[WINXP] File ntfs.sys infettato da trojan rootkit-pakes.M

Archie · 14-08-2009, 11:49

Ciao a tutti, I need help

L'avg 8.5 ha rilevato il trojan come da titolo nel file ntfs.sys che non può esseere eliminato pena l'impossibilità di avviare xp. Questo trojan ne ha attivati altri come trojan backdoor.generic11.AIVI in dllcache\beep.sys (sempre secondo avg).

Dunque ho fatto girare prima combofix e poi hijackthis di cui vi fornisco il log in allegato.

Per favore potete darmi una mano??

hijackthis.log

ComboFix-quarantined-files.txt

ComboFix.txt

**Chill-Out** · 14-08-2009, 12:27

Ciao allega anche il log di AVG in modo da avere una situazione più chiara di che cosa e dove lo rileva.

Archie · 14-08-2009, 12:37

Certo! ecco l'elenco delle minacce:

Quote:

C:\WINDOWS\system32\drivers\ntfs.sys with Trojan Horse Rootkit-Pakes.M
C:\WINDOWS\system32\braviax.exe with Trojan horse Injector.FH
C:\WINDOWS\system32\dllcache\figaro.sys with Trojan horse BackDoor.Generic11.AINT
C:\Documents and Settings\Proprietario\msword98.exe with Trojan Horse Crypt.GHK

as reported by AVG.

**Chill-Out** · 14-08-2009, 12:42

Quote:

Originariamente inviato da Archie

Certo! ecco l'elenco delle minacce:

Sbaglio o qualche file è già stato eliminato o messo in quarantena dallo stesso AVG

Archie · 14-08-2009, 12:49

ecco l'elenco dei rilevamenti di avg (alcuni ripetitivi). Non si capisce benissimo ma sinceramente non so come ottenere un log da avg

y.txt

qui ti dice il nome dell'infezione, il file infettato e il processo (tipo netstat.exe, monlite.exe ecc.)

**Chill-Out** · 14-08-2009, 12:53

Quote:

Originariamente inviato da Archie

ecco l'elenco dei rilevamenti di avg (alcuni ripetitivi). Non si capisce benissimo ma sinceramente non so come ottenere un log da avg

y.txt

qui ti dice il nome dell'infezione, il file infettato e il processo (tipo netstat.exe, monlite.exe ecc.)

Ok, per precauzione dimmi se hai il disco di installazione di Win

Archie · 14-08-2009, 13:03

sì xp home sp2. Ho già dovuto usarlo per ripristinare il file ntfs.sys quando l'ho cancellato con avg (inutilmente)

**Chill-Out** · 14-08-2009, 15:26

Quote:

Originariamente inviato da Archie

sì xp home sp2. Ho già dovuto usarlo per ripristinare il file ntfs.sys quando l'ho cancellato con avg (inutilmente)

Bene puoi quindi procedere con la Guida alla disinfezione http://www.hwupgrade.it/forum/showthread.php?t=1599737

Archie · 14-08-2009, 17:13

Quote:

Originariamente inviato da Chill-Out

Bene puoi quindi procedere con la Guida alla disinfezione http://www.hwupgrade.it/forum/showthread.php?t=1599737

Ah... ma dai log che ho già postato non si evince nulla che possa aiutare a risolvere il problema?

E' proprio necessario creare un account OpenDNS?

**Chill-Out** · 14-08-2009, 17:19

Quote:

Originariamente inviato da Archie

Ah... ma dai log che ho già postato non si evince nulla che possa aiutare a risolvere il problema?

I tool indicati nella Guida alla disinfezione sono dedicati alla risoluzione del problema, gli eventuali residui provvederemo a rimuoverli manualmente ed in caso di necessità.

iust · 17-08-2009, 09:09

ciao, io ho avuto lo stesso problema del rootkit in ntfs.sys unitamente a braviax.exe e msword98.exe...
eliminavo i file (a parte ntfs.sys) e poi ovviamente tornavano. Allora dopo aver scoperto che il porco risiedeva oltre che nei suddetti file anche in figaro.sys, in beep.sys, ho terminato dal task manager tutti i processi sospetti, ho eliminato braviax.exe, msword98.exe, figaro.sys e beep.sys (attenzione che quest'ultimo file risiede in \windows\system32\drives e in \windows\system32\dllcache e che una volta eliminato viene richiesto il disco di xp per ripristinarli).
poi con blocco note ho creato un file di testo e l'ho chiamato braviax.exe, gli ho dato attributo sola lettura e l'ho copiato nelle cartelle dove veniva creato il braviax.exe vero. Stessa cosa con figaro.sys e con msword98.exe. Fatto questo ho riavviato in modalità provvisoria e ho fatto uno scan con avg in prompt dos e mi ha trovato parecchi altri file infetti e li ha eliminati tutti tranne ovviamente ntfs.sys. quest'ultimo l'ho eliminato a mano appena finita la scansione e al suo posto ho messo un ntfs.sys preso da un sistema pulito. poi un bel regedit e ricerca ed eliminazione in tutto il registro di chiavi e valori "braviax.exe", "figaro.sys", ecc. ecc. ecc.
Ora sembra tutto ok!
Spero possa essere utile a qualcuno!

