MegaLab.it


http://www.megalab.it/forum/

Eliminare Rootkit: come decifro il LOG di GMER?

./viewtopic.php?f=33&t=54876&start=0

Pagina 1 di 2

Eliminare Rootkit: come decifro il LOG di GMER?

MessaggioInviato: lun lug 06, 2009 6:07 pm
da Ale85
Salve a tutti!

Ho un problema con Rootkit32 che Avast mi segnala all'avvio del computer, ma che non mi elimina.
Non sono molto esperta in materia...ho provato con Spybot, Malwarebytes, ma nulla...dopo varie ricerche su google ho trovato GMER e il vostro forum...e spero in un vostro aiuto! Vi invio il file di LOG e spero che mi aiutiate a decifrarlo per capire come andare avanti.

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-06 18:15:28
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xAA75D6B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xAA75D574]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xAA75DA52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xAA75D14C]
SSDT sptd.sys ZwEnumerateKey [0xF8290FB2]
SSDT sptd.sys ZwEnumerateValueKey [0xF8291340]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xAA75D64E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xAA75D08C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xAA75D0F0]
SSDT sptd.sys ZwQueryKey [0xF8291418]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xAA75D76E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xAA75D72E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xAA75D8AE]

---- Kernel code sections - GMER 1.0.15 ----

? C:\WINDOWS\system32\drivers\sptd.sys Impossibile accedere al file. Il file è utilizzato da un altro processo.
.text USBPORT.SYS!DllUnload F7B6162C 5 Bytes JMP 821DE1C8

