Accedi per seguire   
Seguaci 0
accacca

Rootkit Dov'È ?

9 messaggi in questa discussione

Un amico mi ha portato un PC su cui non riesce a togliere un virus.

Io ho provato in vari modi ma non sono riuscito a concludere nulla.

L'antivirus presente sul disco è AVIRA ma non rileva nulla e comunque non si riesece ad aggiornare quindi credo sia inattendibile

Ho provato a inserirlo come disco USB esterno su un altro PC e con VirIT ho trovato il rootkit win32.small.abhz

Nel frattempo per restituire il PC all'amico ho preso un vecchio disco abbandonato da anni e ho cercato di ripristinare il sistema operativo

sul PC infetto. Per quest'operazione ho usato il suo cd di ripristino che si era fatto a suo tempo (2005) quando aveva acquistato il PC.

Ho fatto tutta la procedura e nuovamente il pc non va. Penso a un problema hw però ho forti sospetti che non sia così perchè:

Si blocca quando cerco di aggiornare antivirus AVIRA

Ho scaricato e installato e registrato avast Lo faccio partire in modalità provvisoria e il servizio avast non si avvia e non c'è modo di avviarlo.

Quando installo qualsiasi cosa la prima volta si bolcca a caso con un errore dle tipo il file sul disco non corrisponde all'originale oppure si ferma e basta

Se rifaccio l'installazione della stessa cosa al secondo colpo funziona liscia sempre E' matematico primo no secondo sì con tutto.

Tutti questi non mi sembrano sintomi legati all'hw

Quello che non mi spego è dove si possa essere nascosto il virus. Ho preso un disco iverso del PC originale rimane solo la scheda e il lettore DVD

tutte le procedure sono fatte a rete scollegata

Può nascondersi nel BIOS ?

qualcuno ha qualche spiegazione/suggerimento

grazie in anticipo

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, prova questa scansione:

Scarica Kaspersky TDSS Killer: http://support.kaspersky.com/downloads/utils/tdsskiller.exe

● posiziona il file scaricato sul Desktop

● doppio click su TDSSKiller.exe per avviare l'applicazione e successivamente sul pulsante Start Scan

Giunti a questo punto, inizia la scansione del tuo sistema alla ricerca di software malevolo:

● se viene trovato un file infetto, l'azione di default sarà Cure, clicca quindi su Continua

● se viene trovato un file sospetto, l'azione di default sarà Skip, clicca quindi su Continua

Una volta terminata la scansione, si presenterà una di queste due opzioni:

non è necessario il riavvio del sistema: clicca su Report e salva il contenuto in un file di testo

● è necessario riavviare il sistema: clicca su Riavvia ora

● una volta riavviato il sistema, il report del programma da allegare si trova in C:\ in questa forma:

TDSSKiller.[Version]_[Date]_[Time]_log.txt

E questa:

Scarica Kaspersky Virus Removal Tool: http://support.kaspersky.com/viruses/avptool2010?level=2

● al termine della installazione verrà mostrata la schermata principale del tool

● verrà creata una cartella sul Desktop dal nome Virus Removal Tool

● seleziona la partizione da scansionare e clicca su Scan per avviare la Scansione

● terminata la scansione, in caso di rilevazione di infezioni, clicca su Neutralize all

● si apriranno dei popup dove potrai scegliere se Cancellare o Disinfettare l'oggetto

● metti la spunta su Apply to all e clicca su Quarantine

● per salvare il Report che verrà rilasciato, clicca sul tasto Reports: salvalo sul Desktop poi allegalo sul forum

Buon lavoro thumbsup5.gif

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao FDAC,

ti ringrazio per la risposta

Non mi aspettavo un aiuto in tempo realie e nel frattempo ho fatto alcune mosse del citrullo con il disco

Ho cambiato lettore DVD resettato la configurazione del BIOS e riformattato il disco

(Lo so no ridere ma ormai sono paranoico nel post precedente ho sintetizzato una situaizone che si protrae da un paio di giorni)

Tornado al problema

ho fatto le poerazioni che mi hai consigliato sul disco intonso così come lo produce il disco di ripristino.

I report li allego sotto.

con l'ansia di avviare rapidamente le operazioni ho commesso un errore:

La prima scansione è stata fatta con rete collegata la seconda l'ho staccata quasi subito spero siano ugualmente valida.

Come sempre c'è una cosa strana ma a questo punto sarò io paranoico:

Il ripristino prevede anche l'installazione di norton antivirus (2005...) I

In automatico al primo avvio compare la schermata di installazione del programma e dice "non fate nulla faccio tutto io entro 10 minuti"

Passano solo 10secondi e il PC si riavvia e secondo me non è una bella cosa.

Se, come spero, questa installazione è ok posso fare le stesse operazioni anche sul disco orignale del PC, quello infetto, mettendolo come disco esterno su una porta USB

o devo obbligatoriamente partire dal disco su cui verranno fatte le scansioni ?

grazie per l'aiuto

Kaspersky_Virus_removal_Tool_report.txt

TDSSKiller.2.4.21.0_24.03.2011_19.03.06_log.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao. di Rootkit non ce ne sono. thumbsup5.gif

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ok grazie .. allora sono paranoico

Ti chiedo ancora una cortesia domani faccio le scansioni dei disco originale se trova qualcosa

dammi ancora un paio di consigli

ciao

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Perchè vuoi ripristinare il PC ad uno stato precedente?

