Condividi:        

NTRootkit-j e altre infezioni

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

NTRootkit-j e altre infezioni

Postdi Aires » 24/04/06 19:24

Salve a tutti,
è da un pò di tempo che il mio antivirus mi segnala con dei pop-up l'avvenuta eliminazione di alcuni files che pare siano stati infettati da questo NTRootkit-j. Il fatto è che il problema si ripresenta ogni volta, e ogni volta il file eliminato dall'antivirus possiede un nome diverso.
Utilizzo sia AdAware sia Spybot S&D e, ultimamente ho scaricato anche Ewido, come da voi più volte consigliato in diversi topic.
Ieri sera ho effettuato la scansione online con bit defender(sempre seguendo i vostri consigli) che mi ha trovato ed eliminato(ma non disinfettato) un trojan. E' successo che, subito dopo, il mio antivirus si è come "sbloccato" e mi avrà segnalato almeno una cinquantina di files infetti(ciascuno con nome differente), la maggior parte dei quali infettati, pare, da NTRootkit-j. Altre voci eliminate sono queste("w32/sdbot.worm.gen.bz"; "w32/sdbot.worm.gen.ai" e "generic Downloader.k").
Ora, vorrei sapere se dopo questo improvviso risveglio del mio antivirus le cose sono tornate alla normalità, oppure se il mio sistema è ancora infettato da qualche schifezza.
Sia il mio antivirus, sia i vari programmi di protezione sono aggiornati.
Un altro problema che si è verificato tempo fa è dovuto al mio firewall, Zone alarm. Improvvisamente è impazzito, ha completamente "dimenticato" ogni programma da me segnalato come "sicuro" e sebbene tentassi ogni volta di aggiungere nuovamente la lista di programmi a cui dare libero accesso, al successivo riavvio si ripresentava il problema. Ho dovuto disinstallarlo.
Vi mostro qui di seguito il log di Hijackthis e, se può servirvi anche il risultato della scansione di Bit defender, ditemelo che tento di allegarvelo.
Vi ringrazio anticipatamente per la vostra disponibilità.

Logfile of HijackThis v1.99.1
Scan saved at 9.11.54, on 01/01/2002
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
c:\programmi\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\ZyDAS\ZD1211 802.11g Utility\ZDWlan.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\WINDOWS\system32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\Mystica\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.forumfree.net/?c=80248
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -

C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} -

c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control

Panel\atiptaxx.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [VSOCheckTask]

"c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online]

"c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe]

C:\PROGRA~1\McAfee\SPAMKI~1\MskDetct.exe /startup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Pop-Up Stopper]

"C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: ZDWlan.lnk = ?
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} -

%windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -

{85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file

missing)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool)

- http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control)

- http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}

(MsnMessengerSetupDownloadControl Class) -

http://messenger.msn.com/download/MsnMe ... loader.cab
O23 - Service: Ati HotKey Poller - Unknown owner -

C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner -

C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks -

C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc -

c:\programmi\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner -

c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc -

c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) -

McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) -

McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: TrueVector Basic Logging Client (minilog) - Unknown owner

- C:\WINDOWS\system32\ZoneLabs\minilog.exe (file missing)
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. -

C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner -

C:\WINDOWS\system32\ZoneLabs\vsmon.exe (file missing)
"Non abbiate paura di avere coraggio"
Aires
Utente Junior
 
Post: 15
Iscritto il: 18/04/06 22:28

Sponsor
 

Postdi fabrizius » 24/04/06 23:02

Ciao,
come prima cosa ti consiglierei di aggiornare IE+SP2...e di reinstallare un firewall (importantissimo per non veder ritornare tutto quello che elimini)....
Poi scarica Stinger e fai uno scan come spiegato nelle istruzioni...
Per i Rootkit dai un occhiata questa in pagina e usa il tools consigliato
Poi per il log fai cosi:
1/disattiva il ripristino configurazione di sistema
(Vai su Start--->tasto destro del mouse sull'icona Risorse del computer----> Proprietà.Nella sezione "Ripristino configurazione di sistema",spuntare "Disattiva Ripristino configurazione di sistema)
2/Assciurati di avere accesso a cartelle e file nascosti
(Pannello di controllo---> Opzioni Cartella ---> Visualizzazione--->metti la spunta su"visualizza file e cartelle nascoste"--->disattiva nascondi file e cartelle di sistema)
3/Avvia il computer in modalità provvisoria
(Riavviare il sistema--->Immediatamente al termine del caricamento del BIOS premere ripetutamente il tasto F8 fin quando non appare il menu Opzioni avanzate di Windows--->Vai su Modalità provvisoria e premi Invio).

Riavvia hijackthis e fixa queste voci:
O4 - HKLM\..\Run: [VSOCheckTask]
O4 - Startup: PowerReg Scheduler V3.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} -
''.%windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -
{85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}

Dai una ripulita ai files inutili ,temp etc con Ccleaner
PS:prima di usarlo vai in opzioni--->avanzate e togli la spunta da:(elimina file solo se piu vecchi di 48 ore)

Fai uno scan con Ewido dalla modalità provvisoria se non lo hai già fatto

Adesso ritorna in modalità normale,riattiva il ripristino e fai uno scan on-line qui
PANDA-->>li hai fatti tutti ma questo no ;)
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi Aires » 25/04/06 00:35

fabrizius ha scritto:Adesso ritorna in modalità normale,riattiva il ripristino e fai uno scan on-line qui
PANDA-->>li hai fatti tutti ma questo no ;)

Argh si, questa mi mancava :P
Comunque ti ringrazio per la prontezza nella risposta, davvero molto gentile. Seguirò le tue istruzioni domattina e ti farò sapere. Ciao
"Non abbiate paura di avere coraggio"
Aires
Utente Junior
 
Post: 15
Iscritto il: 18/04/06 22:28

Postdi Aires » 25/04/06 17:00

ciao, ho seguito alla lettera tutti i tuoi consigli(ad eccezione di quello dove mi dicevi di aggiornare IE+SP2; non l'ho ancora fatto, ma provvederò a breve ;) ).
Allora, Ho reinstallato Zone alarm, nella speranza che non mi impazzisca più.
Ho fatto la scansione con Stinger--->non ha trovato nulla
Ewido--->nulla
Panda,invece, mi ha trovato due virus(eliminati), un dialer e un Hacktool(questi ultimi non li ha eliminati, ma credo di poterlo fare manualmente) in ogni caso ti allego qui di seguito i risultati della scansione:
1)Dialer:dialer.akd
Stato: non disinfettato
Percorso: C:\Documents and Settings\Mystica\Preferiti\explorer.lnk

2) Virus:W32/Gaobot.GPO.worm
Stato:disinfettato
Percorso:C:\WINDOWS\system32\TFTP2460

3)Virus:W32/Gaobot.JPP.worm
Stato: disinfettato
Percorso: C:\WINDOWS\system32\TFTP2720

4)Hacktool:hacktool/rootkit.a!cme-96
Stato: non disinfettato
Percorso: c:\windows\system32\rdriv.sys

Per quanto riguarda il programmino per rilevare i rootkit, ho fatto la scansione e il risultato è questo(linko lo screen), ma non so cosa eliminare nè come eliminarlo. Perdona la mia completa incompetenza in materia :roll:
http://img523.imageshack.us/img523/7360 ... ler7md.jpg

Questo invece è il nuovo log di hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 6.26.19, on 01/01/2002
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
c:\programmi\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\ZyDAS\ZD1211 802.11g Utility\ZDWlan.exe
C:\Programmi\Zone Labs\ZoneAlarm\zonealarm.exe
C:\WINDOWS\System32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\ZoneLabs\MINILOG.EXE
C:\WINDOWS\system32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Documents and Settings\Mystica\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forumfree.net/?c=80248
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MskDetct.exe /startup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - Global Startup: ZDWlan.lnk = ?
O4 - Global Startup: ZoneAlarm.lnk = C:\Programmi\Zone Labs\ZoneAlarm\zonealarm.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programmi\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: TrueVector Basic Logging Client (minilog) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\minilog.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Grazie ancora, Fabrizius ;)
"Non abbiate paura di avere coraggio"
Aires
Utente Junior
 
Post: 15
Iscritto il: 18/04/06 22:28

Postdi fabrizius » 25/04/06 17:35

Ciao,di niente figurati....
comunque il log é uno specchio adesso, ;)
Poi per eliminare quanto rilevato da Panda e da rootkitrevealer fai cosi:
-Svuota la cache di InternetExplorer-->>-Tasto destro sull'icona IE,--->>proprietà--->>nel Tab Generale,clicca su elimina Cookie e conferma OK,poi clicca su elimina file,metti la spunta a (elimina tutto il contenuto non in linea) e conferma OK
-Adesso Disattiva il ripristino configurazione di sistema
(Vai su Start--->tasto destro del mouse sull'icona Risorse del computer----> Proprietà.Nella sezione "Ripristino configurazione di sistema",spuntare "Disattiva Ripristino configurazione di sistema) Poi riattivalo
-Ora vai in:C:\Documents and Settings\Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5 e svuota tutto il contenuto della cartella,fai la stessa cosa anche con la cartella temp e temporany internet files

Cerca ed elimina
c:\windows\system32\rdriv.sys-->se c'é ancora...

Aggiorna il sistema con il sp2 altrimenti ti ritroverai sempre a cacciare via ospiti sgraditi
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi Aires » 25/04/06 18:37

ricevuto! ;)
Non posso fare altro che ringraziarti nuovamente.
Pare che per ora sia tutto ok; nel caso incappassi in qualche altro problemuccio, vorrà dire che usufruirò ancora della tua pazienza ;)
Ciao!
"Non abbiate paura di avere coraggio"
Aires
Utente Junior
 
Post: 15
Iscritto il: 18/04/06 22:28

Postdi fabrizius » 25/04/06 18:44

di niente figurati ;)
a disposizione...fà sempre piacere aiutare persone gentili ed educate come te... :)
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55


Torna a Sicurezza e Privacy


Topic correlati a "NTRootkit-j e altre infezioni":


Chi c’è in linea

Visitano il forum: Nessuno e 24 ospiti