un aiuto please

[mrbean]

ciao a tutti

ho trovato per caso questo file nel mio pc sapete dirmi se e' un rotkit?

c:\windows\System32\Drivers\SjyPkt.sys

[mrbean]

ho fatto anche una scansione con combofix mi dite se sono infettato

[mrbean]

come devo inviarlo sono poco pratico

[mrbean]

ComboFix 22-10-22,02 - user # # 21.47.10.9.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.2047.1576 [GMT 2:00]
Eseguito da: c:\documents and settings\user\Desktop\COMBOFIX\ComboFix.exe
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((( Files Creati Da 2011-09-10 al 2011-10-10 )))))))))))))))))))))))))))))))))))
.
.
2011-10-10 15:21 . 2011-10-10 15:23 309320 ----a-w- c:\windows\system32\drivers\TrufosAlt.sys
2011-10-10 15:09 . 2011-10-10 15:09 106312 ----a-w- c:\windows\system32\drivers\WRkrn.sys
2011-10-10 15:09 . 2011-10-10 15:09 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\WRData
2011-10-10 14:39 . 2011-10-10 14:39 35816 ----a-w- c:\windows\system32\drivers\Partizan.sys
2011-10-10 14:26 . 2011-10-10 14:26 39192 ----a-w- c:\windows\system32\Partizan.exe
2011-10-10 14:26 . 2011-10-10 14:44 24416 ----a-w- c:\windows\system32\drivers\regguard.sys
2011-10-10 14:21 . 2011-10-10 14:21 2 --shatr- c:\windows\winstart.bat
2011-10-10 14:21 . 2011-10-10 14:21 -------- d-----w- c:\programmi\Greatis
2011-10-09 14:34 . 2011-10-09 14:34 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\avg8
2011-10-08 19:50 . 2011-10-08 19:50 -------- d-----w- c:\documents and settings\user\Dati applicazioni\Malwarebytes
2011-10-08 19:50 . 2011-10-08 19:50 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2011-10-08 19:50 . 2011-10-08 19:56 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2011-10-08 19:50 . 2011-08-31 15:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-10-08 18:15 . 2011-10-08 20:56 -------- d-----w- C:\TDSSKiller_Quarantine
2011-10-08 18:11 . 2011-10-08 18:11 -------- d-----w- c:\documents and settings\user\Impostazioni locali\Dati applicazioni\PackageAware
2011-10-08 17:30 . 2011-10-08 17:30 -------- d-----w- c:\programmi\XP TCPIP Repair
2011-10-08 17:30 . 2008-11-13 08:26 616024 ----a-w- c:\windows\system32\COMCTL32.OCX
2011-10-07 18:09 . 2011-10-07 18:09 -------- d-sh--w- c:\documents and settings\user\IECompatCache
2011-10-07 16:21 . 2011-10-07 16:21 -------- d-----w- c:\programmi\AVAST Software
2011-10-07 12:40 . 2011-10-08 17:56 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\AVAST Software
2011-10-06 22:24 . 2011-10-06 22:24 -------- d-----w- c:\programmi\Google
2011-10-06 22:23 . 2011-10-06 22:23 -------- d-----w- c:\windows\system32\Adobe
2011-10-06 19:09 . 2011-10-07 18:14 -------- d-----w- c:\programmi\iPod
2011-10-03 07:25 . 2011-10-03 07:25 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Ask
2011-10-01 09:57 . 2011-10-01 09:57 -------- d-----w- c:\documents and settings\user\Impostazioni locali\Dati applicazioni\Babylon
2011-10-01 09:57 . 2011-10-01 09:57 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Babylon
2011-10-01 09:57 . 2011-10-01 09:57 -------- d-----w- c:\programmi\Easy Downloads
2011-10-01 08:45 . 2011-10-01 08:45 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-09 09:12 . 2004-08-19 12:00 603136 ----a-w- c:\windows\system32\crypt32.dll
2011-07-15 13:29 . 2004-08-19 12:00 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-07-15 13:29 . 2004-08-19 12:00 456320 ----a-w- c:\windows\system32\drivers\adafaew.pip
.
.
((((((((((((((((((((((((((((( SnapShot@2011-10-08_19.25.31 )))))))))))))))))))))))))))))))))))))))))
.
+ 2006-12-01 22:46 . 2006-12-01 22:46 65536 c:\windows\WinSxS\x86_Microsoft.VC80.OpenMP_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6c18549a\vcomp.dll
