| Precedente :: Successivo |
| Autore |
Messaggio |
giova78
Eroe in grazia degli dei
Registrato: 18/01/09 18:33
Messaggi: 85
|
 Inviato: 18 Gen 2009 18:56 Oggetto: aiuto rootkit |
 |
|
Salve a tutti sono nuovo del forum, ma già da un po' leggo i vostri forum e spesso mi sono tornati utili.
il mio pc ha subito un rallentamento, qundo apro le cartelle , quando navigo, anzi proprio mentre sono in rete, spesso si aprono finestre indesiderate.
Ho lanciato vari tool come PrevX, Simantec,Gmer ma tutti non rilevano nulla.
L'unico che rileva un rootkit è il mio antivirus AVG.
Il virus però dopo averlo eliminato ricompare ad ogni riavvio però con nome diverso tipo C:\WINDOWS\system32\driversatkxojo6.sys-afx47bs1.sys-aci4oi7m.sys.
[Log editato: Riverside] |
|
| Top |
|
 |
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 19 Gen 2009 12:43 Oggetto: |
|
|
Questa è la procedura che devi, inzialmente, eseguire:
1) Disattiva il Ripristino configurazione di sistema, procedendo in questa maniera:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura
2) Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)
3) Scarica ed installa Hijackthis:
clicca qui per il download
4) lancia Hthis e pulisci gli ADS in questo modo:
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected
5) scarica ed installa la versione Free di SuperAntispyware:
clicca qui per il download
e la configuri come da immagini:
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato
6) scarica ed installa MalwareBytes:
clicca qui per il download
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato
7) eseguiti i passaggi da 1) a 6), scarica ed installa CCleaner:
clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)
Infine, rilancia Hijackthis:
● clicca su Do a system scan and save a logfile
● finita la scansione verrà rilasciato un il log
● salva il log sul desktop ed allegalo.
Per allegare i tre log richiesti (quello di SuperAntispyware, MalwareBytes e Hijackthis) utilizza questo servizio di upload:
clicca qui per wikisend
I link ai log pubblicali in un unico post, proseguendo qui. |
|
| Top |
|
|
giova78
Eroe in grazia degli dei
Registrato: 18/01/09 18:33
Messaggi: 85
|
| Inviato: 20 Gen 2009 22:30 Oggetto: |
|
|
Ciao riverside !
Innanzi tutto ti ringranzio per avermi risposto!!!
Ho eseguito tutte la procedura che mi hai mi hai descritto e ti invio i log.
Mi dispiace ma non sono riuscito ad usare wikisend, quindi ti incollo i log qui.
http://wikisend.com/download/602840/Malwarebytes.txt
http://wikisend.com/download/606420/Superantispyware.txt
http://wikisend.com/download/140878/LogHthis.txt
Ciao e ancora grazie! |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 20 Gen 2009 22:43 Oggetto: |
|
|
| giova78 ha scritto: | | Mi dispiace ma non sono riuscito ad usare wikisend, quindi ti incollo i log qui. |
Questa volta i log li ho sistemati io; la prossima volta li alleghi come richiesto (e se il servizio non funziona, aspetti che funzioni).
Torniamo al tuo problema: come mai il sistema operativo non è aggiornato?. |
|
| Top |
|
|
giova78
Eroe in grazia degli dei
Registrato: 18/01/09 18:33
Messaggi: 85
|
| Inviato: 21 Gen 2009 11:27 Oggetto: |
|
|
Ti ringrazio per aver siatemato i log,
ma se mi spiegassi anche come hai fatto la prossima volta, forse, ci riesco anche io!!!!!
Su wikisend i log li ho caricati ma poi ??????
Per quanto riguarda l'aggiornamento, quando provo a installare il sp3, non riesco ad installare un componente e l'operazione non va a buon fine....... è importante? non riusciamo a risolvere comunque il problema ??
