Comments on: Nuova versione di Rootkit.DialCall

By: BLASETTI

BLASETTI — Thu, 15 Oct 2009 18:33:05 +0000

HO RISOLTO CON SPYWARE DOCTOR

By: pseudotecnico:blog » LZX32.SYS

pseudotecnico:blog » LZX32.SYS — Tue, 28 Aug 2007 10:28:44 +0000

[...] Dopo pochi minuti di lavoro appare il famigerato messaggio di errore che fa riferimento a LZX32.SYS: il nome mi ricorda qualcosa, e infatti si tratta di un rootkit. Come indicato in questa guida scarico GMER, elimino il servizio pe386, faccio la scansione e ripulisco tutto l’ambaradan. [...]

By: Marti

Marti — Tue, 05 Jun 2007 16:36:44 +0000

ascolta io non ho effettuato la chiamata ma ho comunque scaricato il programma inserendo al posto del codice il “serial” perche pensavo fosse quello il codice richiesto..
Adesso l’home page quando apro internet è italian.eazel
Quello che voglio sapere è: visto che non ho effettuato la chiamata il servizio e attivo? Se si come faccio a cancellarlo?
(ho provato i vostri suggerimenti: ho usato germ, avg, e l’altro ma non hanno trovato niente)..
Vi prego di risondermi al piu presto!Vi prego!rispondeteeeeeee!!!

By: Marti

Marti — Tue, 05 Jun 2007 14:28:29 +0000

ho provato in tutti e tre i modi ma nn funziona niente: l’home page è sempre italian.eazol…
Come faccio?!?!?!?!?!?!?!?!?!??!?x favore aiuto!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

By: Carletto

Carletto — Mon, 16 Apr 2007 06:09:01 +0000

Ciao,
SpyBot aggiornato il 13/4 mi ha risolto il problema.

Grazie a tutti

By: Carletto

Carletto — Wed, 04 Apr 2007 15:34:36 +0000

… non va nemmeno prevx1 … trova qualcosa (come tutti i provati) ma la home page resta sempre italian.ircfast.com.

… nel frattempo hanno fatto restilyng del sito …

By: PC Al Sicuro » Blog Archive » Rootkit.DialCall: cambio di nome

PC Al Sicuro » Blog Archive » Rootkit.DialCall: cambio di nome — Fri, 23 Mar 2007 01:26:19 +0000

[...] Prevx1 rimuove questa infezione, compresi dialer e trojan clicker installati. Per l’eventuale infezione da rootkit Rustock restano valide le istruzioni esposte in quest’articolo. [...]

By: Carlo

Carlo — Tue, 20 Mar 2007 11:10:06 +0000

Ciao,
con IE 7 ed xp aprendo explorer mi propone come homepage
italian.ircfast.com.
Ho eseguito le varie strade proposte ma nulla …..
un aiutino?

By: micky

micky — Fri, 02 Feb 2007 20:30:41 +0000

mamma mia grazie! sono due giorni che cercavo di capire perchè quando avviavo un gioco mi si riavviava tutto e grazie a te sono riuscito a eliminare(spero definitivamente)HUY32.sys la nuova derivazione che mi sono beccato non so nemmeno come. Mi è bastato cancellare il servizio con GMER e poi quando gli ho detto di cancellare il file mi ha detto che non si poteva, in ogni caso al successivo riavvio non me l’ha più trovato con lo scan, nè con GMER nè con AVG antirootkit. Non ho nemmeno trovato i file nel registro di sistema nè nelle cartelle di windows e system32. Per questo spero che non si rifaccia vivo o si autorigeneri. In ogni caso MILLE GRAZIE!!

By: Luigi_Bel

Luigi_Bel — Thu, 01 Feb 2007 22:12:59 +0000

Grazie Marco per l’interessamento.
Parto dall’inizio. ME ha cominciato a dare errori (explorer, mmtask, ecc.)con SVHOST durante l’avviamento. Al termine una volta su due il sistema non permetteva di accedere a start-bar e a find. In provvisoria invece tutto regolare. Inizialmente ho trovato un windows\svhost.dll che si riformava ogni volta che lo cancellavo. Poi ho trovato il winsys.exe. Tolto questo, svhost non si è più riformato e ME parte ora regolarmente. Però ho problemi con Norton che da errori quando lo lancio ed inoltre quando accedo alla rete non riesco più a scaricare (ho provato a fare uno scanning on-line di panda o a mettere a posto on-line Norton, ma explorer si blocca). Viceversa come chiudo explorer, parte in background iexplorer e se sono connesso non ho idea cosa ci faccia, ma mi piace poco.
Guardando tra i registri ho trovato non solo quello che richiama winsys.exe, ma anche il HKLM\ Software\5T29L1D34B e li ho eliminati.
Per quanto riguarda gli altri file qui descritti, non ricordo se c’era l’it_0xxx.exe o se l’ho eliminato quando ho scoperto l’infezione , ma ora non c’è più. Ho provato a cercare lzx32.sys in provvisorio ma non esiste. Effettivamente, lo scan di Hijackthis sugli ADS, mi dice che il sistema non supporta gli NTFS. Mi sembra di capire che riguardano solo XP?
Ho pensato di avere l’infezione che qua descrivete, ma forse è una variante diversa? Fatta per 98x/ME?
Da Hijackthis sembra che non ci sia niente. Ho già passato il sistema con Spybot, AV-CLS senza risultati. Sulla rete ho trovato solo questo sito che riporta un’infezione simile.
Sotto DOS, lzx32.sys se esistesse dovrebbe essere nella cartella windows\system32?, perchè li non l’ho trovato.
Alla data presunta dell’infezione ho trovato i seguenti file strani:
windows\system\eid.exe
windows\applog\regenv32.~~c
windows\applog\ikernel.lgd

EID.exe l’ho isolato in una cartella a parte, gli altri sono ancora lì.