rieccomi.
dopo ore e ore di download, o disattivato nod32 e ho attovato kaspersky, che mi segnala :
Rilevati
--------
Stato Oggetto
----- -------
eliminato: un programma trojan Trojan.Win32.Dialer.ru Il file: C:\WINNT\TEMP\cwujca.exe/PE_Patch.PECompact/PecBundle/PECompact
kaspersky mi dice che elimina il .exe (effettivamente lo fa) ma dice di non essere in grado di rimuovere il trojan ( nei prox. giorni terro' d'occhio se torna fuori ... ma ho poche speranze che sia debellato ... )
in compenso vado a rieseguire GMER e guarda un po' cosa mi trova alla voce ROOTKIT che prima era pulita !!! :
GMER 1.0.12.12027 - http://www.gmer.net
Rootkit scan 2007-02-14 22:13:27
Windows 5.0.2195 Service Pack 4
---- System - GMER 1.0.12 ----
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwClose
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwCreateKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwCreateProcess
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwCreateSection
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwCreateSymbolicLinkObject
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwCreateThread
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwDeleteKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwDeleteValueKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwDuplicateObject
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwEnumerateKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwEnumerateValueKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwFlushKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwInitializeRegistry
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwLoadKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwLoadKey2
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwNotifyChangeKey
SSDT kl1.sys ZwOpenFile
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwOpenKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwOpenProcess
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwOpenSection
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwQueryKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwQueryMultipleValueKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwQuerySystemInformation
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwQueryValueKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwReplaceKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwRestoreKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwResumeThread
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSaveKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSetInformationFile
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSetInformationKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSetInformationProcess
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSetValueKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwSuspendThread
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwTerminateProcess
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwUnloadKey
SSDT \??\C:\WINNT\system32\drivers\klif.sys ZwWriteVirtualMemory
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[248]
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[249]
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[250]
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[251]
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[252]
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[253]
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[254]
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[255]
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[256]
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[257]
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[258]
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[259]
SSDT \??\C:\WINNT\system32\drivers\klif.sys SSDT[260]
---- Kernel code sections - GMER 1.0.12 ----
.text ntoskrnl.exe!IoIsOperationSynchronous 8041E992 7 Bytes JMP BEA7DC00 \??\C:\WINNT\system32\drivers\klif.sys
.text ntoskrnl.exe!KiDispatchInterrupt + A2 80468E92 5 Bytes JMP BEA7FE10 \??\C:\WINNT\system32\drivers\klif.sys
.text ntdll.dll!NtClose 784628C8 5 Bytes JMP 7203407A
.text ntdll.dll!NtCreateSection 78465EB0 5 Bytes JMP 72034098
.text ntdll.dll!NtCreateProcess 78472362 5 Bytes JMP 72034205
---- Threads - GMER 1.0.12 ----
Thread 8:92 818563E0
Thread 8:96 818563E0
Thread 8:100 81806820
Thread 8:104 81806820
Thread 8:108 81806820
Thread 8:144 818563E0
Thread 8:148 818563E0
COS'E' STA ROBA ?!?!?VVoVe: MI SONO PIGLIATO UN'ALTRA ROGNA ANCOR PRIMA DI RISOLVERE QUELLA CHE AVEVO ?
ciao, e grazie ancora
ps. nel frattempo io lancio tutti gli scan possibili immaginabili con kaspersky, in modalita' provvisoria, ecc. ecc. e poi riaggiorno la situazione
Rispondi quotando