problema con rootkit

robylatino · 01-06-2007, 22:02

salve a tutti, spero possiate darmi una mano!
sono incappato in un virus chiamato rootkit, stamattina ho trovato il portatile con una schermata blu, lho riavviato ho fatto la scansione con Active Virus Shield di Kaspersky e mi ha trovato vari file infetti..alcuni li elimina ma 2 di questi no...il pc risultava estremamente lento e ho fatto rispristino config sistema a 4 gg prima..ora va meglio, avevo perso anke la connessione ad internet mentre ora funziona..però l antivirus mi trova sempre questi file infetti e nn li elimina ne li disinfetta..l'antivirus lho aggiornato ad oggi ma niente da fare..li rileva ma dice che non si possono disinfettare

penso che sia perchè sono infetti file di sistema??? system 32 ecccc

eccoli:

Packed.Win32.Tibs.y

Rootkit.Win32.Agent.eb

mi date un consiglio su cosa fare???

grazie infinite...

Tidus Strife · 01-06-2007, 22:27

Fai una scan con GMER e vedi se ti trova voci in rosso.
Poi se vuoi posta un log di Hijackthis ma in caso di rootkit non penso veda i file incriminati.

robylatino · 01-06-2007, 22:54

ok proverò come mi dici..ho fatto anche lo scan con sophos anti-rootkit ma non rileva niente,poi ho provato con Rootkit Revealer della Sysinternals e mi segna in rosso dei file di kaspersky(nel manuale dice che è normale trovare in rosso alcuni file dell'antivirus...mah!!!)...ci riprovo con entrambi...eppur quando faccio scan con active virus shield me li trova

allora uso gmer e hijackthis..poi posto ciò che mi trova

grazie mille!!!!

wizard1993 · 02-06-2007, 11:10

Quote:

Originariamente inviato da robylatino

ok proverò come mi dici..ho fatto anche lo scan con sophos anti-rootkit ma non rileva niente,poi ho provato con Rootkit Revealer della Sysinternals e mi segna in rosso dei file di kaspersky(nel manuale dice che è normale trovare in rosso alcuni file dell'antivirus...mah!!!)...ci riprovo con entrambi...eppur quando faccio scan con active virus shield me li trova

allora uso gmer e hijackthis..poi posto ciò che mi trova

grazie mille!!!!

qual è il log che ti segnala rootkit revealer?

robylatino · 03-06-2007, 13:53

ecco il Log di HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 11.59.10, on 03/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\CPUIDLE\srvany.exe
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\CPUIDLE\cpuidle.exe
C:\WINDOWS\system32\slserv.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\CnxDslTb.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Softwin\BitDefender10\bdagent.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Roberto\Desktop\programmi\hijackthis1991\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.it/redirect/dial_up
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - TELE2Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\CnxDslTb.exe"
O4 - HKLM\..\Run: [lfw_uninst] C:\DOCUME~1\Roberto\IMPOST~1\Temp\_uninstop.exe /u
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [aol] "C:\Programmi\AOL\Active Virus Shield\avp.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [P2kAutostart] C:\Documents and Settings\Roberto\Desktop\programmi\P2kCommander-V3.3.0\P2kAutostart.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Eraser] C:\PROGRA~1\Eraser\eraser.exe -hide
O4 - Startup: desktop(2).ini
O4 - Global Startup: desktop(2).ini
O8 - Extra context menu item: &Point&&Go - C:\Programmi\File comuni\Expert System\PGPlatform\PGPlatform.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.it/redirect/dial_up
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{808692FC-92F7-4698-9424-629843CAEE4B}: NameServer = 213.205.36.70 213.205.32.70
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: CONSGL - Unknown owner - C:\DOCUME~1\Roberto\IMPOST~1\Temp\CONSGL.exe (file missing)
O23 - Service: cpuidle - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ETC\CPUIDLE\srvany.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: GXAWWKIWUXGQK - Unknown owner - C:\DOCUME~1\Roberto\IMPOST~1\Temp\GXAWWKIWUXGQK.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

correggo quanto detto ieri, sto facendo ora la scansione con Rootkit Revealer, le firme in rosso sono invece di Rootkit Hook Analyzer e riguardano Kaspersky (riporto solo una parte)...

ho scaricato anke la versione trial di BitDefender, mi ha rilevato alcuni virus e li ha cancellati!
però i nomi dei rootkit elencati da AVS non compaiono mai in nessuno di questi programmi...
fra breve riporterò anke lo scan fatto da gmer

wizard1993 · 03-06-2007, 19:01

degli hook me ne fo di poco; per favore puoi sbrigarti a postre il log di gmer?

robylatino · 04-06-2007, 07:32

allora ho scaricato gmer,scompattato,avviato lo scan ma ad un certo punto si chiude e mi appare la finestra che dice che c'è stato un errore col programma...come faccio?l ho fatto 2 volte e la prima volta è andato in crash il pc...durante le scansioni fatte nn ci sono voci in rosso

robylatino · 04-06-2007, 07:53

facendo clic sull'errore

wizard1993 · 04-06-2007, 17:05

falla con rootkit releaver

robylatino · 05-06-2007, 12:50

ok fatta con rootkitrevealer..all'inizio non mi salvava lo scan e il pc si piantava poi ci sono riuscito

HKLM\SECURITY\Policy\Secrets\SAC* 03/09/2004 12.16 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 03/09/2004 12.16 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\Control 04/06/2007 17.54 0 bytes Hidden from Windows API.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\InprocServer32 04/06/2007 17.54 0 bytes Hidden from Windows API.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\Insertable 04/06/2007 17.54 0 bytes Hidden from Windows API.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\MiscStatus 04/06/2007 17.54 0 bytes Hidden from Windows API.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\ProgID 04/06/2007 17.54 0 bytes Hidden from Windows API.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\Programmable 04/06/2007 17.54 0 bytes Hidden from Windows API.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\ToolboxBitmap32 04/06/2007 17.54 0 bytes Hidden from Windows API.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\TypeLib 04/06/2007 17.54 0 bytes Hidden from Windows API.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\Version 04/06/2007 17.54 0 bytes Hidden from Windows API.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\VersionIndependentProgID 04/06/2007 17.54 0 bytes Hidden from Windows API.
HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32* 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32* 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32* 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32* 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32* 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32* 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32* 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32* 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32* 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32* 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32* 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 04/06/2007 18.32 80 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 20/05/2007 12.28 0 bytes Access is denied.
C:\Documents and Settings\All Users\Dati applicazioni\AOL\AVP6\Report\03ad_File_Monitoring_eventcritlog.rpt 04/06/2007 18.53 4.28 KB Hidden from Windows API.
C:\Documents and Settings\Roberto\Cookies\roberto@cgi-bin[1].txt 04/06/2007 18.44 111 bytes Hidden from Windows API.
C:\Documents and Settings\Roberto\Cookies\roberto@google[1].txt 04/06/2007 18.38 130 bytes Hidden from Windows API.
C:\Documents and Settings\Roberto\Cookies\[email protected][2].txt 04/06/2007 18.45 108 bytes Hidden from Windows API.
C:\Documents and Settings\Roberto\Cookies\roberto@oxado[1].txt 04/06/2007 18.38 89 bytes Hidden from Windows API.
C:\Documents and Settings\Robert

ho rifatto lo scan con gmer e mi è uscito questo

mentre questa me la dà sophos

wizard1993 · 05-06-2007, 15:17

scaricati panda antirootkit; e vediamo cosa riesce a pulire

robylatino · 05-06-2007, 15:17

innanzitutto grazie wizard per i tuoi consigli

caspita sto tentando vari sistemi ma niente, alcuni software non rilevano niente mentre alcuni scan online me li rilevano ma nn li disinfettano...

avg mi trova trojan e me li elimina
sophos dà risultati diversi ogni volta
rootkit revealer nn mi salva il rapporto e si pianta
f-secure blacklight non rileva niente
rootkitbuster non trova niente
gmer a volte funziona e a volte no (system crash)

mentre Active Virus Shield continua a trovarmi file infetti oltrettutto con nomi sempre diversi

sto pensando di formattare ma nn so come si fa, nn ho neanke i cd di installazione, nn me li hanno dati

nel caso volessi formattare come è la procedura (nn avendo cd di windows)????

grazie infinite!!

wizard1993 · 05-06-2007, 15:18

Quote:

Originariamente inviato da robylatino

innanzitutto grazie wizard per i tuoi consigli

caspita sto tentando vari sistemi ma niente, alcuni software non rilevano niente mentre alcuni scan online me li rilevano ma nn li disinfettano...

avg mi trova trojan e me li elimina
sophos dà risultati diversi ogni volta
rootkit revealer nn mi salva il rapporto e si pianta
f-secure blacklight non rileva niente
rootkitbuster non trova niente
gmer a volte funziona e a volte no (system crash)

mentre Active Virus Shield continua a trovarmi file infetti oltrettutto con nomi sempre diversi

sto pensando di formattare ma nn so come si fa, nn ho neanke i cd di installazione, nn me li hanno dati

nel caso volessi formattare come è la procedura (nn avendo cd di windows)????

grazie infinite!!

fai una pasata con tutti gli antirootkit che trovi; senza cd dell'os non si formatta

robylatino · 05-06-2007, 15:19

ok scaricato..vediam un pò...

robylatino · 05-06-2007, 15:54

ecco qua

robylatino · 16-06-2007, 12:22

aggiornamento della situazione:

pare che sia riuscito ad eliminarlo visto che solo avs me lo rilevava..ho fatto lo scan con tanti bei programmi, alcuni hanno rilevato e disinfettato anche file infetti altri invece niente..il pc va a meraviglia ora, e avs non lo trova +

ringrazio quanti mi hanno aiutato e soprattutto il caro wizard e Tidus Strife!!!

grazie ancora!!!

01-06-2007, 22:02	#1
robylatino Junior Member Iscritto dal: May 2007 Messaggi: 13	problema con rootkit salve a tutti, spero possiate darmi una mano! sono incappato in un virus chiamato rootkit, stamattina ho trovato il portatile con una schermata blu, lho riavviato ho fatto la scansione con Active Virus Shield di Kaspersky e mi ha trovato vari file infetti..alcuni li elimina ma 2 di questi no...il pc risultava estremamente lento e ho fatto rispristino config sistema a 4 gg prima..ora va meglio, avevo perso anke la connessione ad internet mentre ora funziona..però l antivirus mi trova sempre questi file infetti e nn li elimina ne li disinfetta..l'antivirus lho aggiornato ad oggi ma niente da fare..li rileva ma dice che non si possono disinfettare penso che sia perchè sono infetti file di sistema??? system 32 ecccc eccoli: Packed.Win32.Tibs.y Rootkit.Win32.Agent.eb mi date un consiglio su cosa fare??? grazie infinite...

03-06-2007, 19:01	#6
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	degli hook me ne fo di poco; per favore puoi sbrigarti a postre il log di gmer? __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

04-06-2007, 17:05	#9
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	falla con rootkit releaver __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

05-06-2007, 15:17	#11
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	scaricati panda antirootkit; e vediamo cosa riesce a pulire __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

01-06-2007, 22:27	#2
Tidus Strife Senior Member Iscritto dal: Feb 2007 Città: Spira, Zanarkand Messaggi: 394	Fai una scan con GMER e vedi se ti trova voci in rosso. Poi se vuoi posta un log di Hijackthis ma in caso di rootkit non penso veda i file incriminati.

01-06-2007, 22:54	#3
robylatino Junior Member Iscritto dal: May 2007 Messaggi: 13	ok proverò come mi dici..ho fatto anche lo scan con sophos anti-rootkit ma non rileva niente,poi ho provato con Rootkit Revealer della Sysinternals e mi segna in rosso dei file di kaspersky(nel manuale dice che è normale trovare in rosso alcuni file dell'antivirus...mah!!!)...ci riprovo con entrambi...eppur quando faccio scan con active virus shield me li trova allora uso gmer e hijackthis..poi posto ciò che mi trova grazie mille!!!!

