Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Sicurezza&Privacy

Notices

Rispondi
 
Strumenti discussione
Vecchio 12-02-2009, 14.11.27   #16
Lionsquid
Gold Member
Top Poster
 
L'avatar di Lionsquid
 
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
Lionsquid promette bene
vado questo pomeriggio, l'incontro di martedì è saltato

tra poco mi aggiorno tutti tools
___________________________________

... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica....
Beppe Grillo
Lionsquid non è collegato   Rispondi citando
Vecchio 12-02-2009, 20.28.04   #17
Lionsquid
Gold Member
Top Poster
 
L'avatar di Lionsquid
 
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
Lionsquid promette bene
mission accomplished

ho voluto provare per prima cosa il suggerimento di cascavel, rinominato combofix col nome wuauclt.exe e lanciato in modalità provvisoria per mezzo del comando opportunamente adattato: "%userprofile%\desktop\wuauclt.exe" /killall

il report mi ha mostrato la rimozione dei 2 servizi "legacy" TDSServ e di un altro file "figlio" dal nome TDSSoukl.sys nascosto nella cartella Drivers di system32 (prima non c'era, quindi sarà stato creato allo spegnimento o all'ultimo avvio)

per puro sfizio ho poi lanciato SDFix, ma ormai era tutto ok, il report quindi era del tutto pulito


sono quasi deluso , mi è rimasta la curiosità di provare i tools suggeriti da RNicoletto....

sarà per la prossima volta
___________________________________

... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica....
Beppe Grillo
Lionsquid non è collegato   Rispondi citando
Vecchio 12-02-2009, 21.33.45   #18
leofelix
Gold Member
Top Poster
 
Registrato: 10-12-2005
Messaggi: 3.514
leofelix promette bene
notevole il nome scelto

Mi dovesse capitare sceglierò Rundll32
leofelix non è collegato   Rispondi citando
Vecchio 12-02-2009, 21.54.41   #19
Lionsquid
Gold Member
Top Poster
 
L'avatar di Lionsquid
 
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
Lionsquid promette bene
la scelta è "quasi" casuale.... è quasi sempre l'ultimo file exe nei processi mostrati dal taskmanager

per lo stesso GMER, qualche volta, ho usato un'editor hex per inserire un echo o una variazione del carattere DOS > DIS

sono certo che prima o poi i virus useranno un "MD5 table" per aggirare la rinominazione dei tools
___________________________________

... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica....
Beppe Grillo
Lionsquid non è collegato   Rispondi citando
Vecchio 13-02-2009, 00.46.11   #20
Lionsquid
Gold Member
Top Poster
 
L'avatar di Lionsquid
 
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
Lionsquid promette bene
mi sono ricordato un particolare....

il primo giorno ho anche usato il ViritLite, indirizzandolo ad una scansione della sola cartella System32 (e subs), l'ha ignorato completamente, persino le copie che mi ero portato a casa.

L'avira PE invece le ha riconosciute tutte meno uno (estensione .dat e non .sys)
___________________________________

... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica....
Beppe Grillo
Lionsquid non è collegato   Rispondi citando
Vecchio 13-02-2009, 01.09.07   #21
leofelix
Gold Member
Top Poster
 
Registrato: 10-12-2005
Messaggi: 3.514
leofelix promette bene
echo off *ed io credevo tu fossi uno psicologo che si era dato all'informatica per pura curiosità intellettuale e stendessi virus e spyware sul lettino analizzandoli nel profondo*
end rinco batch file
leofelix non è collegato   Rispondi citando
Vecchio 13-02-2009, 01.16.31   #22
Lionsquid
Gold Member
Top Poster
 
L'avatar di Lionsquid
 
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
Lionsquid promette bene
Quota:
Inviato da leofelix
echo off *ed io credevo tu fossi uno psicologo che si era dato all'informatica per pura curiosità intellettuale e stendessi virus e spyware sul lettino analizzandoli nel profondo*
end rinco batch file




OT

mah, sono ...ondivago... sia per gli interessi sia per le situazioni che la vita mi mette davanti

c'è stato un tempo in cui ero molto interessato alla sfera "boot devices" con annessi e connessi... .lontano, lontanissimo 1998.. poi mi sono spostato sul networking,... poi sulla sicurezza,... adesso sono molto sottotono, il pc mi ha stancato un bel pò, guardo altrove, ma per necessità non posso mollare del tutto l'assistenza "clienti"

e tra 2 anni, potrei pure essere costretto a tornare al mio 1° lavoro, Ufficiale Macchinista .... lavoro gratificante , non solo economicamente

/OT

EDIT: piccoli ortofix
___________________________________

... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica....
Beppe Grillo
Lionsquid non è collegato   Rispondi citando
Vecchio 13-02-2009, 01.28.32   #23
leofelix
Gold Member
Top Poster
 
Registrato: 10-12-2005
Messaggi: 3.514
leofelix promette bene
Quota:
Inviato da Lionsquid

OT

mah, sono ...ondivago... sia per gli interessi sia per le situazioni che la vita mi mette davanti
e tra 2 anni, potrei pure essere costretto a tornare al mio 1° lavoro, Ufficiale Macchinista .... lavoro gratificante , non solo economicamente

/OT

EDIT: piccoli ortofix


[OT]

Che la nostra protettrice Santa Barbara sia con te allora


[END OT]

leofelix non è collegato   Rispondi citando
Vecchio 13-02-2009, 17.00.11   #24
RNicoletto
Gold Member
Top Poster
 
L'avatar di RNicoletto
 
Registrato: 13-02-2001
Loc.: Forette City
Messaggi: 13.153
RNicoletto promette bene
Quota:
Inviato da Lionsquid
sono quasi deluso , mi è rimasta la curiosità di provare i tools suggeriti da RNicoletto....

sarà per la prossima volta
E NO!! :anger:

Tu adesso:
  1. torni li,
  2. gli disattivi firewall & antivirus,
  3. gli ripristini una precedente immagine del sistema non patchata,
  4. apri IE e navighi su qualche sito equivoco,
  5. ti ri-ciucci il trojan/rootkit in questione,
  6. finalmente testi i tool che ti avevo indicato.
Io aspetto qui.
___________________________________

"Society doesn’t need newspapers. What we need is journalism." - Clay Shirky
RNicoletto non è collegato   Rispondi citando
Vecchio 13-02-2009, 19.41.24   #25
Lionsquid
Gold Member
Top Poster
 
L'avatar di Lionsquid
 
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
Lionsquid promette bene
Quota:
Inviato da RNicoletto
E NO!! :anger:

Tu adesso:


.....


Io aspetto qui.


portati birra e panini , lascia pure l'ombrellone dato che non è ancora stagione


nel 2003-2004 l'avrei anche fatto... oggi non ho più tempo e anche poca voglia
___________________________________

... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica....
Beppe Grillo
Lionsquid non è collegato   Rispondi citando
Vecchio 14-02-2009, 21.45.55   #26
Lionsquid
Gold Member
Top Poster
 
L'avatar di Lionsquid
 
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
Lionsquid promette bene
certo che siete fortunelli, eh!

questo pomeriggio, mentre mezzo mondo sbaciucchia la l'altra metà (non specifico di cosa, no quote creativo please), mi imbatto nuovamente nel caro TDSSxxx

stavolta ho prima usato RootRepeal e Rootkit UnHooker, il primo mi ha marcato il KLIF.SYS come sospetto ( c'era il KAV 2009 installato), il secondo mi ha evidenziato alcune voci, ne ho rimosse solo 2 per prova e c'è riuscito benissimo... ma non l'ho spinto per una pulizia completa, volevo riprovare il combofix con lo switch di avvio /killall per ottenere un log da studiare

infatti il combofix, stavolta rinominato 123.exe, ha ripulito il TDSSxxx e un paio di altri malware come MyWebSearch...

appena ripulisco il log da eventuali info riservate lo metto a disposizione per chiunque lo desideri
___________________________________

... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica....
Beppe Grillo
Lionsquid non è collegato   Rispondi citando
Vecchio 14-02-2009, 21.55.05   #27
Lionsquid
Gold Member
Top Poster
 
L'avatar di Lionsquid
 
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
Lionsquid promette bene
ecco i file, il report e i file rimossi

la data è stata settata al 6/2/09 forzosamente perchè il combofix era del 5/2/09 e pretendeva di scaricare la versione aggiornata... cosa per altro impossibile dato che la connessione adsl era kaputt


buona lettura....
Files allegati
Tipo file: rar ComboFix.rar (7,3 Kb, 7 visite)
___________________________________

... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica....
Beppe Grillo
Lionsquid non è collegato   Rispondi citando
Vecchio 16-02-2009, 16.12.18   #28
RNicoletto
Gold Member
Top Poster
 
L'avatar di RNicoletto
 
Registrato: 13-02-2001
Loc.: Forette City
Messaggi: 13.153
RNicoletto promette bene
Grazie Leo per il feedback.

Davvero potente questo Combofix, il fatto che venga aggiornato ogni altro giorno però è piuttosto preoccupante; vuol dire che il virus Combo continua ad evolversi ed a far danni.
___________________________________

"Society doesn’t need newspapers. What we need is journalism." - Clay Shirky
RNicoletto non è collegato   Rispondi citando
Vecchio 16-02-2009, 17.00.18   #29
cascavel
Senior Member
 
L'avatar di cascavel
 
Registrato: 21-07-2008
Loc.: Milano
Messaggi: 422
cascavel promette bene
Quota:
Inviato da RNicoletto
Grazie Leo per il feedback.

Davvero potente questo Combofix, il fatto che venga aggiornato ogni altro giorno però è piuttosto preoccupante; vuol dire che il virus Combo continua ad evolversi ed a far danni.
e' proprio questa la sua forza.... oggi come oggi , usato sempre da riga di comando, insieme a findykill che, secondo me, e' un po' meno efficace e' l'unico tool in grado di rimuovere qualsiasi variante di bagle.....
___________________________________

William Blake. "The Great Red Dragon and the woman dressed with the sun"
cascavel non è collegato   Rispondi citando
Vecchio 16-02-2009, 21.32.54   #30
Lionsquid
Gold Member
Top Poster
 
L'avatar di Lionsquid
 
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
Lionsquid promette bene
un'elenco completo di tutti gli switch utilizzabili dove lo trovo??
___________________________________

... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica....
Beppe Grillo
Lionsquid non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
Rilevabilità dei rootkit da un sistema non infetto? exion Sicurezza&Privacy 7 05-06-2008 05.04.35
Rootkit MBR:\\.\PHYSICALDRIVE0 ottobre_rosso Sicurezza&Privacy 23 30-05-2008 16.04.47
[Ms WinVista] - Un rootkit invisibile persino a vista realtebo Segnalazioni Web 0 06-07-2006 08.35.19
L. Rootkit Remover Macao Archivio News Software 0 01-01-2006 01.00.48

Orario GMT +2. Ora sono le: 10.49.54.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.