Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Pagina 2 di 4 primaprima 1 2 3 4 ultimoultimo
Visualizzazione dei risultati da 11 a 20 su 36

Discussione: Virtumonde

  1. 11-06-2008, 16:09 #11
    Deifobe
    Deifobe non è in linea
    Utente di HTML.it L'avatar di Deifobe
    Registrato dal
    Oct 2007
    Messaggi
    6,072
    Ti ho aggiunto le voci in rosso.
    Prima di iniziare, apri il registro (start => esegui => digita regedit e dai l'ok).
    Clicca su "Risorse del computer", poi su "file" => esporta => salva la copia del registro in c:\

    Fatto questo, puoi eseguire la procedura
    ...
    :x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
    Rispondi quotando Rispondi quotando
  2. 11-06-2008, 17:46 #12
    faith72
    faith72 non è in linea
    Utente di HTML.it
    Registrato dal
    Jun 2008
    Messaggi
    17
    ecco il link:
    http://www.savefile.com/files/1603494

    alcune annotazioni: al riavvio c'è stata una segnalazione d'errore (impossibile trovare il file fix.reg) inoltre adesso non riesco più a trovare sotto al c il backup dei registri... sono strasicuro che avevo salvato entrambi (più il fix2.reg). Poi non so se ho fatto una sciocchezza ma le procedure le ho fatte girare col pc sconnesso dalla rete ed antivirus disattivato.
    ciao
    Rispondi quotando Rispondi quotando
  3. 11-06-2008, 19:22 #13
    Deifobe
    Deifobe non è in linea
    Utente di HTML.it L'avatar di Deifobe
    Registrato dal
    Oct 2007
    Messaggi
    6,072
    precisissimo..

    l'unico problema è sganciare i files.. in effetti dovremmo eseguire una scansione con combofix ma ho qualche timore... Hai detto che è un pc aziendale.. avete configurazioni o software particolari installati? Vediamo se te le elimina così, con i dati che abbiamo:

    scarica ComboFix_BleepingComputer sul desktop

    apri il blocco note e copiaci dentro questo:
    KillAll::
    Registry::
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winctrl32]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws]
    [-HKEY_CURRENT_USER\Software\Microsoft\affri]
    [-HKEY_CURRENT_USER\Software\Microsoft\rdfa]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP]
    [-HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{02E857FD-2262-415D-BC0F-124F9E6241F0}]
    [-HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{33940B89-B786-4278-A55C-285A98BAAB2A}]
    [-HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{CED9F311-4D80-4EFF-AEB6-909B56045850}]
    [-HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{EF4CC146-43C9-4741-8D21-EB5035A4EBEC}]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Minimal\Ubh06.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Network\Ubh06.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa feBoot\Minimal\Ubh06.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa feBoot\Network\Ubh06.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\Ubh06.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\Ubh06.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Minimal\kqW28.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Network\kqW28.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa feBoot\Minimal\kqW28.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa feBoot\Network\kqW28.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\kqW28.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\kqW28.sys]
    [-HKEY_LOCAL_MACHINE\system\controlset001\services\U bh06]
    [-HKEY_LOCAL_MACHINE\system\controlset002\services\U bh06]
    [-HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\Ubh06]
    [-HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\r oot\legacy_Ubh06]
    [-HKEY_LOCAL_MACHINE\system\controlset001\enum\root\ legacy_Ubh06]
    [-HKEY_LOCAL_MACHINE\system\controlset002\enum\root\ legacy_Ubh06]
    [-HKEY_LOCAL_MACHINE\system\controlset001\services\k qW28]
    [-HKEY_LOCAL_MACHINE\system\controlset002\services\k qW28]
    [-HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\kqW28]
    [-HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\r oot\legacy_kqW28]
    [-HKEY_LOCAL_MACHINE\system\controlset001\enum\root\ legacy_kqW28]
    [-HKEY_LOCAL_MACHINE\system\controlset002\enum\root\ legacy_kqW28]

