Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Mi controllate il LOG HiJack Opzioni
breus56
Inviato: Tuesday, November 24, 2009 9:24:56 PM
Rank: Member

Iscritto dal : 11/16/2009
Posts: 20
Niente in modalità provvisoria combofix mi da Failed to get data for ' Enable LUA' poi mi dice che cè attività rootkit e mi si riavvia il pc.......
r16
Inviato: Tuesday, November 24, 2009 9:53:49 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Male...
Proviamo con Prevx:
http://www.prevx.com/freescan.asp
Se lo rileva, lo puoi eliminare con il pulsante Cleanup Now
breus56
Inviato: Wednesday, November 25, 2009 8:11:59 AM
Rank: Member

Iscritto dal : 11/16/2009
Posts: 20
Previously Detected Files:
[B] c:\windows\temp\bnir.tmp [PX5: 726A11A90053D43F1EEB013597FB3E007A3CE6D9] Malware Group: High Risk Cloaked Malware

End of Prevx Scan Log - http://www.prevx.com

Questo é quello che ha rilevato prevx3.0 ogni tanto ne salta uno nuovo fuori, o non so se questo é associato ai tdlcmd.dll o tdlwsp.dll o ai BackDoor.Tdss.565.....
dario-vr
Inviato: Wednesday, November 25, 2009 8:58:26 AM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
breus56 ha scritto:
Previously Detected Files:
[B] c:\windows\temp\bnir.tmp [PX5: 726A11A90053D43F1EEB013597FB3E007A3CE6D9] Malware Group: High Risk Cloaked Malware

End of Prevx Scan Log - http://www.prevx.com

Questo é quello che ha rilevato prevx3.0 ogni tanto ne salta uno nuovo fuori, o non so se questo é associato ai tdlcmd.dll o tdlwsp.dll o ai BackDoor.Tdss.565.....


Ciao sei alle prese con una nuova variante più complessa del rootkit MBR, se guardi un po in giro ne vedi di casi come il tuo.

L'amico r16 ti può davvero dare una grande mano.
Ho letto che vorresti formattare ma credimi non risolveresti, a meno, appunto, di una formattazione a basso livello. Cosa non facile.
Leggi qui a tal proposito:
http://www.prevx.com/filenames/578901560625511994-X1/TDLCMD.DLL.html
e qui:
http://www.prevx.com/blog.asp

Sembrerebbe che il team di Prevx sia in grado di eseguire la disinfezione, ma dovresti essere loro cliente: la versione Pro costa più o meno 25 Euro ed è un ottimo software.

Mi spiace e tanti sinceri auguri. (so cosa vuol dire passare ore e giorni per rimediare a quegli infami!)
breus56
Inviato: Wednesday, November 25, 2009 3:51:41 PM
Rank: Member

Iscritto dal : 11/16/2009
Posts: 20
Per Dario-vr per basso livello cosa intendi cancellare la partizione del sistema per poi ricrearla e formattare, bhe questa sará la strada che intraprenderó diciamo sabato mattina se non riesco a risolvere prima, poi se il rootkit é ancora piú furbo allora penso che chi la fatto meriti la mia stima eterna, vorrá dire che dopo mi affideró ad una casa tipo prev3.0 diventando cliente se loro mi metteranno per scritto che la versione pro elimina tutto anche chi lo genera, in quanto tdlcmd.dll viene riconosciuto all´attimo della sua formazione da l´antivirus Antivir e lo toglie immediatamente di mezzo, ma io voglio togliere di mezzo colui che lo genera con cadenza di due ore esatte al microsecondo, infatti stavo pensando di dare un´occhiata ai servizi ed i processi in esecuzione tramite il task manager per cercare di individuare chi fva in azione al momento delle due ore esatte...
Grazie comunque dell´aiuto che sia r16 che te mi state dando per cercare di risolvere il caso disperato.
simo95
Inviato: Wednesday, November 25, 2009 4:06:10 PM

Rank: AiutAmico

Iscritto dal : 12/4/2008
Posts: 2,008
breus56 ha scritto:
Per Dario-vr per basso livello cosa intendi cancellare la partizione del sistema per poi ricrearla e formattare, bhe questa sará la strada che intraprenderó diciamo sabato mattina se non riesco a risolvere prima, poi se il rootkit é ancora piú furbo allora penso che chi la fatto meriti la mia stima eterna, vorrá dire che dopo mi affideró ad una casa tipo prev3.0 diventando cliente se loro mi metteranno per scritto che la versione pro elimina tutto anche chi lo genera, in quanto tdlcmd.dll viene riconosciuto all´attimo della sua formazione da l´antivirus Antivir e lo toglie immediatamente di mezzo, ma io voglio togliere di mezzo colui che lo genera con cadenza di due ore esatte al microsecondo, infatti stavo pensando di dare un´occhiata ai servizi ed i processi in esecuzione tramite il task manager per cercare di individuare chi fva in azione al momento delle due ore esatte...
Grazie comunque dell´aiuto che sia r16 che te mi state dando per cercare di risolvere il caso disperato.


Una formattazione a basso livello consiste nell'eliminare qualsiasi partizione, cancellare i dati in modo più "strong", e formattare i primi 300 MB e gli ultimi 100, che in una normale formattazione non vengono toccati.
Sono proprio quei primi 300, dove risiede l'MBR, che ti fregano.
Non basta una normale formattazione, quindi.
Dicci marca e modello del tuo hard-disk, ma prima di rassegnarti e formattare, aspetta r16.
Ciao
dario-vr
Inviato: Wednesday, November 25, 2009 4:25:14 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
"poi se il rootkit é ancora piú furbo allora penso che chi la fatto meriti la mia stima eterna"

Non sono d'accordo, mi spiace. Disprezzo coloro che usano le loro capacità e conoscenza per recare danno altrui.
Non meritano nè approvazione nè stima, ma tanta sacrosanta maledizione!

