elimiare Rustok [era:aiutatemi... maledetti virus]

[kenzo3000]

Ciao a tutti, questo è il mio primo post, sono nei guai non riesco a risolvere il problema... in pratica ogni qualvolta accendo il pc e caricato il nod dopo qualche secondo mi avvisa di aver trovato e sembra eliminato un virus, che puntualmente si ripresenta al prossimo riavvio (rootkit?).


Specifiche del rapporto di nod32:


Nome --> C:\DOCUME~1\bv\IMPOST~1\Temp\winsyst32.exe
Virus --> Win32/Rustock.NAX cavallo di troia
Azione --> posto in quarantena. - cancellato
Informazioni --> Evento occorso durante la creazione del file. Il file è stato inserito nella quarantena. Puoi chiudere questa finestra.


vi prego aiutatemi, ho seguito l'ottimo post di Habanero e sono all'ormai al non invidiabile punto 4, ed ecco il log di Hijackthis:


Logfile of HijackThis v1.99.1
Scan saved at 17.15.10, on 17/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1171565039093
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe

[OYS]

Il log è pulitissimo... :master: Prova a scaricare un programma antirootkit...

[kenzo3000]

infatti ecco perchè sto diventando pazzo..... adesso provo grazie



questo è il log di RootkitRevealer

HKLM\SECURITY\Policy\Secrets\SAC* 15/02/2007 19.32 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 15/02/2007 19.32 0 bytes Key name contains embedded nulls (*)
C:\Programmi\ESET\cache\FND1.NFI 15/02/2007 23.10 292 bytes Visible in Windows API, but not in MFT or directory index.


non mi sembra ci sia niente di strano



e questo è gmer



GMER 1.0.12.12027 - http://www.gmer.net
Rootkit scan 2007-02-17 18:43:55
Windows 5.1.2600 Service Pack 2


---- User code sections - GMER 1.0.12 ----

.text C:\WINDOWS\explorer.exe[1632] ntdll.dll!NtEnumerateKey 7C91D94C 6 Bytes JMP 3F93AB83
.text C:\WINDOWS\explorer.exe[1632] ntdll.dll!NtEnumerateValueKey 7C91D976 6 Bytes PUSH 01D234ED; RET
.text C:\WINDOWS\explorer.exe[1632] ntdll.dll!NtQuerySystemInformation 7C91E1AA 6 Bytes PUSH 01D23650; RET
.text C:\WINDOWS\system32\rundll32.exe[1772] ntdll.dll!NtEnumerateKey 7C91D94C 4 Bytes JMP 3F927483
.text C:\WINDOWS\system32\rundll32.exe[1772] ntdll.dll!NtEnumerateKey + 5 7C91D951 1 Byte [ C3 ]
.text C:\WINDOWS\system32\rundll32.exe[1772] ntdll.dll!NtEnumerateValueKey 7C91D976 4 Bytes [ 68, ED, 34, 9B ]
.text C:\WINDOWS\system32\rundll32.exe[1772] ntdll.dll!NtEnumerateValueKey + 5 7C91D97B 1 Byte [ C3 ]
.text C:\WINDOWS\system32\rundll32.exe[1772] ntdll.dll!NtQuerySystemInformation 7C91E1AA 4 Bytes [ 68, 50, 36, 9B ]
.text C:\WINDOWS\system32\rundll32.exe[1772] ntdll.dll!NtQuerySystemInformation + 5 7C91E1AF 1 Byte [ C3 ]
.text C:\WINDOWS\SOUNDMAN.EXE[1780] ntdll.dll!NtEnumerateKey 7C91D94C 4 Bytes JMP 3F929283
.text C:\WINDOWS\SOUNDMAN.EXE[1780] ntdll.dll!NtEnumerateKey + 5 7C91D951 1 Byte [ C3 ]
.text C:\WINDOWS\SOUNDMAN.EXE[1780] ntdll.dll!NtEnumerateValueKey 7C91D976 4 Bytes [ 68, ED, 34, B9 ]
.text C:\WINDOWS\SOUNDMAN.EXE[1780] ntdll.dll!NtEnumerateValueKey + 5 7C91D97B 1 Byte [ C3 ]
.text C:\WINDOWS\SOUNDMAN.EXE[1780] ntdll.dll!NtQuerySystemInformation 7C91E1AA 4 Bytes [ 68, 50, 36, B9 ]
.text C:\WINDOWS\SOUNDMAN.EXE[1780] ntdll.dll!NtQuerySystemInformation + 5 7C91E1AF 1 Byte [ C3 ]
.text C:\Programmi\ESET\nod32kui.exe[1788] ntdll.dll!NtEnumerateKey 7C91D94C 4 Bytes JMP 3F92A483
.text C:\Programmi\ESET\nod32kui.exe[1788] ntdll.dll!NtEnumerateKey + 5 7C91D951 1 Byte [ C3 ]
.text C:\Programmi\ESET\nod32kui.exe[1788] ntdll.dll!NtEnumerateValueKey 7C91D976 4 Bytes [ 68, ED, 34, CB ]
.text C:\Programmi\ESET\nod32kui.exe[1788] ntdll.dll!NtEnumerateValueKey + 5 7C91D97B 1 Byte [ C3 ]
.text C:\Programmi\ESET\nod32kui.exe[1788] ntdll.dll!NtQuerySystemInformation 7C91E1AA 4 Bytes [ 68, 50, 36, CB ]
.text C:\Programmi\ESET\nod32kui.exe[1788] ntdll.dll!NtQuerySystemInformation + 5 7C91E1AF 1 Byte [ C3 ]
.text C:\WINDOWS\system32\ctfmon.exe[1852] ntdll.dll!NtEnumerateKey 7C91D94C 4 Bytes JMP 3F928083
.text C:\WINDOWS\system32\ctfmon.exe[1852] ntdll.dll!NtEnumerateKey + 5 7C91D951 1 Byte [ C3 ]
.text C:\WINDOWS\system32\ctfmon.exe[1852] ntdll.dll!NtEnumerateValueKey 7C91D976 4 Bytes [ 68, ED, 34, A7 ]
.text C:\WINDOWS\system32\ctfmon.exe[1852] ntdll.dll!NtEnumerateValueKey + 5 7C91D97B 1 Byte [ C3 ]
.text C:\WINDOWS\system32\ctfmon.exe[1852] ntdll.dll!NtQuerySystemInformation 7C91E1AA 4 Bytes [ 68, 50, 36, A7 ]
.text C:\WINDOWS\system32\ctfmon.exe[1852] ntdll.dll!NtQuerySystemInformation + 5 7C91E1AF 1 Byte [ C3 ]
.text C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe[1868] ntdll.dll!NtEnumerateKey 7C91D94C 4 Bytes JMP 3F92D383
.text C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe[1868] ntdll.dll!NtEnumerateKey + 5 7C91D951 1 Byte [ C3 ]
.text C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe[1868] ntdll.dll!NtEnumerateValueKey 7C91D976 4 Bytes [ 68, ED, 34, FA ]
.text C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe[1868] ntdll.dll!NtEnumerateValueKey + 5 7C91D97B 1 Byte [ C3 ]
.text C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe[1868] ntdll.dll!NtQuerySystemInformation 7C91E1AA 4 Bytes [ 68, 50, 36, FA ]
.text C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe[1868] ntdll.dll!NtQuerySystemInformation + 5 7C91E1AF 1 Byte [ C3 ]
.text C:\gmer\gmer.exe[2148] ntdll.dll!NtEnumerateKey 7C91D94C 4 Bytes JMP 3F92A183
.text C:\gmer\gmer.exe[2148] ntdll.dll!NtEnumerateKey + 5 7C91D951 1 Byte [ C3 ]
.text C:\gmer\gmer.exe[2148] ntdll.dll!NtEnumerateValueKey 7C91D976 4 Bytes [ 68, ED, 34, C8 ]
.text C:\gmer\gmer.exe[2148] ntdll.dll!NtEnumerateValueKey + 5 7C91D97B 1 Byte [ C3 ]
.text C:\gmer\gmer.exe[2148] ntdll.dll!NtQuerySystemInformation 7C91E1AA 4 Bytes [ 68, 50, 36, C8 ]
.text C:\gmer\gmer.exe[2148] ntdll.dll!NtQuerySystemInformation + 5 7C91E1AF 1 Byte [ C3 ]
.text C:\PROGRA~1\MOZILL~1\firefox.exe[2532] ntdll.dll!NtEnumerateKey 7C91D94C 6 Bytes JMP 3F934683
.text C:\PROGRA~1\MOZILL~1\firefox.exe[2532] ntdll.dll!NtEnumerateValueKey 7C91D976 6 Bytes PUSH 016D34ED; RET
.text C:\PROGRA~1\MOZILL~1\firefox.exe[2532] ntdll.dll!NtQuerySystemInformation 7C91E1AA 6 Bytes PUSH 016D3650; RET

---- Registry - GMER 1.0.12 ----

Reg \Registry\MACHINE\SOFTWARE\LDN5MD03NE
Reg \Registry\MACHINE\SOFTWARE\LDN5MD03NE@LDN5MD03NE 0x01 0x00 0x00 0x00 ...
Reg \Registry\MACHINE\SOFTWARE\LDN5MD03NE@LDN5MD03NE 0x01 0x00 0x00 0x00 ...

---- EOF - GMER 1.0.12 ----

[kenzo3000]

forse ho risolto era un file denominato winhp.exe (file in c:windows, nascosto) killato con gmer ed eliminato manualmente.... riavvio e dopo 5 minuti nod non rileva nulla forse ci sono riuscito.... speriamo


ps. posso cavare la spunta a "non ripristinare sistema etc...?????? grazie

[OYS]

Originariamente inviato da kenzo3000
ps. posso cavare la spunta a "non ripristinare sistema etc...?????? grazie

Disattiva ripristino configurazione sistema? Si...però perdi i punti di ripristino:http://www.itportal.it/Tutorial/inte.../ripristino/#1

[kenzo3000]

ok.... ma se attivo in modalita automatica il ripristino del sistema mi ricomparira il virus?

[OYS]

no... Almeno credo :master:

[kenzo3000]

ok grazie ho fatto per adesso non si è visto nessun virus... grazie

[OYS]

Originariamente inviato da kenzo3000
ok grazie ho fatto per adesso non si è visto nessun virus... grazie