Rootkit andt.sys

[feboss]

dopo la disinfezione/cancellazione di
perfs.exe, routing.exe, wsending.exe, afinding.exe


prevxCSI mi rileva come rootkit
C:\windows\system32\andt.sys
http://www.virustotal.com/it/analisi...d8bb5fd61a78ab
C:\windows\system32\tmp0_374237133964.bk
http://www.virustotal.com/it/analisi...eecb68154f1735

Inoltre ho notato la presenza di altri 2 file tmp0...
http://www.virustotal.com/it/analisi...8f087dc6bcb9cf
http://www.virustotal.com/it/analisi...5ba70806bdafe8



a-squared Command Line Scanner
log_feb.txt

Kaspersky antivirus(dovrebbe essere uguale a Kaspersky Virus Removal Tool)
nulla da segnalare, sia con rootkit scan, che con scan normale
RootKit.txt
CriticalAreas.txt

DrWeb cureIt
Nulla da segnalare
CureIt.log
Forse è meglio aggiungere al topic che di default il log è posizionato in "c:\documents and settings\nomeutente\doctorweb\

Eset SysInspector
SysInspector-ALBA-7607087968-080506-1359.xml

Log HiJackThis
http://feboss.pastebin.com/m214b3a58

Gmer
gmer.log

[Chill-Out]

Segui la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

[feboss]

aggiornato

[xcdegasp]

vorremmo i log anche delle scansioni che nons egnalano nulla

nei log che hai pubblicato non vedo nulla di anomalo... hai provato anche prevxCSI ?

però tanto per scupolo mi faresti analizzare su www.virustotal.com questo file?
c:\windows\System32\Drivers\aou6cdgh.SYS
basta che a fine scansione copi l'url del browser e la incolli qui

[feboss]

fatto spero di aver fatto tutto in modo corretto
è dura la vita da disinfestatore

[Chill-Out]

C:\WINDOWS\system32\XDva104.sys

controlla anche questo come sopra, thx.

[feboss]

in quale log avete visto questi file?
non ci sono più evidentemente

Quote:

hai provato anche prevxCSI

Si certo mi ha trovato quei 2 file
andt.sys e tmp0...

[Chill-Out]

Quote:

Originariamente inviato da feboss

in quale log avete visto questi file?
non ci sono più evidentemente

Abilita la visuallizazione dei file nascosti in questo modo: clicca su una cartella qualsiasi clicca su Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta in Visualizza cartelle e file nascosti - togli il segno di spunta da Nascondi i file protetti di sistema - Applica e OK

[feboss]

niente non ci stanno.

ma per andt.sys e tmp0... non mi devo preoccupare?

[Chill-Out]

Quote:

Originariamente inviato da feboss

niente non ci stanno.

ma per andt.sys e tmp0... non mi devo preoccupare?

e dove sono andati a finire, allega il risultato di una scansione aggiornata relativa a Prevx CSI

[feboss]

http://www.screencast.com/users/febo...8-2916763532c9
se non sbaglio non è presente la possiblità di avere un log file

[Chill-Out]

Quote:

Originariamente inviato da feboss

http://www.screencast.com/users/febo...8-2916763532c9
se non sbaglio non è presente la possiblità di avere un log file

Fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

[wjmat]

mi fai una prova veloce...
click dx sull'icona di prevx a fianco dell'ora -> View the result of your last scan online -> Una volta aperto il tuo browser predefinito copia tutta la riga dell'indirizzo ed incollalo nella discussione che vediamo se funziona anche così
grazie

[feboss]

ma un grande sto combofix
ma che è

ok allora
http://feboss.pastebin.com/m6e232f11
e Prevxcsi non mi rileva più nulla

Wjmat sei arrivato tardi ormai avevo inziiato con combofix

Ragazzi non so come ringraziarvi
Devo fare altro?

[wjmat]

apri prevx e fallo comunque senza fare la scansione, lui dovrebbe ricordare gli ultimi risultati, grazie

[Chill-Out]

Quote:

Originariamente inviato da feboss

ma un grande sto combofix
ma che è

ok allora
http://feboss.pastebin.com/m6e232f11
e Prevxcsi non mi rileva più nulla

Wjmat sei arrivato tardi ormai avevo inziiato con combofix

Ragazzi non so come ringraziarvi
Devo fare altro?

si hostare il log qui http://wikisend.com/

[feboss]

http://csia0.prevx.com/individualcsi...SIPLUS&CMD=LSR
ma visualizza l'ultima scansione
per vedere quella in cui cera andt.sys
http://www.screencast.com/users/febo...8-2916763532c9

LOG
ComboFix.txt

[wjmat]

chill non è poi male questo pastebin... evitiamo di riempirci i pc con i log dei pazienti no?

[feboss]

Quote:

Originariamente inviato da wjmat

chill non è poi male questo pastebin... evitiamo di riempirci i pc con i log dei pazienti no?

Si si, rivoluzione!
mi sono sempre chiesto il perchè non lo usavate
Cè anche il pulsante DOwnload in alto per scaricare il contenuto in formato TXT

[Chill-Out]

Quote:

Originariamente inviato da feboss

Si si, rivoluzione!
mi sono sempre chiesto il perchè non lo usavate
Cè anche il pulsante DOwnload in alto per scaricare il contenuto in formato TXT

Direi che siamo a posto dai una letta qui: http://www.hwupgrade.it/forum/showthread.php?t=1726383

@feboss
@wjmat
il servizio in questione ovvero pastebin è blacklistato