[win XP] il computer si riavvia da solo

[hokutoD]

ciao a tutti, recupero questo vecchio post perché l'argomento è identico.

Sono arrivato allo scan con gmer, il log:

GMER 1.0.14.14116 - http://www.gmer.net
Rootkit scan 2008-02-12 10:24:29
Windows 5.1.2600 Service Pack 2


---- Kernel code sections - GMER 1.0.14 ----

PAGE ntoskrnl.exe!RtlCopySid + FF 805673BA 7 Bytes JMP F9CB22C6 izomvhjd.dat
? izomvhjd.dat Impossibile trovare il file specificato. !
? C:\WINDOWS\system32\drivers\Cim30.sys Accesso negato.

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs Cim30.sys
Device \FileSystem\Fastfat \FatCdrom Cim30.sys
Device \FileSystem\Mup \Dfs Cim30.sys
Device \FileSystem\RAW \Device\RawTape Cim30.sys
Device \FileSystem\Mup \Device\Mup Cim30.sys
Device \FileSystem\RAW \Device\RawDisk Cim30.sys
Device \FileSystem\RAW \Device\RawCdRom Cim30.sys
Device \FileSystem\Mup \Device\WinDfs\Root Cim30.sys
Device \FileSystem\Fastfat \Fat Cim30.sys
Device \FileSystem\Cdfs \Cdfs Cim30.sys

---- Services - GMER 1.0.14 ----

Service system32\drivers\izomvhjd.dat (*** hidden *** ) [BOOT] sgqstobc <-- ROOTKIT !!!

---- EOF - GMER 1.0.14 ----

questo fatto i modalità provvisoria. Ho tentato di rimuovere quel file, ma anche in modalità provvisoria me lo impedisce...

Non è ne blaster ne sasser naturalmente, e il fix per il rustok non trova nulla.

Grazie in anticipo per l'aiuto

[lancetta]

Quote:

Originariamente inviato da hokutoD

ciao a tutti, recupero questo vecchio post perché l'argomento è identico.

Sono arrivato allo scan con gmer, il log:

GMER 1.0.14.14116 - http://www.gmer.net
Rootkit scan 2008-02-12 10:24:29
Windows 5.1.2600 Service Pack 2


---- Kernel code sections - GMER 1.0.14 ----

PAGE ntoskrnl.exe!RtlCopySid + FF 805673BA 7 Bytes JMP F9CB22C6 izomvhjd.dat
? izomvhjd.dat Impossibile trovare il file specificato. !
? C:\WINDOWS\system32\drivers\Cim30.sys Accesso negato.

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs Cim30.sys
Device \FileSystem\Fastfat \FatCdrom Cim30.sys
Device \FileSystem\Mup \Dfs Cim30.sys
Device \FileSystem\RAW \Device\RawTape Cim30.sys
Device \FileSystem\Mup \Device\Mup Cim30.sys
Device \FileSystem\RAW \Device\RawDisk Cim30.sys
Device \FileSystem\RAW \Device\RawCdRom Cim30.sys
Device \FileSystem\Mup \Device\WinDfs\Root Cim30.sys
Device \FileSystem\Fastfat \Fat Cim30.sys
Device \FileSystem\Cdfs \Cdfs Cim30.sys

---- Services - GMER 1.0.14 ----

Service system32\drivers\izomvhjd.dat (*** hidden *** ) [BOOT] sgqstobc <-- ROOTKIT !!!

---- EOF - GMER 1.0.14 ----

questo fatto i modalità provvisoria. Ho tentato di rimuovere quel file, ma anche in modalità provvisoria me lo impedisce...

Non è ne blaster ne sasser naturalmente, e il fix per il rustok non trova nulla.

Grazie in anticipo per l'aiuto

per favore segui le regole di sezione sia per pubblicare i log che quello che viene richiesto
http://www.hwupgrade.it/forum/showthread.php?t=1589984
http://www.hwupgrade.it/forum/showthread.php?t=1599737
in più aggiungici anche un giro con Panda Antirootkit
decomprimi il file Zip, sul desktop
eseguilo(da amministratore del pc) stando connesso, dovrebbe aggiornarsi automaticamente, dopodichè partirà una scansione per verificare la presenza,di eventuali rootkit, sul P.C. ed eseguire eventuali pulizie.
facci sapere cosa trova....
allega i log delle scansioni

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

1 se il relativo txt generato è max 20 kb, allegarlo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2 se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download[/quote]

[hokutoD]

mi scuso per non aver rispettato alla lettera la netiquette del forum, la prossima volta sarò più preciso.
In ogni caso dopo il giro con i vari programmi ho risolto, anche se non ho ben chiaro come considerato che non hanno trovato niente di che....

