[WINXP] File ntfs.sys infettato da trojan rootkit-pakes.M

[Chill-Out]

Quote:

Originariamente inviato da Archie

Ok, mi chiedevo se dovessi seguire la procedura dell'amico lust, eliminerei le minacce?

Se F-Secure rileva eventuali malware, eliminali.

[xcdegasp]

fatto quello che ti ha detto Chill-Out, fai:
fixa:

Codice:

O4 - HKUS\S-1-5-18\..\Run: [braviax]  (User 'SYSTEM')
O20 - AppInit_DLLs: cru629.dat

poi disinstalla avg e installa avira antivir persoanl, impostalo come descritto qui: http://www.hwupgrade.it/forum/showthread.php?t=1514684
e dopo averlo aggiornato fai una scansione completa del pc mettendo in quarantena tutto cio che trova

[Archie]

Ecco il log di f-secure dopo la scansione completa e relativa pulizia:

report_fsols_4_0.html

In più ho fixato le 2 voci indicate con hijackthis

[Chill-Out]

Ciao, disinstalla Combofix come indicato qui http://www.hwupgrade.it/forum/showpo...0&postcount=19 successivamento lo riscarichi http://download.bleepingcomputer.com/sUBs/ComboFix.exe e lo fai girare nuovamente, fatta questa operazione procedi così:

Scarica SDFix sul Desktop
Doppio click su SDFix.exe il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Aprire la cartella SDFix in C:\ e fare doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premere un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovreste visualizzare il messaggio "Finished"
Premere un tasto per terminare lo script e ricaricare le icone del desktop
Il log da allegare per il controllo sarà visualizzato automaticamente, altrimenti potrete trovarlo in C:\SDFix\Report.txt

Riepilogo log da allegare:
Combofix
SDFix
Nuovo log Prevx 3.0
Nuovo log HJT

[Archie]

log combofix:
ComboFix.txt

log SDFix:
Report.txt

log prevx 3:
log prevx.log

log hijackthis:
hijackthis.log



Ora prevx non indica più ntfs.sys come infetto però, ecco che c'è ne sono altri

[Chill-Out]

Per scrupolo, abilita la visualizzazione dei files nascosti

Quote:

Clicca su una cartella qualsiasi Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta su Visualizza cartelle e file nascosti - Togli la spunta da nascondi files protetti di sistema - Applica - OK

e controlla su http://virscan.org/ e http://www.virustotal.com/it/ i seguenti file:

c:\programmi\richcomm\powermanagerii\pmservice.exe

c:\documents and settings\proprietario\dati applicazioni\cososys\carryiteasy\carrylaunch.exe

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione

[Archie]

pmservice:
http://virscan.org/report/b0163fc4ea...ed4c33ec9.html

http://www.virustotal.com/it/analisi...953-1251211889

carrylaunch.exe:
http://virscan.org/report/b70610bcf3...94151a1b9.html

http://www.virustotal.com/it/analisi...d35-1251212051

Questi file sembrano puliti, solo prevx li indica come sospetti. Il pmservice è il software di gestione gruppo di continuità, il carryiteasy è un software per gestire i dati sulle pen-drive. Che ne devo fare?

Per quanto riguarda hgstartjp25.exe e grwinsthip.exe invece

[Chill-Out]

Infatti, come sopra indicato li abbiamo controllati per scrupolo, procedi così:

- Con il Browser chiuso esegui HJT clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sotto indicate voci e clicca su Fix checked

Quote:

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O16 - DPF: {076169AA-8C3D-4CFC-AC23-3ACA88FC21B5} (F-Secure Online Scanner Launcher) - hxxp://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - hxxp://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - hxxp://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {8D9E639C-110C-4F85-9067-3B97C0BDE9C0} (HGPluginJP25 Class) - hxxp://down.hangame.co.jp/jp/dist/hgstart/HGPluginJP25.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - hxxp://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {DB7BF79A-FC51-4B5A-92BC-A65731174380} (InstantAction Game Launcher) - hxxp://www.instantaction.com/download/iaplayer.cab

- Apri il Blocco note e copia ed incolla questa righe:

Quote:

File::
c:\windows\system32\grwinsthlp.exe
c:\windows\downloaded program files\hgstartjp25.exe

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt

Rieilogo log da allegare:
Combofix
Nuovo log Prevx

[Archie]

log combofix:
ComboFix.txt

log prevx:
log prevx.log


Ora sembra tutto a posto, a parte quegli avvisi di prevx che virus non sono.

[Chill-Out]

Tutto ok indipendetemente da Prexv, adesso segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 che ti aiuterà ad aggiornare, proteggere...etc il PC.

[Archie]

grazie infinite per la vostra disponibilità gratuità verso chi chiede aiuto, cosa che per il supporto tecnico di qualsiasi software non esiste!

Ora seguirò il trattamento post disinfezione.

[Chill-Out]

Quote:

Originariamente inviato da Archie

grazie infinite per la vostra disponibilità gratuità verso chi chiede aiuto, cosa che per il supporto tecnico di qualsiasi software non esiste!

Ora seguirò il trattamento post disinfezione.

Prego