[risolto][win XP] Scansione con antivir rootkit consiglio

[alvaruccio]

gmer sophos antyspyware antivir kaperskyonline oltre i cookie nn trovano nulla.ho provato anche l'antirootkit avira e vi allego lo scan

http://www.fileup.itadib.com/downloa...NH2zkTYdZM0hcT

in pratica a fine scansione escono quei due file(hidden result)in rosso ma nn me li fa cancellare o altro solo vederli....sapete cosa sono?

[Nuz]

Io non so cosa sono però farei così:

start->esegui->regedit

naviga fino a HKEY_USERS\S-1-5-21-839522115-562591055-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{6ACF79DB-489D-D271-2EDA-ABB45F0863A8}

poi tasto destro su {6ACF79DB-489D-D271-2EDA-ABB45F0863A8} e fai esporta, così hai una copia di backup.
Poi elimini le due voci:

ialpklmppokmbnlpli
habooiaochdefhoc

Se non noti nessun problema bene, altrimenti usa la copia di backup e rimetti tutto com'era.

[alvaruccio]

io ho paura nn parta piu windows
qualcuno sa cosa sono?

[Nuz]

Non credo che rischi tanto, non sono delle chiavi di registro essenziali, anzi non ci sono normalmente quelle voci. Sono state sicuramente aggiunte da qualche programma.

[Chill-Out]

Potresti allegare un log completo di Gmer

[alvaruccio]

ecco il log di gmer

http://fileup.itadib.com/download.ph...hDyNxZTiqrziv1

[Chill-Out]

Log completo come da immagine spuntanto tutti i campi a dx



clicca su copy e copi ed incolli il log nel bllocco note e lo alleghi

[alvaruccio]

lo fatto con l'ultima versione di gmer 1.0.14 spuntando tutti i campi.adesso lo rifaccio facendo copy in un file di testo....

[alvaruccio]

log fatto con gmer 1.0.14,tutta la colonna a destra spuntata.
cliccato su copy e poi incollato nel file di testo uppato

http://fileup.itadib.com/download.ph...iL3YQTlaaID4Fp

[lancetta]

hai il tea timer di spyboot attivo? così non fà accedere al registro per la cancellazione

[alvaruccio]

Quote:

Originariamente inviato da Nuz

Io non so cosa sono però farei così:

start->esegui->regedit

naviga fino a HKEY_USERS\S-1-5-21-839522115-562591055-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{6ACF79DB-489D-D271-2EDA-ABB45F0863A8}

poi tasto destro su {6ACF79DB-489D-D271-2EDA-ABB45F0863A8} e fai esporta, così hai una copia di backup.
Poi elimini le due voci:

ialpklmppokmbnlpli
habooiaochdefhoc

Se non noti nessun problema bene, altrimenti usa la copia di backup e rimetti tutto com'era.

ciao ho provato a fare come dici tu ma quando arrivo all'ultima cartella mi esce scritto
"impossibile apritre {6ACF79DB-489D-D271-2EDA-ABB45F0863A8} errore durante l'apertura della chiave"

ps si ho teatimer attivo!lo disattivo e rifaccio il log.....

[Chill-Out]

Dal log di gmer considerando la valenza del software non si evince nulla di particolare a parte questo:
System32\Drivers\an8zmg3m.SYS

ma riscontri problemi, se si di quale natura?

[alvaruccio]

Quote:

Originariamente inviato da Chill-Out

Dal log di gmer considerando la valenza del software non si evince nulla di particolare a parte questo:
System32\Drivers\an8zmg3m.SYS

ma riscontri problemi, se si di quale natura?

no nessun problema particolare

[lancetta]

hum....avocati i diritti per farlo dopo disattivato spyboot quando sei sulla voce clicchi col destro seleziona l'opzione "autorizzazioni", seleziona il tuo account e spunta la casella controllo completo nella colonna "consenti".Clik con destro->elimina

[alvaruccio]

http://fileup.itadib.com/download.ph...kuWlWVThSUpQXy

scansione fatta disattivando spybot e anche antivir per stare piu sicuri
speriamo vada bene!

[alvaruccio]

Quote:

Originariamente inviato da lancetta

hum....avocati i diritti per farlo dopo disattivato spyboot quando sei sulla voce clicchi col destro seleziona l'opzione "autorizzazioni", seleziona il tuo account e spunta la casella controllo completo nella colonna "consenti".Clik con destro->elimina

se faccio come dici sulla chiave in questione mi dice impossibile visualizzare le impostazione sulla protezione(ho disattivato spy bot e antivir)

[Nuz]

Quote:

Originariamente inviato da alvaruccio

se faccio come dici sulla chiave in questione mi dice impossibile visualizzare le impostazione sulla protezione(ho disattivato spy bot e antivir)

Potresti provare con RegASSASSIN. Lo avvii e inserisci prima ialpklmppokmbnlpli e poi habooiaochdefhoc al resto pensa lui.

http://www.malwarebytes.org/RegASSASSIN.exe

Prima però fai un punto di ripristino o un backup del registro.

[Nuz]

Accidenti con grande stupore stasera mi sono ritrovato delle chiavi di registro molto simili segnalate come rootkit da Avira (jaoaknbfloeapigbbjif e iamioceicnockmgolf). Non sono riuscito a capire quale software le abbia create.
Comunque resta la difficoltà nel rimuoverle.
Ho fatto le scansioni con gmer, avira rootkit, sophos, rootkitbuster, Mcafee Rootkit Detective, F-Secure blacklight, Panda Antirootkit, regrun reanimator e prevxcsi. Come per l'autore del thread solo avira li segnala come rootkit (allego il log), mentre in gmer non ci sono righe rosse. Però mostra la chiave di registro in rosso:



Log di gmer : Clicca qui per scaricare

Log di avira: Clicca qui per scaricare

La rimozione manuale non ha avuto successo, nemmeno in modalità provvisoria e nemmeno usando un cd di recovery (ubcd4win).
Non si possono modificare le autorizzazioni della chiave come aveva suggerito lancetta.
Ho provato con regassassins ma niente.
Ho provato anche l'utility per dos RegDelNull, ma non ha effetto.Ho tentato la rimozione con avenger, usando tutte e quattro le opzioni per il registro e anche in questo caso non si risolve.
Sono a corto di idee, qualcuno ha da proporre qualche altro tentativo?

[Chill-Out]

Nuz un log di gmer solo della sezione Autostart, thx.
Il fatto che solo Avira rilevi le chiavi come Hidden gioca a favore, il fatto che siano ineliminabili mi dà da pensare.

[Nuz]

Ecco il log. Intanto ho provato anche swreg.exe ma mi dice che la chiave non c'è.

Log autostart gmer: Clicca qui per scaricare