enigmista63
Inviato: Wednesday, November 25, 2009 4:46:36 PM

Rank: AiutAmico

Iscritto dal : 4/28/2007
Posts: 1,976
Whistle Ciao prima di formattare vedi se con l'aiuto di R16 riesci manualmente a ripulere il pc prevx in versione free ti dovrebbe indicare i percorsi dei file infetti,anche perche' se formatti e risolvi,poi se incappi di nuovo nello stesso rootkit che fai formatti di nuovo?,lasciala come ultima spiaggia.
dario-vr
Inviato: Wednesday, November 25, 2009 4:49:15 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
enigmista63 ha scritto:
Whistle Ciao prima di formattare vedi se con l'aiuto di R16 riesci manualmente a ripulere il pc prevx in versione free ti dovrebbe indicare i percorsi dei file infetti,anche perche' se formatti e risolvi,poi se incappi di nuovo nello stesso rootkit che fai formatti di nuovo?,lasciala come ultima spiaggia.
Angel Angel Angel
breus56
Inviato: Wednesday, November 25, 2009 6:35:48 PM
Rank: Member

Iscritto dal : 11/16/2009
Posts: 20
dario-vr ha scritto:
"poi se il rootkit é ancora piú furbo allora penso che chi la fatto meriti la mia stima eterna"

Non sono d'accordo, mi spiace. Disprezzo coloro che usano le loro capacità e conoscenza per recare danno altrui.
Non meritano nè approvazione nè stima, ma tanta sacrosanta maledizione!



La mia era solo una battuta dettata dalla rabbia che qualcuno cerca di intrufolarsi nella vita privata di altri senza autorizzazione cercando di carpire chissá cosa, peró un piccolo spiraglio di sole lo sto vedendo ho trovato nei programmi installati uno che non sapevo cosera lo disinstallato con revounistaller e in un primo momento non voleva cancellarsi ma dopo revo lo ha spazzato via, inoltre questo file conteneva due link che non ho cliccato, e come per magia da quel momento nulla si é ancora ripresentato, non chiedetemi cosera perché non ho guardato con attenzione come si chiamava ho visto solo che non é un programma che uso, a questo punto penso che sia stato uno dei tanti programmi broadcasting per vedere le partite che ti fanno installare loro software che poi disinstallavo subito perché la partita comunque continuavo a non vedere e ci ho rinunciato.
Vi faró sapere dopo il prossimo riavvio se é cambiato qualche cosa.
Per le formattazzioni a basso livello ci sono programmi che le fanno? ricordo un certo PCTOOLS ma parliamo di 10 anni fá, poi togliere le partizioni é un problema ne ho una fatta dalla casa dove ho acquistato il pc di 10Gb di cui 6 sono usati probabilmente dal sistema o chissá cosa oltre tutto é anche nascosta e senza nome e drive, togliere anche quella significa sicuramente perdere la garanzia che é ancora di 13 mesi, la cosa mi scoccerebbe alquanto.
L´HD é un samsung 502IJ ATA device.
dario-vr
Inviato: Wednesday, November 25, 2009 6:38:53 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Ok allora siamo d'accordo.
Vedi di seguire r16 Applause che è un mago e vedrai che non dovrai formattare.Angel

Fintanto che aspetti r16 perchè non provi questo tool della Symantec (Norton) :

http://ita.tallemu.com/oasis2/product/symantec_corporation/trojan_mebroot_removal_tool/54877


Ciao e buona fortuna allora.
breus56
Inviato: Wednesday, November 25, 2009 8:55:28 PM
Rank: Member

Iscritto dal : 11/16/2009
Posts: 20
Grazie ma é solo per windows xp purtroppo
r16
Inviato: Wednesday, November 25, 2009 9:12:20 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao a tutti.
Permettetemi una "piccola" osservazione.
Stiamo trattando un'infezione da rootkit "in memoria" NON nel MBR.
In questo caso, l'MBR non centra niente.

@breus56
Per capire da quale chiave del registro parte, prova a fare una scansione con GMER:
Scarica GMER, poi segui i seguenti passaggi:
http://www2.gmer.net/gmer.zip

--- 1° passaggio ---
Avvia gmer
clicca su > > >
Clicca su Autostart
Seleziona il disco C:
clicca su Scan
Aspetta che finisca la scansione, e posta il log.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicca su Rootkit
clicca su Scan
al termine della scansione, Posta qui il log.
Dimmi se rileva voci in rosso, e copia il percorso per postarlo qui.
breus56
Inviato: Thursday, November 26, 2009 9:30:14 AM
Rank: Member

Iscritto dal : 11/16/2009
Posts: 20
Posto cosí perché non sono riuscito a trovare come mettere direttamente il file txt

Prima scansione

GMER 1.0.15.15252 - http://www.gmer.net
Autostart scan 2009-11-26 09:01:28
Windows 6.0.6002 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\Windows\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ >>>
!SASWinLogon@DLLName = E:\Programme\SUPERAntiSpyware\SASWINLO.DLL
PCANotify@DLLName = PCANotify.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
AntiVirSchedulerService@ = "C:\Program Files\Avira\AntiVir Desktop\sched.exe"
AntiVirService@ = "C:\Program Files\Avira\AntiVir Desktop\avguard.exe"
CSIScanner@ = "C:\Program Files\Prevx\prevx.exe" /service
gupdate1ca271046bd4d72@ = "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc
ImapiService@ = %systemroot%\system32\imapi.exe /*file not found*/
Lavasoft Ad-Aware Service@ = "C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe"
nvsvc@ = %SystemRoot%\system32\nvvsvc.exe
slsvc@ = %SystemRoot%\system32\SLsvc.exe
Stereo Service@ = C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
STI Simulator@ = C:\Windows\System32\PAStiSvc.exe
TrustedInstaller@ = %SystemRoot%\servicing\TrustedInstaller.exe
WSearch@ = %systemroot%\system32\SearchIndexer.exe /Embedding

