| Precedente :: Successivo |
| Autore |
Messaggio |
webmasterone
Mortale pio
Registrato: 29/04/11 21:47
Messaggi: 26
|
 Inviato: 30 Apr 2011 23:12 Oggetto: |
 |
|
niente
Combofix ha rilevato sospetta attvità rootkit
riavviamo............ |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 30 Apr 2011 23:28 Oggetto: |
|
|
Scarica TDSSKiller.zip sul desktop:
link
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su "Continue".
Se è richiesto il riavvio, acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.
Per ultimo:
Segui le istruzioni di questo topic per usare Systemscan:
http://forum.zeusnews.com/viewtopic.php?p=210548#210548
Posta i log con le solite modalità.
N.B:
Disistalla Combofix. |
|
| Top |
|
|
webmasterone
Mortale pio
Registrato: 29/04/11 21:47
Messaggi: 26
|
|
| Top |
|
|
webmasterone
Mortale pio
Registrato: 29/04/11 21:47
Messaggi: 26
|
| Inviato: 01 Mag 2011 00:19 Oggetto: |
|
|
| R16 ha scritto: |
N.B:
Disistalla Combofix. |
prima di lanciarlo, eseguo sempre "OTC by OldTimer" e rimuovo la cartella di backup creata da Combofix
non è sufficiente ? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 01 Mag 2011 12:24 Oggetto: |
|
|
Avrei voluto che eliminassi Combofix, prima di fare la scansione con Systemsca.... ma la colpa è mia che non te l'ho detto.
Comunque elimina Combofix con OTC by OldTimer.
Dammi il tempo di analizzare Systemscan. |
|
| Top |
|
|
webmasterone
Mortale pio
Registrato: 29/04/11 21:47
Messaggi: 26
|
| Inviato: 01 Mag 2011 12:44 Oggetto: |
|
|
allora aspetta un attimo
faccio ancora un po' di pulizia
rimuovo combofix
e riavvio system scan
poi ti riallego qui i log |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 01 Mag 2011 14:33 Oggetto: |
|
|
Ciao Web.
Quando è finita la scansione di Systemscan, (non postare il log) esegui queste indicazioni:
Avvia nuovamente SystemScan
Metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed
clicca su Removal Script .
Nel riquadro inserisci il seguente script: (fai il copia-incolla)
| Codice: | Folders to delete:
C:\DOCUME~1\mario\IMPOST~1\Temp\F-Secure
C:\Programmi\Spybot - Search & Destroy
C:\Programmi\Unlocker
C:\Documents and Settings\mario\Dati applicazioni\Roxio
C:\Documents and Settings\mario\Dati applicazioni\TeamViewer
C:\Documents and Settings\mario\Dati applicazioni\Roxio Log Files
C:\Documents and Settings\mario\Impostazioni locali\Dati applicazioni\LogMeIn
C:\WINDOWS\temp |
e clicca Proceed with removal .
Aspetta la fine della rimozione.
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il contenuto del file C:\[u]Avenger.txt [/u]
Poi:
Controlla il contenuto di queste cartelle, seguendo il percorso:
C:\WINDOWS\system32\BUFATKJWFZQ
C:\WINDOWS\system32\VJRHAVAP
C:\WINDOWS\system32\SZJMDXXQ |
|
| Top |
|
|
webmasterone
Mortale pio
Registrato: 29/04/11 21:47
Messaggi: 26
|
| Inviato: 01 Mag 2011 16:33 Oggetto: |
|
|
| R16 ha scritto: | Ciao Web.
Quando è finita la scansione di Systemscan, (non postare il log) esegui queste indicazioni:
Avvia nuovamente SystemScan
Metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed
clicca su Removal Script .
Nel riquadro inserisci il seguente script: (fai il copia-incolla)
| Codice: | Folders to delete:
C:\DOCUME~1\mario\IMPOST~1\Temp\F-Secure
C:\Programmi\Spybot - Search & Destroy
C:\Programmi\Unlocker
C:\Documents and Settings\mario\Dati applicazioni\Roxio
C:\Documents and Settings\mario\Dati applicazioni\TeamViewer
C:\Documents and Settings\mario\Dati applicazioni\Roxio Log Files
C:\Documents and Settings\mario\Impostazioni locali\Dati applicazioni\LogMeIn
C:\WINDOWS\temp |
e clicca Proceed with removal .
