Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 8 su 8
  1. 06-02-2007, 23:37 #1
    sgent66
    sgent66 non è in linea
    Utente di HTML.it
    Registrato dal
    Feb 2007
    Messaggi
    19

    help ! non riesco a togliermi di mezzo un dialer !

    son due settimane che impazzisco con 'sto dialer, dopo un po che sono connesso ad internet mi butta giu' la line e inizia a fare un n. di telefono (immagino un 899, che ho cmq disabiltato da telecom).

    si installa un .exe con nome sempre diverso su /winnt/temp di 57k (come icona appaiono due labbra rosse ...)
    inserisce sul regisry una autoloading entry che lo fa rieseguire ad ogni ripartenza di windows.

    se anche elimino il file .exe + l'entry sul registry con hijackthis, dopo un po' mi ricompare di nuovo il dialer in /winnt/temp con un'altro nome.

    ho installato nod32 v2.5 e avg 7.1, ho scannato in disco con spybot+adaware+doctorspy : niente. (non ho nessun firewall)

    in precedenza avg mi aveva diagnosticato LOP.AH che avevo rimosso con l'utility di prevx ( ma questo credo che non c'entri, xk e' passato un po' di tempo da quando mi sono impestato di nuovo con questo dialer...).

    recentemente invece nod32 mi aveva segnalato come sospetto un nul.exe che sono riuscito a rimuovere (dopo varie peripezie) con una utility di eset + ho eliminato manualmente dal registry tutti i riferimenti al nul.exe.

    come ultima cosa ho provato a controllare i servizi di windows (ho w2k) ed ho trovato due cose strane. Tutti i servizi hanno nella colonna 'Connessione' LocalSystem, tranne due che hanno :
    .\ASPNET e .\iwUZkvUP

    possono essere questi ?
    posso fare danni se li disabilito ?
    hijackthis controlla le entry dei servizi di windows ?
    esiste da qualche parte documentazione di quali sono i servizi essenziali di windows e a cosa servono ? (in modo da poter riconoscere e stoppare cose inutili o dannose...)

    vi allego il log di hijackthis :

    Logfile of HijackThis v1.99.1
    Scan saved at 21.07.46, on 06/02/2007
    Platform: Windows 2000 SP3 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\Programmi\Eset\nod32krn.exe
    C:\WINNT\System32\nvsvc32.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    c:\winnt\system32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\LTSMMSG.exe
    C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
    C:\Programmi\Eset\nod32kui.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\Programmi\Skype\Phone\Skype.exe
    C:\Programmi\StopDialers\StopDialers.exe
    C:\Programmi\Skype\Plugin Manager\SkypePM.exe
    C:\WINNT\TEMP\z€nmaa.exe
    C:\Programmi\Adobe\Acrobat 4.0\Reader\AcroRd32.exe
    C:\Programmi\Internet Explorer\IEXPLORE.EXE
    C:\WINNT\system32\mmc.exe
    C:\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=hom e
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    R3 - Default URLSearchHook is missing
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [z€nmaa.exe] C:\WINNT\Temp\z€nmaa.exe
    O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5C48A176-FADF-4369-86F7-81E2D749C5D5}: NameServer = 193.70.152.15 193.70.152.25
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B4CE8F8C-B108-4DFA-924D-EE5541B4B873}: NameServer = 192.168.253.12
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe


    GRAZIE 1000 A CHIUNQUE MI PUO' DARE UNA MANO !!!
    stefano
    Rispondi quotando Rispondi quotando
  2. 07-02-2007, 15:46 #2
    ceppo
    ceppo non è in linea
    Utente bannato
    Registrato dal
    Oct 2006
    Messaggi
    30

    Allora

    ad occhio direi di verificare il file

    C:\WINNT\system32\svchost.exe che pero' puo' anche essere un file di sistema
    C:\WINNT\TEMP\z€nmaa.exe questo qui è fortemente sospetto!! anzi dire che lo devi eliminare quasi sicuramente

    C:\WINNT\System32\WBEM\WinMgmt.exe questo qui non so cosa sia. Cerca su google

    C:\Programmi\Adobe\Acrobat 4.0\Reader\AcroRd32.exe questo va aggiornato alla versione 8.0
    perche' è pieno di vulnerabilita'.

    Windows 2000 SP3 va aggiornato al SP4

    2 antivirus sul PC non possono stare.
    Io ti consiglio di tenere il nod32 o altrimenti passare a kaspersky 6 o ActiveVirusShiled di AOl che è la sua versione gratiuta semplificata.

    Il firewall ormai è indispensabile specialmete su win2000!!!!!!
    su questo s.o. serve come un antivirus

    Naviga con firefox con l'estensione noscript
    Rispondi quotando Rispondi quotando
  3. 07-02-2007, 23:07 #3
    sgent66
    sgent66 non è in linea
    Utente di HTML.it
    Registrato dal
    Feb 2007
    Messaggi
    19

    che faccio, formatto ?

    intanto grazie per la risposta precedente , riassumo quello che ho fatto :

    svchost.exe e' un processo di sistema...

