si è l'ultimo fatto.......
dovrò ripetere tutto?!
si è l'ultimo fatto.......
dovrò ripetere tutto?!
sì, purtroppo.
Il problema di questo worm/rootkit deriva principalmente da crack, programmi... generalmente scaricati da reti P2P.
Segui questi passaggi:
- scarica questa utility sul desktop http://www.suspectfile.com/forum/vie...php?f=8&t=2761 non usarla finchè non abbiamo terminato la rimozione
- disconnettiti da internet
- disattiva il TeaTimer di SpyBot S&D
- esegui ComboFix con nome modificato, quello che ti avevo allegato
- postami il nuovo C:\ComboFix.txt
- esegui una nuova scansione con SystemScan
io domani sarò presente nel tardo pomeriggio, se ora non hai voglia o tempo fai tutto domani con calma.
Ciao
eccomi....grazie mille per tutte le indicazioni.
L'utility l'ho salvata su desktop.
Poi come disattivo il TeaTimer di SpyBot S&D...io l'avevo disistallato!!!?
Cmq ho riprovato....
ComboFix: http://freefilehosting.net/download/46520
SystemScan: http://freefilehosting.net/download/46521
speriamo sia la volta buona.......grazie mille!!!
Scarica Avira ma non installarlo
http://www.free-av.de/en/download/1/...antivirus.html
====
disconnettiti da internet
====
Apri il blocco note, copia ed incolla lo script
Clicca in alto a sx su "File" poi su "Salva con nome", dalla finestra che si apre clicca in corrispondenza di "Salva come:">seleziona "Tutti i file">nella casella "Nome file" scrivi fix.reg > salva il file sul desktop.Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
"drvsyskit"=-
;
====
Apri SystemScan>Clicca su "Removal Script".
All'interno del box bianco copia ed incolla i valori riportati qui sotto
ora clicca su "Proceed with removal" e poi su OK.Files to delete:
C:\Documents and Settings\Lulù\Dati applicazioni\drivers\winupgro.exe
C:\FindyKill.txt
C:\ComboFix.txt
C:\WINDOWS\system32\hclgodxc.txt
C:\WINDOWS\system32\qihpcgdf.txt
C:\Documents and Settings\Lulù\Dati applicazioni\drivers\wfsintwq.sys
C:\Programmi\FindyKill\Tools\winupgro.exe
C:\WINDOWS\system32\mdelk.exe
C:\Documents and Settings\Lulù\Desktop\afa.exe
C:\Documents and Settings\Lulù\Desktop\aaa.exe
Folders to delete:
C:\Qoobox
C:\Documents and Settings\Lulù\Dati applicazioni\drivers
registry keys to delete:
HKLM\system\currentcontrolset\services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente
====
Dezippa sul desktop Utility.zip (http://www.suspectfile.com/download/utility.zip)
eseguilo e clicca in sequenza (e solo una volta) SOLO sui numeri:
2
8
9
Riavvia
====
Dopo il riavvio esegui il file fix.reg (doppio click sul file)> accetta le modifiche.
Riavvia
====
Ora, abbiamo quasi finito
Allinterno del box bianco copia ed incolla i valori riportati qui sotto
ora clicca su "Proceed with removal" e poi su OK.files to move:
C:\Programmi\Adobe\Acrobat 7.0\Distillr\bak\Acrotray.exe | C:\Programmi\Adobe\Acrobat 7.0\Distillr\acrotray.exe
C:\Programmi\D-Tools\bak\daemon.exe | C:\Programmi\D-Tools\daemon.exe
C:\Programmi\File comuni\Roxio Shared\System\bak\EngUtil.exe | C:\Programmi\File comuni\Roxio Shared\System\EngUtil.exe
C:\Programmi\File comuni\Symantec Shared\bak\ccApp.exe | C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\bak\UsrPrmpt.exe | C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programmi\iTunes\bak\iTunesHelper.exe | C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Java\jdk1.5.0_06\jre\bin\jusched.exe | C:\Programmi\Java\jre1.5.0_06\bin\bak\jusched.exe
C:\Programmi\Nokia\Nokia PC Suite 6\bak\LAUNCH~1.EXE | C:\Programmi\Nokia\Nokia PC Suite 6\LAUNCH~1.EXE
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe | C:\Programmi\Nokia\Nokia PC Suite 6\bak\PcSync2.exe
C:\Programmi\Yahoo!\Messenger\bak\YahooMessenger.e xe | C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe
C:\WINDOWS\vsnpstd2.exe | C:\WINDOWS\bak\vsnpstd2.exe
C:\WINDOWS\system32\ctfmon.exe | C:\WINDOWS\system32\bak\ctfmon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_S 4I0S2.EXE | C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S4I0S 2.EXE
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente.
Portati in C:\ postami il contenuto del log generato da Avenger (avenger.txt) allega un nuovo report di SystemScan
Installa Avira, aggiornalo ed esegui una scansione.
Carica su www.freefilehosting.net
il log generato.
Grazie.
PS
se ti è più comodo ed io credo di sì stampati la procedura
Ciao
ho fatto "quasi" tutto, solo che non sò se l'esecuzione dell'utility è andata come doveva perchè la schermata si chiudeva subito...spero di si cmq!!!
Ecco avenger:
__________________________________________________ __________________________
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\buiniaef
*******************
Script file located at: \??\C:\Documents and Settings\udnbvyyq.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\Documents and Settings\Lulù\Dati applicazioni\drivers\winupgro.exe deleted successfully.
File C:\FindyKill.txt not found!
Deletion of file C:\FindyKill.txt failed!
Could not process line:
C:\FindyKill.txt
Status: 0xc0000034
File C:\ComboFix.txt not found!
Deletion of file C:\ComboFix.txt failed!
Could not process line:
C:\ComboFix.txt
Status: 0xc0000034
File C:\WINDOWS\system32\hclgodxc.txt not found!
Deletion of file C:\WINDOWS\system32\hclgodxc.txt failed!
Could not process line:
C:\WINDOWS\system32\hclgodxc.txt
Status: 0xc0000034
File C:\WINDOWS\system32\qihpcgdf.txt not found!
Deletion of file C:\WINDOWS\system32\qihpcgdf.txt failed!
Could not process line:
C:\WINDOWS\system32\qihpcgdf.txt
Status: 0xc0000034
File C:\Documents and Settings\Lulù\Dati applicazioni\drivers\wfsintwq.sys deleted successfully.
File C:\Programmi\FindyKill\Tools\winupgro.exe not found!
Deletion of file C:\Programmi\FindyKill\Tools\winupgro.exe failed!
Could not process line:
C:\Programmi\FindyKill\Tools\winupgro.exe
Status: 0xc0000034
File C:\WINDOWS\system32\mdelk.exe deleted successfully.
File C:\Documents and Settings\Lulù\Desktop\afa.exe not found!
Deletion of file C:\Documents and Settings\Lulù\Desktop\afa.exe failed!
Could not process line:
C:\Documents and Settings\Lulù\Desktop\afa.exe
Status: 0xc0000034
File C:\Documents and Settings\Lulù\Desktop\aaa.exe not found!
Deletion of file C:\Documents and Settings\Lulù\Desktop\aaa.exe failed!
Could not process line:
C:\Documents and Settings\Lulù\Desktop\aaa.exe
Status: 0xc0000034
Folder C:\Qoobox not found!
Deletion of folder C:\Qoobox failed!
Could not process line:
C:\Qoobox
Status: 0xc0000034
Folder C:\Documents and Settings\Lulù\Dati applicazioni\drivers deleted successfully.
Registry key HKLM\system\currentcontrolset\services\srosa deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa failed!
Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
Status: 0xc0000034
Program C:\Documents and Settings\Lulù\Desktop\sys11091.exe successfully set up to run once on reboot.
Completed script processing.
*******************
Finished! Terminate.
__________________________________________________ _____________________
SystemScan: http://freefilehosting.net/download/465c9
Nn riesco ad installare Avira mi dice che non può creare basic/avarkt.dll, ho provato a riavviare a ripetere l'installazione più volte chiudendo tutte le applicazioni e disconnettendomi da internet ma nulla!!1 :rollo:
Capita però che ogni volta al riavvio si apre un file del blocco note che si chiama desktop in cui c'è scritto:
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell 32.dll,-21787
mi devo preoccupare?
Nn so come ringraziarti....ti farò una statua di oro!!!!
Le statue ed i mezzi busti si facevano per ricordare persone passate a vita migliore... preferisco tu mi offra una buona birra
Non capivo come mai si ricreava l'infezione, infatti anche dal tuo ultimo report l'infezione è ancora presente.
Poi guardando con più attenzione Systemscan ho controllato gli eseguibili e fra questi mi ha insospettito uno, o meglio il suo MD5 e il packer usato "Themida"
Essendo un eseguibile in background, ad ogni riavvio si eseguiva e reinfettava la macchina
"msnmsgr"="\"C:\Programmi\MSN Messenger\msnmsgr.exe\" /background"
MD5: 97b3e6fbf648d34a889c468a58f516a7
Segui questa procedura dovrebbe essere l'ultima lo spero per te soprattutto
===================
Apri il Blocco note ed inserisci al suo interno questo script, fai un copia/incolla
Clicca in alto a sx su "File" poi su "Salva con nome", dalla finestra che si apre clicca in corrispondenza di "Salva come:">seleziona "Tutti i file">nella casella "Nome file" scrivi fix.reg > salva sul desktop.Windows Registry Editor Version 5.00
[-HKEY_USERS\.DEFAULT\Software\bisoft]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"drvsyskit"=-
"german.exe"=-
"mule_st_key"=-
"msnmsgr"="-
;
Esegui fix.reg, accetta le modifiche ma non riavviare.
Apri SystemScan clicca su "Removal Script".
Allinterno del box bianco copia ed incolla i valori riportati qui sotto
ora clicca su "Proceed with removal" e poi su OK.Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
registry keys to delete:
HKLM\system\currentcontrolset\services\srosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\ LEGACY_SROSA
Files to delete:
C:\Documents and Settings\Lulù\Dati applicazioni\drivers\srosa.sys
C:\Documents and Settings\Lulù\Dati applicazioni\drivers\winupgro.exe
C:\WINDOWS\system32\wintems.exe
c:\windows\system32\ban_list.txt
c:\windows\system32\mdelk.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Lulù\Dati applicazioni\m\flec006.exe
C:\Documents and Settings\Lulù\Dati applicazioni\drivers\srosa2.sys
C:\Documents and Settings\Lulù\Dati applicazioni\drivers\wfsintwq.sys
Folders to delete:
C:\Documents and Settings\Lulù\Dati applicazioni\drivers
C:\Documents and Settings\Lulù\Dati applicazioni\m
files to move:
C:\Programmi\Java\jre1.5.0_06\bin\bak\jusched.exe | C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Nokia\Nokia PC Suite 6\bak\PcSync2.exe | C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\WINDOWS\bak\vsnpstd2.exe | C:\WINDOWS\vsnpstd2.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente.
Postami il nuovo avenger.txt e un nuovo SystemScan (spriamo l'ultimo)
Conosci questi file? Falli analizzare su www.virustotal.com e posta i link dei risultati
C:\Documents and Settings\Lulù\Desktop\afa.exe
C:\Documents and Settings\Lulù\Desktop\aaa.exe
per il problema del Notepad leggi al link
http://support.microsoft.com/kb/330132/it
viene descritto il problema e la soluzione
NB:
vedi se dopo tutte le procedure e dopo avermi postato i lig riesci ad installare Avira
ok ok niente statua allora.....vada per la birra!!!!!
i file afa e aaa sono miei tentativi di rinominare comboFix perchè non partiva l'esecuzione...ed io di ferro continuavo a rinominare....e solo dopo ho capito ke quando salvavo dovevo cambiargli nome...
cmq sto eseguendo systemScan....più tardi ti aggiorno sui risultati!!!
grazie mille
P.s:ma cm hai imparato tutte queste cose?
File avenger:
__________________________________________________ ___________________________
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\mlbvnonp
*******************
Script file located at: \??\C:\Documents and Settings\bofgxfjm.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Registry key HKLM\system\currentcontrolset\services\srosa deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa failed!
Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\s rosa
Status: 0xc0000034
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa failed!
Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s rosa
Status: 0xc0000034
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa failed!
Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\s rosa
Status: 0xc0000034
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa failed!
Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\s rosa
Status: 0xc0000034
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SROSA deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_SROSA not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_SROSA failed!
Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_SROSA
Status: 0xc0000034
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_SROSA deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ LEGACY_SROSA not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ LEGACY_SROSA failed!
Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ LEGACY_SROSA
Status: 0xc0000034
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\ LEGACY_SROSA not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\ LEGACY_SROSA failed!
Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\ LEGACY_SROSA
Status: 0xc0000034
File C:\Documents and Settings\Lulù\Dati applicazioni\drivers\srosa.sys not found!
Deletion of file C:\Documents and Settings\Lulù\Dati applicazioni\drivers\srosa.sys failed!
Could not process line:
C:\Documents and Settings\Lulù\Dati applicazioni\drivers\srosa.sys
Status: 0xc0000034
File C:\Documents and Settings\Lulù\Dati applicazioni\drivers\winupgro.exe deleted successfully.
File C:\WINDOWS\system32\wintems.exe deleted successfully.
File c:\windows\system32\ban_list.txt deleted successfully.
File c:\windows\system32\mdelk.exe deleted successfully.
File C:\Programmi\MSN Messenger\msnmsgr.exe deleted successfully.
File C:\Documents and Settings\Lulù\Dati applicazioni\m\flec006.exe deleted successfully.
File C:\Documents and Settings\Lulù\Dati applicazioni\drivers\srosa2.sys deleted successfully.
File C:\Documents and Settings\Lulù\Dati applicazioni\drivers\wfsintwq.sys deleted successfully.
Folder C:\Documents and Settings\Lulù\Dati applicazioni\drivers deleted successfully.
Folder C:\Documents and Settings\Lulù\Dati applicazioni\m deleted successfully.
File move operation C:\Programmi\Java\jre1.5.0_06\bin\bak\jusched.exe| C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe completed successfully.
File move operation C:\Programmi\Nokia\Nokia PC Suite 6\bak\PcSync2.exe|C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe completed successfully.
File move operation C:\WINDOWS\bak\vsnpstd2.exe|C:\WINDOWS\vsnpstd2.ex e completed successfully.
File move operation C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\syst em32\ctfmon.exe completed successfully.
Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.
Program C:\Documents and Settings\Lulù\Desktop\sys11091.exe successfully set up to run once on reboot.
Completed script processing.
*******************
Finished! Terminate.
__________________________________________________ __________________________
Systemscan: http://freefilehosting.net/download/465g3
Mi sa che ho sbagliato un passaggio però...non so se sia importante...ossia il file fix.reg l'ho eseguito ma alla fine di tutto....incide sulla pulizia???Devo ripetere tutto??
Avira non và!!!!!!
all'inizio m'è venuto un colpo perchè ho visto nuovamente i file ancora presenti... poi ho guardato la data di scansione e mi sono un attimino rilassato...
Hai inserito il link al report del 18.03.2009 che non è sicuramente l'ultimo che hai fatto
Guarda meglio all'interno della cartella suspectfile che hai sul desktop dovresti avere la scansione del 19.03.2009
Sono mortificata....scusa!!!
SystemScan: http://freefilehosting.net/download/4665b
Permessi di invio
Rispondi quotando