+ 2006-12-01 22:08 . 2006-12-01 22:08 49152 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80KOR.dll
+ 2006-12-01 22:08 . 2006-12-01 22:08 49152 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80JPN.dll
+ 2006-12-01 22:08 . 2006-12-01 22:08 61440 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80ITA.dll
+ 2006-12-01 22:08 . 2006-12-01 22:08 61440 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80FRA.dll
+ 2006-12-01 22:08 . 2006-12-01 22:08 61440 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80ESP.dll
+ 2006-12-01 22:08 . 2006-12-01 22:08 57344 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80ENU.dll
+ 2006-12-01 22:08 . 2006-12-01 22:08 65536 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80DEU.dll
+ 2006-12-01 22:08 . 2006-12-01 22:08 45056 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80CHT.dll
+ 2006-12-01 22:08 . 2006-12-01 22:08 40960 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80CHS.dll
+ 2006-12-01 22:26 . 2006-12-01 22:26 57856 c:\windows\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\mfcm80u.dll
+ 2006-12-01 22:25 . 2006-12-01 22:25 69632 c:\windows\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\mfcm80.dll
+ 2006-12-01 20:56 . 2006-12-01 20:56 96256 c:\windows\WinSxS\x86_Microsoft.VC80.ATL_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_cbb27474\ATL80.dll
+ 2004-08-19 12:00 . 2008-04-13 18:40 11392 c:\windows\system32\dllcache\sfloppy.sys
+ 2004-08-19 12:00 . 2011-07-15 13:29 456320 c:\windows\system32\dllcache\mrxsmb.sys
- 2008-11-12 09:32 . 2011-07-15 13:29 456320 c:\windows\system32\dllcache\mrxsmb.sys
+ 2004-08-19 12:00 . 2011-09-09 09:12 603136 c:\windows\system32\dllcache\crypt32.dll
- 2011-09-09 09:12 . 2011-09-09 09:12 603136 c:\windows\system32\dllcache\crypt32.dll
+ 2011-10-09 14:34 . 2011-10-09 14:34 337408 c:\windows\Installer\75d73.msi
+ 2006-12-01 22:25 . 2006-12-01 22:25 1093120 c:\windows\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\mfc80u.dll
+ 2006-12-01 22:25 . 2006-12-01 22:25 1101824 c:\windows\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\mfc80.dll
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programmi\Analog Devices\Core\smax4pnp.exe" [2006-05-18 843776]
"AppleSyncNotifier"="c:\programmi\File comuni\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040]
"iTunesHelper"="c:\programmi\iTunes\iTunesHelper.exe" [2008-07-10 289064]
"SSBkgdUpdate"="c:\programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]
"OpwareSE4"="c:\programmi\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-10-11 75304]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"IntelliPoint"="c:\programmi\Microsoft IntelliPoint\point32.exe" [2005-03-23 217088]
"QuickTime Task"="c:\programmi\QuickTime\QTTask.exe" [2010-09-08 421888]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-07-09 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-07-09 13923432]
"EasyDownloads"="c:\programmi\Easy Downloads\easydownloads.exe" [2011-10-01 845848]
"SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe" [2011-04-08 254696]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"AvgUninstallURL"="start http://www.avg.com/ww.special-uninstall ... er=9.0.902" [?]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\user\Menu Avvio\Programmi\Esecuzione automatica\
OpenOffice.org 3.0.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
.
c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
hp psc 1000 series.lnk - c:\programmi\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-4-9 147456]
