Author Topic: Rootkits rilevati , cancellati e ritrovati  (Read 10291 times)

0 Members and 1 Guest are viewing this topic.

graz00

  • Guest
Rootkits rilevati , cancellati e ritrovati
« on: July 14, 2012, 01:38:20 PM »
Ciao a tutti, e' il mio primo post e lo mando dal smartphone perche' non mi fido piu' ad utilizzare il pc in internet... il problema e' che Avast (licenza a pagamento) continua a rilevarmi dei rootkits che cancella con il riavvio seguente, ma che mi ritrovo dopo una o due sessioni di pc. Mi trovo anche windows defender disattivato senza che io lo disattivi e spybot non mi trova niente. il browser e' esplorer perche' la prima cosa che e' successa con questo attacco virus e' il blocco totale di Firefox fuori o dentro la sandbox,allora l'ho disinstallato. La navigazione con la safezone funziona.I rootkits sono
diversi fra cui decora-d3d.dll o gtapi.dll e si trovano dentro la sandbox sottocartella jawa. Che devo fare? Sono virus sul serio?PS avast e' versione 7. Grazie in anticipo.

enigmista63

  • Guest
Re: Rootkits rilevati , cancellati e ritrovati
« Reply #1 on: July 14, 2012, 02:23:47 PM »
Ciao, questi rootkits sono entrati nel pc gia' con avast installato?

graz00

  • Guest
Re: Rootkits rilevati , cancellati e ritrovati
« Reply #2 on: July 14, 2012, 02:50:28 PM »
Ciao enigmista63, non so perche' questi virus li ho ritrovati anche su un vecchio backup con Acronis. Del resto non ho mai fatto la scansione approfondita dei rootkits prima di una settimana fa... pensavo fosse compresa nella scansione completa. I problemi di navigazione li ho avuti dopo che ho trovato per la prima volta i rootkits

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4099
Re: Rootkits rilevati , cancellati e ritrovati
« Reply #3 on: July 14, 2012, 03:41:38 PM »
Ciao,
hai già provato a fare una scansione all'avvio con avast impostandolo alla massima sensibilità?
Che versione hai di avast? E' la 7.0.1456?
Un consiglio disattiva windows defender, e disinstalla spy-bot, quindi scarichi MBAM free
http://www.malwarebytes.org/products/malwarebytes_free
ed effettua una scansione completa, poi posta il LOG

Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

enigmista63

  • Guest
Re: Rootkits rilevati , cancellati e ritrovati
« Reply #4 on: July 15, 2012, 01:09:27 PM »
Ciao molto probabilmente i virus erano gia' presenti anche nell'immagine salvata quindi avast li ha rilevati, non son entrati con lui attivo, segui i consigli di giogio.

graz00

  • Guest
Re: Rootkits rilevati , cancellati e ritrovati
« Reply #5 on: July 15, 2012, 04:27:17 PM »
Ciao, ho la versione di Avast 7.0.1456 e ho fatto tutto quello che mi avete detto, ecco il log :

Malwarebytes Anti-Malware (Prova) 1.62.0.1300
www.malwarebytes.org

Versione database: v2012.07.14.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
utente :: PC-UTENTE [amministratore]

Protezione: Attivata

15/07/2012 10.34.29
mbam-log-2012-07-15 (10-34-29).txt

Tipo di scansione: Scansione completa (C:\|E:\|F:\|H:\|)
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 360766
Tempo impiegato: 1 ore, 54 minuti, 42 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 0
(non sono stati rilevati elementi nocivi)

(fine)


Anche Avast dopo aver eliminato i rootkits non dava più allarmi, quindi visto che Explorer non funziona più perchè si blocca con messaggio errore "non è possibile visualizzare la pagina"
e crome dentro la safezone funziona, ho installato una vecchia versione di Firefox e l'ho lasciata fuori sandbox,
vedendo che funzionava tutto ho pensato che preso dalla frenesia di ripulire da programmi e cose "sospette" il mio disco fisso di aver fatto danni sulle impostazione per navigare.
Ora che tutto funzionava però, potevo scaricare l'ultima versione 13.0.1 di Firefox e metterla sotto sandbox.
Dopo che l'ho installata sono tornato al punto daccapo, con Firefox che abortisce con annessa finestra di errore appena tento di avviarlo dentro o fuori sandbox.
fatto scansione con Malwarebites :

Malwarebytes Anti-Malware (Prova) 1.62.0.1300
www.malwarebytes.org

Versione database: v2012.07.14.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
utente :: PC-UTENTE [amministratore]

Protezione: Attivata

15/07/2012 15.09.13
mbam-log-2012-07-15 (15-09-13).txt

Tipo di scansione: Scansione veloce
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 217600
Tempo impiegato: 7 minuti, 44 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 0
(non sono stati rilevati elementi nocivi)

(fine)

Poi fatto scansione con Avast e ha trovato i soliti rootkits,(tutti dentro la safezone) volevo mandare il log o lìimmagine di esso ma non ci riesco (come si fa?)
Il primo è ad esempio: c:\avast!sandbox\....vari numeri....\sfzone\c\user\utente\appdata\locallow\sun\java\deployment\cache\...serie di numeri e lettere...\decora-d3d.dll

ora sto utilizzando Firefox3.0.6 fuori sandbox

Grazie mille per l'aiuto!

