Accedi per seguire   
Seguaci 0
saguaro

Un Ide Controller Che Si Ripresenta Sempre

23 messaggi in questa discussione

Buongiorno

In altra stanza e su topic differente si parlava incidentalmente di ciò che sto per descrivervi con 2 Membri del forum i quali mi hanno caldamente suggerito di postare qui.

Ecco il problema:

Qualche giorno fa mi si presentava una "richiesta installazione hardware" ogni volta che aprivo Win.

Si è scoperto che era stata una disinstallazione malfatta di SUPERAntipsyware.

Installato nuovamente e disinstallato in modo ortodosso il problema non si è più ripetuto.

Purtroppo però, aprendo Pannello di Controllo > Sistema> Hardware>Gestione periferiche per i controlli del caso ho scoperto l'esistenza della voce Controller SCSI e RAID con un "!" giallo che fa riferimento ad un IDE controller.

Questo componente, via via disinstallato, si presenta sempre con nuovi nomi.

In pratica, dall'iniziale

Controller SCSI e RAID

--- ! AQWNCE9O IDE Controller

sono di volta in volta passato a ACXZB2BC, APOU49MT, A9EQAA29, AF0T5E0T etc. etc.

Mi è stata prospettata l'esistenza di un rootkit ma i vari prgm (Avira, Comodo, Spyboot S&D, Spywareblaster, Malwarebytes) non mostrano nulla di tutto ciò.

Mi è stato però riferito che i rootkit sono "brutte bestie" non sempre identificabili tramite i consueti prgm.

In passato ho utilizzato Combofix ma l'epserienza è stata piuttosto traumatica per cui, se possibile, vorrei evitare di ripeterla.

Una scansione fatta con GMER proprio ieri sera non ha rilevato nulla ma anche in questo caso mi stato detto che questo sw è ormai facilmente aggirabile.

Avete qualche suggerimento da darmi per ovviare a questo inconveniente?

Ringrazio anticipatamente e saluto.

Marco

CPU: Intel Core 2 Quad Q6600 - 2.4 GHz

M/B: Asus P5K SE/EPU

RAM: 4 GB (4x 1 GB DDR2 DIMM PC2-6400 800 MHz Corsair)

O/S: Windows XP Pro SP3

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Tentiamo con il non perfetto ma interessante F-Secure BlackLight.

Scan targets:

* Hidden processes

* Hidden files and folders

Status

* Scan completed

* No hidden items were found

Summary:

* Hidden items found: 0

* Items queued for renaming: 0

Devo cominciare ad aprire la finestra oppure aspetto l'ultimo dell'anno...? :innocent:

Grazie.

Marco

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ed è pulito...

13:19:04.0021 2940	============================================================
13:19:04.0021 0888	Detected object count: 1
13:19:04.0021 0888	Actual detected object count: 1
13:24:14.0271 0888	sptd ( LockedFile.Multi.Generic ) - skipped by user
13:24:14.0271 0888	sptd ( LockedFile.Multi.Generic ) - User select action: Skip 
13:24:17.0193 3512	Deinitialize success

sptd è il driver di DaemonTools

E a 'sto punto suggerisco Combofix.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Pike

Abuso della tua pazienza...

Mi rinfreschi la memoria sull'uso di Combofix?

Grazie

Marco

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Pike

Un 1/2 buco nell'acqua.:thumbdown1:

Nonostante avessi disattivato Avira, Combofix mi informava che era sempre attivo un desktop scanner sempre di Avira (si, lo so che sono duro, ma non so come disattivarlo).

Ad un certo punto Combofix è partito ugualmente, ho dato NO alla console di ripristino (sbagliato?), ha elaborato i suoi stages sino al 50 e poi è apparsa la medesima schermata blue che appariva ieri sera quando lanciavo GMER, dove parlava di BAD_POOL_HEADER.

Ovviamente riavvio e per fortuna tutto sembra funzionare, anche il maledetto IDE controller che naturalmente ha provveduto a cambiare nome...:glare:

Saluti.

Marco

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ComboFix include Gmer, non ne avevo tenuto conto. (E mi sento un po' pavillione per questo)

OK aver dato no, ogni tanto Combofix segnala che l'antivirus è attivo anche se non lo è.

A 'sto punto, proverei ad attaccare il problema con la scansione Offline...

Scarica il BitDefender Rescue CD

http://download.bitd...r-rescue-cd.iso

Contiene una distro minimale linux con interfaccia grafica che supporta molto hardware. Una volta connesso ad internet, scaricherà le versioni più aggiornate delle definizioni e ti farà fare una scansione di tutto il disco.

