• wolf.otakar
    Consiglio Direttivo

    Ciao pietro811 e benvenuto nel forum GT! 🙂

    Posta pure un log con hijack! :ciauz:

    0
  • P
    User

    non posso...non riesco ad istallarlo.....mi dice applicazione di win32 non valida....

    0
  • wolf.otakar
    Consiglio Direttivo

    @pietro811 said:

    non posso...non riesco ad istallarlo.....mi dice applicazione di win32 non valida....

    Ciao Pietro,

    effettua una scansione con Gmer. 🙂

    Allega poi, il log qui! 😉

    0
  • P
    User

    per prima cosa un grazie enorme per la disponibilità, ecco il file salvato, spero di non aver sbagliato...non riesco a caricarlo perchè è do 600kb. vi allego la scansione normale con incolla:

    GMER 1.0.14.14205 -
    Rootkit scan 2008-03-16 09:27:33
    Windows 5.1.2600 Service Pack 2

    ---- System - GMER 1.0.14 ----
    SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwEnumerateKey [0xF748F5DC]
    SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwEnumerateValueKey [0xF749B120]
    Code ??\C:\WINDOWS\system32\drivers\srosa.sys ZwOpenProcess [0xF5B4B31C]
    Code ??\C:\WINDOWS\system32\drivers\srosa.sys ZwQuerySystemInformation [0xF5B50E50]
    Code ??\C:\WINDOWS\system32\drivers\srosa.sys ZwSetInformationFile [0xF5B4B41A]
    Code ??\C:\WINDOWS\system32\drivers\srosa.sys NtOpenProcess
    Code ??\C:\WINDOWS\system32\drivers\srosa.sys NtQuerySystemInformation
    Code ??\C:\WINDOWS\system32\drivers\srosa.sys NtSetInformationFile
    ---- Devices - GMER 1.0.14 ----
    Device \FileSystem\Ntfs \Ntfs 845654E8
    Device \FileSystem\Fastfat \Fat 83F488F8
    AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
    AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
    ---- Modules - GMER 1.0.14 ----
    Module _________ F73FF000-F7417000 (98304 bytes)
    ---- Processes - GMER 1.0.14 ----
    Process C:\WINDOWS\system32\drivers\hldrrr.exe (*** hidden *** ) 1852
    ---- EOF - GMER 1.0.14 ----

    0
  • wolf.otakar
    Consiglio Direttivo

    @pietro811 said:

    ...non riesco a caricarlo perchè è do 600kb

    Ciao Pietro,

    mandami il log completo, per e-mail!!! 🙂

    0
  • P
    User

    ok inviato...ciao

    0
  • wolf.otakar
    Consiglio Direttivo

    Ciao Pietro,

    disattiva il ripristino configurazioni di sistema:

    **Start **--> programmi --> accessori --> utilita' di sistema --> ripristino configurazioni di sistema --> impostazioni ripristino configurazioni di sistema --> Disattiva ripristino!
    Disattivato il ripristino, scarica the avenger.

    Effettua, un copia/incolla di questo script, nel riquadro bianco "input script here" di the avenger:

    Files to delete:
    C:\WINDOWS\system32\drivers\hidr.exe
    C:\WINDOWS\system32\drivers\srosa.sys
    C:\WINDOWS\system32\wintems.exe
    C:\WINDOWS\system32\hldrrr.exe
    C:\WINDOWS\system32\drivers\hldrrr.exe
    C:\WINDOWS\system32\drivers\down\19567546.exe
    C:\WINDOWS\system32\drivers\down\19578437.exe
    C:\WINDOWS\system32\drivers\down\19591859.exe
    C:\WINDOWS\system32\drivers\down\19599765.exe
    C:\WINDOWS\system32\drivers\down\19632781.exe
    C:\WINDOWS\system32\drivers\down\19695578.exe

    folders to delete:
    C:\WINDOWS\system32\drivers\downProcedi pure in questo modo:

    • elimina la spunta su: scan for rootkit "in basso a sinistra"
    • premi su execute
    • rispondi SI alle richieste
    • ora il pc, dovrebbe riavviarsi;
    • al riavvio allega qui nel forum, il log di avenger o manda pure tutto per e-mail! 🙂
    0
  • P
    User

    cattive notizie , quando provo a far partire avenger mi dice win 32 non valido....

    0
  • wolf.otakar
    Consiglio Direttivo

    @pietro811 said:

    cattive notizie , quando provo a far partire avenger mi dice win 32 non valido....

    Ti mando per e-mail, una versione che uso io!!!

    0
  • P
    User

    mi dice sempre non è un'applicazione di win 32 valida

    0
  • wolf.otakar
    Consiglio Direttivo

    @pietro811 said:

    mi dice sempre non è un'applicazione di win 32 valida

    Pietro,

    effettua una scansione con questo tools; vediamo un po cosa trova! 🙂

    0
  • P
    User

    Logfile of The Avenger Version 2.0, (c) by Swandog46
    http:/
    Platform: Windows XP

    Script file opened successfully.
    Script file read successfully.
    Backups directory opened successfully at C:\Avenger

    Beginning to process script file:

    Error: file "C:\WINDOWS\system32\drivers\hidr.exe" not found!
    Deletion of file "C:\WINDOWS\system32\drivers\hidr.exe" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist

    Error: file "C:\WINDOWS\system32\drivers\srosa.sys" not found!
    Deletion of file "C:\WINDOWS\system32\drivers\srosa.sys" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist

    Error: file "C:\WINDOWS\system32\wintems.exe" not found!
    Deletion of file "C:\WINDOWS\system32\wintems.exe" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist

    Error: file "C:\WINDOWS\system32\hldrrr.exe" not found!
    Deletion of file "C:\WINDOWS\system32\hldrrr.exe" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist

    Error: file "C:\WINDOWS\system32\drivers\hldrrr.exe" not found!
    Deletion of file "C:\WINDOWS\system32\drivers\hldrrr.exe" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist

    Error: could not open file "C:\WINDOWS\system32\drivers\down\19567546.exe"
    Deletion of file "C:\WINDOWS\system32\drivers\down\19567546.exe" failed!
    Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
    --> bad path / the parent directory does not exist

    Error: could not open file "C:\WINDOWS\system32\drivers\down\19578437.exe"
    Deletion of file "C:\WINDOWS\system32\drivers\down\19578437.exe" failed!
    Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
    --> bad path / the parent directory does not exist

    Error: could not open file "C:\WINDOWS\system32\drivers\down\19591859.exe"
    Deletion of file "C:\WINDOWS\system32\drivers\down\19591859.exe" failed!
    Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
    --> bad path / the parent directory does not exist

    Error: could not open file "C:\WINDOWS\system32\drivers\down\19599765.exe"
    Deletion of file "C:\WINDOWS\system32\drivers\down\19599765.exe" failed!
    Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
    --> bad path / the parent directory does not exist

    Error: could not open file "C:\WINDOWS\system32\drivers\down\19632781.exe"
    Deletion of file "C:\WINDOWS\system32\drivers\down\19632781.exe" failed!
    Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
    --> bad path / the parent directory does not exist

    Error: could not open file "C:\WINDOWS\system32\drivers\down\19695578.exe"
    Deletion of file "C:\WINDOWS\system32\drivers\down\19695578.exe" failed!
    Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
    --> bad path / the parent directory does not exist

    Error: folder "C:\WINDOWS\system32\drivers\down" not found!
    Deletion of folder "C:\WINDOWS\system32\drivers\down" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist

    Completed script processing.

    Finished! Terminate.

    0
  • wolf.otakar
    Consiglio Direttivo

    @Wolf Otakar said:

    effettua una scansione con questo tools

    Trovato/rimosso nulla? :mmm:

    0
  • P
    User

    avevo stoppato il processo ora rimetto in funzione, ma quel log che ti ho postato che vuol dire? che sono fregato?

    0
  • P
    User

    non ha trovato nulla...❌x

    0
  • wolf.otakar
    Consiglio Direttivo

    @pietro811 said:

    quel log che ti ho postato che vuol dire?

    Che Avenger non ha trovato i file!

    0
  • P
    User

    Dunque ho provato a fare una scansione con kaspersky on line e mi ha dato 3 virus, ora li posto così potete darmi qualche consiglio:
    C:\Documents and Settings\Simona\Impostazioni locali\Temporary Internet Files\Content.IE5\NX3EEL1E\b64_31[1].jpg
    C:\Documents and Settings\Simona\Impostazioni locali\Temporary Internet Files\Content.IE5\NEONZ1CX\b64_31[1].jpg
    C:\Documents and Settings\Simona\Impostazioni locali\Temporary Internet Files\Content.IE5\MDXY7A1K\b64_2[1].jpg

    PS il pc non mi va + in modalità provvisoria, si blocca e riparte....boh....

    0
  • wolf.otakar
    Consiglio Direttivo

    Ciao pietro811,

    apri avenger ed effettua, un copia/incolla di questo script, nel riquadro bianco "input script here" :

    		 				Files to delete:

    C:\Documents and Settings\Simona\Impostazioni locali\Temporary Internet Files\Content.IE5\NX3EEL1E\b64_31[1].jpg
    C:\Documents and Settings\Simona\Impostazioni locali\Temporary Internet Files\Content.IE5\NEONZ1CX\b64_31[1].jpg
    C:\Documents and Settings\Simona\Impostazioni locali\Temporary Internet Files\Content.IE5\MDXY7A1K\b64_2[1].jpg

    ora, elimina la spunta su: scan for rootkit "in basso a sinistra"

    • premi su execute
    • rispondi SI alle richieste
    • ora il pc, dovrebbe riavviarsi;
    • al riavvio allega qui nel forum!

    :ciauz:

    0
  • P
    User

    Allora, mamma mia che casino, ho fatto il copia incolla dello script, e dopo si è riavviato, mi è uscita una scitta che non riesco a postare, ma dice comunque che i file sono stati rimossi, ed ora?

    0
  • wolf.otakar
    Consiglio Direttivo

    @pietro811 said:

    ....ma dice comunque che i file sono stati rimossi, ed ora?

    Ora effettua una ripulita con ccleaner e ATF Cleaner! 🙂

    @pietro811 said:

    PS il pc non mi va + in modalità provvisoria, si blocca e riparte....boh....

    Scarica questo ed avvia il .reg per il tuo sistema! 😉

    0
Effettua l'accesso per rispondere