PDA

View Full Version : Win32.Horst.gen aiuto!!!!

cescof
04-01-2007, 21:25
Come da oggetto , kasper.. mi rileva il trojan, lo cancella ma puntualmente si ripresenta. Ho postato nella sezione hijackthis il log, mi ahnno risposto che sembra aposto tranne che per.
quote
Originariamente inviato da cescof
C:\WINDOWS\system32\oobe\setup\smss.exe

il log mi sembra apposto....però questo file non deve essere in esecuzione da quella cartella,qualcosa non quadra
prova ad aprire un thread nella sezione delle infezioni e posta un log di GMER lì
quote
di seguito il log di gmer . MI aiutate? Ciao

GMER 1.0.12.12010 - http://www.gmer.net
Rootkit scan 2007-01-04 22:24:28
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.12 ----

SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQuerySystemInformation

Code \??\C:\WINDOWS\system32\drivers\klif.sys FsRtlCheckLockForReadAccess
Code \??\C:\WINDOWS\system32\drivers\klif.sys IoIsOperationSynchronous

---- Devices - GMER 1.0.12 ----

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [F7818810] ShldDrv.SYS
Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_READ 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION [F7818BD8] ShldDrv.SYS
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_PNP 8A74FB78

---- Modules - GMER 1.0.12 ----

Module _________ F7247000

---- Threads - GMER 1.0.12 ----

Thread 4:236 8A273A20
Thread 4:240 8A253C60
Thread 4:244 8A253C60
Thread 4:516 8A273A20
Thread 4:712 8A273A20

---- EOF - GMER 1.0.12 ----
wizard1993
05-01-2007, 11:01
Come da oggetto , kasper.. mi rileva il trojan, lo cancella ma puntualmente si ripresenta. Ho postato nella sezione hijackthis il log, mi ahnno risposto che sembra aposto tranne che per.
quote
Originariamente inviato da cescof
C:\WINDOWS\system32\oobe\setup\smss.exe

il log mi sembra apposto....però questo file non deve essere in esecuzione da quella cartella,qualcosa non quadra
prova ad aprire un thread nella sezione delle infezioni e posta un log di GMER lì
quote
di seguito il log di gmer . MI aiutate? Ciao

GMER 1.0.12.12010 - http://www.gmer.net
Rootkit scan 2007-01-04 22:24:28
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.12 ----

SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQuerySystemInformation

Code \??\C:\WINDOWS\system32\drivers\klif.sys FsRtlCheckLockForReadAccess
Code \??\C:\WINDOWS\system32\drivers\klif.sys IoIsOperationSynchronous

---- Devices - GMER 1.0.12 ----

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [F7818810] ShldDrv.SYS
Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_READ 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION [F7818BD8] ShldDrv.SYS
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA 8A74FB78
Device \FileSystem\Ntfs \Ntfs IRP_MJ_PNP 8A74FB78

---- Modules - GMER 1.0.12 ----

Module _________ F7247000

---- Threads - GMER 1.0.12 ----

Thread 4:236 8A273A20
Thread 4:240 8A253C60
Thread 4:244 8A253C60
Thread 4:516 8A273A20
Thread 4:712 8A273A20

---- EOF - GMER 1.0.12 ----

disattiva il ripristino di configurazone di sistema
cescof
05-01-2007, 19:28
Era già disattivato a meno tweak xp non l'avesse forzato. Comunque adesso è disabilitato e twex xp disinstallato. Cosa devo fare adesso?
Grazie
Ciao