Non cancellare nulla, cura solo ciò che è curabile e rinomina i file incurabili. Per quanto riguarda il Bootsector, spero che se lo trova infetto saprà anche ripurirlo.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ma secondo te c'è del vero nella schermata blue BAD_POOL_HEADER?

Ho usato BlueScreenView (che mi facesti scaricare in passato) ed ho verificato che le schermate blue di oggi con Combofix sono state causate da

driver: ntoskrnl.exe indirizzo: ntoskrnl.exe+22f43 sistema e kernel NT nome e società: M$

mentre quelle di ieri sera con GMER erano causate da

driver: uwlyapob.sys indirizzo: uwlyapob.sys+55b0 nessuna descrizione né nome di società.

Questo uwlyapob.sys risulta che sta di casa nella dire Minidump.

Tutto regolare (si fa per dire...) o c'è qualcosa?

Saluti.

Marco

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Secondo una veloce ricerca, sembra che uwlyapob.sys sia uno dei componenti di Gmer....

http://www.google.it/search?q=uwlyapob.sys

O meglio, uno dei nomi che Gmer fa assumere ai suoi driver di scansione quando li "spacchetta".

Gmer è fermo dal 2011.03.18.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ma secondo te non potrebbe realmente essere un problema imputabile ad un driver SCSI/RAID che è andato [misteriosamente] a farsi benedire ed il rootkit non c'entra nulla?

Però nel contempo chiedo: è normale che Combofix si chiuda invariabilmente con una schermata blue?

Ricordo che un paio d'anni fa girava normalmente, portando a termine la scansione e generando il log senza problemi. I guai cominciarono in fase di disinstallazione con un coriaceo "Q e qualcosa" che non se ne voleva andare...

Saluti dubbiosi.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Tu hai controller SCSI /Raid installato sul tuo pc? Non posso saperlo da qui.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao, allora considerando che il primo dubbio ormai lo abbiamo tolto, direi se hai software che creano delle periferiche virtuali (tipo alcohol 120 o daemon tools) di provare a disinstallarle e al riavvio controllare se sta periferica random compare ancora ...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Pike

Tu hai controller SCSI /Raid installato sul tuo pc? Non posso saperlo da qui.
BIOS?

Amuk

ciao, allora considerando che il primo dubbio ormai lo abbiamo tolto, direi se hai software che creano delle periferiche virtuali (tipo alcohol 120 o daemon tools) di provare a disinstallarle e al riavvio controllare se sta periferica random compare ancora ...
Avevo Virtual Clone Driver e mi è stato suggerito di sostituirlo con DT Lite. No, non ho mai avuto Alcohol 120.

Provo a disinstallare DTLite.

Buona serata.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

SONO ALLIBITO!!! :wacko:

Ho disinstallato DTLite e il controller IDE è sparito; ma io sono quasi certo che 'sto controller c'era anche prima dell'installazione di DTLite.

E' forse una caratteristica di questo tipo di programmi ovvero come lo fa DTLite lo faceva anche VCD visto che svolgono lo stesso servizio?

Saluti "confusi"

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Non è detto che sia integrato nella Mo-Bo, può essere un controller aggiuntivo.

Puoi postare un CPU-Z per il modello della scheda madre (o riportalo se lo sai) ed un bel gestione periferiche con visualizzazione "Periferiche per connessione", tipo questo.

post-90110-0-13669100-1323113604_thumb.j

Aperte le voci Computer ACPI e PCI.

Le periferiche Bordate di blu sono virtuali, quelle di verde sono fisiche.

Edit, vedo ora la tua risposta... Evidentemente c'era un po' di roba "spuria" in precedenza. E che magari, la disinstallazione "dolce" di DTLite ha ripulito come deve.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Vabbè dai un passo avanti pare lo abbiamo fatto... (quoto quanto detto da Pike) Comunque il messaggio iniziale (quello del nuovo hardware... se non ricordo male)all'avvio appare ancora?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Amuk e Pike

Relativamente al controller IDE sono mortificato e spero capirete la mia buona fede.

Per quanto riguarda la richiesta d'installazione di nuovo hardware non appare più nulla.

Relativamente alla Mo-Bo avevo già provveduto all'aggiornamento del BIOS con Pike tempo fa.

Allego schermata CPU-Z

post-7-0-19299500-1323159856_thumb.gif

Buona giornata.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

E questa è "Gestione Periferiche"

Saluti

post-7-0-69426100-1323160072_thumb.gif

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Lascio l'interpretazione degli screenshoots a Pike :) ... Allora il problema iniziale pare si sia risolto...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0