Aspetta la fine della rimozione.
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il contenuto del file C:\[u]Avenger.txt [/u]
Poi:
Controlla il contenuto di queste cartelle, seguendo il percorso:
C:\WINDOWS\system32\BUFATKJWFZQ
C:\WINDOWS\system32\VJRHAVAP
C:\WINDOWS\system32\SZJMDXXQ |
Allora....
ho finito di disinstallare praticamente tutto
ogni volta che disinstallavo un progr. lanciavo combifix
al termine della scansione, pulivo per bene combofix, temp e registro con i vari tool
ormai ho tolto tutti i programmi, quindi sono orientato sul formattare tutto, e reinstrallate da capo.
Ovviamente dopo aver capito perchè mi segnala attività Rootkit Sospetta....
si lo so, sono testardo...
ecco cosa ho fatto:
ho lanciato SystemScan
ecco il log
01_SystemScan_BEFORE_01_05_2011_15_34_report.zip
poi ho eseguito (come hai schiesto) SystemScan con lo script (per la cancellazione)
ecco il log del file Avenger (mi pare che non è riuscito a rimuovere qualcosa, forse perchè a furia di dinstallare non c'era più )
02_avenger.txt
infine ecco il log di systemscan dopo l'esecuzione dello script
03_SystemScan_AFTER_01_05_2011_15_53_report.zip
Poi mi hai chiesto di controllare il contenuto di queste cartelle, seguendo il percorso:
C:\WINDOWS\system32\BUFATKJWFZQ
C:\WINDOWS\system32\VJRHAVAP
C:\WINDOWS\system32\SZJMDXXQ
non sono cartelle, ma file, come puoi vedere dall' immagine sotto (sono tutti e tre in system32)
04_files_system32.JPG
Per finire, ho rtilanciato (dopo pulizie solite) Combifix
ecco il log
05_Combofix.txt
Come ti ho detto, volgio formattare tutto e reinstallare, ma prima, se ne hai volgia e mi dai una mano, voglio capire se è un falso positivo o se ho qualcosa, e se si, stanarlo !!
P.s.
ho un Dell, so che la Dell di solito modifica qualcosa del S.O per fare i suoi OEM.....
non è che è per quello che viene rilevato qualcosa tipo rootkit (no, eh ?? io l'ho buttata li)
Ultima domanda:
ho riattaccato tutti gli HD usb (ho 2 HD sata interni (uno diviso in 3 partizioni e uno unico) e 4 HD Esterno da 1 Gb Cad.)
su tutti e 4 quelli estrerni MbrCeck mi segnalava MBR non riconosciuto
così ho provveduto (via consolle di ripristino di Xp, con FixMbr) a fixarli tutti
ora questa è la situazione
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000001d`cc088c00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x0000007f`770d7a00 (NTFS)
\\.\F: --> \\.\PhysicalDrive2 at offset 0x00000000`00008000
\\.\G: --> \\.\PhysicalDrive3 at offset 0x00000000`00100000
\\.\K: --> \\.\PhysicalDrive5 at offset 0x00000000`00007e00
\\.\L: --> \\.\PhysicalDrive4 at offset 0x00000000`00007e00
\\.\Z: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)
PhysicalDrive0 Model Number: WDCWD20EARS-00MVWB0, Rev: 51.0AB51
PhysicalDrive2 Model Number: SamsungSTORY Station, Rev:
PhysicalDrive3 Model Number: SamsungSTORY Station, Rev:
PhysicalDrive5 Model Number: SeagateDesktop, Rev: 0130
PhysicalDrive4 Model Number: SeagateDesktop, Rev: 0130
PhysicalDrive1 Model Number: SAMSUNGHD502IJ, Rev: 1AA01113
Size Device Name MBR Status
--------------------------------------------
1863 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
931 GB \\.\PhysicalDrive2 RE: Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
931 GB \\.\PhysicalDrive3 RE: Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
931 GB \\.\PhysicalDrive5 RE: Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
931 GB \\.\PhysicalDrive4 RE: Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
465 GB \\.\PhysicalDrive1 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
Done!
Ecco allora la domanda:
Dato che sulla prima partizionde dell Hd (che è C: ) ho il S.O., megli gli altri dischi sono solo dati, se voglio reinstallare, è sufficiente che formatto il disco C (durante l'installazione di Win) e non dovrei portarmi dietro nessun rootkit, giusto ?
soprattutto alla luce del fatto che ora gli Mbr paiono puliti... |
|
| Top |
|
|
webmasterone
Mortale pio
Registrato: 29/04/11 21:47
Messaggi: 26
|
| Inviato: 01 Mag 2011 16:54 Oggetto: |
|
|
nel frattempo ho fatto anche una scansione con rootkitrevealer di sysinternals (link)
questo è il risultato:
HKU\S-1-5-21-436374069-1957994488-1801674531-1003\Console 01/05/2011 16.13 0 bytes Security mismatch.
HKU\S-1-5-21-436374069-1957994488-1801674531-1003\Console\%SystemRoot%_system32_cmd.exe 01/05/2011 16.13 0 bytes Security mismatch.
HKLM\SECURITY\Policy\Secrets\SAC* 16/04/2011 17.01 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 16/04/2011 17.01 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN 16/04/2011 23.32 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\CertMapping 16/04/2011 23.32 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Client 16/04/2011 23.32 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Listener 16/04/2011 23.32 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Plugin 16/04/2011 23.32 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service 16/04/2011 23.32 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\WinRS 16/04/2011 23.32 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\WinRS\CustomRemoteShell 16/04/2011 23.32 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2 30/04/2011 23.38 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters 30/04/2011 23.38 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\NameSpace_Catalog5 30/04/2011 23.38 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries 30/04/2011 23.38 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001 30/04/2011 23.38 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002 30/04/2011 23.38 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003 30/04/2011 23.38 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9 30/04/2011 23.38 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries 30/04/2011 23.38 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001 30/04/2011 23.38 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002 30/04/2011 23.38 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003 30/04/2011 23.38 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004 30/04/2011 23.38 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005 30/04/2011 23.38 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006 30/04/2011 23.38 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007 30/04/2011 23.38 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008 30/04/2011 23.38 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009 30/04/2011 23.38 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010 30/04/2011 23.38 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011 30/04/2011 23.38 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000012 30/04/2011 23.38 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000013 30/04/2011 23.38 0 bytes Security mismatch.
F: 01/01/1601 2.00 0 bytes Error mounting volume
G: 01/01/1601 2.00 0 bytes Error mounting volume
K: 01/01/1601 2.00 0 bytes Error mounting volume
L: 01/01/1601 2.00 0 bytes Error mounting volume |
|
| Top |
|
|
webmasterone
Mortale pio
Registrato: 29/04/11 21:47
Messaggi: 26
|
| Inviato: 01 Mag 2011 17:01 Oggetto: |
|
|
Ecco, perfetto !!!
ora chissà come mai non mi legge tutti e 4 gli hd esterni...
se ci clicco in esplora risorse, mi dice che non sono formattati, se li voglio formattare?
ovviamento ho detto NO
che succhede ?
si è risputtanato il MBR ?
profo a rifare il FixMBR ?
eppure me li vede tutti con MBR WinXp ?????
Size Device Name MBR Status
--------------------------------------------
1863 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
931 GB \\.\PhysicalDrive2 RE: Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
931 GB \\.\PhysicalDrive3 RE: Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
931 GB \\.\PhysicalDrive5 RE: Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
931 GB \\.\PhysicalDrive4 RE: Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
465 GB \\.\PhysicalDrive1 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 01 Mag 2011 17:16 Oggetto: |
|
|
Ciao.
Io ti voglio dare solo un mio parere, poi, il pc è tuo, e farai quello che vuoi.
A mio avviso, non c'è nessuna infezione.
Non ci si deve basare, solo su quello che dice Combofix.
D'accordo che è un programma formidabile, ma anche lui, non è esente da bug, e qualche "cantonata" la prende pure lui.
Quando dice che rileva attività rootkit, è troppo generico.
Ci sono anche file, del tutto legittimi, che agiscono "da rootkit".
Poi, le altre scansioni che abbiamo fatto, sono risultate prive di una qualche infezione attiva. (compreso l'MBR, che hai riscritto)
Le eliminazioni fatte, non erano infezioni, ma "rimasugli" di software di terze parti.
Per cui, se il pc và bene, e non presenta nessun problema, non vedo la necessità di formattare.
Poi, mettiamo che formatti, e ti togli lo sfizio di fare una scansione con Combofix, e ti dice che "rileva attività del tubo" cosa fai, formatti di nuovo? 
Poi come detto sopra, il pc è tuo.
| Citazione: | | nel frattempo ho fatto anche una scansione con rootkitrevealer di sysinternals |
Nemmeno questo rileva rootkit maligni.
| Citazione: | | se voglio reinstallare, è sufficiente che formatto il disco C (durante l'installazione di Win) e non dovrei portarmi dietro nessun rootkit, giusto ? |
Giusto.
Dimenticavo:
Elimina i file:
C:\WINDOWS\system32\BUFATKJWFZQ
C:\WINDOWS\system32\VJRHAVAP
C:\WINDOWS\system32\SZJMDXXQ
Lasciali nel cestino. in caso di malfunzionamento di qualche programma li puoi ripristinare. |
|
| Top |
|
|
webmasterone
Mortale pio
Registrato: 29/04/11 21:47
Messaggi: 26
|
| Inviato: 01 Mag 2011 17:30 Oggetto: |
|
|
ok,
dammi solo una mano adesso a risistemare gli hd esterni....
se perdo i dati sono rovinato...
cosa mi suggerisci di fare ? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 01 Mag 2011 17:39 Oggetto: |
|
|
Cosa hanno gli HD esterni?
Che problemi ti procurano? |
|
| Top |
|
|
webmasterone
Mortale pio
Registrato: 29/04/11 21:47
Messaggi: 26
|
| Inviato: 01 Mag 2011 17:45 Oggetto: |
|
|
come ho scritto poco fa, nonostante MbrCeck li veda tutti e 4 con MBR WinXp
nonostante li vedo tutti e quattro in esplora risorse
nonostante li vedo tutti e quattro in gestione disco (Come : Layout Partizione, Tipo Di Base, file system non marca niente, a differenza degli altri che vengono segnati come NTFS, Stato Integro (attivo) per tree, solo Integro un altro)
se ci clicco sopra mi dice che non sono formattati, e mi chiede se voglio formattare
ovviamente dico di no
che è successo ?
ho provato a scollegarlo, e collegarlo ad altro pc, dove ho 7, ma anche luio non vede il contenuto, e mi chiede se voglio formattarlo..... |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 01 Mag 2011 17:49 Oggetto: |
|
|
Hai spostato i file che ti ho detto nel cestino?
Se sì, prova a ripristinarli, e riavvia il pc. |
|
| Top |
|
|
webmasterone
Mortale pio
Registrato: 29/04/11 21:47
Messaggi: 26
|
| Inviato: 01 Mag 2011 17:51 Oggetto: |
|
|
| no, non li avevo ancora cancellati.... |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 01 Mag 2011 18:00 Oggetto: |
|
|
Deve essere successo qualcosa, quando hai riscritto l'MBR sulle periferiche.
Intanto ti consiglio di salvare i dati da qualche altra parte. (CD o DVD).
Poi, non essendo il mio campo,devo fare qualche ricerca. |
|
| Top |
|
|
webmasterone
Mortale pio
Registrato: 29/04/11 21:47
Messaggi: 26
|
| Inviato: 01 Mag 2011 18:03 Oggetto: |
|
|
è quello che penso anche io...
salvare i dati... e come , se non li vedo ?
;(
ho letto questo 3d |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 01 Mag 2011 18:11 Oggetto: |
|
|
Ho editato il tuo post.
E' vietato postare link di altri siti.
In ogni caso devi reperire qualche software che ti recupera quei dati.
L'ultima modifica di R16 il 01 Mag 2011 18:16, modificato 1 volta |
|
| Top |
|
|
webmasterone
Mortale pio
Registrato: 29/04/11 21:47
Messaggi: 26
|
| Inviato: 01 Mag 2011 18:15 Oggetto: |
 |
|
chiedo scusa, non ci pensavo.
sono leggermente in ansia per i miei dati...
scusa ancora |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
