www.MegaLab.it

[Amantide]

Quello del Rootkit hai copiato direttamente senza fare la scansione? Devi premere Scan per fare la scansione e postare il log della scansione terminata.

[Rondinella]

No ho premuto scan e ho fatto la scansione. Scorrevano le cartelle sotto.
Ci riprovo.

[Amantide]

No ho premuto scan e ho fatto la scansione. Scorrevano le cartelle sotto.
Ci riprovo.

Per sicurezza puoi riprovare ma direi che è apposta cosi

Ora scarica The Avenger, estrai archivio ed avvia il file Avenger.exe.
Seleziona l'opzione Input Script Manually, clicca sulla lente di ingrandimento e all'interno della finestra che si apre copia ed incolla queste righe:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon | Userinit

Files to delete:
C:\WINDOWS\System32\lpt1.kpq

Dopodichè clicca sul pulsante Done, poi 2 volte sull'icona del semaforo verde e rispondi due volte Yes .

Il pc dovrebbe riavviarsi da solo, se cosi non fosse riavvialo manualmente.
Alla fine allegami il log di Avenger che ti appare nella finestra DOS al riavvio,lo stesso che si trova in C:/avenger.txt

[Rondinella]

Ho riavviato il pc e rifatto la scansione con gemer perché ricordavo che stamattina quando non ci sono riuscita a iviartelo era molto piu lunga e ora non sono solo due righe ma in word sono 800 pagine. Inoltre se ne rieseguo un' altra successivamente vengono due righecome prima.
Deduco quindi che la prima scansione è molto lunga e non riesco a postarla qua.Che faccio?


Ora comunque eseguo quello che mi hai detto con avenger.

[Amantide]

Intanto esegui quel script per Avenger e dopo vedi come va il pc.

[Rondinella]

Ti scrivo da un altro pc, perché l'altra sera dopo eseguita l'operazione che tu mi hai consigliato con avenger

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon | Userinit

Files to delete:
C:\WINDOWS\System32\lpt1.kpq



il pc non accede piu alla mia utenza...cioè mi disconette subito...e quindi non posso piu accedere a nulla...pc da buttare!!!!???
ho recuperato almeno i miei dati importantissimi...e l'esperto mi ha detto che non c'erano virus.

E ora!!!!!!!!

[Amantide]

Il tuo pc era PIENO ZEPPO DI VIRUS, vorrei vedere io quel "esperta" che ti ha detto il contrario.

Il file C:\WINDOWS\System32\lpt1.kpq fa parte del trojan Gromozon/LinkOptimizer e queste script

Codice: Seleziona tutto

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon | Userinit

non fa altro che rimpiazzare queste chiavi del registro compromessi dai virus con la loro copia sana. Sfido chiunque a mostrare il contrario.

Se ti interessa ancora avere qualche consiglio... avvia il computer in modalità provvisoria (premendo F8 all'avvio del pc) e fai la scansione con VirIT o qualche altro antivirus.
Ah! Nella cartella C:\Avenger c'è una copia del backup delle operazioni eseguite, non ti vieta nessuno a ripristinarlo.
Un altra cosa da fare sarebbe questa:
Vai su Start Esegui scrivi SFC /SCANNOW e premi Ok. Ti verrà richiesto di inserire il CD d' installazione di XP. In questo modo verranno ripristinati eventuali file di sistema danneggiati.

[Amantide]

Se riuscirai ad avviare il pc in modalità provvisoria fai questa cosa:
apri il registro, vai su Start Esegui--> scrivi regedit e premi Ok.
Ora segui immagine.

1. Espandi le chiavi fino ad arrivare a questa chiave
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
2. Doppio click sul Winlogon;
3. Doppio click su Userinit;
4. Controlla se come Dati valore è indicato questo valore, virgola finale compresa.
C:\WINDOWS\system32\userinit.exe,
Se vedi che il valore è diverso, modificalo con quello indicato e premi Ok.

La stessa cosa puoi fare anche cliccando sul file .reg allegato, se non ti fidi, basta che apri questo file con ilblocco note per vedere cosa c'è dentro.

[BlueGene]

Amantide ma sei esperta di sicurezza ?! Sei preparatissima, complimenti !

[Amantide]

Amantide ma sei esperta di sicurezza ?! Sei preparatissima, complimenti !

Grazie, cerco di dare il meglio di me
Dovrei ringraziare in particolare crazy.cat, che chiedendomi di scrivere articolo su Comodo Firewall mi aveva dato un po' di fiducia in me e tanta voglia di approfondire l'argomento.
Ora senza virus non saprei più stare

[Ices_Eyes]

Amantide ma sei esperta di sicurezza ?! Sei preparatissima, complimenti !

Tu non lo sai, ma dietro ai problemi dei server dns italiani...c'è lei!!!

[Rondinella]

Il pc non si avvia neanche in modalità provvisoria perché anche la mi chiede nome utente e pwd..e anche li si presenta lo stesso problema e cioè non mi apre le mie impostazione ma chide subito la connessione.
Non dubito dei tuoi consigli. Sicuramente si è cancellato qualche file di sistema.
Ti aggiornerò se dovesse cambiare qualcosal.
Sara

[Amantide]

Il pc non si avvia neanche in modalità provvisoria perché anche la mi chiede nome utente e pwd..e anche li si presenta lo stesso problema e cioè non mi apre le mie impostazione ma chide subito la connessione.
Non dubito dei tuoi consigli. Sicuramente si è cancellato qualche file di sistema.
Ti aggiornerò se dovesse cambiare qualcosal.
Sara

Guarda, mi dispiace veramente che sia accaduto tutto questo casino
Avviando il pc in modalità provvisoria si ha la possibilità di entrare sia con l'account che si usa d'abitudine, che con l'account Administrator. Non riesci a loggarti nemmeno con quest' ultimo?
Altrimenti ci rimane ultima spiaggia.
Leggi questa guida sul ripristino di userinit e questa sul uso della console di ripristino.