---- User code sections - GMER 1.0.15 ----

.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtCreateFile + 6 7C91D688 4 Bytes [28, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtCreateFile + B 7C91D68D 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenFile + 6 7C91DD03 4 Bytes [68, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenFile + B 7C91DD08 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenProcess + 6 7C91DD81 4 Bytes [A8, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenProcess + B 7C91DD86 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenProcessToken + 6 7C91DD96 4 Bytes CALL 7B91F29C
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenProcessToken + B 7C91DD9B 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenProcessTokenEx + 6 7C91DDAB 4 Bytes [A8, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenProcessTokenEx + B 7C91DDB0 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenThread + 6 7C91DDFF 4 Bytes [68, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenThread + B 7C91DE04 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenThreadToken + 6 7C91DE14 4 Bytes [68, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenThreadToken + B 7C91DE19 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenThreadTokenEx + 6 7C91DE29 4 Bytes CALL 7B91F330
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenThreadTokenEx + B 7C91DE2E 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtQueryAttributesFile + 6 7C91DEE6 4 Bytes [A8, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtQueryAttributesFile + B 7C91DEEB 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtQueryFullAttributesFile + 6 7C91DFB8 4 Bytes CALL 7B91F4BD
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtQueryFullAttributesFile + B 7C91DFBD 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtSetInformationFile + 6 7C91E5DF 4 Bytes [28, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtSetInformationFile + B 7C91E5E4 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtSetInformationThread + 6 7C91E648 4 Bytes [28, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtSetInformationThread + B 7C91E64D 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtCreateFile + 6 7C91D688 4 Bytes [28, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtCreateFile + B 7C91D68D 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenFile + 6 7C91DD03 4 Bytes [68, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenFile + B 7C91DD08 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenProcess + 6 7C91DD81 4 Bytes [A8, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenProcess + B 7C91DD86 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenProcessToken + 6 7C91DD96 4 Bytes CALL 7B91F29C
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenProcessToken + B 7C91DD9B 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenProcessTokenEx + 6 7C91DDAB 4 Bytes [A8, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenProcessTokenEx + B 7C91DDB0 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenThread + 6 7C91DDFF 4 Bytes [68, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenThread + B 7C91DE04 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenThreadToken + 6 7C91DE14 4 Bytes [68, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenThreadToken + B 7C91DE19 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenThreadTokenEx + 6 7C91DE29 4 Bytes CALL 7B91F330
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenThreadTokenEx + B 7C91DE2E 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtQueryAttributesFile + 6 7C91DEE6 4 Bytes [A8, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtQueryAttributesFile + B 7C91DEEB 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtQueryFullAttributesFile + 6 7C91DFB8 4 Bytes CALL 7B91F4BD
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtQueryFullAttributesFile + B 7C91DFBD 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtSetInformationFile + 6 7C91E5DF 4 Bytes [28, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtSetInformationFile + B 7C91E5E4 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtSetInformationThread + 6 7C91E648 4 Bytes [28, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtSetInformationThread + B 7C91E64D 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtCreateFile + 6 7C91D688 4 Bytes [28, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtCreateFile + B 7C91D68D 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenFile + 6 7C91DD03 4 Bytes [68, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenFile + B 7C91DD08 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenProcess + 6 7C91DD81 4 Bytes [A8, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenProcess + B 7C91DD86 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenProcessToken + 6 7C91DD96 4 Bytes CALL 7B91F29C
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenProcessToken + B 7C91DD9B 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenProcessTokenEx + 6 7C91DDAB 4 Bytes [A8, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenProcessTokenEx + B 7C91DDB0 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenThread + 6 7C91DDFF 4 Bytes [68, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenThread + B 7C91DE04 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenThreadToken + 6 7C91DE14 4 Bytes [68, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenThreadToken + B 7C91DE19 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenThreadTokenEx + 6 7C91DE29 4 Bytes CALL 7B91F330
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenThreadTokenEx + B 7C91DE2E 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtQueryAttributesFile + 6 7C91DEE6 4 Bytes [A8, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtQueryAttributesFile + B 7C91DEEB 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtQueryFullAttributesFile + 6 7C91DFB8 4 Bytes CALL 7B91F4BD
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtQueryFullAttributesFile + B 7C91DFBD 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtSetInformationFile + 6 7C91E5DF 4 Bytes [28, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtSetInformationFile + B 7C91E5E4 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtSetInformationThread + 6 7C91E648 4 Bytes [28, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtSetInformationThread + B 7C91E64D 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtCreateFile + 6 7C91D688 4 Bytes [28, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtCreateFile + B 7C91D68D 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenFile + 6 7C91DD03 4 Bytes [68, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenFile + B 7C91DD08 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenProcess + 6 7C91DD81 4 Bytes [A8, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenProcess + B 7C91DD86 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenProcessToken + 6 7C91DD96 4 Bytes CALL 7B91F29C
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenProcessToken + B 7C91DD9B 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenProcessTokenEx + 6 7C91DDAB 4 Bytes [A8, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenProcessTokenEx + B 7C91DDB0 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenThread + 6 7C91DDFF 4 Bytes [68, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenThread + B 7C91DE04 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenThreadToken + 6 7C91DE14 4 Bytes [68, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenThreadToken + B 7C91DE19 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenThreadTokenEx + 6 7C91DE29 4 Bytes CALL 7B91F330
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenThreadTokenEx + B 7C91DE2E 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtQueryAttributesFile + 6 7C91DEE6 4 Bytes [A8, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtQueryAttributesFile + B 7C91DEEB 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtQueryFullAttributesFile + 6 7C91DFB8 4 Bytes CALL 7B91F4BD
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtQueryFullAttributesFile + B 7C91DFBD 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtSetInformationFile + 6 7C91E5DF 4 Bytes [28, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtSetInformationFile + B 7C91E5E4 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtSetInformationThread + 6 7C91E648 4 Bytes [28, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtSetInformationThread + B 7C91E64D 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtCreateFile + 6 7C91D688 4 Bytes [28, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtCreateFile + B 7C91D68D 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenFile + 6 7C91DD03 4 Bytes [68, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenFile + B 7C91DD08 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenProcess + 6 7C91DD81 4 Bytes [A8, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenProcess + B 7C91DD86 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenProcessToken + 6 7C91DD96 4 Bytes CALL 7B91F29C
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenProcessToken + B 7C91DD9B 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenProcessTokenEx + 6 7C91DDAB 4 Bytes [A8, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenProcessTokenEx + B 7C91DDB0 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenThread + 6 7C91DDFF 4 Bytes [68, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenThread + B 7C91DE04 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenThreadToken + 6 7C91DE14 4 Bytes [68, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenThreadToken + B 7C91DE19 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenThreadTokenEx + 6 7C91DE29 4 Bytes CALL 7B91F330
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenThreadTokenEx + B 7C91DE2E 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtQueryAttributesFile + 6 7C91DEE6 4 Bytes [A8, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtQueryAttributesFile + B 7C91DEEB 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtQueryFullAttributesFile + 6 7C91DFB8 4 Bytes CALL 7B91F4BD
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtQueryFullAttributesFile + B 7C91DFBD 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtSetInformationFile + 6 7C91E5DF 4 Bytes [28, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtSetInformationFile + B 7C91E5E4 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtSetInformationThread + 6 7C91E648 4 Bytes [28, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtSetInformationThread + B 7C91E64D 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtCreateFile + 6 7C91D688 4 Bytes [28, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtCreateFile + B 7C91D68D 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenFile + 6 7C91DD03 4 Bytes [68, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenFile + B 7C91DD08 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenProcess + 6 7C91DD81 4 Bytes [A8, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenProcess + B 7C91DD86 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenProcessToken + 6 7C91DD96 4 Bytes CALL 7B91F29C
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenProcessToken + B 7C91DD9B 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenProcessTokenEx + 6 7C91DDAB 4 Bytes [A8, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenProcessTokenEx + B 7C91DDB0 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenThread + 6 7C91DDFF 4 Bytes [68, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenThread + B 7C91DE04 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenThreadToken + 6 7C91DE14 4 Bytes [68, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenThreadToken + B 7C91DE19 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenThreadTokenEx + 6 7C91DE29 4 Bytes CALL 7B91F330
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenThreadTokenEx + B 7C91DE2E 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtQueryAttributesFile + 6 7C91DEE6 4 Bytes [A8, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtQueryAttributesFile + B 7C91DEEB 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtQueryFullAttributesFile + 6 7C91DFB8 4 Bytes CALL 7B91F4BD
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtQueryFullAttributesFile + B 7C91DFBD 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtSetInformationFile + 6 7C91E5DF 4 Bytes [28, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtSetInformationFile + B 7C91E5E4 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtSetInformationThread + 6 7C91E648 4 Bytes [28, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtSetInformationThread + B 7C91E64D 1 Byte [E2]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F828BAD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F828BC1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F828BB9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F828C748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F828C61E] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F82A129A] sptd.sys

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\system32\services.exe[644] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00370002
IAT C:\WINDOWS\system32\services.exe[644] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00370000

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8236C1E8

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device \FileSystem\Fastfat \FatCdrom 82101410

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbehci \Device\USBPDO-0 820B2440
Device \Driver\dmio \Device\DmControl\DmIoDaemon 823DA1E8
Device \Driver\dmio \Device\DmControl\DmConfig 823DA1E8
Device \Driver\dmio \Device\DmControl\DmPnP 823DA1E8
Device \Driver\dmio \Device\DmControl\DmInfo 823DA1E8
Device \Driver\usbuhci \Device\USBPDO-1 821DD1E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{BCD9C92D-E4E9-4804-A580-9DC2D7A8D506} 81CC71E8
Device \Driver\usbuhci \Device\USBPDO-2 821DD1E8
Device \Driver\usbuhci \Device\USBPDO-3 821DD1E8
Device \Driver\usbuhci \Device\USBPDO-4 821DD1E8

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\NetBT \Device\NetBT_Tcpip_{B32B3E7D-83D1-4505-A66A-2FA9DFA92A7D} 81CC71E8

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000272b00026
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000272b00026@001f5c5b2c10 0xB6 0x07 0x9D 0xC3 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x18 0x1F 0x26 0xB2 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x6B 0xFE 0x32 0xC4 ...
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000272b00026
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000272b00026@001f5c5b2c10 0xB6 0x07 0x9D 0xC3 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x18 0x1F 0x26 0xB2 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 1
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x6B 0xFE 0x32 0xC4 ...

