win32 rootkit gen

gore · 19-11-2008, 22.14.27

Ciao a tutti,
avest mi ha appena rilevato questo virus: Win32 Rootkit gen.. è particolarmente pericoloso..?

Posto il log di HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.13.16, on 19/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Canon\MyPrinter\BJMyPrt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Ares\Ares.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programmi\Panasonic\LUMIXSimpleViewer\PhLeAutoR un.exe
C:\Programmi\RALINK\Common\RaUI.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.BIN
C:\Programmi\a-squared Anti-Malware\a2service.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Adobe\Adobe Illustrator CS3\Support Files\Contents\Windows\Illustrator.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\user\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\4.1.805. 4472\swg.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe "
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language. exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [a-squared] "C:\Programmi\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programmi\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programmi\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Programmi\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programmi\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programmi\RALINK\Common\RaUI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programmi\a-squared Anti-Malware\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programmi\WinPcap\rpcapd.exe

--
End of file - 8278 bytes

Grazie

cascavel · 19-11-2008, 23.23.00

dal log non sono visibili infezioni, controlla che Avast non lo abbia gia rimosso.
fai un controllo con questo http://www.pcalsicuro.com/main/guida-a-gmer/

gore · 20-11-2008, 15.31.25

Quota:

Inviato da cascavel

dal log non sono visibili infezioni, controlla che Avast non lo abbia gia rimosso.
fai un controllo con questo http://www.pcalsicuro.com/main/guida-a-gmer/

ti ringrazio.. il virus è nel cestino di Avast, speriamo bene

cascavel · 20-11-2008, 16.18.37

Quota:

Inviato da gore

ti ringrazio.. il virus è nel cestino di Avast, speriamo bene

fai comunque un controllo con GMER tenendo come riferimento la guida all'uso del link

gore · 22-11-2008, 11.25.56

Quota:

Inviato da cascavel

fai comunque un controllo con GMER tenendo come riferimento la guida all'uso del link

cè un sito sicuro da dove posso scaricare GMER..? non vorrei prendermi qualche altro virus!

gore · 22-11-2008, 11.33.13

Avast mi rileva il virus ad ogni scansione!
Il percorso è: C:\Documents and Settings\user\Dati applicazioni\Sun\Java\Deployment\cache\6.0\53\34ce a775-7df6ae23

Cosa devo fare? Provo a cancellarlo manualmente?

cascavel · 22-11-2008, 13.37.39

Quota:

Inviato da gore

cè un sito sicuro da dove posso scaricare GMER..? non vorrei prendermi qualche altro virus!

quello che ti ho linkato va benissimo, il download punta al sito del produttore questo http://www.gmer.net/index.php . ti ho messo il link a quella pagina perche' spiega chiramente il funzionamento del programma.

leofelix · 22-11-2008, 18.06.00

ciao gore,
oltre a seguire i suggerimenti di cascavel (la rootkit sono molto pericolose e Gmer è un validissimo strumento per debellarle).
Pulisci la cache di Sun Java dove viene rilevato continuamente il malware.
Vai su pannello di controllo, quindi clicca sull'icona con scritto Java>generali>impostazioni>elimina file"

Poichè le tracce del malware rilevato come rootkit sono nella cache della Sun Java, una volta pulita, Avast non dovrebbe rilevarla più e anche le tracce residue dovrebbero svanire come per magia.

gore · 23-11-2008, 00.12.08

Quota:

Inviato da leofelix

ciao gore,
oltre a seguire i suggerimenti di cascavel (la rootkit sono molto pericolose e Gmer è un validissimo strumento per debellarle).
Pulisci la cache di Sun Java dove viene rilevato continuamente il malware.
Vai su pannello di controllo, quindi clicca sull'icona con scritto Java>generali>impostazioni>elimina file"

Poichè le tracce del malware rilevato come rootkit sono nella cache della Sun Java, una volta pulita, Avast non dovrebbe rilevarla più e anche le tracce residue dovrebbero svanire come per magia.

Ho pulito la Sun Java come mi hai consigliato, ma continuano a spuntarmi virus da ogni parte..!!

Non esiste qualche programma da scaricare che sia finalizzato all'eliminazione dei Rootkit? Ho fatto una ricerca su Internet, ed effettivamente sembra siano molto pericolosi!
Nel frattempo provo con Gmer

Vi ringrazio per l'aiuto!

cascavel · 23-11-2008, 02.06.42

Quota:

Inviato da gore

Ho pulito la Sun Java come mi hai consigliato, ma continuano a spuntarmi virus da ogni parte..!!

Non esiste qualche programma da scaricare che sia finalizzato all'eliminazione dei Rootkit? Ho fatto una ricerca su Internet, ed effettivamente sembra siano molto pericolosi!
Nel frattempo provo con Gmer

Vi ringrazio per l'aiuto!

se GMER dovesse rilevare qualcosa usa questo http://downloads.andymanchesta.com/R...Fix_ReadMe.htm che per rimuovere rootkit(no bagle) , e svariati trojan, e' una vera falciatrice. ciao e buona fortuna a tutti.

leofelix · 24-11-2008, 01.29.02

Gore, le rootkit non sembrano pericolose, sono pericolose.

Il Gmer che ti ha suggerito di usare il buon cascavel è uno degli strumenti più adatti a cercarle e a rimuoverle, quindi usalo, mi raccomando.

Nel manuale troverai scritto che le voci in rosso trovate da Gmer quando fa la scansione degli oggetti invisibili (le rootkit si nascondono) sono proprio le rootkit, ma per non rischiare di fare errori vedi il manuale che ti è stato indicato.

Ora potresti anche dire che genere di virus Avast continua a segnalare?

Vedo che usi anche l'a-squared antimalware, alla versione 4.0 è stato aggiunto anche il motore dell'antivirus Ikarus e sono purtroppo aumentati i falsi positivi.

Anche a-squared antimalware ti segnalare la presenza di malware?

19-11-2008, 22.14.27	#1
gore Junior Member Registrato: 10-05-2008 Messaggi: 127	win32 rootkit gen Ciao a tutti, avest mi ha appena rilevato questo virus: Win32 Rootkit gen.. è particolarmente pericoloso..? Posto il log di HijackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22.13.16, on 19/11/2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe C:\Programmi\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Programmi\QuickTime\qttask.exe C:\Programmi\Canon\MyPrinter\BJMyPrt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe C:\Programmi\Messenger\msmsgs.exe C:\Programmi\Ares\Ares.exe C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programmi\Panasonic\LUMIXSimpleViewer\PhLeAutoR un.exe C:\Programmi\RALINK\Common\RaUI.exe C:\Programmi\OpenOffice.org 2.3\program\soffice.exe C:\Programmi\OpenOffice.org 2.3\program\soffice.BIN C:\Programmi\a-squared Anti-Malware\a2service.exe C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programmi\File comuni\LightScribe\LSSrvc.exe C:\Programmi\CyberLink\Shared Files\RichVideo.exe C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe C:\Programmi\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wuauclt.exe C:\Programmi\Windows Live\Messenger\usnsvc.exe C:\WINDOWS\system32\svchost.exe C:\Programmi\Windows Media Player\wmplayer.exe C:\Programmi\Bonjour\mDNSResponder.exe C:\Programmi\Adobe\Adobe Illustrator CS3\Support Files\Contents\Windows\Illustrator.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programmi\Mozilla Firefox\firefox.exe C:\Documents and Settings\user\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.it/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\4.1.805. 4472\swg.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe " O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language. exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [a-squared] "C:\Programmi\a-squared Anti-Malware\a2guard.exe" O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programmi\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programmi\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ares] "C:\Programmi\Ares\Ares.exe" -h O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programmi\OpenOffice.org 2.3\program\quickstart.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: LUMIX Simple Viewer.lnk = ? O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programmi\RALINK\Common\RaUI.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab56986.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programmi\a-squared Anti-Malware\a2service.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programmi\WinPcap\rpcapd.exe -- End of file - 8278 bytes Grazie

19-11-2008, 23.23.00	#2
cascavel Senior Member Registrato: 21-07-2008 Loc.: Milano Messaggi: 422	dal log non sono visibili infezioni, controlla che Avast non lo abbia gia rimosso. fai un controllo con questo http://www.pcalsicuro.com/main/guida-a-gmer/ ___________________________________ William Blake. "The Great Red Dragon and the woman dressed with the sun" Ultima modifica di cascavel : 19-11-2008 alle ore 23.30.05

22-11-2008, 18.06.00	#8
leofelix Gold Member Top Poster Registrato: 10-12-2005 Messaggi: 3.514	ciao gore, oltre a seguire i suggerimenti di cascavel (la rootkit sono molto pericolose e Gmer è un validissimo strumento per debellarle). Pulisci la cache di Sun Java dove viene rilevato continuamente il malware. Vai su pannello di controllo, quindi clicca sull'icona con scritto Java>generali>impostazioni>elimina file" Poichè le tracce del malware rilevato come rootkit sono nella cache della Sun Java, una volta pulita, Avast non dovrebbe rilevarla più e anche le tracce residue dovrebbero svanire come per magia. Ultima modifica di leofelix : 22-11-2008 alle ore 20.40.02

24-11-2008, 01.29.02	#11
leofelix Gold Member Top Poster Registrato: 10-12-2005 Messaggi: 3.514	Gore, le rootkit non sembrano pericolose, sono pericolose. Il Gmer che ti ha suggerito di usare il buon cascavel è uno degli strumenti più adatti a cercarle e a rimuoverle, quindi usalo, mi raccomando. Nel manuale troverai scritto che le voci in rosso trovate da Gmer quando fa la scansione degli oggetti invisibili (le rootkit si nascondono) sono proprio le rootkit, ma per non rischiare di fare errori vedi il manuale che ti è stato indicato. Ora potresti anche dire che genere di virus Avast continua a segnalare? Vedo che usi anche l'a-squared antimalware, alla versione 4.0 è stato aggiunto anche il motore dell'antivirus Ikarus e sono purtroppo aumentati i falsi positivi. Anche a-squared antimalware ti segnalare la presenza di malware? Ultima modifica di leofelix : 24-11-2008 alle ore 04.16.21

Discussioni simili
Discussione	Autore discussione	Forum	Risposte	Ultimo messaggio
Rootkit MBR:\\.\PHYSICALDRIVE0	ottobre_rosso	Sicurezza&Privacy	23	30-05-2008 15.04.47
[Ms WinVista] - Un rootkit invisibile persino a vista	realtebo	Segnalazioni Web	0	06-07-2006 07.35.19
L. Rootkit Remover	Macao	Archivio News Software	0	01-01-2006 00.00.48
Aiuto x Drive Image 7	SONOTRANOI	Software applicativo	10	13-11-2004 02.13.11

22-11-2008, 11.33.13	#6
gore Junior Member Registrato: 10-05-2008 Messaggi: 127	Avast mi rileva il virus ad ogni scansione! Il percorso è: C:\Documents and Settings\user\Dati applicazioni\Sun\Java\Deployment\cache\6.0\53\34ce a775-7df6ae23 Cosa devo fare? Provo a cancellarlo manualmente?

Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)