    File::
    C:\WINNT\system32\WinCtrl32.dll
    C:\WINNT\system32\WinCtrl32.dl_
    C:\WINNT\system32\entcblfg.dll
    C:\WINNT\system32\opnlLcYQ.dll
    C:\WINDOWS\SYSTEM32\WLCtrl32.dll
    C:\WINNT\system32\faxabfiy.dll
    C:\WINNT\system32\bgjqccqv.ini
    C:\WINNT\system32\yifbaxaf.ini
    C:\WINNT\system32\WinCtrl32.dll
    C:\WINNT\system32\drivers\Ubh06.sys
    C:\WINNT\system32\drivers\kqW28.sys
    C:\WINNT\cookies.ini
    C:\WINNT\system32\opnlLcYQ.dll
    C:\DOCUME~1\PAGLIO~1\IMPOST~1\Temp\nnnOeEVM.dll
    C:\WINNT\system32\geBrsRkl.dll

    Driver::
    C:\WINNT\system32\drivers\Ubh06.sys
    C:\WINNT\system32\drivers\kqW28.sys
    salvalo sul desktop con il nome CFScript.txt (scrivilo correttamente)
    Chiudi il file

    disconnetti il pc da internet, chiudi tutti i programmi e disattiva l'antivirus (è importante!)

    Trascina il file sull'icona rossa di combofix, poi non toccare assolutamente il pc, resta in attesa che finisca

    Quando ha finito, entra nel registro (start - esegui - digita regedit e dai l'ok); segui questo percorso:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Settings
    ed esporta la chiave Browser Settings (che dovresti avere..) salvandola così:
    nome: BrowserS.txt
    tipo di file: file di testo
    salvala in c:\

    Riattiva l'antivirus, collegati e posta il log combofix => C:\ComboFix.txt, il file di testo browserS.txt e un nuovo systemscan

    speriamo basti...
    ...
    :x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
    Rispondi quotando Rispondi quotando
  4. 12-06-2008, 10:36 #14
    faith72
    faith72 non è in linea
    Utente di HTML.it
    Registrato dal
    Jun 2008
    Messaggi
    17
    Non c'è problema, l'utente che lo usa ha tutto in rete e ora lavora con un altro pc.
    Non riesco a trovare la chiave che mi hai indicato (BrowserSettings) la cosa che più ci assomiglia in quel percorso è BrowserHelperObjects.
    ciao
    Rispondi quotando Rispondi quotando
  5. 12-06-2008, 10:59 #15
    Deifobe
    Deifobe non è in linea
    Utente di HTML.it L'avatar di Deifobe
    Registrato dal
    Oct 2007
    Messaggi
    6,072
    Tranquillo, se non c'e' e' meglio (una cosa in meno da eliminare..).
    ...
    :x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
    Rispondi quotando Rispondi quotando
  6. 12-06-2008, 15:54 #16
    faith72
    faith72 non è in linea
    Utente di HTML.it
    Registrato dal
    Jun 2008
    Messaggi
    17
    ciao, il link è http://www.savefile.com/files/1605449
    il pc ora sembra andare bene; sono stato un pò su internet e poi ho lanciato una scansione con spybot (i cui risultati sono per me gli unici (relativamente) intelliggibili!!) ed è stata rilevata solo quella porcheria di doubleclick che non so cosa sia ma che sembra essere inoffensiva....
    Rispondi quotando Rispondi quotando
  7. 12-06-2008, 17:26 #17
    Deifobe
    Deifobe non è in linea
    Utente di HTML.it L'avatar di Deifobe
    Registrato dal
    Oct 2007
    Messaggi
    6,072
    perdonami, non capivo perchè le chiavi non erano state eliminate... :P ho inserito un meno di troppo.. :P Il pc va meglio perchè i files non ci sono più ma il registro è ancora da ripulire...

    riesegui con combofix
    KillAll::
    File::
    C:\WINNT\system32\d3d8caps.dat
    C:\WINNT\DCEBoot.exe
    C:\WINNT\DCEBOOT.LOG
    C:\Programmi\folder.htt
    C:\avexport.bat

    Registry::
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Minimal\Ubh06.sys]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Network\Ubh06.sys]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa feBoot\Minimal\Ubh06.sys]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa feBoot\Network\Ubh06.sys]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\Ubh06.sys]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\Ubh06.sys]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Minimal\kqW28.sys]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\Network\kqW28.sys]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa feBoot\Minimal\kqW28.sys]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa feBoot\Network\kqW28.sys]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\kqW28.sys]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\kqW28.sys]
    [HKEY_LOCAL_MACHINE\system\controlset001\services\U bh06]
    [HKEY_LOCAL_MACHINE\system\controlset002\services\U bh06]
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\Ubh06]
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\r oot\legacy_Ubh06]
    [HKEY_LOCAL_MACHINE\system\controlset001\enum\root\ legacy_Ubh06]
    [HKEY_LOCAL_MACHINE\system\controlset002\enum\root\ legacy_Ubh06]
    [HKEY_LOCAL_MACHINE\system\controlset001\services\k qW28]
    [HKEY_LOCAL_MACHINE\system\controlset002\services\k qW28]
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\kqW28]
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\r oot\legacy_kqW28]
    [HKEY_LOCAL_MACHINE\system\controlset001\enum\root\ legacy_kqW28]
    [HKEY_LOCAL_MACHINE\system\controlset002\enum\root\ legacy_kqW28]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geBrsRkl]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WinCtrl32]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WLCtrl32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws]
    [HKEY_CURRENT_USER\Software\Microsoft\affri]
    [HKEY_CURRENT_USER\Software\Microsoft\rdfa]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{02E857FD-2262-415D-BC0F-124F9E6241F0}]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{33940B89-B786-4278-A55C-285A98BAAB2A}]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{CED9F311-4D80-4EFF-AEB6-909B56045850}]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{EF4CC146-43C9-4741-8D21-EB5035A4EBEC}]
    stessa procedura: salvalo come CFScript.txt, chiudi tutte le applicazioni, disattiva l'antivirus e trascina il file di testo sull'icona di combofix. Non toccare il pc.

    vai nelle proprietà di questi files e dimmi se trovi l'applicazione cui fanno riferimento o il produttore.
    C:\WINNT\cfgspyms.ini
    C:\WINNT\cfgrs.ini
    C:\WINNT\TEMP\KN812E.EXE
    PKL8LMST.exe (devi trovarlo)

    In mancanza di queste informazioni, analizzali su Virustotal, salva e posta i risultati.

    svuota C:\WINNT\Prefetch

    Esegui Hijackthis, clicca sul tasto "Do a system scan only", spunta le seguenti voci ancora presenti e clicca su "fix Checked" (sono 12 voci)
    O2 - BHO: (no name) - {02E857FD-2262-415D-BC0F-124F9E6241F0} - C:\WINNT\system32\opnlLcYQ.dll (file missing)
    O2 - BHO: (no name) - {CED9F311-4D80-4EFF-AEB6-909B56045850} - C:\DOCUME~1\PAGLIO~1\IMPOST~1\Temp\nnnOeEVM.dll (file missing)
    O2 - BHO: (no name) - {EF4CC146-43C9-4741-8D21-EB5035A4EBEC} - C:\WINNT\system32\geBrsRkl.dll (file missing)
    O20 - Winlogon Notify: geBrsRkl - C:\WINNT\
    potresti fare a meno anche di queste:
    O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'SERVIZIO LOCALE')
    O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Programmi\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVIZIO LOCALE')
    O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'SERVIZIO DI RETE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Programmi\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SERVIZIO DI RETE')
    O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Programmi\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programmi\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
    Volendole ripristinare, esegui hijackthis, clicca su "View the list of backups" => "backups" => spunta le voci interessate => clicca su restore

    Restano eventualmente da ripulire i files che analizzerai.. poi dovrebbe essere tutto ok.

    Ciao
    ...
    :x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
    Rispondi quotando Rispondi quotando
  8. 12-06-2008, 18:38 #18
    faith72
    faith72 non è in linea
    Utente di HTML.it
    Registrato dal
    Jun 2008
    Messaggi
    17
    perdonarti di che?????????!!!!!!!!
    vabbè, non ho parole, grazie mille...
    se vuoi dare un'ultima occhiata

    http://www.savefile.com/files/1605763

    ciao
    Rispondi quotando Rispondi quotando
  9. 12-06-2008, 22:31 #19
    Deifobe
    Deifobe non è in linea
    Utente di HTML.it L'avatar di Deifobe
    Registrato dal
    Oct 2007
    Messaggi
    6,072
    non so se ridere o piangere, per ora rido... <<...devo riposarmi un po'..>>
    il primo script andava bene..
    Ti ho inserito altri files (del 16-05-2008)

    Esegui avenger e nella finestra che si apre copia/incolla:
    files to delete:
    C:\WINNT\TEMP\MH7925.EXE
    C:\WINNT\cfgms.ini
    C:\WINNT\cfgspyms.ini
    C:\WINNT\cfgrs.ini
    C:\WINNT\cfgrs_ex.ini
    C:\WINNT\cfgall.ini

    Drivers to disable:
    Ubh06
    kqW28

    Drivers to delete:
    Ubh06
    kqW28

    registry keys to delete:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winctrl32
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32
    HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geBrsRkl
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws
    HKEY_CURRENT_USER\Software\Microsoft\affri
    HKEY_CURRENT_USER\Software\Microsoft\rdfa]
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP
    HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{02E857FD-2262-415D-BC0F-124F9E6241F0}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{33940B89-B786-4278-A55C-285A98BAAB2A}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{CED9F311-4D80-4EFF-AEB6-909B56045850}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{EF4CC146-43C9-4741-8D21-EB5035A4EBEC}
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\Ubh06.sys
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\Ubh06.sys
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\kqW28.sys
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\kqW28.sys
    Spunta "Automatically disable any rootkits found" e clicca su "execute".
    Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato in c:\avenger e un nuovo systemscan

    se non funziona, devi eliminare manualmente quelle in SafeBoot (le ultime), se vuoi toglierle. Sono le uniche che non erano andate via.


    edit: mi è venuto un dubbio ed ho ricontrollato: non è che il pc ha delle restrizioni al registro, vero? Altrimenti possiamo stare una vita a cercare di eliminare le chiavi...

    Non ne vedo altre, ma le ricontrollo.. ad esempio questa ne è una:
    [HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
    DisablePersonalDirChange= 1 (0x1)

    1 = The policy is enabled. Users cannot move the My Documents folder

    ForceStartMenuLogOff= 1 (0x1)

    1 = The Log Off user name item appears in the Start menu, and users cannot remove it.
    ...
    :x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
    Rispondi quotando Rispondi quotando
  10. 13-06-2008, 09:40 #20
    faith72
    faith72 non è in linea
    Utente di HTML.it
    Registrato dal
    Jun 2008
    Messaggi
    17
    ciao, ecco il link http://www.savefile.com/files/1606939
    in effetti ho dovuto eliminare le chiavi sotto safeboot/minimal a mano; pensavo bastasse definire l'utente come amministratore ma ho visto che per la modifica dei registri c'è un altro
    livello di autorizzazioni... adesso sono scomparse. Solo una cosa; da avenger è uscito il messaggio che può cancellare solo chiavi sotto local_machine quindi sono rimaste lì le 2 sotto current_user. Se dici che è opportuno farlo, le cancello a mano.
    Ciao
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2026 vBulletin Solutions, Inc. All rights reserved.