Condividi:        

Sembra Beagle, ma non è

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Sembra Beagle, ma non è

Postdi Uncle Dan » 05/01/07 17:01

Sto cercando di sistemare il PC di una collega, nel quale la figlia ha combinato parecchi disastri.
Ho trovato un rootkit che pare io sia riuscito a eliminare, ma continuo a non riuscire installare nessun antivirus (di solito uso AVG o Avast). O meglio li installo, ma gli eseguibili dell'antivirus mi scompaiono sotto agli occhi.
Ho trovato questo articolo che mi aveva fatto pensare a Beagle. Allora ho eseguito il tool della Symantec che mi dice che Beagle non è. Comincio ad essere a corto di idee.
Allego log di HJT (che sul sito per il controllo automatico non mi dice nulla di strano) e log di scansione fatta con McAfee avviato da BartPE CD (che mi dice che non trova niente).
Qualcuno ha qualche idea?
Uncle Dan
Jeep, PC e una palla a spicchi...
Uncle Dan
Utente Senior
 
Post: 243
Iscritto il: 24/07/03 16:39
Località: Bologna

Sponsor
 

Postdi Uncle Dan » 05/01/07 17:21

Nel riguardare i log (che avevo dimenticato di postare) mi sono accorto che c'è un sopravvissuto!!!

E' questo:
C:\Documents and Settings\Tizi\Dati applicazioni\hidires\m_hook.sys ... Found the NTRootKit-W trojan !!!

Ecco i log:
HJT
McAfee

Come posso fare per eliminarlo? Grazie in anticipo.
Uncle Dan
Jeep, PC e una palla a spicchi...
Uncle Dan
Utente Senior
 
Post: 243
Iscritto il: 24/07/03 16:39
Località: Bologna

Postdi Luke57 » 06/01/07 10:41

Ciao, scarica Gmer da qui: http://www.majorgeeks.com/GMER_d5198.html
scompatta il file .zip e avvia gmer.exe.
Per entrare in Avanzate premi il tab>>>>. Poi scegli il tab Rootkit, spunta la casella ADS e tutte le altre, fai uno Scan completo. Se nel risultato dello scan, trovi:
Process C:\Windows\system32\hldrrr.exe (*** hidden *** )
Click tasto dx su di esso e scegli Kill process.

Se nella lista, trovi questi:
C:\Documents and Settings\Tizi\Dati applicazioni\hidires
C:\Documents and Settings\Tizi\Dati applicazioni\hidires\hidr.exe
C:\Documents and Settings\Tizi\Dati applicazioni\hidires\m_hook.sys
C:\Windows\system32\hldrrr.exe

click tasto dx del mouse su ognuno di essi e scegli dal menu "Delete file"

Se nella lista trovi :
Service C:\Documents and Settings\Tizi\Dati applicazioni \hidires\m_hook.sys

click tasto dx del mouse e scegli "Delete the service" nel menu che appare.
Se Gmer chiede di riavviare il computer, consentiglielo.

Chiudi Gmer e riavvia il computer.

Riapri Gmer e fai un nuovo scan nel tab Rootkit. Poi scegli Copy e incolli il report in foglio di testo.
Inoltre , sempre con Gmer, ti porti nel tab Autostart, spunti la casella “show all” e premi Scan. Alla fine, premi Copy e incolli il report nello stesso foglio. Copia e incolla, poi, i report in un post per dare una controllata. Verifica che ci sia entrato tutto il repor dell’Autostart, è abbastanza lungo.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Uncle Dan » 08/01/07 12:36

Aggiornamento

Innanzitutto, grazie.

Ho fatto quello che mi hai detto, devo fare solo tre precisazioni:
1) Il log "prima" l'ho fatto dopo che avevo killato i 2 processi da te indicati, perchè non mi ero accorto che non aveva finito lo scan
2) il file:
C:\Documents and Settings\Tizi\Dati applicazioni\hidires\m_hook.sys
non riesce a cancellarlo e credo che sia perchè non esiste! Lo avevo infatti già cancellato con avgpfix
3) In testa alla lista trovo alcune voci con categoria SSDT per le quali mi dà solo l'opzione Restore (!!!), mi devo preoccupare? Allego immagine

GMER prima
GMER dopo
GMER autostart
Uncle Dan
Jeep, PC e una palla a spicchi...
Uncle Dan
Utente Senior
 
Post: 243
Iscritto il: 24/07/03 16:39
Località: Bologna

Postdi Luke57 » 08/01/07 13:34

Ciao, Apri il registro di sistema;
start>esegui>regedit (lo copi nello spazio)>OK
aperto l’editor del registro, clicchi sul segno + accanto alle singole voci e segui questo percorso:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
Click sulla cartella Run, dovresti trovare nella parte destra qeste due voci:
hldrrr C:\WINDOWS\system32\hldrrr.exe = C:\WINDOWS\system32\hldrrr.exe
Drvsyskit C:\Documents and Settings\Tizi\Dati applicazioni\hidires\hidr.exe
Click tasto dx su ognuna di esse e scegli Elimina
Chiudi il registro.

Poi scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla (Ctrl+V) le scritte in neretto:


Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs


Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr


Folders to delete:
C:\Documents and Settings\Tizi\Dati applicazioni\hidires

Files to delete:
C:\WINDOWS\system32\hldrrr.exe


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Posta il log di Avenger (C:/avenger.txt) con l´esito dello script .
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Uncle Dan » 08/01/07 14:59

Rieccomi. regedit eseguito correttamente. Problema con avenger.

Inserendo questo come script:
Codice: Seleziona tutto
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs


Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr


Folders to delete:
C:\Documents and Settings\Tizi\Dati applicazioni\hidires

Files to delete:
C:\WINDOWS\system32\hldrrr.exe


Ottengo questo:
Codice: Seleziona tutto
//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Error:  selected file does not appear to be a valid script.
Error code: 0


Che mi sembra molto un errore...

Ho provato avgpfix ma sembra che non veda il file hldrrr.exe che invece esiste ancora in WINDOWS
Uncle Dan
Jeep, PC e una palla a spicchi...
Uncle Dan
Utente Senior
 
Post: 243
Iscritto il: 24/07/03 16:39
Località: Bologna

Postdi Luke57 » 08/01/07 16:11

Ciao, riprova lo script
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Uncle Dan » 10/01/07 09:44

Eccomi, l'avenger sono riuscito a farlo solo "a rate", spero sia lo stesso (oltretutto mi dà un log in un formato stranissimo che si apre solo con notepad perchè contiene dei caratteri nascosti). Comunque:

Avenger1
Avenger2
Avenger3
Avenger4
GMER nuovo
GMER autostart nuovo
HJT nuovo
Uncle Dan
Jeep, PC e una palla a spicchi...
Uncle Dan
Utente Senior
 
Post: 243
Iscritto il: 24/07/03 16:39
Località: Bologna

Postdi Uncle Dan » 10/01/07 09:54

PS: ora l'antivirus si installa, che è già un passo avanti :D
Uncle Dan
Jeep, PC e una palla a spicchi...
Uncle Dan
Utente Senior
 
Post: 243
Iscritto il: 24/07/03 16:39
Località: Bologna

Re: Sembra Beagle, ma non è

Postdi mr.stè » 16/10/08 10:27

salve a tutti......ho gli stessi problemi indicati ad inizio del post, però non sono riuscito ad installare i programmi da voi indicati perchè mi compae questa scritta: C:\documents and setting\mio nome\desktop\evenger.exe(o nome di altr file) non è un applicazione di win32 valida. Sono riuscito ad utilizzare solo l' "elibagla" e mi è uscito fuori questo log

[L’estensione txt è stata disattivata e non puó essere visualizzata.]



per favore aiutatemi, non voglio formattare
mr.stè
Newbie
 
Post: 1
Iscritto il: 16/10/08 10:20

Re: Sembra Beagle, ma non è

Postdi Luke57 » 16/10/08 11:13

Ciao, non hai detto qual è il tuo sistema operativo....
Presumendo che sia xp, vai qui:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
devi rinominare il file prima di salvarlo sul desktop in abc.exe
(per rinominare il file, quando lo scarichi ti chiede dove salvarlo e ti compare la casella "nome file" ,basta che cambi il nome che ti appare in abc.exe)
Una volta scaricato il programma, riutilizza ancora elibagla più volte, poi riavvia in modalità provvisoria premendo ripetutamente il tasto f8 all'accensione del computer prima che si carichi windows e nella schermata grigia che appare segli modalità provvisoira spostandoti con le freccette e confermando con Invio.
Dalla modalità provvisoria, clicca su start>esegui, nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\abc.exe" /killall
Premi OK, se tutto va bene parte il programma che potrebbe impiegare molto (non fare altre manovre durante la scansione),una volta terminata, se tutto è andato bene, in C:\ dovresti trovare il file combofix.txt , riavia in modalità normale e posta il contenuto del file.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10


Torna a Sicurezza e Privacy


Topic correlati a "Sembra Beagle, ma non è":


Chi c’è in linea

Visitano il forum: Nessuno e 102 ospiti