Service32.exe ovvero rootkit rognoso

[MadCow]

Ciao gente
solito PC del collega in pensione
e solita rottura di scatole preNatalizzia

il PC è infetto (era infettoda) dal Service32.exe un rootkit, segnalato dal "fantastico" Norton ma non lo rimuoveva e dopo questa segnalazione il PC andava in videata BLU bloccando il sistema
partendo in modalità provvisoria non è stato difficile trovare le sue istanze ed eliminarlo (almeno credo) sia dal hd che dal registro...

si è lasciato però una spiacevole coda: la videata BLU con blocca di sistema
dopo un minuto e 5 sec esatti (cronometrati) dall'inserimento username/password di avvio, si stente lhd ke carica brevemente qualcosa e subito dopo pc bloccato

in questo minuto e 5 sec io posso lasciare il PC a riposo farci girarare superPi, in pratica lo adope normalmente, ma passato quel tempo si blocca

dubito sia un problema hardware, ma dove lo trovo un progamma ke mi scovi un file ke non va in avvio al boot ma dopo X tempo?

avast (installato dopo) non rileva + nulla

thx
Caio

[FOXYLADY]

Se sei assolutamente sicuro di aver già eliminato service32.exe, vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema e fai un ulteriore controllo in windows per verificare l'eventuale presenza di uno di questi file
C:\WINDOWS\sys32exploer.dll
C:\WINDOWS\syst32.dll
C:\WINDOWS\syshost.dll
C:\WINDOWS\mdm32.dll
C:\WINDOWS\winsmgr32.dll
C:\WINDOWS\iexplore32.dll
C:\WINDOWS\spoolvs32.dll
C:\WINDOWS\623958248.exe o altro numero
C:\WINDOWS\iexplorre32.dll
C:\WINDOWS\lsas32.dll
C:\WINDOWS\svchost32.dll
C:\WINDOWS\sys32exploer.dll
C:\WINDOWS\winsyst32.exe
C\WINDOWS\scrss32.dll

nel caso eliminali.

Controlla anche se è presente questa chiave nel registro
HKEY_LOCAL_MACHINE\SOFTWARE\ 9F65E3H10M
(questa chiave è variabile.... ad esempio: 9P78Q3B10L, ma non e' detto che ci sia per forza).

Infine posta un log di hijackthis.

[MadCow]

wow thx

dll non le avevo cercate

stasera provo e poi t dico

thx
Ciao

[MadCow]

eccomi allora
sul registo questa kiave HKEY_LOCAL_MACHINE\SOFTWARE\"numeroelettereinsequenza"
l'ho trovata (iniziava per 8*****) e deliminata, ma non è servito

con il lo di hijackthis fatto analizzare dal sito...
l'unico provesso sospetto è
C:\PROGRA~1\Motive\ASSTCO~1\MOTIVE~1.EXE
ke ho rimosso ma non ha cambiato la situazione

cmq il log è questo

Logfile of HijackThis v1.99.1
Scan saved at 18.53.32, on 19/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avast4\aswUpdSv.exe
C:\Programmi\Avast4\ashServ.exe
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Documents and Settings\Madcow\Desktop\HijackThis.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Avast4\ashMaiSv.exe
C:\Programmi\Avast4\ashWebSv.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe

ke faccio format C:

thx a tutti
Ciao

[FOXYLADY]

Prima di formattare, prova ad installare e fare una scansione con prevx
http://www.prevx.com/
dovrebbe ripulirti dei residui dell'infezione.
Nel caso anche ciò non funzionasse dovresti scaricare questo
http://www.mytempdir.com/1088004
e postarne il log, io non ho molta esperienza nell'analizzare questo tipo di log, ma magari qualcun'altro ti suggerirà cosa fare

[MadCow]

thx per le info

ma ho già finito di istalalre win

pultroppo o le diagnosi virus le fai tutti i giorni..
o con 2 orette ricariki l'SO

thx Ciao

cmq spero ke poi alla fine non si aun problem hw