| Autore |
 Discussione  |
|
smilzojoe
Junior Member
57 Messaggi |
 Inserito il - 04/05/2010 : 21:58:33
|
ciao a tutti.
da un paio di giorni il mio avira ha individuato il trojan rootkit.gen nel file fosrfu.sys, ho provato ad eliminarlo da avira ma dice "il file non può essere selezionato per l'eliminazione dopo il riavvio. possibile causa un dispositivo collegato al sistema non è in funzione". ho cercato un po' in giro e ho letto che molti per problemi più o meno simili hanno usato sophos anti-rootkit. l'ho scaricato, mi ha individuato il virus ma idem con patate...non lo rimuove, stesso segnale di errore.
il file è in windows\system32\drivers...qualcuno ha delle idee? ho provato anche a riavviare in modalità provvisoria. in quella modalità avira non rileva il virus nel file...
sono alla disperata ricerca di una soluzione, un grazie anticipato a tutti!!!
|
Modificato da - in Data
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 04/05/2010 : 22:05:14
|
ciao e benvenuta nel forum
scarica hijackthis
lancia il programma cliccando l’eseguibile e avvia la scansione, scegliendo la voce "Do a system scan and save a logfile"
Ricordati di mettere HIJACKTHIS in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop o in cartelle temporanee è importante se vuoi salvare i backup
Posta il log che ti rilascia |
 |
|
|
smilzojoe
Junior Member
57 Messaggi |
Inserito il - 04/05/2010 : 22:09:18
|
grazie per la risposta rapidissima!!!
ecco qua!
i log vanno postati secondo il nostro regolamento.
lo trovi qui: htt*://wikisend[.com]/download/451524/smilzojoe.txt |
Modificato da - michal in data 05/05/2010 00:32:29 |
|
|
|
smilzojoe
Junior Member
57 Messaggi |
Inserito il - 05/05/2010 : 09:40:26
|
Citazione:
Messaggio inserito da smilzojoe
grazie per la risposta rapidissima!!!
ecco qua!
i log vanno postati secondo il nostro regolamento.
lo trovi qui: htt*://wikisend[.com]/download/451524/smilzojoe.txt
grazie michal, scusa ma non avevo letto...errore mio!
nel frattempo ho fixato due righe "sospette" con scritto noname etc...la nuova situazione è questa
htt*://[www].freefilehosting.net/qmVuHsir
ma purtroppo non è migliorato nulla  |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 05/05/2010 : 10:53:26
|
prova in questo modo
scarica gmer
Eseguilo, clicca su >>> e poi su "autostart" - "scan" - "copy" - apri un nuovo file di testo - incolla e salva il file.
Poi,clicca su "rootkit" - "scan" - "copy" - apri un nuovo file di testo - incolla e salva il file.
Posta anche questi due rapporti
controlla se durante la scansione ci sono dei riavvii e se vedi delle voci in rosso, semmai copiale
disattiva l'antivirus
scarica combofix sul desktop
(non installare la recovery console)
- esegui ComboFix.exe
- digita 1
- segui le instruzioni
- finita la scansione portati in C:\ e copia/incolla, nella tua prossima risposta, il contenuto del file di testo Combofix.txt |
|
|
|
smilzojoe
Junior Member
57 Messaggi |
Inserito il - 05/05/2010 : 13:50:28
|
Citazione:
Messaggio inserito da shang
prova in questo modo
scarica gmer
Eseguilo, clicca su >>> e poi su "autostart" - "scan" - "copy" - apri un nuovo file di testo - incolla e salva il file.
Poi,clicca su "rootkit" - "scan" - "copy" - apri un nuovo file di testo - incolla e salva il file.
Posta anche questi due rapporti
controlla se durante la scansione ci sono dei riavvii e se vedi delle voci in rosso, semmai copiale
disattiva l'antivirus
scarica combofix sul desktop
(non installare la recovery console)
- esegui ComboFix.exe
- digita 1
- segui le instruzioni
- finita la scansione portati in C:\ e copia/incolla, nella tua prossima risposta, il contenuto del file di testo Combofix.txt
shang, intanto grazie mille!!!
ho fatto tutto quello che mi hai chiesto.
1) gmer appena viene laciato mi da un messaggio di warning e dice che potrebbero esserci dei rootkit. dietro si leggono alcune righe in nero e una in rosso con scritto
service (****hidden****) boot fosrfu.sys (che è il nome del file infetto)
mi chiede se volgio fare la scansione. se dico si parte la seconda che mi hai chiesto (quella di rootkit) ma il sistema va sempre in crash e riavvia. la stessa cosa se risopndo no e la avvio manualmente. il crash avviene sempre mentre analizza
device\harddiskvolumeshadowcopy1
di questo, dunque non riesco ad ottenere il report
il report di autostart è qui htt*://[www].freefilehosting.net/w45HofEX
al riavvio se visualizzo le specifiche dell'errore con la finestra di vista dice così:
Firma problema:
Nome evento problema: BlueScreen
Versione SO: 6.0.6002.2.2.0.768.3
ID impostazioni locali: 1040
Ulteriori informazioni sul problema:
BCCode: 1000008e
BCP1: C0000005
BCP2: 8284CD95
BCP3: B26DBA54
BCP4: 00000000
OS Version: 6_0_6002
Service Pack: 2_0
Product: 768_1
File che contribuiscono alla descrizione del problema:
C:\Windows\Minidump\Mini050510-03.dmp
C:\Users\Max\AppData\Local\Temp\WER-29624-0.sysdata.xml
C:\Users\Max\AppData\Local\Temp\WER9359.tmp.version.txt
2) ecco il report di combofix htt*://[www].freefilehosting.net/Gr0Vbbdg
Grazie, grazie, grazie mille!!!
