Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Log pulito?

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Postdi Ale89 » 02/10/06 23:30

l'ho scaricato..ma non me l'avvia...ma perchèèèèèè??!! :cry: :x
Ale89
Utente Senior
 
Post: 150
Iscritto il: 26/08/06 12:32
Località: Roma

Sponsor
 

Postdi holifay » 02/10/06 23:43

Provato anche dalla modalità provvisoria?

Se non dovesse andare, allora è un po´ grigia :(

Ci sono ancora due-tre possibilità, per come la vedo io:

1) Stacchi l'hard disk e lo colleghi ad un altro e poi fai girare il fix symantec

2) usi NTFS4DOS ammesso che tu abbia un filesystem NTFS ed elimini da DOS i file segnalati come infetti

3)te la cito per conoscenza, no per fartelo usare perchè non ho idea se funzionerà, nè se potrebbe crearti altri problemi. Stiamo preparando un tool che fa uso di BFU (dello sviluppatore di HijackThis) che dovrebbe resettare le chiavi di avvio del rootkit. Se vuoi provarlo, a tuo rischio.... lo avvii, rispondi Y e poi aspetti con pazienza. Quando si apre una finestra dove ti chiede una BHO, copia dentro questo valore:

1A61D6F4-65E4-1995-A9D6-FA0F70282222

Rispondi OK e poi segui le istruzioni. Dovrebbe chiederti di riavviare. Se funziona al riavvio dovresti poter usare il tool della Symantec.
Te lo carico su mytempdir: http://www.mytempdir.com/965977

Al termine dimmi quali file trovi nella cartella c:/suspectfile

Ciao
Pensi di avere un file infetto? Invialo a SuspectFile
holifay
Utente Junior
 
Post: 37
Iscritto il: 02/10/06 23:12

Postdi Ale89 » 02/10/06 23:45

domani proverò ad avviarlo in modalità provvisoria...spero bene...notte!
Ale89
Utente Senior
 
Post: 150
Iscritto il: 26/08/06 12:32
Località: Roma

Postdi Luke57 » 03/10/06 08:08

@Ale89.
Ciao, scusa non riesco a capire, Virit , suggerito da Andorra24, lo hai usato? Non ha bisogno di essere scompattato.

Scarica Virit: http://www.tgsoft.it/files/vnlt6121.exe
e installalo. versione di prova 30gg., Aggiornalo e fai una scansione in modalita' provvisoria
(per andare in mod.provvisoria:
Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows.
Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)

Dopo che avrai terminato la scansione con virit , posta il report e prova di nuovo a scaricare i 2 tools di rimozione e anche Gmer.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Ale89 » 03/10/06 14:52

Luke57 ha scritto:@Ale89.
Ciao, scusa non riesco a capire, Virit , suggerito da Andorra24, lo hai usato? Non ha bisogno di essere scompattato.

Scarica Virit: http://www.tgsoft.it/files/vnlt6121.exe
e installalo. versione di prova 30gg., Aggiornalo e fai una scansione in modalita' provvisoria
(per andare in mod.provvisoria:
Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows.
Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)

Dopo che avrai terminato la scansione con virit , posta il report e prova di nuovo a scaricare i 2 tools di rimozione e anche Gmer.


già l'avevo fatta la scansione con virit in modalità provvisoria,e gmer,dopo averlo scompattato,non si è avviato lo stesso!e quando la scansione con virit ilreport non me lo fa copiare e quindi non me lo fa postare!!!!!
Ale89
Utente Senior
 
Post: 150
Iscritto il: 26/08/06 12:32
Località: Roma

Postdi jhonny » 03/10/06 15:32

Ciao a tutti non centra molto ma linkoptimizer vi risulta essere anche un programma da scaricare? http://www.versiontracker.com/dyn/moreinfo/macosx/29309 non credo ai miei occhi..
-------------------------------------------------------------------------------------
scusate per l'OT :!:
metti alla prova il tuo firewall http://www.grc.com
jhonny
Utente Senior
 
Post: 114
Iscritto il: 20/08/06 04:12
Località: Italia ogni tanto --->(francia, spagna)

Postdi Ale89 » 04/10/06 16:01

vi siete scordati di me??
Ale89
Utente Senior
 
Post: 150
Iscritto il: 26/08/06 12:32
Località: Roma

Postdi Tiseria » 04/10/06 16:19

Ale89 ha scritto:vi siete scordati di me??


