7stars
06-01-2012, 09:51
ciao,
mi capita per la prima volta un cliente con questa bestia di rootkit...
e non riesco a venirne a capo, neanche inherit mi fa partire il tddskiller
evidentemente quello riesce a rimuoverlo e lo bloccano appositamente...
combofix si blocca alla schermata dei 10 minuti rilevando un zeroaccess ma non sembra quello perché il tool apposito non lo rileva come tale...sembra un fake positive...anche per combofix è la prima volta che mi succede
vi posto un log aswmbr e un reg da gmer, che disabilita il servizio nascosto ma non riesce ad eliminarlo...
continuo ad avere redirect su firefox anche in modalità provvisoria...
questo è aswmbr
aswMBR version 0.9.9.1156 Copyright(c) 2011 AVAST Software
Run date: 2012-01-06 10:33:14
-----------------------------
10:33:14.578 OS Version: Windows 5.1.2600 Service Pack 3
10:33:14.578 Number of processors: 1 586 0xD08
10:33:14.578 ComputerName: UTENTE UserName:
10:33:15.375 Initialze error 0 - driver not loaded
10:33:35.062 Service scanning
10:33:36.734 Service .avgldx86 \* **LOCKED** 123
10:33:37.234 Service vbma53a4 C:\WINDOWS\System32\Drivers\vbma53a4.sys **LOCKED**
10:33:37.781 Modules scanning
10:33:37.781 Disk 0 trace - called modules:
10:33:37.796
10:33:37.812 Scan finished successfully
10:35:43.750 The log file has been saved successfully to "C:\Documents and Settings\Administrator\Desktop\aswMBR.txt"
evidentemente il mio problema è Service vbma53a4 C:\WINDOWS\System32\Drivers\vbma53a4.sys **LOCKED**
come faccio partire tddskiller ? oppure secondo voi cosa c'è da fare?
in realtà l'unico problema del pc è che ha una ventina di minuti di services.exe che succhia quasi 300MB di ram e poi si assesta a circa 37... ma è ovvio che deve essere sistemato....
grazie mille per eventuali interventi
mi capita per la prima volta un cliente con questa bestia di rootkit...
e non riesco a venirne a capo, neanche inherit mi fa partire il tddskiller
evidentemente quello riesce a rimuoverlo e lo bloccano appositamente...
combofix si blocca alla schermata dei 10 minuti rilevando un zeroaccess ma non sembra quello perché il tool apposito non lo rileva come tale...sembra un fake positive...anche per combofix è la prima volta che mi succede
vi posto un log aswmbr e un reg da gmer, che disabilita il servizio nascosto ma non riesce ad eliminarlo...
continuo ad avere redirect su firefox anche in modalità provvisoria...
questo è aswmbr
aswMBR version 0.9.9.1156 Copyright(c) 2011 AVAST Software
Run date: 2012-01-06 10:33:14
-----------------------------
10:33:14.578 OS Version: Windows 5.1.2600 Service Pack 3
10:33:14.578 Number of processors: 1 586 0xD08
10:33:14.578 ComputerName: UTENTE UserName:
10:33:15.375 Initialze error 0 - driver not loaded
10:33:35.062 Service scanning
10:33:36.734 Service .avgldx86 \* **LOCKED** 123
10:33:37.234 Service vbma53a4 C:\WINDOWS\System32\Drivers\vbma53a4.sys **LOCKED**
10:33:37.781 Modules scanning
10:33:37.781 Disk 0 trace - called modules:
10:33:37.796
10:33:37.812 Scan finished successfully
10:35:43.750 The log file has been saved successfully to "C:\Documents and Settings\Administrator\Desktop\aswMBR.txt"
evidentemente il mio problema è Service vbma53a4 C:\WINDOWS\System32\Drivers\vbma53a4.sys **LOCKED**
come faccio partire tddskiller ? oppure secondo voi cosa c'è da fare?
in realtà l'unico problema del pc è che ha una ventina di minuti di services.exe che succhia quasi 300MB di ram e poi si assesta a circa 37... ma è ovvio che deve essere sistemato....
grazie mille per eventuali interventi