Infezioni informatiche e Sicurezza informatica in generale

PcPrimiPassi.it FORUM: SICUREZZA INFORMATICA: Infezioni informatiche e Sicurezza informatica in generale

RISOLTO!

Topic: [RISOLTO] TR/RootKit.GEN: Rustock...

(

Topic Chiuso)

Altre pagine della discussione:

Bonzarello
Principiante

Iscritto dal : 06/Maggio/2009
Status: Offline
Posts: 19

Topic: Post n° 93.410 - Postato: 14/Febbraio/2010 alle 19:01

Salve a tutti ho un Tojan che nn riesco ad eliminare, si tratta di un TR/ROOTKIT.GEN evidenziato dopo una scanzione approfondita con AVIRA ANTIVIR PERSONAL - Versione gratuita, il percorso viene rilevato in C:\WINDOWS\system32\drivers e il file ha nome "49cb765d" con l'icona di programma sconosciuto. Avira lo mette in quarantena ma nn riesce ne a eliminare ne a disinfettare. ho fatto la scanzione con Trend Micro HijackThis v2.0.2 e ho postato qui sotto il risultato. Che mi consigliate di fare? Grazie in anticipo.

*** log di hijackthis editato.. le voci sospette sono indicate nel post successivo ***

Modificato da prgn - 02/Marzo/2010 alle 02:24

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 93.417 - Postato: 16/Febbraio/2010 alle 01:25

Ciao.. il nome è molto generico.. tra l'altro hijackthis non riporta i rootkit...
Facciamo una cosa.. allora, cerca in installazioni applicazioni e vedi se trovi installate le seguenti applicazioni:

Search Guard PlusU
Fast Browser Search

Se ci sono disinstallale... poi avvia di nuovo hijackthis e fagli fare una scansione e fixa le seguenti voci se ci sono ancora:

O2 - BHO: Search Assistant - {f0626a63-410b-45e2-99a1-3f2475b2d695} - C:\Programmi\SGPSA\BHO.dll

O2 - BHO: XBTBPos00 - {fcbccb87-9224-4b8d-b117-f56d924beb18} - C:\Programmi\Fast Browser Search\IE\FBStoolbar.dll

O3 - Toolbar: Fast Browser Search Toolbar - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Programmi\Fast Browser Search\IE\FBStoolbar.dll

O4 - HKLM\..\Run: [SGPUpdater] C:\Programmi\Search Guard PlusU\sgpUpdaters.exe

se son presenti, quindi, fixale.

Poi scarica malwarebytes e fagli fare una scansione completa del sistema (naturalmente deve essere aggiornato).... posta il log che produce malwarebytes

Se il rootkit non viene eliminato allora facciamo una scanzione con Gmer.... Gmer lo puoi prendere dal seguete link: gmer
Scaricalo e decomprimi il file compresso in una cartella..., fai la scansione del pc e prendi il log e copialo in un post della discussione (per prendere il log di gmer... fai partire il programma e dalla finestra di partenza, cioè nella cartella "rootkit" del programma stesso, clicca su Scan... e quando ha finito... clicca sul tasto Copy... Incolla quello che hai appena copiato... in un post facendo attenzione che il log, dopo averlo postato, ci sia tutto....)

Se il log di Gmer dovesse essere molto grande.. potresti usare un servizio di file hosting.. (tipo mediafire.com) e dopo aver fatto l'upload del file.. indicarne il link...

Ok.. facci sapere
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

Bonzarello
Principiante

Iscritto dal : 06/Maggio/2009
Status: Offline
Posts: 19

Topic: Post n° 93.423 - Postato: 16/Febbraio/2010 alle 13:27

Sei stato chiarissimo prg, stasera ci provo....
Solo 2 cose: 1) Bisogna che disistalli anke AVIRA prima di scansionare con i programmi che mi hai consigliato?
2) il log che dovrei postare del risultato lo devo postare qui? oppure devo aprire una nuova discussione?

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 93.424 - Postato: 16/Febbraio/2010 alle 13:47

Ciao.. i log vanno sempre messi in questa discussione..
Riguardo avira non c'è bisogno che lo disinstalli... puoi benissimo chiuderlo (clic sull'iconcina in basso a destra e togli la spunta da "Antivir guard enable"... che poi puoi riattivare... (riattivandola vedrai l'ombrellino che si riapre))
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

Bonzarello
Principiante

Iscritto dal : 06/Maggio/2009
Status: Offline
Posts: 19

Topic: Post n° 93.445 - Postato: 17/Febbraio/2010 alle 23:59

Allora allora.. tutto fatto!

Ho disistallato dai programmi quelle voci che mi hai consigliato di eliminare(che nn sapevo di avere, grazie).

