trojan

**Deifobe** · 07-01-2009, 00:01

si, ci sono un paio di cosette..

....e non so nemmeno se i file sono tutti li' perchè si arrivava fino a 59 gg... ossia il pc è infetto da almeno due mesi...

1) il primo intervento è molto delicato e devi farlo con molta attenzione . Se stampi questa pagina è meglio.

Apri il registro -> Start / Esegui ,digita regedit e dai l'ok
Portati in questa chiave :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Clicca su winlogon e, nella finestra a destra, trova "Userinit"

Nella colonna "dati" vedrai scritto:

c:\windows\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,

Tutto quello scritto in rosso è la parte che dovrai eliminare, guardala bene

Per eliminarla fai doppio clic su "userinit" e, nella finestra che si apre, elimina solo

C:\WINDOWS\system32\twext.exe,

(ricorda: devi togliere anche la virgola finale)

Al termine della modifica, nella finestra deve esserci scritto esattamente:

c:\windows\system32\userinit.exe,

(virgola compresa, mi raccomando!)

ATTENZIONE a non eliminare altro, altrimenti il computer non sarà più in grado di riavviarsi!!!

Chiudi il registro e riavvia il sistema

se qualcosa non ti è chiaro non toccare nulla e chiedi.

2) apri un file di testo e copiaci dentro:

Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"brastk"=-
"rs32net"=-

[HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\Run]
"rs32net"=-

[HKey_Local_Machine\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile]
"EnableFirewall"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
;

salvalo come:
nome: fix.reg
tipo di file: tutti i file

chiudi ed eseguilo. accetta le modifiche

3) Scarica ed esegui Avenger e nella finestra che si apre copia/incolla:

folders to delete:
C:\FOUND.075
C:\FOUND.074
C:\FOUND.073
C:\FOUND.072
C:\FOUND.071
C:\FOUND.070
C:\FOUND.069
C:\FOUND.068
C:\FOUND.067
C:\FOUND.066
C:\FOUND.065
C:\FOUND.064
C:\FOUND.063
C:\FOUND.062
C:\FOUND.061
C:\FOUND.060
C:\FOUND.059
C:\FOUND.058
C:\FOUND.057
C:\FOUND.056
C:\FOUND.055
C:\FOUND.054
C:\FOUND.053
C:\FOUND.009
C:\FOUND.008
C:\FOUND.007
C:\FOUND.006
C:\FOUND.005
C:\FOUND.004
C:\FOUND.003
C:\FOUND.002
C:\WINDOWS\system32\twain_32

files to delete:
C:\sqmnoopt16.sqm
C:\sqmdata16.sqm
C:\sqmdata15.sqm
C:\sqmnoopt15.sqm
C:\sqmnoopt14.sqm
C:\sqmdata14.sqm
C:\sqmdata13.sqm
C:\sqmnoopt13.sqm
C:\sqmnoopt12.sqm
C:\sqmdata12.sqm
C:\sqmdata11.sqm
C:\sqmnoopt11.sqm
C:\sqmdata10.sqm
C:\sqmnoopt10.sqm
C:\sqmdata09.sqm
C:\sqmnoopt09.sqm
C:\sqmdata08.sqm
C:\sqmnoopt08.sqm
C:\sqmnoopt07.sqm
C:\sqmdata07.sqm
C:\sqmnoopt06.sqm
C:\sqmdata06.sqm
C:\sqmnoopt05.sqm
C:\sqmdata05.sqm
C:\sqmdata04.sqm
C:\sqmnoopt04.sqm
C:\sqmnoopt03.sqm
C:\sqmdata03.sqm
C:\sqmnoopt02.sqm
C:\sqmdata02.sqm
C:\sqmdata01.sqm
C:\sqmnoopt01.sqm
C:\sqmnoopt19.sqm
C:\sqmdata19.sqm
C:\sqmnoopt18.sqm
C:\sqmdata18.sqm
C:\sqmdata17.sqm
C:\sqmnoopt17.sqm
C:\WINDOWS\karna.dat
C:\WINDOWS\namew.vbs
C:\WINDOWS\ovasur.db
C:\WINDOWS\ypofyzydi.inf
C:\WINDOWS\imakaduver.ban
C:\WINDOWS\jyjuka.dl
C:\WINDOWS\system32\winctrl32.dll
C:\WINDOWS\system32\WinCtrl32.dll.ren
C:\WINDOWS\system32\wini10497.exe
C:\WINDOWS\system32\delself.bat
C:\WINDOWS\system32\wini10491.exe
C:\WINDOWS\system32\wini10495.exe
C:\WINDOWS\system32\p.ico
C:\WINDOWS\system32\s.ico
C:\WINDOWS\system32\c.ico
C:\WINDOWS\system32\m.ico
C:\WINDOWS\system32\wini1049357.exe
C:\WINDOWS\system32\rotojoqozo.reg
C:\WINDOWS\system32\nutybe.db
C:\WINDOWS\system32\uwuqabu.inf
C:\WINDOWS\system32\_scui.cpl.ren
C:\Programmi\File comuni\gigoqyw.exe
C:\Programmi\File comuni\zowere.ban
C:\WINDOWS\temp\BN27.tmp
C:\WINDOWS\temp\BN26.tmp
C:\WINDOWS\temp\BN25.tmp
C:\WINDOWS\temp\BN24.tmp
C:\WINDOWS\temp\BN23.tmp
C:\WINDOWS\temp\BN22.tmp
C:\WINDOWS\temp\BN21.tmp
C:\WINDOWS\temp\BN20.tmp
C:\WINDOWS\temp\BN7.tmp
C:\WINDOWS\temp\BN4.tmp
C:\WINDOWS\temp\BN3.tmp
C:\WINDOWS\temp\BN1F.tmp
C:\WINDOWS\temp\BN1E.tmp
C:\WINDOWS\temp\BN1D.tmp
C:\WINDOWS\temp\BN1C.tmp
C:\WINDOWS\temp\BN1B.tmp
C:\WINDOWS\temp\BN1A.tmp
C:\WINDOWS\temp\BN19.tmp
C:\WINDOWS\temp\BN18.tmp
C:\WINDOWS\temp\BN17.tmp
C:\WINDOWS\temp\BN16.tmp
C:\WINDOWS\temp\BN15.tmp
C:\WINDOWS\temp\BN14.tmp
C:\WINDOWS\temp\BN13.tmp
C:\WINDOWS\temp\BN12.tmp
C:\WINDOWS\temp\BN11.tmp
C:\WINDOWS\temp\BN10.tmp
C:\WINDOWS\temp\BNF.tmp
C:\WINDOWS\temp\BNE.tmp
C:\WINDOWS\temp\BND.tmp
C:\WINDOWS\temp\BNC.tmp
C:\WINDOWS\temp\BNB.tmp
C:\WINDOWS\temp\BNA.tmp
C:\WINDOWS\temp\BN8.tmp
C:\WINDOWS\temp\BN9.tmp
C:\WINDOWS\temp\BN6.tmp
C:\WINDOWS\temp\BN5.tmp
C:\WINDOWS\temp\BN2.tmp
C:\WINDOWS\temp\BN1.tmp
C:\WINDOWS\system32\drivers\Winnr72.sys
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\System32\rs32net.exe
C:\WINDOWS\system32\twext.exe
C:\WINDOWS\system32\twain_32\user.ds
C:\WINDOWS\system32\twain_32\local.ds

registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset001\services\W innr72
HKEY_LOCAL_MACHINE\system\controlset002\services\W innr72
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\Winnr72
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\r oot\legacy_Winnr72
HKEY_LOCAL_MACHINE\system\controlset001\enum\root\ legacy_Winnr72
HKEY_LOCAL_MACHINE\system\controlset002\enum\root\ legacy_Winnr72

Spunta "Automatically disable any rootkits found" e clicca su "execute". Il pc si riavvierà.

Probabilmente le chiavi in verde non andranno via... in quel caso useremo combofix..

4) analizza su Virustotal il file C:\WINDOWS\system32\drivers\beep.sys e posta il link dell'analisi.

5) (questo non sei obbligato a farlo ma mi faresti una cortesia..)
zippa la cartella c:\Avenger e caricala su Freefilehosting e inviami il link con un messaggio privato (questo link non postarlo sul forum, mi raccomando )

6) posta un nuovo systemscan

buon lavoro

...e mi raccomando il link di avenger... non postarlo sul forum

dei

Discussione: trojan

Strumenti discussione

Ricerca discussione

Visualizza

Visualizzazione discussione

Permessi di invio