infezione TR/Rootkit.gen

[elle_di]

Ciao a tutti! è la prima volta che salgo su questo forum e questo é il mio primo post, spero di non aver infranto troppe regole!

il mio problema é un TR/Rootkit.Gen , ieri avira l'ha trovato in C:\windows\system32\drivers però non riesce a eliminarlo, ho provato a rifare la scansione dopo aver riavviato il pc ma niente.

Sono in Erasmus e senza i dischi di ripristino, quindi ho cercato su internet come risolvere il problema e vi ho incontrato . Premetto che il virus non mi da problemi evidenti (l'antivirus funziona, il pc non si riavvia per i conti suoi e non ho notato nulla di strano), cmq dopo aver letto alcuni post ho scaricato Kaspersky Rescue Disk, ora sta facendo la scansione (in realtá é piú di tre ore che lavora e non ha ancora finito). Le mie domande sono: ho fatto bene a usare kaspesky e se si, potete dare un'occhiata al rapporto, non vorrei calcellare qualche "falsopositivo".

Grazie mille per la disponibilitá

Luca

[Chill-Out]

Segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

[elle_di]

ancora una cosa,
visto che la scansione con Kaspersky rescue disk sta durando un macello, è 5 ore che lavora e credo che prima di mezzanotte non finirà (e`normale??), posso iniziare a postare il suo rapporto? oppure vi servono necessariamente anche i rapporti con tutti gli altri programmi?
Gracias!

Luca

[Chill-Out]

Quote:

Originariamente inviato da elle_di

ancora una cosa,
visto che la scansione con Kaspersky rescue disk sta durando un macello, è 5 ore che lavora e credo che prima di mezzanotte non finirà (e`normale??), posso iniziare a postare il suo rapporto? oppure vi servono necessariamente anche i rapporti con tutti gli altri programmi?
Gracias!

Luca

Si i tempi possono essere lunghi, al termine puoi allegare il Report come sopra indicato.

[elle_di]

Eccomi , credo sia valsa la pena di aspettare 20 ore perchè finisse lo scan,
kasperskye ha trovato il rootkit che avira non riusciva a eliminare e un altro virus di cui non sapevo l'esistenza.
Il log è talmente corto che ve lo posto direttamente qui sotto:


Scan: completed 3/4/10 8:49 AM (events: 6, objects: 296585, time: 19:38:17)
3/3/10 1:11 PM Task started
3/3/10 9:00 PM Detected: Packed.Win32.Krap.ar /discs/D:/Users/Luca/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/winesm32.exe
3/3/10 9:00 PM Deleted: Packed.Win32.Krap.ar /discs/D:/Users/Luca/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/winesm32.exe
3/3/10 11:24 PM Detected: Rootkit.Win32.Agent.aioy /discs/D:/Windows/System32/drivers/lwlcmd.sys
3/3/10 11:24 PM Deleted: Rootkit.Win32.Agent.aioy /discs/D:/Windows/System32/drivers/lwlcmd.sys
3/4/10 8:49 AM Task completed

Per eliminarli definitivamente aspetto una vostra conferma.
Grazie mille per l'aiuto!

Luca

[Chill-Out]

Quote:

Originariamente inviato da elle_di

Eccomi , credo sia valsa la pena di aspettare 20 ore perchè finisse lo scan,
kasperskye ha trovato il rootkit che avira non riusciva a eliminare e un altro virus di cui non sapevo l'esistenza.
Il log è talmente corto che ve lo posto direttamente qui sotto:


Scan: completed 3/4/10 8:49 AM (events: 6, objects: 296585, time: 19:38:17)
3/3/10 1:11 PM Task started
3/3/10 9:00 PM Detected: Packed.Win32.Krap.ar /discs/D:/Users/Luca/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/winesm32.exe
3/3/10 9:00 PM Deleted: Packed.Win32.Krap.ar /discs/D:/Users/Luca/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/winesm32.exe
3/3/10 11:24 PM Detected: Rootkit.Win32.Agent.aioy /discs/D:/Windows/System32/drivers/lwlcmd.sys
3/3/10 11:24 PM Deleted: Rootkit.Win32.Agent.aioy /discs/D:/Windows/System32/drivers/lwlcmd.sys
3/4/10 8:49 AM Task completed

Per eliminarli definitivamente aspetto una vostra conferma.
Grazie mille per l'aiuto!

Luca

Procedi pure

[elle_di]

ultimo problemino:
seguendo le istruzioni della guida non riesco a cancellare la cartella di kaspersky, la guida dice:

"... puoi procedere all'eliminazione dei file che lascia nella cartella C:\Documents and Settings\All Users\Application Data\/Kaspersky Lab
Per raggiungerla fai Start -> Esegui -> copia/incolla "%allusersprofile%\Application Data" (compreso di virgolette) e cancella la cartella Kaspersky Lab"

ho windows vista e forse è per questo, comunque non riesco trovare questa cartella:
- cercandola manulamente non trovo "Documents ans Settings" ;
- invece mettendo il comando in "esegui" mi da errore:
"impossibile accedere C:\program data\application data.
accesso negato."
(anche cercando manualmente "application data" non la trovo)

Cmq ho trovato in C: una cartella che si chiama "kl.files", devo cancellare questa?

[wjmat]

abilita la visualizzazione cartelle nascoste e cerca manualmente

[elle_di]

mmm ... è che sono già visibili le cartelle nascoste,
incomincio a cercare a caso cartelle con il nome "/Kaspersky lab" ?

[elle_di]

cmq la cartella "kl.files" che ho trovato in C potrebbe essere quella che cerco:
contiene due file di nome:
"kavrescue_sysinfo_2010_03_03.12_58_08"
"kavrescue_sysinfo_2010_03_04.11_32_09"

e le cartelle:
"report"
"qb"
"dskm_rd"
"data_rd"
"bases_rd"

e nella cartella qb ci sono solo due file con estensione .klq che potrebbero essere i due virus trovati ed eliminati , no?

[wjmat]

si è quella cartella, hanno modificato qualcosa da quando ho fatto la guida
procedi con la guida alla disinfezione, le rimozioni dei programmi si fanno alla fine

[elle_di]

Ok! grazie mille per l'aiuto,
la scansione con kaspersky l'ho già fatta e il log è già stato controllato, procedo con l'eliminazione e dovrei aver risolto il problema.
Grazie ancora!

Luca

[wjmat]

non basta la scansione di kasp, vedi tu se seguire quanti ti ha consigliato chill

[elle_di]

mmm credo che mi fermerò così,
vi ringrazio moltissimo per l'aiuto.

Luca

[wjmat]

vedi tu
ti consiglio solo il trattamento in firma per proteggere meglio il pc
ciao

[Gigizzu]

Stesso rootkit anche a me, che non riesce ad eliminare antivir!
Provo con il tool di avira per i rootkit cosa dite?
Altrimenti che dite procedo con la cancellazione forzata del rootkit?
Ho fatto la scansione con Prevx3.0 e mi chiede la licenza per eliminare quel rootkit!
C'è un tool di rimozione free?

[Chill-Out]

Quote:

Originariamente inviato da Gigizzu

Stesso rootkit anche a me, che non riesce ad eliminare antivir!
Provo con il tool di avira per i rootkit cosa dite?
Altrimenti che dite procedo con la cancellazione forzata del rootkit?
Ho fatto la scansione con Prevx3.0 e mi chiede la licenza per eliminare quel rootkit!
C'è un tool di rimozione free?

Segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

[Gigizzu]

Hai ragione chill-out ma non ho tempo... volevo solo qualcosa di rapido per eliminare quel rootkit!
Mi dai una mano...
Ho eseguito la rimozione manuale dei file indicati, il sistema alle altre scansioni risulta pulito!
Lo so che non è il massimo, appena ho tempo seguo tutta la procedura di disinfezione!
Ciao

[Chill-Out]

Quote:

Originariamente inviato da Gigizzu

Hai ragione chill-out ma non ho tempo... volevo solo qualcosa di rapido per eliminare quel rootkit!
Mi dai una mano...
Ho eseguito la rimozione manuale dei file indicati, il sistema alle altre scansioni risulta pulito!
Lo so che non è il massimo, appena ho tempo seguo tutta la procedura di disinfezione!
Ciao

Solo le prima 4 scansioni sono lunghe, in presenza di Rootkit è opportuno fare un controllo ad ampio spettro.

[MissF1]

Buongiorno a tutti!
Ieri Prevx Csi mi ha individuato la presenza di quest rootkit "akdkuy.sys" nella cartella C:\windows\system32\drivers......sia Avira che Malwarebytes lo riconoscono come TR\Rootkit.Gen ma nessuno dei due programmi riesce a rimuoverlo nè a spostarlo in quarantena.....ho provato anche con Killbox al riavvio e nulla di fatto......anche in modalità provvisoria nessun risultato!
Temo mi toccherà la trafila della guida alla disinfezione! sob!

Posto i risultati al più presto!
MissF1