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@RtHDVCplRtHDVCpl.exe = RtHDVCpl.exe
@avgnt"C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min = "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@SidebarC:\Program Files\Windows Sidebar\sidebar.exe /autoRun /*file not found*/ = C:\Program Files\Windows Sidebar\sidebar.exe /autoRun /*file not found*/
@SUPERAntiSpywareE:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe = E:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
@WMPNSCFGC:\Program Files\Windows Media Player\WMPNSCFG.exe = C:\Program Files\Windows Media Player\WMPNSCFG.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks@{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} = E:\Programme\SUPERAntiSpyware\SASSEH.DLL

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{F02C1A0D-BE21-4350-88B0-7367FC96EF3C} /*Computers and Devices*/%systemroot%\system32\NetworkExplorer.dll = %systemroot%\system32\NetworkExplorer.dll
@{4A1E5ACD-A108-4100-9E26-D2FAFA1BA486} /*IGD Property Sheet Handler*/%SystemRoot%\System32\icsigd.dll = %SystemRoot%\System32\icsigd.dll
@{92dbad9f-5025-49b0-9078-2d78f935e341} /*Microsoft Windows Mail Html Preview Handler*/%SystemRoot%\system32\inetcomm.dll = %SystemRoot%\system32\inetcomm.dll
@{b9815375-5d7f-4ce2-9245-c9d4da436930} /*Microsoft Windows Mail Html Preview Handler*/%SystemRoot%\system32\inetcomm.dll = %SystemRoot%\system32\inetcomm.dll
@{f8b8412b-dea3-4130-b36c-5e8be73106ac} /*Microsoft Windows Mail Html Preview Handler*/%SystemRoot%\system32\inetcomm.dll = %SystemRoot%\system32\inetcomm.dll
@{5FA29220-36A1-40f9-89C6-F4B384B7642E} /*Shell Message Handler*/%SystemRoot%\system32\inetcomm.dll = %SystemRoot%\system32\inetcomm.dll
@{E7E4BC40-E76A-11CE-A9BB-00AA004AE837} /*Shell DocObject Viewer*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{FBF23B40-E3F0-101B-8488-00AA003E56F8} /*InternetShortcut*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{3C374A40-BAE4-11CF-BF7D-00AA006946EE} /*Microsoft Url History Service*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{FF393560-C2A7-11CF-BFF4-444553540000} /*History*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{7BD29E00-76C1-11CF-9DD0-00A0C9034933} /*Temporary Internet Files*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{7BD29E01-76C1-11CF-9DD0-00A0C9034933} /*Temporary Internet Files*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{CFBFAE00-17A6-11D0-99CB-00C04FD64497} /*Microsoft Url Search Hook*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{3DC7A020-0ACD-11CF-A9BB-00AA004AE837} /*The Internet*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{73CFD649-CD48-4fd8-A272-2070EA56526B} /*IE BandProxy*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{07C45BB1-4A8C-4642-A1F5-237E7215FF66} /*IE Microsoft BrowserBand*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{43886CD5-6529-41c4-A707-7B3C92C05E68} /*IE Navigation Bar*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{30D02401-6A81-11d0-8274-00C04FD5AE38} /*IE Search Band*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{F83DAC1C-9BB9-4f2b-B619-09819DA81B0E} /*IE Registry Tree Options Utility*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{3028902F-6374-48b2-8DC6-9725E775B926} /*IE AutoComplete*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{98FF6D4B-6387-4b0a-8FBD-C5C4BB17B4F8} /*IE MRU AutoComplete List*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{FDE7673D-2E19-4145-8376-BBD58C4BC7BA} /*IE Custom MRU AutoCompleted List*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{6038EF75-ABFC-4e59-AB6F-12D397F6568D} /*IE Microsoft History AutoComplete List*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{9D958C62-3954-4b44-8FAB-C4670C1DB4C2} /*IE Microsoft Shell Folder AutoComplete List*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{B31C5FAE-961F-415b-BAF0-E697A5178B94} /*IE Microsoft Multiple AutoComplete List Container*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{E6EE9AAC-F76B-4947-8260-A9F136138E11} /*IE Shell Band Site Menu*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{BFAD62EE-9D54-4b2a-BF3B-76F90697BD2A} /*IE Shell Rebar BandSite*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} /*IE User Assist*/(null) =
@{4B78D326-D922-44f9-AF2A-07805C2A3560} /*IE Menu Band*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{6CF48EF8-44CD-45d2-8832-A16EA016311B} /*IE IShellFolderBand*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{F2CF5485-4E02-4f68-819C-B92DE9277049} /*&Links*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{1C1EDB47-CE22-4bbb-B608-77B48F83C823} /*IE Fade Task*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{6B4ECC4F-16D1-4474-94AB-5A763F2A54AE} /*IE Tracking Shell Menu*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{44C76ECD-F7FA-411c-9929-1B77BA77F524} /*IE Menu Site*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{205D7A97-F16D-4691-86EF-F3075DCCA57D} /*IE Menu Desk Bar*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{871C5380-42A0-1069-A2EA-08002B30309D} /*Internet Name Space*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{9A096BB5-9DC3-4D1C-8526-C3CBF991EA4E} /*IE RSS Feeder Folder*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{8856f961-340a-11d0-a96b-00c04fd705a2} /*Microsoft Web Browser*/C:\Windows\system32\ieframe.dll = C:\Windows\system32\ieframe.dll
@{00020d75-0000-0000-c000-000000000046} /*lnkfile*/(null) =
@{CC6EEFFB-43F6-46c5-9619-51D571967F7D} /*Web Publishing Wizard*/%SystemRoot%\System32\shwebsvc.dll = %SystemRoot%\System32\shwebsvc.dll
@{add36aa8-751a-4579-a266-d66f5202ccbb} /*Print Ordering via the Web*/%SystemRoot%\System32\shwebsvc.dll = %SystemRoot%\System32\shwebsvc.dll
@{6b33163c-76a5-4b6c-bf21-45de9cd503a1} /*Shell Publishing Wizard Object*/%SystemRoot%\System32\shwebsvc.dll = %SystemRoot%\System32\shwebsvc.dll
@{176d6597-26d3-11d1-b350-080036a75b03} /*ICM Scanner Management*/%SystemRoot%\System32\colorui.dll = %SystemRoot%\System32\colorui.dll
@{5DB2625A-54DF-11D0-B6C4-0800091AA605} /*ICM Monitor Management*/%SystemRoot%\System32\colorui.dll = %SystemRoot%\System32\colorui.dll
@{675F097E-4C4D-11D0-B6C1-0800091AA605} /*ICM Printer Management*/%SystemRoot%\system32\colorui.dll = %SystemRoot%\system32\colorui.dll
@{DBCE2480-C732-101B-BE72-BA78E9AD5B27} /*ICC Profile*/%SystemRoot%\system32\colorui.dll = %SystemRoot%\system32\colorui.dll
@{b2c761c6-29bc-4f19-9251-e6195265baf1} /*Color Control Panel Applet*/(null) =
@{74246bfc-4c96-11d0-abef-0020af6b0b7a} /*Device Manager*/%SystemRoot%\System32\devmgr.dll = %SystemRoot%\System32\devmgr.dll
@{7A979262-40CE-46ff-AEEE-7884AC3B6136} /*Add New Hardware*/(null) =
@{3e7efb4c-faf1-453d-89eb-56026875ef90} /*Get Programs Online*/(null) =
@{1b24a030-9b20-49bc-97ac-1be4426f9e59} /*ActiveDirectory Folder*/(null) =
@{34449847-FD14-4fc8-A75A-7432F5181EFB} /*ActiveDirectory Folder*/(null) =
@{C8494E42-ACDD-4739-B0FB-217361E4894F} /*Sam Account Folder*/(null) =
@{E29F9716-5C08-4FCD-955A-119FDB5A522D} /*Sam Account Folder*/(null) =
@{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0} /*Control Panel command object for Start menu*/(null) =
@{E44E5D18-0652-4508-A4E2-8A090067BCB0} /*Default Programs command object for Start menu*/(null) =
@{6dfd7c5c-2451-11d3-a299-00c04f8ef6af} /*Folder Options*/(null) =
@{97e467b4-98c6-4f19-9588-161b7773d6f6} /*Office Document Property Handler*/%SystemRoot%\system32\propsys.dll = %SystemRoot%\system32\propsys.dll
@{2C2577C2-63A7-40e3-9B7F-586602617ECB} /*Explorer Query Band*/(null) =
@{DC1C5A9C-E88A-4dde-A5A1-60F82A20AEF7} /*File Open Dialog*/%SystemRoot%\System32\comdlg32.dll = %SystemRoot%\System32\comdlg32.dll
@{C0B4E2F3-BA21-4773-8DBA-335EC946EB8B} /*File Save Dialog*/%SystemRoot%\System32\comdlg32.dll = %SystemRoot%\System32\comdlg32.dll
@{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} /*Shell Icon Handler for Application References*/C:\Windows\system32\dfshim.dll = C:\Windows\system32\dfshim.dll
@{e82a2d71-5b2f-43a0-97b8-81be15854de8} /*ShellLink for Application References*/C:\Windows\system32\dfshim.dll = C:\Windows\system32\dfshim.dll
@{92337A8C-E11D-11D0-BE48-00C04FC30DF6} /*OlePrn.PrinterURL*/%SystemRoot%\system32\oleprn.dll = %SystemRoot%\system32\oleprn.dll
@{45670FA8-ED97-4F44-BC93-305082590BFB} /*Microsoft XPS Properties*/%SystemRoot%\system32\XPSSHHDR.DLL = %SystemRoot%\system32\XPSSHHDR.DLL
@{44121072-A222-48f2-A58A-6D9AD51EBBE9} /*Microsoft XPS Thumbnail*/%SystemRoot%\system32\XPSSHHDR.DLL = %SystemRoot%\system32\XPSSHHDR.DLL
@{38a98528-6cbf-4ca9-8dc0-b1e1d10f7b1b} /*View Available Networks*/(null) =
@{13D3C4B8-B179-4ebb-BF62-F704173E7448} /*Windows Contact Preview Handler*/%CommonProgramFiles%\System\wab32.dll = %CommonProgramFiles%\System\wab32.dll
@{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} /*Contacts folder*/(null) =
@{4F58F63F-244B-4c07-B29F-210BE59BE9B4} /*.group shell extension handler*/%CommonProgramFiles%\System\wab32.dll = %CommonProgramFiles%\System\wab32.dll
@{8082C5E6-4C27-48ec-A809-B8E1122E8F97} /*.contact shell extension handler*/%CommonProgramFiles%\System\wab32.dll = %CommonProgramFiles%\System\wab32.dll
@{16C2C29D-0E5F-45f3-A445-03E03F587B7D} /*group_wab_auto_file*/%CommonProgramFiles%\System\wab32.dll = %CommonProgramFiles%\System\wab32.dll
@{CF67796C-F57F-45F8-92FB-AD698826C602} /*contact_wab_auto_file*/%CommonProgramFiles%\System\wab32.dll = %CommonProgramFiles%\System\wab32.dll
@{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8} /*Compatibility Property Page*/%windir%\system32\acppage.dll = %windir%\system32\acppage.dll
@{4026492f-2f69-46b8-b9bf-5654fc07e423} /*Windows Firewall*/(null) =
@{fcfeecae-ee1b-4849-ae50-685dcf7717ec} /*Problem Reports and Solutions*/(null) =
@{a304259d-52b8-4526-8b1a-a1d6cecc8243} /*iSCSI Initiator*/(null) =
