Rootkit: Ntldr Si Cancella Ad Ogni Spegnimento

[minnie]

Da circa 1 settimana ogni volta che spengo il pc, alla riaccensione mi segnala "ntldr mancante".

Ho notato che spariscono i file ntdetect.com, ntldr, boot.ini; praticamente i file di avvio del sistema.

Ogni volta rimetto i file cancellati tramite un cd boot e il pc riparte.

Ho fatto una scansione con combofix che mi ha rilevato un rootkit (senza specificarne il nome) e per 3 giorni non ho avuto problemi.

Ma stamattina è riapparso il messaggio "ntldr mancante".

Non capisco da dove venga questo rootkit!

Preciso che utilizzo Windows Xp Professional con SP3 e l'antivirus AVG.

Non navigo molto in internet, uso il pc solo per lavoro.

Non posso continuare a ripristinare i file ad ogni avvio!!!

[FDAC]

Ripristina i file come sai fare tu, poi esegui queste operazioni:

Scarica Kaspersky TDSS Killer: http://support.kaspersky.com/downloads/utils/tdsskiller.exe

● posiziona il file scaricato sul Desktop

● doppio click su TDSSKiller.exe per avviare l'applicazione e successivamente sul pulsante Start Scan

Giunti a questo punto, inizia la scansione del sistema alla ricerca di software malevolo:

● se viene trovato un file infetto, l'azione di default sarà Cure, clicca quindi su Continua

● se viene trovato un file sospetto, l'azione di default sarà Skip, clicca quindi su Continua

Una volta terminata la scansione, si presenterà una di queste due opzioni:

● non è necessario il riavvio del sistema: clicca su Report e salva il contenuto in un file di testo

● è necessario riavviare il sistema: clicca su Riavvia ora

● una volta riavviato il sistema, il report del programma da allegare si trova in C:\ in questa forma:

TDSSKiller.[Version]_[Date]_[Time]_log.txt

Sempre con Windows avviato:

Ripristinare il File Boot.ini

● individua ed apri questa cartella: C:\Windows\pss

● copia il file boot.ini.backup in C:\

● rinomina il file boot.ini.backup in boot.ini

● riavvia il sistema

Se non hai risolto con il primo metodo, devi provvedere a ricreare il file boot.ini.backup, in questo modo:

● apri il Block Note, incolli il seguente testo e salvi il file con il nome boot.ini in C:\

[boot loader]

timeout=30

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

[minnie]

Ti ringrazio molto per la risposta.

Nel frattempo ho scoperto, ripetendo combofix, che il pc è stato infettato dal rootkit.zeroaccess

Ho letto su internet che è una nuova minaccia; ne hanno dato notizia diversi siti informatici.

Ora con combofix l'ho rimosso ma sto cercando di capire come evitare di riprenderlo.

Sto quindi cercando notizie su eventuali patch da installare, chiavi di registro da bloccare o cose simili.

[FDAC]

Quindi non hai eseguito nulla?

[minnie]

Dopo 3 giorni dalla scansione con combofix il problema si è ripresentato; ancora Ntldr mancante e insieme anche gli altri file ntdetect e boot.ini.

Ho seguito le istruzioni che mi hai dato.

TDSS Killer non ha rilevato nulla; allego comunque il log.

Ho ricreato anche il boot.ini come mi avevi indicato.

Esasperata dal problema, mi sono decisa a formattare e ho anche sostituito l'hard disk.

Ma dopo una settimana è successo di nuovo.

Non so se può influire ma il pc appartiene a un dominio e l'utente ha benefici da amministratore (per poter eseguire un paio di programmi che con utente limitato non funzionano).

Help!!!

[FDAC]

Non vedo nessun log allegato.

Mi piacerebbe vedere i Report aggiornati di ComboFix e TDSS Killer, cosi da capirci qualcosa ed avere almeno uno straccio di log

Buon lavoro!

[minnie]

Scusa, avevo dimenticato gli allegati...

Potrebbe trattarsi di un difetto hardware e non di un virus? Ad esempio un malfunzionamento della ram, visto che non lo fa ogni volta?

Grazie.

ComboFix.txt

TDSSKiller.2.5.4.0_13.06.2011_09.33.00_log.txt

[FDAC]

Ciao

Questi log sono vecchiotti

Scarica TFC by OldTimer: http://oldtimer.geekstogo.com/TFC.exe

● posiziona il tool sul Desktop

● termina tutti i programmi attivi, comprese le pagine Internet

● avvia il tool con un doppio click

● clicca, in basso a sinistra, sul pulsante Start

● scomparirà, per qualche istante, il Desktop: nulla di cui preoccuparsi

● attendi pazientemente il termine delle operazioni

● clicca, in basso a destra, sul pulsante Exit

● una volta terminate le operazioni, chiudi il programma

Scarica OTC by OldTimer: http://oldtimer.geekstogo.com/OTC.exe

● posiziona il tool sul Desktop

● chiudi tutti i programmi attivi

● avvia il tool con un doppio click

● clicca sul pulsante CleanUp!

● il programma chiede di riavviare il sistema: consenti, cliccando su Yes per due volte

Poi:

Scarica Kaspersky TDSS Killer: http://support.kaspersky.com/downloads/utils/tdsskiller.exe

● posiziona il file scaricato sul Desktop

● doppio click su TDSSKiller.exe per avviare l'applicazione e successivamente sul pulsante Start Scan

Giunti a questo punto, inizia la scansione del sistema alla ricerca di software malevolo:

● se viene trovato un file infetto, l'azione di default sarà Cure, clicca quindi su Continua

● se viene trovato un file sospetto, l'azione di default sarà Skip, clicca quindi su Continua

Una volta terminata la scansione, si presenterà una di queste due opzioni:

● non è necessario il riavvio del sistema: clicca su Report e salva il contenuto in un file di testo

● è necessario riavviare il sistema: clicca su Riavvia ora

● una volta riavviato il sistema, il report del programma da allegare si trova in C:\ in questa forma:

TDSSKiller.[Version]_[Date]_[Time]_log.txt

Infine:

Scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

● posiziona il file scaricato sul Desktop

● disattiva l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

● disattiva il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:

● lancia ComboFix con un doppio click

● segui le istruzioni che verranno rilasciate per eseguire la scansione

● in caso tu abbia Windows XP, verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare

● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:

● potrebbero comparire alcuni file sul Desktop, e poi eliminati

● spariranno, per un attimo, tutte le icone presenti sul Desktop: nulla di cui preoccuparsi

● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio

● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti

● potrebbe apparire sul Desktop l'icona di Internet Explorer

Quando ComboFix avrà concluso l'operazione di scansione:

● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo te

● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

Nota - riguardo al programma:

● per eseguire correttamente ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore

● sUBs, la software house che distribuisce ComboFix, non è responsabile di qualsiasi danno causato da te dopo l'utilizzo del software stesso.

Lo stesso vale per me; questo tool non è un giocattolo e non è destinato all'utilizzo quotidiano. Esso non dovrebbe essere utilizzato a meno che non venga espressamente richiesto da un esperto

● ComboFix disabilita l'esecuzione automatica delle unità USB (Chiavette, Hard Disk Esterni, Lettori MP3...) per prevenire future minacce: quando inserisci una Pendrive, sarai costretto ad avviarla dalle Risorse del computer. Una precauzione in più, una possibile minaccia in meno