Rilevato Virus File Aec.sys Con Riavvio

[pippo26]

Ciao a tutti, nel mio pc (xp-pro, sp3), l'antivirus avast ha rilevato un virus sul file aec.sys nella cartella drivers.
Non so se sia questo file il problema ma il pc appena acceso si riavvia. Dopo il riavvio automatico rimane acceso alcune volte ma raramente si riavvia di nuovo.

Ho provato a:
- ho disabilitato il riavvio automatico in caso di errore ma non mi posta nessun errore su schermata blu.
- scansione con avast ma non riesce ad eliminare il virus rilevato
- scansione con malwarebytes, ma nulla
- scansione con software per il registro...sistemati un pò di errori, ma nulla
- tutti i passaggi sopra anche in modalità provvisoria
- ho controllato anche la ram ma nulla.

Sapete aiutarmi?
Grazie

[antoo69]

Sposto il tuo topic nella sezione Sicurezza e Privacy.

[Riverside]

Ciao a tutti, nel mio pc (xp-pro, sp3), l'antivirus avast ha rilevato un virus sul file aec.sys nella cartella drivers.

Secondo me è un falso positivo.
Controlla se aec.sys è localizzato in questo percorso: C: \ Windows \ System32 \ drivers byte.
Puoi sempre disattivare il relativo servizio da Pannello di controllo/Strumenti di Amministrazione/Servizi.
In ogni caso, una volta localizza l'esatta posizione del file e fallo analizzare su Virustotal e pubblica il link al Report che verrà rilasciato.

[pippo26]

Forse ci siamo...oltre tutto nella cartella drivers c'erano due file aec.sys e aec.sys.bak, ovviamente solo editabili in modalità provvisoria.

Ecco il report di virus total:

-----------------------

File name: wgrtiq.sys
Submission date: 2010-09-24 13:26:28 (UTC)
Current status: finished
Result: 38 /43 (88.4%)

"Antivirus", "Version", "Last update", "Result"
"AhnLab-V3", "2010.09.24.00", "2010.09.24", "Win-Trojan/Bubnix.585472"
"AntiVir", "7.10.12.28", "2010.09.24", "Rkit/Agent.biiu"
"Antiy-AVL", "2.0.3.7", "2010.09.24", "-"
"Authentium", "5.2.0.5", "2010.09.24", "W32/Trojan2.NKQF"
"Avast", "4.8.1351.0", "2010.09.23", "Win32:Bubnix-J"
"Avast5", "5.0.594.0", "2010.09.23", "Win32:Bubnix-J"
"AVG", "9.0.0.851", "2010.09.24", "BackDoor.Generic12.CEFS"
"BitDefender", "7.2", "2010.09.24", "Trojan.Krap.H"
"CAT-QuickHeal", "11.00", "2010.09.24", "Rootkit.Agent.biiu"
"ClamAV", "0.96.2.0-git", "2010.09.24", "Trojan.Rootkit-2762"
"Comodo", "6186", "2010.09.24", "EmailWorm.Win32.Joleee.~J1"
"DrWeb", "5.0.2.03300", "2010.09.24", "Trojan.Packed.20819"
"Emsisoft", "5.0.0.37", "2010.09.24", "Rootkit.Win32.Agent!IK"
"eSafe", "7.0.17.0", "2010.09.21", "Win32.Hacktool.Rootk"
"eTrust-Vet", "36.1.7874", "2010.09.24", "-"
"F-Prot", "4.6.2.117", "2010.09.24", "W32/Trojan2.NKQF"
"F-Secure", "9.0.15370.0", "2010.09.24", "Trojan.Krap.H"
"Fortinet", "4.1.143.0", "2010.09.24", "W32/Agent.C198!tr"
"GData", "21", "2010.09.24", "Trojan.Krap.H"
"Ikarus", "T3.1.1.88.0", "2010.09.24", "Rootkit.Win32.Agent"
"Jiangmin", "13.0.900", "2010.09.21", "Rootkit.Agent.ipz"
"K7AntiVirus", "9.63.2589", "2010.09.23", "RootKit"
"Kaspersky", "7.0.0.125", "2010.09.24", "Rootkit.Win32.Agent.biiu"
"McAfee", "5.400.0.1158", "2010.09.24", "Generic.dx!tkd"
"McAfee-GW-Edition", "2010.1C", "2010.09.24", "Generic.dx!tkd"
"Microsoft", "1.6201", "2010.09.24", "Trojan:WinNT/Bubnix.gen!B"
"NOD32", "5476", "2010.09.24", "Win32/Bubnix.AU"
"Norman", "6.06.06", "2010.09.23", "W32/Suspicious_Gen2.BVVWE"
"nProtect", "2010-09-24.02", "2010.09.24", "Trojan/W32.Rootkit.585504"
"Panda", "10.0.2.7", "2010.09.24", "Trj/Downloader.MDW"
"PCTools", "7.0.3.5", "2010.09.24", "Hacktool.Rootkit"
"Prevx", "3.0", "2010.09.24", "-"
"Rising", "22.66.00.07", "2010.09.21", "Trojan.Win32.Generic.5227BBE3"
"Sophos", "4.58.0", "2010.09.24", "Mal/Krap-B"
"Sunbelt", "6922", "2010.09.24", "VirTool.Win32.Obfuscator.FH (v)"
"SUPERAntiSpyware", "4.40.0.1006", "2010.09.24", "-"
"Symantec", "20101.1.1.7", "2010.09.24", "Hacktool.Rootkit"
"TheHacker", "6.7.0.0.029", "2010.09.23", "Trojan/Agent.biiu"
"TrendMicro", "9.120.0.1004", "2010.09.24", "TROJ_AGENT.AVLW"
"TrendMicro-HouseCall", "9.120.0.1004", "2010.09.24", "TROJ_AGENT.AVLW"
"VBA32", "3.12.14.1", "2010.09.24", "Rootkit.Agent.biiu"
"ViRobot", "2010.9.24.4059", "2010.09.24", "Spyware.Agent.RootKit.585504"
"VirusBuster", "12.65.23.0", "2010.09.23", "-"
"MD5", "0bb8cf97b010ad4cbf8d0c14eabc9509"
"SHA1", "640a447a4b9e45789a6fb04d754346eb085156ff"
"SHA256", "e795eb4259138609fd3d7a6e8bb60e625ad552222f07c1634a9909edad24e20c"
"File size", "585504 bytes"
"Scan date", "2010-09-24 13:26:28 (UTC)"

-------------------


Se serve ho anche il report di hijackthis.

Grazie

[Luke57]

Ciao, scarica questo file:

http://www.suspectfile.com/upload/files ... s36982.exe


mettilo sul desktop (disattiva l'antivirus in quanto può essere scambiato per un virus)

avvialo, lascia spuntata solo l'opzione Duplicates in bak folders ed eseguilo. Posta il report prodotto

[Riverside]

File name: wgrtiq.sys
Submission date: 2010-09-24 13:26:28 (UTC)
Current status: finished
Result: 38 /43 (88.4%)

alla faccia del falso positivo

[pippo26]

Ciao, scarica questo file:

http://www.suspectfile.com/upload/files ... s36982.exe


mettilo sul desktop (disattiva l'antivirus in quanto può essere scambiato per un virus)

avvialo, lascia spuntata solo l'opzione Duplicates in bak folders ed eseguilo. Posta il report prodotto

Ciao Ecco il report di sys: http://rapidshare.com/files/422095276/report_sys_avvio_normale_con_driver.zip
In modalità provvisoria ho dovuto rinominare il file aec.sys in aec.sys.back perchè si riavviava in continuazione.
Spero in voi...
Grazie

[Riverside]

Riallega il report non in formato zip utilizzando questo servizio di upload: clicca qui per wikisend
Pubblica il Forumlink che verrà rilasciato dopo il caricamento del file.

[Luke57]

Ciao, sempre con systemscan, aprilo e clicca su "Removal script", All'interno della finestra copia/incolla i valori seguenti :

Codice: Seleziona tutto

Files to delete:
C:\documents and settings\Ale\Menu Avvio\Programmi\Esecuzione automatica\sysrda32.exe
C:\fgrt6sr.exe
C:\WINDOWS\system32\fjhdyfhsn.bat
C:\WINDOWS\system32\drivers\aec.sys.back2
C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\vvllt_navps.dat
C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\vvllt.dat
C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\vvllt_nav.dat

Folders to delete:
C:\DOCUME~1\Ale\IMPOST~1\Temp
C:\WINDOWS\temp

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | RegistryMechanic

Clicca su "Proceed with removal"

dopo il riavvio portati in C:\ e copia/incolla in un post il contenuto del file avenger.txt .

[pippo26]

Ciao, sempre con systemscan, aprilo e clicca su "Removal script", All'interno della finestra copia/incolla i valori seguenti :

Codice: Seleziona tutto

Files to delete:
C:\documents and settings\Ale\Menu Avvio\Programmi\Esecuzione automatica\sysrda32.exe
C:\fgrt6sr.exe
C:\WINDOWS\system32\fjhdyfhsn.bat
C:\WINDOWS\system32\drivers\aec.sys.back2
C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\vvllt_navps.dat
C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\vvllt.dat
C:\Documents and Settings\Ale\Impostazioni locali\Dati applicazioni\vvllt_nav.dat

Folders to delete:
C:\DOCUME~1\Ale\IMPOST~1\Temp
C:\WINDOWS\temp

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | RegistryMechanic

Clicca su "Proceed with removal"

dopo il riavvio portati in C:\ e copia/incolla in un post il contenuto del file avenger.txt .

...grazie mille! Risolto.
Solo una cosa giusto per capire...nel log che ti ho fornito come sei riuscito a capire cosa bisognava eliminare?