Pagina 1 di 2 1 2 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 19
  1. #1
    Utente di HTML.it L'avatar di newbie
    Registrato dal
    Dec 2005
    Messaggi
    299

    lzx32.sys, alias pe386, alias Rustock... :dh:

    STO IMPAZZENDOOOOOOOO!

    Questo maledetto rootkit (c:\windows\system32\lzx32.sys, nome del servizio pe386, nome del malware Rustock) o chi per lui mi sta letteralmente facendo impazzire... ha un comportamento stranissimo.
    Praticamente, se avvio il PC e lancio Gmer, me lo rileva subito come rootkit. Ma se chiudo Gmer e lo rilancio... non lo trova pi!
    Per giunta, se anche provo a terminarlo quando Gmer lo rileva, mi appare una finestra di errore, che dice che eliminarlo impossibile.
    Ma le cose ancora pi strane sono tante:
    [list=1][*]Nel registro, usando Regedit, ho gi eliminato tutte le voci relative al servizio "lzx32", da tutti i ControlSet. Facendo una ricerca globale nel registro, non ho trovato altre voci relative a lzx32 o pe386.[*]Come ho detto, Gmer lo mostra solo la prima volta che lo lancio dopo l'avvio del PC, e non riesce comunque a cancellarlo.[*]HijackThis non mostra niente a proposito di questo malware tra gli ADS. Non lo trova neanche se cerco di usare "Delete an NT Service".[*]Ovviamente il file lzx32.sys sembra non esistere, e quindi non posso eliminarlo neanche a mano;[*]Avast non lo rileva per niente... come se non esistesse. E tanto meno AdsRevealer.[*]Ho addirittura provato a scaricare, dal sito Microsoft, la patch relativa alla falla di Windows usata... e appena (e dico APPENA) tento di applicarla mi appare una schermata blu.[/list=1]
    In altre parole, ho a che fare con un malware fantasma. E non ho la pi pallida idea di come eliminarlo...
    Svegliati, Neo. Matrix ti possiede...

  2. #2
    hai provato ad eliminare il file con Avenger?

  3. #3
    Utente di HTML.it L'avatar di holifay
    Registrato dal
    May 2005
    Messaggi
    1,330
    Ciao, usa questo tool. scaricalo, avvialo e segui le istruzioni. Al riavvio, scarica systemscan, fai una scansione e carica il log su www.mytempdir.com, poi posta qui il link al log
    Pensi di avere un file infetto? Invialo a SuspectFile

  4. #4
    Utente di HTML.it L'avatar di newbie
    Registrato dal
    Dec 2005
    Messaggi
    299
    Originariamente inviato da holifay
    Ciao, usa questo tool. scaricalo, avvialo e segui le istruzioni. Al riavvio, scarica systemscan, fai una scansione e carica il log su www.mytempdir.com, poi posta qui il link al log
    Sembra che il tool abbia fatto il suo dovere (il log di systemscan a questo indirizzo )... anche se ho visto che ora in system32 il file lzx32.sys diventato visibile. Posso eliminarlo?
    Svegliati, Neo. Matrix ti possiede...

  5. #5
    Utente di HTML.it L'avatar di holifay
    Registrato dal
    May 2005
    Messaggi
    1,330
    bene

    Ascolta, cerca e metti in un file zip questi file:

    C:\WINDOWS\rosdsswn.exe
    C:\WINDOWS\aojmlcpi.exe
    C:\WINDOWS\system32\lzx32.sys


    Poi per favore mandali a www.suspectfile.com che li analizziamo. Nel form di invio metti se ti ricordi il link a questa discussione. Dopo che li hai messi nell'archivio zippato cancella pure i file originali

    Cancella poi questa chiave di registro:
    HKEY_LOCAL_MACHINE\system\controlset001\services\r xprdoex

    Il resto mi sembra OK
    Pensi di avere un file infetto? Invialo a SuspectFile

  6. #6
    Utente di HTML.it L'avatar di newbie
    Registrato dal
    Dec 2005
    Messaggi
    299
    Originariamente inviato da holifay
    bene

    Ascolta, cerca e metti in un file zip questi file:

    C:\WINDOWS\rosdsswn.exe
    C:\WINDOWS\aojmlcpi.exe
    C:\WINDOWS\system32\lzx32.sys


    Poi per favore mandali a www.suspectfile.com che li analizziamo. Nel form di invio metti se ti ricordi il link a questa discussione. Dopo che li hai messi nell'archivio zippato cancella pure i file originali
    Il terzo file ovviamente quello (che era invisibile) di Rustock, gli altri due non saprei... so solo che sono identici, e disassemblandoli ho visto che importano alcune API ma non le chiamano mai, almeno non direttamente. E quella WinExec mi puzza parecchio...

    Cancella poi questa chiave di registro:
    HKEY_LOCAL_MACHINE\system\controlset001\services\r xprdoex
    Ops... non l'avevo letta...
    Comunque deve avere a che fare con Internet, dato che tra le stringhe visibili nel file "rxpdoex.drv" in Windows\System32\Drivers c' scritto
    \Driver\Tcpip
    \Device\Ipfilterdriver
    author: MaD mad-factor@mail.ru 30/07/2006 (che si suppone sia l'autore)
    Svegliati, Neo. Matrix ti possiede...

  7. #7
    Utente di HTML.it
    Registrato dal
    Dec 2006
    Messaggi
    10
    ragazzi io sono incasinato o lo stesso virus ma il tool che avete suggerito mi da questo
    report
    ************************* Rustock.b-fix -- By ejvindh *************************
    15/12/2006 22.29.16,89


    No Rustock.b-rootkits found


    ******************************* End of Logfile ********************************
    ma io il virus c'e lho perche il mio antivirus(nod32)ad ogni avvio del pc me lo dice e mi dice che e :

    C:\DOCUME~1\***\IMPOST~1\Temp\winsyst32.exe Win32/Rustock.NAT cavallo di troia
    aiuto

  8. #8
    Utente di HTML.it L'avatar di newbie
    Registrato dal
    Dec 2005
    Messaggi
    299
    Originariamente inviato da linusm
    ragazzi io sono incasinato o lo stesso virus ma il tool che avete suggerito mi da questo
    report

    ma io il virus c'e lho perche il mio antivirus(nod32)ad ogni avvio del pc me lo dice e mi dice che e :

    C:\DOCUME~1\***\IMPOST~1\Temp\winsyst32.exe Win32/Rustock.NAT cavallo di troia
    aiuto
    Forse perch Rustock.NAT una versione leggermente diversa da Rustock.B, pu essere che il tool non riesce ad eliminare quella versione...
    Svegliati, Neo. Matrix ti possiede...

  9. #9
    grazie mille ragazzi
    sto cavolo di malware veramente una bella rogna
    ho seguito le istruzioni e vediamo se tiene botta ..

    cheers

  10. #10
    Ciao ragazzi,
    io ho s.o. windows 2000 professional, all'avvio del pc quando prova ad avviare windows mi presenta la pagina blu dicendomi che non riesce ad aprire l'hardware associato al driver lzx32.sys. Ora ho letto che un virus e che occorre usare i programmi citati per eliminarlo, ma il mio pc non arriva ad aprire windows neanche in modalit provvisoria ed ho provato pure a ripararlo con il disco di installazione. Cosa posso fare prima di formattare e reinstallare il s.o.?

    Grazie

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2021 vBulletin Solutions, Inc. All rights reserved.