aiuto per individuazione malware

[bDaniele]

salve,
ho un pc portatile che ha dei comportamenti strani, ad esempio mentre è connesso ad internet parte una connessione ad un numero 899... ecc.

all'inizio pensavo ad un virus o dialer ed effettivamente c'era qualcosa che con antivirus e strumenti simili ho rimosso.

ora perè resta qualcosa, mi spiego meglio:
tra i processi c'è sempre un file NokiaFlash.exe
quando provo ad aprire HiJackThis, immediatamente si chiude, se invece termino dal task manager NokiaFlash.exe, allora si apre HiJackThis e posso fare la scansione.

ho seguito i passi riportati in questa guida:
http://www.microsoft.com/italy/techn...i/spyware.mspx

ma alla fine di tutte le scansioni non viene rilevato nulla, sia con windows in modalità normale che in modalità provv.

in particolare ho fatto scansioni con
il tool on-line microsoft
tool on-line panda
panda internet security 2007 installato sul pc
virit installato sul pc
nod32 installato sul pc
trend micro on-line house call
kaspersky on-line
avast-cleaner
tread micro sysclean
Ad-aware SE
Ewido security suite
SpyBot Search & Destroy
Windows® Defender
a-squared Free
RootkitRevealer

solo quando ho aperto il link di Silent runners, il browser veniva chiuso, mentre terminando il processo NokiaFlask.exe mi faceva aprire il link.

credo che si tratti di un rootkit, qualcuno mi aiuta ad individuare cos'è e come rimuoverlo?

ho guardato nel registro si windows e il file NokiaFlash.exe è nella voce UserInit:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
<<!>> "Userinit" = "c:\windows\system32\userinit.exe,"c:\windows\syst em32\nokiaflash.exe"," [MS], [null data]

ora ho paura ad eliminarlo in quanto su un altro pc, dopo averlo eliminato, il pc partiva e dopo il login subito effettuava il logout.

aspetto vostre notizie,
grazie in anticipo.

PS: ho già i log di hijackthis e silentrunners su http://www.sendmefile.com/00530503

[tognazzi]

fai anche una scansione con systemscan. scaricalo da www.suspectfile.com e poi procedi come con gli altri log.

EDIT

http://www.processlibrary.com/direct...nokiaflash.exe
nokiaflash.exe sconosciuto a process library. non è proprio detto che sia nocivo, ma è molto strano. per me non è legittimo, chiedo conferma.

[bDaniele]

Ciao,
fra poco vi faccio avere il log di systemscan

aggiungo che qualcosa simile a NokiaFlash.exe lo avevo anche su un altro pc con gli stessi sintomi ma si chiamava SiemensFlash.exe

ancora una cosa, con VirIt, quando partiva, mi dava un avviso tipo: hidden serivces poi seguiva qualcosa come Pe386 c:\windows\system32\lzx32.exe

ora purtroppo, anche se installo di nuovo VirIt non esce più questo avviso, forse sul pc c'era anche qualche altra cosa che nelle varie scansioni è andata via.

se volete, posso provare a recuperare il file da console, dato che anche in modalità provv non è accessibile.

[undertaker84aa]

!!!cerca nel forum Pe386 c:\windows\system32\lzx32.exe , perchè mi pare ne avessero già parlato a proposito del rootkit rustock, spulcia dovrebbe già esserci qualche procedura su come rimuoverlo..

[OYS]

Originariamente inviato da undertaker84aa
!!!cerca nel forum Pe386 c:\windows\system32\lzx32.exe , perchè mi pare ne avessero già parlato a proposito del rootkit rustock, spulcia dovrebbe già esserci qualche procedura su come rimuoverlo..

Ultimamente la rimozione manuale è stata sostituita con una tool che fa il lavoro al posto tuo.


scaricabile da qui: http://www.greatis.com/security/Rust...moval_tool.htm

[undertaker84aa]

[ste-95]

comunque, dopo aver aspettato il consenso degli altri, fixa questi:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\wind ows\system32\nokiaflash.exe",
O1 - Hosts: 160.128.161.153 bute2ieh.com
O1 - Hosts: 98.142.154.12 catolcwxcav.com
O1 - Hosts: 164.105.11.128 ukjp9mn2.com
O1 - Hosts: 26.61.135.9 vkipqugtsx.com
O1 - Hosts: 74.155.15.232 wvdimh98zhq.com
O1 - Hosts: 21.43.177.216 zobcslgff.com
O1 - Hosts: 217.65.130.117 fullows.com
O1 - Hosts: 7.19.148.180 thumbstring.net
O1 - Hosts: 46.227.219.28 wschooler.com
O1 - Hosts: 237.198.174.168 addwjf6zoy.com
O1 - Hosts: 42.9.237.234 itqoipyqsq.com

[OYS]

Non avevo visto i due log. Cmq oltre quello che ha detto ste-95, c'è pure questo da fixare:


O23 - Service: Adobe LT Service (ALTS) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)


Dopo di che prosegui così:

start-->esegui--> adesso copia incolla uno alla volta i due seguenti comandi:


sc stop ALTS

sc delete ALTS


P.S. Adesso sto guardando l'altro log

[OYS]

ho guardato nel registro si windows e il file NokiaFlash.exe è nella voce UserInit:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
<<!>> "Userinit" = "c:\windows\system32\userinit.exe,"c:\windows\syst em32\nokiaflash.exe"," [MS], [null data]

ora ho paura ad eliminarlo in quanto su un altro pc, dopo averlo eliminato, il pc partiva e dopo il login subito effettuava il logout.

Probabilmente non ti partiva più perchè avevi cancellato la virgola oppure " ad userinit.exe.

Rifai la procedura che avevi fatto, stando attendo che alla fine il risultato deve essere questo:


HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
<<!>> "Userinit" = "c:\windows\system32\userinit.exe,"

[bDaniele]

ecco i log di systemscann: http://www.sendmefile.com/00530634
c'è un file fatto in modalità normale e uno in modalità provv.

prima di procedere con quanto gentilmente suggerito, mi date conferma anche dopo quest'ultimo log che posso procedere come già suggerito?

io ho avuto il problema che non ripartiva appena ho tentato di utilizzare il tool reanimator.exe

in pratica il tool modificava la chiave userinit aggiungendo tra userinit.exe e NokiaFlash.exe, un file reboot.exe

per far ripartire il pc ci è voluta una giornata.

il problema è che questo pc è un portatile, quindi se non dovesse partire non posso smontare l'hd, metterlo come sencodario e intervenire nel registro.

aspetto la vostra conferma,

grazie per l'interessamento.