Presunto Rootkit che usa file tfpgcifq.txt

[delpii]

Ciao a tutti,
ho letto tutti i post riguardo ai "simpatici" rootkit che ultimamente imperversano sui nostri PC. Ho seguito con attenzione tutte le vostre utilissime informazioni ma purtroppo non sono riuscito a togliere quello che sta girando allegramente sul mio pc.
Il mio problema è comune a molti: appena compare la stringa "hijack this" ie7 si chiude inesorabilmente come Firefox etc etc.
Un indicazione (spero utile) che posso dare è che il firewall Comodo segnala che il file tfpgcifq.txt (che è dentro la \windows\system32\ sta modificando IE7 in memoria etc etc). Ho provato a spostare il file con Unlocker e il risultato che il pc dopo il reboot e la login mi ha presentato il desktop completamente vuoto. Da Task manager ho provato a lanciare explorer ma senza successo. E' partito invece Notepad che mi ha consentito di fare un browse sul disco e rimettere (sempre con unlocker) il file al "suo posto". A questo punto "magicamente" il pc è tornato a funzionare. Ovvio che le "chiamate a Internet" sono sempre segnalate dal firewall con la solira indicazione che il file "tfpgcifq.txt sta modificando IE etc etc.
Qualcuno mi può dare una mano ?
Grazie in anticipo

[OYS]

tfpgcifq.txt hai provato ad eliminarlo?

Se hijackthis non va potrebbe essere colpa del virus Bagle... segui questa procedura

Benvenuto nel forum

[delpii]

Ho provato a toglierlo e da sempre access denied...
Per la questione virus ho Mcafee vs 7 e ho scaricato per fare una ulteriore verifica VirIt che effetticamente ha trovato qualcosa (un paio di dialer) ma non ha risolto il problema...
Provo comunque immediatamente la tua procedura...
Grazie per la rapidità !!
Ciao

[delpii]

OYS,
ho cliccato sul link... e si è chiuso il browser !! Questo è un rootkit veramente bastardo...
Altre idee ? (io purtroppo le ho finite..)

[OYS]

Se ti nega l'accesso usa KillBox
Se poi non risolvi ti riassumo la procedura tralasciando le paole che potrebbero far chiudere il browser...

[delpii]

Oys,
perdonami, ma sono abbastanza certo che se cancello il file con KillBox mi troverò nella situazione descritta precedentemente (lo avevo semplicemente spostato su una directory con il programma "Unlocker") e cioè che mi troverò senza nessuna icona sul desktop poichè explorer non riesce ad essere startato e quindi con il pc praticamente inutilizzabile...
Anche in modalità provvisoria ho avuto gli stessi problemi...

[OYS]

Strano... Non è che riesci a copiarlo e a seguire le procedure che ci sono qua: www.suspectfile.com ? Nel commento spiegagli tutto quello che ti è successo, così loro analizzano il file e magari riescono pure ad aiutarti...

Per ora comunque procedi così:

scarica T_h_e_ _A_v_e_n_g_e_r_:http://swandog46.geekstogo.com/avenger.zip e procedi così:


Avvia il file avenger.exe (non connesso ad internet)
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente d'ingrandimento

Apri la finestra "View/edit script"
All'interno del box bianco, copia ed incolla il seguente codice (*****=nome tua cartella che trovi in C:\Documents and setting\):

Files to delete:
C:\Documents and Settings\*****\Dati applicazioni\hidires\m_hook.sys
C:\Documents and Settings\*****\Dati applicazioni\hidires\hidr.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe

folders to delete:
C:\Documents and Settings\*****\Dati applicazioni\hidires
C:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_H OOK

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc si riavvia da solo, se no riavvialo manualmente.

[delpii]

Niente da fare... si chiude anche con Avenger.
Per quanto riguarda il file è assolutamente inaccessibile. Lo puoi solo spostare con il risultato descritto nel precedente topic...

[OYS]

cancella dall'editor di registro (start-->esegui-->regedit) i valori

[HKCU\Software\FirstRuxzx]
"FirstRun"="dword:00000001"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"drv_st_key"="%UserProfile%\Application Data\hidn\hidn2.exe"

sempre nell'editor inserisci il valore

[HKLM\System\CurrentControlSet\Control\SafeBoot]


Cancella nella directory sottoscritta il file

%UserProfile%\Application Data\hidn\hidn2.exe e il file m_hook.sys

(se non si riescono ad eliminarle perchè nega l'accesso usare KillBox)

A questo punto dovresti riuscire ad andare in modalità provvisoria... Quando sei in modalità provvisoria fai girare l'antivirus e fai una scansione, e poi posta sul forum un log di hijackthis.

P.S. Spesso i valori non sono uguali (soprattutto il primo)

[delpii]

Non ho nessuno dei componenti da te descritti.
Sia la directory hidn e neppure le chiavi di registro....