Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Rimozione roorkit

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Rimozione roorkit

Messaggioda Pandale » mar mar 15, 2011 11:40 am

Ciao a tutti! Credo che il mio pc abbia problemi coi rootkit. Sono arrivato su MegaLab.it da qualche giorno e vorrei il vostro aiuto.
Da tre giorni tramite Google non riesco ad accedere ai siti che cerco (vengo reinviato su wide.fullpageads.info).
Per ora ho utilizzato la scansione del mio antivirus Norton, Ccleaner, TDSSKiller, Malwarebytes' anti-malware (ho anche provato ad usare GMER, ma senza risultati, poichè si bloccava nella scansione dell'hard disk D:) e infine vi riporto lo scan report di NoAntivirusThanks Anti-Rootkit, che non so decifrare.
Mi potete dire cosa fare (anche usando The Avenger)? Vi ringrazio in anticipo.

==========================================================================================================================
NoVirusThanks Anti-Rootkit v1.2 (FREE EDITION)
Microsoft Windows Version 5.1 Build: 2600 Service Pack: 2
Detected CPUs: (2)
Scanning Commenced... 15/03/2011 11.22.19
==========================================================================================================================
>>>SSDT<<<
==========================================================================================================================

#12 NtAlertResumeThread
Real Address: 0x805D33CE
Hook Address: 0x856E0AB8 [<empty>]

#13 NtAlertThread
Real Address: 0x805D337E
Hook Address: 0x85301550 [<empty>]

#17 NtAllocateVirtualMemory
Real Address: 0x805A758E
Hook Address: 0x84ABB080 [<empty>]

#19 NtAssignProcessToJobObject
Real Address: 0x805D4E92
Hook Address: 0x853254D0 [<empty>]

#31 NtConnectPort
Real Address: 0x805A30A4
Hook Address: 0x857AB158 [<empty>]

#41 NtCreateKey
Real Address: 0x8062212E
Hook Address: 0xF21B4210 [SYMEVENT.SYS]

#43 NtCreateMutant
Real Address: 0x80615572
Hook Address: 0x84AB3B40 [<empty>]

#52 NtCreateSymbolicLinkObject
Real Address: 0x805C36A4
Hook Address: 0x85118270 [<empty>]

#53 NtCreateThread
Real Address: 0x805CF8C8
Hook Address: 0x85710910 [<empty>]

#57 NtDebugActiveProcess
Real Address: 0x80641014
Hook Address: 0x856F9C98 [<empty>]

#63 NtDeleteKey
Real Address: 0x806225BE
Hook Address: 0xF21B4490 [SYMEVENT.SYS]

#65 NtDeleteValueKey
Real Address: 0x8062278E
Hook Address: 0xF21B49F0 [SYMEVENT.SYS]

#68 NtDuplicateObject
Real Address: 0x805BC94C
Hook Address: 0x84ABB318 [<empty>]

#83 NtFreeVirtualMemory
Real Address: 0x805B19F6
Hook Address: 0x851236A0 [<empty>]

#89 NtImpersonateAnonymousToken
Real Address: 0x805F7316
Hook Address: 0x85311BD0 [<empty>]

#91 NtImpersonateThread
Real Address: 0x805D6052
Hook Address: 0x8530D9B0 [<empty>]

#97 NtLoadDriver
Real Address: 0x80582EAE
Hook Address: 0x85877668 [<empty>]

#108 NtMapViewOfSection
Real Address: 0x805B0A7E
Hook Address: 0x85123500 [<empty>]

#114 NtOpenEvent
Real Address: 0x8060CF5C
Hook Address: 0x852E8520 [<empty>]

#122 NtOpenProcess
Real Address: 0x805C9D0A
Hook Address: 0x84ABB570 [<empty>]

#123 NtOpenProcessToken
Real Address: 0x805EBFD0
Hook Address: 0x85900CD0 [<empty>]

#125 NtOpenSection
Real Address: 0x805A8EC2
Hook Address: 0x85288CD0 [<empty>]

