Precedente :: Successivo |
Autore |
Messaggio |
Smjert Dio maturo
Registrato: 01/04/06 17:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 24 Nov 2007 23:01 Oggetto: |
|
|
AiAi hai un rootkit.
Scarica Avenger e decomprimilo sul desktop.
Avvialo.
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte qui sotto:
Citazione: | files to delete:
C:\WINDOWS\System32\Drivers\akx7iuny.SYS
C:\WINDOWS\System32\Drivers\jfdcd.sys
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs |
Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente.
Segui poi questa guida e riporta qua il link.
Posta il log di avenger (che si chiama Avenger.txt e si dovrebbe trovare in C:\) |
|
Top |
|
|
titti83 Mortale pio
Registrato: 22/11/07 17:09 Messaggi: 24
|
Inviato: 25 Nov 2007 14:08 Oggetto: |
|
|
Questo è il risultato di suspectfile :
http://www.freefilehosting.net/download/NDA4Njk=
Per quanto riguarda il log di Avenger non l'ho trovato.. ho provato anche con l'opzione cerca , ma mi trova solo una cartella in c:\ che non contiene file .txt.. boh devo riprovare con Avenger?? |
|
Top |
|
|
titti83 Mortale pio
Registrato: 22/11/07 17:09 Messaggi: 24
|
Inviato: 25 Nov 2007 14:33 Oggetto: |
|
|
ho riprovato con avenger, ma dopo aver fatto la scansione con suspectfile ed ecco il log :
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Error: could not create zip file.
Error code: 0
//////////////////////////////////////////
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\okxipptj
*******************
Script file located at: \??\C:\Documents and Settings\vmdjykhs.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\System32\Drivers\akx7iuny.SYS not found!
Deletion of file C:\WINDOWS\System32\Drivers\akx7iuny.SYS failed!
Could not process line:
C:\WINDOWS\System32\Drivers\akx7iuny.SYS
Status: 0xc0000034
File C:\WINDOWS\System32\Drivers\jfdcd.sys deleted successfully.
Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.
Completed script processing.
*******************
Finished! Terminate. |
|
Top |
|
|
Smjert Dio maturo
Registrato: 01/04/06 17:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 25 Nov 2007 15:20 Oggetto: |
|
|
Hai un po' di file sospetti..
Clicca con li destro su questo file C:\auobcnnf.bat e poi vai su Modifica (ti si aprirà una finestra blocco note), copiami qua quello che c'è scritto (forse è di avenger, ma meglio essere sicuri).
Carica poi questo file C:\WINDOWS\system32\drivers\aefdirmm.sys su http://www.virustotal.com/it/ (clicca Sfoglia, seleziona il file e poi Invia File, aspetta che tutti gli antivirus abbiano fatto la scansione poi posta il risultato).
Stessa cosa con C:\WINDOWS\system32\akrip32.dll
Se non riesci a vedere quei file:
Apri una cartella qualunqua, clicca su Strumenti->Opzioni cartella->Visualizzazione->metti la spunta su "Visualizza file e cartelle nascosti", poi più sotto togli la spunta a "Nascondi i file protetti di sistema".
Applica poi OK. |
|
Top |
|
|
titti83 Mortale pio
Registrato: 22/11/07 17:09 Messaggi: 24
|
Inviato: 25 Nov 2007 15:28 Oggetto: |
|
|
allora da auobcnnf.bat:
@ECHO OFF
cd %systemdrive%\
type %systemdrive%\avenger\*.reg >> %systemdrive%\backup.reg
del /q %systemdrive%\avenger\*.reg
if exist %systemdrive%\avenger\backup*.zip move /y %systemdrive%\avenger\backup*.zip %systemdrive%\
if exist %systemdrive%\backup.zip move /y %systemdrive%\backup.zip "%systemdrive%\backup-%date:/=.%-%time::=.%.zip"
move /y backup.reg %systemdrive%\avenger\
copy /y avenger.txt %systemdrive%\avenger\
for %%a in (c d e f g h i j k l m n o p q r s t u v w x y z) do if exist %%a:\avenger attrib -r -h -s %%a:\avenger\* /S /D & zip -r -u -m "%systemdrive%\backup.zip" %%a:\avenger\* & rmdir /q /s %%a:\avenger
mkdir %systemdrive%\avenger
move /y backup*.zip %systemdrive%\avenger\
del zip.exe
del avexport.bat
del reboot.exe
del reboot.bat
echo REGEDIT4 >> rem.reg