    C:\WINNT\TEMP\z€nmaa.exe l'ho rimosso con hijackthis ed e' prorio il dialer, nel frattempo se ne e' creato un'altro con un'altro nome

    C:\WINNT\System32\WBEM\WinMgmt.exe ho cercato su google e viene descritto sul sito della microsoft per cui reputo sia un componente di w2k ...

    ho rimosso un antivirus, adesso ne ho solo uno di attivo (nod32)

    l'aggiornamento di adobe lo faro' non appena risolvo il problema del dialer (anche perche' farmi gli aggiornamenti in connessione col modem e' un po' lunghino ... )
    idem per il passaggio di w2k a SP4.

    ho eliminato anche il servizio 'indiziato come sospetto' con nome random di cui parlavo nel primo intervento, ma niente da fare : alla prima connessione internet, dopo un po', riemerge il bastardo di dialer ...

    ri-posto log hijackthis :

    Logfile of HijackThis v1.99.1
    Scan saved at 20.52.34, on 07/02/2007
    Platform: Windows 2000 SP3 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Programmi\Eset\nod32krn.exe
    C:\WINNT\System32\nvsvc32.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    c:\winnt\system32\winlogon.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\LTSMMSG.exe
    C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
    C:\Programmi\Eset\nod32kui.exe
    C:\Programmi\Skype\Phone\Skype.exe
    C:\Programmi\StopDialers\StopDialers.exe
    C:\Programmi\Skype\Plugin Manager\SkypePM.exe
    C:\WINNT\TEMP\zcziba.exe
    C:\WINNT\system32\taskmgr.exe
    C:\Programmi\Internet Explorer\iexplore.exe
    C:\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=hom e
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    R3 - Default URLSearchHook is missing
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [zcziba.exe] C:\WINNT\TEMP\zcziba.exe
    O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5C48A176-FADF-4369-86F7-81E2D749C5D5}: NameServer = 193.70.152.15 193.70.152.25
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B4CE8F8C-B108-4DFA-924D-EE5541B4B873}: NameServer = 192.168.253.12
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
    O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

    il zcziba.exe che vedi e' il nuovo nome che ha preso il virus un volta che l'ho cancellato.

    altre idee ? suggerimenti ? o sono costretto al suicidio (leggi riformattare...) ?!?!
    grazie,ciao
    ste
    Rispondi quotando Rispondi quotando
  4. 09-02-2007, 03:48 #4
    ceppo
    ceppo non è in linea
    Utente bannato
    Registrato dal
    Oct 2006
    Messaggi
    30

    Beh

    prova a fare una passata con un antirootkit gmer o quello delle gransi software house (www.antirootkit.com) o fare una scansione on-line con kaspersky. Controlla bene svchost.exe perche' con lo stesso nome puo' essere in virus o un file di sistema. Pero' se hai nod32 aggiornato dovrebbe beccare qualcosa se fai una scansione del disco. Controlla anche nella cartella "downloaded program files".
    Ed anche i BHO di internet explorer.
    Devi controllare se il file si crea all'avvio o quando apri explorer.
    Nel secondo caso e' il BHO a rompere
    Rispondi quotando Rispondi quotando
  5. 10-02-2007, 01:36 #5
    sgent66
    sgent66 non è in linea
    Utente di HTML.it
    Registrato dal
    Feb 2007
    Messaggi
    19

    ke e', un rootkit ?

    ho aggiornato w2k a SP4 che mi dicono essere + sicuro di SP3.
    nod32 non segnala niente, nemmenno in modalita' provvisoria.
    i BHO li ho tolti tutti con hijakthis, ma il bastardo resiste ... cmq ricompare quando sono connesso ed apro IE.

    gmer mi segnala questi rootkit :

    GMER 1.0.12.12027 - http://www.gmer.net
    Rootkit scan 2007-02-09 23:16:46
    Windows 5.0.2195 Service Pack 4
    ---- Kernel code sections - GMER 1.0.12 ----

    .text ntdll.dll!NtClose 784628C8 5 Bytes JMP 7203407A
    .text ntdll.dll!NtCreateSection 78465EB0 5 Bytes JMP 72034098
    .text ntdll.dll!NtCreateProcess 78472362 5 Bytes JMP 72034205

    ---- EOF - GMER 1.0.12 ----

    secondo te devo toglierli ? se si, come si fa ? :master:

    grassie boss !
    ste
    Rispondi quotando Rispondi quotando
  6. 10-02-2007, 03:59 #6
    ceppo
    ceppo non è in linea
    Utente bannato
    Registrato dal
    Oct 2006
    Messaggi
    30

    Allora

    la soluzione credo sia piu' semplice.Non mi sembra che tu abbia un rootkit.
    Io ti consiglio di scansionare l'HD con kaspersky. O lo fai on-line oppure disinstalli nod32
    che mi pare non stia facendo il suo dovere e installi kaspersky in versione trial.
    lo aggiorni e vedi cosa succede.
    Puo' darsi che sia semplicemente uno degli exe oppure uno dei servizi che carichi all'avvio ad essere il colpevole.
    Controlla il file services.exe.
    Se avessi il pc sottomano credo che riuscirei a ripulirlo sicuramente dall'infezione.

