Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

controllo file gmer

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

controllo file gmer

Messaggioda sceriffo » lun mar 09, 2009 12:52 pm

Salve a tutti.
Nelle settimane scorse ho avuto dei problemi con il virus downadup. Non dovrei averlo preso, ma alcune penne usb che uso tra vari computer ne erano infette, Il mio antivirus, però, (AVG free) me lo ha sempre bloccato appena inserita la penna.
Per scrupolo ho lanciato anche il tool della Symantec specifico per questo virus e non ha rilevato nulla.
Ora ho lanciato gmer e mi trova 5 servizi sospetti. In effetti i nomi danno dei dubbi anche a me.
Analizzando i servizi (sempre da gmer) ho visto che questi sono lanciati dal comando svchost -k netsvcs, che non dovrebbe dare problemi.
Vi allego il file di gmer: qualcuno può darmi dei consigli?
[grazie]
Grazie.
Fabio

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-03-09 12:33:36
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT d347bus.sys (PnP BIOS Extension/ ) ZwClose [0xF8358818]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwCreateKey [0xF83587D0]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwCreatePagingFile [0xF834CA20]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xF834D2A8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xF8358910]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwOpenKey [0xF8358794]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryKey [0xF834D2C8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryValueKey [0xF8358866]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwSetSystemPowerState [0xF83580B0]

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 8238D520

AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Ip ntkrnlpa.exe (Sistema e kernel NT/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Tcp ntkrnlpa.exe (Sistema e kernel NT/Microsoft Corporation)

Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 822172F0
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 822172F0
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 822172F0
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 822172F0
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 822172F0
Device \FileSystem\Cdfs \Cdfs 82133A98

---- Modules - GMER 1.0.14 ----

Module _________ F82B7000-F82CF000 (98304 bytes)

---- Services - GMER 1.0.14 ----

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] ebitrezyh <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] npcoyephh <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] oaqcafc <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] scevrsl <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] yhxrqdkqs <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000ee7600d57
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000ee7600d57@000e6dda5fe1 0x25 0x2A 0xBF 0x8B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@khjeh 0x20 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z0 0x7A 0x7E 0x15 0x61 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\ebitrezyh@DisplayName Center Microsoft
Reg HKLM\SYSTEM\CurrentControlSet\Services\ebitrezyh@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\ebitrezyh@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\ebitrezyh@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\ebitrezyh@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\ebitrezyh@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\ebitrezyh@Description Fornisce un modello di interfacce e di oggetti comune per accedere alle informazioni di gestione sul sistema operativo, le periferiche, le applicazioni e i servizi. Se il servizio viene interrotto, la maggior parte del software basato su Windows non funzioner? in modo corretto. Se il servizio ? disabilitato, i servizi da esso dipendenti non verranno avviati.
Reg HKLM\SYSTEM\CurrentControlSet\Services\ebitrezyh\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\ebitrezyh\Parameters@ServiceDll C:\WINDOWS\system32\afpctbko.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\npcoyephh@DisplayName dupqo
Reg HKLM\SYSTEM\CurrentControlSet\Services\npcoyephh@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\npcoyephh@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\npcoyephh@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\npcoyephh@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\npcoyephh@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\npcoyephh@Description Mantiene un elenco aggiornato dei computer in rete e lo fornisce ai computer designati come browser. Se il servizio ? stato arrestato, l'elenco non verr? aggiornato o mantenuto. Se il servizio ? stato disabilitato, i servizi esplicitamente dipendenti da esso non verranno avviati.
Reg HKLM\SYSTEM\CurrentControlSet\Services\npcoyephh\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\npcoyephh\Parameters@ServiceDll C:\WINDOWS\system32\afpctbko.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\oaqcafc@DisplayName Boot Shell
Reg HKLM\SYSTEM\CurrentControlSet\Services\oaqcafc@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\oaqcafc@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\oaqcafc@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\oaqcafc@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\oaqcafc@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\oaqcafc@Description Risolve e salva nella cache nomi DNS per il computer. Se il servizio ? stato arrestato, il computer non sar? in grado di risolvere i nomi DNS e di individuare i controller di dominio Active Directory. Se il servizio ? stato disabilitato, i servizi esplicitamente dipendenti da esso non verranno avviati.
Reg HKLM\SYSTEM\CurrentControlSet\Services\oaqcafc\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\oaqcafc\Parameters@ServiceDll C:\WINDOWS\system32\afpctbko.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\scevrsl@DisplayName Security Update
Reg HKLM\SYSTEM\CurrentControlSet\Services\scevrsl@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\scevrsl@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\scevrsl@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\scevrsl@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\scevrsl@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\scevrsl@Description Risolve e salva nella cache nomi DNS per il computer. Se il servizio ? stato arrestato, il computer non sar? in grado di risolvere i nomi DNS e di individuare i controller di dominio Active Directory. Se il servizio ? stato disabilitato, i servizi esplicitamente dipendenti da esso non verranno avviati.
Reg HKLM\SYSTEM\CurrentControlSet\Services\scevrsl\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\scevrsl\Parameters@ServiceDll C:\WINDOWS\system32\afpctbko.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\yhxrqdkqs@DisplayName odwhcu
Reg HKLM\SYSTEM\CurrentControlSet\Services\yhxrqdkqs@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\yhxrqdkqs@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\yhxrqdkqs@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\yhxrqdkqs@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\yhxrqdkqs@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\yhxrqdkqs@Description Risolve e salva nella cache nomi DNS per il computer. Se il servizio ? stato arrestato, il computer non sar? in grado di risolvere i nomi DNS e di individuare i controller di dominio Active Directory. Se il servizio ? stato disabilitato, i servizi esplicitamente dipendenti da esso non verranno avviati.
Reg HKLM\SYSTEM\CurrentControlSet\Services\yhxrqdkqs\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\yhxrqdkqs\Parameters@ServiceDll C:\WINDOWS\system32\afpctbko.dll
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000ee7600d57
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000ee7600d57@000e6dda5fe1 0x25 0x2A 0xBF 0x8B ...
Reg HKLM\SYSTEM\ControlSet003\Services\ebitrezyh@DisplayName Center Microsoft
Reg HKLM\SYSTEM\ControlSet003\Services\ebitrezyh@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\ebitrezyh@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\ebitrezyh@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\ebitrezyh@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\ebitrezyh@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\ebitrezyh@Description Fornisce un modello di interfacce e di oggetti comune per accedere alle informazioni di gestione sul sistema operativo, le periferiche, le applicazioni e i servizi. Se il servizio viene interrotto, la maggior parte del software basato su Windows non funzioner? in modo corretto. Se il servizio ? disabilitato, i servizi da esso dipendenti non verranno avviati.
Reg HKLM\SYSTEM\ControlSet003\Services\ebitrezyh\Parameters
Reg HKLM\SYSTEM\ControlSet003\Services\ebitrezyh\Parameters@ServiceDll C:\WINDOWS\system32\afpctbko.dll
Reg HKLM\SYSTEM\ControlSet003\Services\npcoyephh@DisplayName dupqo
Reg HKLM\SYSTEM\ControlSet003\Services\npcoyephh@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\npcoyephh@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\npcoyephh@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\npcoyephh@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\npcoyephh@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\npcoyephh@Description Mantiene un elenco aggiornato dei computer in rete e lo fornisce ai computer designati come browser. Se il servizio ? stato arrestato, l'elenco non verr? aggiornato o mantenuto. Se il servizio ? stato disabilitato, i servizi esplicitamente dipendenti da esso non verranno avviati.
Reg HKLM\SYSTEM\ControlSet003\Services\npcoyephh\Parameters
Reg HKLM\SYSTEM\ControlSet003\Services\npcoyephh\Parameters@ServiceDll C:\WINDOWS\system32\afpctbko.dll
Reg HKLM\SYSTEM\ControlSet003\Services\oaqcafc@DisplayName Boot Shell
Reg HKLM\SYSTEM\ControlSet003\Services\oaqcafc@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\oaqcafc@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\oaqcafc@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\oaqcafc@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\oaqcafc@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\oaqcafc@Description Risolve e salva nella cache nomi DNS per il computer. Se il servizio ? stato arrestato, il computer non sar? in grado di risolvere i nomi DNS e di individuare i controller di dominio Active Directory. Se il servizio ? stato disabilitato, i servizi esplicitamente dipendenti da esso non verranno avviati.
Reg HKLM\SYSTEM\ControlSet003\Services\oaqcafc\Parameters
Reg HKLM\SYSTEM\ControlSet003\Services\oaqcafc\Parameters@ServiceDll C:\WINDOWS\system32\afpctbko.dll
Reg HKLM\SYSTEM\ControlSet003\Services\scevrsl@DisplayName Security Update
Reg HKLM\SYSTEM\ControlSet003\Services\scevrsl@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\scevrsl@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\scevrsl@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\scevrsl@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\scevrsl@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\scevrsl@Description Risolve e salva nella cache nomi DNS per il computer. Se il servizio ? stato arrestato, il computer non sar? in grado di risolvere i nomi DNS e di individuare i controller di dominio Active Directory. Se il servizio ? stato disabilitato, i servizi esplicitamente dipendenti da esso non verranno avviati.
Reg HKLM\SYSTEM\ControlSet003\Services\scevrsl\Parameters
Reg HKLM\SYSTEM\ControlSet003\Services\scevrsl\Parameters@ServiceDll C:\WINDOWS\system32\afpctbko.dll
Reg HKLM\SYSTEM\ControlSet003\Services\yhxrqdkqs@DisplayName odwhcu
Reg HKLM\SYSTEM\ControlSet003\Services\yhxrqdkqs@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\yhxrqdkqs@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\yhxrqdkqs@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\yhxrqdkqs@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\yhxrqdkqs@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\yhxrqdkqs@Description Risolve e salva nella cache nomi DNS per il computer. Se il servizio ? stato arrestato, il computer non sar? in grado di risolvere i nomi DNS e di individuare i controller di dominio Active Directory. Se il servizio ? stato disabilitato, i servizi esplicitamente dipendenti da esso non verranno avviati.
Reg HKLM\SYSTEM\ControlSet003\Services\yhxrqdkqs\Parameters
Reg HKLM\SYSTEM\ControlSet003\Services\yhxrqdkqs\Parameters@ServiceDll C:\WINDOWS\system32\afpctbko.dll

