Rootkit.Win32.Agent.go soluzioni???

[Jekana]

Conoscevamo già il famoso Rootkit con le sue varianti:

Rootkit.Win32.Agent.h
Rootkit.Win32.Agent.ea
Rootkit.Win32.Agent.ab
Rootkit.Win32.Agent.p
ecc.....

Ma dal 6 luglio sembra arrivato il Rootkit.Win32.Agent.go!

Io l'ho preso con tutte le difese già belle e piazzate nel pc e vi dico che è un bel divertimento averlo come ospite. Il 6 e il 7 luglio nessun sito in internet parlava di questa variante. Adesso si incomincia a parlare. Bene...il trojan-fantasma mi viene rilevato da Kav in avvio su due file posizionati in System32, ma non li cancella...a volte invece le sys segnalate Kav ti dice che non li può rimuovere e invece poi facendo una verifica non li trovi più nella cartella system per poi riapparire quando gli pare...in realtà ci sono sempre.
Le prime mosse del troiano sono state: non rottura ma disattivazione dell'aggiornamento dell'antivirus, il firewall non si attivava più in modo da avere campo libero e collegarsi all'esterno. Subito dopo ho subito danni a office che mi chiedeva di inserire di nuovo il cd di istallazione, e così con altri programmi.
Dopo aver ripristinato il firewall e l'antivirus, gli ultimi aggiornamenti di kav rilevano come prima ma non rimuovono, mentre il firewall grazie al mio ospite riceve attacchi in entrata. Ho provato per risolvere il problema:

- A2 asquared con nessun risultato pur essendo di solito efficace
- Un tool di rimozione della sophos adatto proprio per il Rootkit ma nemmeno lo
rivela...forse perchè non è aggiornato
- Un tool della microsoft adatto per Rootkit ...nessuna rilevazione
- Il programma adatto Rootkit Revealer che serve solo a rilevarlo con nessun
risultato
- Gromzon che non lo rileva
- Gmer adatto per Rootkit che non è servito a nulla
- Counter Spy tra i primi 3 anti malware del mondo che mi ha rimosso un trojan
di pericolosità bassa e cmq non rootkit o file di esso e un cookie
- HijackThis log fatto e controllato e fatto controllare...nessun file sospetto

Ho scaricato guide di rimozioni chiavi dei Rootkit che però sono tutte informative su Rootkit con estenzioni diverse infatti quelle chiavi che mi si dice di cancellare non le trovo sotto quel nome.
L'unico vantaggio lo avuto quando da solo ho deciso di rimuovere le chiavi uscite sul log di HijackThis a istinto mio. Ecco che ho avuto una trega du 2 giorni, niente più problemi sul pc dunque disinstallo tutti i programmi danneggiati ..faccio una bella pulizia con programma adatto e reinstallo i programmi. Un bel casino...a quel punto...dopo un po di tempo senza entrare minimamente in internet accento il pc ed ecco rispuntare il troiano ...rilevati in avvio sempre da kav sempre stesso nome e sempre stessa posizione. E' inutile dire che la disattivazione del ripristino di sistema era già stata disattivata dall'inizio...come pure è inutile dire che ho provato la scansione in modalità provvisoria.
Adesso che vi ho annoiati con tutte queste chiacchiere vi chiedo...c'è una soluzione che non sia la formattazione????????

Grazie a tutti voi.

[wizard1993]

uno c'è la sezione delle infezioni; due prova con l'antirootkit di bitdefender, panda, trendmicro; e infine rootkit unhooker

[Jekana]

Quote:

Originariamente inviato da wizard1993

uno c'è la sezione delle infezioni; due prova con l'antirootkit di bitdefender, panda, trendmicro; e infine rootkit unhooker

Uno forse volevi dire "RootKit Hook Analyzer", ....due grazie, ....tre sei stato gentilissimo... ti farò sapere se uno di questi funziona.

[wizard1993]

no rootkit unhooker
http://rkunhooker1.narod.ru/

[juninho85]

l'utilità di avere uno o più HIPS installati sul proprio pc....
avresti mica una copia di questo simpatico giocattolino?

[wizard1993]

Quote:

Originariamente inviato da juninho85

l'utilità di avere uno o più HIPS installati sul proprio pc....
avresti mica una copia di questo simpatico giocattolino?

anche io sono interessato

[mausap]

prova a controllare anche con darkspy e icesword

Ma hai l'ultima versione di gmer?

Bel casino comunque.

La cosa è molto interessante. Dacci tutte le informazioni possibili

[Chill-Out]

Utilizzi per caso Spyware Doctor PCTools?

[xcdegasp]

pure a me successo... dal 09/07/2007 antivir mi segnala:

Quote:

C:\System Volume Information\_restore{8B7A22D4-A76E-4996-8147-5F0473E9EDE1}\RP10\A0001468.sys
[DETECTION] Contains signature of the rootkit RKIT/Agent.GO
[WARNING] An error has occurred and the file was not deleted. ErrorID: 16003
[WARNING] The file could not be deleted!
C:\WINDOWS\system32\drivers\mchInjDrv.VIR
[DETECTION] Contains signature of the rootkit RKIT/Agent.GO
[INFO] The file was moved to '46fa2194.qua'!

la cosa strana è che lo trova nel notebook che uso solo nella lan aziendale e a casa ma mai su siti poco sicuri..
di anomalie nel pc non ne trovo, tutto funziona correttamente.
fino a ieri pensavo fosse un falso positivo

[GmG]

Quote:

Originariamente inviato da xcdegasp

pure a me successo... dal 09/07/2007 antivir mi segnala:



la cosa strana è che lo trova nel notebook che uso solo nella lan aziendale e a casa ma mai su siti poco sicuri..
di anomalie nel pc non ne trovo, tutto funziona correttamente.
fino a ieri pensavo fosse un falso positivo

Penso che sia un falso positivo

http://forum.antivir-pe.de/thread.php?threadid=24120

[xcdegasp]

grande GmG, efettivamente ieri non lo ho collegato ad internet per aggiornare le firme..

[GmG]

Quote:

Originariamente inviato da xcdegasp

grande GmG, efettivamente ieri non lo ho collegato ad internet per aggiornare le firme..

Buona fortuna, 7 Mb di aggiornamento

[xcdegasp]

Quote:

Originariamente inviato da GmG

Buona fortuna, 7 Mb di aggiornamento

ho l'adsl
devo anche aggiornare sto winxp

[Riverside]

Quote:

Originariamente inviato da Jekana

Adesso che vi ho annoiati con tutte queste chiacchiere vi chiedo...c'è una soluzione che non sia la formattazione?

Prova con Virit (i W32, di norma, li scova e li rimuove tutti).
Il link per il download:
http://www.tgsoft.it/italy/index_ita.html

Quote:

Originariamente inviato da xcdegasp

pure a me successo... dal 09/07/2007 antivir mi segnala ....... fino a ieri pensavo fosse un falso positivo.

Infatti così parrebbe: ti riporto il testo di un comunicato rilasciato da Avira, sulla questione.

"The AntiVir false positive which affected the "Ashampoo AntiSpyware" is fixed by now.
If your system is affected by this, please perform a update of the virus definiton file immediately.
For your information:
The following false positive was detected:
"RKit/Agent.GO" in C\Windows\system32\drivers\mchInjDrv.sys
This false positive is fixed by the latest virus definition file."
Best Regards

Oliver Grbavac
Personal Support
Avira GmbH

[Riverside]

La funzione di inserimento del collegamento ipertestuale non funziona??
In ogni caso, complimenti, davvero un bel forum.

[c.m.g]

Quote:

Originariamente inviato da Riverside

La funzione di inserimento del collegamento ipertestuale non funziona??
In ogni caso, complimenti, davvero un bel forum.

perchè non funziona? a me si.
fai una struttura del genere:

parentesi quadra aperta URL parentesi quadra chiusa link parentasi quadra aperta/url parentesi quadra chiusa

[Jekana]

Quote:

Originariamente inviato da juninho85

l'utilità di avere uno o più HIPS installati sul proprio pc....
avresti mica una copia di questo simpatico giocattolino?

Ero fornito di programmi HIPS e tutte le impostazioni del pc erano al massimo di protezione e prevenzione...da dove è spuntato? Non lo so. Lo capirò.
Però devo dire che questa versione è veramente una bella variante, sophos l'ha definito un rootkit "intelligente" in un articolo. E' vero!

[juninho85]

Quote:

Originariamente inviato da Jekana

Ero fornito di programmi HIPS e tutte le impostazioni del pc erano al massimo di protezione e prevenzione...da dove è spuntato? Non lo so. Lo capirò.
Però devo dire che questa versione è veramente una bella variante, sophos l'ha definito un rootkit "intelligente" in un articolo. E' vero!

che HIPS c'hai?hai provato con hikacktis,gmer...insomma le baggianate del caso?

[Jekana]

Quote:

Originariamente inviato da xcdegasp

pure a me successo... dal 09/07/2007 antivir mi segnala

fino a ieri pensavo fosse un falso positivo

Perfetto !!! Anche a me dava il primo file infetto: C:\WINDOWS\system32\drivers\mchInjDrv.vir però il tuo è un punto vir il mio
invece me lo da con .sys comunque stessa posizione e sicuramente visto i danni intelligenti che ha fatto e la sua capacità di sparire e riapparire anche dopo 2...3 ....riavvii...sicuramente non si può confondere con un falso positivo.

[Jekana]

Quote:

Originariamente inviato da juninho85

che HIPS c'hai?hai provato con hikacktis,gmer...insomma le baggianate del caso?

si...certo...tranquillo sono fornito...ma la prevenzione non è servita.