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 05/05/2010 : 15:50:28
|
dunque vediamo di procedere con ordine.....
riesegui la scansione con gmer con le stesse modalita' di prima e controlla se ti segnala ancora quell'infezione da rootkit ( la vedi perche' e' in rosso) se dovesse ripresentarsi fai copia\incolla del rapporto e allegalo in un file word
se il pc ha avuto dei riavvii e' buon segno....gmer controlla il pc riavviandolo quando e' presente questa infezione
vai anche qui e analizza questo file
c:\windows\system32\drivers\RKLFEAB.tmp.sys
analizzalo anche su questo sito e postami i rapporti ottenuti
|
|
|
|
smilzojoe
Junior Member
57 Messaggi |
Inserito il - 05/05/2010 : 19:39:14
|
eccoci...
gmer continua a rivelare l'infezione. lo lancio parte in automatico una scansione che si blocca dandomi il messaggio di errore...così:
htt*://[www].freefilehosting.net/jhHuO1BC
se clicco si parte la scansione ma si blocca sempre e sempre nello stesso punto mentre analizza device\harddiskvolumeshadowcopy1. il pc si riavvia e non risco ad arrivare alla fine e a postare il report.
se clicco no poi uso autoscan, invece, finisce la scansione e questo è il report
htt*://[www].freefilehosting.net/EvlXL6qw
i due report che mi hai chiesto di rklfeab sono qui
htt*://[www].freefilehosting.net/2WL0AFVy
htt*://[www].freefilehosting.net/DZtWEzp1
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 05/05/2010 : 19:52:26
|
| smilzojoe dovreti caricarmi il tutto su wikisend, l'altro come al solito non funziona |
|
|
|
smilzojoe
Junior Member
57 Messaggi |
Inserito il - 05/05/2010 : 19:57:01
|
ecco, qui c'è tutto
htt*://wikisend[.com]/download/473058/Desktop.rar
grazie |
Modificato da - smilzojoe in data 05/05/2010 19:57:28 |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 05/05/2010 : 20:10:20
|
per ora esegui questo passaggio
apri un file di testo (dal blocco note di windows), al suo interno incollaci il seguente script:
Citazione:
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\fosrfu]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\fosrfu]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\fosrfu]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\fosrfu]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\fosrfu]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fosrfu]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\fosrfu]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\fosrfu]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\fosrfu]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\fosrfu]
NetSvcs::
fosrfu
Driver::
fosrfu
salva il file nella stessa cartella dove hai messo combofix chiamandolo obbligatoriamente CFScript.txt
Fatto ciò, con il puntatore del mouse, trascina il file sull'icona di combofix. Il programma avvierà una nuova scansione, come la precedente. Non fare e non muovere nulla. Al termine di essa, se non si riavvierà automaticamente il computer, fallo tu. Allega il nuovo file c:\combofix.txt prodotto dalla scansione.
Prima di postarmi il rapporto, esegui nuovamente la scansione con gmer e controlla se trova ancora quel rootkit |
|
|
|
smilzojoe
Junior Member
57 Messaggi |
Inserito il - 05/05/2010 : 20:50:52
|
fatto tutto!!! 
gmer all'avvio non da più segnali di errore!!! se faccio la scansione continua a non completarla, si blocca sempre nello stesso punto ma nessun warning o altro!
al riavvio avira ha segnalato il file infetto, ho fatto elimina e per la prima volta ce l'ha fatta! ho riavviato e del file non c'è più traccia. adesso faccio una scansione completa con avira...e incrocio le dita! ti posto l'ultimo report di combofix
htt*://wikisend[.com]/download/520154/ComboFix.txt
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 05/05/2010 : 20:57:58
|
dobbiamo ancora finire, non scappare....
fai anche una scansione con prevx e vedi cosa rileva
esegui anche una scansione con malwarebytes
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto.
per ora non rimuovere nulla
|
|
|
|
smilzojoe
Junior Member
57 Messaggi |
Inserito il - 05/05/2010 : 21:16:05
|
| aspetto prima che finisca la scansione di avira, la interrompo o avvio le altre in contemporanea? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 05/05/2010 : 21:17:45
|
lascia finire avira, dopo fai le altre
ci sono delle novita'.....
|
|
|
|
smilzojoe
Junior Member
57 Messaggi |
Inserito il - 05/05/2010 : 22:11:38
|
|
avira dice che siamo puliti. provo gli altri... |
|
|
|
Discussione |
|
rootkit.gen - come lo tolgo?
Forum Bloccato