---- EOF - GMER 1.0.14 ----
Avatar utente
sceriffo
Neo Iscritto
Neo Iscritto
 
Messaggi: 3
Iscritto il: lun mar 09, 2009 12:07 pm

Re: controllo file gmer

Messaggioda ste_95 » lun mar 09, 2009 1:07 pm

[ciao]
Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\afpctbko.dll

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\ebitrezyh
HKLM\SYSTEM\CurrentControlSet\Services\oaqcafc
HKLM\SYSTEM\CurrentControlSet\Services\npcoyephh
HKLM\SYSTEM\CurrentControlSet\Services\scevrsl
HKLM\SYSTEM\CurrentControlSet\Services\yhxrqdkqs


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger riporta un errore, prova a riscrivere manualmente la prima riga (Files to delete:) ricordando i due punti.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: controllo file gmer

Messaggioda sceriffo » lun mar 09, 2009 5:34 pm

Grazie per la velocità!! [applauso+]
Questo è il risultato di avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:


Error: file "C:\WINDOWS\system32\afpctbko.dll" not found!
Deletion of file "C:\WINDOWS\system32\afpctbko.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\SYSTEM\CurrentControlSet\Services\ebitrezyh" deleted successfully.
Registry key "HKLM\SYSTEM\CurrentControlSet\Services\oaqcafc" deleted successfully.
Registry key "HKLM\SYSTEM\CurrentControlSet\Services\npcoyephh" deleted successfully.
Registry key "HKLM\SYSTEM\CurrentControlSet\Services\scevrsl" deleted successfully.
Registry key "HKLM\SYSTEM\CurrentControlSet\Services\yhxrqdkqs" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

La mancanza della dll dovrebbe dire che la minaccia in realtà non c'era o mi sbaglio?
Grazie
Fabio
Avatar utente
sceriffo
Neo Iscritto
Neo Iscritto
 
Messaggi: 3
Iscritto il: lun mar 09, 2009 12:07 pm

Re: controllo file gmer

Messaggioda ste_95 » lun mar 09, 2009 5:58 pm

I servizi erano rimasugli di un'infezione passata. Sei pulito adesso. [^]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: controllo file gmer

Messaggioda sceriffo » lun mar 09, 2009 6:02 pm

Ok! Grazie per l'aiuto [grazie] .
Saluti [brindisi]
Fabio
Avatar utente
sceriffo
Neo Iscritto
Neo Iscritto
 
Messaggi: 3
Iscritto il: lun mar 09, 2009 12:07 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising