Formattazione impossibile tramite partizione nascosta

Salt Tank · 28-12-2010, 17:19

Ho un portatile Acer sotto trojan, volendo riformattarlo (l'ho già fatto 1 settimana fa) tramite partizione nascosta (non ho cd di ripristino) essa non parte al riavvio del pc.

Apro Erecovery e seleziono impostazioni di fabbrica, lui mi avvisa che verrà tutto sovrascritto, io clicco avanti e il pc si riavvia.

Ma al riavvio il pc si carica normalmente, non esegue nessuna formattazione. Ho provato a premere anche alt f10 ma non succede nulla..

Come posso risolvere il problema? E' possibile che il virus sia entrato persino nella partizione nascosta e che l'abbia addirittura cancellata?

Non so più cosa fare..

Salt Tank · 28-12-2010, 18:20

Sono riuscito a far partire erecovery dal boot ma mi dice che il file kdcom.dll è mancante e quindi non può continuare. Intanto il sistema non installa più hardware via usb, nero si blocca durante l'avvio di creazione dvd e quindi non posso fare il backup di nulla..

AMIGASYSTEM · 28-12-2010, 20:16

Non credo che il virus sia entrato nella partizione nascosta,se l'avesse fatto,ora non avevi più la possibilità di avviarlo.Intanto se non trova la dll,può essere che sia corrotta questa partizione,anche se poco probabile.Sospetto qualche problema alla memoria che non riesce ascompattare qualche cab,prova a cambiarla o provarne una per volta se ne hai 2.Se il sistema ti parte ancora fai una scansione con Malwarebytes e ComboFix,così escudiamo l'infezione da virus.

Salt Tank · 28-12-2010, 21:01

Grazie!
Purtroppo è un portatile Acer quindi non ci posso metter mano..
Il virus è cosa certa, credo sia un rootkit da quel che ho letto, mi apre anche 300 connessioni su firefox (osservando Comodo) e le pagine ricercate con google vengono reindirizzate.. E visto che la rimozione di questi virus è piuttosto complessa pensavo..
Se inserisco la dll mancante nel suo percorso originario (chissà quale è) e tento di riavviare il recovery può funzionare?
Malwarebytes così come Avira non rileva nulla

AMIGASYSTEM · 28-12-2010, 22:44

Strano perchè un sistema infettato con rootkit,quasi sempre non permette l'uso di Malwarebytes,visto che ti fa lavorare,usa ComboFix,che dovrebbe debbellarlo.Probabilmente il tuo rootkit ha corrotto o sostituito la libreria kdcom.dll,prova a sostituirla con una presa da un'altro PC,dovresti avere comunque due o più kdcom.dll sul tuo sistema,in questi percorsi li trovi sicuro:

C:\WINDOWS\system32\kdcom.dll (qui c'è quella infetta)
C:\WINDOWS\system32\dllcache\kdcom.dll (qui speriamo che non lo sia)

Confronta la grandezza e la data delle tue kdcom.dll,quella buona dovrebbe essere intorno ai 7 KB.Parti con un Live CD,oppure se non te lo permette,usa Unlocker dal sistema che ti parte e spostala sul desktop,se quella in dllcache è quella buona,al riavvio sarà copiata al suo posto,sperando che il furbo non abbia una seconda copia da qualche parte.

Salt Tank · 29-12-2010, 12:30

Rieccomi..
Per kdcom.dll mi trova entrambi i file, entrambi di poco meno di 7 kb entrambi creati e modificati nel 2004.

Ho fatto un pò di scansioni:

- ho fatto un tentativo con tdss killer e mi ha trovato il rootkit win32.tdss.tdl4 che sembra essere una bella bestia, al riavvio pare me l abbia rimosso visto che non lo trova più.
Le periferiche usb hanno ricominciato a funzionare con nuovi dispositivi

-malware bytes niente

- rootkit detective mi sembra ci sia il vaiolo nel mio pc:

McAfee(R) Rootkit Detective 1.1 scan report
On 29-12-2010 at 12:03:26
OS-Version 5.1.2600
Service Pack 3.0
====================================

Object-Type: SSDT-hook
Object-Name: ZwAdjustPrivilegesToken
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwConnectPort
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateFile
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateKey
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwCreatePort
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateSection
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateSymbolicLinkObject
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateThread
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwDeleteKey
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwDeleteValueKey
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwDuplicateObject
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwEnumerateKey
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwEnumerateValueKey
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwLoadDriver
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwLoadKey2
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwMakeTemporaryObject
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenFile
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenKey
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenProcess
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwOpenSection
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenThread
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwQueryKey
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwQueryMultipleValueKey
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwQueryValueKey
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwRenameKey
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwReplaceKey
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwRequestWaitReplyPort
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwRestoreKey
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwSecureConnectPort
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwSetSecurityObject
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwSetSystemInformation
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwSetValueKey
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwShutdownSystem
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwSystemDebugControl
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwTerminateProcess
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwTerminateThread
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: Registry-key
Object-Name: 0014a4fde349ystem32\drivers\cmdGuard.sys
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\0014a4fde349
Status: Hidden