hpoddt01.exe.lnk - c:\programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-9 28672]
Microsoft Office.lnk - c:\programmi\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AtiExtEvent]
[BU]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0Partizan
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\rFactor\\rFactor.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\drivers\\svchost.exe"=
"c:\\Programmi\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"c:\\Programmi\\EA Sports\\FIFA 08\\FIFA08.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\AIM\\SmartyManager\\SmartyManager.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
"c:\\Programmi\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programmi\\File comuni\\Java\\Java Update\\jaucheck.exe"=
"c:\\Programmi\\Easy Downloads\\easydownloads.exe"=
"c:\\Programmi\\File comuni\\Java\\Java Update\\jucheck.exe"=
"c:\\WINDOWS\\system32\\msiexec.exe"=
"c:\\Programmi\\Apple Software Update\\SoftwareUpdate.exe"=
"c:\\Documents and Settings\\All Users\\Dati applicazioni\\MFAData\\SelfUpd\\avgmfapx.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=
"c:\\Programmi\\Microsoft Office\\Office10\\WINWORD.EXE"=
"c:\\WINDOWS\\system32\\Macromed\\Shockwave 10\\SwHelper_1020022.exe"=
"c:\\Programmi\\File comuni\\Adobe\\Updater5\\AdobeUpdater.exe"=
"c:\\WINDOWS\\system32\\Adobe\\Shockwave 11\\gt.exe"=
.
R0 WRkrn;WRkrn;c:\windows\system32\drivers\WRkrn.sys [10/10/2011 17.09.48 106312]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32.sys [18/04/2011 11.58.35 91496]
S3 HTCAND32;HTC Device Driver;c:\windows\system32\drivers\ANDROIDUSB.sys [02/09/2011 14.27.58 24576]
S3 htcnprot;HTC NDIS Protocol Driver;c:\windows\system32\drivers\htcnprot.sys [22/06/2010 18.01.52 21248]
S3 Partizan;Partizan;c:\windows\system32\drivers\Partizan.sys [10/10/2011 16.39.22 35816]
S3 RegGuard;RegGuard;c:\windows\system32\drivers\regguard.sys [10/10/2011 16.26.36 24416]
S3 S6U12BScanner;MUSTEK 1200 UB Still Image Device Service;c:\windows\system32\drivers\usbscan.sys [12/12/2006 17.47.16 15104]
S3 SjyPkt;SjyPkt;\??\c:\windows\System32\Drivers\SjyPkt.sys --> c:\windows\System32\Drivers\SjyPkt.sys [?]
.
Contenuto della cartella 'Scheduled Tasks'
.
2011-10-03 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2009-04-17 c:\windows\Tasks\FRU Task 2003-04-10 00:56ewlett-Packard2003-04-10 00:56p psc 1200 series272A572217594EBCF1CEE215E352B92AD073FDE4229683231.job
- c:\programmi\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-09 16:56]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/webhp?hl=it
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: Interfaces\{18CCF4CE-70FA-451E-A6E0-6EC4D3C97828}: NameServer = 192.168.0.250
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-10-10 19:45
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_LOCAL_MACHINE\software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:93,31,a5,06,7b,93,ae,ca,44,54,8d,87,5d,6d,e4,30,10,3a,9a,05,42,9a,89,
32,0f,97,23,f5,0c,3b,6d,a4,6e,ee,f9,3b,2b,95,a2,d2,3d,4d,47,17,c9,d0,b3,20,\
"??"=hex:4f,1c,07,c3,c2,1c,3c,c4,23,12,4b,ff,7a,3b,92,2c
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'explorer.exe'(1432)
c:\windows\system32\WININET.dll
c:\programmi\ScanSoft\OmniPageSE4.0\OpHookSE4.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Ora fine scansione: 2011-10-10 19:46:14
ComboFix-quarantined-files.txt 2011-10-10 17:46
ComboFix2.txt 2011-10-10 17:18
ComboFix3.txt 2011-10-10 16:59
ComboFix4.txt 2011-10-10 15:34
ComboFix5.txt 2011-10-10 17:40
.
Pre-Run: 23.238.754.304 byte disponibili
Post-Run: 23.219.318.784 byte disponibili
.
- - End Of File - - 858B1CF34DE4EB52C8E8DE47215E0C5D

