allora ragazzi ho avuto un problema con il pc... cioè appena apirvo ie7 il sistema crashava.. poi ho provato a fare un scansione con Malwarebytes Anti-Malware ma nn me lo faceva aggiornare.. e la cosa strana era che se andavo su risorde del computer, premendo due volte sull hard disk nn mi faceva accedere.. potevo vedere il contenuto delle due partizioni solo facendo esplora.. allora ho deciso di formattare e di mettere nella partizione D i file da salvare...
allora dp formattato su c: accedevo normalmente.. poi ho ricontrollato se D andava bn e nn mi fa entrare col il doppio click ma solo facendo esplora, e ora nn mi si aggiorna ne Malwarebytes Anti-Malware ne nod32...
ora sto provando a fare un scansione on line con F-secure...
cosa puo essere.. ora se vado su c o d mi fa un errore e nn posso entrarci a meno che nn faccio esplora..... :mc:
come devo agire... ho cancellato alcuni file che avevo su D: ma nn vorrei cancellarli altri... cosa devo fare?
ecco che l errore che mi fa qnd accedo agli hard disk...

http://img152.imageshack.us/img152/1301/ssssza9.th.jpg (http://img152.imageshack.us/my.php?image=ssssza9.jpg)

ecco il log di prevx csi

http://img24.imageshack.us/img24/8909/dddce9.th.jpg (http://img24.imageshack.us/my.php?image=dddce9.jpg)

ecco il log di gmer
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-11 00:05:17
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT spuj.sys ZwCreateKey [0xB9EA80E0]
SSDT spuj.sys ZwEnumerateKey [0xB9EC6CA2]
SSDT spuj.sys ZwEnumerateValueKey [0xB9EC7030]
SSDT spuj.sys ZwOpenKey [0xB9EA80C0]
SSDT spuj.sys ZwQueryKey [0xB9EC7108]
SSDT spuj.sys ZwQueryValueKey [0xB9EC6F88]
SSDT spuj.sys ZwSetValueKey [0xB9EC719A]

INT 0x63 ? 8A494BF8
INT 0x63 ? 8A494BF8
INT 0x63 ? 8A494BF8
INT 0x63 ? 8A494BF8
INT 0x63 ? 8957BF00
INT 0x83 ? 8A497BF8
INT 0x83 ? 8957BF00
INT 0x83 ? 8A497BF8
INT 0x84 ? 8957BF00
INT 0xA4 ? 8957BF00
INT 0xA4 ? 8957BF00
INT 0xA4 ? 8957BF00
INT 0xA4 ? 8957BF00
INT 0xB4 ? 8957BF00

Code 894E6E58 ZwFlushInstructionCache
Code 896024E6 IofCallDriver
Code 894F1CBE IofCompleteRequest

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!IofCallDriver 804EF16A 5 Bytes JMP 896024EB
.text ntkrnlpa.exe!IofCompleteRequest 804EF1FA 5 Bytes JMP 894F1CC3
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B537E 5 Bytes JMP 894E6E5C
? spuj.sys Impossibile trovare il file specificato. !
.text USBPORT.SYS!DllUnload B942280C 5 Bytes JMP 8957B4E0

---- User code sections - GMER 1.0.14 ----

.text C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe[856] kernel32.dll!SetUnhandledExceptionFilter 7C8447ED 4 Bytes [ C2, 04, 00, 00 ]
.text C:\Programmi\Internet Explorer\iexplore.exe[2444] USER32.dll!DialogBoxIndirectParamW 77D32043 5 Bytes JMP 7E38C510 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[2444] USER32.dll!MessageBoxIndirectA 77D3A05A 5 Bytes JMP 7E38C491 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[2444] USER32.dll!DialogBoxParamA 77D3B11C 5 Bytes JMP 7E38C4D5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[2444] USER32.dll!MessageBoxExW 77D50538 5 Bytes JMP 7E38C3D9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[2444] USER32.dll!MessageBoxExA 77D5055C 5 Bytes JMP 7E38C413 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[2444] USER32.dll!DialogBoxIndirectParamA 77D56CAD 5 Bytes JMP 7E38C54B C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[2444] USER32.dll!MessageBoxIndirectW 77D66093 5 Bytes JMP 7E38C44D C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[2444] WININET.dll!HttpSendRequestA 771C7519 5 Bytes JMP 0016ED77
.text C:\Programmi\Internet Explorer\iexplore.exe[2444] WININET.dll!HttpSendRequestW 771DDB8E 5 Bytes JMP 0016EDB4

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EA9040] spuj.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EA913C] spuj.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EA90BE] spuj.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EA97FC] spuj.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EA96D2] spuj.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9EB9048] spuj.sys

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 8A5091F8

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)

Device \FileSystem\Fastfat \FatCdrom 895E9500
Device \Driver\usbuhci \Device\USBPDO-0 894EC1F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A50B1F8
Device \Driver\dmio \Device\DmControl\DmConfig 8A50B1F8
Device \Driver\dmio \Device\DmControl\DmPnP 8A50B1F8
Device \Driver\dmio \Device\DmControl\DmInfo 8A50B1F8
Device \Driver\usbuhci \Device\USBPDO-1 894EC1F8
Device \Driver\usbuhci \Device\USBPDO-2 894EC1F8
Device \Driver\usbehci \Device\USBPDO-3 894EB1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{292B9874-D59F-42E3-9088-9E05091E6816} 890C71F8
Device \Driver\usbuhci \Device\USBPDO-4 894EC1F8

AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys

Device \Driver\usbuhci \Device\USBPDO-5 894EC1F8
Device \Driver\usbuhci \Device\USBPDO-6 894EC1F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A4951F8
Device \Driver\usbehci \Device\USBPDO-7 894EB1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{2F6BB6F9-280D-480B-A2DC-869E9E10FEE0} 890C71F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A4951F8
Device \Driver\Cdrom \Device\CdRom0 896061F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 8A4941F8
Device \Driver\atapi \Device\Ide\IdePort0 8A4941F8
Device \Driver\atapi \Device\Ide\IdePort1 8A4941F8
Device \Driver\atapi \Device\Ide\IdePort2 8A4941F8
Device \Driver\atapi \Device\Ide\IdePort3 8A4941F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 890C71F8
Device \Driver\USBSTOR \Device\00000078 8965A500
Device \Driver\NetBT \Device\NetbiosSmb 890C71F8
Device \Driver\USBSTOR \Device\00000079 8965A500
Device \Driver\usbuhci \Device\USBFDO-0 894EC1F8
Device \Driver\usbuhci \Device\USBFDO-1 894EC1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 88F711F8
Device \Driver\usbuhci \Device\USBFDO-2 894EC1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 88F711F8
Device \Driver\usbehci \Device\USBFDO-3 894EB1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{61D0B287-EA76-4A78-95B5-97CE50078D86} 890C71F8
Device \Driver\usbuhci \Device\USBFDO-4 894EC1F8
Device \Driver\Ftdisk \Device\FtControl 8A4951F8
Device \Driver\usbuhci \Device\USBFDO-5 894EC1F8
Device \Driver\usbuhci \Device\USBFDO-6 894EC1F8
Device \Driver\usbehci \Device\USBFDO-7 894EB1F8
Device \Driver\mv61xx \Device\Scsi\mv61xx1Port4Path0Target14Lun0 8A50A1F8
Device \Driver\mv61xx \Device\Scsi\mv61xx1 8A50A1F8
Device \Driver\mv61xx \Device\Scsi\mv61xx1Port4Path0Target0Lun0 8A50A1F8
Device \FileSystem\Fastfat \Fat 895E9500

AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 88F3C500

---- Modules - GMER 1.0.14 ----

Module \systemroot\system32\drivers\gaopdxtnqbfhqo.sys (*** hidden *** ) B6F8F000-B6FB9000 (172032 bytes)

---- Services - GMER 1.0.14 ----

Service C:\WINDOWS\system32\drivers\gaopdxtnqbfhqo.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxtnqbfhqo.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@userdata -1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxtnqbfhqo.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxivstirsb.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programmi\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxtnqbfhqo.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxtnqbfhqo.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxivstirsb.dll

---- EOF - GMER 1.0.14 ----

allora mettendo lo script fa esegueire su avenger del log di gmer.. ho risolto il problema.. ma in parte.. posso aggiornare nod e Malwarebytes Anti-Malware e poi posso accedere a c: .. ora il problema rimane x D: in questa partizione nn ce il sistema operativo xrò nn posso accedervi con il doppio click... ora gmer nn mi trova nnte.. intanto faccio una scansione con asquare... e vedo se esce qlcs..

prevx csi mi trova ankora il virus
http://img25.imageshack.us/img25/8747/ddddddddddddpi7.th.jpg (http://img25.imageshack.us/my.php?image=ddddddddddddpi7.jpg)

log di asquared
a-squared Free - Versione 4.0
Ultimo aggiornamento: 11/02/2009 0.55.52

Impostazioni scansione:

Oggetti: Memoria, Tracce, Cookies, C:\, D:\
Archivio scansioni: On
Scientifico: On
ADS Scan: On

Scansione avviata: 11/02/2009 0.59.45

C:\Documents and Settings\Andrea\Cookies\[email protected][1].txt rilevati: Trace.TrackingCookie.adserv!A2
C:\Documents and Settings\Andrea\Cookies\[email protected][1].txt rilevati: Trace.TrackingCookie.adserver!A2
C:\Documents and Settings\Andrea\Cookies\andrea@adtech[1].txt rilevati: Trace.TrackingCookie.adtech!A2
C:\Documents and Settings\Andrea\Cookies\andrea@atdmt[2].txt rilevati: Trace.TrackingCookie.atdmt!A2
C:\Documents and Settings\Andrea\Cookies\andrea@doubleclick[1].txt rilevati: Trace.TrackingCookie.doubleclick!A2
C:\Documents and Settings\Andrea\Cookies\[email protected][2].txt rilevati: Trace.TrackingCookie.media!A2
C:\Documents and Settings\Andrea\Cookies\andrea@tradedoubler[2].txt rilevati: Trace.TrackingCookie.tradedoubler!A2
C:\WINDOWS\system32\gaopdxbwwbxxtk.dll rilevati: Rootkit.Win32.TDSS!IK
C:\WINDOWS\system32\gaopdxivstirsb.dll rilevati: Rootkit.Win32.TDSS!IK
D:\RECYCLER\S-4-9-51-100019826-100007655-100000055-7732.com rilevati: Trojan.Win32.InternetAntivirus!IK
D:\RECYCLER\S-9-9-37-100009641-100003809-100006250-6332.com rilevati: Trojan.Win32.InternetAntivirus!IK

Scansionati

Files: 15306
Tracce: 584326
Cookies: 55
Processi: 28

Rilevato

Files: 4
Tracce: 0
Cookies: 7
Processi: 0
Chiavi di registro: 0

Fine scansione: 11/02/2009 1.04.24
Tempo scansione: 0:04:39

D:\RECYCLER\S-4-9-51-100019826-100007655-100000055-7732.com Cancellato Trojan.Win32.InternetAntivirus!IK
D:\RECYCLER\S-9-9-37-100009641-100003809-100006250-6332.com Cancellato Trojan.Win32.InternetAntivirus!IK
C:\WINDOWS\system32\gaopdxbwwbxxtk.dll Cancellato Rootkit.Win32.TDSS!IK
C:\WINDOWS\system32\gaopdxivstirsb.dll Cancellato Rootkit.Win32.TDSS!IK
C:\Documents and Settings\Andrea\Cookies\andrea@tradedoubler[2].txt Cancellato Trace.TrackingCookie.tradedoubler!A2
C:\Documents and Settings\Andrea\Cookies\[email protected][2].txt Cancellato Trace.TrackingCookie.media!A2
C:\Documents and Settings\Andrea\Cookies\andrea@doubleclick[1].txt Cancellato Trace.TrackingCookie.doubleclick!A2
C:\Documents and Settings\Andrea\Cookies\andrea@atdmt[2].txt Cancellato Trace.TrackingCookie.atdmt!A2
C:\Documents and Settings\Andrea\Cookies\andrea@adtech[1].txt Cancellato Trace.TrackingCookie.adtech!A2
C:\Documents and Settings\Andrea\Cookies\[email protected][1].txt Cancellato Trace.TrackingCookie.adserver!A2
C:\Documents and Settings\Andrea\Cookies\[email protected][1].txt Cancellato Trace.TrackingCookie.adserv!A2

Cancellato

Files: 4
Tracce: 0
Cookies: 7

ho un problema strano ora dopo aver aggiornato nod32 alla versione completa mi vede prevx csi come virus...

Ciao innazitutto e bene ricordare che questo è un Forum e non una Chat se non ricevi assistenza e assai probabile che nessuno è collegato quindi disponibile.

Se desideri fare un controllo approfondito e mi sembra il caso segui passo passo la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend (http://wikisend.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Ciao innazitutto e bene ricordare che questo è un Forum e non una Chat se non ricevi assistenza e assai probabile che nessuno è collegato quindi disponibile.

Se desideri fare un controllo approfondito e mi sembra il caso segui passo passo la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend (http://wikisend.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

si io nn pretendevo una risposta immediata stavo solo postando volta x volta i log e le operazioni che facevo.1..

cmq ho risolto usando avenger e mettendo lo script con i file infetti segnalati da gmer, quindi si puo chiudere ciao e mi scuso se ho postato il log in magnera errata.. ma nn ritrovavo la guida x postare i log :D

si io nn pretendevo una risposta immediata stavo solo postando volta x volta i log e le operazioni che facevo.1..

cmq ho risolto usando avenger e mettendo lo script con i file infetti segnalati da gmer, quindi si puo chiudere ciao e mi scuso se ho postato il log in magnera errata.. ma nn ritrovavo la guida x postare i log :D

Come preferisci anche se rimango dell'idea che un controllo approfondito sarebbe opportuno farlo ;)