Backdoor:win32/hackdef.L - HELP!!!!!!!!!!!!!

[frenkell]

Ragazzzi ho un problemone. Devo sistemare al più presto un pc, ho formattato due volte ma sto cacchio di rootkit (Backdoor:win32/hackdef.L) continua a tornare. Nn so come fare: ho usato tutti i programmi immaginabili ( norton, unhackme, prevx1, bibeta, sophos antirootkit) ma nulla. Il rootkitreveletor mi trova i file e i registri di windows infettati, però nn può rimuorli. Sul sito della microsoft mi dice che quel particolare virus nn si può rimuovere manulmente e nn da neanche sofware per rimuoverlo. Com'è possibile che ogni volta che formatto ritorna? devo formattare e cambiare IP al pc? HEEELLLPPP!!!

Riporto il file txt dello scan di rootkit reveleator:

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 20/11/2006 13.34 80 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\MSS YCLM\Start 20/11/2006 13.34 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\s0 14/11/2006 16.32 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\s1 14/11/2006 16.32 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\s2 14/11/2006 16.32 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\g0 14/11/2006 16.32 32 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\h0 14/11/2006 16.32 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\196592 39224E364682FA4BAF72C53EA4 14/11/2006 17.09 0 bytes Hidden from Windows API.
C:\Documents and Settings\LocalService\Recent 20/11/2006 13.36 0 bytes Hidden from Windows API.
C:\Documents and Settings\LocalService\Recent\Desktop.ini 20/11/2006 13.36 150 bytes Hidden from Windows API.
C:\Programmi\File comuni\Symantec Shared\SymcData\idsdefs\lulock.dat 20/11/2006 13.35 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Programmi\File comuni\Symantec Shared\SymcData\idsdefs\tmp21a.tmp 20/11/2006 13.35 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Programmi\File comuni\Symantec Shared\SymcData\idsdefs\tmp77a0.tmp 20/11/2006 13.35 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Programmi\File comuni\Symantec Shared\VirusDefs\20061119.004\vscanmsx.dat 20/11/2006 13.44 2.02 KB Hidden from Windows API.
C:\Programmi\File comuni\Symantec Shared\VirusDefs\lulock.dat 20/11/2006 13.35 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Programmi\File comuni\Symantec Shared\VirusDefs\tmp22a.tmp 20/11/2006 13.35 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Programmi\File comuni\Symantec Shared\VirusDefs\tmp498e.tmp 20/11/2006 13.35 0 bytes Visible in Windows API, but not in MFT or directory index.


HEEEEELLPPPP!!

[frenkell]

Se è difficile rimuoverlo sto virus, mi potete almeno dire può servire riformattare e cambiare IP al computer?

[holifay]

quale software ti trova il rootkit ed in quali file?

[frenkell]

Il software è il rootkit revelator, che mi pare di aver scaricato dal sito della microsoft. Quello che ho postato è il risultato dello scan. Ho usato più di un software, ma quello che mi ha rivelato la presenza del virus è sicuramente il rootreveletor e un tool della microsoft ( ora sinceramente nn so dirti quale, perchè nn sono in ufficio). Il programma mi dice nn poter rimuovere il virus e mi rimandava ad una pagina della microsoft con la spiegazione e i dettagli del virus in questione.

[holifay]

penso che tu ti riferisca al rootkit revealer di sysinternals (adesso wininternals) ma dal log che hai postato non mi sembra di vedere quel rootkit.

[frenkell]

cioè in sostanza, dici che il tipo di rootkit che io penso di avere nn corrisponde in realtà a quello che definisce il log del revelator? ho capito bene? e quindi si tratta di un'altro tipo di rootkit?

[holifay]

No, dico che dal log che hai postato io non vedo traccia di rootkit, ma magari sono io che non sono in grado di vederle

La riga più sospetta mi sembra questa HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\MSS YCLM\Start

può essere associata a winhound, ma potrebbe anche essere un falso positivo, se hai fatto la scansione subito dopo il boot

[frenkell]

Il problema è che se nn è un rootkit è cmq un virus. I sintomi sono questi:

- Impossibilità di spostare le icone sul desktop
- Impossibilità di usare alcuni programmi ( ad esempio photoshp: apro il programma ma nn mi permette di aprire le immagini, o di usare lo strumento forme, ect)
- E' successo di non poter colegarmi ad un server a cui i pc in rete sono collegati
- E' successo di non poter aprire cartelle

E altre cose...cmq appena posso vi faccio sapere esattamente qual'è il progromma che mi ha rivelato quel particolare rootkit e posto il log, sperando mi possiate aiutare...la cosa che mi preme è però...com'è possibile che dopo aver formattato questi problemi e questo virus mi si ripresentano di nuovo? nn capisco come sia possibile....

[holifay]

prova a fare un log con systemscan, poi caricalo su www.mytempdir.com e posta qui il link
http://www.suspectfile.com/forum/viewtopic.php?t=466

[frenkell]

Ciao, ti ho mandato il link del log in un messaggio privato, perchè nn riesco ad iscrivermi al forum di cui mi hai mandato il link!