Accedi per seguire   
Seguaci 0
sonoperso

Rootkit + Email

22 messaggi in questa discussione

ciao

ho due PICCOLI problemi:

1- qualke fot*u*o rootkit risiede nel mio pc... la chiave di registro userinit contiene 2 voci, non solo quella che dovrebbe contenere di solito

2- dal mio account di posta elettronica vengono inviate mail a tutta la mia rubrica

sono problemi collegati??

riuscite a darmi qualke dritta su come risolvere tutto??

grazie

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Posta un log di Hjiack...

Inoltre effettua queste scansioni online

screenshot0044ao.jpg (in entrambi i siti) foto0038se.jpg

e metti qui i risultati..

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao....

Scarica Virit: http://www.tgsoft.it/italy/download.htm (Sito Alternativo http://www.kuma215.it/vit6142.exe )

installalo, avvialo, attendi la prima scansione della memoria, quindi AGGIORNALO e fai uno scan completo... posta qui il log

Poi Scarica KILLBOX

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

# In full path inserisci : c:\windows\maxtorlan.exe

# seleziona la casella DELETE ON REBOOT

# Clicca sulla X rossa a destra (il computer si riavvierà)

capt0012od.jpg

*****

Al riavvio, da START\ESEGUI, digita regedit

Portati alla seguente chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

individuare nella finestra di destra USERINIT ed eliminare SOLO la voce:

"c:\windows\maxtorlan

ATTENZIONE a non eliminare tutta la chiave altrimenti il computer non sarà più in grado di riavviarsi

In pratica la chiave, dopo l'eliminazione della voce infetta, dovrà presentarsi in questo modo:

capt0020yj.jpg

A questo punto anche Hijack dovrebbe essere in grado di avviarsi, prova ad allegare un nuovo log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao,

scarica ATF cleaner

http://www.atribune.org/ccount/click.php?id=1

Avvia ATF Cleaner

metti la spunta su "Select All"

e clicca su "Empty Select"

Poi con KILLBOX (in fullPath) inserisci:

(uno alla volta)

C:\WINDOWS\system32\mouseges.dll

C:\WINDOWS\system32\WebMon.dll

# seleziona la casella DELETE ON REBOOT

# Clicca sulla X rossa a destra (il computer si riavvierà)

Poi preleva ed usa questo: Eusing Free Registry Cleaner 1.2 (Pulizia del Registro)

Hijack sei riuscito ad avviarlo ???

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ho fatto la scansione con house call trend (il primo dei due che mi hai indicato) ha trovato dei problemi e li ha corretti, poi l'ho rifatta e non ha trovato più nulla. adesso provo anke il secondo

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

il secondo scanner online mi ha trovato un traking cookie e me l'ha eliminato

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ora dovresti poter lanciare Hijack e postare qui il log per un controllo :up1:

:)santa2.gif

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

le due dll che dovevo cancellare sono riuscito a rimuoverle.

hijack non riesco ancora ad avviarlo

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Controlla che la voce in quella chiave di registro non sia stata ricreata

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

la voce nella chiave di registro si ricrea x' non riesco a cancellare il file maxtorlan.exe. ho provato in tutti i modi, sia con killbox sia con altri programmi, da mod provvisoria e da modalità normale... niente da fare.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao

scarica e decomprimi avenger sul desktop

http://swandog46.geekstogo.com/avenger.zip

- con un doppio click avvia il file avenger.exe

- Seleziona "Input Script Manually"

- Clicca sulla lente di ingrandimento

- Nella finestra che si aprirà "View/edit script"

- copia / incolla quanto segue:

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

files to delete:

c:\windows\maxtorlan.exe

Clicca sul tasto Done

- Poi sull'icona del semaforo

- Rispondi Yes

Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)

Posta il log che verrà creato in C:\Avenger

Prova ora a rimuovere la voce da User INIT (nel registro)

e vedi se Hijack si avvia

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

problema 1: appena clicco sul link da cui scaricare avenger la finestra di explorer viene chiusa automaticamente.

problema 2: avenger me lo sono procurato da un altro pc, ma appena lo mando in esecuzione viene chiuso

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

anzi...novità...

sono riuscito a mandarlo in esecuzione chiudendo il processo maxtorlan.exe da taskmanager.

posto il log di avenger.

ho rimosso la parte non necessaria da user init e sembra che questa volta non venga riscritta dopo averla cancellata.

ah dimenticavo.... hijack adesso si avvia

questo è il log di hijack

avenger.txt

hijackthis.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao,

Da installazione applicazioni, disinstalla questo:

C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

Poi, Scarica questi programmi che ti serviranno anche per una futura manutenzione:

Ccleaner (pulizia generale) + Eusing Free Registry Cleaner 1.2 (Pulizia del Registro)

Ricordati di mettere HIJACK in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop o in cartelle temporanee.... è importante se vuoi salvare i backup

Esegui queste operazioni essendo disconnesso e con tutte le applicazioni chiuse ------ > (salva in un file queste istruzioni )

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata e disattiva nascondi file protetti di sistema. (Pannello di controllo > Opzioni Cartella > Visualizzazione)

Disabilita il Ripristino di configurazione su tutte le unità

(nota che questo ELIMINERà TUTTI i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo questa procedura)

Avvia il sistema in Modalità Provvisoria

CON TUTTE LE APPLICAZIONI CHIUSE....

.Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci (potrebbero non esserci tutte) e clicca su "fix checked

O2 - BHO: Web Mon - {878E4122-A213-98AC-355B-3C723F572BA5} - (no file)

O2 - BHO: (no name) - {9589CFE7-ED68-0F7B-9D65-FFC60565F897} - (no file)

O2 - BHO: Web Desk - {BD2E165D-1BC6-23AA-345B-1C234F173CBD} - (no file)

O4 - HKLM\..\Run: [soundlibs] C:\WINDOWS\soundlib.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{1A18A021-A718-4D93-B141-2471C8AD08D8}: NameServer = 62.211.69.150,212.48.4.15

O17 - HKLM\System\CS1\Services\Tcpip\..\{0712A050-A53D-48F4-816B-C4375CFD64F0}: NameServer = 62.211.69.150,212.48.4.15

O17 - HKLM\System\CS2\Services\Tcpip\..\{0712A050-A53D-48F4-816B-C4375CFD64F0}: NameServer = 62.211.69.50,212.48.4.15

Trova e se ci sono elimina questi files o cartelle (se non te li fa eliminare, procederemo in modo diverso)

C:\WINDOWS\system32\mousegex.dll

C:\WINDOWS\system32\WebMons.dll

C:\WINDOWS\soundlib.exe

Ripulisci il sistema con Ccleaner

ma prima di effettuare la pulizia, vai in Opzioni\Avanzate e togli la spunta a :

capt0013pz.jpg

(in seguito... Ccleaner usalo una volta al mese... )

Pulisci il registro con Eusing Free Registry Cleaner 1.x (Pulizia del Registro)

rifai il log e mettilo qui per un ulteriore controllo

NB___se le voci non compaiono in modalità provvisoria vanno fissate da quella normale.

Ricordati di creare un nuovo punto di RIPRISTINO al termine di questa procedura

Riavvia il pc in modalità normale ristabilisci il ripristino di configurazione e crea un nuovo punto di ripristino

-------------

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao

il log attuale non presenta malware in esecuzione :up1:

Problema risolto ???

Buone feste

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

bè si a quanto pare è risolto...

per quanto riguarda la questione delle mail inviate dal mio account? può essere causato da qualcuno che è riuscito ad accedere al mio account o è una questione di virus/malware??

comunque grazie mille per aver risolto il problema

grande Kuma

buon natale

Luca

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
per quanto riguarda la questione delle mail inviate dal mio account?

Dovrebbe essere colpa di un virus che spero che abbiamo rimosso...

Fai in questo modo:

Crea nella tua rubrica un indirizzo di pura fantasia...

Per esempio HaiUnVirus@infetto.net

Se questa email venisse spedita, ti ritornerebbe immediatamente indietro con l'avviso che tale indirizzo non esite... in questo caso il virus sarebbe ancora attivo e dobbiamo fare ulteriori controlli...

Se ti torna indietro una email simile (hai quindi il virus attivo) copia tutti i tuoi contatti in un file (office) e poi eliminali dalla rubrica... (per il momento)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao

scusa il ritardo nella risposta ma ho preferito aspettare qualke giorno per vedere se l'email veniva inviata...

io non ho ricevuto nessuna mail di errore quindi direi che i problemi sono stati risolti!!

ringrazio tutti quanti e Kuma in particolare

e auguro a tutti un felice 2007

Luca

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

Perfetto :)

felice che hai risolto e auguri di buon Anno anche a te :P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0