Aggiorna Virit all'ultima versione 6.1.22.
Dovresti essere infetto dall'ultima variante del Rootkit.J di Gromozon
Tiseria
Utente Junior
 
Post: 97
Iscritto il: 09/03/05 15:23

Postdi Ale89 » 04/10/06 16:30

ecco il risultato della scansione con virit

04/10/2006 - 17:08:14

[SCANSIONE DELLA MEMORIA]
VIRUS ATTIVO IN MEMORIA: Trojan.Win32.RootKit.J

[SCANSIONE DEL REGISTRO]
OK

[A:]
BOOT SECTOR: OK


[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[D:]


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 23640.
Files Totali: 23640.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[SCANSIONE DELLA MEMORIA]
OK
Ale89
Utente Senior
 
Post: 150
Iscritto il: 26/08/06 12:32
Località: Roma

Postdi Tiseria » 04/10/06 18:09

Ale89 ha scritto:ecco il risultato della scansione con virit

04/10/2006 - 17:08:14

[SCANSIONE DELLA MEMORIA]
VIRUS ATTIVO IN MEMORIA: Trojan.Win32.RootKit.J

[SCANSIONE DEL REGISTRO]
OK


E' proprio lui... ;)

Dal log di Virit adesso il Trojan.Win32.Rootkit.J non è piu' attivo in memoria.

Ripeti la scansione con Virit su tutto il disco e vediamo se ti trova anche il file infetto.
Tiseria
Utente Junior
 
Post: 97
Iscritto il: 09/03/05 15:23

Postdi Ale89 » 04/10/06 18:58

ok,però quando ho riavviato il computer dalla modalità provvisoria virit mi ha chiesto se doveva rimuove il virus,ho messo "ok" e me l'ha rimosso,ora riprovo a scansionare però...
Ale89
Utente Senior
 
Post: 150
Iscritto il: 26/08/06 12:32
Località: Roma

Postdi Ale89 » 04/10/06 19:47

ho rifatto la scansione con virit,ecco il risultato:

04/10/2006 - 20:15:34

[SCANSIONE DEL REGISTRO]
OK

[A:]
BOOT SECTOR: OK


[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[D:]


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 24261.
Files Totali: 24261.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[SCANSIONE DELLA MEMORIA]
OK

___________________________________________________


stranamente si è avviato anche gmer,qst è il resoconto di ROOTKIT:

GMER 1.0.11.11390 - http://www.gmer.net
Rootkit 2006-10-04 20:42:12
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.11 ----

SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwClose
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcessEx
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSection
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSymbolicLinkObject
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwDuplicateObject
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwFlushKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwInitializeRegistry
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey2
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwNotifyChangeKey
SSDT kl1.sys ZwOpenFile
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenSection
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryMultipleValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQuerySystemInformation
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwReplaceKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwRestoreKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwResumeThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSaveKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetContextThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationFile
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSuspendThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwTerminateProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwUnloadKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwWriteVirtualMemory
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[284]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[285]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[286]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[287]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[288]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[289]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[290]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[291]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[292]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[293]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[294]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[295]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[296]

Code \??\C:\WINDOWS\system32\drivers\klif.sys FsRtlCheckLockForReadAccess
Code \??\C:\WINDOWS\system32\drivers\klif.sys IoIsOperationSynchronous

---- Threads - GMER 1.0.11 ----

Thread 4:116 82E97F48
Thread 4:120 82E7DA70
Thread 4:124 82E7DA70
Thread 4:352 82E97F48
Thread 4:420 82E97F48

---- Files - GMER 1.0.11 ----

ADS ...

