|
|
|
|
Strumenti |
01-04-2008, 10:10 | #1 |
Senior Member
Iscritto dal: Jan 2003
Messaggi: 630
|
Trovato Rootkit,che devo fare?!
aiuto per favore,devo aver beccato un virus stranissimo,ieri sera d'improvviso il computer si è spento da solo(chiudendosi regolarmente,come se lo avessi spento io) e si è riavviato,al riavvio mi è apparsa una schermata del bios che non mi era mai apparsa dove una scritta in inglese diceva che ho preso un virus nell'hard disk e dovevo introdurre un floppy disk per tentare di toglierlo,o qualcosa del genere,poi penso di aver scoperto che si trattava dell'antivirus interno alla mia scheda madre asus(che avevo lasciato disattivato dal bios ma che deve essersi attivato nuovamente) cmq al riavvio il pc adesso è estremamente lento,sopratutto su internet dove le pagine si bloccano,non caricano,casca la linea ecc.ho fatto la scanzione approfondita con diversi antivirus,avast,a-squared free ma non mi hanno trovato nulla,ho anche provato a fare una scanzione online ma il sito mentre scandisce mi crasha,oggi dopo aver aggiornato avast mi compare questa scritta
E' STATO TROVATO UN ROOTKIT NOME DEL FILE MBR:\\.\PHYSICALDRIVE0 TIPO ROOTKIT: FILE NASCOSTO poi mi viene chiesto se voglio eliminarlo,clicco si il computer si riavvia,parte la scanzione di avast all'accenzione,prima dell'avvio del sistema,e finita la scanzione non trova nulla,e appena si avvia windows mi appare sempre questo messaggio e il virus non si cancella.Che devo fare,aiuto per favore! L'ho formattato da poco e non voglio rifarlo
__________________
ENERMAX Uber Chakra Big Tower/Asus P5Q3 P45/Q9400 Quad-Core2/ 4GIGA OCZ DDR3(1600MHz)Gold series/ Barracuda 500GB/SAPPHIRE HD4850/OCZ 700W/ASUS DRW-2014S 20X/Alice adsl 7mb |
01-04-2008, 10:58 | #2 |
Member
Iscritto dal: Apr 2007
Messaggi: 38
|
Help virus Beagle la guida nn da solllievo...
ho letto le vostre dicussioni.. tutte quelle riguardanti questo virus ho seguito alla lettera la guida per toglierlo.. ma niente.. il programma spagnolo dice
Nº de Ficheros Infectados: 0 Nº de Ficheros Limpiados: 0 ovvero nn trova niente.. avenger nel report che da all'inizio m dice per tutte le stringhe che nn esistono... ho fatto il tool d kaspersky (lab) nn trova niente.. ho gli stessi sintomi descritti da tutti service.exe che succhia ram ciclo idlee ballerino.. il processore che elabora continuamente.. unica variante è che ogni tanto m da errore iexplorer e che il mio ruoter nn m fa cancellare delle porte che avevo aperto per il p2p. Appena formatto lo riprendo.. seppur i programmi installati so' sempre quelli. L'unico antivirus che m dice qualcosa è Dr web cureit che elimina un BackDoor.Maosboot <-- services.exe:944 di system32 ! che devo fare...???? considerando che m ha beccato due pc.. Ringrazio anticipatamente.. |
01-04-2008, 11:06 | #3 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Stamattina sei il secondo utente con lo stesso problema MBR Rootkit
Procedi con la Guida alla disinfezione (questo serve soprattutto per escledere altre infezione che il rootkit nasconde) allegando i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI: ● se il relativo txt generato è max 20 kb, allegato alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI; ● se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download Edit: allega secondo le modalità indicate un log di EliBagla, grazie.
__________________
Try again and you will be luckier.
Ultima modifica di Chill-Out : 01-04-2008 alle 11:18. |
01-04-2008, 11:10 | #4 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
MBR Rootkit
Procedi con la Guida alla disinfezione (questo serve soprattutto per escledere altre infezione che il rootkit nasconde) allegando i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI: ● se il relativo txt generato è max 20 kb, allegato alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI; ● se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download Edit: tra l'altro se non ricordo male mesi addietro ti avrò detto almeno un paio di volte di sostituire Avast con Antivir
__________________
Try again and you will be luckier.
Ultima modifica di Chill-Out : 01-04-2008 alle 11:24. |
01-04-2008, 11:31 | #5 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
ho unito i due thread essendo lo stesso problema e ancora in fase iniziale, spero gradiate
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
01-04-2008, 13:05 | #6 |
Member
Iscritto dal: Apr 2007
Messaggi: 38
|
fatto
http://www.fileup.itadib.com/downloa...NGq05GY3zaKO75
http://www.fileup.itadib.com/downloa...sLokSYZOsqMmJz http://www.fileup.itadib.com/downloa...sPrrWReSyMpkaM http://www.fileup.itadib.com/downloa...fXk9odqpcUDsvV http://www.fileup.itadib.com/downloa...GOVg9HIlFExYU6 http://www.fileup.itadib.com/downloa...xkERwfWUtY8OVD http://www.fileup.itadib.com/downloa...LAg0BQXfSjLBD8 Dai log noterete subito che sl uno dei software m ha individuato chiaramente il virus.. che è proprio quello che m dicevi ovviamente. Adesso come lo tolgo? Grazie |
01-04-2008, 13:35 | #7 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22111
|
se ho capito bene si tratta del rootkit dell'Mbr, a questo punto, l'unico sistema che conosco per disinfettarlo è Prevx CSI.
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
01-04-2008, 13:42 | #8 |
Senior Member
Iscritto dal: Jan 2003
Messaggi: 630
|
ecco i miei log
adsr http://www.fileup.itadib.com/downloa...FfZjC5n49f6nCy a-squared http://www.fileup.itadib.com/downloa...nFtfApm8wIO4BN gmer http://www.fileup.itadib.com/downloa...xTwCOkne5fdzfX hijackthis http://www.fileup.itadib.com/downloa...NZZS9npvsGmFZN prevxcsi http://www.fileup.itadib.com/downloa...qE7I7xaSFnU5pB mi pare che l'unico che abbia trovato qualcosa sia prevxcsi ma non me la fa eliminare,perchè vuole il numero di licenza
__________________
ENERMAX Uber Chakra Big Tower/Asus P5Q3 P45/Q9400 Quad-Core2/ 4GIGA OCZ DDR3(1600MHz)Gold series/ Barracuda 500GB/SAPPHIRE HD4850/OCZ 700W/ASUS DRW-2014S 20X/Alice adsl 7mb |
01-04-2008, 13:52 | #9 | |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
Quote:
rifai la scansione e controlla nella finestra del programma in caso trovi righe rosse mi raccomando copiale qui nella discussione. dal log di HiJackThis vedo che devi assolutamente aggiornare cose realmente molto critiche! disinstalla Acrobat 5.0 in favore del gratuito-potente-veloce ed esente da falle critiche -> Foxitreader disinstalla Java 1.6.0_03 e scarica la nuova 1.6.0_05 (devi isinstallarla altrimenti rimane attiva anche la vecchia versione). per prevxCSI invece: Codice:
C:\WINDOWS\system32\drivers\klif.sys InMem: 0 Det [u] MD5: 214B9713C850A8C798AD76147F82EDF7 PX5: 13E0634510B595D40C5802FB042F50007F4FBFC1 REGSERVICE - \REGISTRY\Machine\SYSTEM\ControlSet001\Services\klif - ImagePath [C:\WINDOWS\system32\drivers\klif.sys] ROOTKIT-\\.\PhysicalDrive0\MBR - [512] >> Hidden Disk Sectors
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
01-04-2008, 13:52 | #10 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22111
|
sarei curioso di sapere come l'avete preso!!!
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
01-04-2008, 13:59 | #11 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
io sono dubbioso...
MeRiT10, sei sicuro che facendo una scansione completa avira non identifica il problema nel MBR ?
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
01-04-2008, 14:04 | #12 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
@ Gablogan:
disinstalla l'obsoleto Acrobat 7.0 in favore di FoxitReader
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
01-04-2008, 14:07 | #13 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22111
|
forse non ha attivato la rilevazione rootkit in expert mode e c'è anche l'opzione per scansionare il settore di avvio (MBR)
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 03-04-2008 alle 10:03. |
01-04-2008, 14:09 | #14 | |
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6375
|
Quote:
Guarda il log di Gmer: Codice:
---- Threads - GMER 1.0.14 ---- Thread 4:544 85ED1BF6 Thread 4:548 85ED39A0 Thread 4:552 85ECBE5C Thread 4:556 85ED1F38 Thread 4:1628 85ECB886 Thread 4:1676 85ECB886 Thread 4:2972 85F040A0 Thread 4:2976 85EF11A0 Thread 4:2980 85F39DD0 Thread 4:2984 85EDD220 Thread 4:3136 85ED1D22 PAGE CLASSPNP.SYS!ClassInitialize + F4 F78764B2 4 Bytes [ 7E, 18, ED, 85 ] PAGE CLASSPNP.SYS!ClassInitialize + FF F78764BD 4 Bytes [ 28, C4, EC, 85 ] PAGE CLASSPNP.SYS!ClassInitialize + 10A F78764C8 4 Bytes [ 90, 18, ED, 85 ] PAGE CLASSPNP.SYS!ClassInitialize + 111 F78764CF 4 Bytes [ 84, 18, ED, 85 ] PAGE CLASSPNP.SYS!ClassInitialize + 118 F78764D6 4 Bytes [ 8A, 18, ED, 85 ]
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: Ultima modifica di eraser : 01-04-2008 alle 14:11. |
|
01-04-2008, 14:14 | #15 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
a questo punto mettiamo il link alla Guida per configurare Avira correttamente:
http://www.hwupgrade.it/forum/showthread.php?t=1514684 avast non so come si comporti con i rootkit quindi facciamo fare il test a MeRiT10 @ eraser: infatti ero dubbioso solo sul fatto che non incollassero le voci rosse di gmer e che Avira non si attivasse con pop-up rossi fuoco. era un modo vellutato per risvegliare l'attenzione agli utenti sono sempre molto contento di leggerti da queste parti
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
01-04-2008, 14:30 | #16 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22111
|
beh ovviamente mi associo, non è da tutti i forum avere un grande ricercatore di malware italiano che posta nel nostro/suo forum
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
01-04-2008, 14:55 | #17 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
@Gablogan
@MeRiT10 MBR confermato in attesa della scansione con Avira Antivir correttamente configurato come da Guida già linkata, ripetete la scansione con questa versione di Gmer http://www2.gmer.net/beta/gmer.exe allegate sia il log per intero, sia le eventuali righe rosse. @MeRiT10 dov'è il tuo antivirus? @Gablogan direi che è arrivato il momento di installarlo questo Antivir
__________________
Try again and you will be luckier.
|
01-04-2008, 15:24 | #18 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Ciao, probabilmente
Microsoft Data Access Components (MDAC) Function vulnerability (MS06-014) AOL SuperBuddy ActiveX Control Code Execution vulnerability (CVE-2006-5820) Online Media Technologies NCTsoft NCTAudioFile2 ActiveX Buffer Overflow (CVE-2007-0018) GOM Player "GomWeb3" ActiveX Control Buffer Overflow (CVE-2007-5779) Microsoft Internet Explorer WebViewFolderIcon setSlice (CVE-2006-3730) Yahoo! JukeBox datagrid.dll AddButton() Buffer Overflow DirectAnimation.PathControl KeyFrame vulnerability (CVE-2006-4777) Microsoft DirectSpeechSynthesis Module Remote Buffer Overflow
__________________
Try again and you will be luckier.
|
01-04-2008, 15:44 | #19 | |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22111
|
Quote:
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
|
01-04-2008, 15:59 | #20 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
come dicevo al Mod. prima o poi avremmo visto i primi utenti alle prese con questo maledetto
__________________
Try again and you will be luckier.
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 14:50.