Possibile rootkit

[J.C.]

Riporto il post dal thread di Avira:

Quote:

Originariamente inviato da J.C.

Ho appena installato avira e dopo una scan ho un paio di domande:
-innanzitutto mi segnala come warning i seguenti files:
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\updxodoj.exe
[WARNING] The file could not be opened!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!
Ho letto in prima pagina che 3 di questi non sono un problema,ma quel updxodoj.exe che diavolo sarebbe? Perchè non può essere aperto dal programma?

In quella discussione mi è stato suggerito che updxodoj.exe potrebbe essere un rootkit e che dovrei farlo analizzare sui siti:
http://www.virustotal.com/it/
http://virscan.org/
Il problema è che il file è bloccato e che non si può eseguire nessuna operazione su esso;così ho provato ha installare Unlocker,ma, contrariamente a quanto letto in rete riguardo il suo funzionamento,cliccando col tasto destro del mouse su file o directory, non mi compare nessuna voce del programma nel menu a tendina.
Any advice?

[wjmat]

carica con le modalità che ho in firma il log di Gmer

[J.C.]

Ecco fatto...

[wjmat]

scansione e log di Prevx

[J.C.]

Quote:

Originariamente inviato da wjmat

scansione e log di Prevx

Lo posto,anche se non mi ha trovato nulla:
http://www.fileqube.com/shared/XGJhVzY104189

[wjmat]

io seguirei la guida generica... secondo me dalle prime due scansioni antispyware qualcosa salta fuori...

[xcdegasp]

Quote:

Originariamente inviato da J.C.

Lo posto,anche se non mi ha trovato nulla:
http://www.fileqube.com/shared/XGJhVzY104189

quello che posso legegre da questo log sono le seguenti avvertimenti:

Codice:

C:\Documents and Settings\Cantoni\Impostazioni locali\Temp\A~NSISu_.exe	InMem: 0	Det [u]	PX5: 3C000245617C3F7868CB0102418C8C00413128EE

	REGSESSMGR - \REGISTRY\Machine\System\CurrentControlSet\Control\Session Manager - PendingFileRenameOperations [\??\C:\DOCUME~1\Cantoni\IMPOST~1\Temp\A~NSISu_.exe]


C:\Programmi\Advanced Registry Fix\Advanced Registry Fix.exe	InMem: 0	Det [u]	PX5: 06751C8500E93DDED0DC32A9AF5F1A008C6D7E07


C:\Programmi\Atari\Test Drive Unlimited\TestDriveUnlimited.exe	InMem: 0	Det [u]	PX5: C050BEF900F6464D50FF0089CB65B7015986E009


C:\Documents and Settings\Cantoni\Desktop\Vario III\PC & Videogames\PC\Phun\Phun.exe	InMem: 0	Det [UP]	PX5: 527F3C8C00C62B8BE070164DFD963A00F2AA7F7C

il primo file di quelli che ho riportato è sicuramente inquetante e pericoloso, quindi segui la procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti rispettando le Regole di Sezione

[J.C.]

Perchè sono segnalati un programma,un gioco originale e un simulatore di fisica 2d ? Cosa vuoi dire che il primo è inquietante?
Comunque seguendo la guida,ho notato che la voce 'Disattiva ripristino configurazione di sistema' era già selezionata...boh.
Ecco il log di Malwarebytes Anti-Malware; appena ho tempo ricancello i temporanei e scannerizzo col secondo programma nella lista.

P.S. Advanced Registry Fix me l'aveva passato tempo fa un amico,ma non so se è originale. Comunque dubito seriamente sia la causa di qualche problema.

[J.C.]

Ho seguito la procedura consigliata e credo di aver ricavato solo un pò di falsi positivi...
-A-Squared Free credo siano 2 falsi positivi;
-F-Secure OnLine non mi ha trovato nulla dopo una scan di 2h e mezza (ho dimenticato il log,ma non ha segnalato pericoli);
-Dr.Web CureIT www.hwupgrade.helloweb.eu/ParserLog/log/output-2162708907.txt (log 'ridotto');
-ESET SysInspector : crea log in xml enormi,giusto?
http://www.fileqube.com/shared/CwdAd106590
-HiJackThis : ho usato la pagina tedesca per l'analisi,ma non c'era nulla di pericoloso...

Mah...

[wjmat]

con cureit non hai fatto la scansione completa o sbaglio?

hjt caricalo lo stesso please

[J.C.]

Mi sembra di aver fatto la completa... tieni conto che ho ridotto col programmino apposito,altrimenti sarebbero 26 MB di log. Devo uppare quelli ?
Comunque ecco HJT.

[wjmat]

Quote:

Originariamente inviato da J.C.

Mi sembra di aver fatto la completa... tieni conto che ho ridotto col programmino apposito,altrimenti sarebbero 26 MB di log. Devo uppare quelli ?
Comunque ecco HJT.

tempo di scansione mi pare di aver visto 8minuti...

[J.C.]

Quote:

Originariamente inviato da wjmat

tempo di scansione mi pare di aver visto 8minuti...

Sì,ma è perchè ho toccato qualcosa a 8 minuti dal termine,azzerando le statistiche. Comunque a questo punto lascerei perdere, visto che nessuno di quei programmi mi segnala infezioni e il pc funziona senza problemi...
Una cosa però: il file C:\WINDOWS\system32\updxodoj.exe è presente solo nel mio registro o è di windows?

[J.C.]

Mi serve un consiglio,sempre riguardo il file C:\WINDOWS\system32\updxodoj.exe.
Sono riuscito a far partire unlocker,ma mi dice che il file non è bloccato da nessun handle,nonostante non riesca ad eseguire alcun tipo di operazione su esso. Il programma mi consente comunque di rinominarlo,spostarlo o cancellarlo... cosa mi consigliate di fare? Se lo elimino, danneggio il sistema?
Non esiste nessun'altro modo per sbloccarlo e upparlo su qualche sito di analisi?

[wjmat]

Fai controllare quel file su www.virustotal.com e su http://virscan.org/
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Se il file dovesse essere nascosto o di sistema, Apri Risorse Computer -> Strumenti -> Opzioni Cartella... -> Visualizzazione -> Seleziona "Visualizza cartelle e file nascosti" -> scendi e togli la spunta a "Nascondi i file di sistema (consigliato)
Alla fine della verifica rimetti le impostazioni originali

[Chill-Out]

http://www.hwupgrade.it/forum/showpo...postcount=4875

[Nuz]

Intanto sistema una riga che c'è in HijackThis. Apri il prompt dei comandi, da start, esegui, scrivi cmd e dai invio.
Poi scrivi:
sc stop JGFXMFBA e dai invio
sc delete JGFXMFBA di nuovo invio

Allega un nuovo log di hijackthis, un log di RootkiUnhooker (LINK) e prova anche ad usare Fileassassin per provare a sbloccare il file.

[J.C.]

Quote:

Originariamente inviato da Nuz

Intanto sistema una riga che c'è in HijackThis. Apri il prompt dei comandi, da start, esegui, scrivi cmd e dai invio.
Poi scrivi:
sc stop JGFXMFBA e dai invio
sc delete JGFXMFBA di nuovo invio

Allega un nuovo log di hijackthis, un log di RootkiUnhooker (LINK) e prova anche ad usare Fileassassin per provare a sbloccare il file.

Siii,fileassasin ha funzionato,laddove unlocker ha fallito!
Ho uppato il file updxodoj.exe su i 2 siti consigliati ed ho ottenuto:
-con http://virscan.org, 4 risultati su 34:

Quote:

AVAST! 3.0.1 080923-0 2008-09-23 Win32:Agent-NOH[Trj]
Fortinet 2.81-3.113 9.580 2008-09-23 Suspicious
Ikarus T3.1.01.34 2008.09.24.71519 2008-09-24 Virus.Win32.Agent.NOH
Symantec 1.3.0.24 20080923.003 2008-09-23 Dialer.Trojan

-con www.virustotal.com un pò di più:

Quote:

Avast 4.8.1195.0 2008.09.23 Win32:Agent-NOH
eSafe 7.0.17.0 2008.09.24 Suspicious File
F-Secure 8.0.14332.0 2008.09.24 Suspicious:W32/Malware!Gemini
GData 19 2008.09.24 Win32:Agent-NOH
Ikarus T3.1.1.34.0 2008.09.24 Virus.Win32.Agent.NOH
Kaspersky 7.0.0.125 2008.09.24 Heur.Trojan.Generic
Prevx1 V2 2008.09.24 Malicious Software
Symantec 10 2008.09.24 Dialer.Trojan
TrendMicro 8.700.0.1004 2008.09.24 PAK_Generic.001
Webwasher-Gateway 6.6.2 2008.09.24 Win32.ModifiedUPX.gen (suspicious)

Qual è il verdetto?Lo cancello senza rimorsi,o può dare problemi a windows?

Inoltre ho digitato le istruzioni che hai postato e fatto un altro log con HJT e col programma da te citato:
http://www.fileqube.com/shared/FYkNOYV112229

[wjmat]

eliminalo con file assassin, se non va usiamo avenger

[J.C.]

Sono riuscito finalmente a cancellare il file,quindi teoricamente dovrei essere pulito...
Grazie a tutti,dovreste farvi pagare per il servizio che svolgete in questa sezione. Personalmente non ne avrei la pazienza .