GMER e BSOD

[kabhotz]

Ciao a tutti, ho il sospetto che un pc abbia installato del malware.. ;-(

ho provato a fare una scansione con gmer e al primo avvio mi riporta questo log:


GMER 1.0.15.15530 - http://www.gmer.net
Rootkit quick scan 2010-11-29 11:16:16
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD800JD-60LSA5 rev.10.01E03
Running: gmer.exe; Driver: C:\DOCUME~1\EXPEDI~1\IMPOST~1\Temp\pxliqpog.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET)

---- EOF - GMER 1.0.15 ----


dopo ho provato a fare una scansione approfondita ma ottengo un simpatico BSOD ;-/ con scritto PFN_LIST_CORRUPT

secondo voi è un rootkit?

[amvinfe]

Ciao,
certo è che quel driver non ha senso sia posizionato nella dir Temp.

Effettua una scansione con http://www.sophos.it/products/free-t...i-rootkit.html

NB
ricordati che, durante la scansione, il tuo antivirus dev'essere disattivato.

[kabhotz]

mm molto bene! ho provato anche con sophos ma mi trova solo "unknown hidden file" come gif html qualche js nessun .sys come da log di GMER.

ovviamente ho fatto la scansione con l'antivirus disattivato..

come posso procedere per la rimozione?

grazie in anticipo!

[amvinfe]

scarica sul desktop
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Portati su www.wikisend.com carica il file con estensione .zip e scrivi, nella tua prossima risposta, l'URL per poterlo scaricare.

Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disattivato salvo poi riattivarlo prima di riconnetterti.SystemScan viene, erroneamente, rilevato da alcuni antivirus come un malware

NB
potro' leggere il report solo nella tarda serata di oggi

ciao

[kabhotz]

ciao ho fatto come hai detto, eccoti il file dove puoi trovare i report generati

http://wikisend.com/download/607300/suspectfile.zip

grazie ancora!

[amvinfe]

il driver non è più presente mentre è invece ancora presente il servizio a lui associato

Non connesso e con l'antivirus disattivato apri SystemScan, clicca su "Removal Script".
All'interno del box bianco copia ed incolla i valori riportati qui sotto:

registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset001\services\p xliqpog

ora clicca su "Proceed with removal" e poi su OK.

Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente.

Portati in C:\ apri il file avenger.txt copia ed incolla, nella tua prossima risposta, il contenuto del file insieme ad un nuovo report,

grazie.

[kabhotz]

rimozione eseguita come da tue indicazioni ti posto il contenuto del file avenger.txt

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\xldigabo

*******************

Script file located at: \??\C:\WINDOWS\pbihpfra.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Registry key HKEY_LOCAL_MACHINE\system\controlset001\services\p xliqpog not found!
Deletion of registry key HKEY_LOCAL_MACHINE\system\controlset001\services\p xliqpog failed!

Could not process line:
HKEY_LOCAL_MACHINE\system\controlset001\services\p xliqpog
Status: 0xc0000034

Program C:\Documents and Settings\expedicions\Desktop\sys61923.exe successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.

nel link qui sotto invece puoi trovare il nuovo report generato dalla scansione con SystemScan

http://wikisend.com/download/925362/..._18_report.zip

[amvinfe]

il servizio non era più presente.

Esegui una pulizia dei file temporanei e dei cookie servendoti di CCleaner http://www.piriform.com/ccleaner/download
durante l'installazione NON installare la toolbar, il resto sembrerebbe a posto,

ciao

[kabhotz]

ieee! grande!! grazie mille!