Ciao a tutti! è la prima volta che salgo su questo forum e questo é il mio primo post, spero di non aver infranto troppe regole!

il mio problema é un TR/Rootkit.Gen , ieri avira l'ha trovato in C:\windows\system32\drivers però non riesce a eliminarlo, ho provato a rifare la scansione dopo aver riavviato il pc ma niente.

Sono in Erasmus e senza i dischi di ripristino, quindi ho cercato su internet come risolvere il problema e vi ho incontrato . Premetto che il virus non mi da problemi evidenti (l'antivirus funziona, il pc non si riavvia per i conti suoi e non ho notato nulla di strano), cmq dopo aver letto alcuni post ho scaricato Kaspersky Rescue Disk, ora sta facendo la scansione (in realtá é piú di tre ore che lavora e non ha ancora finito). Le mie domande sono: ho fatto bene a usare kaspesky e se si, potete dare un'occhiata al rapporto, non vorrei calcellare qualche "falsopositivo".

Grazie mille per la disponibilitá

Luca

Segui esattamente nell'ordine indicato la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

ancora una cosa,
visto che la scansione con Kaspersky rescue disk sta durando un macello, è 5 ore che lavora e credo che prima di mezzanotte non finirà (e`normale??), posso iniziare a postare il suo rapporto? oppure vi servono necessariamente anche i rapporti con tutti gli altri programmi?
Gracias!

Luca

ancora una cosa,
visto che la scansione con Kaspersky rescue disk sta durando un macello, è 5 ore che lavora e credo che prima di mezzanotte non finirà (e`normale??), posso iniziare a postare il suo rapporto? oppure vi servono necessariamente anche i rapporti con tutti gli altri programmi?
Gracias!

Luca

Si i tempi possono essere lunghi, al termine puoi allegare il Report come sopra indicato.

Eccomi , credo sia valsa la pena di aspettare 20 ore perchè finisse lo scan,
kasperskye ha trovato il rootkit che avira non riusciva a eliminare e un altro virus di cui non sapevo l'esistenza.
Il log è talmente corto che ve lo posto direttamente qui sotto:


Scan: completed 3/4/10 8:49 AM (events: 6, objects: 296585, time: 19:38:17)
3/3/10 1:11 PM Task started
3/3/10 9:00 PM Detected: Packed.Win32.Krap.ar /discs/D:/Users/Luca/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/winesm32.exe
3/3/10 9:00 PM Deleted: Packed.Win32.Krap.ar /discs/D:/Users/Luca/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/winesm32.exe
3/3/10 11:24 PM Detected: Rootkit.Win32.Agent.aioy /discs/D:/Windows/System32/drivers/lwlcmd.sys
3/3/10 11:24 PM Deleted: Rootkit.Win32.Agent.aioy /discs/D:/Windows/System32/drivers/lwlcmd.sys
3/4/10 8:49 AM Task completed

Per eliminarli definitivamente aspetto una vostra conferma.
Grazie mille per l'aiuto!

Luca

Eccomi , credo sia valsa la pena di aspettare 20 ore perchè finisse lo scan,
kasperskye ha trovato il rootkit che avira non riusciva a eliminare e un altro virus di cui non sapevo l'esistenza.
Il log è talmente corto che ve lo posto direttamente qui sotto:


Scan: completed 3/4/10 8:49 AM (events: 6, objects: 296585, time: 19:38:17)
3/3/10 1:11 PM Task started
3/3/10 9:00 PM Detected: Packed.Win32.Krap.ar /discs/D:/Users/Luca/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/winesm32.exe
3/3/10 9:00 PM Deleted: Packed.Win32.Krap.ar /discs/D:/Users/Luca/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/winesm32.exe
3/3/10 11:24 PM Detected: Rootkit.Win32.Agent.aioy /discs/D:/Windows/System32/drivers/lwlcmd.sys
3/3/10 11:24 PM Deleted: Rootkit.Win32.Agent.aioy /discs/D:/Windows/System32/drivers/lwlcmd.sys
3/4/10 8:49 AM Task completed

Per eliminarli definitivamente aspetto una vostra conferma.
Grazie mille per l'aiuto!

Luca

Procedi pure

ultimo problemino:
seguendo le istruzioni della guida non riesco a cancellare la cartella di kaspersky, la guida dice:

"... puoi procedere all'eliminazione dei file che lascia nella cartella C:\Documents and Settings\All Users\Application Data\/Kaspersky Lab
Per raggiungerla fai Start -> Esegui -> copia/incolla "%allusersprofile%\Application Data" (compreso di virgolette) e cancella la cartella Kaspersky Lab"

ho windows vista e forse è per questo, comunque non riesco trovare questa cartella:
- cercandola manulamente non trovo "Documents ans Settings" ;
- invece mettendo il comando in "esegui" mi da errore:
"impossibile accedere C:\program data\application data.
accesso negato."
(anche cercando manualmente "application data" non la trovo)

Cmq ho trovato in C: una cartella che si chiama "kl.files", devo cancellare questa?

abilita la visualizzazione cartelle nascoste e cerca manualmente

mmm ... è che sono già visibili le cartelle nascoste,
incomincio a cercare a caso cartelle con il nome "/Kaspersky lab" ?

cmq la cartella "kl.files" che ho trovato in C potrebbe essere quella che cerco:
contiene due file di nome:
"kavrescue_sysinfo_2010_03_03.12_58_08"
"kavrescue_sysinfo_2010_03_04.11_32_09"

e le cartelle:
"report"
"qb"
"dskm_rd"
"data_rd"
"bases_rd"

e nella cartella qb ci sono solo due file con estensione .klq che potrebbero essere i due virus trovati ed eliminati , no?

si è quella cartella, hanno modificato qualcosa da quando ho fatto la guida
procedi con la guida alla disinfezione, le rimozioni dei programmi si fanno alla fine

Ok! grazie mille per l'aiuto,
la scansione con kaspersky l'ho già fatta e il log è già stato controllato, procedo con l'eliminazione e dovrei aver risolto il problema.
Grazie ancora!

Luca

non basta la scansione di kasp, vedi tu se seguire quanti ti ha consigliato chill

mmm credo che mi fermerò così,
vi ringrazio moltissimo per l'aiuto.

Luca

vedi tu
ti consiglio solo il trattamento in firma per proteggere meglio il pc
ciao

Stesso rootkit anche a me, che non riesce ad eliminare antivir!
Provo con il tool di avira per i rootkit cosa dite?
Altrimenti che dite procedo con la cancellazione forzata del rootkit?
Ho fatto la scansione con Prevx3.0 e mi chiede la licenza per eliminare quel rootkit!
C'è un tool di rimozione free?

Stesso rootkit anche a me, che non riesce ad eliminare antivir!
Provo con il tool di avira per i rootkit cosa dite?
Altrimenti che dite procedo con la cancellazione forzata del rootkit?
Ho fatto la scansione con Prevx3.0 e mi chiede la licenza per eliminare quel rootkit!
C'è un tool di rimozione free?

Segui esattamente nell'ordine indicato la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

Hai ragione chill-out ma non ho tempo... volevo solo qualcosa di rapido per eliminare quel rootkit!
Mi dai una mano... :muro:
Ho eseguito la rimozione manuale dei file indicati, il sistema alle altre scansioni risulta pulito!
Lo so che non è il massimo, appena ho tempo seguo tutta la procedura di disinfezione!
Ciao

Hai ragione chill-out ma non ho tempo... volevo solo qualcosa di rapido per eliminare quel rootkit!
Mi dai una mano... :muro:
Ho eseguito la rimozione manuale dei file indicati, il sistema alle altre scansioni risulta pulito!
Lo so che non è il massimo, appena ho tempo seguo tutta la procedura di disinfezione!
Ciao

Solo le prima 4 scansioni sono lunghe, in presenza di Rootkit è opportuno fare un controllo ad ampio spettro.

Buongiorno a tutti!
Ieri Prevx Csi mi ha individuato la presenza di quest rootkit "akdkuy.sys" nella cartella C:\windows\system32\drivers......sia Avira che Malwarebytes lo riconoscono come TR\Rootkit.Gen ma nessuno dei due programmi riesce a rimuoverlo nè a spostarlo in quarantena.....ho provato anche con Killbox al riavvio e nulla di fatto......anche in modalità provvisoria nessun risultato!
Temo mi toccherà la trafila della guida alla disinfezione! sob! :(

Posto i risultati al più presto!
MissF1

Buongiorno! Per la serie di male in peggio.......sn riuscita a fare le scansioni con malwarebytes ed a-squared...ma quando stamattina ho acceso il pc x proseguire cn la guida mi ha dato schermo nero!!! Mi spiego meglio: il pc parte....sento il bip e le ventole, ma il monitor rimane nero (il led è verde)! Ho provato il monitor cn un altro pc e funziona.......mentre il pc con altro monitor no! Dipende dal virus o dalla scheda video? Qual'è la vostra opinione?

Grazie, buona domenica a tutti!
MissF1

P.s. scusatemi per l'eventuale OT!

Buongiorno! Per la serie di male in peggio.......sn riuscita a fare le scansioni con malwarebytes ed a-squared...ma quando stamattina ho acceso il pc x proseguire cn la guida mi ha dato schermo nero!!! Mi spiego meglio: il pc parte....sento il bip e le ventole, ma il monitor rimane nero (il led è verde)! Ho provato il monitor cn un altro pc e funziona.......mentre il pc con altro monitor no! Dipende dal virus o dalla scheda video? Qual'è la vostra opinione?

Grazie, buona domenica a tutti!
MissF1

P.s. scusatemi per l'eventuale OT!

ciao

se non vedi nemmeno la schermata del produttore o del bios e non è il monitor è quasi sicuramente un problema di scheda video, o danneggiata o inserita male se hai toccato qualcosa

In realtà ho provato ad accenderlo di nuovo......ed ho premuto f8........vedo la schermata che mi permette di scegliere la modalità provvisoria etc..........ma anche in modalità provvisoria non parte........sul monitor escono una serie di percorsi di file e poi si blocca! a questo punto la scheda video non è!

si blocca con una schermata blu?

No sempre nera! Riempie più o meno metà schermata con questi percorsi di file....e poi si ferma! E' Come se non riuscisse a trovare dei file che gli servono! il rootkit si trovava nella cartella drivers di system32....può significare qualkosa?

Grazie per l'aiuto wjmat!

scansiona con il rescue cd di Avira (http://www.hwupgrade.it/forum/showpost.php?p=24459381&postcount=31) poi se la situazione migliora vediamo come procedere

Ok grazie mille, al momento ho solo il portatile a mia disposizione! In serata masterizzo il cd da un amico es faccio la scansione il prima possibile! Il problema principale ovviamente sono tutti i dati sul pc.....la maggior parte di lavoro.....devo proprio farlo ripartire per salvarli!!!

Grazie ancora buona giornata!

per salvare i dati puoi montare il disco altrove o usare un livecd linux, trovi alcune info nelle operazioni di emergenza in firma

Ho provato a salvare i file con puppy linux....ma non ci sono riuscita, mi dice che il disco è di sola lettura e non mi fa copiare i file sull'hard disk esterno. :muro:

Per quanto riguarda la scansione con avira, non mi ha individuato nulla! Le uniche indicazioni era per degli archivi che non riusciva a scannerizzare che appartengono a programmi come Spybot e antispyware! Ma virus non ne ha rilevati! :cry:
Ke posso fare?!

Grazie ancora per la disponibilità, buonanotte!
MissF1

con puppy prova a ripristinare il registro di sistema di Windows (http://www.hwupgrade.it/forum/showpost.php?p=26120400&postcount=59)

Buondì wjmat, stamattina volevo procedere al ripristino con puppy linux e quando ho acceso il pc ho notato una schermata molto veloce che porta la dicitura "ch0 master: maxtor 6l080m0 Press <TAB>key into user windows!"
Più precisa non posso essere perchè la schermata rimane veramente un paio di secondi!
Mi consigli cmq di procedere con il ripristino?
Ti ringrazio, buon pranzo!

Aggiungo che se premo TAB, mi da una schermata blu che per me è aramaico puro!
c'è un menu co una serie di opzioni: "create array, delete array, select boot array...etc..." ed in rosso lampeggia "Notice: the number of disks is not adequate to create a raid!" :help:

con puppy o altro live cd devi accedere al sistema operativo virtuale e fare uno spostamento di file non capisco perchè tutte quelle opzioni

:D Ciao wjmat, sono riuscita a ripristinare il registro di sistema di windows! E' partito correttamente ed ora sto salvando tt i file sull'hard disk esterno, in modo ke se ci dovessero essere ulteriori problemi al riavvio lo formatto e via!

Ti ringrazio ancora per l'aiuto prezioso come sempre!
Buona giornata

MissF1

alla luce di questo possiamo dire che il problema sta nel registro di sistema, se avevi attivato il ripristino conf. di sistema o usavi erunt magari puoi recuperare un registro ancora buono altrimenti vedi tu

No il ripristino config era disattivato recentemente ho ripulito il pc da un virus di messenger.....nè utilizzo erunt! Vediamo come va reinstallando tt ciò ke mi serve, altrimenti formatto! grazie ancora!

di nulla
ciao

Ciao a tutti,
mi chiamo vincenzo ed effettuando la solita scansione con antivir ho rilevato la suddetta infezione.
procedo con la GUIDA ALLA DISINFEZIONE come descritto in più post...e poi vi allegherò tutti i log.
ringraziandovi anticipatamente per l'aiuto che fornite a tutti noi, vi scrivo le caratteristiche della macchina sulla quale è comparsa l'infezione:
pentium dual core cpu
e5200 @ 2.50 GHz
2.50 GHz, 1,99 Gb RAM
estensione indirizzo fisico
XP Professional SP3
PS: da quando ho rinvenuto questa infezione, i miei browser (firefox ed Explorer) mi aprono pagine di popup pur essendoci nelle impostazioni tale divieto.
grazie ancora.

Ciao a tutti,
mi chiamo vincenzo ed effettuando la solita scansione con antivir ho rilevato la suddetta infezione.
procedo con la GUIDA ALLA DISINFEZIONE come descritto in più post...e poi vi allegherò tutti i log.
ringraziandovi anticipatamente per l'aiuto che fornite a tutti noi, vi scrivo le caratteristiche della macchina sulla quale è comparsa l'infezione:
pentium dual core cpu
e5200 @ 2.50 GHz
2.50 GHz, 1,99 Gb RAM
estensione indirizzo fisico
XP Professional SP3
PS: da quando ho rinvenuto questa infezione, i miei browser (firefox ed Explorer) mi aprono pagine di popup pur essendoci nelle impostazioni tale divieto.
grazie ancora.

ciao

prima di seguire tutta la procedura configura antivir come indicato qui (http://www.hwupgrade.it/forum/showthread.php?t=1514684), fai una scansione completa e carichi il log/report secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Ciao,
Avira ha rilevato nel mio sistema:
C:\WINDOWS\system32\DRIVERS\lctmlyt.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen
C:\WINDOWS\system32\DRIVERS\rfrcpyu.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen
[AVVISO] Impossibile aprire il file!
C:\WINDOWS\system32\DRIVERS\xdvbuxu.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen
[AVVISO] Impossibile aprire il file!
Ho provveduto ad eseguire una scansione con GMER il cui log e` disponibile al seguente indirizzo:

http://wikisend.com/download/569598/GMER%20log%2021-04-2010.log

qualcuno potrebbe indirizzarmi verso una guida per la disinfezione?
grazie

Ciao,
Avira ha rilevato nel mio sistema:
C:\WINDOWS\system32\DRIVERS\lctmlyt.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen
C:\WINDOWS\system32\DRIVERS\rfrcpyu.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen
[AVVISO] Impossibile aprire il file!
C:\WINDOWS\system32\DRIVERS\xdvbuxu.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen
[AVVISO] Impossibile aprire il file!
Ho provveduto ad eseguire una scansione con GMER il cui log e` disponibile al seguente indirizzo:

http://wikisend.com/download/569598/GMER%20log%2021-04-2010.log

qualcuno potrebbe indirizzarmi verso una guida per la disinfezione?
grazie

Per il momento segui questa Guida

http://www.hwupgrade.it/forum/showthread.php?t=1984665

Ho fatto entrambi i test presenti nella guida ma non non risulto infetto.

Ho fatto entrambi i test presenti nella guida ma non non risulto infetto.

Segui la Guida indipendentemente dai test. :)

Ciao, dopo una scansione con Antivir, in un file mi viene riscontrato TR/Rootkit.gen.

Antivir, non lo riesce a rimuovere e nemmeno io riesco a cancellare il file infetto a mano. Il sistema mi dice che il file sorgente non può essere letto nonostante il file in questione sia presente su disco e consti di circa 800kb.

I due test sono negativi, ma l'inaccessibilità del file in questione mi fa pensare male.

Sugerimenti su come agire?

Ciao, dopo una scansione con Antivir, in un file mi viene riscontrato TR/Rootkit.gen.

Antivir, non lo riesce a rimuovere e nemmeno io riesco a cancellare il file infetto a mano. Il sistema mi dice che il file sorgente non può essere letto nonostante il file in questione sia presente su disco e consti di circa 800kb.

I due test sono negativi, ma l'inaccessibilità del file in questione mi fa pensare male.

Sugerimenti su come agire?
ciao

riesci a caricare il report di avira secondo le regole di sezione?

Grazie della risposta più ce veloce, ma ho risolto con "Microsoft Security Essential". E' un tool gratuito di Mirosoft che ha trovato e rimosso da solo il file in questione. Il tool però necessita di validazione originalità di windows e può essere usato solo se si possiede una licenza regolare.

Fonamentalmente il file negava l'accesso quando si tentava di cancellarlo e non permetteva di cambiare i permessi su se stesso.

Qusto tool evidentemente lo cancella brutalmente senza curarsi di certe "finezze" :)

Grazie lo stesso :) Bye.

Ho fatto il download di Kaspersky Rescue Disk per provare a eliminare il tr rootkit.gen trovato da personal antivir..si sono scaricati dei file zippati ma nn riesco a capire come istallare Kaspersky...aiuto :(

Ho fatto il download di Kaspersky Rescue Disk per provare a eliminare il tr rootkit.gen trovato da personal antivir..si sono scaricati dei file zippati ma nn riesco a capire come istallare Kaspersky...aiuto :(

Ciao, segui esattamente nell'ordine indicato la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).