GMER con winXP in Modalità Provvisoria

[robin22]

Salve a tutti,

utilizzando GMER la mia ragazza ha trovato svariati rootkit. Più precisamente, lanciando il tool appaiono delle voci in rosso del tipo:

Process hidden process (*** hidden *** ) 2097264

Il problema è che non è possibile killarle: pur cancellandole e avviando il PC, le voci appiono nuovamente.
Stavo quindi pensando di avviare win in modalità provvisoria (una precisazione: non ho accesso a quel pc, in quanto fuori città, ci sentiamo su yahoo messenger).

Alternativamente, si potrebbero utilizzare altri tool del tipo f-secure, RootkitRevealer, ma mi sembra che questi nn permettono l'eliminazione diretta dei rootkit.

La parte rimanente del log, riporta voci del tipo:

? \WINDOWS\system32\ntoskrnl.exe Impossibile trovare il file

Grazie per eventuali consigli.

P.S. Il sistema operativo è winXP 64 bit, e - cosa grave - è aggiornato al Service Pack 1

[SWZN]

ntoskrnl.exe questo è un file del sistema operativo:



scarica HijackThis lo posizioni in una cartella, lanci l'eseguibile hijackthis.exe clicchi su "Do a system scan and save a logfile", si aprirà il notepad, vai su su file/salva con nome e cambi l'estensione da hijackthis.log in hijackthis.txt, vai alla discussione sul forum clicchi su "rispondi" vai sulla modalità avanzata/gestione allegati/sfogliando sul tuo disco selezioni il log , lo carichi/chiudi questa finestra e scendendo in basso invii il messaggio.

[robin22]

ntoskrnl.exe questo è un file del sistema operativo:

Una precisazione, l'OS è winXP 64bit Edition. Da come mi è sembrato di capire, questo os è un mix di winXP pro e windows server 2003. In effetti sophos antirootkit nn gira su tale os (forse nn solo per i 64bit ma anche x la differenza tra i due os)

scarica HijackThis lo posizioni in una cartella, lanci l'eseguibile hijackthis.exe clicchi su "Do a system scan and save a logfile", si aprirà il notepad, vai su su file/salva con nome e cambi l'estensione da hijackthis.log in hijackthis.txt, vai alla discussione sul forum clicchi su "rispondi" vai sulla modalità avanzata/gestione allegati/sfogliando sul tuo disco selezioni il log , lo carichi/chiudi questa finestra e scendendo in basso invii il messaggio.

ok, lo farò al + presto. Tra l'altro avevamo già fatto una scansione con hijackthis

[robin22]

Allego il log di hijackthis. Considerà però che si tratta di una scansione eseguita il 25 febbraio scorso. In serata posterò il log attuale

ciao e grazie!

[SWZN]

Preferisco aspettare quello aggiornato.

[robin22]

Preferisco aspettare quello aggiornato.

lo trovi in allegato.

Cmq l'ho analizzato su www.ilsoftware.it. sembra tranquillo....

ps. F-Secure nn ha trovato rootkit

[SWZN]

C:\Program Files (x86)\Dexatek\TheaterMgr.exe

O4 - HKLM\..\Run: [TheaterMgr] "C:\Program Files (x86)\Dexatek\TheaterMgr.exe"

Vai in questa directory su questo eseguibile fai click destro vai sulle tab e cerca di leggere tutto il possibile produttore, se invece lo conosci scrivi di cosa si tratta.
----------------------------------------------------------------

F2 - REG:system.ini: UserInit=userinit

Apri il registro e segui questa directory:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Winlogon,

fai click su quest'ultima cartella a destra dovresti lasciare soltanto

c:\windows\system32\userinit.exe, [compresa la virgola]

Fai molta attenzione perchè se cancelli qualcosa in più e non lasci la stringa cosi come l'ho scritta, virgola compresa, il sistema non si avvia.
-----------------------------------------------------------------

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

fix checked

[robin22]

F2 - REG:system.ini: UserInit=userinit

Apri il registro e segui questa directory:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Winlogon,

fai click su quest'ultima cartella a destra dovresti lasciare soltanto

c:\windows\system32\userinit.exe, [compresa la virgola]

Fai molta attenzione perchè se cancelli qualcosa in più e non lasci la stringa cosi come l'ho scritta, virgola compresa, il sistema non si avvia.

Questa voce dovrebbe essere OK, in quanto c'è questa discussione

per il resto, ti farò sapere stasera

[robin22]

C:\Program Files (x86)\Dexatek\TheaterMgr.exe

O4 - HKLM\..\Run: [TheaterMgr] "C:\Program Files (x86)\Dexatek\TheaterMgr.exe"

Vai in questa directory su questo eseguibile fai click destro vai sulle tab e cerca di leggere tutto il possibile produttore, se invece lo conosci scrivi di cosa si tratta.

----------------------------------------------------------------

è una sk per vedere la tv via satellite:

il sito del produttore http://www.dexatek.com/

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

fix checked

OK.
È da una scansione online con bitdefender

[SWZN]

La prima è OK, le tre stringhe nel secondo tratteggiato le avevo riconosciute infatti avevo scritto FIX CHECKED.

[robin22]

La prima è OK, le tre stringhe nel secondo tratteggiato le avevo riconosciute infatti avevo scritto FIX CHECKED.

bisogna fixare queste tre
----------------------------------------------------------
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
----------------------------------------------------------
mi confermi?

[SWZN]

Si confermo.