Ultimo controllo, con Gmer:

Scarica Gmer: http://www.gmer.net/#start

● lancia Gmer, cliccando sull'eseguibile appena scaricato

● per alcuni istanti il sistema sarà bloccato: nulla di cui preoccuparsi

● a questo punto potrebbe apparire una schermata simile:

WARNING!!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system?

● seleziona Si

● attendi pazientemente il termine della scansione

● se non dovesse apparire il messaggio, avvia manualmente la scansione cliccando su Scan

● al termine della scansione avrai di fronte voci in nero e in rosso

● clicca con il tasto destro del mouse sulle voci in rosso e scegli Delete

allega il log che viene generato (clicca su Copy a fine scansione ed incolla il tutto su Notepad o simili

riavvia il sistema

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao FDAC,

scusa il ritardo nelle risposte

le scansioni sono lunghe e non ho molto tempo da dedicare al problema

... Non mi abbandonare

Domani o al massimo lunedì aggiungo il report

grazie ancora

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Ciao FDAC ti aggiorno sulla situazione,

Spero di non fare troppa confusione.

Non voglio aggiornare il PC a uno stato Precedente Quanto fatto nei post precedenti si riferisce a un disco nuovo che ho inserito provvisoriamente nel PC per ultimare dei lavori urgenti e che mi sembrava avere ugualmente dei problemi ( da qui il titolo rootkit dov'è?) Probabilmente sono diventato troppo ansioso perchè dall'analisi non sembra sia emerso nulla.

Adesso ho cambiato i dischi, messo da parte qello nuovo, e rimesso il disco originale che utilizzo normalmente e che ritengo sia l'origine dell'infezione.

Elenco sinteticmanete le operazioni fatte:

Avviato il PC collegato alla rete e scaricato iprogrammi Kasperski suggeriti nel tuo primo post

Fatte le scansioni e allego i report L'antivirus tool ha trovato parecchia roba,

Mi ricollego nuovamente alla rete e scarico una copia di AVIRA l'antivirus che utilizzo normalmente nella versione free

Installo va a buon fine e riesce a fare l'aggiornamento online. Terminata l'installazione fa una rapida scansione e mi segnala un virus

Appare il messaggio che indica il virus crypt.XPACK.gen nel file NISVCLOC e dice che il sistema viene riparato

durante questa fase si è fermato per un tempo lungo (2/3minuti) sul file smss.exe

Il prgramma sembra però terminare regolarmente ma quando cerco di aprire il repot cliccando sul relativo tasto

mi appare nuovo messaggio e mi dice che il report è al momento utilizzato da un altro utente.

chiudo tutto riavvio il PC che sembra ancora funzionare e questa volta vedo il report di AVIRA e allego anche quello

Infine ho fatto scansione con GMER sempre scollegato dalla rete Ho lasciato lavorare il PC tutta la notte

Questa mattina trovo

la scansione GMER ultimata o almeno il prgoramma sembra funzionare perchè mi lascia salvare il report

Sopra la finestra di GMER c'è una finestra di errore riferita a skype che parla di una violazione di memoria

La chiudo e ne appaiono altre due del tipo errore alla locazione xyz non poteva essere read

Inoltre in basso a destra c'è un triangolo giallo con punto esclamativo nero che mi informa che windows non ha potuto scrivere il programma /$Mft e non trova la directory /$Driectory

Il l og di gmer no riesco a caricarlo mi dice file troppo grande probabilmente ho troppi allegati lo inserisco qui

http://rapidshare.co...581431/gmer.log

Come sempre grazie, mi fermo e attendo tue istruzioni per continuare

Dimenticavo un ultimo dettaglio.

Normalmente windows quando scaricava nuovi aggiornamenti mi informaa con uno scudo giallo in basso a destra e io potevo scegliere cosa installare e cosa no.

Adesso c'è un comportamento strano perchè spegnendo il PC compare la finestra con le tre icone disconnetti spegni riavvia e sotto il messaggio cliccare qui per spegnere senza installare aggiornamenti. Al riavvio non mi propone nessun aggiornamento sarò paranoico ma a me la cosa puzza

TDSSKiller.2.4.21.0_26.03.2011_06.56.20_log.txt

kaspersky_discoB_20110326.txt

AVSCAN-20110326-161625-640B2318.LOG

Modificato da accacca

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao.

Scarica, preferibilmente con Internet Explorer, ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Posiziona ComboFix sul Desktop ed esegui queste operazioni preliminari:

disconnettiti da Internet

● sconnetti, fisicamente, il modem/router dal Computer

E' assolutamente necessario, se attivo:

disattivare l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

disattivare il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:

● lancia ComboFix: per lanciare ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona di ComboFix e, dal menù contestuale, scegli la voce Esegui come Amministratore

● segui le istruzioni che verranno rilasciate per eseguire la scansione

● verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare

senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:

● verranno creati alcuni file sul Desktop e poi eliminati

● spariranno, per un attimo, tutte le icone presenti sul Desktop

● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio

● il firewall, se attivo, potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti

● potrebbe apparire sul Desktop l'icona di Internet Explorer, qualora già non fosse presente

Quando ComboFix avrà concluso l'operazione di scansione:

● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo tu

● ricollega, fisicamente, il modem/router al Computer

connettiti a Internet

● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0