echo. >> rem.reg
echo [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] >> rem.reg
echo "vynobwpg"=- >> rem.reg
regedit.exe /s rem.reg
del rem.reg
del C:\WINDOWS\system32\drivers\aefdirmm.sys
start notepad.exe avenger.txt
del "C:\auobcnnf.bat" |
|
Top |
|
|
titti83 Mortale pio
Registrato: 22/11/07 17:09 Messaggi: 24
|
Inviato: 25 Nov 2007 15:37 Oggetto: |
|
|
risultato del primo :
File has already been analysed:
MD5: 4ad5d5229f85f42e873fda98190b2f19
Date: 2007.11.15 00:11:41 (CET) [>10D]
Results: 1/32
Permalink: resultado.html?0097c43c2f9cf707c073dac44be2e316 |
|
Top |
|
|
titti83 Mortale pio
Registrato: 22/11/07 17:09 Messaggi: 24
|
Inviato: 25 Nov 2007 15:50 Oggetto: |
|
|
File akrip32.dll ricevuto il 2007.11.25 15:46:49 (CET)
Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2007.11.24.0 2007.11.23 -
AntiVir 7.6.0.34 2007.11.23 -
Authentium 4.93.8 2007.11.24 -
Avast 4.7.1074.0 2007.11.23 -
AVG 7.5.0.503 2007.11.24 -
BitDefender 7.2 2007.11.25 -
CAT-QuickHeal 9.00 2007.11.24 -
ClamAV 0.91.2 2007.11.25 -
DrWeb 4.44.0.09170 2007.11.25 -
eSafe 7.0.15.0 2007.11.21 -
eTrust-Vet 31.3.5324 2007.11.24 -
Ewido 4.0 2007.11.25 -
FileAdvisor 1 2007.11.25 -
Fortinet 3.14.0.0 2007.11.25 -
F-Prot 4.4.2.54 2007.11.23 -
F-Secure 6.70.13030.0 2007.11.24 -
Ikarus T3.1.1.12 2007.11.25 -
Kaspersky 7.0.0.125 2007.11.25 -
McAfee 5170 2007.11.23 -
Microsoft 1.3007 2007.11.25 -
NOD32v2 2684 2007.11.25 -
Norman 5.80.02 2007.11.23 -
Panda 9.0.0.4 2007.11.25 -
Prevx1 V2 2007.11.25 -
Rising 20.19.61.00 2007.11.25 -
Sophos 4.23.0 2007.11.25 -
Sunbelt 2.2.907.0 2007.11.24 -
Symantec 10 2007.11.25 -
TheHacker 6.2.9.141 2007.11.24 -
VBA32 3.12.2.5 2007.11.23 -
VirusBuster 4.3.26:9 2007.11.24 -
Webwasher-Gateway 6.0.1 2007.11.25 -
Informazioni addizionali
File size: 39810 bytes
MD5: 472a45a54f4720a2a0745dc49118ab12
SHA1: b7fe37f1d6a68c2d70ccb929dfcb27c25bf2c81a
packers: UPX
packers: UPX
packers: UPX
aiuto cosa ho sbagliato? |
|
Top |
|
|
Smjert Dio maturo
Registrato: 01/04/06 17:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 25 Nov 2007 16:07 Oggetto: |
|
|
Mi sa che hai fatto casino con le scansioni su virustotal, prova a rifare l'upload di quel file .sys (ma cmq ti segnava qualche risultato in rosso?). |
|
Top |
|
|
titti83 Mortale pio
Registrato: 22/11/07 17:09 Messaggi: 24
|
Inviato: 25 Nov 2007 16:18 Oggetto: |
|
|
Ecco l'ho rifatto.. non so se è giusto fare così :(qui' c'è un risultato in rosso)
Antivirus Version Last Update Result
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - BlockReason.0
o così :
Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2007.11.24.0 2007.11.23 -
AntiVir 7.6.0.34 2007.11.23 -
Authentium 4.93.8 2007.11.24 -
Avast 4.7.1074.0 2007.11.23 -
AVG 7.5.0.503 2007.11.24 -
BitDefender 7.2 2007.11.25 -
CAT-QuickHeal 9.00 2007.11.24 -
ClamAV 0.91.2 2007.11.25 -
DrWeb 4.44.0.09170 2007.11.25 -
eSafe 7.0.15.0 2007.11.21 -
eTrust-Vet 31.3.5324 2007.11.24 -
Ewido 4.0 2007.11.25 -
FileAdvisor 1 2007.11.25 -
Fortinet 3.14.0.0 2007.11.25 -
F-Prot 4.4.2.54 2007.11.23 -
F-Secure 6.70.13030.0 2007.11.24 -
Ikarus T3.1.1.12 2007.11.25 -
Kaspersky 7.0.0.125 2007.11.25 -
McAfee 5170 2007.11.23 -
Microsoft 1.3007 2007.11.25 -
NOD32v2 2684 2007.11.25 -
Norman 5.80.02 2007.11.23 -
Panda 9.0.0.4 2007.11.25 -
Prevx1 V2 2007.11.25 -
Rising 20.19.61.00 2007.11.25 -
Sophos 4.23.0 2007.11.25 -
Sunbelt 2.2.907.0 2007.11.24 -
Symantec 10 2007.11.25 -
TheHacker 6.2.9.141 2007.11.24 -
VBA32 3.12.2.5 2007.11.23 -
VirusBuster 4.3.26:9 2007.11.25 -
Webwasher-Gateway 6.0.1 2007.11.25 -
Informazioni addizionali
File size: 60416 bytes
MD5: 4ad5d5229f85f42e873fda98190b2f19
SHA1: 7e1bc7c4f0324c0ad58b829b2524e0cb617ef158 |
|
Top |
|
|
Smjert Dio maturo
Registrato: 01/04/06 17:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 25 Nov 2007 16:42 Oggetto: |
|
|
Cosa vuol dire è giusto così o così?
Mi sto perdendo...
Cosa hai fatto per avere quei due risultati? |
|
Top |
|
|
titti83 Mortale pio
Registrato: 22/11/07 17:09 Messaggi: 24
|
Inviato: 25 Nov 2007 17:11 Oggetto: |
|
|
dunque una volta che stavo su virustotal ho fatto l'upload del file e poi avevo due bottoni : show last report e reanalyse file now... li ho provati tutti e due e quelli sono i due risultati..boh |
|
Top |
|
|
Smjert Dio maturo
Registrato: 01/04/06 17:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 25 Nov 2007 22:10 Oggetto: |
|
|
Ma una volta fatto l'upload del file devi aspettare... finchè non c'è scritto Finished (o Finito).
Dopodichè ti basta selezionare le righe e copiarmele qua. |
|
Top |
|
|
titti83 Mortale pio
Registrato: 22/11/07 17:09 Messaggi: 24
|
Inviato: 26 Nov 2007 14:09 Oggetto: |
|
|
va bene così???
File aefdirmm.sys ricevuto il 2007.11.26 13:55:48 (CET)
Risultato: 0/32 (0%)
Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2007.11.24.0 2007.11.26 -
AntiVir 7.6.0.34 2007.11.26 -
Authentium 4.93.8 2007.11.24 -
Avast 4.7.1074.0 2007.11.25 -
AVG 7.5.0.503 2007.11.25 -
BitDefender 7.2 2007.11.26 -
CAT-QuickHeal 9.00 2007.11.24 -
ClamAV 0.91.2 2007.11.26 -
DrWeb 4.44.0.09170 2007.11.26 -
eSafe 7.0.15.0 2007.11.21 -
eTrust-Vet 31.3.5327 2007.11.26 -
Ewido 4.0 2007.11.26 -
FileAdvisor 1 2007.11.26 -
Fortinet 3.14.0.0 2007.11.26 -
F-Prot 4.4.2.54 2007.11.25 -
F-Secure 6.70.13030.0 2007.11.26 -
Ikarus T3.1.1.12 2007.11.26 -
Kaspersky 7.0.0.125 2007.11.26 -
McAfee 5170 2007.11.23 -
Microsoft 1.3007 2007.11.26 -
NOD32v2 2686 2007.11.26 -
Norman 5.80.02 2007.11.26 -
Panda 9.0.0.4 2007.11.25 -
Prevx1 V2 2007.11.26 -
Rising 20.20.02.00 2007.11.26 -
Sophos 4.23.0 2007.11.26 -
Sunbelt 2.2.907.0 2007.11.24 -
Symantec 10 2007.11.26 -
TheHacker 6.2.9.141 2007.11.24 -
VBA32 3.12.2.5 2007.11.23 -
VirusBuster 4.3.26:9 2007.11.25 -
Webwasher-Gateway 6.0.1 2007.11.26 -
Informazioni addizionali
File size: 60416 bytes
MD5: 4ad5d5229f85f42e873fda98190b2f19
SHA1: 7e1bc7c4f0324c0ad58b829b2524e0cb617ef158 |
|
Top |
|
|
titti83 Mortale pio
Registrato: 22/11/07 17:09 Messaggi: 24
|
Inviato: 27 Nov 2007 17:10 Oggetto: |
|
|
help me , please! |
|
Top |
|
|
Sante62 Dio maturo
Registrato: 27/06/07 16:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 27 Nov 2007 19:40 Oggetto: |
|
|
Non si vede nulla dai logs...
Hai ancora problemi col PC?
In caso affermativo cosa riscontri ancora?
Comunque collegati a Kaspersky online scanner e procedi con la scansione estesa.
Quando sta scaricando i file necessari, disattiva momentaneamente l'antivirus ed eventualmente anche il firewall. Non appena inizia la scansione del PC disconnettiti da internet.
Alla fine carica il risultato su www.freefilehosting.net, riportando quì il link che ti viene assegnato. |
|
Top |
|
|
titti83 Mortale pio
Registrato: 22/11/07 17:09 Messaggi: 24
|
Inviato: 29 Nov 2007 12:23 Oggetto: |
|
|
presa dalla disperazione e non sapendo più cosa fare ho scaricato sophos anti-rootkit .. e bene, anzi no male ..mi trovava 4 file due li cancella e gli altri due no.
dice che sono "hidden registry value" e che sono localizzati in hkey_local_machine\software.. ecc ecc
è possibile che siano dei rootkit? e se si come faccio a cancellarli? |
|
Top |
|
|
ste_95 Dio maturo
Registrato: 03/08/07 13:41 Messaggi: 1920 Residenza: Italy
|
Inviato: 29 Nov 2007 13:28 Oggetto: |
|
|
Puoi riportare tutta la posizione delle chiavi/valori? |
|
Top |
|
|
|