Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Eliminare Rootkit: come decifro il LOG di GMER?

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Eliminare Rootkit: come decifro il LOG di GMER?

Messaggioda Ale85 » lun lug 06, 2009 6:07 pm

Salve a tutti!

Ho un problema con Rootkit32 che Avast mi segnala all'avvio del computer, ma che non mi elimina.
Non sono molto esperta in materia...ho provato con Spybot, Malwarebytes, ma nulla...dopo varie ricerche su google ho trovato GMER e il vostro forum...e spero in un vostro aiuto! Vi invio il file di LOG e spero che mi aiutiate a decifrarlo per capire come andare avanti.

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-06 18:15:28
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xAA75D6B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xAA75D574]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xAA75DA52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xAA75D14C]
SSDT sptd.sys ZwEnumerateKey [0xF8290FB2]
SSDT sptd.sys ZwEnumerateValueKey [0xF8291340]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xAA75D64E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xAA75D08C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xAA75D0F0]
SSDT sptd.sys ZwQueryKey [0xF8291418]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xAA75D76E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xAA75D72E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xAA75D8AE]

---- Kernel code sections - GMER 1.0.15 ----

? C:\WINDOWS\system32\drivers\sptd.sys Impossibile accedere al file. Il file è utilizzato da un altro processo.
.text USBPORT.SYS!DllUnload F7B6162C 5 Bytes JMP 821DE1C8

