Ciao a tutti sono infetto da un rootkit che si ricrea sempre all'avvio del PC e si creano cartelle con nomi strani in firefox e internet explorer aggiungendo che recentemente ho eliminato virus come Win/heur e win32/auto-it.BuZ e varianti di esso sono infetto anche nell'hard disk esterno vi prego aiutatemi non so cosa fare :muro: :cry:

Ciao benvenuto nel pronto soccorso di HU.
Segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) e nell'ordine indicato.
Ovviamente dovrai includere il disco esterno nelle scansioni

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner e cancellato gli asd con ADS Scanner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di A-squared scansione deep aggiornato ad oggi
log di F-Secure OnLine oppure di Kaspersky Virus Removal Tool scaricato oggi
log di Dr.Web CureIT scaricato ed aggiornato ad oggi
log di ESET SysInspector
log di HiJackThis
log di Gmer
log di PrevxCSI


Con la pulizia files inutili, ads e le scansioni lunghe di antispyware (1) ed antivirus (2 e 3) avrai un pc già parzialmente ripulito, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.


Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa (http://www.hwupgrade.it/forum/showthread.php?t=1779308) è una brevissima guida alla pubblicazione dei log
Questo (http://www.hwupgrade.it/forum/showpost.php?p=22872366&postcount=1) è un esempio preciso ed ordinato di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log fileqube.com, (http://fileqube.com/) wikisend.com (http://wikisend.com/), mediafire.com (http://www.mediafire.com/index.php)
caricamento immagini fileqube (http://fileqube.com/)

Grazie mille domani ti posto i log delle scansioni, a domani

ok,aspettiamo i log ;)

perdona la mia ignoranza ho collegato non solo un hard disk esterno ma anche due lettori MP3 cosa mi consigli? gli faccio fare un scansione anche a loro e ti posto i log comprendendo la scansione di essi?

certo

1) a2scan_080731-174929.txt
http://www.fileqube.com/shared/Pxubww70651

1)a2scan_080731-143255.txt
http://www.fileqube.com/shared/QbFatsBn70650

3)Log F-secure.txt
http://www.fileqube.com/shared/SbCaVLw70649

per adesso ti posso dare questi, adesso vedo se riesco a darti entro oggi pure quello di dr.web

1) a2scan_080731-174929.txt
http://www.fileqube.com/shared/Pxubww70651

1)a2scan_080731-143255.txt
http://www.fileqube.com/shared/QbFatsBn70650

3)Log F-secure.txt
http://www.fileqube.com/shared/SbCaVLw70649

per adesso ti posso dare questi, adesso vedo se riesco a darti entro oggi pure quello di dr.web

devi disabilitare il rirpistino di configurazione,dal secondo log di a-squared sembra sia attivo invece :)

no ho controllato è disattivato e la seconda scansione di a-squared rigurda i lettori MP3, nel ripristino cfg di sistema compaiono solo i due hard disk

Grazie ancora e buona notte domani posto i log rimanenti:)

Log di Dr.web cure it

www.hwupgrade.helloweb.eu/ParserLog/log/output-2020011358.txt

Log ESET SysInspector
http://www.fileqube.com/shared/aXVfSVCwM71498

Log hijackthis
http://www.fileqube.com/shared/lmVGFiTz71499

Log Gmer
http://www.fileqube.com/shared/RkpTn71496

Log Prevx CSI
http://www.fileqube.com/shared/qUNzWOd71497

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato le toolbar di google o yahoo, io le ritengo inutili quindi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programmi\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Uniblue SpyEraser] "C:\Programmi\Uniblue\SpyEraser\SpyEraser.exe" -m
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O16 - DPF: CabBuilder - http://ak.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab


se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro)
dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

togli pure quel mattone di spyware doctor

Log hijackthis
http://www.fileqube.com/shared/RxMpltiYT71581

Avg mi trova ancora il rootkit in C:\WINDOWS\system32\drivers\ac9n7m8c.sys cosa faccio?

Fai controllare quel file su www.virustotal.com e su http://virusscan.jotti.org/
Per l'esito di virustotal a fine scansione copia l'indirizzo della pagina e incollalo nella discussione
Per l'esito di virusscan.jotti copia tutto il testo che c'è tra Scanner result e Powered by → incollalo in un file di testo e allegalo.
Se il file dovesse essere nascosto o di sistema, Apri Risorse Computer -> Strumenti -> Opzioni Cartella... -> Visualizzazione -> Seleziona "Visualizza cartelle e file nascosti" -> scendi e togli la spunta a "Nascondi i file di sistema (consigliato)
Alla fine della verifica rimetti le impostazioni originali

Non lo posso fare perchè appena rilevato il rootkit cambia sempre nome sorvolando su questo poi anche rendendo visibili i file nascosti non me lo da presente.

facciamo anche una scansione di sicurezza con Malwarebytes' Anti-Malware (http://www.malwarebytes.org/mbam.php)
Installalo e aggiornarlo

Una volta aggiornato sotto la scheda "Scansione" seleziona "Effettua una scansione completa"
Clicca su scansiona, seleziona tutti i dischi ed unità e seleziona "Avvia scansione"

A fine scansione seleziona tutte le voci trovate e clicca "Rimuovi elementi selezionati"

Si aprirà il log che dovrai caricare secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)
Lo recuperi dal programma sotto la scheda "Files di log" oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio)



Scarica da qui (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip) Panda Anti-Rootkit
Estrailo e fallo partire -> Spunta "In-depth scan" -> Fagli cercare gli aggiornamenti -> Fai riavviare il pc e lascia scansionare -> Rimuovi eventuali rootkit trovati

malwarebyte's ha solo una buona pulizia per quello che riconosce ma non ha il database così esteso da essere considerato come programma di controllo, per quel che ho notato io :)
ad ogni modo male non fa' la scansione con tale prodotto :p

panda anti-rootkit non ha trovato niente mentre Malwarebytes' Anti-Malware ha trovato 6 Adware.NaviPromo però AVG 8 mi trova sempre questo rootkit

panda anti-rootkit non ha trovato niente mentre Malwarebytes' Anti-Malware ha trovato 6 Adware.NaviPromo però AVG 8 mi trova sempre questo rootkit
il nome cambia ancora?

Ma hai la versione a pagamento di AVG?
Sennò il problema non si spiega visto che quella gratis mi sembra che non rileva i rootkit:mbe:

il nome cambia solo dopo l'eliminazione del file, o se non sbaglio anche dopo un riavvio

ho la versione a pagamento di avg 8

Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall.
Scarica da qui (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) Combofix
Scollegati da internet → Chiudi ogni altra finestra o programma
Lancialo → Aspetta che appaia una finestra in cui ti chieda di digita 1 per continuare → Digita 1 → Attendi la scansione evitando di fare qualsiasi altra operazione → Dai conferma nel caso ti chieda di rimuovere alcuni driver → Attendi pazientemente senza toccare nulla → Al termine verrà mostrato il log che si trova in C:\ComboFix.txt. → Carica il log

fatto

sto mettendo il Norton Internet security 2008 al posto dell'avg 8.0 che te ne
sembra?

lascia stare norton... ;)
dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

fai fuori avg e installa antivir, lo configuri come indicato, lo aggiorni e gli fai fare la scansione completa "di rito"

sto mettendo il Norton Internet security 2008 al posto dell'avg 8.0 che te ne
sembra?

Scelta peggiore non la potevi fare:p
Metti come consigliato da wjmat antivir:)

non me lo fa aggiornare e comunque mi ha trovato un file infetto sempre sulla cartella drivers

non me lo fa aggiornare e comunque mi ha trovato un file infetto sempre sulla cartella drivers

lancia una scansione con gmer e controlla che non ci siano file in rosso; poi fai un altra scansione con pandaantirootkit

lancia una scansione con gmer e controlla che non ci siano file in rosso; poi fai un altra scansione con pandaantirootkit

Posta anche il log creato da GMER :)