@{11dbb47c-a525-400b-9e80-a54615a090c0} /*Execute Folder*/ExplorerFrame.dll = ExplorerFrame.dll
@{90b9bce2-b6db-4fd3-8451-35917ea1081b} /*Search Execute Command*/ExplorerFrame.dll = ExplorerFrame.dll
@{911051fa-c21c-4246-b470-070cd8df6dc4} /*.cab or .zip files*/(null) =
@{da67b8ad-e81b-4c70-9b91b417b5e33527} /*Windows Search Shell Service*/(null) =
@{BC65FB43-1958-4349-971A-210290480130} /*Network Explorer Property Sheet Handler*/%SystemRoot%\System32\NcdProp.dll = %SystemRoot%\System32\NcdProp.dll
@{d3e34b21-9d75-101a-8c3d-00aa001a1652} /*Bitmap Image*/(null) =
@{40C3D757-D6E4-4b49-BB41-0E5BBEA28817} /*Video Media Properties Handler*/%SystemRoot%\System32\mediametadatahandler.dll = %SystemRoot%\System32\mediametadatahandler.dll
@{E598560B-28D5-46aa-A14A-8A3BEA34B576} /*Windows Photo Gallery Viewer Video Verbs*/%ProgramFiles%\Windows Photo Gallery\PhotoViewer.dll /*file not found*/ = %ProgramFiles%\Windows Photo Gallery\PhotoViewer.dll /*file not found*/
@{00f2886f-cd64-4fc9-8ec5-30ef6cdbe8c3} /*Microsoft.ScannersAndCameras*/(null) =
@{0a4286ea-e355-44fb-8086-af3df7645bd9} /*Windows Media Player*/C:\PROGRA~1\WI4EB4~1\wmpband.dll = C:\PROGRA~1\WI4EB4~1\wmpband.dll
@{BB6B2374-3D79-41DB-87F4-896C91846510} /*EMDFileProperties*/emdmgmt.dll = emdmgmt.dll
@{875CB1A1-0F29-45de-A1AE-CFB4950D0B78} /*Audio Media Properties Handler*/%SystemRoot%\System32\mediametadatahandler.dll = %SystemRoot%\System32\mediametadatahandler.dll
@{89D83576-6BD1-4c86-9454-BEB04E94C819} /*MAPI Search Namespace Extension*/%systemroot%\system32\mssvp.dll = %systemroot%\system32\mssvp.dll
@{7A0F6AB7-ED84-46B6-B47E-02AA159A152B} /*Sync Center Simple Conflict Presenter*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{9D687A4C-1404-41ef-A089-883B6FBECDE6} /*Windows Photo Gallery Viewer Autoplay Handler*/(null) =
@{37efd44d-ef8d-41b1-940d-96973a50e9e0} /*Windows Sidebar Properties*/(null) =
@{00f20eb5-8fd6-4d9d-b75e-36801766c8f1} /*PhotoAcqDropTarget*/%ProgramFiles%\Windows Photo Gallery\PhotoAcq.dll /*file not found*/ = %ProgramFiles%\Windows Photo Gallery\PhotoAcq.dll /*file not found*/
@{BC48B32F-5910-47F5-8570-5074A8A5636A} /*Sync Results Delegate Folder*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{ED228FDF-9EA8-4870-83B1-96B02CFE0D52} /*Games Folder*/C:\Windows\System32\gameux.dll = C:\Windows\System32\gameux.dll
@{E413D040-6788-4C22-957E-175D1C513A34} /*Sync Center Conflict Delegate Folder*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{67718415-c450-4f3c-bf8a-b487642dc39b} /*Windows Features*/(null) =
@{91ADC906-6722-4B05-A12B-471ADDCCE132} /*Touch Band*/%SystemRoot%\System32\TouchX.dll = %SystemRoot%\System32\TouchX.dll
@{2781761E-28E0-4109-99FE-B9D127C57AFE} /*Windows Defender IOfficeAntiVirus implementation*/%ProgramFiles%\Windows Defender\MpOav.dll /*file not found*/ = %ProgramFiles%\Windows Defender\MpOav.dll /*file not found*/
@{FFE2A43C-56B9-4bf5-9A79-CC6D4285608A} /*Windows Photo Gallery Viewer Image Verbs*/%ProgramFiles%\Windows Photo Gallery\PhotoViewer.dll /*file not found*/ = %ProgramFiles%\Windows Photo Gallery\PhotoViewer.dll /*file not found*/
@{4B534112-3AF6-4697-A77C-D62CE9B9E7CF} /*Sync Center Event Properties Extension*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{F1390A9A-A3F4-4E5D-9C5F-98F3BD8D935C} /*Sync Setup Delegate Folder*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{4E5BFBF8-F59A-4e87-9805-1F9B42CC254A} /*GameUX.RichGameMediaThumbnail*/C:\Windows\System32\gameux.dll = C:\Windows\System32\gameux.dll
@{d8559eb9-20c0-410e-beda-7ed416aecc2a} /*Windows Defender*/(null) =
@{576C9E85-1300-4EF5-BF6B-D00509F4EDCD} /*Sync Center Handler Properties Extension*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{5ea4f148-308c-46d7-98a9-49041b1dd468} /*Mobility Center Control Panel*/(null) =
@{289978AC-A101-4341-A817-21EBA7FD046D} /*Sync Center Conflict Folder*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{877ca5ac-cb41-4842-9c69-9136e42d47e2} /*File Backup Index*/%systemroot%\system32\sdshext.dll = %systemroot%\system32\sdshext.dll
@{71D99464-3B6B-475C-B241-E15883207529} /*Sync Results Folder*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{B32D3949-ED98-4DBB-B347-17A144969BBA} /*Sync Center Item Properties Extension*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{D6791A63-E7E2-4fee-BF52-5DED8E86E9B8} /*Portable Devices Menu*/%SystemRoot%\system32\wpdshext.dll = %SystemRoot%\system32\wpdshext.dll
@{2E9E59C0-B437-4981-A647-9C34B9B90891} /*Sync Setup Folder*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{9C73F5E5-7AE7-4E32-A8E8-8D23B85255BF} /*Sync Center Folder*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{CB1B7F8C-C50A-4176-B604-9E24DEE8D4D1} /*Welcome Center*/oobefldr.dll = oobefldr.dll
@{15D633E2-AD00-465b-9EC7-F56B7CDF8E27} /*Tablet PC Input Panel*/%CommonProgramFiles%\microsoft shared\ink\TipBand.dll /*file not found*/ = %CommonProgramFiles%\microsoft shared\ink\TipBand.dll /*file not found*/