---- User code sections - GMER 1.0.15 ----

.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtCreateFile + 6 7C91D688 4 Bytes [28, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtCreateFile + B 7C91D68D 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenFile + 6 7C91DD03 4 Bytes [68, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenFile + B 7C91DD08 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenProcess + 6 7C91DD81 4 Bytes [A8, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenProcess + B 7C91DD86 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenProcessToken + 6 7C91DD96 4 Bytes CALL 7B91F29C
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenProcessToken + B 7C91DD9B 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenProcessTokenEx + 6 7C91DDAB 4 Bytes [A8, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenProcessTokenEx + B 7C91DDB0 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenThread + 6 7C91DDFF 4 Bytes [68, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenThread + B 7C91DE04 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenThreadToken + 6 7C91DE14 4 Bytes [68, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenThreadToken + B 7C91DE19 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenThreadTokenEx + 6 7C91DE29 4 Bytes CALL 7B91F330
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtOpenThreadTokenEx + B 7C91DE2E 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtQueryAttributesFile + 6 7C91DEE6 4 Bytes [A8, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtQueryAttributesFile + B 7C91DEEB 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtQueryFullAttributesFile + 6 7C91DFB8 4 Bytes CALL 7B91F4BD
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtQueryFullAttributesFile + B 7C91DFBD 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtSetInformationFile + 6 7C91E5DF 4 Bytes [28, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtSetInformationFile + B 7C91E5E4 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtSetInformationThread + 6 7C91E648 4 Bytes [28, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[400] ntdll.dll!NtSetInformationThread + B 7C91E64D 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtCreateFile + 6 7C91D688 4 Bytes [28, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtCreateFile + B 7C91D68D 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenFile + 6 7C91DD03 4 Bytes [68, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenFile + B 7C91DD08 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenProcess + 6 7C91DD81 4 Bytes [A8, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenProcess + B 7C91DD86 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenProcessToken + 6 7C91DD96 4 Bytes CALL 7B91F29C
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenProcessToken + B 7C91DD9B 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenProcessTokenEx + 6 7C91DDAB 4 Bytes [A8, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenProcessTokenEx + B 7C91DDB0 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenThread + 6 7C91DDFF 4 Bytes [68, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenThread + B 7C91DE04 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenThreadToken + 6 7C91DE14 4 Bytes [68, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenThreadToken + B 7C91DE19 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenThreadTokenEx + 6 7C91DE29 4 Bytes CALL 7B91F330
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtOpenThreadTokenEx + B 7C91DE2E 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtQueryAttributesFile + 6 7C91DEE6 4 Bytes [A8, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtQueryAttributesFile + B 7C91DEEB 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtQueryFullAttributesFile + 6 7C91DFB8 4 Bytes CALL 7B91F4BD
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtQueryFullAttributesFile + B 7C91DFBD 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtSetInformationFile + 6 7C91E5DF 4 Bytes [28, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtSetInformationFile + B 7C91E5E4 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtSetInformationThread + 6 7C91E648 4 Bytes [28, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[496] ntdll.dll!NtSetInformationThread + B 7C91E64D 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtCreateFile + 6 7C91D688 4 Bytes [28, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtCreateFile + B 7C91D68D 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenFile + 6 7C91DD03 4 Bytes [68, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenFile + B 7C91DD08 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenProcess + 6 7C91DD81 4 Bytes [A8, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenProcess + B 7C91DD86 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenProcessToken + 6 7C91DD96 4 Bytes CALL 7B91F29C
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenProcessToken + B 7C91DD9B 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenProcessTokenEx + 6 7C91DDAB 4 Bytes [A8, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenProcessTokenEx + B 7C91DDB0 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenThread + 6 7C91DDFF 4 Bytes [68, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenThread + B 7C91DE04 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenThreadToken + 6 7C91DE14 4 Bytes [68, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenThreadToken + B 7C91DE19 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenThreadTokenEx + 6 7C91DE29 4 Bytes CALL 7B91F330
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtOpenThreadTokenEx + B 7C91DE2E 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtQueryAttributesFile + 6 7C91DEE6 4 Bytes [A8, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtQueryAttributesFile + B 7C91DEEB 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtQueryFullAttributesFile + 6 7C91DFB8 4 Bytes CALL 7B91F4BD
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtQueryFullAttributesFile + B 7C91DFBD 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtSetInformationFile + 6 7C91E5DF 4 Bytes [28, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtSetInformationFile + B 7C91E5E4 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtSetInformationThread + 6 7C91E648 4 Bytes [28, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1080] ntdll.dll!NtSetInformationThread + B 7C91E64D 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtCreateFile + 6 7C91D688 4 Bytes [28, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtCreateFile + B 7C91D68D 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenFile + 6 7C91DD03 4 Bytes [68, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenFile + B 7C91DD08 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenProcess + 6 7C91DD81 4 Bytes [A8, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenProcess + B 7C91DD86 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenProcessToken + 6 7C91DD96 4 Bytes CALL 7B91F29C
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenProcessToken + B 7C91DD9B 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenProcessTokenEx + 6 7C91DDAB 4 Bytes [A8, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenProcessTokenEx + B 7C91DDB0 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenThread + 6 7C91DDFF 4 Bytes [68, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenThread + B 7C91DE04 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenThreadToken + 6 7C91DE14 4 Bytes [68, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenThreadToken + B 7C91DE19 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenThreadTokenEx + 6 7C91DE29 4 Bytes CALL 7B91F330
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtOpenThreadTokenEx + B 7C91DE2E 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtQueryAttributesFile + 6 7C91DEE6 4 Bytes [A8, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtQueryAttributesFile + B 7C91DEEB 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtQueryFullAttributesFile + 6 7C91DFB8 4 Bytes CALL 7B91F4BD
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtQueryFullAttributesFile + B 7C91DFBD 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtSetInformationFile + 6 7C91E5DF 4 Bytes [28, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtSetInformationFile + B 7C91E5E4 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtSetInformationThread + 6 7C91E648 4 Bytes [28, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[1764] ntdll.dll!NtSetInformationThread + B 7C91E64D 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtCreateFile + 6 7C91D688 4 Bytes [28, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtCreateFile + B 7C91D68D 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenFile + 6 7C91DD03 4 Bytes [68, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenFile + B 7C91DD08 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenProcess + 6 7C91DD81 4 Bytes [A8, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenProcess + B 7C91DD86 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenProcessToken + 6 7C91DD96 4 Bytes CALL 7B91F29C
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenProcessToken + B 7C91DD9B 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenProcessTokenEx + 6 7C91DDAB 4 Bytes [A8, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenProcessTokenEx + B 7C91DDB0 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenThread + 6 7C91DDFF 4 Bytes [68, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenThread + B 7C91DE04 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenThreadToken + 6 7C91DE14 4 Bytes [68, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenThreadToken + B 7C91DE19 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenThreadTokenEx + 6 7C91DE29 4 Bytes CALL 7B91F330
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtOpenThreadTokenEx + B 7C91DE2E 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtQueryAttributesFile + 6 7C91DEE6 4 Bytes [A8, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtQueryAttributesFile + B 7C91DEEB 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtQueryFullAttributesFile + 6 7C91DFB8 4 Bytes CALL 7B91F4BD
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtQueryFullAttributesFile + B 7C91DFBD 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtSetInformationFile + 6 7C91E5DF 4 Bytes [28, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtSetInformationFile + B 7C91E5E4 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtSetInformationThread + 6 7C91E648 4 Bytes [28, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[3312] ntdll.dll!NtSetInformationThread + B 7C91E64D 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtCreateFile + 6 7C91D688 4 Bytes [28, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtCreateFile + B 7C91D68D 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenFile + 6 7C91DD03 4 Bytes [68, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenFile + B 7C91DD08 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenProcess + 6 7C91DD81 4 Bytes [A8, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenProcess + B 7C91DD86 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenProcessToken + 6 7C91DD96 4 Bytes CALL 7B91F29C
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenProcessToken + B 7C91DD9B 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenProcessTokenEx + 6 7C91DDAB 4 Bytes [A8, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenProcessTokenEx + B 7C91DDB0 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenThread + 6 7C91DDFF 4 Bytes [68, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenThread + B 7C91DE04 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenThreadToken + 6 7C91DE14 4 Bytes [68, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenThreadToken + B 7C91DE19 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenThreadTokenEx + 6 7C91DE29 4 Bytes CALL 7B91F330
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtOpenThreadTokenEx + B 7C91DE2E 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtQueryAttributesFile + 6 7C91DEE6 4 Bytes [A8, 00, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtQueryAttributesFile + B 7C91DEEB 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtQueryFullAttributesFile + 6 7C91DFB8 4 Bytes CALL 7B91F4BD
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtQueryFullAttributesFile + B 7C91DFBD 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtSetInformationFile + 6 7C91E5DF 4 Bytes [28, 01, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtSetInformationFile + B 7C91E5E4 1 Byte [E2]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtSetInformationThread + 6 7C91E648 4 Bytes [28, 02, 15, 00]
.text C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe[4056] ntdll.dll!NtSetInformationThread + B 7C91E64D 1 Byte [E2]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F828BAD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F828BC1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F828BB9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F828C748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F828C61E] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F82A129A] sptd.sys

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\system32\services.exe[644] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00370002
IAT C:\WINDOWS\system32\services.exe[644] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00370000

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8236C1E8

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device \FileSystem\Fastfat \FatCdrom 82101410

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbehci \Device\USBPDO-0 820B2440
Device \Driver\dmio \Device\DmControl\DmIoDaemon 823DA1E8
Device \Driver\dmio \Device\DmControl\DmConfig 823DA1E8
Device \Driver\dmio \Device\DmControl\DmPnP 823DA1E8
Device \Driver\dmio \Device\DmControl\DmInfo 823DA1E8
Device \Driver\usbuhci \Device\USBPDO-1 821DD1E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{BCD9C92D-E4E9-4804-A580-9DC2D7A8D506} 81CC71E8
Device \Driver\usbuhci \Device\USBPDO-2 821DD1E8
Device \Driver\usbuhci \Device\USBPDO-3 821DD1E8
Device \Driver\usbuhci \Device\USBPDO-4 821DD1E8

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\NetBT \Device\NetBT_Tcpip_{B32B3E7D-83D1-4505-A66A-2FA9DFA92A7D} 81CC71E8

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000272b00026
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000272b00026@001f5c5b2c10 0xB6 0x07 0x9D 0xC3 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x18 0x1F 0x26 0xB2 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x6B 0xFE 0x32 0xC4 ...
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000272b00026
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000272b00026@001f5c5b2c10 0xB6 0x07 0x9D 0xC3 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x18 0x1F 0x26 0xB2 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 1
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x6B 0xFE 0x32 0xC4 ...

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 01: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 02: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 03: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 04: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 05: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 06: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 07: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 08: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 09: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 10: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 11: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 12: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 13: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 14: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 15: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 16: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 17: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 18: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 19: copy of MBR
Disk \Device\Harddisk0\DR0 sector 20: copy of MBR
Disk \Device\Harddisk0\DR0 sector 21: copy of MBR
Disk \Device\Harddisk0\DR0 sector 22: copy of MBR
Disk \Device\Harddisk0\DR0 sector 23: copy of MBR
Disk \Device\Harddisk0\DR0 sector 24: copy of MBR
Disk \Device\Harddisk0\DR0 sector 25: copy of MBR
Disk \Device\Harddisk0\DR0 sector 26: copy of MBR
Disk \Device\Harddisk0\DR0 sector 27: copy of MBR
Disk \Device\Harddisk0\DR0 sector 28: copy of MBR
Disk \Device\Harddisk0\DR0 sector 29: copy of MBR
Disk \Device\Harddisk0\DR0 sector 30: copy of MBR
Disk \Device\Harddisk0\DR0 sector 31: copy of MBR
Disk \Device\Harddisk0\DR0 sector 32: copy of MBR
Disk \Device\Harddisk0\DR0 sector 33: copy of MBR
Disk \Device\Harddisk0\DR0 sector 34: copy of MBR
Disk \Device\Harddisk0\DR0 sector 35: copy of MBR
Disk \Device\Harddisk0\DR0 sector 36: copy of MBR
Disk \Device\Harddisk0\DR0 sector 37: copy of MBR
Disk \Device\Harddisk0\DR0 sector 38: copy of MBR
Disk \Device\Harddisk0\DR0 sector 39: copy of MBR
Disk \Device\Harddisk0\DR0 sector 40: copy of MBR
Disk \Device\Harddisk0\DR0 sector 41: copy of MBR
Disk \Device\Harddisk0\DR0 sector 42: copy of MBR
Disk \Device\Harddisk0\DR0 sector 43: copy of MBR
Disk \Device\Harddisk0\DR0 sector 44: copy of MBR
Disk \Device\Harddisk0\DR0 sector 45: copy of MBR
Disk \Device\Harddisk0\DR0 sector 46: copy of MBR
Disk \Device\Harddisk0\DR0 sector 47: copy of MBR
Disk \Device\Harddisk0\DR0 sector 48: copy of MBR
Disk \Device\Harddisk0\DR0 sector 49: copy of MBR
Disk \Device\Harddisk0\DR0 sector 50: copy of MBR
Disk \Device\Harddisk0\DR0 sector 51: copy of MBR
Disk \Device\Harddisk0\DR0 sector 52: copy of MBR
Disk \Device\Harddisk0\DR0 sector 53: copy of MBR
Disk \Device\Harddisk0\DR0 sector 54: copy of MBR
Disk \Device\Harddisk0\DR0 sector 55: copy of MBR
Disk \Device\Harddisk0\DR0 sector 56: copy of MBR
Disk \Device\Harddisk0\DR0 sector 57: copy of MBR
Disk \Device\Harddisk0\DR0 sector 58: copy of MBR
Disk \Device\Harddisk0\DR0 sector 59: copy of MBR
Disk \Device\Harddisk0\DR0 sector 60: copy of MBR
Disk \Device\Harddisk0\DR0 sector 61: copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR

---- EOF - GMER 1.0.15 ----
Avatar utente
Ale85
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: lun lug 06, 2009 5:16 pm

Re: Eliminare Rootkit: come decifro il LOG di GMER?

Messaggioda ste_95 » lun lug 06, 2009 6:26 pm

[ciao]
Segui le istruzioni di questo articolo per risolvere il problema. [^]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Eliminare Rootkit: come decifro il LOG di GMER?