Ciao |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 21 Gen 2009 13:51 Oggetto: |
|
|
| giova78 ha scritto: | | Ti ringrazio per aver siatemato i log, ma se mi spiegassi anche come hai fatto la prossima volta, forse, ci riesco anche io!!!!! Su wikisend i log li ho caricati ma poi ? |
copi ed incolli il download link che verrà rialsciato, nella discussione.
| Citazione: | | Per quanto riguarda l'aggiornamento, quando provo a installare il sp3, non riesco ad installare un componente e l'operazione non va a buon fine....... |
Ok, questa cosa la vediamo dopo aver sistemato il Computer.
Ora prosegui in questo modo:
Scarica ed installa Elibagla: clicca qui per il download
● scorri fino a fondo pagina e, clicca su Descargar Elibagla per scaricare il tool
● posiziona Elibagla all'interno di una apposita cartella creata sul Desktop
● lancia il tool
● se non è selezionata, seleziona la voce Eliminar Ficheros Automaticamente
● avvia la scansione
● al termine della scansione, verrà rilasciato un log dal nome InfoSat.txt reperibile in C:/
● allega il log
Poi, scarica Combofix: clicca qui per il download
● crea una cartella apposita sul Desktop e, al suo interno, posiziona, l'exe di COMBOFIX che hai scaricato
● riavvia il computer ed accedi al sistema in modalità provvisoria, con l'account Amministratore
● lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione
● se verrano rilevate traccie di Vundo, il tool procederà alla rimozione ed eventualmente il sistema verrà riavviato automaticamente
● se non sono state rilevate traccie di Vundo, a fine scansione apparirà automaticamente il log
Note: durante la scansione
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)
Verranno creati due log in C:\
● combofix.txt
● ComboFix-quarantined-files.txt
Riavvia il sistema in dodalità normale ed allega i due log, assieme a quello di Elibagla.
Poi disinstalla ComboFix in questa maniera:
● Start
● Esegui
● nella casella di dlialogo copia ed incolla questo comando: combofix /u
2) vai in Disco Locale C: e, elimina questa cartella: QooBox
3) elimina la cartella che avevi creato sul Desktop
Quindi, elimina Elibagla, rimuovendo la cartella che hai creato, e svuota il cestino. |
|
| Top |
|
|
giova78
Eroe in grazia degli dei
Registrato: 18/01/09 18:33
Messaggi: 85
|
| Inviato: 23 Gen 2009 13:09 Oggetto: |
|
|
Ciao riverside!!
Come mi hai descritto ho eseguito tutte le tue indicazioni.
Ti allego i log che mi hai chiesto:
http://wikisend.com/download/539950/InfoSat.txt
http://wikisend.com/download/770862/ComboFix.txt
http://wikisend.com/download/507440/ComboFix-quarantined-files.txt
Ciao |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 23 Gen 2009 13:51 Oggetto: |
|
|
| giova78 ha scritto: | | il mio pc ha subito un rallentamento, qundo apro le cartelle , quando navigo, anzi proprio mentre sono in rete, spesso si aprono finestre indesiderate. |
Noti ancora questi problemi o si sono risolti?. |
|
| Top |
|
|
giova78
Eroe in grazia degli dei
Registrato: 18/01/09 18:33
Messaggi: 85
|
| Inviato: 23 Gen 2009 21:04 Oggetto: |
|
|
Salve riverside
Il pc è senza dubbio migliorato
ma Avg mi rileva sempre un rootkit e, come già ti ho detto, non ha mai lo stesso nome ad esempio questa volta lo ha chiamato C:\WINDOWS\system32\drivers\ayhnqlkb.SYS
forse te la sparo grossa: è possibile che l'antivirus identifichi come rootkit qulcosa che in effetti non è un rootkit???????
Ciao |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 24 Gen 2009 14:35 Oggetto: |
|
|
Disinstalla AVG (possibilmente dal suo Uninstall) prima di eseguire la disinstallazione, termina la sua esecuzione, dalla icona presente sulla traybar accanto all'orologio.