#128 NtOpenThread
Real Address: 0x805C9F96
Hook Address: 0x85123FC0 [<empty>]

#137 NtProtectVirtualMemory
Real Address: 0x805B6E5E
Hook Address: 0x85118AC0 [<empty>]

#206 NtResumeThread
Real Address: 0x805D320A
Hook Address: 0x8528D538 [<empty>]

#213 NtSetContextThread
Real Address: 0x805D0002
Hook Address: 0x858266A0 [<empty>]

#228 NtSetInformationProcess
Real Address: 0x805CC754
Hook Address: 0x85123228 [<empty>]

#240 NtSetSystemInformation
Real Address: 0x8060DC14
Hook Address: 0x8574FCD0 [<empty>]

#247 NtSetValueKey
Real Address: 0x806207EE
Hook Address: 0xF21B4C40 [SYMEVENT.SYS]

#253 NtSuspendProcess
Real Address: 0x805D32D2
Hook Address: 0x856D5500 [<empty>]

#254 NtSuspendThread
Real Address: 0x805D3144
Hook Address: 0x856E7358 [<empty>]

#257 NtTerminateProcess
Real Address: 0x805D1232
Hook Address: 0x8583ACD0 [<empty>]

#258 NtTerminateThread
Real Address: 0x805D142C
Hook Address: 0x852BA3A0 [<empty>]

#267 NtUnmapViewOfSection
Real Address: 0x805B188C
Hook Address: 0x8583BCD0 [<empty>]

#277 NtWriteVirtualMemory
Real Address: 0x805B2E0C
Hook Address: 0x85123B30 [<empty>]

==========================================================================================================================
>>>Shadow SDT<<<
==========================================================================================================================

#307 NtUserAttachThreadInput
Real Address: 0xBF8F7A01
Hook Address: 0x852BE150 [<empty>]

#383 NtUserGetAsyncKeyState
Real Address: 0xBF863EA2
Hook Address: 0x852CA150 [<empty>]

#414 NtUserGetKeyboardState
Real Address: 0xBF8BA069
Hook Address: 0x856D6110 [<empty>]

#416 NtUserGetKeyState
Real Address: 0xBF82887F
Hook Address: 0x852B0150 [<empty>]

#428 NtUserGetRawInputData
Real Address: 0xBF9156DC
Hook Address: 0x849E91A8 [<empty>]

#460 NtUserMessageCall
Real Address: 0xBF80EFF3
Hook Address: 0x85897F00 [<empty>]

#475 NtUserPostMessage
Real Address: 0xBF8084A3
Hook Address: 0x85871430 [<empty>]

#476 NtUserPostThreadMessage
Real Address: 0xBF8AD237
Hook Address: 0x85796138 [<empty>]

#549 NtUserSetWindowsHookEx
Real Address: 0xBF8BA129
Hook Address: 0x85754060 [<empty>]

#552 NtUserSetWinEventHook
Real Address: 0xBF8F0124
Hook Address: 0x858883D0 [<empty>]

==========================================================================================================================
>>>Kernel Notify Routines<<<
==========================================================================================================================

CreateProcess: Address 0xF21A90C0 [C:\WINDOWS\system32\Drivers\SYMEVENT.SYS]
Hidden Loaded Driver: False

CreateProcess: Address 0xF1DDFC20 [C:\Documents and Settings\All Users\Dati applicazioni\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\BASHDefs\20110309.001\BHDrvx86.sys]
Hidden Loaded Driver: False

CreateProcess: Address 0xF6A50B60 [C:\WINDOWS\system32\DRIVERS\S3gIGPm.sys]
Hidden Loaded Driver: False

CreateThread: Address 0xF21A9050 [C:\WINDOWS\system32\Drivers\SYMEVENT.SYS]
Hidden Loaded Driver: False

LoadImage: Address 0xF21A8E00 [C:\WINDOWS\system32\Drivers\SYMEVENT.SYS]
Hidden Loaded Driver: False

LoadImage: Address 0xF1DDFB30 [C:\Documents and Settings\All Users\Dati applicazioni\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\BASHDefs\20110309.001\BHDrvx86.sys]
Hidden Loaded Driver: False

LoadImage: Address 0xF6A50820 [C:\WINDOWS\system32\DRIVERS\S3gIGPm.sys]
Hidden Loaded Driver: False

==========================================================================================================================
>>>Processes<<<
==========================================================================================================================

0x859C4660 [4]SYSTEM
Suspicious: False
Hidden: False

0x848F31E0 [1044]C:\WINDOWS\system32\winlogon.exe
Suspicious: False
Hidden: False

0x858C5788 [856]C:\Programmi\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe
Suspicious: False
Hidden: False

0x84920B98 [1512]C:\WINDOWS\system32\svchost.exe
Suspicious: False
Hidden: False

0x8592F030 [364]C:\WINDOWS\system32\spoolsv.exe
Suspicious: False
Hidden: False

0x84810030 [588]C:\WINDOWS\system32\svchost.exe
Suspicious: False
Hidden: False

0x8469E788 [2484]C:\Programmi\NoVirusThanks\Anti-Rootkit (Free Edition)\NVTArk.exe
Suspicious: False
Hidden: False

0x849429A0 [1916]C:\WINDOWS\explorer.exe
Suspicious: False
Hidden: False

0x84697520 [2560]C:\Programmi\HP\Digital Imaging\bin\hpqbam08.exe
Suspicious: False
Hidden: False

0x84830B18 [480]C:\WINDOWS\system32\svchost.exe
Suspicious: False
Hidden: False

0x8581E370 [1368]C:\WINDOWS\system32\svchost.exe
Suspicious: False
Hidden: False

0x85289DA0 [564]C:\Programmi\HP\HP Software Update\hpwuSchd2.exe
Suspicious: False
Hidden: False

0x848E6600 [1320]C:\WINDOWS\system32\svchost.exe
Suspicious: False
Hidden: False

0x8481C030 [1848]C:\Programmi\Norton AntiVirus\Engine\17.8.0.5\ccsvchst.exe
Suspicious: False
Hidden: False

0x84931598 [1112]C:\WINDOWS\system32\lsass.exe
Suspicious: False
Hidden: False

0x849BF8A0 [464]C:\Programmi\QuickTime\qttask.exe
Suspicious: False
Hidden: False

0x8491B238 [660]C:\Programmi\File comuni\Java\Java Update\jusched.exe
Suspicious: False
Hidden: False

0x85451030 [680]C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
Suspicious: False
Hidden: False

0x8485DDA0 [732]C:\WINDOWS\system32\ctfmon.exe
Suspicious: False
Hidden: False

0x85861990 [752]C:\Programmi\Norton Utilities 14\nu.exe
Suspicious: False
Hidden: False

0x849214C0 [1100]C:\WINDOWS\system32\services.exe
Suspicious: False
Hidden: False

0x85453DA0 [836]C:\WINDOWS\system32\svchost.exe
Suspicious: False
Hidden: False

0x84A30B98 [948]C:\WINDOWS\system32\smss.exe
Suspicious: False
Hidden: False

0x84862798 [960]C:\Programmi\HP\Button Manager\BM.exe
Suspicious: True
Hidden: False

0x849C4DA0 [1956]C:\WINDOWS\system32\svchost.exe
Suspicious: False
Hidden: False

0x852C2030 [1008]C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
Suspicious: False
Hidden: False

0x84934158 [1020]C:\WINDOWS\system32\csrss.exe
Suspicious: False
Hidden: False

0x8491F580 [1712]C:\WINDOWS\system32\svchost.exe
Suspicious: False
Hidden: False

0x849419A0 [1284]C:\WINDOWS\system32\svchost.exe
Suspicious: False
Hidden: False

0x849A82F0 [1548]C:\WINDOWS\system32\svchost.exe
Suspicious: False
Hidden: False

0x84850B18 [1544]C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACService.exe
Suspicious: False
Hidden: False

0x8489EB98 [1688]C:\WINDOWS\system32\svchost.exe
Suspicious: False
Hidden: False

0x858EBDA0 [1748]C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
Suspicious: False
Hidden: False

0x858D8DA0 [388]C:\WINDOWS\system32\wuauclt.exe
Suspicious: False
Hidden: False

0x858DADA0 [2516]C:\Programmi\Norton AntiVirus\Engine\17.8.0.5\ccsvchst.exe
Suspicious: False
Hidden: False

0x846A2990 [1684]C:\Programmi\HP\Digital Imaging\bin\hpqste08.exe
Suspicious: False
Hidden: False

0x84746030 [2968]C:\WINDOWS\system32\wbem\wmiprvse.exe
Suspicious: False
Hidden: False

0x84726580 [3508]C:\WINDOWS\system32\wbem\wmiapsrv.exe
Suspicious: False
Hidden: False

0x846FA030 [3756]C:\WINDOWS\system32\wbem\wmiprvse.exe
Suspicious: False
Hidden: False

0x847007A8 [3924]C:\WINDOWS\system32\alg.exe
Suspicious: False
Hidden: False

==========================================================================================================================
>>>SYSENTER<<<
==========================================================================================================================

CPU #0 Hook Address: 0x80540790[C:\WINDOWS\system32\ntkrnlpa.exe]
Hooked: False

CPU #1 Hook Address: 0x80540790[C:\WINDOWS\system32\ntkrnlpa.exe]
Hooked: False

==========================================================================================================================
>>>Drivers<<<
==========================================================================================================================

==========================================================================================================================
>>>IDT<<<
==========================================================================================================================

==========================================================================================================================
>>>Windows Message Hooks<<<
==========================================================================================================================

Process: [1916]explorer.exe
Type: WH_KEYBOARD
Address: 0x746C024B
TID: 1920
Hook Module: MSCTF.dll

Process: [1916]explorer.exe
Type: WH_MOUSE
Address: 0x746BFF89
TID: 1920
Hook Module: MSCTF.dll

Process: [732]ctfmon.exe
Type: WH_SHELL
Address: 0x746C0D4E
TID: 744
Hook Module: MSCTF.dll

Process: [732]ctfmon.exe
Type: WH_GETMESSAGE
Address: 0x746C0DE9
TID: 744
Hook Module: MSCTF.dll

Process: [732]ctfmon.exe
Type: WH_CBT
Address: 0x746C08B6
TID: 744
Hook Module: MSCTF.dll

Process: [732]ctfmon.exe
Type: WH_KEYBOARD
Address: 0x746C024B
TID: 744
Hook Module: MSCTF.dll

Process: [732]ctfmon.exe
Type: WH_MOUSE
Address: 0x746BFF89
TID: 744
Hook Module: MSCTF.dll

Process: [1916]explorer.exe
Type: WH_KEYBOARD
Address: 0x746C024B
TID: 448
Hook Module: MSCTF.dll

Process: [1916]explorer.exe
Type: WH_MOUSE
Address: 0x746BFF89
TID: 448
Hook Module: MSCTF.dll

Process: [960]BM.exe
Type: WH_MSGFILTER
Address: 0x00405F27
TID: 968
Hook Module: BM.exe

Process: [960]BM.exe
Type: WH_CBT
Address: 0x0040CBFE
TID: 968
Hook Module: BM.exe

Process: [752]nu.exe
Type: WH_KEYBOARD
Address: 0x746C024B
TID: 776
Hook Module: MSCTF.dll

Process: [960]BM.exe
Type: WH_KEYBOARD
Address: 0x746C024B
TID: 968
Hook Module: MSCTF.dll

Process: [752]nu.exe
Type: WH_MOUSE
Address: 0x746BFF89
TID: 776
Hook Module: MSCTF.dll

Process: [960]BM.exe
Type: WH_MOUSE
Address: 0x746BFF89
TID: 968
Hook Module: MSCTF.dll

Process: [1008]hpqtra08.exe
Type: WH_KEYBOARD
Address: 0x746C024B
TID: 1024
Hook Module: MSCTF.dll

