Avast non riesce a eliminare virus !

[ballacoilupi78]

Raga Avast mi trova sempre un virus, Win32:Rootkit-gen presente nella cartella system32\drivers, ma pur spostandolo nel cestino ed eliminandolo ricompare sempre dopo ogni avvio, come posso fare per debellarlo una volta per tutte!! GRAZIE.

 

[VIANELLO_85]

Disabilita il ripristino configurazione di sistema anche.

 

[Supernino]

posta il log di hijackthis

 

[gipras]

prova ad usare "combofix.exe"(cercalo su google...)ricordati sempre che qualsiasi azione di rimozione nei confronti di un virus la devi fare possibilmente in "modalità provvisoria" per una migliore riuscita

 

[ballacoilupi78]

gipras ho provato con Combofix ma niente!, avast ritrova puntualmente il malware.

 

[cudy]

Secondo me può dipendere dal fatto che avast non trova tutto il problema.
Lascia perdere avast e prova Avira, sicuramente molto più efficace.

 

[Supernino]

io sto ancora aspettando il log di hijackthis

 

[ballacoilupi78]

Supernino ecco il Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.37.01, on 08/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\RUNDLL32.EXE
C:\Programmi\Google\Quick Search Box\GoogleQuickSearchBox.exe
C:\Programmi\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programmi\Microsoft ActiveSync\Wcescomm.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS.0\system32\nvsvc32.exe
C:\WINDOWS.0\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\User\Documenti\Download\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Barra degli Strumenti di IdiomaX - {477A7A3C-8B11-4B02-ADD1-7A01C4D00FA2} - C:\Programmi\File comuni\IdiomaX Shared\Cat 6.0\TrdIEAddIn.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Programmi\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun
O4 - HKLM\..\Run: [avast!] "C:\Programmi\Alwil Software\Avast4\ashDisp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Mostra/Nascondi Barra di Traduzione - {FE768A8F-9F88-4511-B28B-552ED2F6B500} - C:\Programmi\File comuni\IdiomaX Shared\Cat 6.0\TrdIEAddIn.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\system32\nvsvc32.exe

--
End of file - 6977 bytes

 

[Supernino]

A parte il log, nel quale c'è qualcosa da togliere ma mi sembra nulla di altamente rischioso, hai provato una scansione profonda dell'antivirus in modalità provvisoria?

 

[ballacoilupi78]

Supernino ti posto anche il log fatto con Malwarebytes che rileva 3 file infetti Malwarebytes' Anti-Malware 1.42
Versione del database: 3359
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14/12/2009 21.16.20
mbam-log-2009-12-14 (21-16-12).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 145667
Tempo trascorso: 4 minute(s), 54 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 2
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tcpsr (Trojan.Agent) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS.0\system32\drivers\tcpsr.sys (Rootkit.Agent) -> No action taken
GRAZIE X IL TUO SUPPORTO!.

 

[ERCOLINO]

Usa Questo

Disattiva il ripristino di configurazione

 

[ballacoilupi78]

ERCOLINO ma il software che mi consigli di usare è Spyhunter 3 ?

 

[ERCOLINO]

Si

 

[ballacoilupi78]

Ho provato con tutti i tool possibili ma tutti falliscono anche Avira Free come Avast rileva il C:\WINDOWS.0\system32\drivers\tcpsr.sys RKIT/Agent.AJBY, allego anche il log di avenger, non so piu dove sbattere la TesTa!!. Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open driver "C:\WINDOWS.0\system32\drivers\tcpsr.sys"
Disablement of driver "C:\WINDOWS.0\system32\drivers\tcpsr.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS.0\system32\drivers\tcpsr.sys" not found!
Deletion of file "C:\WINDOWS.0\system32\drivers\tcpsr.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKLM\SYSTEM\SYSTEM\ControlSet001\Services\tcpsr" not found!
Deletion of registry key "HKLM\SYSTEM\SYSTEM\ControlSet001\Services\tcpsr" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKLM\SYSTEM\SYSTEM\ControlSet003\Services\tcpsr" not found!
Deletion of registry key "HKLM\SYSTEM\SYSTEM\ControlSet003\Services\tcpsr" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKLM\SYSTEM\SYSTEM\CurrentControlSet\Services\tcpsr" not found!
Deletion of registry key "HKLM\SYSTEM\SYSTEM\CurrentControlSet\Services\tcpsr" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

 

[gipras]

girovagando su G**gle ho trovato qualcuno che ha rimosso il tuo stesso trojan attraverso l'uso dell'utility "XDelBox".ricordati sempre che le azioni contro virus,trojan,malaware etc vanno sempre effettuate col computer in modalità provvisoria e col ripristino configurazione di sistema disabilitato.
saluti

 

[ballacoilupi78]

L'ho provato ma non lo trova e comunque l'antivirus continua a rilevare C\WINDOWS\system32\drivers\tcpsr.sys VIRUS - RKIT/Agent.AJBY ad ogni avvio del pc.

 

[maxsatII]

usa una live e cancella il file incriminato, anche se di sicuro ad ogni avvio viene ricreato quindi il problema è un'altro, con avast dovresti fare la scanzione all'avvio (programmarla)

 

[ballacoilupi78]

MaxsatII grazie per il tuo supporto e BUONE FESTE, comunque potresti darmi qualche dettaglio in piu sull'operazione da fare ?, non vorrei castrare il pc, comunque ho scaricato la iso di Avira cd rescue system.

 

[gipras]

se proprio non si riesce coi metodi tradizionali usa un sistema poco ortodosso ...ma sicuramente efficace.smonta l'hard disk,rimontalo su un un contenitore per hard disk esterno ,magari usb,connettilo ad in altro computer e rimuovi a mano il suddetto file

 

[Ospite]

Prova sempre in modalità provvisoria e con il ripristino di sistema disabilitato ad installarti un altro antivirus free come Avira oppure anche uno in versione shareware tipo Kaspesky o Nod 32 (aggiornati e ben configurati) e vedi se riesci ad eleminarlo.