Di diverso da prima ho semplicemente fermato lo spegnimento del pc con shutdown -a, e da lì a poco è apparso un warning di Antivir

Virus or unwanted program 'TR/Dropper.Gen [TR/Dropper.Gen]'
detected in file 'C:\WINDOWS\Temp\BN2.tmp.
Action performed: Deny access

che è sparito dopo qualche riavvio e uno scan in modalità provvisoria che non ha trovato nulla.

Misteri della fede, davvero...

Grazie comunque per l'aiuto, ciao!

[Kered75]

salve, sono arrivato a questo 3d investigando su un'infezione del pc di mio cognato: ed in particolare ricercando info sul file "BN2.tmp" trovato infetto da Antivir all'avvio di ogni connessione internet in coppia con la partenza di svariate quanto invisibili mail notabili solo dall'analisi dei processi di avast....

Seguento la discussione vedo che la situazione è molto simile a quella di mirkobob solo che hijack non mi ha dato segnali interesanti mentre Gmer individua 3 rootkit e tre processi dannosi HIDEN che posso killare ma che continuamente si riproducono, a questo punto io sono al palo e non so davvero come procedere ... avg anti rootkit non trova nulla, virus viene individuato solo quello suddetto da avira, ma nonostante la sua eliminazione "riappare" ad ogni nuova connessione.

Allego i log di Gmer e Hijack nella speranza di qualche subberimento
Grazie Mike

[Chill-Out]

Comincia col disinstallare Avast

[Kered75]

Quote:

Originariamente inviato da Chill-Out

Comincia col disinstallare Avast

non lo uso e non mi piace ... sul pc in questione però lo ho trovato installato e stà di fatto che pur non rilevando infezioni avast è l'unico sistema che ha acceso un campanello d'allarme su questo indesiderato invio di mail (vedi immagine in allegato).

Lo citavo solo per questo.

[Chill-Out]

E' noto che 2 AV sulla stessa macchina fanno macello, ti consiglio pertanto di disinstallare Avast.
Segui la Guida alla Disinfezione allegando i log secondo le modalità sottoindicate, preferibilmente tutti i log in un unico post

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1 se il relativo txt generato è max 20 kb, allegarlo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2 se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download[/quote]

oltre ai tool indicati in Guida fai girare anche questo:

Scarica SDFix e salvalo sul Desktop
Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Apri la cartella SDFix in C:\ e fai un doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premi un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovresti visualizzare il messaggio "Finished"
Premi un tasto per terminare lo script e ricaricare le icone del desktop
Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt
http://downloads.andymanchesta.com/R...ools/SDFix.exe

[Kered75]

Grazie per le indicazioni, stasera provo a eliminare tutte le protezioni e rifaccio il ciclo di controllo.

In verità tutto è stato già fatto seguento passo passo la guida ed i problemi che riportavo son ancora attivi, ma effettivamente con Avast e Avira attivi ...

Un suggerimento li tolgo entrambi o quale dei due? Sui miei pc ho Avira, ma come dicevo sopra avast lo tenevo attivo solo perchè è l'unico che mi da una visione chiara del fenomeno (lo usavo come monitor).

Scusate per il "posting scorretto" dei log ho letto 20Kb e pensato (erroneamente) che vi fosse più comodo prenderli da qui essendo pocho kb in più.

Grazie per ora, vi tengo aggiornati

[murack83pa]

disinstalla avast, utilizza ccleaner x la pulizia del registro, riavvia il pc

[Chill-Out]

E' noto che 2 AV sulla stessa macchina fanno macello, ti consiglio pertanto di disinstallare Avast.

[Kered75]

Quote:

Originariamente inviato da Chill-Out

E' noto che 2 AV sulla stessa macchina fanno macello, ti consiglio pertanto di disinstallare Avast.

si scusami avevo letto male (sono in ufficio) e mi era scappato il suggerimento diretto

stasera procedo

[Kered75]

ok rieccomi ... fatte tutte le varie scansioni e trovata un po di robina che però non so bene come interpretare ne tantomeno come rimuovere ....

posto in fila i log come richiesto linkati dall'esterno

Prevx CSI

Hijackthis

gmer

SDfix

il problema sembrerebbe (ammesso che sia uno solo) il Trojan Pandex sul quale però non ho trovato 3D sul forum, posso continuare la discussione qui o devo aprire un 3D nuovo?

Scusatemi la "niubbaggine" e grazie fin da ora per la pazienza ed il tempo

[murack83pa]

manca il log di asquared

hai fatto le scansioni in questo ordine?

x intenderci: sdfix l'hai fatto girare x ultimo?

fai cosi:
1- Provvedi a svuotare del suo contenuto la cartella Prefetch[/b] procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

2- Scarica CCLEANER: DOWNLOAD
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

3- nuova scansione con prevx csi e nuovo log di hijackthis

[Kered75]

fatto

Prevx

Hijackthis

Qualcosa migliora ma ancora una segnalazione su Prev...
Riguardo al mio precedente post: hai ragione l'ordine scritto è sbagliato, ho effettuato la scansione con SDFix prima di hijack e gmer non come ultima del ciclo.

[xcdegasp]

firefox è una versione vecchia quindi devi aggiornarlo

Codice:

C:\WinGuido\winguido.exe	InMem: 0	Det [u]	PX5: 143A2C440062CD526CDE65B03328EF0032FDFA3A

C:\WINDOWS\QTFont.for	InMem: 0	Det [u]	MD5: E100B14F521C642D39E4BACAD4ECC2AC	PX5: E100B14F81521C64052D0039E4BACA00D4ECC2AC

C:\WINDOWS\WLXPGSS.SCR	InMem: 0	Det [u]	MD5: B76D8211A447E9BD2F37540E9FE42C9C	PX5: 36118B1D0074AEB6F4D7082BEE2E4200FA97E460


C:\WINDOWS\System32\Drivers\Vbe61.sys - [64] >> Hidden Data

mentre nel log hiJackThis:

Codice:

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - G:\WinGuido\Skype4COM.dll (file missing)

[Chill-Out]

Manca il log di A-Squared ed il log della scansione online o alternative, come ultima cosa fai girare di nuovo SDFix

@xcdegasp
C:\WINDOWS\WLXPGSS.SCR InMem: 0 Det [u] MD5: B76D8211A447E9BD2F37540E9FE42C9C PX5: 36118B1D0074AEB6F4D7082BEE2E4200FA97E460

effettivamente l'MD5 non corrisponde a quello di Microsoft

[Chill-Out]

Quote:

Riguardo al mio precedente post: hai ragione l'ordine scritto è sbagliato, ho effettuato la scansione con SDFix prima di hijack e gmer non come ultima del ciclo.

se l'avevo messo per ultimo un motivo evidentemente c'era

[Kered75]

ok stasera ripeto il ciclo di scansioni in ordine completo, una domanda riposto tutti i log?

A-squared non l'ho postato perchè non mi ha individuato nulla mentre ESET (anche esso non presente) genera un log chilometrico e non riesce a correggere nessuno dei problemi individuati, come scritto sopra provvedo a ripetere tutto.

ESET > A-squared > Prevx > House call Trend micro > Hijackthis > gmer > SDfix ---- ancora un mio dubbio:

Fra una scansione e l'altra ovviamente non riavvio il sistema vero? e CC clean lo passo solo alla fine di questo lungo ciclo di controlli? e dopo averlo passato devo rifare altro o no!? non mi è chiaro dal vademecum che mi son letto e riletto più volte

riguardo alle segnalazioni di xcdegasp come posso intervenire? Firefox lo aggiorno ok ma i file incriminati? provo ad eliminarli o per ora non faccio nulla?

scusatemi l'assillo ma la cosa alla fine mi intrippa pure

[Riverside]

Quote:

Originariamente inviato da Kered75

ok stasera ripeto il ciclo di scansioni in ordine completo, una domanda riposto tutti i log?

Io trovo incredibile che riusciate a perdervi in queste cose.
Si tratta solo di leggere, attentamente la Guida e fare, esattamente, quello che viene suggerito.

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

e poi, una volta per tutte, segui quella stramaledetta Guida ed allega, in un unico post, tutti i log richiesti.

[Kered75]

ok appena finito tutti i cicli in ordine, procedo a riportare i log

ESET ADS Revealer

A-Squared Free

Pervx

Hijackthis

gmer

SDfix

la scansione on line fatta dopo Prev e prima di Hijack la ho eseguita ancora con Housecall di trend micro, non riesco però a farmi fare un log ne a trovarne uno autosalvato, unico che mi pare averne le fattezze è
questo
che se ne stà nella cartella C:\Documents and Settings\Gigi\.housecall6.6\log

@Riverside: il Ripristino di configurazione di sistema era stato disattivato secondo le vostre ottime indicazioni .... peccato che l'ho ritrovato attivo !!!

Dopo la tua segnalazione, io non mi ero accorto della cosa, l'ho disattivato nuovamente e provato alcuni riavvi consecutivi, tutto ok.
Ho ricontrollato ora alla fine dei cicli di scansione e ... lo ritrovo attivato ... mi sa che non è bello vero?