Process: [752]nu.exe
Type: WH_MSGFILTER
Address: 0x66061D17
TID: 776
Hook Module: msvbvm60.dll

Process: [1008]hpqtra08.exe
Type: WH_MOUSE
Address: 0x746BFF89
TID: 1024
Hook Module: MSCTF.dll

Process: [960]BM.exe
Type: WH_MSGFILTER
Address: 0x00405F27
TID: 1444
Hook Module: BM.exe

Process: [2516]ccsvchst.exe
Type: WH_KEYBOARD
Address: 0x746C024B
TID: 2580
Hook Module: MSCTF.dll

Process: [2516]ccsvchst.exe
Type: WH_MOUSE
Address: 0x746BFF89
TID: 2580
Hook Module: MSCTF.dll

Process: [2516]ccsvchst.exe
Type: WH_KEYBOARD
Address: 0x746C024B
TID: 2608
Hook Module: MSCTF.dll

Process: [2516]ccsvchst.exe
Type: WH_MOUSE
Address: 0x746BFF89
TID: 2608
Hook Module: MSCTF.dll

Process: [2516]ccsvchst.exe
Type: WH_KEYBOARD
Address: 0x746C024B
TID: 2828
Hook Module: MSCTF.dll

Process: [2516]ccsvchst.exe
Type: WH_KEYBOARD
Address: 0x746C024B
TID: 2636
Hook Module: MSCTF.dll

Process: [2516]ccsvchst.exe
Type: WH_MOUSE
Address: 0x746BFF89
TID: 2636
Hook Module: MSCTF.dll

Process: [2516]ccsvchst.exe
Type: WH_KEYBOARD
Address: 0x746C024B
TID: 2640
Hook Module: MSCTF.dll

Process: [2516]ccsvchst.exe
Type: WH_MOUSE
Address: 0x746BFF89
TID: 2640
Hook Module: MSCTF.dll

Process: [2516]ccsvchst.exe
Type: WH_KEYBOARD
Address: 0x746C024B
TID: 2664
Hook Module: MSCTF.dll

Process: [2516]ccsvchst.exe
Type: WH_MOUSE
Address: 0x746BFF89
TID: 2664
Hook Module: MSCTF.dll

Process: [2516]ccsvchst.exe
Type: WH_MOUSE
Address: 0x746BFF89
TID: 2828
Hook Module: MSCTF.dll

Process: [752]nu.exe
Type: WH_MOUSE
Address: 0x00031BF7
TID: 776
Hook Module: nu.exe

Process: [752]nu.exe
Type: WH_KEYBOARD
Address: 0x00003A04
TID: 776
Hook Module: nu.exe

Process: [752]nu.exe
Type: WH_KEYBOARD
Address: 0x00003A04
TID: 776
Hook Module: nu.exe

Process: [1008]hpqtra08.exe
Type: WH_KEYBOARD
Address: 0x746C024B
TID: 2512
Hook Module: MSCTF.dll

Process: [1916]explorer.exe
Type: WH_KEYBOARD
Address: 0x746C024B
TID: 3224
Hook Module: MSCTF.dll

Process: [1916]explorer.exe
Type: WH_MOUSE
Address: 0x746BFF89
TID: 3224
Hook Module: MSCTF.dll

Process: [1008]hpqtra08.exe
Type: WH_MOUSE
Address: 0x746BFF89
TID: 2512
Hook Module: MSCTF.dll

Process: [2484]NVTArk.exe
Type: WH_KEYBOARD
Address: 0x746C024B
TID: 2488
Hook Module: MSCTF.dll

Process: [2484]NVTArk.exe
Type: WH_MOUSE
Address: 0x746BFF89
TID: 2488
Hook Module: MSCTF.dll

Process: [1684]hpqste08.exe
Type: WH_KEYBOARD
Address: 0x746C024B
TID: 2572
Hook Module: MSCTF.dll

Process: [1684]hpqste08.exe
Type: WH_MOUSE
Address: 0x746BFF89
TID: 2572
Hook Module: MSCTF.dll