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4099
Re: Rootkits rilevati , cancellati e ritrovati
« Reply #6 on: July 15, 2012, 05:07:37 PM »
Ciao,
ok prova ad andare in avast->protezione aggiuntiva->sandbox->impostazioni avanzate->browser web, elimina i contenuti e togli il flag a "posiziona nella cache i file del browser..."
Dopo resetta per sicurezza anche il contenuto della safezone (avast->protezione aggiuntiva->sandbox->impostazioni avanzate->safezone, e resetta safezone).
Prova inoltre a controllare in pannello di controllo->opzioni internet->connessioni->impostazioni LAN, che sia abilitato il box "rileva automaticamente le impostazioni"
Quindi prova a vedere se:
a)riesci a navigare fuori e dentro dalla sandbox con IE e Firefox
b)a fare un'altra scansione all'avvio con avast e vedere se rileva qualcosa

Come sei connessa ad internet (modem o router, con il Wi-fi o LAN o chiavetta)?

Quote
Poi fatto scansione con Avast e ha trovato i soliti rootkits,(tutti dentro la safezone) volevo mandare il log o lìimmagine di esso ma non ci riesco (come si fa?)
clicca sulla tastiera il tasto STAMP quindi apri paint o un altro editor di immagini, fai incolla, e salvi l'immagine in JPEG.
Per postare, il file clicca, mentre stai rispondendo al post in basso a destra sulla scritta
Attachments and other options
ti permetterà di scegliere e allegare il file salvato in precedenza.

ciao
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

enigmista63

  • Guest
Re: Rootkits rilevati , cancellati e ritrovati
« Reply #7 on: July 15, 2012, 05:28:46 PM »
Ciao  non ho capito se la versione ha pagamento di avast è la internet security che ha anche il firewall se cosi' fosse controlla che il firewall sia impostato su zona lavoro e non su zona pubblica.

graz00

  • Guest
Re: Rootkits rilevati , cancellati e ritrovati
« Reply #8 on: July 15, 2012, 05:53:25 PM »
E' quella con ilfirewall, ora provo quello che mi hai detto grazie

graz00

  • Guest
Re: Rootkits rilevati , cancellati e ritrovati
« Reply #9 on: July 15, 2012, 06:00:40 PM »
Ma e' normale che dentro la sandbox ho in esecuzione virtualizzata c:/windows/system32/ctfmon.exe? PS mi collego on chiavetta Vodafone

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4099
Re: Rootkits rilevati , cancellati e ritrovati
« Reply #10 on: July 15, 2012, 06:43:26 PM »
Ma e' normale che dentro la sandbox ho in esecuzione virtualizzata c:/windows/system32/ctfmon.exe? PS mi collego on chiavetta Vodafone

si è normale

ciao
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

graz00

  • Guest
Re: Rootkits rilevati , cancellati e ritrovati
« Reply #11 on: July 15, 2012, 06:56:55 PM »
Ok,grazie ad entrambi. Ora sta facendo la scansione e stasera mettero' in linea il log di quando trova i virus ,anche se spero con le impostazioni che mi avete suggerito non mi trovi piu' problemi. Per ora ecplorer non va mentre firefox vecchia versione va bene. Ciao

graz00

  • Guest
Re: Rootkits rilevati , cancellati e ritrovati
« Reply #12 on: July 15, 2012, 10:25:24 PM »
Ho installato google crome e funziona molto bene sia che dentro che fuori la sandbox, firefox versione vecchia anche, explorer non funziona.
La scansione all'avvio dopo che Avast ha eliminato i problemi rilevati prima non ha dato errori sul log finale; in allegato l'immagine della scansione quando trova i problemi (sempre gli stessi).
Ora ho provato a navigare fuori e dentro safezone e sandbox con tutti i browser... lancio la scansione e domani leggerò i post per vedere se ci sono problemi.
Che dire? se non mi trova più rootkits non mi interessa usare explorer o firefox, usare Crome mi va bene.

Una piccola domanda..... Ho un disco fisso diviso in due con due sistemi operativi: Vista che utilizzo molto e con cui vado in internet e Xp, che sia causa di problemi con questa versione di Avast o con i rootkits?

Per enigmista63: tanto per capire... il firewall va lasciato sempre su "Lavoro"? non sarebbe più sicuro "pubblica"?
Per giogio: Mbam alla fine fa quello che doveva fare Spybot? ora ho la versione di prova, ma penso di passare a quella free, l'impostazione che mi hai suggerito Avast-Mbam free-Windows defender disattivato, può restare la configurazione definitiva per il mio PC in termini di sicurezza?
Grazie ancora, Bye  :)

enigmista63

  • Guest
Re: Rootkits rilevati , cancellati e ritrovati
« Reply #13 on: July 15, 2012, 11:10:25 PM »
Ciao se lo metti su pubblica molte volte ti blocca la connessione, su zona lavoro è piu' che suficiente, ho effettuato dei test ed in quella posizione il firewalll ha tutte le porte in sthealt, ed è invisibile in rete

graz00

  • Guest
Re: Rootkits rilevati , cancellati e ritrovati
« Reply #14 on: July 15, 2012, 11:25:41 PM »
Niente... ritrova i stessi file... adesso li ha cancellati, ma dopo questa connessione o la prossima li ritroverà.
Allego le prime due scansioni da dove è nato tutto... dalla quarta in poi mi pare che siano tutte uguali.
Ecco la prima