Ciao a tutti,
Con l'antivirus AVG Internet Security 8.5 mi segnala questo rootkit :

"C:\Windows\System32\Drivers\axyx4ibg.SYS";"Driver nascosto";"L'oggetto è nascosto"

quando faccio rimuovi infezioni mi dice che l'accesso e' negato e quindi non me lo fa cancellare.

In oltre sempre che riusciro' a cancellare questo file con attaccato il rootkit e' possibile che poi avro' qualche problema con i driver? c'e' qualche modo per sapere quel file a che tipo di driver fa riferimento?

Ho gia fatto le scansioni con ATF-Cleaner e Prevx ma senza risultato.
Qualcuno sa aiutarmi?
Grazie

Ciao, allega i log dei tool indicati al Punto 8 e 9 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt deve essere hostato su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

Ciao, allega i log dei tool indicati al Punto 8 e 9 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt deve essere hostato su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).


Gmer.log (http://wikisend.com/download/445842/Gmer.log)

e

prevx.log (http://wikisend.com/download/228118/prevx.log)

Grazie :)

Entrabi i log sono ok, abilita la visualizzazione dei files nascosti

e controlla su http://virscan.org/ e http://www.virustotal.com/it/ il seguenti file: C:\Windows\System32\Drivers\axyx4ibg.SYS

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione.

PS: se possibile allega anche il log di AVG

Entrabi i log sono ok, abilita la visualizzazione dei files nascosti

e controlla su http://virscan.org/ e http://www.virustotal.com/it/ il seguenti file: C:\Windows\System32\Drivers\axyx4ibg.SYS

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione.

PS: se possibile allega anche il log di AVG

il problema e' che anche visualizzando i file nascosti quel file non mi e' possibilie visualizzarlo..

il problema e' che anche visualizzando i file nascosti quel file non mi e' possibilie visualizzarlo..

Ripeti scansione con AVG ed allegami il log, grazie.

PS: hai tolto il segno di spunta da nascondi files protetti di sistema

PS: hai tolto il segno di spunta da nascondi files protetti di sistema

mmm... ho selezionato "visualizza cartelle e file nascosti"dalle opzioni cartelle,quella opzione li dove la trovo?

mmm... ho selezionato "visualizza cartelle e file nascosti"dalle opzioni cartelle,quella opzione li dove la trovo?

Scorri in basso e trovi l'opzione

http://img36.imageshack.us/img36/8451/immaginesn.th.jpg (http://img36.imageshack.us/i/immaginesn.jpg/)

Scorri in basso e trovi l'opzione

http://img36.imageshack.us/img36/8451/immaginesn.th.jpg (http://img36.imageshack.us/i/immaginesn.jpg/)

ok,Grazie... l'ho deselozionata ma ancora non mi visualizza quel file.
Ripeto la scansione con Avg e carico il log!

ok,Grazie... l'ho deselozionata ma ancora non mi visualizza quel file.
Ripeto la scansione con Avg e carico il log!

Ecco il log di AVG avg2.txt (http://wikisend.com/download/494930/avg2.txt)

ora di rootkit me ne ha trovati 2 :doh:
Entrambi i file in questione non riesco a trovarli sul mio pc

Ecco il log di AVG avg2.txt (http://wikisend.com/download/494930/avg2.txt)

ora di rootkit me ne ha trovati 2 :doh:
Entrambi i file in questione non riesco a trovarli sul mio pc


Di questo file non ti devi assolutamente preoccupare

C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys

mentre per quanto concerne questo

C:\Windows\System32\Drivers\aqhyny2c.SYS noto che il nome è diverso da quello precdentemente indicato -> axyx4ibg.SYS

abilitando Visualizza cartelle e file nascosti e togliendo il segno di spunta da nascondi files protetti di sistema -> Applica -> OK dovresti vederli.

Di questo file non ti devi assolutamente preoccupare

C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys

mentre per quanto concerne questo

C:\Windows\System32\Drivers\aqhyny2c.SYS noto che il nome è diverso da quello precdentemente indicato -> axyx4ibg.SYS

abilitando Visualizza cartelle e file nascosti e togliendo il segno di spunta da nascondi files protetti di sistema -> Applica -> OK dovresti vederli.

Be' meno male almeno uno me lo sono risparmiato... magari posso abilitare avg in modo che la prossima volta non me lo segnali piu come dannoso?

Cmq anche abilitando le opzioni che mi hai detto i file in questione non riesco a vederli... visto che il percorso era lo stesso e cambiava il nome del file soltanto per scrupolo ho fatto partire ancora avg e mi ha segnalato di nuovo un rootkit nella stessa posizione ma con un nome ancora diverso....

"C:\Windows\System32\Drivers\avffagh8.SYS";"Driver nascosto";"L'oggetto è nascosto"

Sembra che ci stia a prendere in giro?

Essendo un nome random (casuale) è opportuno approfondire, ti suggerisco di seguire esattamente nell'ordine indicato la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

Essendo un nome random (casuale) è opportuno approfondire, ti suggerisco di seguire esattamente nell'ordine indicato la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

Trovata la soluzione!!

http://www.hwupgrade.it/forum/showthread.php?t=1566767

Falso positivo!!:muro:

Effettivamente si tratta di Daemon pensavo avessero risolto questo strano problema. :)

Effettivamente si tratta di Daemon pensavo avessero risolto questo strano problema. :)

Grazie Mille cmq per l'aiuto :)

Di nulla ;)