Rootkit: processo nascosto o Virus (nmdfgds0.dll)

[joanofarc]

Ciao,
vi chiedo un aiuto, non so se preoccuparmi o no...

all'avvio il mio avast 4.8 mi dice che ho un file sospetto
Rootkit: processo nascosto
C:\WINDOWS\SYSTEM32\nmdfgds0.dll

ma mi suggerisce di IGNORARE e non di Eliminare il file...
successivamente però mi comunica che potrei avere un virus nella memoria del sistema operativo...e mi suggerisce una scansione all'avvio.

fatte numerose scansioni all'avvio e anche manuali non viene rilevato nessun file infetto ma quel messaggio mi si presenta comunque...

ps: credo di aver ricevuto il virus da una chiavetta usb che ho già formattato

aiutatemi

[mistermandarino]

ciao ti conviene scaricarti un programmino antispyware ce ne sono di gratuiti ed anche validi anche scaricabili da questo sito:
http://download.html.it/categorie/st...s/antispyware/

[joanofarc]

grazie mistermandarino

ho usato spyboot e eliminato qualche trojan

poi ho ulteriormente fatto scansioni all'avvio e manuali con avast e tenuto isolato il pc da periferiche esterne.

Niente:la schermata, attenzione file sospetto di cui sopra si ripete...
ho provato con Elimina invece dell'azione consigliata Ignora, fatto ulteriori scansioni
ma questo file sospetto è sempre lì...

[Deifobe]

ciao, scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su megaupload e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

[joanofarc]

eccolo:

http://www.megaupload.com/?d=QJ3D64Z0

[Deifobe]

C'è 1 unita' infetta (D:\).. non so se è una partizione o una pen/HD estrno

Da Risorse del computer (o qualsiasi altra cartella) clicca su strumenti -> opzioni cartella -> visualizzazione
-> spunta: visualizza cartelle e file nascosti
-> togli la spunta a: nascondi i file protetti di sistema
-> togli la spunta a: nascondi le estensioni per i tipi di file conosciuti

Collega la pen/HD estrno al pc tenendo premuto il tasto shift
elimina i file autorun.inf e fbak.exe (se presente) e poi scollegalo


Esegui systemscan, clicca sul pulsante "Removal Script" e, nella finestra che si apre, copia/incolla questo script:

files to delete:
C:\autorun.inf
C:\fbak.exe
C:\sqmnoopt02.sqm
C:\sqmdata02.sqm
D:\autorun.inf
C:\WINDOWS\SYSTEM32\nmdfgds0.dll
C:\WINDOWS\SYSTEM32\nmdfgds1.dll
C:\WINDOWS\system32\olhrwef.exe

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.


Esegui CCleaner e ripulisci i file temporanei e i cookies


Posta un nuovo systemscan

ciao

[joanofarc]

ciao, si tratta di una partizione...

in questo caso come faccio ad eseguire questa procedura?

grazie ancora

[Deifobe]

stessi passaggi ma non devi inserire nessuna unita' esterna..
cerca nella partizione D:\ i file autorun.inf e fbak.exe

[joanofarc]

fatto tutto (eliminato da D il file autorun.inf)

ecco il nuovo report

http://www.megaupload.com/?d=2G9CU8YJ

Cmq all'avvio la finestra di avast con suspect file si è ripresentata (nonostante avessi disattivato l'antivirus)

[Deifobe]

ciao, cortesemente riesegui la procedura indicata nel mio precedente post e posta il rapporto c:\avenger.txt