03-06-2007, 13:53	#5
robylatino Junior Member Iscritto dal: May 2007 Messaggi: 13	ecco il Log di HijackThis: Logfile of HijackThis v1.99.1 Scan saved at 11.59.10, on 03/06/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SYSTEM32\DRIVERS\ETC\CPUIDLE\srvany.exe C:\WINDOWS\SYSTEM32\DRIVERS\ETC\CPUIDLE\cpuidle.exe C:\WINDOWS\system32\slserv.exe C:\Programmi\File comuni\Real\Update_OB\realsched.exe C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\CnxDslTb.exe C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe C:\Programmi\Softwin\BitDefender10\bdagent.exe C:\Programmi\ewido anti-spyware 4.0\guard.exe C:\Programmi\ewido anti-spyware 4.0\ewido.exe C:\Programmi\Internet Explorer\iexplore.exe C:\Documents and Settings\Roberto\Desktop\programmi\hijackthis1991\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.it/redirect/dial_up R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - TELE2Internet R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\CnxDslTb.exe" O4 - HKLM\..\Run: [lfw_uninst] C:\DOCUME~1\Roberto\IMPOST~1\Temp\_uninstop.exe /u O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [aol] "C:\Programmi\AOL\Active Virus Shield\avp.exe" O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - HKCU\..\Run: [P2kAutostart] C:\Documents and Settings\Roberto\Desktop\programmi\P2kCommander-V3.3.0\P2kAutostart.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [Eraser] C:\PROGRA~1\Eraser\eraser.exe -hide O4 - Startup: desktop(2).ini O4 - Global Startup: desktop(2).ini O8 - Extra context menu item: &Point&&Go - C:\Programmi\File comuni\Expert System\PGPlatform\PGPlatform.htm O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.it/redirect/dial_up O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{808692FC-92F7-4698-9424-629843CAEE4B}: NameServer = 213.205.36.70 213.205.32.70 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing) O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe (file missing) O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe (file missing) O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe (file missing) O23 - Service: CONSGL - Unknown owner - C:\DOCUME~1\Roberto\IMPOST~1\Temp\CONSGL.exe (file missing) O23 - Service: cpuidle - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ETC\CPUIDLE\srvany.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe O23 - Service: GXAWWKIWUXGQK - Unknown owner - C:\DOCUME~1\Roberto\IMPOST~1\Temp\GXAWWKIWUXGQK.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe correggo quanto detto ieri, sto facendo ora la scansione con Rootkit Revealer, le firme in rosso sono invece di Rootkit Hook Analyzer e riguardano Kaspersky (riporto solo una parte)... ho scaricato anke la versione trial di BitDefender, mi ha rilevato alcuni virus e li ha cancellati! però i nomi dei rootkit elencati da AVS non compaiono mai in nessuno di questi programmi... fra breve riporterò anke lo scan fatto da gmer

04-06-2007, 07:32	#7
robylatino Junior Member Iscritto dal: May 2007 Messaggi: 13	allora ho scaricato gmer,scompattato,avviato lo scan ma ad un certo punto si chiude e mi appare la finestra che dice che c'è stato un errore col programma...come faccio?l ho fatto 2 volte e la prima volta è andato in crash il pc...durante le scansioni fatte nn ci sono voci in rosso

04-06-2007, 07:53	#8
robylatino Junior Member Iscritto dal: May 2007 Messaggi: 13	facendo clic sull'errore

05-06-2007, 12:50	#10
robylatino Junior Member Iscritto dal: May 2007 Messaggi: 13	ok fatta con rootkitrevealer..all'inizio non mi salvava lo scan e il pc si piantava poi ci sono riuscito HKLM\SECURITY\Policy\Secrets\SAC* 03/09/2004 12.16 0 bytes Key name contains embedded nulls () HKLM\SECURITY\Policy\Secrets\SAI 03/09/2004 12.16 0 bytes Key name contains embedded nulls () HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\Control 04/06/2007 17.54 0 bytes Hidden from Windows API. HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\InprocServer32 04/06/2007 17.54 0 bytes Hidden from Windows API. HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\Insertable 04/06/2007 17.54 0 bytes Hidden from Windows API. HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\MiscStatus 04/06/2007 17.54 0 bytes Hidden from Windows API. HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\ProgID 04/06/2007 17.54 0 bytes Hidden from Windows API. HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\Programmable 04/06/2007 17.54 0 bytes Hidden from Windows API. HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\ToolboxBitmap32 04/06/2007 17.54 0 bytes Hidden from Windows API. HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\TypeLib 04/06/2007 17.54 0 bytes Hidden from Windows API. HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\Version 04/06/2007 17.54 0 bytes Hidden from Windows API. HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\VersionIndependentProgID 04/06/2007 17.54 0 bytes Hidden from Windows API. HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32 28/08/2005 11.34 0 bytes Key name contains embedded nulls () HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32 28/08/2005 11.34 0 bytes Key name contains embedded nulls () HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32 28/08/2005 11.34 0 bytes Key name contains embedded nulls () HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32 28/08/2005 11.34 0 bytes Key name contains embedded nulls () HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32 28/08/2005 11.34 0 bytes Key name contains embedded nulls () HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32 28/08/2005 11.34 0 bytes Key name contains embedded nulls () HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32 28/08/2005 11.34 0 bytes Key name contains embedded nulls () HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32 28/08/2005 11.34 0 bytes Key name contains embedded nulls () HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32 28/08/2005 11.34 0 bytes Key name contains embedded nulls () HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32 28/08/2005 11.34 0 bytes Key name contains embedded nulls () HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32 28/08/2005 11.34 0 bytes Key name contains embedded nulls () HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32 28/08/2005 11.34 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 04/06/2007 18.32 80 bytes Data mismatch between Windows API and raw hive data. HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 20/05/2007 12.28 0 bytes Access is denied. C:\Documents and Settings\All Users\Dati applicazioni\AOL\AVP6\Report\03ad_File_Monitoring_eventcritlog.rpt 04/06/2007 18.53 4.28 KB Hidden from Windows API. C:\Documents and Settings\Roberto\Cookies\roberto@cgi-bin[1].txt 04/06/2007 18.44 111 bytes Hidden from Windows API. C:\Documents and Settings\Roberto\Cookies\roberto@google[1].txt 04/06/2007 18.38 130 bytes Hidden from Windows API. C:\Documents and Settings\Roberto\Cookies\[email protected][2].txt 04/06/2007 18.45 108 bytes Hidden from Windows API. C:\Documents and Settings\Roberto\Cookies\roberto@oxado[1].txt 04/06/2007 18.38 89 bytes Hidden from Windows API. C:\Documents and Settings\Robert ho rifatto lo scan con gmer e mi è uscito questo mentre questa me la dà sophos

05-06-2007, 15:19	#14
robylatino Junior Member Iscritto dal: May 2007 Messaggi: 13	ok scaricato..vediam un pò...

05-06-2007, 15:54	#15
robylatino Junior Member Iscritto dal: May 2007 Messaggi: 13	ecco qua

16-06-2007, 12:22	#16
robylatino Junior Member Iscritto dal: May 2007 Messaggi: 13	aggiornamento della situazione: pare che sia riuscito ad eliminarlo visto che solo avs me lo rilevava..ho fatto lo scan con tanti bei programmi, alcuni hanno rilevato e disinfettato anche file infetti altri invece niente..il pc va a meraviglia ora, e avs non lo trova + ringrazio quanti mi hanno aiutato e soprattutto il caro wizard e Tidus Strife!!! grazie ancora!!!

Strumenti
Mostra una versione stampabile Invia questa pagina per email