lzx32.sys, alias pe386, alias Rustock... :dhò:

[newbie]

STO IMPAZZENDOOOOOOOO!

Questo maledetto rootkit (c:\windows\system32\lzx32.sys, nome del servizio pe386, nome del malware Rustock) o chi per lui mi sta letteralmente facendo impazzire... ha un comportamento stranissimo.
Praticamente, se avvio il PC e lancio Gmer, me lo rileva subito come rootkit. Ma se chiudo Gmer e lo rilancio... non lo trova più!
Per giunta, se anche provo a terminarlo quando Gmer lo rileva, mi appare una finestra di errore, che dice che eliminarlo è impossibile.
Ma le cose ancora più strane sono tante:
[list=1][*]Nel registro, usando Regedit, ho già eliminato tutte le voci relative al servizio "lzx32", da tutti i ControlSet. Facendo una ricerca globale nel registro, non ho trovato altre voci relative a lzx32 o pe386.[*]Come ho detto, Gmer lo mostra solo la prima volta che lo lancio dopo l'avvio del PC, e non riesce comunque a cancellarlo.[*]HijackThis non mostra niente a proposito di questo malware tra gli ADS. Non lo trova neanche se cerco di usare "Delete an NT Service".[*]Ovviamente il file lzx32.sys sembra non esistere, e quindi non posso eliminarlo neanche a mano;[*]Avast non lo rileva per niente... come se non esistesse. E tanto meno AdsRevealer.[*]Ho addirittura provato a scaricare, dal sito Microsoft, la patch relativa alla falla di Windows usata... e appena (e dico APPENA) tento di applicarla mi appare una schermata blu.[/list=1]
In altre parole, ho a che fare con un malware fantasma. E non ho la più pallida idea di come eliminarlo...

[Topdrake]

hai provato ad eliminare il file con Avenger?

[holifay]

Ciao, usa questo tool. scaricalo, avvialo e segui le istruzioni. Al riavvio, scarica systemscan, fai una scansione e carica il log su www.mytempdir.com, poi posta qui il link al log

[newbie]

Originariamente inviato da holifay
Ciao, usa questo tool. scaricalo, avvialo e segui le istruzioni. Al riavvio, scarica systemscan, fai una scansione e carica il log su www.mytempdir.com, poi posta qui il link al log

Sembra che il tool abbia fatto il suo dovere (il log di systemscan è a questo indirizzo )... anche se ho visto che ora in system32 il file lzx32.sys è diventato visibile. Posso eliminarlo?

[holifay]

bene

Ascolta, cerca e metti in un file zip questi file:

C:\WINDOWS\rosdsswn.exe
C:\WINDOWS\aojmlcpi.exe
C:\WINDOWS\system32\lzx32.sys


Poi per favore mandali a www.suspectfile.com che li analizziamo. Nel form di invio metti se ti ricordi il link a questa discussione. Dopo che li hai messi nell'archivio zippato cancella pure i file originali

Cancella poi questa chiave di registro:
HKEY_LOCAL_MACHINE\system\controlset001\services\r xprdoex

Il resto mi sembra OK

[newbie]

Originariamente inviato da holifay
bene

Ascolta, cerca e metti in un file zip questi file:

C:\WINDOWS\rosdsswn.exe
C:\WINDOWS\aojmlcpi.exe
C:\WINDOWS\system32\lzx32.sys


Poi per favore mandali a www.suspectfile.com che li analizziamo. Nel form di invio metti se ti ricordi il link a questa discussione. Dopo che li hai messi nell'archivio zippato cancella pure i file originali

Il terzo file ovviamente è quello (che era invisibile) di Rustock, gli altri due non saprei... so solo che sono identici, e disassemblandoli ho visto che importano alcune API ma non le chiamano mai, almeno non direttamente. E quella WinExec mi puzza parecchio...

Cancella poi questa chiave di registro:
HKEY_LOCAL_MACHINE\system\controlset001\services\r xprdoex

Ops... non l'avevo letta...
Comunque deve avere a che fare con Internet, dato che tra le stringhe visibili nel file "rxpdoex.drv" in Windows\System32\Drivers c'è scritto
\Driver\Tcpip
\Device\Ipfilterdriver
author: MaD mad-factor@mail.ru 30/07/2006 (che si suppone sia l'autore)

[linusm]

ragazzi io sono incasinato o lo stesso virus ma il tool che avete suggerito mi da questo
report

************************* Rustock.b-fix -- By ejvindh *************************
15/12/2006 22.29.16,89


No Rustock.b-rootkits found


******************************* End of Logfile ********************************

ma io il virus c'e lho perche il mio antivirus(nod32)ad ogni avvio del pc me lo dice e mi dice che e :

C:\DOCUME~1\***\IMPOST~1\Temp\winsyst32.exe Win32/Rustock.NAT cavallo di troia
aiuto

[newbie]

Originariamente inviato da linusm
ragazzi io sono incasinato o lo stesso virus ma il tool che avete suggerito mi da questo
report

ma io il virus c'e lho perche il mio antivirus(nod32)ad ogni avvio del pc me lo dice e mi dice che e :

C:\DOCUME~1\***\IMPOST~1\Temp\winsyst32.exe Win32/Rustock.NAT cavallo di troia
aiuto

Forse perchè Rustock.NAT è una versione leggermente diversa da Rustock.B, può essere che il tool non riesce ad eliminare quella versione...

[oasisitalia]

grazie mille ragazzi
sto cavolo di malware è veramente una bella rogna
ho seguito le istruzioni e vediamo se tiene botta ..

cheers

[dampyr_65]

Ciao ragazzi,
io ho s.o. windows 2000 professional, all'avvio del pc quando prova ad avviare windows mi presenta la pagina blu dicendomi che non riesce ad aprire l'hardware associato al driver lzx32.sys. Ora ho letto che è un virus e che occorre usare i programmi citati per eliminarlo, ma il mio pc non arriva ad aprire windows neanche in modalità provvisoria ed ho provato pure a ripararlo con il disco di installazione. Cosa posso fare prima di formattare e reinstallare il s.o.?

Grazie