    Prova Kaspersky e poi mi fai sapere.

    Se non riesci neppure con quello allora prova avg antispyware (non l'antivirus)
    e poi drweb cure-it.

    Ah per capire cosa viene caricato all'avvio prova autoruns di SYSINTERNALS.
    Rispondi quotando Rispondi quotando
  7. 15-02-2007, 00:28 #7
    sgent66
    sgent66 non è in linea
    Utente di HTML.it
    Registrato dal
    Feb 2007
    Messaggi
    19

    mi suicidio !

    rieccomi.
    dopo ore e ore di download, o disattivato nod32 e ho attovato kaspersky, che mi segnala :

    Rilevati
    --------
    Stato Oggetto
    ----- -------
    eliminato: un programma trojan Trojan.Win32.Dialer.ru Il file: C:\WINNT\TEMP\cwujca.exe/PE_Patch.PECompact/PecBundle/PECompact

    kaspersky mi dice che elimina il .exe (effettivamente lo fa) ma dice di non essere in grado di rimuovere il trojan ( nei prox. giorni terro' d'occhio se torna fuori ... ma ho poche speranze che sia debellato ... )

    in compenso vado a rieseguire GMER e guarda un po' cosa mi trova alla voce ROOTKIT che prima era pulita !!! :

    GMER 1.0.12.12027 - http://www.gmer.net
    Rootkit scan 2007-02-14 22:13:27
    Windows 5.0.2195 Service Pack 4

    ---- System - GMER 1.0.12 ----

    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwClose
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwCreateKey
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwCreateProcess
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwCreateSection
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwCreateSymbolicLinkObject
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwCreateThread
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwDeleteKey
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwDeleteValueKey
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwDuplicateObject
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwEnumerateKey
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwEnumerateValueKey
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwFlushKey
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwInitializeRegistry
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwLoadKey
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwLoadKey2
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwNotifyChangeKey
    SSDT kl1.sys ZwOpenFile
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwOpenKey
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwOpenProcess
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwOpenSection
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwQueryKey
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwQueryMultipleValueKey
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwQuerySystemInformation
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwQueryValueKey
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwReplaceKey
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwRestoreKey
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwResumeThread
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSaveKey
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSetInformationFile
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSetInformationKey
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSetInformationProcess
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSetValueKey
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSuspendThread
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwTerminateProcess
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwUnloadKey
    SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwWriteVirtualMemory
    SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[248]
    SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[249]
    SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[250]
    SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[251]
    SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[252]
    SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[253]
    SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[254]
    SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[255]
    SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[256]
    SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[257]
    SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[258]
    SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[259]
    SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[260]

    ---- Kernel code sections - GMER 1.0.12 ----

    .text ntoskrnl.exe!IoIsOperationSynchronous 8041E992 7 Bytes JMP BEA7DC00 \??\C:\WINNT\system32\drivers\klif.sys
    .text ntoskrnl.exe!KiDispatchInterrupt + A2 80468E92 5 Bytes JMP BEA7FE10 \??\C:\WINNT\system32\drivers\klif.sys
    .text ntdll.dll!NtClose 784628C8 5 Bytes JMP 7203407A
    .text ntdll.dll!NtCreateSection 78465EB0 5 Bytes JMP 72034098
    .text ntdll.dll!NtCreateProcess 78472362 5 Bytes JMP 72034205

    ---- Threads - GMER 1.0.12 ----

    Thread 8:92 818563E0
    Thread 8:96 818563E0
    Thread 8:100 81806820
    Thread 8:104 81806820
    Thread 8:108 81806820
    Thread 8:144 818563E0
    Thread 8:148 818563E0


    COS'E' STA ROBA ?!?!? VVoVe: MI SONO PIGLIATO UN'ALTRA ROGNA ANCOR PRIMA DI RISOLVERE QUELLA CHE AVEVO ?


    ciao, e grazie ancora

    ps. nel frattempo io lancio tutti gli scan possibili immaginabili con kaspersky, in modalita' provvisoria, ecc. ecc. e poi riaggiorno la situazione
    Rispondi quotando Rispondi quotando
  8. 15-02-2007, 00:47 #8
    Topdrake
    Topdrake non è in linea
    Utente di HTML.it L'avatar di Topdrake
    Registrato dal
    Jul 2006
    Messaggi
    383
    fai questa procedura:
    http://forum.html.it/forum/showthrea...readid=1046884
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.