Posta anche il log creato da GMER :)

no; allegalo, altrimenti non ci si capisce nulla

no; allegalo, altrimenti non ci si capisce nulla

Vabbè per postare intendevo metterlo sul forum:p :D

Vabbè per postare intendevo metterlo sul forum:p :D

che per molti vuol dire fare il copia incolla, meno male che c'è una limitazione ai caratteri, altrimenti qualcuno potrebbe incollarci un intero report di cureit

fatto ma non riesco più ad utilizzare internet explorer 7 mentre mozilla fortunatamente si

individuato, ora fai la scansione con i panda che di solito fa il suo lavoro, altrimenti passiamo alle maniere forti

il panda era quello che segava in alcune occasioni file di sistema rendendo windows inusabile ;)
io farei il log con dr.web cureit e kaspersky-tool :)

Il log di Combo evidenzia i seguenti problemi

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A6CB9796-B0DB-FC2B-8B0B-901F2A90F25C}]
C:\WINDOWS\system32:svchosts.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{SH281095-QI13-PE08-RI87-A2H4V1N2R8T7}]
C:\WINDOWS\sys32_.exe

tracce di un worm che presumibilmente scorazza sul PC allega i log di cui sopra poi allega un nuovo log di Combofix, ciao.
.

il panda era quello che segava in alcune occasioni file di sistema rendendo windows inusabile ;)
io farei il log con dr.web cureit e kaspersky-tool :)

si e questo come lo prendono?

System32\Drivers\ag5z9yp6.SYS
\Driver\ag5z9yp6 \Device\Scsi\ag5z9yp61
se l'avessero trovato l'avrebbero già tolto

qui i link della scansioni di f-secure e cureit
http://www.hwupgrade.it/forum/showpost.php?p=23553006&postcount=11
http://www.hwupgrade.it/forum/showpost.php?p=23544215&postcount=7

magari un giro con kasp trova cose nuove...

chill, quelle stringhe le seghiamo con con combo?

mi ero perso il log di cureit... ma un giro di kav-tool ce lo farei prima del panda, tanto da vedere se lo rimuove quel rootkit :)

cosa devo fare allora?

fai prima un log con Kaspersky Virus Removal Tool guida e link al download (http://www.hwupgrade.it/forum/showthread.php?t=1631690) e per snellire il log puoi usare ParserLog -> info & download (http://www.hwupgrade.helloweb.eu/?p=5) con il quale puoi parsarlo (= scremarlo) ed eseguire l'upload automaticamente,
gli oggetti individuati devono essere rimossi, verrà mantenuto un backup degli oggetti eliminati!
poi ricordati di pubblicare il link mostrato nella finestra del programma :)

e poi fai la scansione con Panda AntiRootKit -> http://research.pandasecurity.com/archive/New-Panda-Anti_2D00_Rootkit-_2D00_-Version-1.07.aspx

non riesco a parsarlo posso postarlo su fileqube.com?

zippa e carica

non riesco nemmeno ad allegarlo e lo zippato

aprilo e incolla in un file di testo le prime righe con le info fino al riussunto dei file eliminati e allega quello

Scan
----
Scanned: 363461
Detected: 3
Untreated: 0
Start time: 05/08/2008 13.18.28
Duration: 03.25.24
Finish time: 05/08/2008 16.43.52


Detected
--------
Status Object
------ ------
deleted: riskware not-a-virus:AdTool.Win32.MyWebSearch.bm File: C:\Programmi\AdunanzA\Incoming\Setup File\Nero 8\Nero-8.1.1.0b_ita_trial.exe//Toolbar.exe
deleted: riskware not-a-virus:AdTool.Win32.MyWebSearch.bm File: F:\Programmi\Nero\Nero 8\Nero-8.1.1.0b_ita_trial.exe//Toolbar.exe
deleted: riskware not-a-virus:AdTool.Win32.MyWebSearch.bm File: F:\Programmi\Nero\Nero 8\Nero-8.1.1.0b_ita_trial.exe

Statistics
----------
Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------
All objects 363461 3 0 2 0 9474 846 850 28
System memory 111 0 0 0 0 0 1 0 0
Startup objects 550 0 0 0 0 0 24 0 0
Disk boot sectors 4 0 0 0 0 0 0 0 0
Risorse del computer 362796 3 0 2 0 9474 821 850 28


Settings
--------
Parameter Value
--------- -----
Security Level Custom
Action Prompt for action when the scan is complete
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives No
Enable iChecker technology Yes
Enable iSwift technology Yes
Show detected threats on "Detected" tab Yes
Rootkits search Yes
Deep rootkits search Yes
Use heuristic analyzer Yes


Quarantine
----------
Status Object Size Added
------ ------ ---- -----


Backup
------
Status Object Size
------ ------ ----
Infected: riskware not-a-virus:AdTool.Win32.MyWebSearch.bm F:\Programmi\Nero\Nero 8\Nero-8.1.1.0b_ita_trial.exe 181,3 MB
Infected: riskware not-a-virus:AdTool.Win32.MyWebSearch.bm c:\programmi\adunanza\incoming\setup file\nero 8\nero-8.1.1.0b_ita_trial.exe 181,3 MB

a parte quelle 2 chiavi trovate da combo e quel rootkit che vedeva avg come sei messo?
antivir l'hai installato?

non l'ho installato perchè non mi permetteva di fare gli aggiornamenti non posso stare neanche in internet perchè non si collega, cosa faccio?

Apri il Blocco Note copia e incolla queste righe:

File::
C:\WINDOWS\sys32_.exe

ADS::
C:\WINDOWS\system32:svchosts.exe

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A6CB9796-B0DB-FC2B-8B0B-901F2A90F25C}]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{SH281095-QI13-PE08-RI87-A2H4V1N2R8T7}]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Riepilogo log da allegare:
Combofix
Nuovo log di Gmer

questo ads però doveva venire rimosso da ads-scanner...

fatto

e infine il log di gmer

e infine il log di gmer
mi sembra solo la scansione iniziale dalla lunghezza del log...
hai cliccato su scan?

Mi accodo alla richiesta di cui sopra riallega log di Gmer

Quale tipo di scansione devo fare con Gmer? quella rootkit/malware, perchè l'ho rifatta ma pesa sempre circa 5kb

anche autostart

Attendi la scansione inziale -> Clicca su "Scan" -> Al termine clicca su "Save..." -> salva il log e caricalo secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Log Gmer rootkit scan

Log Gmer Autostart
http://www.fileqube.com/shared/dpLCgxoP76705

A questo punto dimmi se riscontri ancora il problema iniziale perchè dalla scansione rootkit Gmer non emerge nulla

Con un programma reanimator RegRun ho eliminato C:\WINDOWS\system32:svchosts.exe ed C:\WINDOWS\sys32_.exe ma anche altri file di sistema aveva ragione chill-out! e cosi ho trovato in system volume information moltissimi Adware, Spyware e trojan ma purtroppo c'è ancora il rootkit sulla cartella drivers

Con un programma reanimator RegRun ho eliminato C:\WINDOWS\system32:svchosts.exe ed C:\WINDOWS\sys32_.exe ma anche altri file di sistema aveva ragione chill-out! e cosi ho trovato in system volume information moltissimi Adware, Spyware e trojan ma purtroppo c'è ancora il rootkit sulla cartella drivers

I files in questione sono spariti dopo l'inserimento di questo script http://www.hwupgrade.it/forum/showpost.php?p=23598810&postcount=51

ripeti la procedura indicata nel post sopracitato inserendo questo script

File::
C:\WINDOWS\system32\drivers\pavboot.sys
C:\WINDOWS\system32\drivers\60672428.sys

allega il log, inoltre potresti indicare qual'è il rootkit nella cartella \Drivers

Questo è il log di Combo Fix

è una cosa strana con la scansione individuale delle cartelle drivers e system volume information non emerge niente ma non appena gliela faccio fare completa spunta in C:\WINDOWS\system32\drivers\a7z5liss.sys

posta il contenuto del file
C:\WINDOWS\winstart.bat
per aprirlo senza eseguirlo fai start-> esegui-> notepad C:\WINDOWS\winstart.bat

o tasto destro sopra l'oggetto e scegliere una tra le seguentiu due voci:
1) modifica
2) apri con -> notepad.exe