Rootkit incredibile

[el_marchet]

Salve!

in un PC che sto sistemando e' infetto da una rootkit maledetta che non riesco a togliere.
non riesco ad allegare nulla, ne log ne nulla.
non mi fa andare neanche il comando regedit

non funge combofix, non funge sdfix (non me li apre) prevxcsi segnala che c'e' una chiave di registro infetta che crea un file nei temp che rimuovo ma dopo 1 secondo si ripresenta.

kaspersky non segnala nulla di infetto.

avete qualche suggerimento?

la rootkit mi chiude quasi tutte le pagine internet che navigo

non ha bagle la macchina, le utility antibagle non rilevano nulla.

[Chill-Out]

Ciao allo stato attuale delle cose utilizzerei 1 dei 2 Rescue Disk

http://www.hwupgrade.it/forum/showthread.php?t=1878747

http://www.hwupgrade.it/forum/showthread.php?t=1689812

dal momento che l'unico software funzionante è Prevx CSI sarebbe utile capire per esteso che cosa rileva anche senza allegare il log visti i grossi problemi

[el_marchet]

domani vedo di nuovo il pc e ti dico cosa segnala Prevxcsi

[Chill-Out]

Quote:

Originariamente inviato da el_marchet

domani vedo di nuovo il pc e ti dico cosa segnala Prevxcsi

Ok, fai girare anche 1 dei 2 Rescue sopra indicati

[el_marchet]

come faccio a impostare la scansione sul disco C dall CD rescue di Avira, faccio "start scan" ma mi dice "finished" gia' prima di iniziare

[Chill-Out]

Quote:

Originariamente inviato da el_marchet

come faccio a impostare la scansione sul disco C dall CD rescue di Avira, faccio "start scan" ma mi dice "finished" gia' prima di iniziare

http://www.picoodle.com/view.php?img....jpg&srv=img03

[el_marchet]

si, e' impostato cosi', ma non parte la scansione.

il cd di rescue va fatto da una macchina pulita immagino, ed e' quello che ho fatto, giusto?

[Chill-Out]

Quote:

Originariamente inviato da el_marchet

si, e' impostato cosi', ma non parte la scansione.

il cd di rescue va fatto da una macchina pulita immagino, ed e' quello che ho fatto, giusto?

Si assolutamente consigliato farlo su macchina pulita, eventualmente prova anche col Kaspersky Rescue Disk

[el_marchet]

Provato Avira, non rileva nulla

da 13 warnings, ma sono file zip che io conosco e che lui non riesce ad aprire.

[el_marchet]

altra cosa se puo' aiutare.

a random il PC si mette a suonare tipo ambulanza (dall'altoparlante del PC) non dalle casse.

[Chill-Out]

Quote:

Originariamente inviato da el_marchet

altra cosa se puo' aiutare.

a random il PC si mette a suonare tipo ambulanza (dall'altoparlante del PC) non dalle casse.

Di solito i suoni provenienti dall'altoparlante integrato del PC sono segnalazioni della MoBo, secondo me ci sono problemi di temperartura troppo alta

[el_marchet]

puo' essere, cmq sono convinto che ci sia anche una rootkit,

non fa aprire determinate pagine internet, non fa eseguire utility specifiche, non apre regedit.

eccetera.

[Chill-Out]

Quote:

Originariamente inviato da el_marchet

puo' essere, cmq sono convinto che ci sia anche una rootkit,

non fa aprire determinate pagine internet, non fa eseguire utility specifiche, non apre regedit.

eccetera.

Fai girare anche il Rescue Disk del Kaspersky e dimmi qual'è il file rilevato da Prevx CSI

[el_marchet]

ok, ormai ci sentiamo stasera perche' ora devo andare via.

cmq grazie!

[breaker27]

Allora ho seguito la tua discussione e da quanto ho capito hai il computer bloccato nel senso che non puoi rimuovere niente. Girando su internet ho trovato uno script che permette l'accesso al registro di sistema, basta che ci clicchi e riavvii il pc. Per quanto riguarda il virus hai detto che si trova nella cartella dei file temporanei quindi protresti utilizzare ATF Cleaner efficace programma che elimina i file temporanei di windows & altro. Quindi ricapitolando la situazione:

1) Clicca due volte sullo script in formato .vbs che ti allegherò. In caso comparisse qualche finestra clicca su SI.

2) Riavvia il pc e disabilita il ripristino configurazione del sistema seguendo questa guida:

Quote:

su Windows Xp: info microsoft
Click destro sull’icona Risorse del Computer sul desktop (oppure fai clic su Start → Impostazioni → Pannello di controllo → Sistema) → Ripristino configurazione di sistema → Seleziona "Disattiva Ripristino configurazione di sistema" oppure "Disattiva Ripristino configurazione di sistema su tutte le unità" → Fare clic su Applica → Conferma alla richiesta di eliminazione di tutti i punti di ripristino → verifica che tutti i dichi/partizioni mostrino "disattivata" nella colonna stato

in caso di problemi leggi più sotto

su Windows Vista: info microsoft
Pannello di controllo → Sistema Oppure click destro sull’icona Computer sul desktop
→ Protezione sistema → togli le spunte da tutti i dischi → Click su Disattiva ripristino configurazione di sistema

3) Disattivato il ripristino, lancia il programma ATF Cleaner del quale trovi il link e la guida all'utilizzo su questo sito: http://www.hwupgrade.it/forum/showpo...21&postcount=2

4) A questo punto puoi iniziare la scansione con i programmi usati da te precedentemente.

Se seguirai questa guida fammi sapere come è andata. Ciaooo

[Chill-Out]

Prima di lanciare Script trovati in Rete, fai girare il Kaspersky Rescue Disk e come già detto indica ciò che segnala Prevx CSI unica traccia disponibile sulla quale ragionare, senza tralasciare i possibili problemi alla MoBo

[el_marchet]

nuula, non trova nulla con nessuno dei 2 rescuedisk, pero' almeno quando scansionavano non si e' messo a suonare in modalita' ambulanza.

non funziona neanche il file vbs che mi ha dato breaker27, non da' nessun effetto.

l'unica cosa che posso dire e' cio' che rileva PrevXCsi:

2 voci:

1) \registry\machine\software\Microsoft\WindowsNt\CurrentVersion\Drivers32
da' Infected Entry: [AUX}

2) c:\doc and set\clientpiii\impostazioni locali\temp\...\cbqrj.wqg da' High Risk Cloacked Malware.

tutto cio' che vi posso dire e' questo.

[Chill-Out]

Non riesci a scaricare nessuno dei tool indicati in Guida? http://www.hwupgrade.it/forum/showthread.php?t=1599737

[breaker27]

Una soluzione c'è: creare una mini distro come BartPe bootable per poi esplorare il registro di windows, cancellare quell'entry infetta e svuotare la cartella dei file temporanei.

[el_marchet]

appena svuoto la cartella dei temporanei, il file cbqrj.wqg si ricrea dopo 1 secondo circa, compare proprio dal nulla.

nessuna utility mi gira Chillout.

come si fa a creare quel cd di Boot con BartPe e ad esplorare il registry?