Process: [2560]hpqbam08.exe
Type: WH_KEYBOARD
Address: 0x746C024B
TID: 1500
Hook Module: MSCTF.dll

Process: [2560]hpqbam08.exe
Type: WH_MOUSE
Address: 0x746BFF89
TID: 1500
Hook Module: MSCTF.dll

==========================================================================================================================
>>>BHOs<<<
==========================================================================================================================

Key Name: {0347C33E-8762-4905-BF09-768834316C61}
Module: C:\Programmi\HP\Smart Web Printing\hpswp_printenhancer.dll (hpswp_printenhancer dll)

Key Name: {053F9267-DC04-4294-A72C-58F732D338C0}
Module: C:\Programmi\HP\Smart Web Printing\hpswp_framework.dll (Leo (Framework) - add-on for Internet Explorer)

Key Name: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
Module: C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe PDF Helper for Internet Explorer)

Key Name: {6D53EC84-6AAE-4787-AEEE-F4628F01010C}
Module: C:\Programmi\Norton AntiVirus\Engine\17.8.0.5\IPSBHO.DLL (IPS Browser Helper DLL)

Key Name: {9030D464-4C02-4ABF-8ECC-5164760863C6}
Module: C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (WindowsLiveLogin.dll)

Key Name: {DBC80044-A445-435b-BC74-9C25C1C588A9}
Module: C:\Programmi\Java\jre6\bin\jp2ssv.dll (Java(TM) Platform SE binary)

==========================================================================================================================
>>>AppInit_DLLs<<<
==========================================================================================================================

==========================================================================================================================
>>>IRP Hooks<<<
==========================================================================================================================

==========================================================================================================================
>>>Ring0 Export Hooks<<<
==========================================================================================================================

==========================================================================================================================
>>>Ring3 Export Hooks<<<
==========================================================================================================================

[1916]explorer.exe->kernel32.dll->CreateProcessInternalW
Real Address: 0x7C819527
Hook Address: 0x00B287C8
Hook Module: <empty>
Hidden Hook Module: False


==========================================================================================================================
>>>Locked System Files<<<
==========================================================================================================================

==========================================================================================================================
>>>Locked Generic Files<<<
==========================================================================================================================

==========================================================================================================================
>>>Master Boot Record (MBR)<<<
==========================================================================================================================

Master Boot Record (MBR) appears to be Ok...

==========================================================================================================================
Scan Complete... 15/03/2011 11.23.58
==========================================================================================================================
Avatar utente
Pandale
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: lun mar 14, 2011 9:09 pm

Re: Rimozione rootkit

Messaggioda Uomo_Senza_Sonno » mar mar 15, 2011 12:43 pm

Ciao e benvenuto su MegaLab.it [:)]

Nel log che hai postato non si evincono segni di infezioni, probabilmente sono state rimosse con il TDSSkiller. Per quanto riguarda l'eventuale presenza di rootkit nel disco, per caso oltre ai reindirizzamenti nelle pagine web noti anche rallentamenti, crash di sistema, blocchi immotivati?

Prima di tutto esegui un controllo con lo Stealth Rootkit Detector (devi salvarlo in C:\ e da esegui digiti C:\mbr.exe -f; verrà creato un log chiamato mbr.log che verrà salvato sempre in C:\), con XP non ci sono problemi nell'utilizzo e si dimostra efficace nella rilevazione di questo tipo di infezione. Se quanto dice il log che hai postato è vero, il tool dovrebbe leggere correttamente l'mbr senza rilevare presenze di codice in qualche settore del disco, in caso contrario posta il log utilizzando il tag MEMO.

Per il resto, guarda quest'articolo, e nel caso posta un log di HiJackThis e Combofix, sempre utilizzando il tag MEMO; in più, prova anche con HitMan Pro. Se poi non si risolve andiamo più in fondo [weponed]
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Rimozione roorkit

Messaggioda Pandale » mar mar 15, 2011 3:22 pm

Si, ci sono dei rallentamenti. E in un'occasione è andato anche via l'audio di Windows.
Avatar utente
Pandale
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: lun mar 14, 2011 9:09 pm


Re: Rimozione roorkit

Messaggioda Uomo_Senza_Sonno » mar mar 15, 2011 3:24 pm

Pandale ha scritto:Si, ci sono dei rallentamenti. E in un'occasione è andato anche via l'audio di Windows.

Ok, allora leggi anche qui
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Rimozione roorkit

Messaggioda Pandale » mar mar 15, 2011 3:29 pm

Questo è ciò che appare scritto nel file mbr.log:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6E030L0 rev.NAR61590 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T0L0-8

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Passo a fare le altre cose che hai scritto.
Avatar utente
Pandale
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: lun mar 14, 2011 9:09 pm

Re: Rimozione rootkit

Messaggioda Uomo_Senza_Sonno » mar mar 15, 2011 3:37 pm

Va bene, non ci sono rootkit per fortuna. Esegui gli altri controlli e poi verifica se ci sono netti miglioramenti.

Per i successivi log utilizza il tag MEMO, in questo modo:

Codice: Seleziona tutto
[MEMO]copia/incolla qui il log[/MEMO]

per avere questo risultato

ecco il log
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Rimozione roorkit

Messaggioda Pandale » mar mar 15, 2011 3:45 pm

Nella pagina "PC infetto da virus e altro malware? Vediamo come intervenire" mi si consiglia di disinstallare il mio antivirus (in questo caso Norton). Però ho letto che il Norton funziona anche in modalità provvisoria (come bisogna agire nella pagina di cui sopra), perciò sono incline a non cancellarlo e, anzi, ad usarlo. Giusto?
Avatar utente
Pandale
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: lun mar 14, 2011 9:09 pm

Re: Rimozione rootkit

Messaggioda Uomo_Senza_Sonno » mar mar 15, 2011 3:46 pm

Vai direttamente alla parte dove si utilizza HiJackThis e Combofix [^]
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Rimozione roorkit

Messaggioda Pandale » mar mar 15, 2011 3:50 pm

HiJackThis e Combofix li devo usare in modalità provvisoria?
Avatar utente
Pandale
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: lun mar 14, 2011 9:09 pm

Re: Rimozione roorkit

Messaggioda Pandale » mar mar 15, 2011 3:58 pm

Ecco il log di Hijackthis (non eseguito in modalità provvisoria)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16.02.07, on 15/03/2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton AntiVirus\Engine\17.8.0.5\ccSvcHst.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Norton Utilities 14\nu.exe
C:\Programmi\HP\Button Manager\BM.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ArcCon.ac
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe
C:\Programmi\Norton AntiVirus\Engine\17.8.0.5\ccSvcHst.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
D:\Pathology\Programmi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programmi\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programmi\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programmi\Norton AntiVirus\Engine\17.8.0.5\IPSBHO.DLL
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [hpqSRMon] C:\Programmi\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NortonUtilities] C:\Programmi\Norton Utilities 14\nu.exe /H
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\casa\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Button Manager.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programmi\MP3 Player Utilities 3.80\AMVConverter\grab.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programmi\MP3 Player Utilities 3.80\MediaManager\grab.html
O9 - Extra button: Libro dei ritagli HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Selezione intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O20 - Winlogon Notify: TPSvc - TPSvc.dll (file missing)
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus (NAV) - Symantec Corporation - C:\Programmi\Norton AntiVirus\Engine\17.8.0.5\ccSvcHst.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: CamMonitor (uCamMonitor) - ArcSoft, Inc. - C:\Programmi\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe

--
End of file - 7853 bytes
Avatar utente
Pandale
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: lun mar 14, 2011 9:09 pm

Re: Rimozione roorkit

Messaggioda Uomo_Senza_Sonno » mar mar 15, 2011 4:10 pm

No va bene eseguirli anche in modalità standard.. nel log di HJT non si vede nulla di particolare, ma lo controllo meglio.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Rimozione roorkit

Messaggioda Pandale » mar mar 15, 2011 4:16 pm

Ora devo uscire. Lo scan con Combofix lo devo per forza di cose rimandare a domani mattina.
Ringrazio per la disponibilità!
Avatar utente
Pandale
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: lun mar 14, 2011 9:09 pm

Re: Rimozione roorkit

Messaggioda Pandale » mar mar 15, 2011 5:32 pm

Impegno posticipato:
ho fatto la scansione con HitmanPro.