Object-Type: Registry-key
Object-Name: 0014a4fde349olSet001\Services\BTHPORT\Parameters\Keys\0014a4fde349
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0014a4fde349
Status: Hidden

Object-Type: Registry-key
Object-Name: 0014a4fde349olSet002\Services\BTHPORT\Parameters\Keys\0014a4fde349
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\0014a4fde349
Status: Hidden

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : ntdll.dll!ZwOpenFile => C:\WINDOWS\system32\guard32.dll:1002CDA0
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : ntdll.dll!ZwDeleteFile => C:\WINDOWS\system32\guard32.dll:1002CE20
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : ntdll.dll!NtOpenFile => C:\WINDOWS\system32\guard32.dll:1002CDA0
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : ntdll.dll!NtDeleteFile => C:\WINDOWS\system32\guard32.dll:1002CE20
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : kernel32.dll!LoadLibraryW => C:\WINDOWS\system32\guard32.dll:1002CA60
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : kernel32.dll!LoadLibraryA => C:\WINDOWS\system32\guard32.dll:1002CA80
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : kernel32.dll!DeleteFileW => C:\WINDOWS\system32\guard32.dll:1002CAE0
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : kernel32.dll!DeleteFileA => C:\WINDOWS\system32\guard32.dll:1002CB00
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : ADVAPI32.dll!OpenServiceW => C:\WINDOWS\system32\guard32.dll:1002D830
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : ADVAPI32.dll!OpenServiceA => C:\WINDOWS\system32\guard32.dll:1002D590
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : ADVAPI32.dll!CreateServiceW => C:\WINDOWS\system32\guard32.dll:1002DAA0
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : ADVAPI32.dll!CreateServiceA => C:\WINDOWS\system32\guard32.dll:1002DD80
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : WININET.dll!InternetConnectW => C:\WINDOWS\system32\guard32.dll:1002C960
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : WININET.dll!InternetConnectA => C:\WINDOWS\system32\guard32.dll:1002C980
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: Process
Object-Name: System Idle Process
Pid: 0
Object-Path:
Status: Visible

Object-Type: Process
Object-Name: ADMSERV.EXE
Pid: 620
Object-Path: C:\Acer\Empowering Technology\admServ.exe
Status: Visible

Object-Type: Process
Object-Name: MCRDSVC.EXE
Pid: 2760
Object-Path: C:\WINDOWS\ehome\mcrdsvc.exe
Status: Visible

Object-Type: Process
Object-Name: dllhost.exe
Pid: 3536
Object-Path: C:\WINDOWS\system32\dllhost.exe
Status: Visible

Object-Type: Process
Object-Name: CSRSS.EXE
Pid: 592
Object-Path: C:\WINDOWS\system32\csrss.exe
Status: Visible

Object-Type: Process
Object-Name: System
Pid: 4
Object-Path:
Status: Visible

Object-Type: Process
Object-Name: EHRECVR.EXE
Pid: 872
Object-Path: C:\WINDOWS\eHome\ehRecvr.exe
Status: Visible

Object-Type: Process
Object-Name: alg.exe
Pid: 2608
Object-Path: C:\WINDOWS\System32\alg.exe
Status: Visible

Object-Type: Process
Object-Name: CMDAGENT.EXE
Pid: 1276
Object-Path: C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
Status: Visible

Object-Type: Process
Object-Name: AVSHADOW.EXE
Pid: 688
Object-Path: C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 1156
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 784
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: SCHED.EXE
Pid: 196
Object-Path: C:\Programmi\Avira\AntiVir Desktop\sched.exe
Status: Visible

Object-Type: Process
Object-Name: REGSRVC.EXE
Pid: 1684
Object-Path: C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 2304
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: SERVICES.EXE
Pid: 972
Object-Path: C:\WINDOWS\system32\services.exe
Status: Visible

Object-Type: Process
Object-Name: EXPLORER.EXE
Pid: 600
Object-Path: C:\WINDOWS\Explorer.EXE
Status: Visible

Object-Type: Process
Object-Name: wmiprvse.exe
Pid: 1592
Object-Path: C:\WINDOWS\system32\wbem\wmiprvse.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 1624
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: SMSS.EXE
Pid: 540
Object-Path: C:\WINDOWS\System32\smss.exe
Status: Visible

Object-Type: Process
Object-Name: AVGNT.EXE
Pid: 2648
Object-Path: C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
Status: Visible

Object-Type: Process
Object-Name: wmiprvse.exe
Pid: 3176
Object-Path: C:\WINDOWS\system32\wbem\wmiprvse.exe
Status: Visible

Object-Type: Process
Object-Name: MONITOR.EXE
Pid: 2868
Object-Path: C:\Acer\Empowering Technology\eRecovery\Monitor.exe
Status: Visible

Object-Type: Process
Object-Name: AVGUARD.EXE
Pid: 576
Object-Path: C:\Programmi\Avira\AntiVir Desktop\avguard.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 236
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: LSSRVC.EXE
Pid: 1476
Object-Path: C:\Programmi\File comuni\LightScribe\LSSrvc.exe
Status: Visible

Object-Type: Process
Object-Name: Rootkit_Detecti
Pid: 2592
Object-Path: D:\Setups\Rootkit_Detective.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 1508
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: SPOOLSV.EXE
Pid: 2004
Object-Path: C:\WINDOWS\system32\spoolsv.exe
Status: Visible

Object-Type: Process
Object-Name: LSASS.EXE
Pid: 984
Object-Path: C:\WINDOWS\system32\lsass.exe
Status: Visible

Object-Type: Process
Object-Name: EHSCHED.EXE
Pid: 1108
Object-Path: C:\WINDOWS\eHome\ehSched.exe
Status: Visible

Object-Type: Process
Object-Name: EVTENG.EXE
Pid: 1388
Object-Path: C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
Status: Visible

Object-Type: Process
Object-Name: NVSVC32.EXE
Pid: 1668
Object-Path: C:\WINDOWS\system32\nvsvc32.exe
Status: Visible

Object-Type: Process
Object-Name: S24EVMON.EXE
Pid: 1452
Object-Path: C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 2072
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: firefox.exe
Pid: 1948
Object-Path: C:\Programmi\Mozilla Firefox\firefox.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 1236
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: LVPRCSRV.EXE
Pid: 152
Object-Path: c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
Status: Visible

Object-Type: Process
Object-Name: CFP.EXE
Pid: 2756
Object-Path: C:\Programmi\COMODO\COMODO Internet Security\cfp.exe
Status: Visible

Object-Type: Process
Object-Name: unsecapp.exe
Pid: 3128
Object-Path: C:\WINDOWS\system32\wbem\unsecapp.exe
Status: Visible

Object-Type: Process
Object-Name: WINLOGON.EXE
Pid: 928
Object-Path: C:\WINDOWS\system32\winlogon.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 1300
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: EPOWER_DMC.EXE
Pid: 2540
Object-Path: C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
Status: Visible

Scan complete. Hidden registry keys/values: 3

- gmer: GMER 1.0.15.15227 - http://www.gmer.net
Rootkit quick scan 2010-12-29 12:59:11
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\Marco\IMPOST~1\Temp\kfgorpob.sys

---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwEnumerateKey [0xB6E6F768]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwEnumerateValueKey [0xB6E6F9BE]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies)
AttachedDevice \Driver\Tcpip \Device\Ip cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Tcpip \Device\Tcp cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Tcpip \Device\Udp cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Tcpip \Device\RawIp cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- EOF - GMER 1.0.15 ----

- Combofix non funziona, mi dice che non riesce ad accedere alle periferiche, a ie e firefox e poi windows mi dice che ci sono file mancanti

Ora.. Direi che la soluzione più veloce sarebbe formattare, ma appunto non mi trovava il file kdcom.. Cosa faccio, provo a sostituirli entrambi con i 2 file di un altro portatile che ho e riprovo il format oppure procedo con la pulizia del pc?

AMIGASYSTEM · 29-12-2010, 16:44

Combofix è l'arma giusta,devi fare in modo che funzioni,già il fatto che non te lo fa funzionare,ciò dimostra che lo teme.Prova a lanciarlo dalla modalità provvisoria,se non riesci,dovresti tentare di indebbolire l'infezione,cancellando qualche suo file.Devi andare in C:\WINDOWS\system32 e mettere i file in elenco in ordine di data,spostando sul desktop (non puoi cancellarli,perche in uso,al massimo lo fai dopo il riavvio) tutti gli eseguibili che hanno una data vicina alla data dell'infezione,noterai anche dei nomi strani che differiscono da infezione ad infezione.Fatto questo al prossimo riavvio vedrai che l'infezione è meno violenta,permettendoti l'installazione di Combofix e l'aggiornamento di malwarebytes,importante se le infezioni sono più fresche del suo database virus.

Salt Tank · 30-12-2010, 11:04

Ciao..
Dunque avevo guardando in system32 e non c'erano eseguibili creati dalla data d'infezione, solo qualche dll.
Malwarebytes l'avevo anche aggiornato ma non trovava proprio nulla, e l'avevo usato prima di scovare il rootkit con tdsskiller.

Ma veniamo a Combofix: ha funzionato in modalità provvisoria, mi diceva che c'era il guard di avira attivo ma anche controllando era disabilitato, ho continuato.
Da quel che ho capito mi ha eliminato alcuni files, ho avuto qualche fastidio al riavvio del pc perchè si è inserito comodo e ho dovuto consentire ogni singolo punto di creazione del report, che alla fine è comunque riuscito, lo allego.

Attendo l'indicazione della prossima mossa Capitano :-)

AMIGASYSTEM · 30-12-2010, 12:06

Si avevo detto eseguibili,ma anche le librerie (.dll) sono una sorta di eseguibili preconfezionate che usane le applicazioni,quindi anche quelle le dovevi spostare altrove.Tieni presente che le infezioni fanno impazzire i programmi soprattutto quelli della sicurezza,quindi prima della pulizia vanno disinstallati,meglio da provvisoria quando è possibile,tutti comodo compreso,anche se è comodo.Altra cosa che devi fare e quella di ripulire tutto con CCleaner,le infezioni si nascondonio anche fra le TEMP.In ultimis molto importante è quello di disattivare il ripristino di Windows,altrimenti i virus Stipati,si rinstallano al primo riavvio.Dopo le pulizie di fine stagione fai una ripassata con il Capitano Combofix e vedi cosa succede,eventualmente riscaricalo perchè è sempre in continuo aggiornamento,ricorda che le versioni vecchie se lanciate,si auto distruggono quando già vetuste.

Salt Tank · 31-12-2010, 15:09

Ciao, sono riuscito a formattare il sistema, quindi dovrei essere a posto spero.. (esistono virus che resistono ad un format?)

Non ho fatto niente di speciale, semplicemente ho eseguito il recovery direttamente da windows e al riavvio è partito senza problemi.

Forse il rootkit semplicemente impediva l'accesso a determinati driver o dll che non mi facevano funzionare periferiche e questo programma.

Comunque ti ringrazio per l'aiuto, sei stato molto gentile, è stata un esperienza anche costruttiva. :-)

AMIGASYSTEM · 31-12-2010, 17:02

Quote:

Originariamente inviato da Salt Tank

Ciao, sono riuscito a formattare il sistema, quindi dovrei essere a posto spero.. (esistono virus che resistono ad un format?)

I virus che stanno sulle partizioni saranno eliminati sicuramente da una formattazione,quelli dell'MBR invece no,ma se si esegue una eliminazione partizione,una volta ricreata e formattata allora anche in questo caso,saranno eliminati senza problemi.Il pericolo invece è un'altro,ed è quello dei dati conservati in altri volumi o periferiche esterne,che al momento del riutilizzo potrebbero infettare nuovamente il sistema.Detto questo prima di travasare i dati,bisogna installare tutti i programmi di sicurezza e scandirli prima della copiatura.Nel tuo caso il ripristino aziendale a riscritto anche la zona nascosta dell'hardisk,quindi ripulito anche l'MBR.

28-12-2010, 17:19	#1
Salt Tank Member Iscritto dal: Sep 2007 Messaggi: 93	Formattazione impossibile tramite partizione nascosta Ho un portatile Acer sotto trojan, volendo riformattarlo (l'ho già fatto 1 settimana fa) tramite partizione nascosta (non ho cd di ripristino) essa non parte al riavvio del pc. Apro Erecovery e seleziono impostazioni di fabbrica, lui mi avvisa che verrà tutto sovrascritto, io clicco avanti e il pc si riavvia. Ma al riavvio il pc si carica normalmente, non esegue nessuna formattazione. Ho provato a premere anche alt f10 ma non succede nulla.. Come posso risolvere il problema? E' possibile che il virus sia entrato persino nella partizione nascosta e che l'abbia addirittura cancellata? Non so più cosa fare..

28-12-2010, 20:16	#3
AMIGASYSTEM Senior Member Iscritto dal: Nov 2008 Città: Brindisi Messaggi: 4048	Non credo che il virus sia entrato nella partizione nascosta,se l'avesse fatto,ora non avevi più la possibilità di avviarlo.Intanto se non trova la dll,può essere che sia corrotta questa partizione,anche se poco probabile.Sospetto qualche problema alla memoria che non riesce ascompattare qualche cab,prova a cambiarla o provarne una per volta se ne hai 2.Se il sistema ti parte ancora fai una scansione con Malwarebytes e ComboFix,così escudiamo l'infezione da virus. __________________ Dove l'ho sentita questa canzone ? www.plagimusicali.net AROS One Home Site amiganews.it eab.abime.net Aros-Exec Arosworld

28-12-2010, 21:01	#4
Salt Tank Member Iscritto dal: Sep 2007 Messaggi: 93	Grazie! Purtroppo è un portatile Acer quindi non ci posso metter mano.. Il virus è cosa certa, credo sia un rootkit da quel che ho letto, mi apre anche 300 connessioni su firefox (osservando Comodo) e le pagine ricercate con google vengono reindirizzate.. E visto che la rimozione di questi virus è piuttosto complessa pensavo.. Se inserisco la dll mancante nel suo percorso originario (chissà quale è) e tento di riavviare il recovery può funzionare? Malwarebytes così come Avira non rileva nulla Ultima modifica di Salt Tank : 28-12-2010 alle 21:40.

28-12-2010, 22:44	#5
AMIGASYSTEM Senior Member Iscritto dal: Nov 2008 Città: Brindisi Messaggi: 4048	Strano perchè un sistema infettato con rootkit,quasi sempre non permette l'uso di Malwarebytes,visto che ti fa lavorare,usa ComboFix,che dovrebbe debbellarlo.Probabilmente il tuo rootkit ha corrotto o sostituito la libreria kdcom.dll,prova a sostituirla con una presa da un'altro PC,dovresti avere comunque due o più kdcom.dll sul tuo sistema,in questi percorsi li trovi sicuro: C:\WINDOWS\system32\kdcom.dll (qui c'è quella infetta) C:\WINDOWS\system32\dllcache\kdcom.dll (qui speriamo che non lo sia) Confronta la grandezza e la data delle tue kdcom.dll,quella buona dovrebbe essere intorno ai 7 KB.Parti con un Live CD,oppure se non te lo permette,usa Unlocker dal sistema che ti parte e spostala sul desktop,se quella in dllcache è quella buona,al riavvio sarà copiata al suo posto,sperando che il furbo non abbia una seconda copia da qualche parte. __________________ Dove l'ho sentita questa canzone ? www.plagimusicali.net AROS One Home Site amiganews.it eab.abime.net Aros-Exec Arosworld

29-12-2010, 16:44	#7
AMIGASYSTEM Senior Member Iscritto dal: Nov 2008 Città: Brindisi Messaggi: 4048	Combofix è l'arma giusta,devi fare in modo che funzioni,già il fatto che non te lo fa funzionare,ciò dimostra che lo teme.Prova a lanciarlo dalla modalità provvisoria,se non riesci,dovresti tentare di indebbolire l'infezione,cancellando qualche suo file.Devi andare in C:\WINDOWS\system32 e mettere i file in elenco in ordine di data,spostando sul desktop (non puoi cancellarli,perche in uso,al massimo lo fai dopo il riavvio) tutti gli eseguibili che hanno una data vicina alla data dell'infezione,noterai anche dei nomi strani che differiscono da infezione ad infezione.Fatto questo al prossimo riavvio vedrai che l'infezione è meno violenta,permettendoti l'installazione di Combofix e l'aggiornamento di malwarebytes,importante se le infezioni sono più fresche del suo database virus. __________________ Dove l'ho sentita questa canzone ? www.plagimusicali.net AROS One Home Site amiganews.it eab.abime.net Aros-Exec Arosworld

28-12-2010, 18:20	#2
Salt Tank Member Iscritto dal: Sep 2007 Messaggi: 93	Sono riuscito a far partire erecovery dal boot ma mi dice che il file kdcom.dll è mancante e quindi non può continuare. Intanto il sistema non installa più hardware via usb, nero si blocca durante l'avvio di creazione dvd e quindi non posso fare il backup di nulla..

29-12-2010, 12:30	#6
Salt Tank Member Iscritto dal: Sep 2007 Messaggi: 93	Rieccomi.. Per kdcom.dll mi trova entrambi i file, entrambi di poco meno di 7 kb entrambi creati e modificati nel 2004. Ho fatto un pò di scansioni: - ho fatto un tentativo con tdss killer e mi ha trovato il rootkit win32.tdss.tdl4 che sembra essere una bella bestia, al riavvio pare me l abbia rimosso visto che non lo trova più. Le periferiche usb hanno ricominciato a funzionare con nuovi dispositivi -malware bytes niente - rootkit detective mi sembra ci sia il vaiolo nel mio pc: McAfee(R) Rootkit Detective 1.1 scan report On 29-12-2010 at 12:03:26 OS-Version 5.1.2600 Service Pack 3.0 ==================================== Object-Type: SSDT-hook Object-Name: ZwAdjustPrivilegesToken Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwConnectPort Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwCreateFile Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwCreateKey Object-Path: (NULL) Object-Type: SSDT-hook Object-Name: ZwCreatePort Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwCreateSection Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwCreateSymbolicLinkObject Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwCreateThread Object-Path: (NULL) Object-Type: SSDT-hook Object-Name: ZwDeleteKey Object-Path: (NULL) Object-Type: SSDT-hook Object-Name: ZwDeleteValueKey Object-Path: (NULL) Object-Type: SSDT-hook Object-Name: ZwDuplicateObject Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwEnumerateKey Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwEnumerateValueKey Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwLoadDriver Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwLoadKey2 Object-Path: (NULL) Object-Type: SSDT-hook Object-Name: ZwMakeTemporaryObject Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwOpenFile Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwOpenKey Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwOpenProcess Object-Path: (NULL) Object-Type: SSDT-hook Object-Name: ZwOpenSection Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwOpenThread Object-Path: (NULL) Object-Type: SSDT-hook Object-Name: ZwQueryKey Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwQueryMultipleValueKey Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwQueryValueKey Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwRenameKey Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwReplaceKey Object-Path: (NULL) Object-Type: SSDT-hook Object-Name: ZwRequestWaitReplyPort Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwRestoreKey Object-Path: (NULL) Object-Type: SSDT-hook Object-Name: ZwSecureConnectPort Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwSetSecurityObject Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwSetSystemInformation Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwSetValueKey Object-Path: (NULL) Object-Type: SSDT-hook Object-Name: ZwShutdownSystem Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwSystemDebugControl Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwTerminateProcess Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: SSDT-hook Object-Name: ZwTerminateThread Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys Object-Type: Registry-key Object-Name: 0014a4fde349ystem32\drivers\cmdGuard.sys Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\0014a4fde349 Status: Hidden Object-Type: Registry-key Object-Name: 0014a4fde349olSet001\Services\BTHPORT\Parameters\Keys\0014a4fde349 Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0014a4fde349 Status: Hidden Object-Type: Registry-key Object-Name: 0014a4fde349olSet002\Services\BTHPORT\Parameters\Keys\0014a4fde349 Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\0014a4fde349 Status: Hidden Object-Type: IAT/EAT-hook PID: 600 Details: Export : Function : ntdll.dll!ZwOpenFile => C:\WINDOWS\system32\guard32.dll:1002CDA0 Object-Path: C:\WINDOWS\system32\guard32.dll Status: Hooked Object-Type: IAT/EAT-hook PID: 600 Details: Export : Function : ntdll.dll!ZwDeleteFile => C:\WINDOWS\system32\guard32.dll:1002CE20 Object-Path: C:\WINDOWS\system32\guard32.dll Status: Hooked Object-Type: IAT/EAT-hook PID: 600 Details: Export : Function : ntdll.dll!NtOpenFile => C:\WINDOWS\system32\guard32.dll:1002CDA0 Object-Path: C:\WINDOWS\system32\guard32.dll Status: Hooked Object-Type: IAT/EAT-hook PID: 600 Details: Export : Function : ntdll.dll!NtDeleteFile => C:\WINDOWS\system32\guard32.dll:1002CE20 Object-Path: C:\WINDOWS\system32\guard32.dll Status: Hooked Object-Type: IAT/EAT-hook PID: 600 Details: Export : Function : kernel32.dll!LoadLibraryW => C:\WINDOWS\system32\guard32.dll:1002CA60 Object-Path: C:\WINDOWS\system32\guard32.dll Status: Hooked Object-Type: IAT/EAT-hook PID: 600 Details: Export : Function : kernel32.dll!LoadLibraryA => C:\WINDOWS\system32\guard32.dll:1002CA80 Object-Path: C:\WINDOWS\system32\guard32.dll Status: Hooked Object-Type: IAT/EAT-hook PID: 600 Details: Export : Function : kernel32.dll!DeleteFileW => C:\WINDOWS\system32\guard32.dll:1002CAE0 Object-Path: C:\WINDOWS\system32\guard32.dll Status: Hooked Object-Type: IAT/EAT-hook PID: 600 Details: Export : Function : kernel32.dll!DeleteFileA => C:\WINDOWS\system32\guard32.dll:1002CB00 Object-Path: C:\WINDOWS\system32\guard32.dll Status: Hooked Object-Type: IAT/EAT-hook PID: 600 Details: Export : Function : ADVAPI32.dll!OpenServiceW => C:\WINDOWS\system32\guard32.dll:1002D830 Object-Path: C:\WINDOWS\system32\guard32.dll Status: Hooked Object-Type: IAT/EAT-hook PID: 600 Details: Export : Function : ADVAPI32.dll!OpenServiceA => C:\WINDOWS\system32\guard32.dll:1002D590 Object-Path: C:\WINDOWS\system32\guard32.dll Status: Hooked Object-Type: IAT/EAT-hook PID: 600 Details: Export : Function : ADVAPI32.dll!CreateServiceW => C:\WINDOWS\system32\guard32.dll:1002DAA0 Object-Path: C:\WINDOWS\system32\guard32.dll Status: Hooked Object-Type: IAT/EAT-hook PID: 600 Details: Export : Function : ADVAPI32.dll!CreateServiceA => C:\WINDOWS\system32\guard32.dll:1002DD80 Object-Path: C:\WINDOWS\system32\guard32.dll Status: Hooked Object-Type: IAT/EAT-hook PID: 600 Details: Export : Function : WININET.dll!InternetConnectW => C:\WINDOWS\system32\guard32.dll:1002C960 Object-Path: C:\WINDOWS\system32\guard32.dll Status: Hooked Object-Type: IAT/EAT-hook PID: 600 Details: Export : Function : WININET.dll!InternetConnectA => C:\WINDOWS\system32\guard32.dll:1002C980 Object-Path: C:\WINDOWS\system32\guard32.dll Status: Hooked Object-Type: Process Object-Name: System Idle Process Pid: 0 Object-Path: Status: Visible Object-Type: Process Object-Name: ADMSERV.EXE Pid: 620 Object-Path: C:\Acer\Empowering Technology\admServ.exe Status: Visible Object-Type: Process Object-Name: MCRDSVC.EXE Pid: 2760 Object-Path: C:\WINDOWS\ehome\mcrdsvc.exe Status: Visible Object-Type: Process Object-Name: dllhost.exe Pid: 3536 Object-Path: C:\WINDOWS\system32\dllhost.exe Status: Visible Object-Type: Process Object-Name: CSRSS.EXE Pid: 592 Object-Path: C:\WINDOWS\system32\csrss.exe Status: Visible Object-Type: Process Object-Name: System Pid: 4 Object-Path: Status: Visible Object-Type: Process Object-Name: EHRECVR.EXE Pid: 872 Object-Path: C:\WINDOWS\eHome\ehRecvr.exe Status: Visible Object-Type: Process Object-Name: alg.exe Pid: 2608 Object-Path: C:\WINDOWS\System32\alg.exe Status: Visible Object-Type: Process Object-Name: CMDAGENT.EXE Pid: 1276 Object-Path: C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe Status: Visible Object-Type: Process Object-Name: AVSHADOW.EXE Pid: 688 Object-Path: C:\Programmi\Avira\AntiVir Desktop\avshadow.exe Status: Visible Object-Type: Process Object-Name: SVCHOST.EXE Pid: 1156 Object-Path: C:\WINDOWS\system32\svchost.exe Status: Visible Object-Type: Process Object-Name: SVCHOST.EXE Pid: 784 Object-Path: C:\WINDOWS\system32\svchost.exe Status: Visible Object-Type: Process Object-Name: SCHED.EXE Pid: 196 Object-Path: C:\Programmi\Avira\AntiVir Desktop\sched.exe Status: Visible Object-Type: Process Object-Name: REGSRVC.EXE Pid: 1684 Object-Path: C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe Status: Visible Object-Type: Process Object-Name: SVCHOST.EXE Pid: 2304 Object-Path: C:\WINDOWS\system32\svchost.exe Status: Visible Object-Type: Process Object-Name: SERVICES.EXE Pid: 972 Object-Path: C:\WINDOWS\system32\services.exe Status: Visible Object-Type: Process Object-Name: EXPLORER.EXE Pid: 600 Object-Path: C:\WINDOWS\Explorer.EXE Status: Visible Object-Type: Process Object-Name: wmiprvse.exe Pid: 1592 Object-Path: C:\WINDOWS\system32\wbem\wmiprvse.exe Status: Visible Object-Type: Process Object-Name: SVCHOST.EXE Pid: 1624 Object-Path: C:\WINDOWS\system32\svchost.exe Status: Visible Object-Type: Process Object-Name: SMSS.EXE Pid: 540 Object-Path: C:\WINDOWS\System32\smss.exe Status: Visible Object-Type: Process Object-Name: AVGNT.EXE Pid: 2648 Object-Path: C:\Programmi\Avira\AntiVir Desktop\avgnt.exe Status: Visible Object-Type: Process Object-Name: wmiprvse.exe Pid: 3176 Object-Path: C:\WINDOWS\system32\wbem\wmiprvse.exe Status: Visible Object-Type: Process Object-Name: MONITOR.EXE Pid: 2868 Object-Path: C:\Acer\Empowering Technology\eRecovery\Monitor.exe Status: Visible Object-Type: Process Object-Name: AVGUARD.EXE Pid: 576 Object-Path: C:\Programmi\Avira\AntiVir Desktop\avguard.exe Status: Visible Object-Type: Process Object-Name: SVCHOST.EXE Pid: 236 Object-Path: C:\WINDOWS\system32\svchost.exe Status: Visible Object-Type: Process Object-Name: LSSRVC.EXE Pid: 1476 Object-Path: C:\Programmi\File comuni\LightScribe\LSSrvc.exe Status: Visible Object-Type: Process Object-Name: Rootkit_Detecti Pid: 2592 Object-Path: D:\Setups\Rootkit_Detective.exe Status: Visible Object-Type: Process Object-Name: SVCHOST.EXE Pid: 1508 Object-Path: C:\WINDOWS\system32\svchost.exe Status: Visible Object-Type: Process Object-Name: SPOOLSV.EXE Pid: 2004 Object-Path: C:\WINDOWS\system32\spoolsv.exe Status: Visible Object-Type: Process Object-Name: LSASS.EXE Pid: 984 Object-Path: C:\WINDOWS\system32\lsass.exe Status: Visible Object-Type: Process Object-Name: EHSCHED.EXE Pid: 1108 Object-Path: C:\WINDOWS\eHome\ehSched.exe Status: Visible Object-Type: Process Object-Name: EVTENG.EXE Pid: 1388 Object-Path: C:\Programmi\Intel\Wireless\Bin\EvtEng.exe Status: Visible Object-Type: Process Object-Name: NVSVC32.EXE Pid: 1668 Object-Path: C:\WINDOWS\system32\nvsvc32.exe Status: Visible Object-Type: Process Object-Name: S24EVMON.EXE Pid: 1452 Object-Path: C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe Status: Visible Object-Type: Process Object-Name: SVCHOST.EXE Pid: 2072 Object-Path: C:\WINDOWS\system32\svchost.exe Status: Visible Object-Type: Process Object-Name: firefox.exe Pid: 1948 Object-Path: C:\Programmi\Mozilla Firefox\firefox.exe Status: Visible Object-Type: Process Object-Name: SVCHOST.EXE Pid: 1236 Object-Path: C:\WINDOWS\system32\svchost.exe Status: Visible Object-Type: Process Object-Name: LVPRCSRV.EXE Pid: 152 Object-Path: c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe Status: Visible Object-Type: Process Object-Name: CFP.EXE Pid: 2756 Object-Path: C:\Programmi\COMODO\COMODO Internet Security\cfp.exe Status: Visible Object-Type: Process Object-Name: unsecapp.exe Pid: 3128 Object-Path: C:\WINDOWS\system32\wbem\unsecapp.exe Status: Visible Object-Type: Process Object-Name: WINLOGON.EXE Pid: 928 Object-Path: C:\WINDOWS\system32\winlogon.exe Status: Visible Object-Type: Process Object-Name: SVCHOST.EXE Pid: 1300 Object-Path: C:\WINDOWS\system32\svchost.exe Status: Visible Object-Type: Process Object-Name: EPOWER_DMC.EXE Pid: 2540 Object-Path: C:\Acer\Empowering Technology\ePower\ePower_DMC.exe Status: Visible Scan complete. Hidden registry keys/values: 3 - gmer: GMER 1.0.15.15227 - http://www.gmer.net Rootkit quick scan 2010-12-29 12:59:11 Windows 5.1.2600 Service Pack 3 Running: gmer.exe; Driver: C:\DOCUME~1\Marco\IMPOST~1\Temp\kfgorpob.sys ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwEnumerateKey [0xB6E6F768] SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwEnumerateValueKey [0xB6E6F9BE] ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \FileSystem\Fastfat \Fat OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies) AttachedDevice \Driver\Tcpip \Device\Ip cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO) AttachedDevice \Driver\Tcpip \Device\Tcp cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO) AttachedDevice \Driver\Tcpip \Device\Udp cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO) AttachedDevice \Driver\Tcpip \Device\RawIp cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) ---- EOF - GMER 1.0.15 ---- - Combofix non funziona, mi dice che non riesce ad accedere alle periferiche, a ie e firefox e poi windows mi dice che ci sono file mancanti Ora.. Direi che la soluzione più veloce sarebbe formattare, ma appunto non mi trovava il file kdcom.. Cosa faccio, provo a sostituirli entrambi con i 2 file di un altro portatile che ho e riprovo il format oppure procedo con la pulizia del pc?

