Vai al contenuto

  • Connettiti con Facebook Log In with Google      Connettiti   
  • Registrati

Foto
- - - - -

Spyware Duro A Morire...


  • Per cortesia connettiti per rispondere
45 risposte a questa discussione

#31 netquik

netquik

    Tweakness Admin

  • Admin
  • 3827 messaggi

Inviato 06 settembre 2004 - 07:41

bene...

una cosa positiva c'è!

About Buster lo riconosce...

e come pensavo (quando ti avevo chiesto di dirmi i servizi attivi)

si installa come servizio...


allora quante volte hai eseguito About:buster da provvisoria??? 2?

è necessario che tu lo esegua finchè nel log ti dice che non ha trovato nulla...

ora attenta...

Prima di eseguire About:buster
dovresti riuscire a terminare l'eventuale processo dal Task Manager
(leggiti i consigli precedenti)


e stoppare il servizio NS_Service_3 (o simile)

-------------------------------
4. Make sure your PC is configured to show hidden files and folders....

Open Windows Explorer & Go to Tools > Folder Options. Click on the View tab and make sure that "Show hidden files and folders" is checked. Also uncheck "Hide protected operating system files" and untick "hide extensions for known file types" . Now click "Apply to all folders"
Click "Apply" then "OK"

5. Next, go to Start->Run and type "Services.msc" (without quotes) then hit Ok

THIS MAY OR MAY NOT SHOW If it doesn't, please continue to step 6

Scroll down and find the service called "Network Security Service." When you find it, double-click on it. In the next window that opens, click the Stop button, then click on properties and, under the General Tab, change the Startup Type to Disabled. Now hit Apply and then Ok and close any open windows.


------------------------------
POI

dopo avere eseguito la serie About buster


esegui HijackThis e fixa quelle voci (saranno sempre le solite)

ora riavvia in modalità normale...

e vediamo


per quanto riguarda il sito che dici... sì...
ma noi qui stiamo già facendo cose molto più "profonde"
quindi non servirebbe a nulla...

fammi sapere

#32 medessa

medessa

    Member

  • Members
  • StellettaStelletta
  • 22 messaggi

Inviato 07 settembre 2004 - 02:24

OK calma e sangue freddo...

Devo terminare il processo da mod provv... QUALE PROCESSO? il d3jw32?
Ma in teoria non ci dovrebbe essere più...
E ora cerco di capire come stoppare il servizio, perchè non ho la più pallida idea di come si faccia e se scrivo services.msc dal mio PC non lo trova... (però ricordati che io ho NT)... cmq mi cerco un paio di istruzioni e quello non dovrebbe essere un problema.
Poi lancio Buster finchè non trova nulla... ma nulla nulla nulla tipo deserto dei tartari? Perchè hai visto il log che ti ho mandato, a me lo scan 2 sembrava già pulito....
E infine Hijack... e fixo sempre le voci del tuo msg del 31 agosto?

#33 netquik

netquik

    Tweakness Admin

  • Admin
  • 3827 messaggi

Inviato 07 settembre 2004 - 02:38

sì... hai capito tutto bene...

in win2000 non mi ricordo come si fanno uscire i servizi...


mm... vedo se trovo qualcosa..

#34 netquik

netquik

    Tweakness Admin

  • Admin
  • 3827 messaggi

Inviato 07 settembre 2004 - 02:42

sei sicura che satrt >> esegui >> services.msc

non va?

prova da Pannello di Controllo >> strumenti di amministrazione

#35 netquik

netquik

    Tweakness Admin

  • Admin
  • 3827 messaggi

Inviato 07 settembre 2004 - 02:58

-- Scan 2 ---------------------------
About:Buster Version 3.0
Reference List : 15

No ADS found on system
Removed 6 Random Key Entries
Attempted Clean Of Temp folder.
Removed LEGACY___NS_Service_3 Key
Pages Reset... Done!


non misembra che non abbia fatto nulla :P

#36 medessa

medessa

    Member

  • Members
  • StellettaStelletta
  • 22 messaggi

Inviato 07 settembre 2004 - 03:47

Più che sicura... mi dice: Impossibile trovare il file "services.msc" o uno dei suoi componenti. Verificare che il nome del file e il percorso siano corretti e che tutte le librerie siano disponibili.

Cmq no problem, da pannello di controllo ho proprio l'accesso a servizi... speriamo sia così pure in 2000...
Speriamo che finisca presto la riunione così procediamo...

Ciao :)

#37 netquik

netquik

    Tweakness Admin

  • Admin
  • 3827 messaggi

Inviato 07 settembre 2004 - 03:57

bene.. comunque penso che ci siamo...

bisogna solo riuscire a trovare l'ordine giusto per eseguire tutti i fixes...

#38 medessa

medessa

    Member

  • Members
  • StellettaStelletta
  • 22 messaggi

Inviato 08 settembre 2004 - 09:46

Dunque...
Da lui funziona lanciare services.msc da esegui ma non c'è nessun servizio "network security service" e neanche "NS_Service_3" o qualcosa che gli assomigli...
Sono in ordine alfabetico e dice che non lo vede...
Ora gli faccio lanciare la sequenza di buster...

Ti faccio sapere...

#39 medessa

medessa

    Member

  • Members
  • StellettaStelletta
  • 22 messaggi

Inviato 10 settembre 2004 - 11:55

Ciao Netquik,
purtroppo non abbiamo risolto niente, il servizio NS pincopallino non lo trovo da nessuna parte e ti posto il risultato di buster e nel messaggio successivo quello di Hijack (mi ci sono affezionata :)... il mio ragazzo è andato in ferie per due settimane, quindi se ne riparla a fine settembre... tu intanto però non ti adagiare, rifletti ;) e fammi sapere anche perchè altrimenti mi annoio senza più guerra da fare ai parassiti, mi ci stavo appassionando... :(

Ciao

Allega File(s)



#40 medessa

medessa

    Member

  • Members
  • StellettaStelletta
  • 22 messaggi

Inviato 10 settembre 2004 - 12:08

E dimenticavo che il processo djhi32 non c'è più....
Senti, mi sai spiegare una cosa?
Ho confrontato un'immagine capture dei processi attivi fatto dal task manager e l'elenco dei running processes di hijack fatto un minuto dopo.
Come è possibile che ci siano voci nel capture che non ci sono nei running di Hijack? Te le elenco:

- CSRSS.EXE
- naPrdMgr
- taskmgr.exe

Li ho verificati, a perte che li ho pure io, ma sembrerebbero cose fondamentali... ma come mai stanno da una parte e dall'altra no (come puoi vedere dal log di hijack)?

Ciao ciao

Allega File(s)



#41 netquik

netquik

    Tweakness Admin

  • Admin
  • 3827 messaggi

Inviato 10 settembre 2004 - 01:29

mmm... managgia...


strano che non trovi il servizio...

cmq... sei sicura di star facendo about buster da provvisoria...?

inoltre djhi32 non c'è più... ma c'è il "sostituto"

C:\WINNT\system32\addfz32.exe

quindi devi provare a terminare almeno questo processo prima di avviare aboutbuster

devi essere brava a riconocere queste aggiunte...

inoltre quel servizio potresti disattivarlo o eliminarlo agendo sui registri...

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

ti consiglierei di fare anche questa prova...

cioè elimini il servizio da provvisoria... riavvi in provvisoria direttamente ... termini l'eventuale processo... e fai about buster... come hai visto dal log infatti... non riesce a pulire tutto... evidentemente perchè il verme si difende ricreandosi....


quei processi che mi hai elencato sono di sistema e probabilmente legati all'esecuzione stessa del task manager

inoltre assicurati ogni tanto di aggiornare About buster tramite l'opzione stessa del programma...


ciauz

#42 medessa

medessa

    Member

  • Members
  • StellettaStelletta
  • 22 messaggi

Inviato 10 settembre 2004 - 02:06

ULTRA sicura che lo faccio da provvisoria, ogni volta che riavviamo in provvisoria ci vogliono 8 minuti di orologio perchè riparta... uno STRESS!!!

Ok, quando ritorna proverò anche quello...

Grazie :)

#43 medessa

medessa

    Member

  • Members
  • StellettaStelletta
  • 22 messaggi

Inviato 10 settembre 2004 - 02:08

appro... ma APPNF32 lo trovi sicuro? o lo termino come l'altro?

#44 netquik

netquik

    Tweakness Admin

  • Admin
  • 3827 messaggi

Inviato 10 settembre 2004 - 02:23

no brava... anche quello è roba brutta....!!

#45 netquik

netquik

    Tweakness Admin

  • Admin
  • 3827 messaggi

Inviato 10 settembre 2004 - 09:59

un'altro modo per individuare il servizio e terminarlo

vai in

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services


cerca un servizio che abbia nome come questo

O?’ŽrtñåȲ$Ó o Workstation NetLogon Service o Network Security Service

oppure

__NS_Service
__NS_Service_2
__NS_Service_3



nel caso eliminala la voce

poi fai lo stesso con

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root

LEGACY O?’ŽrtñåȲ$Ó o LEGACY Workstation NetLogon Service o LEGACY Network Security Service

oppure
LEGACY___NS_Service
LEGACY___NS_Service_2
LEGACY___NS_Service_3


inoltre dimmi che valore ha questa chiave di registro

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\

AppInit_DLLs = ???




0 utente(i) stanno leggendo questa discussione

0 utenti, 0 ospiti, 0 utenti anonimi