Messaggioda Ale85 » gio lug 09, 2009 3:59 pm

Ho fatto come mi hai detto..ma ottengo il seguente log

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


forse non si tratta di un rootkit (anche se avast me lo segnala così)

Nel frattempo ho eseguito una scansione con Prevx e mi ha trovato sette infezioni...conoscete qualcosa di simile ma free per rimuoverle? così forse ne vengo a capo.

Grazie a tutti ancora [:)]
Avatar utente
Ale85
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: lun lug 06, 2009 5:16 pm


Re: Eliminare Rootkit: come decifro il LOG di GMER?

Messaggioda Amantide » gio lug 09, 2009 5:31 pm

Puoi postare il risultato di Prevx? Conoscendo il percorso dei file infetti, si può anche eliminarli manualmente.

Altrimenti scarica ComboFix , salvandolo sul desktop con un nome di fantasia, ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto inserendolo tra i tag LOG, in questo modo:
Codice: Seleziona tutto
[LOG]qui va inserito il log[/LOG]
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Eliminare Rootkit: come decifro il LOG di GMER?

Messaggioda Ale85 » lun lug 13, 2009 11:51 am

Chiedo perdono per il ritardo nella risposta...comunque ci sono novità..nel frattempo un mio amico si è impossessato del mio pc ed eseguendo una scansione con avira ha eliminato ben 110 virus! (Sembra impossibile ma è così).
Ora il problema virus sembra risolto, tuttavia c'è un ultimo problema:
non riesco ad accedere alle partizioni C e D cliccandoci da Risorse del computer...(se clicco si apre la finestra "Apri con...").
Posso comunque accedervi da "esegui" però mi chiedevo come risolvere il problema. Probabilmente è il file autorun.ini che devo modificare..ma non riesco neanche a trovarlo.

Sperando di non abusare della vostra pazienza...
Ancora grazie mille e a presto!
Ale
Avatar utente
Ale85
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: lun lug 06, 2009 5:16 pm

Re: Eliminare Rootkit: come decifro il LOG di GMER?

Messaggioda ste_95 » lun lug 13, 2009 12:32 pm

Scarica ed usa il Perlovga Removal Tool seconod queste istruzioni:
http://www.MegaLab.it/2899/2/worm-perlo ... desiderato
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Eliminare Rootkit: come decifro il LOG di GMER?

Messaggioda klaude4d » mer lug 15, 2009 12:01 am

ciao a tutti sono nuovo, ho preso il virus bagle, e girando uiin intenet ho trovato il vs. sito molto interessante e completo per la sua rimozione, sono arrivato ad un punto morto dopo la scansione con gmer, vorrei se possibile un aiuto da esperti su cosa devo fare ora, non conosco come usare avenger e non so capire vito i risultatimolto lunghi cosa devo fare con i suddetti file. ho seguito istruzioni per allegare file e posto il link per il download x gli esperti.

http://www.mediafire.com/?sharekey=14e4 ... f6e8ebb871

sono riuscito attraverso malwarebytes anti malware a far ripartire avira, il firewall ma ancora hijackthis non va
prego di venirmi in soccorso

grazie ancora
Avatar utente
klaude4d
Aficionado
Aficionado
 
Messaggi: 146
Iscritto il: mar lug 14, 2009 11:07 pm

Re: Eliminare Rootkit: come decifro il LOG di GMER?

Messaggioda ste_95 » mer lug 15, 2009 6:25 am

Rifai la scansione con MalwareBytes, ma stavolta scegli di eliminare i problemi trovati. Poi scarica ComboFix , salvandolo sul desktop con un nome di fantasia, ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto inserendolo tra i tag LOG, in questo modo:
Codice: Seleziona tutto
[LOG]qui va inserito il log[/LOG]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Eliminare Rootkit: come decifro il LOG di GMER?

Messaggioda klaude4d » mer lug 15, 2009 10:47 am

ciao ste_95 e grazie per la tua risposta cosi tempestiva, ho scaricato ultima versione di malwarebytes ma non trovo la voce da spuntare per fargli eliminare i problemi in automarico,combofix lo avevo gia provato 2 volte ma appena lo lanciavo dopo qualche secondo mi si bloccava il pc e veniva la solita schermata blu dove dice che windows e' stato chiuso per evitare problemi maggiori etc, pero non lo avevo rinominato come posso procedere intanto sto facendo scansione con malwarebytes
Avatar utente
klaude4d
Aficionado
Aficionado
 
Messaggi: 146
Iscritto il: mar lug 14, 2009 11:07 pm

Re: Eliminare Rootkit: come decifro il LOG di GMER?

Messaggioda Amantide » mer lug 15, 2009 10:56 am

Hai provato ad usare Findykill?

Per quanto riguarda Malwarebytes, prima devi effettuare la scansione, se non erro, e dopo procedere con l'eliminazione.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Eliminare Rootkit: come decifro il LOG di GMER?

Messaggioda klaude4d » mer lug 15, 2009 11:00 am

no, findykill no, ma come mai con combofix mi si e' bloccato il pc con schermata blu? conteneva un virus?
Avatar utente
klaude4d
Aficionado
Aficionado
 
Messaggi: 146
Iscritto il: mar lug 14, 2009 11:07 pm

Re: Eliminare Rootkit: come decifro il LOG di GMER?

Messaggioda klaude4d » mer lug 15, 2009 11:08 am

sto provando a scaricare finsykill ma gli un ici che riesco a scaricare avira me li riconosce come trojan,quelllo postati nei vati link sivcuri in rete la risposta alla pagina e' sempre 4'4 not found come posso fare? hai un eseguibile da paassarmi qui nel posto o un link sicuro?oppure e' il bagle che non mi fa aprire tali siti?
Avatar utente
klaude4d
Aficionado
Aficionado
 
Messaggi: 146
Iscritto il: mar lug 14, 2009 11:07 pm

Re: Eliminare Rootkit: come decifro il LOG di GMER?

Messaggioda Amantide » mer lug 15, 2009 11:15 am

Per il Combofix - potrebbe essere il virus a mandare in crash il sistema appena avvii il suo "nemico n.1", prova ad eseguirlo dalla modalità provvisoria.
Il Findykill scaricalo da qui.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Eliminare Rootkit: come decifro il LOG di GMER?

Messaggioda klaude4d » mer lug 15, 2009 11:19 am

devo fare qualche accorgimento particolare nellusare findykill?
Avatar utente
klaude4d
Aficionado
Aficionado
 
Messaggi: 146
Iscritto il: mar lug 14, 2009 11:07 pm

Re: Eliminare Rootkit: come decifro il LOG di GMER?

Messaggioda klaude4d » mer lug 15, 2009 11:22 am

mi dice connetrere tutti gli hard drive, le penne usb ed inserire un cd nel lettore e disabilitare la lettura dei dipositivi,poi do' lok parte ma 2 stringhe di accesso negato poi si chiude come mai? anche questo non va?
Avatar utente
klaude4d
Aficionado
Aficionado
 
Messaggi: 146
Iscritto il: mar lug 14, 2009 11:07 pm

Re: Eliminare Rootkit: come decifro il LOG di GMER?

Messaggioda klaude4d » mer lug 15, 2009 11:24 am

mi arrivano mail che ho ricevuto una risposta dal forum ci clikko ma non le vedo !!!!!! stai scrivendo qualcosa? non leggo le risposte grazie
Avatar utente
klaude4d
Aficionado
Aficionado
 
Messaggi: 146
Iscritto il: mar lug 14, 2009 11:07 pm

Re: Eliminare Rootkit: come decifro il LOG di GMER?

Messaggioda Amantide » mer lug 15, 2009 11:27 am

Mi puoi dire il contenuto di queste 2 stringhe?
Comunque, anche come per Combofix qui vale la stessa regola, se il programma non funziona dalla modalità normale, tentare di eseguirlo dalla modalità provvisoria.