30-12-2010, 12:06	#9
AMIGASYSTEM Senior Member Iscritto dal: Nov 2008 Città: Brindisi Messaggi: 4048	Si avevo detto eseguibili,ma anche le librerie (.dll) sono una sorta di eseguibili preconfezionate che usane le applicazioni,quindi anche quelle le dovevi spostare altrove.Tieni presente che le infezioni fanno impazzire i programmi soprattutto quelli della sicurezza,quindi prima della pulizia vanno disinstallati,meglio da provvisoria quando è possibile,tutti comodo compreso,anche se è comodo.Altra cosa che devi fare e quella di ripulire tutto con CCleaner,le infezioni si nascondonio anche fra le TEMP.In ultimis molto importante è quello di disattivare il ripristino di Windows,altrimenti i virus Stipati,si rinstallano al primo riavvio.Dopo le pulizie di fine stagione fai una ripassata con il Capitano Combofix e vedi cosa succede,eventualmente riscaricalo perchè è sempre in continuo aggiornamento,ricorda che le versioni vecchie se lanciate,si auto distruggono quando già vetuste. __________________ Dove l'ho sentita questa canzone ? www.plagimusicali.net AROS One Home Site amiganews.it eab.abime.net Aros-Exec Arosworld Ultima modifica di AMIGASYSTEM : 30-12-2010 alle 12:10.

31-12-2010, 15:09	#10
Salt Tank Member Iscritto dal: Sep 2007 Messaggi: 93	Ciao, sono riuscito a formattare il sistema, quindi dovrei essere a posto spero.. (esistono virus che resistono ad un format?) Non ho fatto niente di speciale, semplicemente ho eseguito il recovery direttamente da windows e al riavvio è partito senza problemi. Forse il rootkit semplicemente impediva l'accesso a determinati driver o dll che non mi facevano funzionare periferiche e questo programma. Comunque ti ringrazio per l'aiuto, sei stato molto gentile, è stata un esperienza anche costruttiva. :-)

Strumenti
Mostra una versione stampabile Invia questa pagina per email