@{F04CC277-03A2-4277-96A9-77967471BDFF} /*Sync Center Conflict Properties Extension*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{53BEDF0B-4E5B-4183-8DC9-B844344FA104} /*Microsoft Windows MAPI Preview Handler*/%SystemRoot%\system32\mssvp.dll = %SystemRoot%\system32\mssvp.dll
@{6b9228da-9c15-419e-856c-19e768a13bdc} /*Windows gadget DropTarget*/%ProgramFiles%\Windows Sidebar\sbdrop.dll /*file not found*/ = %ProgramFiles%\Windows Sidebar\sbdrop.dll /*file not found*/
@{8E25992B-373E-486E-80E5-BD23AE417E66} /*Sync Center Device Notification Sink*/%SystemRoot%\System32\SyncCenter.dll = %SystemRoot%\System32\SyncCenter.dll
@{35786D3C-B075-49b9-88DD-029876E11C01} /*Portable Devices*/%SystemRoot%\system32\wpdshext.dll = %SystemRoot%\system32\wpdshext.dll
@{031EE060-67BC-460d-8847-E4A7C5E45A27} /*Windows Media Player Rich Preview Handler*/(null) =
@{1FA9085F-25A2-489B-85D4-86326EEDCD87} /*Manage Wireless Networks*/%SystemRoot%\system32\wlanpref.dll = %SystemRoot%\system32\wlanpref.dll
@{ECDD6472-2B9B-4b4b-AE36-F316DF3C8D60} /*RichGameMediaPropertyStore Class*/C:\Windows\System32\gameux.dll = C:\Windows\System32\gameux.dll
@{BD7A2E7B-21CB-41b2-A086-B309680C6B7E} /*Client Side Cache Namespace Extension*/%systemroot%\system32\mssvp.dll = %systemroot%\system32\mssvp.dll
@{c5a40261-cd64-4ccf-84cb-c394da41d590} /*Video Thumbnail Extractor*/%SystemRoot%\System32\mediametadatahandler.dll = %SystemRoot%\System32\mediametadatahandler.dll
@{45AC2688-0253-4ED8-97DE-B5370FA7D48A} /*Shell Extension for Malware scanning*/C:\Program Files\Avira\AntiVir Desktop\shlext.dll = C:\Program Files\Avira\AntiVir Desktop\shlext.dll
@{A70C977A-BF00-412C-90B7-034C51DA2439} /*NvCpl DesktopContext Class*/C:\Windows\system32\nvcpl.dll = C:\Windows\system32\nvcpl.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/E:\Programme\WinRAR\rarext.dll = E:\Programme\WinRAR\rarext.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/E:\Programme\Microsoft Office\Office10\msohev.dll = E:\Programme\Microsoft Office\Office10\msohev.dll
@{327669A0-59A7-4be9-B99E-1C9F3A57611A} /*Haali Matroska Thumbnail Exctractor*/(null) =
@{11016101-E366-4D22-BC06-4ADA335C892B} /*IE History and Feeds Shell Data Source for Windows Search*/C:\Windows\System32\ieframe.dll = C:\Windows\System32\ieframe.dll
@{CF822AB4-6DB5-4FDA-BC28-E61DF36D2583} /*PDF-XChange PDF Preview Provider*/e:\Programme\Tracker Software\PDF-XChange Viewer\pdf-viewer\Shell Extensions\x86\XCShInfo.dll = e:\Programme\Tracker Software\PDF-XChange Viewer\pdf-viewer\Shell Extensions\x86\XCShInfo.dll
@{67EB453C-1BE1-48EC-AAF3-23B10277FCC1} /*PDF-XChange PDF Property Handler*/e:\Programme\Tracker Software\PDF-XChange Viewer\pdf-viewer\Shell Extensions\x86\XCShInfo.dll = e:\Programme\Tracker Software\PDF-XChange Viewer\pdf-viewer\Shell Extensions\x86\XCShInfo.dll
@{EBD0B8F4-A9A0-41B7-9695-030CD264D9C8} /*PDF-XChange PDF Thumbnail Provider*/e:\Programme\Tracker Software\PDF-XChange Viewer\pdf-viewer\Shell Extensions\x86\XCShInfo.dll = e:\Programme\Tracker Software\PDF-XChange Viewer\pdf-viewer\Shell Extensions\x86\XCShInfo.dll
@XCShInfo /*{B2F55D43-C7A4-4B7C-90D7-7A860DFA9F2A}*/(null) =
@{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} /*Microsoft Office Metadata Handler*/C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll = C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
@{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} /*Microsoft Office Thumbnail Handler*/C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll = C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
@{28803F59-3A75-4058-995F-4EE5503B023C} /*Wireless Devices*/%systemroot%\system32\FunctionDiscoveryFolder.dll = %systemroot%\system32\FunctionDiscoveryFolder.dll
@{9113A02D-00A3-46B9-BC5F-9C04DADDD5D7} /*Enhanced Storage Data Source*/%SystemRoot%\system32\EhStorShell.dll = %SystemRoot%\system32\EhStorShell.dll
@{3D1975AF-48C6-4f8e-A182-BE0E08FA86A9} /*NVIDIA Play On My TV Context Menu Extension*/%SystemRoot%\system32\nvshext.dll = %SystemRoot%\system32\nvshext.dll
@{0563DB41-F538-4B37-A92D-4659049B7766} /*WLMD Message Handler*/C:\Program Files\Windows Live\Mail\mailcomm.dll = C:\Program Files\Windows Live\Mail\mailcomm.dll
@{FFB699E0-306A-11d3-8BD1-00104B6F7516} /*Play on my TV helper*/C:\Windows\system32\nvcpl.dll = C:\Windows\system32\nvcpl.dll
@{96AFBE69-C3B0-4b00-8578-D933D2896EE2} /*sp*/c:\programdata\sp\sp.dll = c:\programdata\sp\sp.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
LavasoftShellExt@{DCE027F7-16A4-4BEE-9BE7-74F80EE3738F} = C:\Program Files\Lavasoft\Ad-Aware\ShellExt.dll
Shell Extension for Malware scanning@{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Program Files\Avira\AntiVir Desktop\shlext.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = E:\Programme\WinRAR\rarext.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers@{CA8ACAFA-5FBB-467B-B348-90DD488DE003} = E:\Programme\SUPERAntiSpyware\SASCTXMN.DLL

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = E:\Programme\WinRAR\rarext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers@{CA8ACAFA-5FBB-467B-B348-90DD488DE003} = E:\Programme\SUPERAntiSpyware\SASCTXMN.DLL

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
LavasoftShellExt@{DCE027F7-16A4-4BEE-9BE7-74F80EE3738F} = C:\Program Files\Lavasoft\Ad-Aware\ShellExt.dll
Shell Extension for Malware scanning@{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Program Files\Avira\AntiVir Desktop\shlext.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = E:\Programme\WinRAR\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{22BF413B-C6D2-4d91-82A9-A0F997BA588C}C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll = C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
@{53707962-6F74-2D53-2644-206D7942484F}e:\Programme\Spybot - Search & Destroy\SDHelper.dll = e:\Programme\Spybot - Search & Destroy\SDHelper.dll
@{9030D464-4C02-4ABF-8ECC-5164760863C6}C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll = C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
@{C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F}e:\Programme\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll = e:\Programme\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
@{DBC80044-A445-435b-BC74-9C25C1C588A9}C:\Program Files\Java\jre6\bin\jp2ssv.dll = C:\Program Files\Java\jre6\bin\jp2ssv.dll

HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\Windows\system32\Ribbons.scr

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://go.microsoft.com/fwlink/?LinkId=69157 = http://go.microsoft.com/fwlink/?LinkId=69157
@Start Pagehttp://go.microsoft.com/fwlink/?LinkId=69157 = http://go.microsoft.com/fwlink/?LinkId=69157
@Local PageC:\Windows\System32\blank.htm = C:\Windows\System32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.tirol.com/ = http://www.tirol.com/
@Local PageC:\Windows\system32\blank.htm = C:\Windows\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\Windows\System32\msvidctl.dll
its@CLSID = %SystemRoot%\System32\itss.dll
livecall@CLSID = C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = %SystemRoot%\System32\itss.dll
msnim@CLSID = C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
mso-offdap@CLSID = C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
skype4com@CLSID = C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
tv@CLSID = C:\Windows\System32\msvidctl.dll
wlmailhtml@CLSID = C:\Program Files\Windows Live\Mail\mailcomm.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ >>>
000000000001@LibraryPath = %SystemRoot%\system32\NLAapi.dll
000000000002@LibraryPath = %SystemRoot%\system32\napinsp.dll
000000000003@LibraryPath = %SystemRoot%\system32\pnrpnsp.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004@LibraryPath = %SystemRoot%\system32\pnrpnsp.dll

C:\Users\Gianni & Gerli\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup >>>
is-6ASGS.lnk = is-6ASGS.lnk
_uninst_is-N63R4.exe.bat = _uninst_is-N63R4.exe.bat

---- EOF - GMER 1.0.15 ----
breus56
Inviato: Thursday, November 26, 2009 9:31:15 AM
Rank: Member

Iscritto dal : 11/16/2009
Posts: 20
Seconda scansione e nessun file marchiato in rosso

GMER 1.0.15.15252 - http://www.gmer.net
Rootkit scan 2009-11-26 09:20:56
Windows 6.0.6002 Service Pack 2
Running: gmer.exe; Driver: C:\Users\GIANNI~1\AppData\Local\Temp\awldqpow.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwAssignProcessToJobObject [0x900981CC]
SSDT 9E7F67FC ZwCreateThread
SSDT 9E7F67E8 ZwOpenProcess
SSDT 9E7F67ED ZwOpenThread
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwProtectVirtualMemory [0x90098292]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwSetContextThread [0x9009818E]
SSDT \??\E:\Programme\SUPERAntiSpyware\SASKUTIL.sys ZwTerminateProcess [0x8F74D0B0]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwTerminateThread [0x90098316]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwWriteVirtualMemory [0x9009834E]

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!KeSetEvent + 191 81EE48D4 4 Bytes [CC, 81, 09, 90]
.text ntkrnlpa.exe!KeSetEvent + 221 81EE4964 4 Bytes [FC, 67, 7F, 9E]
.text ntkrnlpa.exe!KeSetEvent + 40D 81EE4B50 4 Bytes [ED, 67, 7F, 9E]
.text ntkrnlpa.exe!KeSetEvent + 431 81EE4B74 4 Bytes [92, 82, 09, 90] {XCHG EDX, EAX; OR BYTE [ECX], -0x70}
.text ntkrnlpa.exe!KeSetEvent + 56D 81EE4CB0 4 Bytes [8E, 81, 09, 90]
.text ...
.rsrc C:\Windows\system32\drivers\atapi.sys entry point in ".rsrc" section [0x807BA000]
? system32\DRIVERS\44789045.sys Das System kann den angegebenen Pfad nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text C:\Windows\Explorer.EXE[1868] ntdll.dll!NtWriteFile 770A5644 5 Bytes JMP 6EE95C30 C:\Windows\system32\PxSecure.dll (Prevx Security Library/Prevx)
.text C:\Windows\Explorer.EXE[1868] kernel32.dll!CreateThread 771FC90E 5 Bytes JMP 6EE952E0 C:\Windows\system32\PxSecure.dll (Prevx Security Library/Prevx)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xB4 0x6D 0x90 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x53 0x31 0x8D 0x49 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xB4 0x6D 0x90 0x02 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x53 0x31 0x8D 0x49 ...

---- Files - GMER 1.0.15 ----

File C:\Windows\system32\drivers\atapi.sys suspicious modification

---- EOF - GMER 1.0.15 ----
r16
Inviato: Thursday, November 26, 2009 2:45:21 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Proviamo Sophos Anti-Rootkit :
Per scaricarlo, devi registrarti.
Dagli un'E-Mail valida, gli altri campi(Password, Nome, Cognome) scrivi cose di fantasia.
http://www.sophos.it/products/free-tools/sophos-anti-rootkit.html
breus56
Inviato: Thursday, November 26, 2009 6:55:00 PM
Rank: Member

Iscritto dal : 11/16/2009
Posts: 20
Sophos non trova nulla, peró ho notato che in modalitá provvisoria non si forma il file tdlcmd.dll, e quando é modalitá normale se entro in internet anche solo per aggiornare si forma immediatamente, unica cosa che dottorweb trova sempre in memoria backdoor.tdss.565 nei vari servizi tipo vchost, taskeng ecc. mentre non vede tdlcmd.dll, io penso che questo animale sta in qualche chiave di registro che attiva un file nascosto da qualche parte, forse la formattazione riporterá tutto allo stato normale e se dovesse ripresentarsi sappiamo allora che sta nell´MBR, certo se dopo non si ripresenta non sapremo mai dovera, ma sinceramente passare ore e ore a fare controlli installare disinstallare e ogni volta pensare che é quella buona é stressante.gli do ancora 48 ore di tempo per farsi scoprire dopodiché lo estinguo..... almeno spero.
r16
Inviato: Thursday, November 26, 2009 10:28:58 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Ripeto: non è un problema dell'MBR.
Altro problema, è che hai Vista, di cui non lo conosco a fondo.
Fosse stato XP, si poteva provare una procedura, ma con Vista, non sò se funziona.
A mio avviso, hai questo driver che è corrotto ed è la causa principale:
atapi.sys
Con la procedura per XP, avrei spostato il file (sano) che si trova nella cartella i386 e lo avrei sovrascritto nella directory originale.
Ma non sò se Vista è provvisto della cartella i386.
Questo è il percorso normale di i386 in XP:

c: \ windows \ ServicePackFiles \ i386 \ atapi.sys | c: \ windows \ system32 \ DRIVERS \ atapi.sys
E queste sono le dll da eliminare.
c:\windows\system32\tdlcmd.dll c: \ windows \ system32 \ tdlcmd.dll
c:\windows\system32\tdlclk.dll c: \ windows \ system32 \ tdlclk.dll
Altra cosa:
l'unico programma che è capace di sostituire un file danneggiato (atapi.sys) con uno sano, IN AUTOMATICO, è Combofix.

Io proverei ancora così:
Disinstalla combofix in questo modo:

Esegui
nella finestra di dialogo, copia ed incolla questo comando: Combofix /u e premi Invio poi cancella le cartelle in "C" di Combofix e (qoobox)
Fai una pulizia con CCleaner.

Installa questa versione:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Adesso fai attenzione:
Durante la fase di scaricamento (che scaricherai sul Desktop) lo RINOMINI in TOMBO-FIX.EXE (fai un copia-incolla)
Poi una volta che lo hai scaricato sul desktop,(e vedi che è rinominato) fai cosi:
Start
Esegui
nella finestra di dialogo, copia ed incolla questo comando:

"%userprofile%\desktop\TOMBO-FIX.EXE" /killall
E clicca OK.
Vedi se riesce a fare la scansione.
breus56
Inviato: Friday, November 27, 2009 8:30:22 AM
Rank: Member

Iscritto dal : 11/16/2009
Posts: 20
Volevo ringraziarti per il tempo speso per me, ma ieri quando ho reinstallato antivir al posto di doctorweb, ha cominciato a suonare all' impazzata trovava backdoor dapertutto tant'e che ora il mio vista, si carica quasi tutto 44 processi su 60 ma poi finisce miseramente a schermo completamente nero, unica cosa si apre esplorer e mi ha permesso di salvare il salvabile neanche in modalità provvisoria funziona sempre schermo nero e solo esplorer aperto.
La cosa strana è che da ieri verso l'ora di pranzo mi diceva che aveva trovato un nuovo hardware anzi due e mi chiedeva ii driver glielo fatto fare in automatico e non trovava nulla ora credo che in tutto cè un nesso, forse si stava intrufolando nel sistema qualcosa che vista riconosceva come hardware o qualcosa di simile.
Per la cartella i386 in vista non lo mai vista, e per la rinomina ci avevo già pensato lo avevo chiamato pippo-fix ma si bloccava comunque, unica cosa che in vista non cè la cartellina esegui ma direttamente puoi cliccare il comando in basso a sinistra dopo aver cliccato sul logo sia per cercare file che eseguire comandi.
Purtroppo vista è differente da xp, e da quello che si dice di tutto e di più io ne sono soddisfatto, sono tornati a funzionare programmi che con ME o XP non funzionavano, basta impostare sull' eseguibile la sua compatibilità e il gioco è fatto.
Ora speriamo bene nella riformattazione, di pulire finalmente questo verme una volta per tutte.
Volevo ringraziare anche Dario-vr e tutti gli altri che mi sono stati vicini ultimamente, sicuramente continuerò a frequentare il forum, visto che ci saranno sempre notizie interessanti. Buona giornata a tutti e buon Formaggiamento per me.
Gianni
freddy919
Inviato: Friday, November 27, 2009 7:41:10 PM

Rank: Member

Iscritto dal : 11/27/2009
Posts: 28
salve a tutti
anche io ho l'identico problema di breus

è da 2 settimane che tribolo dietro a quella cosa maledetta che avira segnala come trojan vundo.gen e lo trova in windows/system32/tdlcmd.dll

l'avviso compare spesso (proprio come a breus).
inoltre appare anche un errore a rundll32 "processo host di windows (rundll32) ha smesso di funzionare" sia all'avvio che dopo un pò.

ho già provto diversi dei metodi che avete proposto, malwarebytes, combofix(che rimane fisso come ibernato e nono dà nessun risultato), pvx ecc.

ditemi voi ora come mi devo muovere: che log vi devo postare ecc.

grazie mille anticipatamente
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.