rootkit qeazie.exe non riesco a cancellarlo

[giove62]

salve amici,
ho un problema serio che da giorni non sto riuscendo a risolvere. Ho provato con vari antivirus (come l'avast 5 pro) e vari anti rootkit ma, una volta trovato "qeazie.exe ed eliminato, niente altro viene trovato. Intanto, nei due Hard Disk esterni collegati al PC (uno di 750 GB e l'altro di 500GB) le cartelle principali (e non le sottocartelle ed i file in esse contenute) risultano avere l'attributo "nascosto" attivo ed oscurato; questo significa che non posso toglierli la spunta e che posso visualizzarli solo andando su "opzioni cartelle" di WinXP, e scegliere le due opzioni "visualizza cartelle e file nascosti" e togliendo la spunta su "nascondi i file protetti di sistema. Quasi sicuramente "l'infezione" è stata portata dopo aver collegato, sempre al PC, mentre erano collegati i due Hard Disk citati in precedenza, un Philips da 80GB per il quale, ho dovuto effettuare una formattazione completa per poter risolvere il problema anche in esso presente. Siccome i due Hard Disk "grossi" sono quasi del tutto pieni, voglio evitare di effettuare la stessa operazione di formattazione fatta sul Philips però non so più come ovviare. Sarei felice se qualcuno mi aiutasse.

WinXP SP3, AVAST 5 Pro, HD 500GB, SB Audigy, ATI Radeon 9200

[Ste]

titolo generico modificato fai più attenzione la prossima volta...ciao

[giove62]

Cosa vuoi dire?

[bonovox767]

Vuol dire che una discussione con un titolo generico come "rootkit" e basta, porterebbe alla chiusura del thread.

Ste gentilmente per questa volta te lo ha modificato lui invece di chiuderti la discussione.
Quindi sei invito a rileggere il -->REGOLAMENTO<-- che hai accettato 2 volte all'atto della tua iscrizione e le --> NORME DI UTILIZZO DEL FORUM <--, che sono in evidenza in ogni sezione, grazie.

Per il tuo problema invece, se pensi che anche i 2 HD esterni siano infetti, collegali e poi procedi cosi':
disattiva il controllo real time del tuo antivirus,scarica combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe , salvalo sul desktop e disconnettiti dalla rete
Una volta scaricato il programma non devi cliccare sull'icona del programma, clicca il tasto windows(logo bandierina)+R e nello spazio bianco di esegui copia e incolla questo comando, cosi' com'e':

"%userprofile%\desktop\combofix.exe" /killall <==copia e incolla

Premi OK, dovrebbe partire la scansione che puo' durare molto, durante la scansione non fare assolutamente niente con il pc.dopo il riavvio allega il log C:\combofix.txt come spiegato==> http://forum.swzone.it/sicurezza/525...ijackthis.html che e' l'unica maniera accettata(SOLO.txt, no .doc. no .rar no. zip...)

[vicky67]

Esegui le scansioni con questi 2 analizzatori lasciando anche collegati i supporti removibili postando i relativi log.


• Malwarebytes Anti-Malware -> Malwarebytes Anti-Malware - Free software downloads and software reviews - CNET Download.com
dopo averlo installato è necessario aggiornarlo e solo dopo eseguire la scansione completa del sistema, è altresì richiesto eliminare tutti gli oggetti identificati e salvare il log della scansione (il file di log da allegare per il controllo si trova nel Tab "File di log").

• disattiva il controllo real time del tuo antivirus,scarica combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe , salvalo sul desktop e disconnettiti dalla rete
Una volta scaricato il programma non devi cliccare sull'icona del programma, clicca il tasto windows(logo bandierina)+R e nello spazio bianco di esegui copia e incolla questo comando, cosi' com'e':

"%userprofile%\desktop\combofix.exe" /killall <==copia e incolla

Premi OK, dovrebbe partire la scansione che puo' durare molto, durante la scansione non fare assolutamente niente con il pc.dopo il riavvio allega il log C:\combofix.txt

[giove62]

Ti invio i report delle due scansioni dei software che mi hai suggerito di usare. Ciao!

[vicky67]

Quale altro software che hai usato oltre avast rileva qeazie.exe?
Una volta eliminato si ripresenta sempre al riavvio?
Disattiva il ripristino configurazione di sistema.
Trascina il file in allegato sull'icona di combofix per una nuova scansione e posta poi il nuovo log.
Controlla poi se una volta cancellato si ripresenta ugualmente.

[giove62]

In realtà ho usato vari software anti-rootkit (AVG Anti-Rootkit, BitDefender RootkitUncover, McafeeRootkitDetective, Sophos Anti-Rootkit) ma quello che ha trovato ed eliminato qeazie.exe è stato Panda AntiRootkit nell'Hard Disk esterno di 80GB che poi è stato quello che ha infettato, presumibilmente, gli altri due Hard Disk esterni e sui quali, poi, nessun antivirus e anti-rootkit hanno trovato alcuna infezione. Il problema è che le cartelle presentano ancora l'attributo "nascosto" attivato ed oscurato e quindi non deselezionabile. A questo punto, il problema l'ho risolto formattando l'Hard Disk da 80GB portatore del rootkit mentre agli altri due, quello da 750 GB e 500GB, quasi entrambi pieni, ho creato nuove cartelle nelle quali ho spostato il contenuto di quelle "nascoste" (il cui contenuto, però, era visibile e senza attributi spuntati). Queste ultime, infine, le ho cancellate. Vorrei tanto sapere perchè quelle cartelle "nascoste" sono rimaste tali dopo che ho disinfettato il tutto.
Grazie per l'interessamento profuso. Aspetto una tua ultima risposta
Giove62

[vicky67]

Adesso è un po' più chiaro.
Qeazie.exe si trovava sull'hard disk esterno e non nel sistema.Come lo descrivevi tu sembrava il contrario.Potevamo fare diverse scansioni senza trovare nulla.
Probabilmente l'eseguibile ha infettato anche il sistema(sottoforma di driver o altro) ma usando tutti i softawre che hai detto lo hai rimosso.I risultati delle scansioni erano puliti.
Lo hai poi rimosso anche dall'hard disk esterno.
Il fatto che non ti facesse visualizzare le cartelle era la conseguenza del suo passaggio e non perchè fosse ancora attivo.
Aveva inserito l'attributo nascosto alle cartelle e poi aveva modificato gli attributi.
Per rimettere le cose a posto bastava dare un comando sul prompt dei comandi.
Digita su esegui-cmd
Spostarsi sull'hard disk esterno(es.G: invio)
Digitare attrib -s -h abc (abc è nome cartella)
La cartella tornera' visibile.ciao