|
|
Rank: AiutAmico
Iscritto dal : 4/5/2005
Posts: 22,971
|
Direi che il file NON è stato affatto analizzato da VirusTotal: c'è stato qualcosa che ha interrotto dall'inizio (e poi ad ogni successivo tentativo di ripresa) i tentativi d'inizio della scansione.
Condivido la scelta di provare con Gmer.
Ho appena controllato (sono in Windows, adesso): l'opzione "Visualizza cartelle e files nascosti" è -per l'esattezza- la seconda riga della lista.
|
|
Rank: AiutAmico
Iscritto dal : 1/2/2003
Posts: 68
|
ho scaricato gmer....bene... appena faccio scan mi spegne il pc e lo riavva (messaggio- pc riavviato a seguito grave errore )
|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
monse' probabilmente il rookit non lo fa' vedere ed e' per questo che e' meglio far girare gmer- avrei voluto toglierli a mano
|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
Commenta: ho scaricato gmer....bene... appena faccio scan mi spegne il pc e lo riavva (messaggio- pc riavviato a seguito grave errore ) che si riavvia dovrebbe essere normale devi vedere se trova delle voci in rosso se ti dice di riavviare, non farlo semmai ti segni il percorso e li togliamo a mano
|
|
Rank: AiutAmico
Iscritto dal : 1/2/2003
Posts: 68
|
gmer - anche in modalità provvisoria fa il riavvio
|
|
Rank: AiutAmico
Iscritto dal : 4/5/2005
Posts: 22,971
|
Dato che non gli fa girare neanche Gmer (gli fa spegnere il computer, per impedirlo), direi che si può tentare di farlo fuori da Modalità Provvisoria (posto che, in Modalità Provvisoria, il fetecchione non sia così forte da impedire lo stesso le scansioni) oppure usando allo scopo un CD-Live (in questo caso, il rootkit s'attacca: non può spegnere il computer perché nemmeno lui -essendo Windows totalmente addormentato- può essere "attivo")...
Ma, innanzitutto, direi di provare ad agire da Modalità Provvisoria: che ne dici?
|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
sono daccordo monse' ma io vorrei farli togliere a mano dal registro
|
|
Rank: AiutAmico
Iscritto dal : 4/5/2005
Posts: 22,971
|
Prova a fare così: vai in Modalità Provvisoria e apri il Task Manager (non lanciare Gmer!)...
Controlla se fra i Processi c'è, attivo, un servizio riconducibile a quel file: se c'è, "terminalo" senza pietà. Dopo di che, avvia Gmer.
|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
scarica Avenger da qui http://swandog46.geekstogo.com/avenger.ziplo installi e lo lanci Copi e incolli nella finestra: "Input script here" il testo in rosso così come lo vedi scritto: Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Files to delete:
C:\WINDOWS\syst32.dll
Spunta "Automatically disable any rootkits found" clicca sul pulsante "Execute" Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente posta il log di avenger che trovi in c:\
|
|
Rank: AiutAmico
Iscritto dal : 4/5/2005
Posts: 22,971
|
shapiro ha scritto:sono daccordo monse' ma io vorrei farli togliere a mano dal registro Se Scilipoti se la sente, mi par sia un'ottima idea...
|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
monse' proviamo prima con avenger
se dovesse fallire, passiamo al piano B, il tuo
comunque deve trovare i due file piu' pericolosi
C:\WINDOWS\service32.exe
e questo
C:\WINDOWS\syst32.dll
|
|
Rank: AiutAmico
Iscritto dal : 1/2/2003
Posts: 68
|
scusa, a qual file ti riferisci
|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
fai come ti ho indicato- tranquillo
vai con avenger e vediamo se lo toglie
|
|
Rank: AiutAmico
Iscritto dal : 4/5/2005
Posts: 22,971
|
Dai, Scilipoti: l'idea di Shapiro par buona; dovrebbe (almeno, spero) funzionare. Facci sapere. Per inciso, il fetecchione in questione pare si possa "coprire" usando nomi diversi. Fra essi: C:\WINDOWS\iexplorer32.dll C:\WINDOWS\mdm32.dll C:\WINDOWS\scrss32.dll C:\WINDOWS\spoolvs32.dll C:\WINDOWS\syshost.dll C:\WINDOWS\syst32.dll C:\WINDOWS\winsmgr32.dll ... E ce ne son pure altri (installa -alle volte- sul computer pure altri rootkits e, per cavarsi lo sfizio, anche uno o due virus)... insomma, non è che la scelta gli manchi! Ecco un thread (che si vale anche degli interventi dell'illustre Steve75 [col nick Steven75, ha collaborato anche su Aiutamici]) in cui viene affrontato il problema: http://www.wininizio.it/forum/index.php?showtopic=51185&st=0&In questo thread son rintracciabili molte varianti e comportamenti del "fetecchio" nostro, nonché taluni "servizi" da lui avviati...
|
|
Rank: AiutAmico
Iscritto dal : 1/2/2003
Posts: 68
|
fatto....?????....Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: file "C:\WINDOWS\syst32.dll" not found!
Deletion of file "C:\WINDOWS\syst32.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Registry value "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.
Completed script processing.
*******************
Finished! Terminate.
|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
se non ti riesce cosi' dovremo eliminare i file a mano
una delle chiavi e' questa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\
|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
monse' tu che conosci bene l'inglese, sembra che i file non esistono, non sono nel suo pc
|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
scilipoti riesci a vedere i file nascosti ora?
|
|
Rank: AiutAmico
Iscritto dal : 1/2/2003
Posts: 68
|
in policies non c'è la voce explorer
|
|
Rank: AiutAmico
Iscritto dal : 4/5/2005
Posts: 22,971
|
shapiro ha scritto:monse' tu che conosci bene l'inglese, sembra che i file non esistono, non sono nel suo pc Penso che i files esistano, ma che abbiano altri nomi. Ho postato un link, più sopra, ad una discussione in cui vendon fatti -per questo stesso rootkit- un bel po' di altri nomi. Fra l'altro, questo fetecchio pone, ad ogni avvio, in C:/WINDOWS, un file nnnnnnn.exe (spesso: 9129837.exe)...
|
|
|
Guest |