[risolto][Win XP] rootkit spambot non identificato - Pagina 2

cionci · 21-02-2008, 22:46

Quote:

Originariamente inviato da Chill-Out

Non capito se i servizi identificati come Rootkit da Gmer sono stati falciati da Gmer stesso

In che modo ? Non ho visto un tasto fix o qualcosa del genere

Io premo scan...e dopo ?
Ad una scansione successiva comunque restano lì comunque.

Edit: forse ho visto

**Chill-Out** · 21-02-2008, 22:48

Quote:

Originariamente inviato da cionci

In che modo ? Non ho visto un tasto fix o qualcosa del genere

Io premo scan...e dopo ?
Ad una scansione successiva comunque restano lì comunque.

Selezionando il servizio identificato come Rootkit col tasto dx del muose e clic su DELETE SERVICE

cionci · 21-02-2008, 22:57

Non mi elimina Vcbp29.sys

Error 0x00000010
Ora provo a riavviare e scarico Virit.

**Chill-Out** · 21-02-2008, 22:58

Quote:

Originariamente inviato da cionci

Non mi elimina Vcbp29.sys

Error 0x00000010
Ora provo a riavviare e scarico Virit.

Passata con Vitit ed alleghi il log, dopodichè mi alleghi un nuovo log di gmer e prevx CSI

cionci · 21-02-2008, 23:03

Dopo il riavvio gli altri servizi non sono tornati, ma ho il sospetto che non fossero più attivi (un riga del log diceva "missing" sui file), lo spambot è sempre attivo.
Provo questo virit.

cionci · 21-02-2008, 23:16

Virit non ha ancora finito, ma ci è passato sopra senza segnalare niente.
Panda rilevava quel file, dite che posso rimuoverlo con Panda anche se non riconosceva il tipo di rootkit (unknown) ?

**Chill-Out** · 21-02-2008, 23:18

Quote:

Originariamente inviato da cionci

Virit non ha ancora finito, ma ci è passato sopra senza segnalare niente.
Panda rilevava quel file, dite che posso rimuoverlo con Panda anche se non riconosceva il tipo di rootkit (unknown) ?

Direi di si, attendo i log indicati qui http://www.hwupgrade.it/forum/showpo...4&postcount=24

cionci · 21-02-2008, 23:39

Prevx
Virit

Codice:

21/02/2008 - 23:30:50

[SCANSIONE DEL REGISTRO]
OK

[C:\WINDOWS]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
 
 
Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 19717.
Files Totali: 19717.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

**Chill-Out** · 21-02-2008, 23:44

Anche il log di Gmer, thx.

cionci · 21-02-2008, 23:49

Stavo finendo, ho preferito inviare il messaggio perché prima mi si è piantato gmer

log gmer

Grazie

**Chill-Out** · 21-02-2008, 23:56

Quote:

Originariamente inviato da cionci

Stavo finendo, ho preferito inviare il messaggio perché prima mi si è piantato gmer

log gmer

Grazie

Allega un log di ComboFix
Download: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt e anche il file
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

cionci · 22-02-2008, 00:13

Sembra e dico sembra che non invii più spam

Ora faccio una scansione con gmer.
Che roba era ?

cionci · 22-02-2008, 00:20

Direi che va tutto bene

Codice:

GMER 1.0.14.14116 - http://www.gmer.net
Rootkit scan 2008-02-22 00:19:40
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

Code            816C18EC                                                                               KeSetProfileIrql

---- Kernel code sections - GMER 1.0.14 ----

?               C:\WINDOWS\system32\Drivers\PROCEXP90.SYS                                              Impossibile trovare il file specificato. !

---- User code sections - GMER 1.0.14 ----

.text           C:\Programmi\MSN Messenger\MsnMsgr.Exe[3444] kernel32.dll!SetUnhandledExceptionFilter  7C84467D 5 Bytes  JMP 004DE392 C:\Programmi\MSN Messenger\MsnMsgr.Exe (Messenger/Microsoft Corporation)

---- Devices - GMER 1.0.14 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                               aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                mouclass.sys (Driver Mouse Class/Microsoft Corporation)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                              aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                              aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                            aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \FileSystem\Fastfat \Fat                                                               aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

---- EOF - GMER 1.0.14 ----

Grazie

**Chill-Out** · 22-02-2008, 00:26

Me lo alleghi il log di Combo

Edit: + log di Prevx Csi

cionci · 22-02-2008, 00:30

Ecco qua:

Combofix

Che tipo di rootkit è ? Da dove è stato preso secondo te ?

**Chill-Out** · 22-02-2008, 00:35

Quote:

Che tipo di rootkit è ? Da dove è stato preso secondo te ?

aspette che lo chiedo alla sfera di cristallo

non è finita allega intanto un log di questo tool nel frattempo mi controllo per bene il log di Combo http://noahdfear.geekstogo.com/FindAWF.exe

ma che ci fate co stò PC

cionci · 22-02-2008, 00:44

Ma che ne so...è di una famiglia di conoscenti

**Chill-Out** · 22-02-2008, 00:49

Quote:

Originariamente inviato da cionci

Ma che ne so...è di una famiglia di conoscenti

me lo posti il log del tool indicato, che vediamo di andare a dormire

cionci · 22-02-2008, 00:50

Codice:

  Find AWF report by noahdfear ©2006
               Version 1.40



  bak folders found
  ~~~~~~~~~~~

 Il volume nell'unit… C Š ACER
 Numero di serie del volume: 2629-16F0

 Directory di C:\WINDOWS\SYSTEM32\BAK

08/04/2003  12.00            13.312 ctfmon.exe
               1 File         13.312 byte
               2 Directory  20.462.010.368 byte disponibili
 Il volume nell'unit… C Š ACER
 Numero di serie del volume: 2629-16F0

 Directory di C:\PROGRA~1\LAUNCH~1\BAK

19/03/2004  19.37           290.816 QtZiAcer.EXE
               1 File        290.816 byte
               2 Directory  20.462.010.368 byte disponibili
 Il volume nell'unit… C Š ACER
 Numero di serie del volume: 2629-16F0

 Directory di C:\PROGRA~1\QUICKT~1\BAK

01/11/2005  11.23            77.824 qttask.exe
               1 File         77.824 byte
               2 Directory  20.462.010.368 byte disponibili
 Il volume nell'unit… C Š ACER
 Numero di serie del volume: 2629-16F0

 Directory di C:\PROGRA~1\MSNMES~1\BAK

               0 File              0 byte
               2 Directory  20.462.010.368 byte disponibili
 Il volume nell'unit… C Š ACER
 Numero di serie del volume: 2629-16F0

 Directory di C:\PROGRA~1\SYNAPT~1\SYNTP\BAK

18/04/2003  15.20           610.304 SynTPEnh.exe
18/04/2003  14.36           110.592 SynTPLpr.exe
               2 File        720.896 byte
               2 Directory  20.462.010.368 byte disponibili
 Il volume nell'unit… C Š ACER
 Numero di serie del volume: 2629-16F0

 Directory di C:\PROGRA~1\CYBERL~1\POWERDVD\BAK

21/10/2003  11.52            40.960 PDVDServ.exe
               1 File         40.960 byte
               2 Directory  20.462.010.368 byte disponibili
 Il volume nell'unit… C Š ACER
 Numero di serie del volume: 2629-16F0

 Directory di C:\PROGRA~1\ALWILS~1\AVAST4\BAK

15/01/2007  18.28           108.160 ashDisp.exe
               1 File        108.160 byte
               2 Directory  20.462.010.368 byte disponibili
 Il volume nell'unit… C Š ACER
 Numero di serie del volume: 2629-16F0

 Directory di C:\PROGRA~1\SKYPE\PHONE\BAK

19/04/2005  16.10        13.261.992 Skype.exe
               1 File     13.261.992 byte
               2 Directory  20.462.010.368 byte disponibili
 Il volume nell'unit… C Š ACER
 Numero di serie del volume: 2629-16F0

 Directory di C:\PROGRA~1\SCANSOFT\OMNIPA~1.0\BAK

21/03/2006  13.19            69.632 OpwareSE4.exe
               1 File         69.632 byte
               2 Directory  20.462.010.368 byte disponibili
 Il volume nell'unit… C Š ACER
 Numero di serie del volume: 2629-16F0

 Directory di C:\PROGRA~1\FILECO~1\MICROS~1\WORKSS~1\BAK

10/06/2003  18.48            50.688 WkUFind.exe
               1 File         50.688 byte
               2 Directory  20.462.010.368 byte disponibili
 Il volume nell'unit… C Š ACER
 Numero di serie del volume: 2629-16F0

 Directory di C:\PROGRA~1\FILECO~1\SCANSO~1\SSBKGD~1\BAK

30/09/2003  00.14           155.648 SSBkgdupdate.exe
               1 File        155.648 byte
               2 Directory  20.462.010.368 byte disponibili
 Il volume nell'unit… C Š ACER
 Numero di serie del volume: 2629-16F0

 Directory di C:\PROGRA~1\JAVA\J2RE14~1.2_0\BIN\BAK

19/08/2003  17.23            32.873 jusched.exe
               1 File         32.873 byte
               2 Directory  20.462.010.368 byte disponibili


  Duplicate files of bak directory contents
  ~~~~~~~~~~~~~~~~~~~~~~~

     15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
     13312  8 Apr 2003 "C:\WINDOWS\system32\bak\ctfmon.exe"
    290816 19 Mar 2004 "C:\Programmi\Launch Manager\bak\QtZiAcer.EXE"
    286720 29 Jun 2007 "C:\Programmi\QuickTime\QTTask.exe"
     77824  1 Nov 2005 "C:\Programmi\QuickTime\bak\qttask.exe"
    110592 18 Apr 2003 "C:\Programmi\Synaptics\SynTP\Media\SYNTPLPR.EXE"
    110592 18 Apr 2003 "C:\Programmi\Synaptics\SynTP\bak\SynTPLpr.exe"
    610304 18 Apr 2003 "C:\Programmi\Synaptics\SynTP\Media\SYNTPENH.EXE"
    610304 18 Apr 2003 "C:\Programmi\Synaptics\SynTP\bak\SynTPEnh.exe"
     40960 21 Oct 2003 "C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe"
     79224  4 Dec 2007 "C:\Programmi\Alwil Software\Avast4\ashDisp.exe"
    108160 15 Jan 2007 "C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe"
  23233576  8 Jun 2007 "C:\Programmi\Skype\Phone\Skype.exe"
  13261992 19 Apr 2005 "C:\Programmi\Skype\Phone\bak\Skype.exe"
     69632 21 Mar 2006 "C:\Programmi\ScanSoft\OmniPageSE4.0\bak\OpwareSE4.exe"
     50688 10 Jun 2003 "C:\Programmi\File comuni\Microsoft Shared\Works Shared\bak\WkUFind.exe"
    155648 30 Sep 2003 "C:\Programmi\File comuni\ScanSoft Shared\SSBkgdUpdate\bak\SSBkgdupdate.exe"
     32873 19 Aug 2003 "C:\Programmi\Java\j2re1.4.2_01\bin\bak\jusched.exe"


  end of report

Devo eliminarli ?
Ora ricontrollo con PrevX

cionci · 22-02-2008, 00:55

Abbiamo cantato vittoria troppo presto ? PrevX me lo ritrova, ed ora trova anche un altro malware. swreg.exe.
Un attimo che allego il file...

21-02-2008, 23:44	#29
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Anche il log di Gmer, thx. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

22-02-2008, 00:26	#34
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Me lo alleghi il log di Combo Edit: + log di Prevx Csi __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier. Ultima modifica di Chill-Out : 22-02-2008 alle 00:28.

21-02-2008, 22:57	#23
cionci Senior Member Iscritto dal: Apr 2000 Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29 Messaggi: 53971	Non mi elimina Vcbp29.sys Error 0x00000010 Ora provo a riavviare e scarico Virit.

21-02-2008, 23:03	#25
cionci Senior Member Iscritto dal: Apr 2000 Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29 Messaggi: 53971	Dopo il riavvio gli altri servizi non sono tornati, ma ho il sospetto che non fossero più attivi (un riga del log diceva "missing" sui file), lo spambot è sempre attivo. Provo questo virit.

21-02-2008, 23:16	#26
cionci Senior Member Iscritto dal: Apr 2000 Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29 Messaggi: 53971	Virit non ha ancora finito, ma ci è passato sopra senza segnalare niente. Panda rilevava quel file, dite che posso rimuoverlo con Panda anche se non riconosceva il tipo di rootkit (unknown) ?

21-02-2008, 23:49	#30
cionci Senior Member Iscritto dal: Apr 2000 Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29 Messaggi: 53971	Stavo finendo, ho preferito inviare il messaggio perché prima mi si è piantato gmer log gmer Grazie

22-02-2008, 00:13	#32
cionci Senior Member Iscritto dal: Apr 2000 Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29 Messaggi: 53971	Sembra e dico sembra che non invii più spam Ora faccio una scansione con gmer. Che roba era ?

22-02-2008, 00:30	#35
cionci Senior Member Iscritto dal: Apr 2000 Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29 Messaggi: 53971	Ecco qua: Combofix Che tipo di rootkit è ? Da dove è stato preso secondo te ?

22-02-2008, 00:44	#37
cionci Senior Member Iscritto dal: Apr 2000 Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29 Messaggi: 53971	Ma che ne so...è di una famiglia di conoscenti

22-02-2008, 00:55	#40
cionci Senior Member Iscritto dal: Apr 2000 Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29 Messaggi: 53971	Abbiamo cantato vittoria troppo presto ? PrevX me lo ritrova, ed ora trova anche un altro malware. swreg.exe. Un attimo che allego il file...

Strumenti
Mostra una versione stampabile Invia questa pagina per email