Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
sospetto rootkit
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
ilconte30
Eroe
Eroe


Registrato: 05/11/08 17:21
Messaggi: 54

MessaggioInviato: 06 Lug 2010 19:25    Oggetto: sospetto rootkit Rispondi citando

da qualche giorno ho notato comportamenti anomali.
- Il pc si spegne da solo, di colpo e senza preavviso (tipo mancanza energia elettrica)
- outlook ha strani comportamenti e si apre da solo più volte e poi si blocca
- alcuni file di sistema si duplicano.

Avast mi segnala la presenza di 8 rootkit.
Adesso ho installato gmer che me li ha confermati.

Come posso fare ad eliminarli e ad avere conferma che non ci sia altro?
Grazie mille

Luigi
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 06 Lug 2010 22:22    Oggetto: Rispondi citando

Ciao.
Posta il log che ha rilasciato Gmer.
Carica i log di Gmer,
su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
Top
Profilo Invia messaggio privato
ilconte30
Eroe
Eroe


Registrato: 05/11/08 17:21
Messaggi: 54

MessaggioInviato: 06 Lug 2010 22:24    Oggetto: Rispondi citando

R16 ha scritto:
Ciao.
Posta il log che ha rilasciato Gmer.


adesso non da nulla.
credo di aver eliminato tutto
grazie ancora
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 06 Lug 2010 22:26    Oggetto: Rispondi citando

Non ho capito, che problema ha ora il pc.
Top
Profilo Invia messaggio privato
ilconte30
Eroe
Eroe


Registrato: 05/11/08 17:21
Messaggi: 54

MessaggioInviato: 07 Lug 2010 11:41    Oggetto: Rispondi citando

Outlook si apre da solo in nuove finestre con cadenza di 15 secondi.
Adesso lo rifà di nuovo.

GMER non mi rileva nulla

Sophos anti rootkit mi rileva
Area: Local hard drives
Description: Unknown hidden file
Location: C:\Program Files (x86)\Microsoft Visual Studio 8\VC#\Snippets\1040\Refactoring\PropertyStub.snippet
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)

Area: Local hard drives
Description: Unknown hidden file
Location: C:\Program Files (x86)\Common Files\microsoft shared\Windows Live\HWDeviceLogin.dll
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)

non ci capisco più nulla.

grazie
Top
Profilo Invia messaggio privato
ilconte30
Eroe
Eroe


Registrato: 05/11/08 17:21
Messaggi: 54

MessaggioInviato: 07 Lug 2010 12:02    Oggetto: Rispondi citando

sempre sophos

Area: Local hard drives
Description: Unknown hidden file
Location: C:\Windows\winsxs\Backup\x86_microsoft-windows-f..temutilitylibraries_31bf3856ad364e35_6.0.6002.18005_none_eb81d0e3eccf24e4.manifest
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 07 Lug 2010 12:03    Oggetto: Rispondi citando

Segui le istruzioni di questo topic per usare Systemscan:
http://forum.zeusnews.com/viewtopic.php?p=210548#210548

Carica il log di su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
www.wikisend.com
Top
Profilo Invia messaggio privato
ilconte30
Eroe
Eroe


Registrato: 05/11/08 17:21
Messaggi: 54

MessaggioInviato: 07 Lug 2010 13:55    Oggetto: Rispondi citando

report.txt

Ho dovuto fare la scansione in modalità provvisoria perchè di colpo il pc si spegne (tipo mancanza improvvisa energia elettrica)

ciao
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 07 Lug 2010 14:30    Oggetto: Rispondi citando

Ciao.
Il log è tagliato.
In più, è un Sistema Operativo a 64 bit.

Prova a fare una scansione con DOCTORWEB. (è compatibile con S.O a 64 bit)

Scarica sul desktop DoctorWeb: (in fondo pagina trovi il Download)
link
Clicca su Avvia.
Farà una scansione preliminare.
Quando sarà finita, seleziona Scansione completa e clicca sul triangolino verde.
Se trova infezioni, usa il tasto "Sposta".
Posta solo gli eventuali file infetti che trova.
Il log lo trovi in:
C:\Documents and Settings\nomeutente\DoctorWeb\CureIt.log
Top
Profilo Invia messaggio privato
ilconte30
Eroe
Eroe


Registrato: 05/11/08 17:21
Messaggi: 54

MessaggioInviato: 07 Lug 2010 17:10    Oggetto: Rispondi citando

R16 ha scritto:
Ciao.
Il log è tagliato.
In più, è un Sistema Operativo a 64 bit.

Prova a fare una scansione con DOCTORWEB. (è compatibile con S.O a 64 bit)

Scarica sul desktop DoctorWeb: (in fondo pagina trovi il Download)
link
Clicca su Avvia.
Farà una scansione preliminare.
Quando sarà finita, seleziona Scansione completa e clicca sul triangolino verde.
Se trova infezioni, usa il tasto "Sposta".
Posta solo gli eventuali file infetti che trova.
Il log lo trovi in:
C:\Documents and Settings\nomeutente\DoctorWeb\CureIt.log


niente, si spegne quando va a scanzionare in system32
ho provato anche in modalità provvisoria . dura di più ma si spegne di colpo

che faccio?
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 07 Lug 2010 17:27    Oggetto: Rispondi citando

Devi provare a postarmi il log di Systemscan completo. (ne hai postato circa la metà)
Oppure, prova a postare un log di HiJackThis. ( eseguilo come Amministratore)
Segui le istruzioni di questo topic per postare il log di HiJackThis:
http://forum.zeusnews.com/viewtopic.php?t=23440

Domanda:
Di recente, hai preso il Worm Beagle ?
Top
Profilo Invia messaggio privato
ilconte30
Eroe
Eroe


Registrato: 05/11/08 17:21
Messaggi: 54

MessaggioInviato: 07 Lug 2010 17:48    Oggetto: Rispondi citando

R16 ha scritto:
Devi provare a postarmi il log di Systemscan completo. (ne hai postato circa la metà)
Oppure, prova a postare un log di HiJackThis. ( eseguilo come Amministratore)
Segui le istruzioni di questo topic per postare il log di HiJackThis:
http://forum.zeusnews.com/viewtopic.php?t=23440

Domanda:
Di recente, hai preso il Worm Beagle ?


il repoprt hijack è qui hijackthis.log

non credo per il worm. che io sappia da problemi con l'antivirus ma credo di non averli

i problemi sono essenzialmente lo spegnimento improvviso e outlook che si apre di continuo

ciao e grazie
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 07 Lug 2010 18:12    Oggetto: Rispondi citando

A me sembra, che hai scaricato (o qualcuno ti ha fatto scaricare) un software specifico per il Worm Beagle. (FyK)
Comunque segui queste indicazioni:

Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema.
http://forum.zeusnews.com/viewtopic.php?t=22084

Pulisci i files temporanei con CCleaner
http://forum.zeusnews.com/viewtopic.php?p=282670#282670

Disattiva il Tea Timer di SpyBot così:
Apri SpyBot in modalità avanzata (menù modalità - avanzata) poi vai in utilità - resident e togli la spunta a TeaTimer, e riavvia il pc.

Hai una specie di firewall che non conosco:
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
Prova a eliminarlo.

Avvia hijackthis, (eseguilo come Amministratore) metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked
Codice:
O15 - Trusted Zone: *.sian.it
O15 - Trusted Zone: http://*.sian.it
O15 - Trusted Zone: *.sian.it (HKLM)
O16 - DPF: {33415AC7-AFFA-4D55-B41C-C64C0D07DFCA} (Hewlett-Packard Printer Diagnostics) - http://h50203.www5.hp.com/HPISWeb/Customer/cabs/HPISWebManager.CAB
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe


Disistalla pure Avast, compreso il suo Firewall. (e siamo a 2)
Non vorrei che fosse prioprio lui che crea problemi.
Per disistallare Avast!:
Cessane l'esecuzione dalla Tray bar. (vicino all'orologio)
Scarica questo Tooll specifico sul Desktop:
link
Lo si deve eseguire in Modalità provvisoria.
Ecco la pagina con le istruzioni:
link
Riavvia in Modalità normale.

Installa per il momento Virit:
Scarica VIRIT :
http://forum.zeusnews.com/viewtopic.php?t=45211
lo aggiorni (cliccando sulla parabola in alto) e fai la scansione in Modalità Provvisoria (è molto importante).
Posta anche il log. (lo trovi sull'icona in alto, con raffigurato un block notes ,con una penna)
Top
Profilo Invia messaggio privato
ilconte30
Eroe
Eroe


Registrato: 05/11/08 17:21
Messaggi: 54

MessaggioInviato: 07 Lug 2010 20:52    Oggetto: Rispondi citando

VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
07/07/2010 - 19:29:35

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD (\\.\PhysicalDrive0): OK
BOOT SECTOR: OK

C:\Users\Luigi\Desktop\utility\Setup.exe Infetto da Packed.Win32.Katusha.E
* * * RIMOSSO * * *

Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 291374.
Files Totali: 291374.
Chiavi Registro rimosse: 0.
Virus Rimossi: 1.
Top
Profilo Invia messaggio privato
ilconte30
Eroe
Eroe


Registrato: 05/11/08 17:21
Messaggi: 54

MessaggioInviato: 07 Lug 2010 20:54    Oggetto: Rispondi citando

vorrei però precisare che il file infetto in realtà non dovrebbe esserlo, perchè è uno dei file utility che ho scaricato da questo forum per la disinfezione.

La scxansione è avvenuta per tutti i file e non c'è nulla.

Ho verificato anche se si trattasse di problema hardware ma la cpu non è surriscaldata e tutti i problemi cessano in modalità provvisoria.

spero solo sia un problema di incompatibilità di file.

Ho disinstallato diversi programmi inutilizzati
ho ripulito tutto con cclean


ho seguito le istruzioni tue.
tolto tutti gli antivirus ed installato antivir
Top
Profilo Invia messaggio privato
ilconte30
Eroe
Eroe


Registrato: 05/11/08 17:21
Messaggi: 54

MessaggioInviato: 07 Lug 2010 21:05    Oggetto: Rispondi citando

il monitori di virit mi da una serie di file in esecuzione automatica
molti di questi presentano un cerchietto rosso con x bianca.
nel file che ti allego c'è scritto file non trovato

Esecuzione automatica.txt

come posso pulirli?

P.S.: incrocio le dita: fino ad adesso nessun comportamento strano
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 07 Lug 2010 22:51    Oggetto: Rispondi

Ciao.
Non preoccuparti per quei file che ti segnala Virit.
Sono file che non trova in Esecuzione Automatica, ma ci sono nel pc.
Per disistallare Virit,fai :
Start\Tutti Programmi, e trovi il suo Unistall.

Fai una scansione con Avira e posta il log.
Se può servire:
Guida e installazione di Avira:
http://forum.zeusnews.com/viewtopic.php?t=42228
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi