Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 9 su 9
  1. 05-11-2007, 12:55 #1
    HellsAngel
    HellsAngel non è in linea
    Utente di HTML.it
    Registrato dal
    Oct 2005
    Messaggi
    55

    Probabile rootkit e dialer

    Il computer della mia ragazza ha qualche problema, quello più evidente è che alcune volte si disconnette da solo dalla sua connessione predefinita per poi tentare di riconnettersi ad un altro numero che fortunatamente viene bloccato dalla Telecom.
    Per tentare di risolvere questo problema ho provato a fare una scansione con Systemscan che però veniva chiuso automaticamente, quindi ho provato a fare una scansione con il tool di rimozione del Linkoptizer, ecco il suo log:

    Symantec Trojan.Linkoptimizer Removal Tool 1.0.8

    G:\Programmi\File comuni\SYSTEM\com6.exe: (deleted)
    G:\WINNT\system32\aux.nuh: (deleted)

    Trojan.Linkoptimizer has been successfully removed from your computer!

    Here is the report:

    The total number of the scanned files: 62716
    The number of deleted threat files: 2
    The number of threat processes terminated: 0
    The number of threat threads terminated: 0
    The number of registry entries fixed: 0

    The tool initiated a system reboot.

    registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (cleared)
    Nonostante tutto Systemscan continuava a chiudersi da solo e quindi ho provato ad avviarlo terminando il processo "explorer.exe" da task manager.
    Finalmente in questo modo sono riuscito a fare la scansione di Systemscan, ecco il log:

    http://www.sendmefile.com/00592369
    Rispondi quotando Rispondi quotando
  2. 05-11-2007, 20:02 #2
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    non fare connettere il pc della tua ragazza in internet anche solo per postare i risultati dei vari log.
    Quando avremo rimosso tutto, solo allora, potrà collegarsi nuovamente
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  3. 05-11-2007, 20:47 #3
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    Avvia il file avenger.exe
    Seleziona l'opzione "Input Script Manually"
    Clicca sulla lente d'ingrandimento

    Ti si apre lafinestra "View/edit script"
    All'interno del box bianco, copia e incolla il seguente codice


    Registry values to replace with dummy:
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

    registry keys to delete:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

    registry values to delete:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run |srvjchaa
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run |axis web cake second

    Files to delete:
    c:\windows\system32\iocsiuwe.log
    C:\DOCUME~1\utente\IMPOST~1\Temp\sta18B.exe
    C:\DOCUME~1\utente\IMPOST~1\Temp\sta14C.exe
    C:\DOCUME~1\utente\IMPOST~1\Temp\staE2.exe
    C:\DOCUME~1\utente\IMPOST~1\Temp\staF9.exe
    C:\DOCUME~1\utente\IMPOST~1\Temp\D653F3EC.TMP
    C:\DOCUME~1\utente\IMPOST~1\Temp\IH10A.tmp
    c:\windows\system32\srvjchaa.exe
    C:\DOCUME~1\utente\DATIAP~1\ONEREA~1\dumb second.exe
    C:\WINDOWS\tasks\pwzedz.job

    Folders to delete:
    C:\Documents and Settings\All Users\Dati applicazioni\Book Slow Axis Web
    Clicca sul pulsante Done
    Clicca sull'icona del semaforo verde
    Rispondi Yes
    Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente

    Portati in C:\ postami il contenuto del log generato da Avenger


    NB
    solo se avenger dovesse chiudersi:

    - copia lo script che ti ho postato
    - entra nella task-manager
    - termina il processo explorer.exe
    - clicca in alto su "File"
    - clicca su "Nuova operazione"
    - clicca su "Sfoglia" e cerca il percorso di avenger.exe
    - esegui avenger.exe e procedi come al solito


    NB2
    Crea una nuova cartella sul desktop (chiamala ad esempio nuovo hosts ) scarica e dezippa al suo interno http://www.mvps.org/winhelp2002/hosts.zip
    Copia il file HOSTS ed incollalo in C:\WINDOWS\SYSTEM32\DRIVERS\ETC in presenza di un vecchio file di HOSTS ti verrà chiesta l'autorizzazione di sostituirlo. Rispondi Sì.

    Riavvia
    esegui una nuova scansione con SystemScan
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  4. 06-11-2007, 02:53 #4
    HellsAngel
    HellsAngel non è in linea
    Utente di HTML.it
    Registrato dal
    Oct 2005
    Messaggi
    55
    Ecco il log della nuova scansione di Systemscan

    http://www.sendmefile.com/00592624

    Purtroppo ho dimenticato di portare con me il log di Avenger che quindi è rimasto nel pc della mia ragazza e adesso non posso postarlo. Lo potrò inserire domani!
    Rispondi quotando Rispondi quotando
  5. 06-11-2007, 10:40 #5
    HellsAngel
    HellsAngel non è in linea
    Utente di HTML.it
    Registrato dal
    Oct 2005
    Messaggi
    55
    Logfile of The Avenger version 1, by Swandog46
    Running from registry key:
    \Registry\Machine\System\CurrentControlSet\Service s\jmgsnjbt

    *******************

    Script file located at: \??\C:\WINDOWS\csvxsdiy.txt
    Script file opened successfully.

    Script file read successfully

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    File c:\windows\system32\iocsiuwe.log deleted successfully.
    File C:\DOCUME~1\utente\IMPOST~1\Temp\sta18B.exe deleted successfully.
    File C:\DOCUME~1\utente\IMPOST~1\Temp\sta14C.exe deleted successfully.
    File C:\DOCUME~1\utente\IMPOST~1\Temp\staE2.exe deleted successfully.
    File C:\DOCUME~1\utente\IMPOST~1\Temp\staF9.exe deleted successfully.
    File C:\DOCUME~1\utente\IMPOST~1\Temp\D653F3EC.TMP deleted successfully.
    File C:\DOCUME~1\utente\IMPOST~1\Temp\IH10A.tmp deleted successfully.
    File c:\windows\system32\srvjchaa.exe deleted successfully.
    File C:\DOCUME~1\utente\DATIAP~1\ONEREA~1\dumb second.exe deleted successfully.
    File C:\WINDOWS\tasks\pwzedz.job deleted successfully.
    Folder C:\Documents and Settings\All Users\Dati applicazioni\Book Slow Axis Web deleted successfully.
    Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe deleted successfully.
    Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run |srvjchaa deleted successfully.
    Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run |axis web cake second deleted successfully.

    Completed script processing.

    *******************

    Finished! Terminate.
    Rispondi quotando Rispondi quotando
  6. 06-11-2007, 12:42 #6
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    metti HijackThis in una nuova cartella e posizionala in C:\ o C:\Programmi ed elimina (non connesso e con il browser chiuso)

    O4 - HKCU\..\Run: [BitsAnti] C:\DOCUME~1\utente\DATIAP~1\ONEREA~1\dumb second.exe
    Riavvia

    Con The Avenger elimina (stessa procedura)
    Files to delete:
    C:\WINDOWS\temp\exp2C1.tmp
    Scarica CCleaner ed effettua una pulizia.
    Riavvia

    Aggiorna l'antivurs e fai una scansione del disco.
    Dovrebbe essere ok e può tornare a connettersi.
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  7. 06-11-2007, 15:32 #7
    Anakonda
    Anakonda non è in linea
    Utente bannato
    Registrato dal
    Mar 2007
    Messaggi
    60
    Se poi vuoi aggiornare automaticamente il file hosts ogni tanto scaricati "hostwebfilter"... se fai una ricerca su google lo scarichi in un attimo
    Rispondi quotando Rispondi quotando
  8. 06-11-2007, 15:58 #8
    HellsAngel
    HellsAngel non è in linea
    Utente di HTML.it
    Registrato dal
    Oct 2005
    Messaggi
    55
    Grazie, appena vado a casa sua faccio tutta la procedura.

    Nel frattempo vorrei chiedervi un'altra cosa... lei come antivirus ha NOD, va bene oppure è meglio se installo anche da lei avira antivir?
    Rispondi quotando Rispondi quotando
  9. 06-11-2007, 17:26 #9
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    Originariamente inviato da HellsAngel
    Grazie, appena vado a casa sua faccio tutta la procedura.

    Nel frattempo vorrei chiedervi un'altra cosa... lei come antivirus ha NOD, va bene oppure è meglio se installo anche da lei avira antivir?
    Nod32 è ottimo.
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2026 vBulletin Solutions, Inc. All rights reserved.