Questa è la guida all'uso di Findykill: http://www.MegaLab.it/3724/3/il-worm-ba ... -rimozione
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Eliminare Rootkit: come decifro il LOG di GMER?

Messaggioda klaude4d » mer lug 15, 2009 5:21 pm

ah niente le stringhe dicono cosi

accesso negato
accesso negato
accesso begato

3 volte poi si chiude il pro.
ho fatto da provvisoria, malwarebytes e findykill
posto tutto ok? malware mi ha trovato avenger con un trojan lo ho eliminato x il resto ecco tutto qui;

findykill

############################## | FindyKill V6.004 |

# User : SYSTEM () # PC-KLAUDE3D
# Update on 08/07/09 by Chiquitine29 & C_XX
# Start at: 1:37:55 | 15/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
# Microsoft® Windows Vista™ Home Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Enabled

# A:\ # Disco floppy, 3,5 pollici
# C:\ # Disco rigido locale # 232,88 Go (26,68 Go free) # NTFS
# D:\ # Disco rigido locale # 232,88 Go (34,7 Go free) [Volume] # NTFS
# E:\ # Disco CD-ROM
# F:\ # Disco CD-ROM
# G:\ # Disco rimovibile
# H:\ # Disco rimovibile
# I:\ # Disco rimovibile
# J:\ # Disco CD-ROM
# K:\ # Disco CD-ROM
# L:\ # Disco CD-ROM
# M:\ # Disco rimovibile
# N:\ # Disco rimovibile

############################## | Active processes |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\wbem\wmiprvse.exe

################## | Registry Startup |

HKLM_logon: "Userinit"="C:\\Windows\\system32\\userinit.exe,"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: RtHDVCpl=C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
HKLM_Run: WinampAgent="C:\Program Files\Winamp\winampa.exe"
HKLM_Run: UnlockerAssistant="C:\Program Files\Unlocker\UnlockerAssistant.exe"
HKLM_Run: NokiaMServer=C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles
HKLM_Run: Nokia FastStart="C:\Program Files\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart
HKLM_Run: SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HKLM_Run: NvCplDaemon=RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
HKLM_Run: NvMediaCenter=RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
HKLM_Run: avgnt="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM_Run: AppleSyncNotifier=C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
HKLM_Run: QuickTime Task="C:\Program Files\QuickTime\QTTask.exe" -atboottime
HKLM_Run: iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe"
HKLM_Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=

################## | Files # Infected Folders |


################## | C:\Windows\system32\config\systemprofile\Temporary Internet Files |


################## | All Drives ... |


################## | Registry # Infected run Keys |

Found ! HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_111111s1ro1s1a
Found ! HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_111111s1ro1s1a
Found ! HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_111111s1ro1s1a
Found ! HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S

################## | Registry # Mountpoints2 |


################## | State / Service / Information |

# Showing of hidden files : OK

# Safe boot mode : OK

# (!) Uac = 0x0

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) windefend -> Start = 4 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

################## | Cracks / Keygens / Serials |


################## | ! End of report # FindyKill V6.004 ! |
Avatar utente
klaude4d
Aficionado
Aficionado
 
Messaggi: 146
Iscritto il: mar lug 14, 2009 11:07 pm

Re: Eliminare Rootkit: come decifro il LOG di GMER?

Messaggioda Amantide » gio lug 16, 2009 5:41 pm

C'è qualche rimasuglio di Bagle nel registro di sistema che puoi rimuovere eseguendo l'opzione 2 di Findykill.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Eliminare Rootkit: come decifro il LOG di GMER?

Messaggioda klaude4d » gio lug 16, 2009 11:14 pm

dove posso scaricarlo sicuro ? ne ho trovato uno ma a fine installazioenn avira mi trova c:\find ykill\tools\sniffc.exe
contiene il modello di rilevamento del programma SPR/Autolt.gen
che faccio nego sempre accesso ma findy e' completo
Avatar utente
klaude4d
Aficionado
Aficionado
 
Messaggi: 146
Iscritto il: mar lug 14, 2009 11:07 pm

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising