Condividi:        

Attacco di virus

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Postdi toni84 » 26/10/05 21:55

Allora proviamo con quella idea che avevo in mente ;) segui attentamente quello che ti dico

Scaricati questo programma
1-scarica vundofix salvalo sul desktop,doppio click sul file VundoFix.exe e sul desktop si creerà la cartella VundoFix
2-Apri la cartella VundoFix e cliccare sul file KillVundo.bat
-Adesso parte il prompt
VundoFix V2.15 by Atri
By using VundoFix you agree that you are doing so at your own risk
Press enter to continue...

-a questo punto premi invio una volta
-poi vedrai:
Please Type in the filepath as instructed by the forum staff
and then press enter:

qui devi digitare il percorso che si vede con hijack
-Premi invio,
-poi vedrai:
Please type in the second filepath as instructed by the forum
staff then press enter:

a questo punto digita il percorso seguente
qui devi rivuoticare la dll messa all'inizio del tool e poi devi mettere il.*
esempio:
toni.dll
inot.* <-----messa al contrario
Premi invio continuare con il fix.

Praticamente ti scarichi il programma
Avvi in modalita provvosioria
Avvi hijack e vedi il percorso della dll della riga 20
te lo segni(perfettamente)
Chiudi hijack e inizio con il tool come spiegato sopra se non ha capito qualcosa chiedi pure
ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Sponsor
 

Postdi vairouge84 » 26/10/05 22:05

allora ... avvio in modalità provvisoria,
poi avvio hijack e copio la voce O20 dala file log vero ?
poi avvio il programmino che mi hai detto tu e do prima invio e poi incollo la voce O20 oppure il percorso? (es c:\windows ecc )

poi invio e da qua non ho capito più bene cosa devo fare ...

??????[/quote]
vairouge84
Utente Senior
 
Post: 124
Iscritto il: 10/10/04 14:24

Postdi vairouge84 » 26/10/05 22:11

cioè ... faccio invio e scrivo direttamente il nome della dll e poi sotto quello al contrario ( rts.dll e str.dll ???) oppure scrivo prima ciò che tu mi hai scritto in blu ??
vairouge84
Utente Senior
 
Post: 124
Iscritto il: 10/10/04 14:24

Postdi toni84 » 26/10/05 22:16

Allora riniizioamo dal principio

Facciamo finta che tu adesso riavvia il pc in modalità provvisoria e alla stringa 020 corrisponda questo percorso
C:\WINDOWS\system32\pmnnk.dll
te lo segni in modo preciso ed avvia in modalita provvisoria
Adesso Apri la cartella VundoFix e clicca sul file KillVundo.bat
Si apre una finestra prompt

VundoFix V2.15 by Atri
By using VundoFix you agree that you are doing so at your own risk
Press enter to continue...


-a questo punto premi invio una volta
-poi vedrai:
Please Type in the filepath as instructed by the forum staff
and then press enter:


(adesso digitiamo la dll presa in esempio)
C:\WINDOWS\system32\pmnnk.dll

-Premi invio,
-poi vedrai:
Please type in the second filepath as instructed by the forum
staff then press enter:

(adesso digitiamo la dll presa in esempio al contrario,invece di mettere .dll mettiamo .*

C:\WINDOWS\system32\knnmp.*
(dll al contrario di quella inizoale seguita da .*)

Premi invio continuare con il fix.
Finito il tool apri hijack e fissi ed elimini la riga 020
Ti conviene fare il copia e incolla di tutto sul block notes per poi consultarlo quando sei off-line
ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi toni84 » 26/10/05 22:19

vairouge84 ha scritto:cioè ... faccio invio e scrivo direttamente il nome della dll e poi sotto quello al contrario ( rts.dll e str.dll ???) oppure scrivo prima ciò che tu mi hai scritto in blu ??


quasi perfetto
rts.dll<-------dll inizale
str.*<-------dll capovolta solo che invece di mettere .dll metti
str.*
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi vairouge84 » 26/10/05 22:43

fatto ...

c'è ancora la stringa :
O20 - Winlogon Notify: OptimalLayout - C:\WINDOWS\system32\mniwave.dll

ho seguito tutte le istruzioni ...
una volta copiata la dll al contrario (quella giusta era gp80l3lm1.dll) si è attivato automaticamente hijack e ho fatto la scansione poi ho eliminato la solita stringa ma nulla dopo nella successiva scansione è riapparsa ...

tra l'altro nel programmino m diceva che era impossibile trovare il file e che era forse in uso da qualche altro programma ...
vairouge84
Utente Senior
 
Post: 124
Iscritto il: 10/10/04 14:24

Postdi toni84 » 26/10/05 22:56

eh la cosa è alquanto strana :(
ho fatto una ricerca tu sei infetto propio dall' Adware.Look2Me
come puoi vedere qui
http://castlecops.com/o20list-98.html
Allora il programma di oggi di cui ti ho dato le istruzioni va propio bene
se non lo ricordi è quello dell'opzione 1 e 2 se non l'hai + riscaricalo
http://www.atribune.org/downloads/l2mfix.exe
salvalo sul desktop,doppio click su l2mfix.exe,clicca su instal,si crea una nuova cartella aprila e clicca su l2mfix.bat
quando si apre il prompt digita 2 e dai l'invio
Finito tutto le icone scompariranno insieme al desktop è tutto normale
finito con il tool con hijack rifissa la solita 020

Tutto da fare nella modalità provvisoria
Poi posta il log rilasciato da l2mfix
Buona fortuna ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi vairouge84 » 26/10/05 23:21

allora il programma l'avevo ancora nonostante odii l'inglese !!
quindi fatto tutto come mi dicevi tu e dopo aver premuto 2 e invio si apr la solita finestrina dove mi dice che window si sta riavvinado (restaring) dopo di chè spariscono le icone e si riavvia il pc ...

questo è il log del programmino inglese :

L2Mfix 1.04a

Running From:
C:\Documents and Settings\Administrator.COMPUTER\Desktop\l2mfix



RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(NI) ALLOW Full access NT AUTHORITY\SYSTEM
(IO) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-NI) ALLOW Read BUILTIN\Users
(ID-IO) ALLOW Read BUILTIN\Users
(ID-NI) ALLOW Read BUILTIN\Power Users
(ID-IO) ALLOW Read BUILTIN\Power Users
(ID-NI) ALLOW Full access BUILTIN\Administrators
(ID-IO) ALLOW Full access BUILTIN\Administrators
(ID-NI) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-IO) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-IO) ALLOW Full access CREATOR OWNER



Setting registry permissions:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!


Denying C(CI) access for predefined group "Administrators"
- adding new ACCESS DENY entry


Registry Permissions set too:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(CI) DENY --C------- BUILTIN\Administrators
(NI) ALLOW Full access NT AUTHORITY\SYSTEM
(IO) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-NI) ALLOW Read BUILTIN\Users
(ID-IO) ALLOW Read BUILTIN\Users
(ID-NI) ALLOW Read BUILTIN\Power Users
(ID-IO) ALLOW Read BUILTIN\Power Users
(ID-NI) ALLOW Full access BUILTIN\Administrators
(ID-IO) ALLOW Full access BUILTIN\Administrators
(ID-NI) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-IO) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-IO) ALLOW Full access CREATOR OWNER



Setting up for Reboot


Starting Reboot!

la tringa O20 è sempre li al suo posto ...

mi sa che questo è un virus bello tosto e io sono stato il primo sfigato a beccarlo :undecided: :x :x

va beh ... se hai o avete ancora idea di come eliminarlo fatemi sapere ...

io sto ancora 10 minuti e poi vado a dormire ...

ciao ciao e grazie
vairouge84
Utente Senior
 
Post: 124
Iscritto il: 10/10/04 14:24

Postdi toni84 » 26/10/05 23:32

Ciao ti ripeto che c'è qualche errore il log non è quello
1-apri il programma e clicca su l2mfix.bat
2-seleziona l'opzione 2 per Run fix,premendo 2 e clicca su invio
3-Premi un tasto per riavviare il pc
4-dopo il riavvio,il tuo desktop e le icone scompariranno è normale,l2mfix continua lo scan quando ha finito visualizzerai il log sul block notes che mi posti

ecco le istruzioni tradotte in modo completo
ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi vairouge84 » 26/10/05 23:41

a me il log non me lo apre proprio ...

una volta digitato 2 e invio mi chiede di premere un tasto per riavviare ...
si apre questa finestrina dove mi dice che windows si sta riavviando e inizia il conteggio da 15 secondi ...
sotto c'è il pulsante cancel che se io clicco mi interrompe il riavvio ...
dopo di che si riavvia scomparendo le icone e mi riporta il pc in modalità provvisoria ....
senza alcun log aperto ....

nn so se c'entra qualcosa, cmq io la modalità provvisoria la avvio non con l F8 ma da esegui > msconfig
vairouge84
Utente Senior
 
Post: 124
Iscritto il: 10/10/04 14:24

Postdi toni84 » 26/10/05 23:47

penso che sia quello il problema :D
partendo sempre dalla provvisoria non è la cosa adatta,devi avviare in modalita provvisoria con F8 quindi devi togliere la spunta che hai messo in msconfig
Rifai il tool che puoi fare anche dalla normale ma disconnesso e con tutte le applicazioni chiuse e vedi cosa fa ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi vairouge84 » 27/10/05 10:49

fooorse l'ho risolto ...
Ho avviato il pc in modalità provvissoria mediante F8 e ho seguito il solito procedimento con il programmico che ho riscaricato al posto del vecchio ...
fatto sta che il pc si è riavviato in modalità normale ma la scomparsa delle icone e il file di log come mi dicevi te non si è creato ...
fatto sta che ho fatto una scansione con hijackthis e ho cancellato le due stringhe O20 del winlogon e stranamente non si sono ricreate ...
10 minuti che sono su internet e le pagine automatiche nn si sono aperte ...
vi faccio sapere tra poco se accade qualcosa ...

;)
vairouge84
Utente Senior
 
Post: 124
Iscritto il: 10/10/04 14:24

Postdi vairouge84 » 27/10/05 12:12

RISOLTO !!!!!
le pagine sembra che non si aprano più e il winlogon non si è più ricreato con hijackthis ...
GRAZIE MILLE !! :)

un ultima cosa solo toni, il file che mi avevi fatto creare con il blocco note con il codice da copiare, quello di uno dei primi messaggi e che mi ha fatto salvare sul dekstop come rservice.bat lo posso eliminare? oppure lo sposto in qualche cartella ???
ok, grazie a presto !!
vairouge84
Utente Senior
 
Post: 124
Iscritto il: 10/10/04 14:24

Postdi Dylan666 » 27/10/05 12:16

@toni84 o vairouge84

Mi incollate qui il contenuto del file l2mfix.bat ?
Grazie
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi toni84 » 27/10/05 12:17

Ciao :)
contento che hai risolto ;)
si se vuoi puoi eliminare quel file,la cosa strana che non rilascia il log io per scrupolo ho provato e a me lo rilascia ma non importa,l'importante e che hai risolto ;) ;) ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi vairouge84 » 27/10/05 12:46

ah ok allora lo cancello...
x dylan, il file di log come dicevo nel post precedente non me lo ha rilasciato e l'unico file di txt che vedo nella cartella del programma è quello nominato lo2, lo incollo se può servire ma chiedi a toni se era quello che cercavi ... ciao ciao alla prossima !!

L2Mfix 1.04a

Running From:
C:\Documents and Settings\Administrator.COMPUTER\Desktop\l2mfix



RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(NI) ALLOW Full access NT AUTHORITY\SYSTEM
(IO) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-NI) ALLOW Read BUILTIN\Users
(ID-IO) ALLOW Read BUILTIN\Users
(ID-NI) ALLOW Read BUILTIN\Power Users
(ID-IO) ALLOW Read BUILTIN\Power Users
(ID-NI) ALLOW Full access BUILTIN\Administrators
(ID-IO) ALLOW Full access BUILTIN\Administrators
(ID-NI) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-IO) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-IO) ALLOW Full access CREATOR OWNER



Setting registry permissions:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!


Denying C(CI) access for predefined group "Administrators"
- adding new ACCESS DENY entry


Registry Permissions set too:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(CI) DENY --C------- BUILTIN\Administrators
(NI) ALLOW Full access NT AUTHORITY\SYSTEM
(IO) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-NI) ALLOW Read BUILTIN\Users
(ID-IO) ALLOW Read BUILTIN\Users
(ID-NI) ALLOW Read BUILTIN\Power Users
(ID-IO) ALLOW Read BUILTIN\Power Users
(ID-NI) ALLOW Full access BUILTIN\Administrators
(ID-IO) ALLOW Full access BUILTIN\Administrators
(ID-NI) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-IO) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-IO) ALLOW Full access CREATOR OWNER



Setting up for Reboot


Starting Reboot!
vairouge84
Utente Senior
 
Post: 124
Iscritto il: 10/10/04 14:24

Postdi Dylan666 » 27/10/05 12:49

A me serviva quallo che c'è scritto in l2mfix.bat ;)
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi toni84 » 27/10/05 12:49

il file si chiama report.txt e lo trovi nella cartella del programma ;) ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi toni84 » 27/10/05 12:50

Dylan666 ha scritto:A me serviva quallo che c'è scritto in l2mfix.bat ;)


Codice: Seleziona tutto
@echo off
VER|find "Windows 95">NUL
IF NOT ERRORLEVEL 1 GOTO end

VER|find "Windows 98">NUL
IF NOT ERRORLEVEL 1 GOTO end

VER|find "Windows Millennium">NUL
IF NOT ERRORLEVEL 1 GOTO end

VER|find "Windows NT">NUL
IF NOT ERRORLEVEL 1 GOTO end
set choice=
cd >direct.txt
md backregs
for /f "tokens=1 delims=" %%a in (direct.txt) do set direct=%%a
if not exist "%WinDir%\System32\ntrights.exe" copy ntrights.exe "%WinDir%\System32" >nul
if not exist "%WinDir%\System32\regdacl.exe" copy regdacl.exe "%WinDir%\System32" >nul
if not exist "%WinDir%\System32\process.exe" copy process.exe "%WinDir%\System32" >nul
if not exist "%WinDir%\System32\strings.exe" copy strings.exe "%WinDir%\System32" >nul
if not exist "%WinDir%\System32\reboot.exe" copy reboot.exe "%WinDir%\System32" >nul
if not exist "%WinDir%\System32\zip.exe" copy zip.exe "%WinDir%\System32" >nul
if not exist "%WinDir%\System32\locate.com" copy locate.com "%WinDir%\System32" >nul
attrib -s -h -r %windir%\system32\cmd.com >nul
attrib -s -h -r %windir%\system32\bszip.dll >nul
attrib -s -h -r %windir%\system32\netstat.com >nul
attrib -s -h -r %windir%\system32\ping.com >nul
attrib -s -h -r %windir%\system32\taskkill.com >nul
attrib -s -h -r %windir%\system32\tasklist.com >nul
attrib -s -h -r %windir%\system32\tracert.com >nul
attrib -s -h -r %windir%\system32\regedit.com >nul
if exist %windir%\system32\cmd.com del %windir%\system32\cmd.com >nul
if exist %windir%\system32\netstat.com del %windir%\system32\netstat.com >nul
if exist %windir%\system32\ping.com del %windir%\system32\ping.com >nul
if exist %windir%\system32\taskkill.com del %windir%\system32\taskkill.com >nul
if exist %windir%\system32\tasklist.com del %windir%\system32\tasklist.com >nul
if exist %windir%\system32\tracert.com del %windir%\system32\tracert.com >nul
if exist %windir%\system32\regedit.com del %windir%\system32\regedit.com >nul

:notic
Echo By using this tool you do so at your own risk.  Please visit a forum on one of these sites for help:
echo http://www.subratam.org
echo http://www.spywareinfo.com
echo http://www.tomcoyote.com
echo http://www.castlecops.biz
echo http://www.atribune.org
echo http://www.net-integration.net
pause
:start


:menu2
color 80                   
cls
echo           ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ»
echo           º L2MFix Tool By Shadowwar  v1.04a       º           
echo           ÌÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ͹ 
echo           º 1.Avvia Find Log                       º 
echo           º 2.Avvia il Fix                         º
echo           º 3.Visualizza il Read me                º
echo           º 4.Ripristina i permessi del registro   º
echo           º 5.Correggi l'errore Autoexec.nt/cmd.exeº
echo           º E.Esci                                 º   
echo           ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ     

set /p Choice={1,2,3,4,5,E}
if '%Choice%'=='e' GOTO exit
if '%Choice%'=='E' GOTO exit
IF '%Choice%'=='1' GOTO log
IF '%Choice%'=='2' GOTO l2mrem
IF '%Choice%'=='3' GOTO readme
IF '%Choice%'=='4' GOTO reswin
IF '%Choice%'=='5' GOTO autont
goto exit

:l2mrem
VER|find "Windows 2000">NUL
IF NOT ERRORLEVEL 1 GOTO winlog2k
Regedit /e backregs\notibac.reg "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify"
regedit /s regfixes\winlogondefaults.reg
:winlog2k
Regedit /e backregs\notibac.reg "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify"
regedit /s regfixes\win2000def.reg
echo L2Mfix 1.04a>lo2.txt
echo. >>lo2.txt
echo Running From:>>lo2.txt
cd >>lo2.txt
echo. >>lo2.txt
echo Original Registry Permissions:
echo. >>lo2.txt
regdacl "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify" /l>>lo2.txt
echo. >>lo2.txt
Echo Setting registry permission.
Echo Setting registry permissions:>>lo2.txt
echo. >>lo2.txt
regdacl "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify" /dga:c(ci) >>lo2.txt
echo. >>lo2.txt
echo Registry Permissions Set
echo Registry Permissions set too:>>lo2.txt
regdacl "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify" /l>>lo2.txt
echo. >>lo2.txt
echo Setting up for Reboot>>lo2.txt
echo. >>lo2.txt
echo REGEDIT4 >echo.reg
echo. >>echo.reg
SET reggie=%direct:\=\\%
echo [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\001] >>echo.reg
echo "second"=""%reggie%\\second.bat"" >>echo.reg
regedit /s echo.reg
echo The system Will reboot now.
pause
echo. >>lo2.txt
echo Starting Reboot!>>lo2.txt
echo. >>lo2.txt
start reboot.exe
exit
:log
if exist report.txt del report.txt
Regedit /e user.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform"
Regedit /e noti.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify"
regedit /e shell.reg "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved"
type shell.reg | findstr /l /c:="" >test2.txt
type test2.txt | findstr /l /v /c:"E88DCCE0-B7B3-11d1-A9F0-00AA0060FA31" >test3.txt
type test3.txt | findstr /l /v /c:"FEF10FA2-355E-4e06-9381-9B24D7F7CC88" >test4.txt
type test4.txt | findstr /l /v /c:"53C74826-AB99-4d33-ACA4-3117F51D3788" >test5.txt
type test5.txt | findstr /l /v /c:"81559C35-8464-49F7-BB0E-07A383BEF910" >test2.txt
if not exist test2.txt goto scan
for /f "tokens=2 delims={}" %%a in (test2.txt) do regedit /e %%a.reg "HKEY_CLASSES_ROOT\CLSID\{%%a}"& type %%a.reg>>class.txt& if exist %%a.reg del %%a.reg
:scan
echo Scanning please Wait.
echo L2MFIX find log 1.04a>>report.txt
echo These are the registry keys present>>report.txt
echo **********************************************************************************>>report.txt
echo Winlogon/notify:>>report.txt
type noti.txt>>report.txt
regdacl "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify" /l>>report.txt
echo **********************************************************************************>>report.txt
echo useragent:>>report.txt
type user.txt>>report.txt
echo **********************************************************************************>>report.txt
echo Shell Extension key:>>report.txt
type shell.reg | findstr /l /v /c:"E88DCCE0-B7B3-11d1-A9F0-00AA0060FA31" >shell3.txt
type shell3.txt | findstr /l /v /c:"FEF10FA2-355E-4e06-9381-9B24D7F7CC88" >shell4.txt
type shell4.txt | findstr /l /v /c:"53C74826-AB99-4d33-ACA4-3117F51D3788" >shell5.txt
type shell5.txt | findstr /l /v /c:"81559C35-8464-49F7-BB0E-07A383BEF910" >shell.txt
type shell.txt>>report.txt
echo **********************************************************************************>>report.txt
echo HKEY ROOT CLASSIDS:>>report.txt
if exist class.txt type class.txt>>report.txt
echo **********************************************************************************>>report.txt
Echo Files Found are not all bad files:>>report.txt
LOCATE %WinDir%\System32\*.dll /D- /D:T-90  /NR>>report.txt
echo Locate .tmp files:>>report.txt
LOCATE %WinDir%\System32\*.tmp /D- /D:T-90  /NR>>report.txt
echo **********************************************************************************>>report.txt
echo Directory Listing of system files:>>report.txt
Dir "%WinDir%\System32\*.*" /a:s /o:-d>>%report.txt
del noti.txt
del user.txt
del user1.txt
if exist class.txt del class.txt
del test*.txt
del shell.reg
del shell*.txt
start report.txt
goto menu2
:readme
start readme.txt
goto menu2
:autont
start fixautont.html.url
goto menu2
:reswin
echo Restoring Registry Permissions: >res.txt
echo. >>res.txt
regdacl "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify" /rga:(ci) >>res.txt
echo. >>lo2.txt
echo Registry permissions set too:>>lo2.txt
regdacl "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify" /l>>res.txt
start res.txt
goto menu2
:end
Echo Not compatible with 9x or windows nt>not.txt
start not.txt
exit
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi Dylan666 » 27/10/05 13:10

Ormai ho preso tutto il programma, grazie lo stesso.
Mi interessava capire come mai noi non riuscivamo a porre fine al ricrearsi della dll mentre questo software ci riesce, ma è una serie di tool e non riesco a afferrane la meccanica combinata.
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "Attacco di virus":


Chi c’è in linea

Visitano il forum: Nessuno e 55 ospiti