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 01: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 02: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 03: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 04: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 05: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 06: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 07: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 08: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 09: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 10: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 11: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 12: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 13: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 14: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 15: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 16: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 17: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 18: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 19: copy of MBR
Disk \Device\Harddisk0\DR0 sector 20: copy of MBR
Disk \Device\Harddisk0\DR0 sector 21: copy of MBR
Disk \Device\Harddisk0\DR0 sector 22: copy of MBR
Disk \Device\Harddisk0\DR0 sector 23: copy of MBR
Disk \Device\Harddisk0\DR0 sector 24: copy of MBR
Disk \Device\Harddisk0\DR0 sector 25: copy of MBR
Disk \Device\Harddisk0\DR0 sector 26: copy of MBR
Disk \Device\Harddisk0\DR0 sector 27: copy of MBR
Disk \Device\Harddisk0\DR0 sector 28: copy of MBR
Disk \Device\Harddisk0\DR0 sector 29: copy of MBR
Disk \Device\Harddisk0\DR0 sector 30: copy of MBR
Disk \Device\Harddisk0\DR0 sector 31: copy of MBR
Disk \Device\Harddisk0\DR0 sector 32: copy of MBR
Disk \Device\Harddisk0\DR0 sector 33: copy of MBR
Disk \Device\Harddisk0\DR0 sector 34: copy of MBR
Disk \Device\Harddisk0\DR0 sector 35: copy of MBR
Disk \Device\Harddisk0\DR0 sector 36: copy of MBR
Disk \Device\Harddisk0\DR0 sector 37: copy of MBR
Disk \Device\Harddisk0\DR0 sector 38: copy of MBR
Disk \Device\Harddisk0\DR0 sector 39: copy of MBR
Disk \Device\Harddisk0\DR0 sector 40: copy of MBR
Disk \Device\Harddisk0\DR0 sector 41: copy of MBR
Disk \Device\Harddisk0\DR0 sector 42: copy of MBR
Disk \Device\Harddisk0\DR0 sector 43: copy of MBR
Disk \Device\Harddisk0\DR0 sector 44: copy of MBR
Disk \Device\Harddisk0\DR0 sector 45: copy of MBR
Disk \Device\Harddisk0\DR0 sector 46: copy of MBR
Disk \Device\Harddisk0\DR0 sector 47: copy of MBR
Disk \Device\Harddisk0\DR0 sector 48: copy of MBR
Disk \Device\Harddisk0\DR0 sector 49: copy of MBR
Disk \Device\Harddisk0\DR0 sector 50: copy of MBR
Disk \Device\Harddisk0\DR0 sector 51: copy of MBR
Disk \Device\Harddisk0\DR0 sector 52: copy of MBR
Disk \Device\Harddisk0\DR0 sector 53: copy of MBR
Disk \Device\Harddisk0\DR0 sector 54: copy of MBR
Disk \Device\Harddisk0\DR0 sector 55: copy of MBR
Disk \Device\Harddisk0\DR0 sector 56: copy of MBR
Disk \Device\Harddisk0\DR0 sector 57: copy of MBR
Disk \Device\Harddisk0\DR0 sector 58: copy of MBR
Disk \Device\Harddisk0\DR0 sector 59: copy of MBR
Disk \Device\Harddisk0\DR0 sector 60: copy of MBR
Disk \Device\Harddisk0\DR0 sector 61: copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR

---- EOF - GMER 1.0.15 ----

Re: Eliminare Rootkit: come decifro il LOG di GMER?

MessaggioInviato: lun lug 06, 2009 6:26 pm
da ste_95
[ciao]
Segui le istruzioni di questo articolo per risolvere il problema. [^]

Re: Eliminare Rootkit: come decifro il LOG di GMER?

MessaggioInviato: gio lug 09, 2009 3:59 pm
da Ale85
Ho fatto come mi hai detto..ma ottengo il seguente log

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


forse non si tratta di un rootkit (anche se avast me lo segnala così)

Nel frattempo ho eseguito una scansione con Prevx e mi ha trovato sette infezioni...conoscete qualcosa di simile ma free per rimuoverle? così forse ne vengo a capo.

Grazie a tutti ancora [:)]

Re: Eliminare Rootkit: come decifro il LOG di GMER?

MessaggioInviato: gio lug 09, 2009 5:31 pm
da Amantide
Puoi postare il risultato di Prevx? Conoscendo il percorso dei file infetti, si può anche eliminarli manualmente.

Altrimenti scarica ComboFix , salvandolo sul desktop con un nome di fantasia, ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto inserendolo tra i tag LOG, in questo modo:
Codice: Seleziona tutto
[LOG]qui va inserito il log[/LOG]

Re: Eliminare Rootkit: come decifro il LOG di GMER?

MessaggioInviato: lun lug 13, 2009 11:51 am
da Ale85
Chiedo perdono per il ritardo nella risposta...comunque ci sono novità..nel frattempo un mio amico si è impossessato del mio pc ed eseguendo una scansione con avira ha eliminato ben 110 virus! (Sembra impossibile ma è così).
Ora il problema virus sembra risolto, tuttavia c'è un ultimo problema:
non riesco ad accedere alle partizioni C e D cliccandoci da Risorse del computer...(se clicco si apre la finestra "Apri con...").
Posso comunque accedervi da "esegui" però mi chiedevo come risolvere il problema. Probabilmente è il file autorun.ini che devo modificare..ma non riesco neanche a trovarlo.

Sperando di non abusare della vostra pazienza...
Ancora grazie mille e a presto!
Ale

Re: Eliminare Rootkit: come decifro il LOG di GMER?

MessaggioInviato: lun lug 13, 2009 12:32 pm
da ste_95
Scarica ed usa il Perlovga Removal Tool seconod queste istruzioni:
http://www.MegaLab.it/2899/2/worm-perlo ... desiderato

Re: Eliminare Rootkit: come decifro il LOG di GMER?

MessaggioInviato: mer lug 15, 2009 12:01 am
da klaude4d
ciao a tutti sono nuovo, ho preso il virus bagle, e girando uiin intenet ho trovato il vs. sito molto interessante e completo per la sua rimozione, sono arrivato ad un punto morto dopo la scansione con gmer, vorrei se possibile un aiuto da esperti su cosa devo fare ora, non conosco come usare avenger e non so capire vito i risultatimolto lunghi cosa devo fare con i suddetti file. ho seguito istruzioni per allegare file e posto il link per il download x gli esperti.

http://www.mediafire.com/?sharekey=14e4 ... f6e8ebb871

sono riuscito attraverso malwarebytes anti malware a far ripartire avira, il firewall ma ancora hijackthis non va
prego di venirmi in soccorso

grazie ancora

Re: Eliminare Rootkit: come decifro il LOG di GMER?

MessaggioInviato: mer lug 15, 2009 6:25 am
da ste_95
Rifai la scansione con MalwareBytes, ma stavolta scegli di eliminare i problemi trovati. Poi scarica ComboFix , salvandolo sul desktop con un nome di fantasia, ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto inserendolo tra i tag LOG, in questo modo:
Codice: Seleziona tutto
[LOG]qui va inserito il log[/LOG]

Re: Eliminare Rootkit: come decifro il LOG di GMER?

MessaggioInviato: mer lug 15, 2009 10:47 am
da klaude4d
ciao ste_95 e grazie per la tua risposta cosi tempestiva, ho scaricato ultima versione di malwarebytes ma non trovo la voce da spuntare per fargli eliminare i problemi in automarico,combofix lo avevo gia provato 2 volte ma appena lo lanciavo dopo qualche secondo mi si bloccava il pc e veniva la solita schermata blu dove dice che windows e' stato chiuso per evitare problemi maggiori etc, pero non lo avevo rinominato come posso procedere intanto sto facendo scansione con malwarebytes

Re: Eliminare Rootkit: come decifro il LOG di GMER?

MessaggioInviato: mer lug 15, 2009 10:56 am
da Amantide
Hai provato ad usare Findykill?

Per quanto riguarda Malwarebytes, prima devi effettuare la scansione, se non erro, e dopo procedere con l'eliminazione.

Re: Eliminare Rootkit: come decifro il LOG di GMER?

MessaggioInviato: mer lug 15, 2009 11:00 am
da klaude4d
no, findykill no, ma come mai con combofix mi si e' bloccato il pc con schermata blu? conteneva un virus?

Re: Eliminare Rootkit: come decifro il LOG di GMER?

MessaggioInviato: mer lug 15, 2009 11:08 am
da klaude4d
sto provando a scaricare finsykill ma gli un ici che riesco a scaricare avira me li riconosce come trojan,quelllo postati nei vati link sivcuri in rete la risposta alla pagina e' sempre 4'4 not found come posso fare? hai un eseguibile da paassarmi qui nel posto o un link sicuro?oppure e' il bagle che non mi fa aprire tali siti?

Re: Eliminare Rootkit: come decifro il LOG di GMER?

MessaggioInviato: mer lug 15, 2009 11:15 am
da Amantide
Per il Combofix - potrebbe essere il virus a mandare in crash il sistema appena avvii il suo "nemico n.1", prova ad eseguirlo dalla modalità provvisoria.
Il Findykill scaricalo da qui.

Re: Eliminare Rootkit: come decifro il LOG di GMER?

MessaggioInviato: mer lug 15, 2009 11:19 am
da klaude4d
devo fare qualche accorgimento particolare nellusare findykill?

Re: Eliminare Rootkit: come decifro il LOG di GMER?

MessaggioInviato: mer lug 15, 2009 11:22 am
da klaude4d
mi dice connetrere tutti gli hard drive, le penne usb ed inserire un cd nel lettore e disabilitare la lettura dei dipositivi,poi do' lok parte ma 2 stringhe di accesso negato poi si chiude come mai? anche questo non va?

Re: Eliminare Rootkit: come decifro il LOG di GMER?

MessaggioInviato: mer lug 15, 2009 11:24 am
da klaude4d
mi arrivano mail che ho ricevuto una risposta dal forum ci clikko ma non le vedo !!!!!! stai scrivendo qualcosa? non leggo le risposte grazie

Re: Eliminare Rootkit: come decifro il LOG di GMER?

MessaggioInviato: mer lug 15, 2009 11:27 am
da Amantide
Mi puoi dire il contenuto di queste 2 stringhe?
Comunque, anche come per Combofix qui vale la stessa regola, se il programma non funziona dalla modalità normale, tentare di eseguirlo dalla modalità provvisoria.

Questa è la guida all'uso di Findykill: http://www.MegaLab.it/3724/3/il-worm-ba ... -rimozione

Re: Eliminare Rootkit: come decifro il LOG di GMER?

MessaggioInviato: mer lug 15, 2009 5:21 pm
da klaude4d
ah niente le stringhe dicono cosi

accesso negato
accesso negato
accesso begato

3 volte poi si chiude il pro.
ho fatto da provvisoria, malwarebytes e findykill
posto tutto ok? malware mi ha trovato avenger con un trojan lo ho eliminato x il resto ecco tutto qui;

findykill

############################## | FindyKill V6.004 |

# User : SYSTEM () # PC-KLAUDE3D
# Update on 08/07/09 by Chiquitine29 & C_XX
# Start at: 1:37:55 | 15/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
# Microsoft® Windows Vista™ Home Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Enabled

# A:\ # Disco floppy, 3,5 pollici
# C:\ # Disco rigido locale # 232,88 Go (26,68 Go free) # NTFS
# D:\ # Disco rigido locale # 232,88 Go (34,7 Go free) [Volume] # NTFS
# E:\ # Disco CD-ROM
# F:\ # Disco CD-ROM
# G:\ # Disco rimovibile
# H:\ # Disco rimovibile
# I:\ # Disco rimovibile
# J:\ # Disco CD-ROM
# K:\ # Disco CD-ROM
# L:\ # Disco CD-ROM
# M:\ # Disco rimovibile
# N:\ # Disco rimovibile

############################## | Active processes |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\wbem\wmiprvse.exe

################## | Registry Startup |

HKLM_logon: "Userinit"="C:\\Windows\\system32\\userinit.exe,"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: RtHDVCpl=C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
HKLM_Run: WinampAgent="C:\Program Files\Winamp\winampa.exe"
HKLM_Run: UnlockerAssistant="C:\Program Files\Unlocker\UnlockerAssistant.exe"
HKLM_Run: NokiaMServer=C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles
HKLM_Run: Nokia FastStart="C:\Program Files\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart
HKLM_Run: SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HKLM_Run: NvCplDaemon=RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
HKLM_Run: NvMediaCenter=RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
HKLM_Run: avgnt="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM_Run: AppleSyncNotifier=C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
HKLM_Run: QuickTime Task="C:\Program Files\QuickTime\QTTask.exe" -atboottime
HKLM_Run: iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe"
HKLM_Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=

################## | Files # Infected Folders |


################## | C:\Windows\system32\config\systemprofile\Temporary Internet Files |


################## | All Drives ... |


################## | Registry # Infected run Keys |

Found ! HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_111111s1ro1s1a
Found ! HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_111111s1ro1s1a
Found ! HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_111111s1ro1s1a
Found ! HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S

################## | Registry # Mountpoints2 |


################## | State / Service / Information |

# Showing of hidden files : OK

# Safe boot mode : OK

# (!) Uac = 0x0

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) windefend -> Start = 4 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

################## | Cracks / Keygens / Serials |


################## | ! End of report # FindyKill V6.004 ! |

Re: Eliminare Rootkit: come decifro il LOG di GMER?

MessaggioInviato: gio lug 16, 2009 5:41 pm
da Amantide
C'è qualche rimasuglio di Bagle nel registro di sistema che puoi rimuovere eseguendo l'opzione 2 di Findykill.

Re: Eliminare Rootkit: come decifro il LOG di GMER?

MessaggioInviato: gio lug 16, 2009 11:14 pm
da klaude4d
dove posso scaricarlo sicuro ? ne ho trovato uno ma a fine installazioenn avira mi trova c:\find ykill\tools\sniffc.exe
contiene il modello di rilevamento del programma SPR/Autolt.gen
che faccio nego sempre accesso ma findy e' completo
Tutti gli orari sono UTC + 1 ora [ ora legale ]
Pagina 1 di 2
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/