Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Controllo log

3 pages: 1 [2] 3
Controllo log Opzioni
Topic Precedente · Topic Sucessivo
lui49
Inviato: Tuesday, July 29, 2008 11:46:58 PM
Rank: AiutAmico

Iscritto dal : 5/4/2003
Posts: 2,845
No...niente
pensavo che fosse un problema facilmente risolvibile ma, evidentemente, mi sbagliavo. Non riesco nemmeno a rimettere in piedi una connessione decente...pur con tutti i parametri al posto giusto. Qualcosa deve essersi danneggiato in qualche ganglio vitale del sistema.
Bene....lasciamo riposare Acronis ancora per questa notte....domani si dovrà guadagnare la pagnotta (devo dire che lo ha sempre fatto onestamente). Sarà compito del padrone del pc salvare tutte le sue cosine (con due hd montati e con cinque partizioni a disposizione prova a indovinare in quale salva sempre tutto a ripetizione...!!)....dopo di che zac!

Ti sono sempre debitore.....segna sul conto....prima o poiiiiiiiiiiii...chissà

Ciao
Torna in alto
 
r16
Inviato: Wednesday, July 30, 2008 12:07:21 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Mi dispiace....
Comunque c'è una differeza fra i due log di HJT.
Sul primo log,hai questo programma:C:\WINDOWS\Explorer.EXE
Sul secondo , non c'è più.
E' stato sostituito da questo:C:\WINDOWS\explorer.exe
Nota le differenze.
Di una cosa sono sicuro,quello legittimo è il secondo,C:\WINDOWS\explorer.exe
Leggi Qui:
http://www.b2b24.ilsole24ore.com/pcopen/articoli/0,1254,4_ART_77104,00.html?lw=10000;CHL
Vai a vedere se trovi quel maledetto C:\WINDOWS\Explorer.EXE.
Torna in alto
 
lui49
Inviato: Wednesday, July 30, 2008 11:15:59 AM
Rank: AiutAmico

Iscritto dal : 5/4/2003
Posts: 2,845
ho trovato questi con la maiuscola davanti nel registro






non lo trovo il file che hai indicato


ho trovato questo:
Torna in alto
 
r16
Inviato: Wednesday, July 30, 2008 5:59:12 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Si trova nella cartella Prefetch
Provvedi a svuotare del suo contenuto la cartella Prefetch :


clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)
SVUOTA IL CESTINO
Torna in alto
 
lui49
Inviato: Wednesday, July 30, 2008 7:36:27 PM
Rank: AiutAmico

Iscritto dal : 5/4/2003
Posts: 2,845
Ho cancellato tutto....ma non cambia il risultato.....cribbio!
Torna in alto
 
r16
Inviato: Wednesday, July 30, 2008 8:13:56 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Fai anche questo:
lancia Hijackthis
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
lascia la spunta alla voce Ignore safe system info streams
togli la spunta alla voce Calculate md5 checksum of streams
clicca su Scan
se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected
Terminata la scansione, devi riavviare il sistema.

Trova e cancella questo file: (quello in rosso)
C:\WINDOWS\system32\drivers\ndisio.sys
Torna in alto
 
lui49
Inviato: Wednesday, July 30, 2008 9:10:29 PM
Rank: AiutAmico

Iscritto dal : 5/4/2003
Posts: 2,845
ho fatto....hijack ha cancellato due cosine nei temp, ho cancellato il sys (che però si rigenera)...ho scovato nel firewall di windows l'abilitazione all'accesso alla rete per explorer.EXE (l'ho eliminato)...ma il problema persiste...persiste...persiste
Torna in alto
 
r16
Inviato: Wednesday, July 30, 2008 9:31:40 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Bisogna eliminare quel file:
C:\WINDOWS\system32\drivers\ndisio.sys
Per forza.
Prova in Modalità Provvisoria.
Oppure prova con Unlocker :
http://www.aiutaamici.com/software?ID=11419
Se non ci riesci, scarica GMER:
Scarica GMER, poi segui i seguenti passaggi: http://www.gmer.net/gmer.zip

--- 1° passaggio ---
Avvia gmer
clicca su > > >
Clicca su Autostart
metti il segno di spunta a Show All
clicca su Scan





--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicca su Rootkit
clicca su Scan
al termine della scansione, Posta qui il log.
Oppure postami le eventuali voci in rosso.
Torna in alto
 
lui49
Inviato: Wednesday, July 30, 2008 9:41:15 PM
Rank: AiutAmico

Iscritto dal : 5/4/2003
Posts: 2,845
il file si cancella....ma al riavvio ricompare imperterrito...mi sembra una lotta contro i mulini a vento.
Torna in alto
 
r16
Inviato: Wednesday, July 30, 2008 9:44:22 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
lui49 ha scritto:
il file si cancella....ma al riavvio ricompare imperterrito...mi sembra una lotta contro i mulini a vento.

Fai Gmer .
Voglio capire qual'è la chiave che lo rigenera.
Torna in alto
 
lui49
Inviato: Wednesday, July 30, 2008 10:00:30 PM
Rank: AiutAmico

Iscritto dal : 5/4/2003
Posts: 2,845
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-07-30 21:59:03
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT 86AD8A38 ZwAlertResumeThread
SSDT 86AD89C8 ZwAlertThread
SSDT 86F9F408 ZwAllocateVirtualMemory
SSDT 86AB8110 ZwConnectPort
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwCreateKey [0xAAEAEEB0]
SSDT 86AA18C0 ZwCreateMutant
SSDT 86E63638 ZwCreateThread
SSDT 86AA1820 ZwDebugActiveProcess
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteKey [0xAAEAF130]
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0xAAEAF690]
SSDT 86E8D5A8 ZwFreeVirtualMemory
SSDT 86AD8B18 ZwImpersonateAnonymousToken
SSDT 86AD8AA8 ZwImpersonateThread
SSDT 86B90E78 ZwMapViewOfSection
SSDT 86C71460 ZwOpenEvent
SSDT 86AB47F8 ZwOpenProcessToken
SSDT 86B8E7A0 ZwOpenSection
SSDT 86C80E80 ZwOpenThreadToken
SSDT 86AB87C8 ZwResumeThread
SSDT 86AB48D8 ZwSetContextThread
SSDT 86C7A008 ZwSetInformationProcess
SSDT 86C85D90 ZwSetInformationThread
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0xAAEAF8E0]
SSDT 86C716D8 ZwSuspendProcess
SSDT 86AD8958 ZwSuspendThread
SSDT 86AC4FD0 ZwTerminateProcess
SSDT 86AB4948 ZwTerminateThread
SSDT 86AB4868 ZwUnmapViewOfSection
SSDT 86EA1958 ZwWriteVirtualMemory

---- User code sections - GMER 1.0.14 ----

.text C:\Programmi\Internet Explorer\iexplore.exe[2876] kernel32.dll!VirtualProtect + 1C 7C801AF0 7 Bytes JMP 02200034
.text C:\Programmi\Internet Explorer\iexplore.exe[2876] USER32.dll!DialogBoxParamW 7E3A47AB 5 Bytes JMP 435FF301 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[2876] USER32.dll!DialogBoxIndirectParamW 7E3B2072 5 Bytes JMP 43791667 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[2876] USER32.dll!MessageBoxIndirectA 7E3BA082 5 Bytes JMP 437915E8 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[2876] USER32.dll!DialogBoxParamA 7E3BB144 5 Bytes JMP 4379162C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[2876] USER32.dll!MessageBoxExW 7E3D0838 5 Bytes JMP 43791574 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[2876] USER32.dll!MessageBoxExA 7E3D085C 5 Bytes JMP 437915AE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[2876] USER32.dll!DialogBoxIndirectParamA 7E3D6D7D 5 Bytes JMP 437916A2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[2876] USER32.dll!MessageBoxIndirectW 7E3E64D5 5 Bytes JMP 436216B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[2876] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 022000B8
.text C:\Programmi\Internet Explorer\iexplore.exe[2876] ole32.dll!CoGetClassObject 774E56C5 5 Bytes JMP 0220013F

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume5 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----
Torna in alto
 
r16
Inviato: Wednesday, July 30, 2008 10:09:21 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Niente...Brick wall
Cercalo in regedit:
Clicca su Modifica (in alto).
Clicca su Trova.
Copia-incolla : C:\WINDOWS\system32\drivers\ndisio.sys
Oppure Copia-incolla ndisio.sys
Torna in alto
 
lui49
Inviato: Wednesday, July 30, 2008 10:14:48 PM
Rank: AiutAmico

Iscritto dal : 5/4/2003
Posts: 2,845
niente nel registro...


ci arrendiamo?

ho controllato in gmer tutti i processi in autostart ma non c'è nulla che punti alla sys
Torna in alto
 
r16
Inviato: Wednesday, July 30, 2008 10:18:55 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ma......non può rigenerarsi senza una chiave del registro!!!Brick wall
Non è un file di Sistema!!
lui49 : è lui il responsabile dei crash.
Torna in alto
 
r16
Inviato: Wednesday, July 30, 2008 10:23:40 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Scarica questo:Avenger
http://swandog46.geekstogo.com/avenger.zip

Avvia AVENGER
Clicca Ok
Inserisci queste righe nel riquadro bianco: (quelle in neretto)

Files to delete :
C:\WINDOWS\system32\drivers\ndisio.sys



Clicca su Execute
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger con un log aggiornato di hijackthis.
Torna in alto
 
lui49
Inviato: Wednesday, July 30, 2008 10:27:58 PM
Rank: AiutAmico

Iscritto dal : 5/4/2003
Posts: 2,845



beccato...avevo lasciato la spunta su stringa intera


si trova in tutte le cartelle Passthru
Torna in alto
 
r16
Inviato: Wednesday, July 30, 2008 10:30:21 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
FALLO FUORI!Applause
Torna in alto
 
lui49
Inviato: Wednesday, July 30, 2008 10:34:07 PM
Rank: AiutAmico

Iscritto dal : 5/4/2003
Posts: 2,845
si trova in tutte le cartelle Passthru
Torna in alto
 
r16
Inviato: Wednesday, July 30, 2008 10:36:50 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Spiegati meglio.
Torna in alto
 
lui49
Inviato: Wednesday, July 30, 2008 11:12:24 PM
Rank: AiutAmico

Iscritto dal : 5/4/2003
Posts: 2,845
ci sono due cartelle con la sys
eliminando le due chiavi però non riesco più a connettermi a internet.
ripristinando la copia del registro la connessione riprende.
Torna in alto
 
Utenti presenti in questo topic
Guest

3 pages: 1 [2] 3

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Controllo log


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.