Mi riporta questi come virus o malware (riscrivo tutto com'era visualizzato da Hitman).
Vorrei sapere cosa posso cancellare, invece di metterlo in quarantena come suggerisce il programma (ad esempio: Come mai mi riconosce come virus "NoVirusThanks"?).

Explorer.EXE
C:\WINDOWS\-------------------------------------------------Trojan - Quarantena

k.dll
C:\WINODWS\system32\---------------------------------------Malware - Cancella

NTVArk.exe
C:\Programmi\NoVirusThanks\Anti-Rootkit (Free Edition)\---------------------Virus - Quarantena

sorxcwmean.tmp
C:\Documents and Settings\casa\Impostazioni locali\Temp--------------------Malware - Cancella

UMPlayerSetup[1].exe
C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\2ZSBKUZ6-------------------Virus - Quarantena

xwrocanems.tmp
C:\Documents and Settings\casa\Impostazioni locali\Temp------------------Malware - Cancella
Avatar utente
Pandale
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: lun mar 14, 2011 9:09 pm

Re: Rimozione roorkit

Messaggioda hashcat » mar mar 15, 2011 5:47 pm

Pandale ha scritto:Ecco il log di Hijackthis (non eseguito in modalità provvisoria)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16.02.07, on 15/03/2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton AntiVirus\Engine\17.8.0.5\ccSvcHst.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Norton Utilities 14\nu.exe
C:\Programmi\HP\Button Manager\BM.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ArcCon.ac
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe
C:\Programmi\Norton AntiVirus\Engine\17.8.0.5\ccSvcHst.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
D:\Pathology\Programmi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programmi\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programmi\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programmi\Norton AntiVirus\Engine\17.8.0.5\IPSBHO.DLL
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [hpqSRMon] C:\Programmi\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NortonUtilities] C:\Programmi\Norton Utilities 14\nu.exe /H
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\casa\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Button Manager.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programmi\MP3 Player Utilities 3.80\AMVConverter\grab.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programmi\MP3 Player Utilities 3.80\MediaManager\grab.html
O9 - Extra button: Libro dei ritagli HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Selezione intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O20 - Winlogon Notify: TPSvc - TPSvc.dll (file missing)
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus (NAV) - Symantec Corporation - C:\Programmi\Norton AntiVirus\Engine\17.8.0.5\ccSvcHst.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: CamMonitor (uCamMonitor) - ArcSoft, Inc. - C:\Programmi\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe

--
End of file - 7853 bytes

Rimuovi la voce seguente:

Codice: Seleziona tutto
O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - (no file)

Poi aggiorna al service pack 3, il log di NoVirusThanks Anti-Rootkit non evidenzia rootkit, l'unica cosa sospetta è che NoVirusThanks non ha elencato alcun driver nell'apposita sezione del log:

==========================================================================================================================
>>>Drivers<<<
==========================================================================================================================

Per quanto riguarda il log le rilevazioni di Hitman pro posta qui il log, così ti consigliamo cosa eliminare e cosa lasciare

N.B.: Per un utilizzo efficace di Hitman pro è necessario essere connessi ad internet durante l'analisi che durerà pochi minuti
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Rimozione roorkit

Messaggioda Pandale » mer mar 16, 2011 7:47 pm

Vi ringrazio, ma Hitman Pro mi ha cancellato un file utile al caricamento del sistema operativo. Il computer si riavviava ogni volta senza senso.
Così ho dovuto portarlo ad aggiustare.
Avatar utente
Pandale
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: lun mar 14, 2011 9:09 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising