salve a tutti, spero possiate darmi una mano!
sono incappato in un virus chiamato rootkit, stamattina ho trovato il portatile con una schermata blu, lho riavviato ho fatto la scansione con Active Virus Shield di Kaspersky e mi ha trovato vari file infetti..alcuni li elimina ma 2 di questi no...il pc risultava estremamente lento e ho fatto rispristino config sistema a 4 gg prima..ora va meglio, avevo perso anke la connessione ad internet mentre ora funziona..però l antivirus mi trova sempre questi file infetti e nn li elimina ne li disinfetta..l'antivirus lho aggiornato ad oggi ma niente da fare..li rileva ma dice che non si possono disinfettare

penso che sia perchè sono infetti file di sistema??? system 32 ecccc


eccoli:

Packed.Win32.Tibs.y

Rootkit.Win32.Agent.eb


mi date un consiglio su cosa fare???:muro: :muro: :muro: :muro: :mc: :mc:

grazie infinite...:) :)

Fai una scan con GMER e vedi se ti trova voci in rosso.
Poi se vuoi posta un log di Hijackthis ma in caso di rootkit non penso veda i file incriminati.

ok proverò come mi dici..ho fatto anche lo scan con sophos anti-rootkit ma non rileva niente,poi ho provato con Rootkit Revealer della Sysinternals e mi segna in rosso dei file di kaspersky(nel manuale dice che è normale trovare in rosso alcuni file dell'antivirus...mah!!!)...ci riprovo con entrambi...eppur quando faccio scan con active virus shield me li trova

allora uso gmer e hijackthis..poi posto ciò che mi trova

grazie mille!!!!;) ;) ;)

ok proverò come mi dici..ho fatto anche lo scan con sophos anti-rootkit ma non rileva niente,poi ho provato con Rootkit Revealer della Sysinternals e mi segna in rosso dei file di kaspersky(nel manuale dice che è normale trovare in rosso alcuni file dell'antivirus...mah!!!)...ci riprovo con entrambi...eppur quando faccio scan con active virus shield me li trova

allora uso gmer e hijackthis..poi posto ciò che mi trova

grazie mille!!!!;) ;) ;)

qual è il log che ti segnala rootkit revealer?

ecco il Log di HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 11.59.10, on 03/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\CPUIDLE\srvany.exe
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\CPUIDLE\cpuidle.exe
C:\WINDOWS\system32\slserv.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\CnxDslTb.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Softwin\BitDefender10\bdagent.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Roberto\Desktop\programmi\hijackthis1991\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.it/redirect/dial_up
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - TELE2Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\CnxDslTb.exe"
O4 - HKLM\..\Run: [lfw_uninst] C:\DOCUME~1\Roberto\IMPOST~1\Temp\_uninstop.exe /u
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [aol] "C:\Programmi\AOL\Active Virus Shield\avp.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [P2kAutostart] C:\Documents and Settings\Roberto\Desktop\programmi\P2kCommander-V3.3.0\P2kAutostart.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Eraser] C:\PROGRA~1\Eraser\eraser.exe -hide
O4 - Startup: desktop(2).ini
O4 - Global Startup: desktop(2).ini
O8 - Extra context menu item: &Point&&Go - C:\Programmi\File comuni\Expert System\PGPlatform\PGPlatform.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.it/redirect/dial_up
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{808692FC-92F7-4698-9424-629843CAEE4B}: NameServer = 213.205.36.70 213.205.32.70
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: CONSGL - Unknown owner - C:\DOCUME~1\Roberto\IMPOST~1\Temp\CONSGL.exe (file missing)
O23 - Service: cpuidle - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ETC\CPUIDLE\srvany.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: GXAWWKIWUXGQK - Unknown owner - C:\DOCUME~1\Roberto\IMPOST~1\Temp\GXAWWKIWUXGQK.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe




correggo quanto detto ieri, sto facendo ora la scansione con Rootkit Revealer, le firme in rosso sono invece di Rootkit Hook Analyzer e riguardano Kaspersky (riporto solo una parte)...


http://img393.imageshack.us/img393/3001/immaginenh9.png (http://imageshack.us)


ho scaricato anke la versione trial di BitDefender, mi ha rilevato alcuni virus e li ha cancellati!
però i nomi dei rootkit elencati da AVS non compaiono mai in nessuno di questi programmi...
fra breve riporterò anke lo scan fatto da gmer

degli hook me ne fo di poco; per favore puoi sbrigarti a postre il log di gmer?

allora ho scaricato gmer,scompattato,avviato lo scan ma ad un certo punto si chiude e mi appare la finestra che dice che c'è stato un errore col programma...come faccio?l ho fatto 2 volte e la prima volta è andato in crash il pc...durante le scansioni fatte nn ci sono voci in rosso :confused:

http://img46.imageshack.us/img46/2844/gmererrorbmptu2.png (http://imageshack.us)

facendo clic sull'errore

http://img364.imageshack.us/img364/3905/gmererror2jpgsp7.png (http://imageshack.us)

falla con rootkit releaver

ok fatta con rootkitrevealer..all'inizio non mi salvava lo scan e il pc si piantava poi ci sono riuscito