[FrancescoFDAC]

Ciao quel file è legittimo, ci sono dei rimasugli di vecchi antivirus e toolbars da togliere.
Script personalizzato di ComboFix

Avviso: non eseguire ComboFix di tua iniziativa; questo tool non è un giocattolo e non è adatto ad un uso quotidiano.

Apri il Block Note: Start> Tutti i programmi> Accessori> Blocco note
● all'interno del nuovo documento di testo, copia ed incolla le seguenti righe:

Folder::
c:\documents and settings\All Users\Dati applicazioni\avg8
c:\programmi\AVAST Software
c:\documents and settings\All Users\Dati applicazioni\AVAST Software
c:\documents and settings\All Users\Dati applicazioni\Ask
c:\documents and settings\user\Impostazioni locali\Dati applicazioni\Babylon
c:\documents and settings\All Users\Dati applicazioni\Babylon
c:\programmi\Easy Downloads

File::
c:\programmi\Easy Downloads\easydownloads.exe
c:\windows\system32\\drivers\svchost.exe

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EasyDownloads"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"AvgUninstallURL"=-

● chiama questo file CFScript.txt, e posizionalo sul Desktop

Molto importante! Disabilita temporaneamente il tuo antivirus e firewall prima di seguire la procedura indicata. Potrebbero infatti interferire con ComboFix o rimuovere alcuni dei suoi file incorporati che possono portare a risultati imprevedibili.
Facendo riferimento all'immagine presente qui sotto, trascina con il puntatore del mouse CFScript.txt sull'icona di ComboFix
ComboFix ora eseguirà una scansione del tuo sistema. Una volta terminata, potrebbe riavviare automaticamente il sistema: in caso contrario, procedi tu manualmente.
A questo punto, il programma produrrà un Report. Copia ed incolla il log nel tuo prossimo post.

http://img155.imageshack.us/img155/4837/cfscriptop0.gif

Nota - riguardo alla procedura:
● non toccare assolutamente il mouse e la tastiera durante la scansione: potrebbe interrompersi


Infine: ho visto che hai malwarebytes installato. Aggiorna il software (avvialo, clicca sul tab Aggiornamenti ed aggiorna il tool).

● collega tutte le periferiche esterne che possiedi ( Chiavette USB, HDD Esterni, Lettori MP3... )
● verrà mostrata la schermata principale del tool: al messaggio che appare, clicca sul pulsante No
● clicca sul pulsante Scansione completa, e conferma cliccando il pulsante Scansione
● verrà richiesto quali drive scansionare; selezionali tutti, e clicca nuovamente su Scansione
● attendi pazientemente il termine della scansione
● una volta terminata, clicca sul pulsante OK e Mostra Risultati per visionare il Report
● verrà rilasciato automaticamente un file di testo: salvalo sul Desktop ed allegalo
● assicurati che tutte le voci siano selezionate, e clicca sul pulsante Rimuovi selezionati, in basso a sinistra
● il log può essere visionati cliccando sul tab Log dall'interfaccia principale del programma

Nota - riguardo al programma:
● se MalwareBytes incontrasse delle difficoltà nel rimuovere alcuni file, verranno mostrate delle finestre aggiuntive: clicca sul pulsante OK, e lascia procedere il programma alla disinfezione. Se MalwareBytes chiedesse di riavviare il sistema, fallo immediatamente

[mrbean]

ma io ho letto che e' rotkit http://www.prevx.com/filenames/13528632 ... T.SYS.html
prevx e' un sito serio?

[FrancescoFDAC]

Lascia stare Prevx a volte da di matto.
Se vuoi più tardi facciamo un accurato controllo apposta per verificare se ci sono rootkit nel tuo sistema, per ora esegui lo script proposto che andrà a eliminare delle schifezze presenti nel tuo PC.

Francesco