| Autore |
 Discussione  |
|
|
Peon
Junior Member
62 Messaggi |
 Inserito il - 14/09/2009 : 15:25:30
|
Ecco il log:
htt*://[www].filefactory[.com]/file/ah8539h/n/hijackthis_log
Il problema evidente e':
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
non riesco a farci niente... ho fatto scansioni con superantispyware stinger spyboot malwarebytes ma il problema non si risolve, l'unica cosa che sono riuscito a fare e stato NEGARE la modifica al registro con Spyboot con la conseguenza che adesso ogni 2 secondi appare la finestrella che mi avvisa di aver negato la modifica di userinit.
sono 2 giorni che ci picchio la testa ma non riesco proprio a risolvere... Chi mi aiuta?
ringrazio in anticipo per l'attenzione
|
Modificato da - Peon in Data 14/09/2009 15:27:04
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 14/09/2009 : 16:03:57
|
Buona sera, è un rootkit, vediamo se riusciamo ad eliminarlo in questo modo, segui la procedura:
scarica ComboFix
Riavvia il computer in modalità provvisoria (segui lo specchietto)
Citazione:
Windows XP e Windows 2003
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows XP o Windows 2003.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
Se hai delle icone di collegamento a programmi sul desktop, crea una cartella apposita e spostale al suo interno
Doppio click su combofix.exe (o nome nuovo) e segui le istruzioni passo a passo, ricordati di dare invio dopo i vari passaggi se richiesto
Quando avrà finito creerà il log C:\combofix.txt salvalo e postalo come gli altri report.
Nota bene : durante la scansione verranno creati dei file sul desktop e scompariranno le icone, potrebbe succedere che qualche programma ti chiede cosa fare per la rimozione dei drivers, in questo caso accossenti, si tratta probabilmente di drivers infetti.
Il programma creerà la cartella C:\QooBox ed all'interno della stessa verrà posizionato un backup dei files rimossi ed un file di backup del registro di windows chiamato Hiv-backup.
Disattiva l'antivirus e i programmi anti-spyware
Disconnetti il pc da internet
NON TOCCARE TASTIERA E MOUSE MENTRE COMBOFIX LAVORA
per postare il report utilizza questo servizio htt*://[www].wikisend[.com]
|
 |
|
|
Peon
Junior Member
62 Messaggi |
Inserito il - 14/09/2009 : 16:45:39
|
Prima di tutto Grazie Death che sei sempre presente e disponibile
ho fatto tutto quello che mi hai detto e forse ci siamo
eccoti il report:
htt*://wikisend[.com]/download/924348/dfs.txt
|
|
|
|
Peon
Junior Member
62 Messaggi |
Inserito il - 14/09/2009 : 18:37:58
|
gia che ci sono metto il nuovo log di Hijackthis
htt*://wikisend[.com]/download/477664/hijackthis.log |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 15/09/2009 : 08:25:23
|
Buon giorno, combofix ha eliminato il file in questione, ora segui la procedura:
Apri il Blocco Note copia e incolla queste righe:
KillAll::
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8cf79e6e-8aeb-11dd-8b70-0011d8276c7d}]
Salva il file sul Desktop come CFScript.txt
Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix e lascialo lavorare seguendo le indicazioni prededenti e posta il nuovo report di comnbofix.
Poi, tenendo premuto il tasto SHIFT inserisci uno alla volta ripetendo la procedura, i tuoi supporti usb, visualizza i files nascosti
Citazione:
Windows XP
Tasto destro su Start–>Esplora–>Menù Strumenti–>Opzioni Cartella–>Visualizzazione
-Mettere la spunta a ‘Visualizza tutti i files’ o “Visualizza cartelle e files nascosti”
-Togliere la spunta a ‘Non visualizzare cartelle e files di sistema’ o “Nascondi i files protetti di sistema”
verifica che non ci sia su nessun supporto il file autorun.inf, se lo trovi eliminalo.
Sono dubbioso su questo elemento
\shell\1040\command - g:\winopen.exe /max \Welcome.pdf
\shell\pdf\command - reader709.exe
winopen.exe è legittimo, per quanto concerne reader709.exe non trovo corrispondenze, quindi con la funzione cerca dovresti vedere se trovi il file in questione, sempre abilitando sul disco di sistema la visualizzazione dei files nascosti, se lo trovi segui questa procedura:
vai su questo sito htt*://[www].virustotal[.com]/it/ clicca su sfoglia e cerca questo file nel tuo computer (vedi sopra) clicca su invia file, il sito scansionerà il file e ti rilascerà un report, salvalo in formato testo fino alla riga md5 compresa e postalo sul forum. |
Modificato da - death in data 15/09/2009 08:26:01 |
|
|
|
Peon
Junior Member
62 Messaggi |
Inserito il - 15/09/2009 : 15:43:00
|
allora log di combofix:
htt*://wikisend[.com]/download/462850/ComboFix.txt
file Autorun non ne ho trovati per ora, ma ho tanti supporti usb, quindi controllero'
non ho trovato nessun reader709.exe 
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 15/09/2009 : 16:19:31
|
Buona sera, la chiave è stata rimossa, e non ho piu' traccia del reader, il pc sembra pulito, segui la procedura e vediamo se risulta ancora qualcosa:
scarica Ccleaner
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo (senza la toolbar aggiuntiva)
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
4) NON eseguire le pulizie sul registro
poi
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1.1) seleziona la casella Select All
2.1) clicca sul pulsante Empty selected
3.1) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)
poi esegui questa scansione on-line
scansione on line con Kaspersky
1. Clicca su Kaspersky Online Scanner
2. Clicca su Accept
3. Partirà un Update
4. Vai nella colonna di sinistra dov'è scritto Scan e scegli my computer
5. Al termine della scansione in fondo a destra trovi la voce View Scan Report. Cliccaci sopra e poi clicca su Save "Save Report As" e salvalo sul desktop.
La scansione richiede il java della sun e l'accettazione del controllo activex
Per effettuare la scansione, portati sulla pagina di kaspersky, devi avere solo quella pagina aperta, disattiva il tuo antivirus, lancia la scansione, dopo che avrà caricato tutti i files del database e comincerà a scansionare puoi anche disconnettere il pc da internet e lasciarlo lavorare.
Posta il report della scansione. |
|
|
|
Peon
Junior Member
62 Messaggi |
Inserito il - 16/09/2009 : 15:10:47
|
ho fatto tutto ma purtroppo la scansione di kaspersky si e' fermata all'81% e non ho potuto piu' fare niente... fino a quel momento non aveva trovato niente
grazie ancora Death per l'aiuto |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 16/09/2009 : 20:16:27
|
Buona sera, prova a ripetere la scansione quando hai tempo, in ogni caso se eri oltre l'80% dubito che ci fosse qualcosa nei files di sistema, tieni sotto controllo il pc e fammi sapere nei prossimi giorni se hai ancora problemi, segui queste indicazioni finali:
da start >>>> esegui >>>> digita ComboFix /u per rimuovere combofix (c'e' uno spazio vuoto dopo combofix)verifica che la cartella C:\QooBox sia stata rimossa. |
|
|
| |
Discussione |
|
userinit \ sdra64
Forum Bloccato