HKLM\SECURITY\Policy\Secrets\SAC* 03/09/2004 12.16 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 03/09/2004 12.16 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\Control 04/06/2007 17.54 0 bytes Hidden from Windows API.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\InprocServer32 04/06/2007 17.54 0 bytes Hidden from Windows API.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\Insertable 04/06/2007 17.54 0 bytes Hidden from Windows API.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\MiscStatus 04/06/2007 17.54 0 bytes Hidden from Windows API.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\ProgID 04/06/2007 17.54 0 bytes Hidden from Windows API.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\Programmable 04/06/2007 17.54 0 bytes Hidden from Windows API.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\ToolboxBitmap32 04/06/2007 17.54 0 bytes Hidden from Windows API.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\TypeLib 04/06/2007 17.54 0 bytes Hidden from Windows API.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\Version 04/06/2007 17.54 0 bytes Hidden from Windows API.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\VersionIndependentProgID 04/06/2007 17.54 0 bytes Hidden from Windows API.
HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32* 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32* 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32* 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32* 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32* 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32* 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32* 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32* 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32* 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32* 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32* 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 04/06/2007 18.32 80 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 20/05/2007 12.28 0 bytes Access is denied.
C:\Documents and Settings\All Users\Dati applicazioni\AOL\AVP6\Report\03ad_File_Monitoring_eventcritlog.rpt 04/06/2007 18.53 4.28 KB Hidden from Windows API.
C:\Documents and Settings\Roberto\Cookies\roberto@cgi-bin[1].txt 04/06/2007 18.44 111 bytes Hidden from Windows API.
C:\Documents and Settings\Roberto\Cookies\roberto@google[1].txt 04/06/2007 18.38 130 bytes Hidden from Windows API.
C:\Documents and Settings\Roberto\Cookies\[email protected][2].txt 04/06/2007 18.45 108 bytes Hidden from Windows API.
C:\Documents and Settings\Roberto\Cookies\roberto@oxado[1].txt 04/06/2007 18.38 89 bytes Hidden from Windows API.
C:\Documents and Settings\Robert


ho rifatto lo scan con gmer e mi è uscito questo
http://img526.imageshack.us/img526/4510/gmerimagelf7.jpg (http://imageshack.us)


mentre questa me la dà sophos

http://img515.imageshack.us/img515/6519/sophosimagebp3.jpg (http://imageshack.us)

scaricati panda antirootkit; e vediamo cosa riesce a pulire

innanzitutto grazie wizard per i tuoi consigli:) :) :)
caspita sto tentando vari sistemi ma niente, alcuni software non rilevano niente mentre alcuni scan online me li rilevano ma nn li disinfettano...

avg mi trova trojan e me li elimina
sophos dà risultati diversi ogni volta
rootkit revealer nn mi salva il rapporto e si pianta
f-secure blacklight non rileva niente
rootkitbuster non trova niente
gmer a volte funziona e a volte no (system crash)

mentre Active Virus Shield continua a trovarmi file infetti oltrettutto con nomi sempre diversi

sto pensando di formattare ma nn so come si fa, nn ho neanke i cd di installazione, nn me li hanno dati

nel caso volessi formattare come è la procedura (nn avendo cd di windows)????:help: :help:

grazie infinite!!:) :D :D

innanzitutto grazie wizard per i tuoi consigli:) :) :)
caspita sto tentando vari sistemi ma niente, alcuni software non rilevano niente mentre alcuni scan online me li rilevano ma nn li disinfettano...

avg mi trova trojan e me li elimina
sophos dà risultati diversi ogni volta
rootkit revealer nn mi salva il rapporto e si pianta
f-secure blacklight non rileva niente
rootkitbuster non trova niente
gmer a volte funziona e a volte no (system crash)

mentre Active Virus Shield continua a trovarmi file infetti oltrettutto con nomi sempre diversi

sto pensando di formattare ma nn so come si fa, nn ho neanke i cd di installazione, nn me li hanno dati

nel caso volessi formattare come è la procedura (nn avendo cd di windows)????:help: :help:

grazie infinite!!:) :D :D


fai una pasata con tutti gli antirootkit che trovi; senza cd dell'os non si formatta

ok scaricato..vediam un pò...:)

ecco qua

http://img521.imageshack.us/img521/692/pandaimageyr1.jpg (http://imageshack.us)

aggiornamento della situazione::D :D :D
pare che sia riuscito ad eliminarlo visto che solo avs me lo rilevava..ho fatto lo scan con tanti bei programmi, alcuni hanno rilevato e disinfettato anche file infetti altri invece niente..il pc va a meraviglia ora, e avs non lo trova +

ringrazio quanti mi hanno aiutato e soprattutto il caro wizard e Tidus Strife!!!:) :) :)

grazie ancora!!!;) ;) ;)