xcdegasp · 17-08-2009, 09:18

Quote:

Originariamente inviato da iust

ciao, io ho avuto lo stesso problema del rootkit in ntfs.sys unitamente a braviax.exe e msword98.exe...
eliminavo i file (a parte ntfs.sys) e poi ovviamente tornavano. Allora dopo aver scoperto che il porco risiedeva oltre che nei suddetti file anche in figaro.sys, in beep.sys, ho terminato dal task manager tutti i processi sospetti, ho eliminato braviax.exe, msword98.exe, figaro.sys e beep.sys (attenzione che quest'ultimo file risiede in \windows\system32\drives e in \windows\system32\dllcache e che una volta eliminato viene richiesto il disco di xp per ripristinarli).
poi con blocco note ho creato un file di testo e l'ho chiamato braviax.exe, gli ho dato attributo sola lettura e l'ho copiato nelle cartelle dove veniva creato il braviax.exe vero. Stessa cosa con figaro.sys e con msword98.exe. Fatto questo ho riavviato in modalità provvisoria e ho fatto uno scan con avg in prompt dos e mi ha trovato parecchi altri file infetti e li ha eliminati tutti tranne ovviamente ntfs.sys. quest'ultimo l'ho eliminato a mano appena finita la scansione e al suo posto ho messo un ntfs.sys preso da un sistema pulito. poi un bel regedit e ricerca ed eliminazione in tutto il registro di chiavi e valori "braviax.exe", "figaro.sys", ecc. ecc. ecc.
Ora sembra tutto ok!
Spero possa essere utile a qualcuno!

ma non hai risolto il problema del perchè braviax.exe e msword98.exe venissero creati perchè se tu rimuovessi quei file di testo ricompariranno, cio significa che non hai risolto

iust · 17-08-2009, 14:02

Proverò ad eliminarli e poi vi saprò dire.
comunque il rootkit in ntfs.sys non è più ricomparso e credo fosse stata sua la causa della creazione di braviax.exe ecc. ecc.

iust · 17-08-2009, 16:48

Ho fatto! Ho eliminato anche quelli che ho creato io, ho riavviato, e del virus nessuna traccia...

Ho controllato anche le date dei file di sistema che il virus modificava/sostituiva e sono tutte corrette come gli originali di windows... sembrerebbe tutto ok... come strumenti ho usato AVG free per le scansioni e la pulizia da modalità provvisoria senza il virus in esecuzione, e spybot per controllare i task, i programmi in esecuzione automatica, i BHO, gli ActiveX ecc...

yuppii!

xcdegasp · 17-08-2009, 23:31

era ora che avg individuasse un virus di un anno e mezzo fa'

Archie · 23-08-2009, 11:01

va bene se prendo il file ntfs.sys dal cd di installazione di xp?

xcdegasp · 23-08-2009, 11:45

Quote:

Originariamente inviato da Archie

va bene se prendo il file ntfs.sys dal cd di installazione di xp?

no

Archie · 23-08-2009, 17:56

DUNQUE,

Ho seguito passo passo la guida alla disinfezione, fatta ECCEZIONE del punto 5, in quanto dr web cureit provocava il riavvio del pc non appena lo eseguivo.

Di seguito inserisco i logs:

Malwarebytes anti-malware:
mbam-log-2009-08-23 (13-10-32).txt

A-squared free:
a2scan_090823-133039.txt

F-secure online:
report_fsols_4_0.html

ESET sysinspector:
SysInspector-FULVIO-090823-1543.xml

Hijackthis:
hijackthis.log

Gmer:
log gmer.log

Prevx:
log prevx.log

**Chill-Out** · 23-08-2009, 21:11

Ciao ripeti scansione completa con F-secure online ed allega il log

Quote:

Scanning Report
Sunday, August 23, 2009 15:01:27 - 15:15:52

Computer name: FULVIO
Scanning type: Quick scan
Target: System

Archie · 24-08-2009, 09:06

Ok, mi chiedevo se dovessi seguire la procedura dell'amico lust, eliminerei le minacce?

14-08-2009, 11:49	#1
Archie Junior Member Iscritto dal: Feb 2007 Messaggi: 13	[WINXP] File ntfs.sys infettato da trojan rootkit-pakes.M Ciao a tutti, I need help L'avg 8.5 ha rilevato il trojan come da titolo nel file ntfs.sys che non può esseere eliminato pena l'impossibilità di avviare xp. Questo trojan ne ha attivati altri come trojan backdoor.generic11.AIVI in dllcache\beep.sys (sempre secondo avg). Dunque ho fatto girare prima combofix e poi hijackthis di cui vi fornisco il log in allegato. Per favore potete darmi una mano?? hijackthis.log ComboFix-quarantined-files.txt ComboFix.txt

14-08-2009, 12:27	#2
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Ciao allega anche il log di AVG in modo da avere una situazione più chiara di che cosa e dove lo rileva. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

14-08-2009, 12:49	#5
Archie Junior Member Iscritto dal: Feb 2007 Messaggi: 13	ecco l'elenco dei rilevamenti di avg (alcuni ripetitivi). Non si capisce benissimo ma sinceramente non so come ottenere un log da avg y.txt qui ti dice il nome dell'infezione, il file infettato e il processo (tipo netstat.exe, monlite.exe ecc.) Ultima modifica di Archie : 14-08-2009 alle 12:52.

17-08-2009, 23:31	#15
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	era ora che avg individuasse un virus di un anno e mezzo fa' __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

23-08-2009, 17:56	#18
Archie Junior Member Iscritto dal: Feb 2007 Messaggi: 13	DUNQUE, Ho seguito passo passo la guida alla disinfezione, fatta ECCEZIONE del punto 5, in quanto dr web cureit provocava il riavvio del pc non appena lo eseguivo. Di seguito inserisco i logs: Malwarebytes anti-malware: mbam-log-2009-08-23 (13-10-32).txt A-squared free: a2scan_090823-133039.txt F-secure online: report_fsols_4_0.html ESET sysinspector: SysInspector-FULVIO-090823-1543.xml Hijackthis: hijackthis.log Gmer: log gmer.log Prevx: log prevx.log Ultima modifica di Archie : 23-08-2009 alle 18:00.

14-08-2009, 13:03	#7
Archie Junior Member Iscritto dal: Feb 2007 Messaggi: 13	sì xp home sp2. Ho già dovuto usarlo per ripristinare il file ntfs.sys quando l'ho cancellato con avg (inutilmente)

17-08-2009, 09:09	#11
iust Junior Member Iscritto dal: Aug 2009 Messaggi: 3	ciao, io ho avuto lo stesso problema del rootkit in ntfs.sys unitamente a braviax.exe e msword98.exe... eliminavo i file (a parte ntfs.sys) e poi ovviamente tornavano. Allora dopo aver scoperto che il porco risiedeva oltre che nei suddetti file anche in figaro.sys, in beep.sys, ho terminato dal task manager tutti i processi sospetti, ho eliminato braviax.exe, msword98.exe, figaro.sys e beep.sys (attenzione che quest'ultimo file risiede in \windows\system32\drives e in \windows\system32\dllcache e che una volta eliminato viene richiesto il disco di xp per ripristinarli). poi con blocco note ho creato un file di testo e l'ho chiamato braviax.exe, gli ho dato attributo sola lettura e l'ho copiato nelle cartelle dove veniva creato il braviax.exe vero. Stessa cosa con figaro.sys e con msword98.exe. Fatto questo ho riavviato in modalità provvisoria e ho fatto uno scan con avg in prompt dos e mi ha trovato parecchi altri file infetti e li ha eliminati tutti tranne ovviamente ntfs.sys. quest'ultimo l'ho eliminato a mano appena finita la scansione e al suo posto ho messo un ntfs.sys preso da un sistema pulito. poi un bel regedit e ricerca ed eliminazione in tutto il registro di chiavi e valori "braviax.exe", "figaro.sys", ecc. ecc. ecc. Ora sembra tutto ok! Spero possa essere utile a qualcuno!

17-08-2009, 14:02	#13
iust Junior Member Iscritto dal: Aug 2009 Messaggi: 3	Proverò ad eliminarli e poi vi saprò dire. comunque il rootkit in ntfs.sys non è più ricomparso e credo fosse stata sua la causa della creazione di braviax.exe ecc. ecc.

17-08-2009, 16:48	#14
iust Junior Member Iscritto dal: Aug 2009 Messaggi: 3	Ho fatto! Ho eliminato anche quelli che ho creato io, ho riavviato, e del virus nessuna traccia... Ho controllato anche le date dei file di sistema che il virus modificava/sostituiva e sono tutte corrette come gli originali di windows... sembrerebbe tutto ok... come strumenti ho usato AVG free per le scansioni e la pulizia da modalità provvisoria senza il virus in esecuzione, e spybot per controllare i task, i programmi in esecuzione automatica, i BHO, gli ActiveX ecc... yuppii!

23-08-2009, 11:01	#16
Archie Junior Member Iscritto dal: Feb 2007 Messaggi: 13	va bene se prendo il file ntfs.sys dal cd di installazione di xp?

24-08-2009, 09:06	#20
Archie Junior Member Iscritto dal: Feb 2007 Messaggi: 13	Ok, mi chiedevo se dovessi seguire la procedura dell'amico lust, eliminerei le minacce?

Strumenti
Mostra una versione stampabile Invia questa pagina per email