Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Grosso guaio con virus/rootkit

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Grosso guaio con virus/rootkit

Messaggioda xone89 » mar apr 08, 2008 11:03 pm

Raga, ho un grosso problema...
HO scaricato una chiave di un programma da internet e al posto della chiave il suddetto file .exe mi ha riempito di Trojan e Rootkit...
Il primo effetto collaterale è il firewall che si è disattivato e non ne vuole più sapere...

Subito Avast mi ha inondato di warning e ho già cancellato vari Trojan, ma penso che la cosa non sortisca alcun effetto...
Poi sempre da Avast ricevo sempre questo avviso:
Messaggio della scansione all'avvio di AvasT!
Protezione di rete: bloccato "DCOM Exploit" - attacco da 79.9.25.242:135/tcp

Ho fatto la scansione con Sophos Anti-Rootkit e ho trovato 3 file Unknown hidden file (in Local hard drives) cosi locati:

C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\video.dll
C:\WINDOWS\system32\ntos.exe

Detto questo non sò più cosa fare, vi prego aiutatemi non posso formattare di nuovo il PC...
Grazie a tutti in anticipo!!
Avatar utente
xone89
Neo Iscritto
Neo Iscritto
 
Messaggi: 16
Iscritto il: mar feb 05, 2008 7:20 pm

Re: Grosso guaio con virus/rootkit

Messaggioda spitfire10 » mar apr 08, 2008 11:09 pm

xone89 ha scritto:Raga, ho un grosso problema...
HO scaricato una chiave di un programma da internet e al posto della chiave il suddetto file .exe mi ha riempito di Trojan e Rootkit...
Il primo effetto collaterale è il firewall che si è disattivato e non ne vuole più sapere...

Subito Avast mi ha inondato di warning e ho già cancellato vari Trojan, ma penso che la cosa non sortisca alcun effetto...
Poi sempre da Avast ricevo sempre questo avviso:
Messaggio della scansione all'avvio di AvasT!
Protezione di rete: bloccato "DCOM Exploit" - attacco da 79.9.25.242:135/tcp

Ho fatto la scansione con Sophos Anti-Rootkit e ho trovato 3 file Unknown hidden file (in Local hard drives) cosi locati:

C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\video.dll
C:\WINDOWS\system32\ntos.exe

Detto questo non sò più cosa fare, vi prego aiutatemi non posso formattare di nuovo il PC...
Grazie a tutti in anticipo!!



Ciao,
tempo fa sono riuscito a risolvere un analogo problema installando la versione trial di Kaspersky.
Avatar utente
spitfire10
Senior Member
Senior Member
 
Messaggi: 307
Iscritto il: dom ott 07, 2007 5:26 pm
Località: GORIZIA

Messaggioda ste_95 » mer apr 09, 2008 6:09 am

Scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am


Messaggioda xone89 » mer apr 09, 2008 9:41 am

Scusate, non riesco a caricare sui siti di hosting e neanche dai forum probabilmente sara opera di qualche virus, quindi adesso non so come postarvi i file log...
Avatar utente
xone89
Neo Iscritto
Neo Iscritto
 
Messaggi: 16
Iscritto il: mar feb 05, 2008 7:20 pm

Messaggioda xone89 » mer apr 09, 2008 10:39 am

OK, ora ci sono riuscito


1o Passaggio > Autostart

http://www.freefilehosting.net/download/3f2m5

2o Passaggio > Full Scan

http://www.freefilehosting.net/download/3f2m7

Dalla scansione completa metto in risalto i 2 parametri visualizzati in rosso da GMER ossia

---- Processes - GMER 1.0.14 ----

Process C:\WINDOWS\system32\svchost.exe (*** hidden *** ) 140

---- Services - GMER 1.0.14 ----

Service C:\WINDOWS\zalpqbj.sys (*** hidden *** )
Avatar utente
xone89
Neo Iscritto
Neo Iscritto
 
Messaggi: 16
Iscritto il: mar feb 05, 2008 7:20 pm

Messaggioda ste_95 » mer apr 09, 2008 12:48 pm

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\zalpqbj.sys
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\wsnpoem
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\video.dll


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda xone89 » mer apr 09, 2008 1:04 pm

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File "C:\WINDOWS\zalpqbj.sys" deleted successfully.
File "C:\WINDOWS\system32\ntos.exe" deleted successfully.

Error: "C:\WINDOWS\system32\wsnpoem" is a folder, not a file!
Deletion of file "C:\WINDOWS\system32\wsnpoem" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
--> use "Folders to delete:" instead of "Files to delete:" to delete a directory

File "C:\WINDOWS\system32\wsnpoem\audio.dll" deleted successfully.
File "C:\WINDOWS\system32\wsnpoem\video.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Avatar utente
xone89
Neo Iscritto
Neo Iscritto
 
Messaggi: 16
Iscritto il: mar feb 05, 2008 7:20 pm

Messaggioda ste_95 » mer apr 09, 2008 1:23 pm

Hai ancora problemi? Esegui una nuova scansione rootkit con GMER.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda xone89 » mer apr 09, 2008 1:40 pm

ste_95 ha scritto:Hai ancora problemi? Esegui una nuova scansione rootkit con GMER.


Purtroppo si, oltre ad avere il sistema tutto sballato,l antivirus saltato e la tastiera semi impazzita, GMER ha rilevato ancora un rootkit tra l-altro gia rilevato prima...

http://www.freefilehosting.net/download/3f380
Avatar utente
xone89
Neo Iscritto
Neo Iscritto
 
Messaggi: 16
Iscritto il: mar feb 05, 2008 7:20 pm

Messaggioda ste_95 » mer apr 09, 2008 2:01 pm

Scansiona il file C:\WINDOWS\system32\svchost.exe su VirusTotal.com e posta i risultati.

Esegui la scansione on-line estesa con Kaspersky come descritto qui.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 6 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising