Ciao!

Facendo la scansione con GMER, viene trovata una libreria nascosta (PxSecure.dll) e segnalata come possibile attività rootkit?!
Mi devo preoccupare?
Segue log completo della scansione:

GMER 1.0.15.15163 - http://www.gmer.net
Rootkit scan 2009-10-28 12:22:55
Windows 5.1.2600 Service Pack 3
Running: GMER pmy4kw4w.exe; Driver: C:\DOCUME~1\a\IMPOST~1\Temp\uwlyrpob.sys


---- System - GMER 1.0.15 ----

SSDT 88FD6420 ZwAlertResumeThread
SSDT 88FD6598 ZwAlertThread
SSDT 891DA228 ZwAllocateVirtualMemory
SSDT \SystemRoot\System32\drivers\pxrts.sys ZwAssignProcessToJobObject [0xB64AC480]
SSDT 89041AE0 ZwConnectPort
SSDT 88FD60F8 ZwCreateMutant
SSDT \SystemRoot\System32\drivers\pxrts.sys ZwCreateThread [0xB64AC4D0]
SSDT \??\C:\Programmi\Symantec\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0x9D58F350]
SSDT 88FCBA18 ZwFreeVirtualMemory
SSDT 88FD6130 ZwImpersonateAnonymousToken
SSDT 88FD62A8 ZwImpersonateThread
SSDT 890C5AB8 ZwMapViewOfSection
SSDT 88FD60C0 ZwOpenEvent
SSDT \SystemRoot\System32\drivers\pxrts.sys ZwOpenProcess [0xB64AC890]
SSDT 88FDA0D0 ZwOpenProcessToken
SSDT \SystemRoot\System32\drivers\pxrts.sys ZwOpenThread [0xB64AC720]
SSDT 88FFFBC8 ZwOpenThreadToken
SSDT \SystemRoot\System32\drivers\pxrts.sys ZwProtectVirtualMemory [0xB64AC570]
SSDT 8912E938 ZwQueryValueKey
SSDT 88FFBC58 ZwResumeThread
SSDT \SystemRoot\System32\drivers\pxrts.sys ZwSetContextThread [0xB64AC430]
SSDT 88FFFE40 ZwSetInformationProcess
SSDT 88FD6A00 ZwSetInformationThread
SSDT \??\C:\Programmi\Symantec\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0x9D58F580]
SSDT 88FC8CB8 ZwSuspendProcess
SSDT 88FD6710 ZwSuspendThread
SSDT \SystemRoot\System32\drivers\pxrts.sys ZwTerminateProcess [0xB64ACA30]
SSDT \SystemRoot\System32\drivers\pxrts.sys ZwTerminateThread [0xB64AC610]
SSDT 88FCB800 ZwUnmapViewOfSection
SSDT \SystemRoot\System32\drivers\pxrts.sys ZwWriteVirtualMemory [0xB64AC660]

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!ZwYieldExecution + 33A 804E4B74 4 Bytes JMP 5290D48B
.text ntoskrnl.exe!ZwYieldExecution + 452 804E4C8C 2 Bytes [80, F5]
? C:\WINDOWS\System32\drivers\pxkbf.sys Impossibile trovare il file specificato. !
? C:\WINDOWS\System32\drivers\pxscan.sys Impossibile trovare il file specificato. !
? C:\WINDOWS\System32\drivers\pxrts.sys Impossibile trovare il file specificato. !

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\Explorer.EXE[200] ntdll.dll!NtWriteFile 7C91DF7E 5 Bytes JMP 03285A80 C:\WINDOWS\system32\PxSecure.dll
.text C:\WINDOWS\Explorer.EXE[200] kernel32.dll!CreateThread 7C8106D7 5 Bytes JMP 03285150 C:\WINDOWS\system32\PxSecure.dll
.text C:\WINDOWS\system32\SearchIndexer.exe[1156] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip pxrts.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp pxrts.sys
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp pxrts.sys
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
---- Processes - GMER 1.0.15 ----

Library C:\WINDOWS\system32\PxSecure.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [200] 0x03280000

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001641dc7e88
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001641dc7e88 (not active ControlSet)

---- EOF - GMER 1.0.15 ----


:confused:

ciao

fai controllare quel file su www.virustotal.com e su http://virscan.org/

Una volta sui siti clicca su sfoglia -> cerca il file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollali nella discussione
Se ti verrà segnalato che il file è già stato controllato, fallo analizzare comunque perchè le firme virali dei vari motori di scansione potrebbero essere stati aggiornati.

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema (http://www.hwupgrade.it/forum/showpost.php?p=25063497&postcount=39)

Ciao wjmat!

Cercando la dll in c:\windows\system32\ mi sono accorto che l'unico file con prefisso PxSecure.dll è PxSecure.dll-6361484 :confused:

Ecco i log delle due scansioni:

VIRUS TOTAL (http://www.virustotal.com/it/analisis/f0ae693e638d4af74f96d2b8b702d84fbe7e47e5c79d1f6215a1d9c54eef39f6-1256630841)

VIRSCAN (http://virscan.org/report/ecea4eed1b6f31d0d5b0641490982577.html)

è una componente di Prevx ;)

è una componente di Prevx ;)
grazie per la segnalazione
in effetti tutti i risultati a parte uno mi portavano al sito di prevx :)
bisogna fare attenzione a quelli con numeri random aggiunti in fondo al nome?

è una componente di Prevx ;)

Infatti proprio in questi giorni ho installato Prevx 3!

grazie per la segnalazione
in effetti tutti i risultati a parte uno mi portavano al sito di prevx
bisogna fare attenzione a quelli con numeri random aggiunti in fondo al nome?

Ti riferisci al tool per rimuovere un certo PXSECURE5504.DLL (http://www.prevx.com/filenames/X335746146649573094-X1/PXSECURE5504.DLL.html), giusto?
Proprio quella pagina mi aveva ulteriormente preoccupato... Pensavo a qualche variante...

Mano male, va...
Grazie di tutto! :cincin: