| Precedente :: Successivo |
| Autore |
Messaggio |
sira214
Eroe in grazia degli dei
Registrato: 27/05/07 10:13
Messaggi: 79
Residenza: emilia-romagna
|
 Inviato: 30 Ott 2008 19:22 Oggetto: |
 |
|
Rieccomi finalmente. ecco i risultati di virus total
1) drmclient.dll:
http://wikisend.com/download/333628/VirusTotal
2) gcdefd.dll:
http://wikisend.com/download/510524/VirusTotal
mentre FindAwf mi da errore in esecuzione, del tipo "Impossibile trovare il file specificato" |
|
| Top |
|
 |
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 30 Ott 2008 20:32 Oggetto: |
|
|
| sira214 ha scritto: | | mentre FindAwf mi da errore in esecuzione, del tipo "Impossibile trovare il file specificato" |
Spiegati meglio: lo hai scaricato e? (ho appena provato e funziona). |
|
| Top |
|
|
sira214
Eroe in grazia degli dei
Registrato: 27/05/07 10:13
Messaggi: 79
Residenza: emilia-romagna
|
| Inviato: 30 Ott 2008 22:18 Oggetto: |
|
|
Si hai ragione. Ho provato sul mio e funziona.
Su quello infetto invece:
Findawf.JPG
(Ho messo una bat con qualche pausa per poter vedere i messaggi di consolle che altrimanti sparirebbero) |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 30 Ott 2008 22:22 Oggetto: |
|
|
  Sira, allega un nuovo log di Hthis per favore. |
|
| Top |
|
|
sira214
Eroe in grazia degli dei
Registrato: 27/05/07 10:13
Messaggi: 79
Residenza: emilia-romagna
|
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 31 Ott 2008 00:25 Oggetto: |
|
|
Scarica ed installa Kaspersky Virus Removal tool:
clicca qui per il download
● al termine della installazione verrà mostrata la schermata principale del tool
● seleziona la partizione da cansionare e clicca su Scan per avviare la scansione
● terminata la scansione, in caso di rilevazione di infezioni, clicca su Neutralize all
● si apriranno dei popup dove potrai scegliere se Cancellare o Disinfettare l'oggetto
● metti la spunta su Apply to all e clicca su Quarantine
● per salvare il Report che verrà rilasciato, clicca sul tasto Reports, salvalo sul Desktop e lo alleghi
Terminate tutte le operazioni, chiudi il programma che si autodisinstallerà. |
|
| Top |
|
|
sira214
Eroe in grazia degli dei
Registrato: 27/05/07 10:13
Messaggi: 79
Residenza: emilia-romagna
|
| Inviato: 31 Ott 2008 13:23 Oggetto: |
|
|
prova gia' fatta, mi sembra, comunque ...
il risultato non cambia
kasper.txt
e
kasper.JPG |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 31 Ott 2008 15:21 Oggetto: |
|
|
| sira214 ha scritto: | | prova gia' fatta, mi sembra, comunque ... il risultato non cambia |
Il problema è che Kasperky rileva questo file infetto:
| Citazione: | | detected: Trojan program Trojan-Clicker.Win32.Delf.jv File: C:\WINDOWS\system32\drmclient.dll.bak |
ma sembra che non lo rimuova.
Ok vediamo di procedere in altro modo ed installiamo l'antivirus:
scarica ed installa Avira Antivir (scarica la versione free):
clicca qui per il download
La guida di configurazione te la posto dopo; devo hostarla altrove.
Dopo averlo installato e configurato, esegui una scansione completa del sistema, salva il report che verrà rilasciato ed allegalo. |
|
| Top |
|
|
sira214
Eroe in grazia degli dei
Registrato: 27/05/07 10:13
Messaggi: 79
Residenza: emilia-romagna
|
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 31 Ott 2008 18:30 Oggetto: |
|
|
| sira214 ha scritto: | | Installato e fatto primo giro di scansione |
Andiamo meglio per ora li ha messi in quarantena:
| Citazione: | Begin scan in 'C:\WINDOWS\system32'
C:\WINDOWS\system32\drmclient.dll.bak
[DETECTION] Is the TR/Crypt.Morphine.Gen Trojan
[WARNING] An error has occurred and the file was not deleted. ErrorID: 26003
[WARNING] The file could not be deleted!
[NOTE] Attempting to perform action using the ARK lib.
[NOTE] The file was moved to '497821f5.qua'!
C:\WINDOWS\system32\rwwfyrfx.dll
[DETECTION] Is the TR/Crypt.Morphine.Gen Trojan
[NOTE] The file was moved to '4982224c.qua'!
C:\WINDOWS\system32\rwwfyrfx.dll.bak
[DETECTION] Is the TR/Crypt.Morphine.Gen Trojan
[NOTE] The file was moved to '49822281.qua'!
C:\WINDOWS\system32\xpbwlaws.dll.bak
[DETECTION] Is the TR/Crypt.Morphine.Gen Trojan
[NOTE] The file was moved to '496d2291.qua'!
C:\WINDOWS\system32\drivers\bsokadeh.sys
[WARNING] The file could not be opened! |
Prova a vedere se riesci a far girare FindAWF, adesso.
Poi scarica Combofix
clicca qui per il download
Crea una cartella apposita sul Desktop e, al suo interno, posiziona, i tre exe che hai scaricato.
Riavvia il computer in modalità provvisoria accedi con l'account Amministratore e esegui Combofix
Verranno creati due log in C:\
● combofix.txt
● ComboFix-quarantined-files.txt
Riavvia il sistema in modalità normale ed allega i due log.
L'ultima modifica di Riverside il 31 Ott 2008 18:48, modificato 2 volte |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 31 Ott 2008 18:44 Oggetto: |
|
|
Poi scarica Combofix
clicca qui per il download
Crea una cartella apposita sul Desktop e, al suo interno, posiziona, i tre exe che hai scaricato.
Riavvia il computer in modalità provvisoria accedi con l'account Amministratore e esegui Combofix
Verranno creati due log in C:\
● combofix.txt
● ComboFix-quarantined-files.txt
Riavvia il sistema in Modalità normale ed allega i due log. |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 31 Ott 2008 18:48 Oggetto: |
|
|
| [**] Edit. |
|
| Top |
|
|
sira214
Eroe in grazia degli dei
Registrato: 27/05/07 10:13
Messaggi: 79
Residenza: emilia-romagna
|
| Inviato: 31 Ott 2008 21:29 Oggetto: |
|
|
| Riverside ha scritto: | | [**] Edit. |
Sinceramente non l'ho capita
comunque
findawf da sempre stessi risultati, modalita' provvisoria compresa
Admin AWF.jpg
Combofix ha prodotto un unico log:
log.txt |
|
| Top |
|
|
sira214
Eroe in grazia degli dei
Registrato: 27/05/07 10:13
Messaggi: 79
Residenza: emilia-romagna
|
| Inviato: 31 Ott 2008 21:34 Oggetto: |
|
|
| ... provo a far girare anche Kasper in modalita' provvisoria ... |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 31 Ott 2008 23:41 Oggetto: |
|
|
| sira214 ha scritto: | | ... provo a far girare anche Kasper in modalita' provvisoria ... |
Non serve:
| Citazione: | C:\InfoSat.txt
C:\WINDOWS\system32\drmclient.dll . . . . Eliminazione Fallita |
Scarica ed installa AVENGER:
clicca qui per il download
crea una apposita cartella sul Desktop e, al suo interno, scompatta il file scaricato
> lancia Avenger
> metti la spunta alla voce Scan for Rootkits
> all'interno del box bianco incolla lo script indicato in rosso qui sotto, e clicca su Execute
Files to delete:
C:\WINDOWS\system32\drmclient.dll
Rilancia Avenger:
> all'interno del box bianco incolla lo script indicato in rosso qui sotto, e clicca su Execute
Files to move:
C:\WINDOWS\SYSTEM32\BAK\drmclient.dll | C:\WINDOWS\SYSTEM32\drmclient.dll |
|
| Top |
|
|
sira214
Eroe in grazia degli dei
Registrato: 27/05/07 10:13
Messaggi: 79
Residenza: emilia-romagna
|
| Inviato: 01 Nov 2008 01:05 Oggetto: |
|
|
Ho provato partendo da modalita' provvisoria, chiede un re-boot, ripartito in MP si piantA. Ripartito normale mi da':
| Citazione: |
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: could not open file "C:\WINDOWS\system32\drmclient.dll"
Deletion of file "C:\WINDOWS\system32\drmclient.dll" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)
Completed script processing.
*******************
Finished! Terminate.
|
[/code] |
|
| Top |
|
|
sira214
Eroe in grazia degli dei
Registrato: 27/05/07 10:13
Messaggi: 79
Residenza: emilia-romagna
|
|
| Top |
|
|
sira214
Eroe in grazia degli dei
Registrato: 27/05/07 10:13
Messaggi: 79
Residenza: emilia-romagna
|
| Inviato: 01 Nov 2008 09:35 Oggetto: |
|
|
Nel frattempo ho fatto un po' di scansioni
con AVIRA AVSCAN-20081101-052422-4756BA9F.LOG
Direi tuttoOK
con Malware
http://wikisend.com/download/541128/mbam
ma poi rifatto
http://wikisend.com/download/924872/mbam
Stato
BHO.BFI sembra ancora presente e irrimovibile
La rete continua a non funzionare |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 01 Nov 2008 11:33 Oggetto: |
|
|
> rilancia Avenger
> metti la spunta alla voce Scan for Rootkits
> all'interno del box bianco incolla lo script indicato in rosso qui sotto, e clicca su Execute
Files to delete:
C:\WINDOWS\system32\drmclient.dll
C:\WINDOWS\system32\gcdefd.dll
allega il log e allega un log di hthis eseguito dopo Avenger |
|
| Top |
|
|
sira214
Eroe in grazia degli dei
Registrato: 27/05/07 10:13
Messaggi: 79
Residenza: emilia-romagna
|
| Inviato: 01 Nov 2008 14:30 Oggetto: |
 |
|
Cambiando la formula il risultato non cambia:
avenger.txt |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
