Salve a tutti, è da ieri che Prevx 3.0 mi segnale come "High Rick Rootkit", questo file: rncvksmirpvnpubv.sys

Si trova nel seguente percorso: C:\WINDOWS\system32\drivers\rncvksmirpvnpubv.sys

Dato che dovrebbe essere un file di sistema, ho preferito aspettare prima di eliminarlo e chiedere consiglio agli esperti del forum:stordita:

Ho fatto analizzare il file a VirSCAN.org e Virus Total.com, vi allego i risultati (che mi sembrano alquanto discordanti):

VirSCAN.org

http://virscan.org/report/dd0fc5c6aad99e831522c12214bce8e6.html


Virus Total.com

http://www.virustotal.com/it/analisis/10512ccca89c0607942bbb5aef6e9260b6988b3a49288ca9f9d46375c599b54f-1251932110


Se questo argomento è già stato trattato vi pregherei di indirizzarmi alla discussione relativa, grazie:D

La rilevazione di Prevx è corretta, segui esattamente nell'ordine indicato la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

Ciao Chill Out, è stata dura ma ce l'ho fatto ad ottenere tutti i log, ecco l'elenco:
(nota: direi che dopo aver eleminato i file individuati da A-Squared è cominciata a comparire la finestrella "windows installer"...anche se premo annulla continua a saltar fuori a intermittenza...)


Malwarebytes Anti-Malware
http://www.sendspace.com/file/javghi



A-Squared Free
http://www.sendspace.com/file/ad5g84



F-Secure OnLine
http://www.sendspace.com/file/p45s63



Dr.Web CureIT
http://www.sendspace.com/file/f3blxq



ESET SysInspector
http://www.sendspace.com/file/vlg31p



HiJackThis
http://www.sendspace.com/file/ow1ynb



Gmer
http://www.sendspace.com/file/u6srwo



PrevxCSI
http://www.sendspace.com/file/e5z4xz

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

I log sono nell'ordine indicato nella guida, sono tutti in formato .txt (tranne ESET SysInspector), li ho cariti su di un server e ho messo il link per il download....che cosa ho sbagliato???

per la cronaca: ho provato a caricarli su fileqube.com, ma l'upload non avanza...

I log sono nell'ordine indicato nella guida, sono tutti in formato .txt (tranne ESET SysInspector), li ho cariti su di un server e ho messo il link per il download....che cosa ho sbagliato???

per la cronaca: ho provato a caricarli su fileqube.com, ma l'upload non avanza...

I Server dedicati sono:

http://freefilehosting.net/
http://wikisend.com/
http://fileqube.com/
http://www.mediafire.com/index.php

Ok, rimetto tutti i file uppati su Wikisend:


Malwarebytes Anti-Malware
http://wikisend.com/download/957076/Malwarebytes Anti-Malware.txt


A-Squared Free
http://wikisend.com/download/594604/A-Squared Free.txt


F-Secure OnLine
http://wikisend.com/download/536002/F-secure online log.txt


Dr.Web CureIT
http://wikisend.com/download/529858/cureit filtrato.txt


ESET SysInspector
http://wikisend.com/download/586990/SysInspector-LENOVO-090906-1958.xml


HiJackThis
http://wikisend.com/download/480054/hijackthis.log


Gmer
http://wikisend.com/download/513868/Gmer.log


PrevxCSI
http://wikisend.com/download/450814/Prevx.log

Con il Browser chiuso esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sotto indicate voci e clicca su Fix cheked

O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: P2P MAX IT Atube Toolbar - {8c2f6d41-2583-424f-a88b-46d5401b5a96} - C:\Programmi\P2P_MAX_IT_Atube\tbP2P1.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: P2P MAX IT Atube Toolbar - {8c2f6d41-2583-424f-a88b-46d5401b5a96} - C:\Programmi\P2P_MAX_IT_Atube\tbP2P1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programmi\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Elements 4.0\apdproxy.exe"
O9 - Extra button: (no name) - {0045D4BC-5189-4b67-969C-83BB1906C421} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ThinkVantage Password Manager... - {0045D4BC-5189-4b67-969C-83BB1906C421} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab


successivamente indicami per esteso l'errore realtivo a windows installer eventualmente allega uno screenshot su http://www.imageshack.us/

Ciao Chill-Out, ho fatto quello che mi hai detto in HJT.

Per il problema di windows installer, la finestra appare di tanto in tanto, poi scompare senza che io faccia nulla (se premo annulla, scompare e poi riappare)

Qui lo screen shot:
http://img171.imageshack.us/img171/3282/screenshot2i.jpg


A questo si è aggiunta un'altra finestra di un programma che ho installato tempo fa, che mi richiede l'istallazione di un componente:mbe:
Ho provato a disinstallare il programma (da installazione applicazioni), ma mi appare la finestra che mi dice "E' in corso un'altra installazione. Completarla prima di procedere con questa installazione"

Qui lo screen shot:
http://img201.imageshack.us/img201/8315/screenshotva.jpg

Per quanto concerne Windows Installer fai questa verifica:

Start - Esegui - digita msconfig

seleziona il TAB Servizi e verifica che ci sia il segno di spunta nella casella bianca in corrispondenza della voce Windows Installer, controlla inoltre lo stato del servizio.

Per il programma http://img201.imageshack.us/img201/8315/screenshotva.jpg disinstallalo da modalità provvisoria F8.

Dunque la spunta di finco alla voce "Windows installer" è presente, e lo stato è "esecuzione"

Per quanto riguarda l'altro programma (SPSS), ho provato ad eliminarlo in modalità provvisoria, però da "installazione applicazioni" mi dice che è impossibile utilizzare windows installar....allora ho provato a cercare la cartella direttamente dentro "programmi"....altro problema..la cartella NON c'è...però risulta installato..:confused:

Start - Esegui - digita services.msc

doppio click sul servizio denominato Windows Installer

Stato del servizio: Arrestalo

Nel menu a tendina Tipo di avvia: seleziona manuale

Applica - Ok

Il windows installer me lo dà attivato, però non posso bloccarlo....tutti i tasti di selezione sono grigi e non posso premerli...

Il tipo di avvio è già impostato su "manuale"

Il windows installer me lo dà attivato, però non posso bloccarlo....tutti i tasti di selezione sono grigi e non posso premerli...

Il tipo di avvio è già impostato su "manuale"

Aggiorna il SO al SP3

Non riesco ad installarlo....l'installazione è bloccata su "Controllo Product Key", di sfondo è sempre aperta la finestra del programma SPSS..
(per la cronaca, la mia copia di windows xp è originale)

Non riesco ad installarlo....l'installazione è bloccata su "Controllo Product Key", di sfondo è sempre aperta la finestra del programma SPSS..
(per la cronaca, la mia copia di windows xp è originale)

http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&DisplayLang=it

Il file del SP3 l'ho scaricato senza problemi, è l'installazione che è bloccata su "Controllo Product Key"...
non vorrei che la causa fossero queste finestre di windows installer e SPSS che continuano a comparire...infatti se io aprò il Task Manager per terminare queste finestre mi chiude automaticamente anche l'istallazione del SP3..

Che cosa strana, segui il Metodo 2 della presente Guida

http://support.microsoft.com/kb/324516/it

Metodo 2: Effettuare una nuova registrazione di Windows Installer

Direi di aver risolto il problema, la soluzione era più semplice del previsto.

La schermata di SPSS mi chiedeva di installare un componente del programma...subito non ci ho fatto molto caso perchè pensavo fosse il risultato di qualche malware. Poi però ho deciso di provare ad assecondare le richieste della schermata, così ho cercato il componente nel CD di installazione...
risultato: programma reinstallato, schermata scomparsa (anche quella di windows installer)

L'ho appena disinstallato per verificare l'efficacia del tutto: nessun problema, lo ha disinstallato normalmente

A questo punto mi viene solo da pensare che qualche file che è andato cancellato nelle varie scansioni dei programmi indicati nella guida, abbia un po' messo in agitazione il caro SPSS....:mbe:

Direi di aver risolto il problema, la soluzione era più semplice del previsto.

La schermata di SPSS mi chiedeva di installare un componente del programma...subito non ci ho fatto molto caso perchè pensavo fosse il risultato di qualche malware. Poi però ho deciso di provare ad assecondare le richieste della schermata, così ho cercato il componente nel CD di installazione...
risultato: programma reinstallato, schermata scomparsa (anche quella di windows installer)

L'ho appena disinstallato per verificare l'efficacia del tutto: nessun problema, lo ha disinstallato normalmente

A questo punto mi viene solo da pensare che qualche file che è andato cancellato nelle varie scansioni dei programmi indicati nella guida, abbia un po' messo in agitazione il caro SPSS....:mbe:

Se fosse stato un malware te lo avrei indicato nei reply precedenti a questo, comunque problema risolto, ti suggerisco pertanto di seguire questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

Si infatti, il mio dubbio è che sia stato cancellato qualche file che abbia poi compromesso il funzionamento del programma...almeno così penso dato che SPSS non l'ho neanche sfiorato negli ultimi mesi:mbe:

Cmq per il discorso "pulizia", in base ai log ora il mio pc dovrebbe essere a posto?

Ti ringrazio intanto per l'aiuto e l'assistenza Chill-out! ;)

Si sei ok, segui la Guida ed aggiorna in primis il SO assolutamente fondamentale.

PS: i tool dedicati alla disinfezione hanno rimosso ciò che dovevano :)

Ok, vedrò di aggiornare a SP3 quanto prima

Intanto ti volevo chiedere: qual'è il modo migliore per imparare a interpretare i log di questi tool dedicati alla disinfezione, in modo tale da diventare un po' più autonomo?:)

grazie ancora!:)

Frequentando questa sottosezione del Forun ed in generale Antivirus e Sicurezza (http://www.hwupgrade.it/forum/forumdisplay.php?f=141) si imparano tante cose, questo grazie agli utenti che condividono la stessa passione per il PC ;)

Allora vedrò di passare un po' più spesso! :D

a presto!