: folder "C:\Documents and Settings\AN\Dati applicazioni\rhc5dtj0eec9\Quarantine\Autorun\HKLM" not found!
Deletion of folder "C:\Documents and Settings\AN\Dati applicazioni\rhc5dtj0eec9\Quarantine\Autorun\HKLM" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: folder "C:\Documents and Settings\AN\Dati applicazioni\rhc5dtj0eec9\Quarantine\Autorun\HKCU\RunOnce" not found!
Deletion of folder "C:\Documents and Settings\AN\Dati applicazioni\rhc5dtj0eec9\Quarantine\Autorun\HKCU\RunOnce" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Folder "C:\Documents and Settings\AN\Dati applicazioni\rhc5dtj0eec9\Quarantine\Autorun\HKCU" deleted successfully.
Folder "C:\Documents and Settings\AN\Dati applicazioni\rhc5dtj0eec9\Quarantine\Autorun" deleted successfully.
Folder "C:\Documents and Settings\AN\Dati applicazioni\rhc5dtj0eec9\Quarantine" deleted successfully.
Folder "C:\Documents and Settings\AN\Dati applicazioni\rhc5dtj0eec9" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
|
 |
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 22/07/2008 : 22:54:21
|
Buona sera a tutti, non abbiamo finito, dammi solo tempo di verificare domani le ultime cose, poi per cortesia posta i log secondo regolamento, come hai postato il primo di cureit.
EDIT
Segui queste istruzioni:
Rifai la scansione con Malewarebytes e rimuovi quello che trova, poi posta il report secondo il regolamento.
Poi scarica questo programma:
scarica Systemscan Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Il programma alla fine della scansione ti rilascerà un report in formato file di testo, salvalo e postalo sul forum secondo regolamento, lo stesso report lo trovi sul desktop nella cartella systemscan. |
Modificato da - death in data 23/07/2008 08:01:21 |
|
|
|
Alex.n
Senior Member
235 Messaggi |
Inserito il - 23/07/2008 : 10:39:40
|
Ciao a tutti, ecco il log della scansione fatta con Malware che ho cancellato.
htt*://[www].savefile[.com]/files/1683772
Altra scansione fatta da suspectfile
htt*://[www].savefile[.com]/files/1683778
Continuo ad avere problemi, nel senso che mi blocca la barra di start, non riuscndo a fare più nessuna operazione per alcuni minuti, inoltre ho notato che se vado in una cartella dove ho delle foto, non vedo queste in anteprima.
Ciao
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 23/07/2008 : 13:38:13
|
Buon giorno a tutti, riesegui avenger, nel box bianco copia e incolla questo testo
Citazione:
registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\rhc5dtj0eec9
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier
registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | smrhc5dtj0eec9
Spunta "Automatically disable any rootkits found"
clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
posta il log di avenger che trovi in c:\
Poi rifai la scansione con malewarebytes e rimuovi tutto quello che trova e posta il log. |
Modificato da - death in data 23/07/2008 13:40:10 |
|
|
|
Alex.n
Senior Member
235 Messaggi |
Inserito il - 23/07/2008 : 22:04:06
|
Ciao a tutti, questo è il primo log della scansione di Malware che non ha trovato nulla.
htt*://[www].savefile[.com]/files/1684856
Questo è il log di Avenger.
htt*://[www].savefile[.com]/files/1684860
Persiste il problema delle foto che non vedo, non parte se cliccata la funzione visualizza come presentazione, per il resto è migliorato quasi tutto.
inoltre mi è sucesso una cosa strana..nel pannello delle connessioni di rete ho trovato una connessione denominata internet, che fa riferimento al modem del pc, mi ha chiuso un paio di volte la connessione attiva ,l'ho rimossa, e per ora non mi ha più creato problemi.
Speriamo bene..
ciao
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/07/2008 : 00:05:11
|
esegui avenger e nella finestra copia/incolla:
Citazione:
files to delete:
C:\WINDOWS\temp\73.tmp
C:\DOCUME~1\ANICOD~1\IMPOST~1\Temp\65754.exe
C:\DOCUME~1\ANICOD~1\IMPOST~1\Temp\487530A9.jpg
C:\DOCUME~1\ANICOD~1\IMPOST~1\Temp\487530AA.jpg
poi, dovresti fare anche un altro controllo..
visualizza file e cartelle nascoste ed esegui esattamente questa procedura:
apri un file di testo txt, clicca su file e poi su apri
nella casella tipo di file inserisci tutti i file
e apri C:\DOCUME~1\ANICOD~1\IMPOST~1\Temp\setregion.bat
clicca su file => salva con nome => salvalo in c:\ come prova1.txt
carica il file di testo su savefile e inviaci il link con un messaggio privato (a me o a deah, è indifferente)
|
Modificato da - Sibilla in data 24/07/2008 00:06:33 |
|
|
|
Alex.n
Senior Member
235 Messaggi |
Inserito il - 24/07/2008 : 15:17:44
|
Ciao Sibilla, non riesco ad eseguire Avenger in quanto mi esce Error:
invalid scrip. a walid script must begin with a command directive a borting execution.
Anche per la seconda prova ho dei problemi:
Presumo che in questa digitura ci sai qualche imprecisione,
C:\DOCUME~1\ANICOD~1\IMPOST~1\Temp\setregion.bat
in quanto mi indica solo dei piccoli rettangoli.
Inoltre confermo problema con la connessione "internet" ho dovuto rimuoverla manualmente almeno 8 volte, prima di potermi collegare
Ciao |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 24/07/2008 : 15:21:11
|
Buon giorno a tutti, lancia avenger e nel box bianco copia questo testo
Citazione:
files to delete:
C:\WINDOWS\temp\73.tmp
C:\DOCUME~1\ANICOD~1\IMPOST~1\Temp\65754.exe
C:\DOCUME~1\ANICOD~1\IMPOST~1\Temp\487530A9.jpg
C:\DOCUME~1\ANICOD~1\IMPOST~1\Temp\487530AA.jpg
Hai dimenticato di copiare files to delete:
Poi per il file bat, caricamelo su saveme e mandami il link in privato, provo ad aprirlo io questa sera. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/07/2008 : 17:35:37
|
Citazione:
Messaggio inserito da death
Poi per il file bat, caricamelo su saveme e mandami il link in privato, provo ad aprirlo io questa sera.
[OT]
death, complimenti per il coraggio 
...e se invece di farti mandare un file bat (che dovresti comunque aprire..) si passasse ad un file di testo?
(se mi dici che al tuo pc gli fa un baffo mi senti...  )
[/OT]
X alex: quando apri il file bat salvalo come:
nome: "prova.txt"
tipo di file: file di testo.
Accertati che sia salvato come file di testo e caricalo su savefile come richiesto.. Grazie
|
|
|
|
Alex.n
Senior Member
235 Messaggi |
Inserito il - 24/07/2008 : 20:14:21
|
Ciao Sibilla, ok fatto e postato in privato,vi interessa il file di avenger...
ciao |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/07/2008 : 20:17:23
|
il file contiene un semplice "SET REGION=South"
posta un nuovo systemscan e vediamo se si è riformato l'exe. La connessione compare ancora? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 24/07/2008 : 21:13:44
|
Buona sera a tutti.. Citazione:
se mi dici che al tuo pc gli fa un baffo mi senti
non solo gli fà un baffo..ma linux se lo mangia pure il bat ..pensavi che lo aprissi con xp.... |
|
|
|
Alex.n
Senior Member
235 Messaggi |
Inserito il - 24/07/2008 : 22:54:45
|
Ciao a tutti, ecco il log fatto con systemscan.
htt*://[www].savefile[.com]/files/1687097
Ho capito che la "connessione" una volta cancellata non compare fino all'accensione del giorno successivo del pc, e dopo circa 10 minuti di navigazione scollega il collegamento predefinito.
Ciao |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/07/2008 : 23:08:33
|
esegui avenger e nella finestra copia/incolla:
Citazione:
files to delete:
C:\DOCUME~1\ANICOD~1\IMPOST~1\Temp\zzzfja.exe
C:\WINDOWS\system32\sysrest.sys
C:\WINDOWS\system32\sysrest32.exe
C:\WINDOWS\tasks\laoqoe.job
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | zzzfja.exe
registry keys to delete:
HKLM\system\currentcontrolset\services\sysrest.sys
HKLM\system\controlset001\services\sysrest.sys
HKLM\system\controlset002\services\sysrest.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSREST.SYS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SYSREST.SYS
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\Enum\Root\LEGACY_SYSREST.SYS
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. [u]Posta il report rilasciato
|
Modificato da - Sibilla in data 24/07/2008 23:43:26 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/07/2008 : 23:40:27
|
[OT]
Citazione:
Messaggio inserito da death
Buona sera a tutti.. Citazione:
se mi dici che al tuo pc gli fa un baffo mi senti
non solo gli fà un baffo..ma linux se lo mangia pure il bat ..pensavi che lo aprissi con xp....
ok caro, allora deduco che mi aiuterai ad analizzare qualche file infetto, se necessario  così vediamo quali case non lo riconoscono..
Crea una cartella chiamata Sibilla... già che ti trovi...
[/OT] |
|
|
|
Discussione |
|
Spyware
Forum Bloccato
