Olimpo Informatico

[Smjert]

AiAi hai un rootkit.

Scarica Avenger e decomprimilo sul desktop.

Avvialo.
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte qui sotto:

[titti83]

Questo è il risultato di suspectfile :



http://www.freefilehosting.net/download/NDA4Njk=


Per quanto riguarda il log di Avenger non l'ho trovato.. ho provato anche con l'opzione cerca , ma mi trova solo una cartella in c:\ che non contiene file .txt.. boh devo riprovare con Avenger??

[titti83]

ho riprovato con avenger, ma dopo aver fatto la scansione con suspectfile ed ecco il log :

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 0


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\okxipptj

*******************

Script file located at: \??\C:\Documents and Settings\vmdjykhs.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\System32\Drivers\akx7iuny.SYS not found!
Deletion of file C:\WINDOWS\System32\Drivers\akx7iuny.SYS failed!

Could not process line:
C:\WINDOWS\System32\Drivers\akx7iuny.SYS
Status: 0xc0000034

File C:\WINDOWS\System32\Drivers\jfdcd.sys deleted successfully.
Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.

[Smjert]

Hai un po' di file sospetti..

Clicca con li destro su questo file C:\auobcnnf.bat e poi vai su Modifica (ti si aprirà una finestra blocco note), copiami qua quello che c'è scritto (forse è di avenger, ma meglio essere sicuri).

Carica poi questo file C:\WINDOWS\system32\drivers\aefdirmm.sys su http://www.virustotal.com/it/ (clicca Sfoglia, seleziona il file e poi Invia File, aspetta che tutti gli antivirus abbiano fatto la scansione poi posta il risultato).
Stessa cosa con C:\WINDOWS\system32\akrip32.dll

Se non riesci a vedere quei file:

Apri una cartella qualunqua, clicca su Strumenti->Opzioni cartella->Visualizzazione->metti la spunta su "Visualizza file e cartelle nascosti", poi più sotto togli la spunta a "Nascondi i file protetti di sistema".
Applica poi OK.

[titti83]

allora da auobcnnf.bat:


@ECHO OFF
cd %systemdrive%\
type %systemdrive%\avenger\*.reg >> %systemdrive%\backup.reg
del /q %systemdrive%\avenger\*.reg
if exist %systemdrive%\avenger\backup*.zip move /y %systemdrive%\avenger\backup*.zip %systemdrive%\
if exist %systemdrive%\backup.zip move /y %systemdrive%\backup.zip "%systemdrive%\backup-%date:/=.%-%time::=.%.zip"
move /y backup.reg %systemdrive%\avenger\
copy /y avenger.txt %systemdrive%\avenger\
for %%a in (c d e f g h i j k l m n o p q r s t u v w x y z) do if exist %%a:\avenger attrib -r -h -s %%a:\avenger\* /S /D & zip -r -u -m "%systemdrive%\backup.zip" %%a:\avenger\* & rmdir /q /s %%a:\avenger
mkdir %systemdrive%\avenger
move /y backup*.zip %systemdrive%\avenger\
del zip.exe
del avexport.bat
del reboot.exe
del reboot.bat

echo REGEDIT4 >> rem.reg
echo. >> rem.reg
echo [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] >> rem.reg


echo "vynobwpg"=- >> rem.reg
regedit.exe /s rem.reg
del rem.reg
del C:\WINDOWS\system32\drivers\aefdirmm.sys
start notepad.exe avenger.txt
del "C:\auobcnnf.bat"

[titti83]

risultato del primo :

File has already been analysed:
MD5: 4ad5d5229f85f42e873fda98190b2f19
Date: 2007.11.15 00:11:41 (CET) [>10D]
Results: 1/32
Permalink: resultado.html?0097c43c2f9cf707c073dac44be2e316

[titti83]

File akrip32.dll ricevuto il 2007.11.25 15:46:49 (CET)



Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2007.11.24.0 2007.11.23 -
AntiVir 7.6.0.34 2007.11.23 -
Authentium 4.93.8 2007.11.24 -
Avast 4.7.1074.0 2007.11.23 -
AVG 7.5.0.503 2007.11.24 -
BitDefender 7.2 2007.11.25 -
CAT-QuickHeal 9.00 2007.11.24 -
ClamAV 0.91.2 2007.11.25 -
DrWeb 4.44.0.09170 2007.11.25 -
eSafe 7.0.15.0 2007.11.21 -
eTrust-Vet 31.3.5324 2007.11.24 -
Ewido 4.0 2007.11.25 -
FileAdvisor 1 2007.11.25 -
Fortinet 3.14.0.0 2007.11.25 -
F-Prot 4.4.2.54 2007.11.23 -
F-Secure 6.70.13030.0 2007.11.24 -
Ikarus T3.1.1.12 2007.11.25 -
Kaspersky 7.0.0.125 2007.11.25 -
McAfee 5170 2007.11.23 -
Microsoft 1.3007 2007.11.25 -
NOD32v2 2684 2007.11.25 -
Norman 5.80.02 2007.11.23 -
Panda 9.0.0.4 2007.11.25 -
Prevx1 V2 2007.11.25 -
Rising 20.19.61.00 2007.11.25 -
Sophos 4.23.0 2007.11.25 -
Sunbelt 2.2.907.0 2007.11.24 -
Symantec 10 2007.11.25 -
TheHacker 6.2.9.141 2007.11.24 -
VBA32 3.12.2.5 2007.11.23 -
VirusBuster 4.3.26:9 2007.11.24 -
Webwasher-Gateway 6.0.1 2007.11.25 -
Informazioni addizionali
File size: 39810 bytes
MD5: 472a45a54f4720a2a0745dc49118ab12
SHA1: b7fe37f1d6a68c2d70ccb929dfcb27c25bf2c81a
packers: UPX
packers: UPX
packers: UPX



aiuto cosa ho sbagliato?

[Smjert]

Mi sa che hai fatto casino con le scansioni su virustotal, prova a rifare l'upload di quel file .sys (ma cmq ti segnava qualche risultato in rosso?).

[titti83]

Ecco l'ho rifatto.. non so se è giusto fare così :(qui' c'è un risultato in rosso)


Antivirus Version Last Update Result
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - BlockReason.0



o così :


Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2007.11.24.0 2007.11.23 -
AntiVir 7.6.0.34 2007.11.23 -
Authentium 4.93.8 2007.11.24 -
Avast 4.7.1074.0 2007.11.23 -
AVG 7.5.0.503 2007.11.24 -
BitDefender 7.2 2007.11.25 -
CAT-QuickHeal 9.00 2007.11.24 -
ClamAV 0.91.2 2007.11.25 -
DrWeb 4.44.0.09170 2007.11.25 -
eSafe 7.0.15.0 2007.11.21 -
eTrust-Vet 31.3.5324 2007.11.24 -
Ewido 4.0 2007.11.25 -
FileAdvisor 1 2007.11.25 -
Fortinet 3.14.0.0 2007.11.25 -
F-Prot 4.4.2.54 2007.11.23 -
F-Secure 6.70.13030.0 2007.11.24 -
Ikarus T3.1.1.12 2007.11.25 -
Kaspersky 7.0.0.125 2007.11.25 -
McAfee 5170 2007.11.23 -
Microsoft 1.3007 2007.11.25 -
NOD32v2 2684 2007.11.25 -
Norman 5.80.02 2007.11.23 -
Panda 9.0.0.4 2007.11.25 -
Prevx1 V2 2007.11.25 -
Rising 20.19.61.00 2007.11.25 -
Sophos 4.23.0 2007.11.25 -
Sunbelt 2.2.907.0 2007.11.24 -
Symantec 10 2007.11.25 -
TheHacker 6.2.9.141 2007.11.24 -
VBA32 3.12.2.5 2007.11.23 -
VirusBuster 4.3.26:9 2007.11.25 -
Webwasher-Gateway 6.0.1 2007.11.25 -
Informazioni addizionali
File size: 60416 bytes
MD5: 4ad5d5229f85f42e873fda98190b2f19
SHA1: 7e1bc7c4f0324c0ad58b829b2524e0cb617ef158

[Smjert]

Cosa vuol dire è giusto così o così?

Mi sto perdendo...
Cosa hai fatto per avere quei due risultati?

[titti83]

dunque una volta che stavo su virustotal ho fatto l'upload del file e poi avevo due bottoni : show last report e reanalyse file now... li ho provati tutti e due e quelli sono i due risultati..boh

[Smjert]

Ma una volta fatto l'upload del file devi aspettare... finchè non c'è scritto Finished (o Finito).
Dopodichè ti basta selezionare le righe e copiarmele qua.

[titti83]

va bene così???


File aefdirmm.sys ricevuto il 2007.11.26 13:55:48 (CET)

Risultato: 0/32 (0%)


Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2007.11.24.0 2007.11.26 -
AntiVir 7.6.0.34 2007.11.26 -
Authentium 4.93.8 2007.11.24 -
Avast 4.7.1074.0 2007.11.25 -
AVG 7.5.0.503 2007.11.25 -
BitDefender 7.2 2007.11.26 -
CAT-QuickHeal 9.00 2007.11.24 -
ClamAV 0.91.2 2007.11.26 -
DrWeb 4.44.0.09170 2007.11.26 -
eSafe 7.0.15.0 2007.11.21 -
eTrust-Vet 31.3.5327 2007.11.26 -
Ewido 4.0 2007.11.26 -
FileAdvisor 1 2007.11.26 -
Fortinet 3.14.0.0 2007.11.26 -
F-Prot 4.4.2.54 2007.11.25 -
F-Secure 6.70.13030.0 2007.11.26 -
Ikarus T3.1.1.12 2007.11.26 -
Kaspersky 7.0.0.125 2007.11.26 -
McAfee 5170 2007.11.23 -
Microsoft 1.3007 2007.11.26 -
NOD32v2 2686 2007.11.26 -
Norman 5.80.02 2007.11.26 -
Panda 9.0.0.4 2007.11.25 -
Prevx1 V2 2007.11.26 -
Rising 20.20.02.00 2007.11.26 -
Sophos 4.23.0 2007.11.26 -
Sunbelt 2.2.907.0 2007.11.24 -
Symantec 10 2007.11.26 -
TheHacker 6.2.9.141 2007.11.24 -
VBA32 3.12.2.5 2007.11.23 -
VirusBuster 4.3.26:9 2007.11.25 -
Webwasher-Gateway 6.0.1 2007.11.26 -
Informazioni addizionali
File size: 60416 bytes
MD5: 4ad5d5229f85f42e873fda98190b2f19
SHA1: 7e1bc7c4f0324c0ad58b829b2524e0cb617ef158

[titti83]

help me , please!

[Sante62]

Non si vede nulla dai logs...
Hai ancora problemi col PC?
In caso affermativo cosa riscontri ancora?
Comunque collegati a Kaspersky online scanner e procedi con la scansione estesa.
Quando sta scaricando i file necessari, disattiva momentaneamente l'antivirus ed eventualmente anche il firewall. Non appena inizia la scansione del PC disconnettiti da internet.
Alla fine carica il risultato su www.freefilehosting.net, riportando quì il link che ti viene assegnato.

[titti83]

presa dalla disperazione e non sapendo più cosa fare ho scaricato sophos anti-rootkit .. e bene, anzi no male ..mi trovava 4 file due li cancella e gli altri due no.

dice che sono "hidden registry value" e che sono localizzati in hkey_local_machine\software.. ecc ecc


è possibile che siano dei rootkit? e se si come faccio a cancellarli?

[ste_95]

Puoi riportare tutta la posizione delle chiavi/valori?