---- EOF - GMER 1.0.11 ----
Ale89
Utente Senior
 
Post: 150
Iscritto il: 26/08/06 12:32
Località: Roma

Postdi Ale89 » 04/10/06 19:48

E questa è la parte AUTOSTART di GMER:

GMER 1.0.11.11390 - http://www.gmer.net
Autostart 2006-10-04 20:48:22
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon@DLLName = C:\WINDOWS\system32\klogon.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
AVP /*Kaspersky Anti-Virus 6.0*/@ = "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
viritsvclite /*Virit eXplorer Lite*/@ = C:\VEXPLITE\viritsvc.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@NeroFilterCheckC:\WINDOWS\system32\NeroCheck.exe = C:\WINDOWS\system32\NeroCheck.exe
@CmaudioRunDll32 cmicnfg.cpl,CMICtrlWnd = RunDll32 cmicnfg.cpl,CMICtrlWnd
@SunJavaUpdateSchedC:\Programmi\Java\jre1.5.0_06\bin\jusched.exe = C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
@PCSuiteTrayApplicationC:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray /*file not found*/ = C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray /*file not found*/
@DataLayerC:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe = C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
@NetLimiterC:\Programmi\NetLimiter\NetLimiter.exe /s = C:\Programmi\NetLimiter\NetLimiter.exe /s
@FASTTRACKPassepartoutC:\WINDOWS\Passepartout.exe -A
@DSLSTATEXEC:\Program Files\D-Link\DSL-200\dslstat.exe icon /*file not found*/ = C:\Program Files\D-Link\DSL-200\dslstat.exe icon /*file not found*/
@DSLAGENTEXEC:\Program Files\D-Link\DSL-200\dslagent.exe = C:\Program Files\D-Link\DSL-200\dslagent.exe
@kav"C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" = "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
@ /*file not found*/ = /*file not found*/
@gljh1.exeC:\WINDOWS\Temp\gljh1.exe /*file not found*/ = C:\WINDOWS\Temp\gljh1.exe /*file not found*/
@VIRIT LITE MONITORC:\VEXPLITE\MONLITE.EXE = C:\VEXPLITE\MONLITE.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run@1 = C:\WINDOWS\service32.exe /*file not found*/

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@CTFMON.EXEC:\WINDOWS\system32\ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
@MsnMsgr"C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background = "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
@MSMSGS"C:\Programmi\Messenger\msmsgs.exe" /background = "C:\Programmi\Messenger\msmsgs.exe" /background
@PcSyncC:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog /*file not found*/ = C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog /*file not found*/
@FASTTRACKPassepartoutC:\WINDOWS\Passepartout.exe -A
@swgC:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe = C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} /*Messenger Sharing Folders*/C:\Programmi\MSN Messenger\fsshext.8.0.0812.00.dll = C:\Programmi\MSN Messenger\fsshext.8.0.0812.00.dll
@{40950107-FEA6-4d53-A65F-B2DCBA57DD58} /*Nokia Phone Browser*/C:\Programmi\Nokia\Nokia PC Suite 6\PhoneBrowser.dll = C:\Programmi\Nokia\Nokia PC Suite 6\PhoneBrowser.dll
@{FBFE7864-D495-41f0-B7DC-4BB601CC295E} /*Contact View*/C:\Programmi\Nokia\Nokia PC Suite 6\ContactView.dll = C:\Programmi\Nokia\Nokia PC Suite 6\ContactView.dll
@{C0C4375A-5B72-4efe-929D-3B848C3A1E91} /*Message View*/C:\Programmi\Nokia\Nokia PC Suite 6\MessageView.dll = C:\Programmi\Nokia\Nokia PC Suite 6\MessageView.dll
@{85E0B171-04FA-11D1-B7DA-00A0C90348D6} /*Web Anti-Virus*/C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll = C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
Kaspersky Anti-Virus@{dd230880-495a-11d1-b064-008048ec2fc5} = C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\shellex.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
Kaspersky Anti-Virus@{dd230880-495a-11d1-b064-008048ec2fc5} = C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\shellex.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects@{AA58ED58-01DD-4d91-8333-CF10577473F7} = c:\programmi\google\googletoolbar1.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

HKCU\Software\Microsoft\Internet Explorer\Main@Start Page = http://www.google.it/

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
livecall@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
msnim@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
wia@CLSID = C:\WINDOWS\system32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\ >>>
000000000001@PackedCatalogItem = C:\Programmi\NetLimiter\nl_lsp.dll
000000000002@PackedCatalogItem = C:\Programmi\NetLimiter\nl_lsp.dll
000000000003@PackedCatalogItem = C:\Programmi\NetLimiter\nl_lsp.dll
000000000004@PackedCatalogItem = C:\Programmi\NetLimiter\nl_lsp.dll
000000000005@PackedCatalogItem = C:\Programmi\NetLimiter\nl_lsp.dll
000000000006@PackedCatalogItem = C:\Programmi\NetLimiter\nl_lsp.dll
000000000007@PackedCatalogItem = C:\Programmi\NetLimiter\nl_lsp.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000014@PackedCatalogItem = C:\Programmi\NetLimiter\nl_lsp.dll

---- EOF - GMER 1.0.11 ----
Ale89
Utente Senior
 
Post: 150
Iscritto il: 26/08/06 12:32
Località: Roma

Postdi andorra24 » 04/10/06 20:08

scarica avenger sul desktop
http://www.suspectfile.com/upload/files ... venger.zip
Decomprimi l'archivio

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\FASTTRACKPassepartout
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\gljh1.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\1
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\FASTTRACKPassepartout

Files to delete:
C:\WINDOWS\Passepartout.exe
C:\WINDOWS\Temp\gljh1.exe
C:\WINDOWS\service32.exe

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
Una volta riavviato il pc, collegati e posta il contenuto del file C:\Avenger.txt
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Ale89 » 04/10/06 20:23

quando clikko sul semaforo e poi su "si" mi da errore e mi si è creata una cartella con un log:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\FASTTRACKPassepartout
Ale89
Utente Senior
 
Post: 150
Iscritto il: 26/08/06 12:32
Località: Roma

Postdi andorra24 » 04/10/06 20:27

Ok facciamo una piccola modifica allo script.

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\gljh1.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\1

Files to delete:
C:\WINDOWS\Temp\gljh1.exe
C:\WINDOWS\service32.exe


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
Una volta riavviato il pc, collegati e posta il contenuto del file C:\Avenger.txt
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Ale89 » 04/10/06 20:32

ecco:


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qwwhhier

*******************

Script file located at: \??\C:\Documents and Settings\jcavnhwi.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\Temp\gljh1.exe not found!
Deletion of file C:\WINDOWS\Temp\gljh1.exe failed!

Could not process line:
C:\WINDOWS\Temp\gljh1.exe
Status: 0xc0000034



File C:\WINDOWS\service32.exe not found!
Deletion of file C:\WINDOWS\service32.exe failed!

Could not process line:
C:\WINDOWS\service32.exe
Status: 0xc0000034

Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.


Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Run\gljh1.exe not found!
Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Run\gljh1.exe failed!
Status: 0xc0000034
Ale89
Utente Senior
 
Post: 150
Iscritto il: 26/08/06 12:32
Località: Roma

Postdi andorra24 » 04/10/06 20:40

Fai anche questo script adesso:

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | FASTTRACKPassepartout

Files to delete:
C:\WINDOWS\Passepartout.exe


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
Una volta riavviato il pc, collegati e posta il contenuto del file C:\Avenger.txt
Ultima modifica di andorra24 su 04/10/06 21:42, modificato 1 volte in totale.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi holifay » 04/10/06 21:31

Avenger non accetta le chiavi HKCU, ma solo quelle HKLM e HKU.

Per eliminare i valori delle chiavi di avvio, la sintassi giusta dovrebbe essere:

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | FASTTRACKPassepartout
Pensi di avere un file infetto? Invialo a SuspectFile
holifay
Utente Junior
 
Post: 37
Iscritto il: 02/10/06 23:12

Postdi Alexsandra » 04/10/06 21:38

che sorpresa hilifay, benvenuta
- Il primo fondamento della sicurezza non e' la tecnologia, ma l'attitudine mentale.

Win7 + Office 2003 Ita
Avatar utente
Alexsandra
Utente Senior
 
Post: 2358
Iscritto il: 09/01/06 20:31

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "Log pulito?":

avvio pulito
Autore: valyfilm
Forum: Sistemi Operativi Windows
Risposte: 9

Chi c’è in linea

Visitano il forum: Nessuno e 7 ospiti