Eseguita la disinstallazione:
> esgui una pulizia dei problemi con CCleaner (ripeti l'operazione più volte, fino a quando non verranno rilevati più problemi);
> riavvia il sistema;
> scarica ed installa Avira Antivir (devi scaricare la versione free):
clicca qui per il download
> scarica la Guida per configurare Avira Antivir: clicca qui per il download
Dopo averlo installato e configurato, esegui una scansione completa del sistema, salva il report che verrà rilasciato ed allegalo. |
|
| Top |
|
|
golclaudio
Semidio
Registrato: 30/12/06 22:57
Messaggi: 205
|
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 24 Gen 2009 17:12 Oggetto: |
|
|
| golclaudio ha scritto: | | Ciao, posso usare anche io lo stesso procedimento di pulizia? |
Si claudio: inizia con il seguire la prima parte della procedura (quella descritta nel mio primo reply nella discussione) ed allega i log richiesti. |
|
| Top |
|
|
golclaudio
Semidio
Registrato: 30/12/06 22:57
Messaggi: 205
|
| Inviato: 24 Gen 2009 18:31 Oggetto: |
|
|
| Riverside ha scritto: | | golclaudio ha scritto: | | Ciao, posso usare anche io lo stesso procedimento di pulizia? |
Si claudio: inizia con il seguire la prima parte della procedura (quella descritta nel mio primo reply nella discussione) ed allega i log richiesti. |
Ok, quando ho fatto riporto tutto in questo topic o per non creare troppo casino continuo in quello aperto da me? |
|
| Top |
|
|
golclaudio
Semidio
Registrato: 30/12/06 22:57
Messaggi: 205
|
|
| Top |
|
|
giova78
Eroe in grazia degli dei
Registrato: 18/01/09 18:33
Messaggi: 85
|
| Inviato: 24 Gen 2009 21:52 Oggetto: |
|
|
........... mi stai consigliando di non usare piu' AVG?????
Perche' mi dispiacerebbe, mi trovo bene con questo antivirus.
Ciao |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 25 Gen 2009 12:47 Oggetto: |
|
|
Avira è, da almeno un paio di anni, il migliore software antivirus in circolazone (sia tra quelli free che tra quelli a pagamento).
Il mio è un suggerimento ma se preferisci continuare ad utlizzare un antivirus che, ultimamente, lascia parecchio a desiderare, è una tua scelta. |
|
| Top |
|
|
giova78
Eroe in grazia degli dei
Registrato: 18/01/09 18:33
Messaggi: 85
|
| Inviato: 25 Gen 2009 15:03 Oggetto: |
|
|
Salve !!
credevo che AVG fosse un buon antivirus
.... è evidente che non ci capisco molto !!!!!!!
Comunque continurò ad usare avira , mi senbra semplice ed immediato.
Bando alle chiacchiere questo è il report che mi hai chiesto
http://wikisend.com/download/616574/avira.txt
Ciao |
|
| Top |
|
|
giova78
Eroe in grazia degli dei
Registrato: 18/01/09 18:33
Messaggi: 85
|
| Inviato: 25 Gen 2009 22:27 Oggetto: |
|
|
Oggi Avira mi ha rilevato un worm (C:\WINDOWS\system32\ssms.exe) che, mi sono ricrodato, è nel log di Hijack sotto a "running process".
L'ho messo in quarantena, cosa faccio lo cancello????'
.......un consiglio anche per sapere come comportarmi in seguito.
Poi ho un problema mentre masterizzo.
Per parlarne devo aprire una nuova discussione ????
Ciao e come sempre grazie |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 25 Gen 2009 22:34 Oggetto: |
|
|
Riesegui una scansione con Avira: se rileva il file infetto lo devi deletare
Allega il report ed un log d hthis. |
|
| Top |
|
|
giova78
Eroe in grazia degli dei
Registrato: 18/01/09 18:33
Messaggi: 85
|
| Inviato: 26 Gen 2009 21:34 Oggetto: |
 |
|
Ciao riverside
questi sono i log di Avira e Hj
http://wikisend.com/download/931164/AVSCAN-20090126-172256-4C8AA29A.LOG
http://wikisend.com/download/918620/hijackthis.log
Ciao Ciao |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
