Salve
Il problema in oggetto si è palesato durante una periodica (di solito ogni tre mesi circa) scansione totale a 360° del PC di casa più esposto a rischi, in quanto sempre connesso a Internet ed usato per i test.

Per scansione "totale" non intendo il semplice antivirus, che eseguo molto più spesso, bensì tutti i programmi elencati nella "Guida alla disinfezione per infetti"+Avira+Spybot.

Il problema però è che GMer crasha praticamente appena iniziata la scansione, il che non mi era mai capitato e mi suona tremendamente sospetto :mbe: .

Pertanto mi servirebbe qualche consiglio sull'individuazione dell'intoppo (instabilità del software o rootkit che si autoprotegge?). Purtroppo non ho esperienza/pratica con altri anti-rootkit, quindi non so come comportarmi :(

Vi posso dare i seguenti dati:
- il pc non ha sintomi rilevabili di infezione
- per un errore umano è rimasto privo di Firewall (Comodo) durante una nottata di P2P :doh: (il che mi ha peraltro portato ad anticipare le scansioni)
- DrWeb è stato eseguito solo in scansione rapida, per questioni di tempo
- unica anomalia seria rilevata: Prevx ha rilevato un'anomalia in C:\windows\system32\sfc_os.dll, però presumo sia legato al CD di installazione che ho creato con nLite
- in un altro pc (in rete con questo) GMer ha iniziato una scansione INFINITA che ha portato addirittura ad un riavvio termico dello stesso dopo 4-5 ore :eek:

Grazie in anticipo

Bentrovato,

puoi allegare tutti i log delle scansioni che hai fatto, dato che hai seguito la Guida alla Disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) per Infetti della nostra sezione?

Così da questi protremo avere qualche informazioni in più... Altrimenti così siamo un po alla cieca... Inoltre hai ri-provato un altra volta a far girare Gmer sul tuo pc? :rolleyes:

In effetti non ci avevo pensato... a mia scusante sottolineo che non sono stati in effetti trovati malware, ergo (a parte Hijackthis) non sono log particolarmente significativi :stordita:

Ho provato n altre volte ad avviare Gmer, lo ho riscaricato, salvato con nomi random, fatto partire da altri percorsi... :zzz:

Appena tornerò a casa recupero i log utili e provo a fare una caccia agli ADS cui non avevo pensato prima :)

Stay tuned, e mi scuso per l'omissione :doh:

Rimedio alle precedenti mancanze :stordita: , altri log non ne ho allegati in quanto "bianchi".

Quale altro anti-rootkit potrei usare al posto di Gmer per ricavarne un log da postare :help: ?

Screenshot Prevx:

http://img709.imageshack.us/img709/7343/prevxo.th.jpg (http://img709.imageshack.us/i/prevxo.jpg/)

Altre scansioni hanno evidenziato tracce di un file sospetto nel registro, ma che materialmente non esiste più (ho provato anche con un SO bootabile da CD):

http://img694.imageshack.us/img694/9459/mah4.th.jpg (http://img694.imageshack.us/i/mah4.jpg/)

Log di ESET SysInspector:

http://www.mediafire.com/?onoimdbtjqm

Log di Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.17.53, on 15/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\COMODO\COMODO Internet Security\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\notepad.exe
C:\Programmi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programmi\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: D-Link AirPlus.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=26688
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{770C0810-A562-4A31-971A-004B7CAD547A}: NameServer = <EDIT>
O17 - HKLM\System\CS1\Services\Tcpip\..\{770C0810-A562-4A31-971A-004B7CAD547A}: NameServer = <EDIT>
O17 - HKLM\System\CS2\Services\Tcpip\..\{770C0810-A562-4A31-971A-004B7CAD547A}: NameServer = <EDIT>
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Roxio UPnP Renderer 10 - Sonic Solutions - C:\Programmi\Roxio\Digital Home 10\RoxioUPnPRenderer10.exe
O23 - Service: RoxMediaDB10 - Sonic Solutions - C:\Programmi\File comuni\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programmi\Sandboxie\SbieSvc.exe

--
End of file - 5412 bytes

Sembra che i miei log risultino noiosi :ronf:

Scherzi a parte, nessuno ha qualche idea :( ?

Anche un suggerimento di un anti-rootkit alternativo a Gmer sarebbe gradito :muro:

Sembra che i miei log risultino noiosi :ronf:

Scherzi a parte, nessuno ha qualche idea :( ?

Anche un suggerimento di un anti-rootkit alternativo a Gmer sarebbe gradito :muro:

sfc_os.dll è un falso positivo, mentre per qunato cencerne Gmer a volte può crashare.

Ok, quindi dai log non risulta niente di bizzarro, meno male :D

Quindi che programma posso usare per il futuro al posto di GMer, che consideravo il gold standard :mc: ?

Ok, quindi dai log non risulta niente di bizzarro, meno male :D

Quindi che programma posso usare per il futuro al posto di GMer, che consideravo il gold standard :mc: ?

Prevx :)

Prevx :)

Ma non è un po' "leggerino", per dirla alla Riddick, per essere usato come anti-rootkit di prima linea :mbe: ?

Ma non è un po' "leggerino", per dirla alla Riddick, per essere usato come anti-rootkit di prima linea :mbe: ?

Io di Prevx mi fido ciecamente ;)