Il file in "C:\WINDOWS\system32\drivers\49cb765d.sys" sembra non esserci piu' dopo la scansione fatta con Malwerebytes. Dico sembra perche' a un primo click alla fine della scansione, (sul tasto "elimina file selezionati"), mi e' comparso un messaggio che non prometteva tanto bene... come se dei 3 file infetti trovati, proprio quello del trojan Rootkit non fosse eliminato. Ma al riavvio del sistema, come consigliato da Malwerebytes, non l'ho + trovato nella cartella dov'era

. Mi consigli di fermarmi qui oppure faccio un'altra scansione con qmer? Per adesso TI RINGRAZIO INFINITAMENTE e ti posto i due log solo con le voci interessate(il primo è quello dopo la scansione, l'altro è quello del risultato dopo l'eliminazione dei 3 file infetti).

File infetti:
C:\Programmi\Navilog1\gnc.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\drivers\49cb765d.sys (Rootkit.Rustock) -> No action taken.
C:\Documents and Settings\Giuliano\Dati applicazioni\wiaserva.log (Malware.Trace) -> No action taken.

File infetti:
C:\Programmi\Navilog1\gnc.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\49cb765d.sys (Rootkit.Rustock) -> Delete on reboot.
C:\Documents and Settings\Giuliano\Dati applicazioni\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 93.454 - Postato: 21/Febbraio/2010 alle 02:43

Come si vede dalle voci che hai postato, i file son stati cancellati.. quindi se non ci sono più stai tranquillo... (gnc.exe appartiene a navilog.. che è un tool per eliminare navipromo)
Vedo, dalle voci, che il rootkit era rustock, ce ne sono varie varianti... malwarebytes dovrebbe esser riuscito a togliere la tua... In giro puoi trovare anche dei tools specifici.. diciamo che però son per le prime versioni...
Tra l'altro possiamo pensare che rustock era in compagnia di un trojan, bredolab, infatti il file wiaserva.log è tipico di questo malware... che si accompagna ad altri malware e rustock è tra questi...
Anche il file di bredolab è stato eliminato... ma rimane da eliminare una voce in registro relativa a bredolab (che potrebbe anche non esserci.. ma è meglio controllare...)
Vai in start -> esegui e digita regedit, in regedit, nella colonna di sinistra, muoviti tra i rami del registro e segui il seguente percorso:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

In Winlogon cerca il seguente valore che va eliminato:

RunGrpConv = 1

(quindi clicca con il tasto destro su RunGrpConv ed eliminalo se presente)

Mi raccomando, se non ti è chiaro cosa fare non cancellare nulla.. e chiedi ulteriori spiegazioni (modificare il registro potrebbe apportare dei danni al sistema operativo.. quindi bisogna esser coscienti di ciò che si fa...)

Per quanto riguarda i file infetti legati a bredolab... una scansione approfondita del sistema dovrebbe bastare (hai detto di averla già fatta con avira... quindi avrai già l'impostazione in avira: Configurazione-> scansione -> Tutti i files (che appunto serve per la scansione approfondita di avira antivir))

Abbiamo anche il ripristino configurazione di sistema che andrebbe disattivato da tutti i dischi... (onde evitare che qualche file infetto si sia annidato nei punti di ripristino...) ed anche i temporanei andrebbero eliminati..., per farlo, potresti usare CClener... Vai alla seguente discussione:

REGOLA : LEGGERE Prima di postare un LOG

e troverai indicato come disattivare il ripristino configurazione di sistema (in modo da eliminare tutti i punti di ripristino) e troverai il link per scaricare Cclener e pure la modalità di pulizia da applicare... (aggiungo solo di mettere la spunta, in avanzate, nella casella alla sinistra di "Vecchi dati di prefetch")... Dopo aver fatto questo e dopo una scansione approfondità con un antivirus aggiornato... potrai riattivare il ripristino configurazione di sistema... (naturalmente controlla se i file eliminati sono ancora presenti)
Scusa se ti ho risposto solo adesso... mi sembra di non aver dimenticato nulla...
Facci sapere come è andata
Ciao

Modificato da prgn - 02/Marzo/2010 alle 02:25

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 93.455 - Postato: 21/Febbraio/2010 alle 02:50

PS: dimenticavo... alla fine ti saranno rimaste alcune cartelle... son relative ai programmi che ti ho detto di togliere.. quindi le dovresti trovare ella cartella programmi:

Fast Browser Search

Search Guard PlusU

SGPSA

(SGPSA potrebbe non andar via in modalità normale.. quindi toglila da modalità provvisoria)

Da qualche parte sull'hard disk dovresti avere anche il file di installazione di My Web Tattoo che installa appunto gli adware che ti ho fatto togliere.. non so però dove sia precisamente.. (forse in una cartella in C:\) Io lo toglierei
Ciao

Modificato da prgn - 21/Febbraio/2010 alle 02:57

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

Bonzarello
Principiante

Iscritto dal : 06/Maggio/2009
Status: Offline
Posts: 19

Topic: Post n° 93.527 - Postato: 28/Febbraio/2010 alle 18:30

Non preoccuparti per l'attesa per le risposte, anch'io come vedi non sempre ne ho il tempo..

Come prima cosa ho seguito il percorso in HKEY_CURRENT_USER\ ma non ho trovato la voce, poi dopo aver usato CCleaner(spuntato in Avanzate), ho fatto una scasione approfodita di tutti i file con avira in modalita' provvisoria. Mi ha trovato un'altro trojan "TR/Dldr.WMA.Wimad.X" nel disco D e opportunatamente messo in quarantena:

Fine della scansione: domenica 28 febbraio 2010 17:14
Tempo impiegato: 4:29:55 Ora(e)

La scansione è stata completamente eseguita.

   7648 Directory scansionate
277100 I file sono stati scansionati
      1 Rilevati virus e/o programmi indesiderati
      0 I file sono stati classificati come sospetti
      0 I file sono stati eliminati
      0 I virus o i programmi indesiderati sono stati riparati
      1 File spostati in quarantena
      0 File rinominati
      2 Impossibile scansionare i file
277097 File non infetti
   1281 Archivi scansionati
      2 Avvisi
      2 Note

Ora nei due avvisi ci sono 2 file che nn si sono potuti aprire:

Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\' <Sistema>
C:\pagefile.sys
    [AVVISO]    Impossibile aprire il file!
    [NOTA]      Questo è un file di sistema di Windows.
    [NOTA]      Impossibile aprire questo file per la scansione.
C:\WINDOWS\system32\drivers\sptd.sys
    [AVVISO]    Impossibile aprire il file!

Finita la scansione e ritornato alla modalita' normale di Windows, il primo file non e' piu' presente in C, mentre l'altro(in C:\WINDOWS\system32\drivers\sptd.sys) ancora c'e' e non si riesce ad aprirlo nemmeno attivando la spunta delle cartelle nascoste nel pannello di controllo...

Le altre voci da te citate nel tuo ultimo post non ci sono, nemmeno My Tattoo, quindi se non ci sono altre procedure penso di essere a posto.

Ti ringrazio di nuovo e in attesa di ulteriori aiuti(speriamo lontani

) ti saluto

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 93.551 - Postato: 02/Marzo/2010 alle 02:20

Ciao..
Veniamo alla scansione ed al file infetto che hai trovato...
TR/Dldr.WMA.Wimad.X è relativo a qualche file audio che hai sul disco d:
Ti consiglio di individuare se il file è parte di un archivio o di una cartella creata scompattando un file compresso..... e di controllare con attenzione i file audio che contengono... (ci sono alcuni formati multimediali tra cui il wma e il wmv... che possono dare questi problemi... ma comunque bisogna prestare attenzione.. a volte possiamo vedere un semplice mp3 che in realtà è un file infetto al quale è stata cambiata l'estensione... Non a caso media player ci avverte se si cerca di avviare un file ha una estensione diversa da quella che dovrebbe avere..)
Per i 2 file che non ha potuto aprire.. è normale.. uno è un file di sistema (memoria virtuale) e l'altro dovrebbe essere un file di Daemon tools...
Mi confermi che daemon tools è stato installato sul tuo pc?
Quindi, tranne quest'ultima domanda e la questione dei file musicali da controllare, tutto ok! Thumbs%20Up

Fammi sapere
Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

Bonzarello
Principiante

Iscritto dal : 06/Maggio/2009
Status: Offline
Posts: 19

Topic: Post n° 93.567 - Postato: 03/Marzo/2010 alle 12:29

Si, ho deamon tool sul pc e si il trojan proveniva da un file musicale che ho subito rimosso.

Ciao e grazie!

Altre pagine della discussione:

Rispondi con Editor completo Nuova Discussione

Versione stampabile

TI E' PIACIUTO QUESTO CONTENUTO ?

Suggerisci questa pagina

Supporta il nostro lavoro

Iscriviti ora alla newsletter!

Vai al Forum

Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Versione 5.7 Sviluppata da Stefano Ravagni

Infezioni informatiche e Sicurezza informatica in generale

Topic: [RISOLTO] TR/RootKit.GEN: Rustock...

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

Infezioni informatiche e Sicurezza informatica in generale

Topic: [RISOLTO] TR/RootKit.GEN: Rustock...

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !