dopo la disinfezione/cancellazione di
perfs.exe, routing.exe, wsending.exe, afinding.exe


prevxCSI mi rileva come rootkit
C:\windows\system32\andt.sys
http://www.virustotal.com/it/analisis/6c8f1296bc9cd8611ad8bb5fd61a78ab
C:\windows\system32\tmp0_374237133964.bk
http://www.virustotal.com/it/analisis/af4842b2aa26c24544eecb68154f1735

Inoltre ho notato la presenza di altri 2 file tmp0...
http://www.virustotal.com/it/analisis/8be704993fdefd4ceb8f087dc6bcb9cf
http://www.virustotal.com/it/analisis/47952e04689559fa945ba70806bdafe8



a-squared Command Line Scanner
log_feb.txt (http://wikisend.com/download/668846/log_feb.txt)

Kaspersky antivirus(dovrebbe essere uguale a Kaspersky Virus Removal Tool)
nulla da segnalare, sia con rootkit scan, che con scan normale
RootKit.txt (http://wikisend.com/download/668072/RootKit.txt)
CriticalAreas.txt (http://wikisend.com/download/668052/CriticalAreas.txt)

DrWeb cureIt
Nulla da segnalare
CureIt.log (http://wikisend.com/download/668174/CureIt.log)
Forse è meglio aggiungere al topic che di default il log è posizionato in "c:\documents and settings\nomeutente\doctorweb\

Eset SysInspector
SysInspector-ALBA-7607087968-080506-1359.xml (http://wikisend.com/download/668632/SysInspector-ALBA-7607087968-080506-1359.xml)

Log HiJackThis
http://feboss.pastebin.com/m214b3a58

Gmer
gmer.log (http://wikisend.com/download/668304/gmer.log)

Segui la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend (http://wikisend.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

aggiornato

vorremmo i log anche delle scansioni che nons egnalano nulla :)

nei log che hai pubblicato non vedo nulla di anomalo... hai provato anche prevxCSI ?

però tanto per scupolo mi faresti analizzare su www.virustotal.com questo file?
c:\windows\System32\Drivers\aou6cdgh.SYS
basta che a fine scansione copi l'url del browser e la incolli qui :)

fatto spero di aver fatto tutto in modo corretto
è dura la vita da disinfestatore

C:\WINDOWS\system32\XDva104.sys

controlla anche questo come sopra, thx.

in quale log avete visto questi file?
non ci sono più evidentemente

hai provato anche prevxCSI
Si certo mi ha trovato quei 2 file
andt.sys e tmp0...

in quale log avete visto questi file?
non ci sono più evidentemente

Abilita la visuallizazione dei file nascosti in questo modo: clicca su una cartella qualsiasi clicca su Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta in Visualizza cartelle e file nascosti - togli il segno di spunta da Nascondi i file protetti di sistema - Applica e OK

niente non ci stanno.

ma per andt.sys e tmp0... non mi devo preoccupare?

niente non ci stanno.

ma per andt.sys e tmp0... non mi devo preoccupare?

e dove sono andati a finire, allega il risultato di una scansione aggiornata relativa a Prevx CSI

http://www.screencast.com/users/feboss/folders/Jing/media/66629917-b29f-4f82-b3c8-2916763532c9
se non sbaglio non è presente la possiblità di avere un log file

http://www.screencast.com/users/feboss/folders/Jing/media/66629917-b29f-4f82-b3c8-2916763532c9
se non sbaglio non è presente la possiblità di avere un log file

Fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

mi fai una prova veloce...
click dx sull'icona di prevx a fianco dell'ora -> View the result of your last scan online -> Una volta aperto il tuo browser predefinito copia tutta la riga dell'indirizzo ed incollalo nella discussione che vediamo se funziona anche così
grazie

ma un grande sto combofix
ma che è

ok allora
http://feboss.pastebin.com/m6e232f11
e Prevxcsi non mi rileva più nulla

Wjmat sei arrivato tardi ormai avevo inziiato con combofix

Ragazzi non so come ringraziarvi :cincin: :gluglu: :mano:
Devo fare altro?

apri prevx e fallo comunque senza fare la scansione, lui dovrebbe ricordare gli ultimi risultati, grazie

ma un grande sto combofix
ma che è

ok allora
http://feboss.pastebin.com/m6e232f11
e Prevxcsi non mi rileva più nulla

Wjmat sei arrivato tardi ormai avevo inziiato con combofix

Ragazzi non so come ringraziarvi :cincin: :gluglu: :mano:
Devo fare altro?

si hostare il log qui http://wikisend.com/ :D

http://csia0.prevx.com/individualcsiresultsplus.asp?ano=146656792&LICVERIFIER=5B44FF92-2F2C-4262-9F60-2E8093511080&Opt=C&AGENTPROFILE=CSIPLUS&CMD=LSR
ma visualizza l'ultima scansione
per vedere quella in cui cera andt.sys
http://www.screencast.com/users/feboss/folders/Jing/media/66629917-b29f-4f82-b3c8-2916763532c9

LOG
ComboFix.txt (http://wikisend.com/download/666934/ComboFix.txt)

chill non è poi male questo pastebin... evitiamo di riempirci i pc con i log dei pazienti no? ;)

chill non è poi male questo pastebin... evitiamo di riempirci i pc con i log dei pazienti no? ;)
Si si, rivoluzione!
mi sono sempre chiesto il perchè non lo usavate
Cè anche il pulsante DOwnload in alto per scaricare il contenuto in formato TXT

Si si, rivoluzione!
mi sono sempre chiesto il perchè non lo usavate
Cè anche il pulsante DOwnload in alto per scaricare il contenuto in formato TXT

Direi che siamo a posto dai una letta qui: http://www.hwupgrade.it/forum/showthread.php?t=1726383

@feboss
@wjmat
il servizio in questione ovvero pastebin è blacklistato :D

la funzione View the result of your last scan online
di prevx è dunque bocciata perchè non mostra l'indirizzo dei file....
si salverebbe solo l'opzione stampa schermo...

il servizio in questione ovvero pastebin è blacklistato :D
cioè?

cmq sto prevx mi ha impressionato
probabilmente compro la licenza
kaspersky non becca nulla

la funzione View the result of your last scan online
di prevx è dunque bocciata perchè non mostra l'indirizzo dei file....
si salverebbe solo l'opzione stampa schermo...

bhè ma almeno agevoliamo gli utenti, non tutti a quanto pare sono capaci di fare la stampa del monitor...
per ora l'ho inserito come sistema per pubblicare il risultato :)

cioè?

cmq sto prevx mi ha impressionato
probabilmente compro la licenza
kaspersky non becca nulla

se compri la licenza ti consiglio di usare prevx2.0 che è il programma completo :)

cioè?

è inserito in Blacklist l'IP dove è hostato il sito in questione perche ritenuto con contenuti a rischio

cmq sto prevx mi ha impressionato
probabilmente compro la licenza

si è un'ottimo tool

kaspersky non becca nulla

su questo non sono daccordo, forse non è configurato correttamente e ribadisco forse prova a leggere qui: http://www.hwupgrade.it/forum/showthread.php?t=1545212

su questo non sono daccordo, forse non è configurato correttamente e ribadisco forse prova a leggere qui: http://www.hwupgrade.it/forum/showthread.php?t=1545212

ma la maggior parte dei file infetti che ho controllato su virustotal, kaspersky non li riconosceva come virus o rootkit.mentre prevx si.
quindi credo che come definizioni virus sia più completo

ma la maggior parte dei file infetti che ho controllato su virustotal, kaspersky non li riconosceva come virus o rootkit.mentre prevx si.
quindi credo che come definizioni virus sia più completo

aspetta non fare confusione tra i prodotti...
kaspersky è un puro antivrius ed è per questo molto potente in questa cerchia, prevx è più un ottimo antirootkit da funzioni espanse cioè utilizza anche un analisi comportamentale è un CIPS -> HIPS: nuove tecnologie per la sicurezza (http://www.hwupgrade.it/articoli/sicurezza/1545/hips-nuove-tecnologie-per-la-sicurezza_index.html)

è vero che prevx spesso è sempre presente nelle individuazioni, ma da qui a essere solista in un pc ce ne vuole ancora molta di strada... diciamo che sarebbero un ottimo complemento :)