Rootkit? Con raid come procedo?

[poffarbacco]

Buona domenica a tutti
Ieri è stata inserita una memoria esterna usb nel mio pc che probabilmente aveva un virus in esecuzione automatica. Comodo antivirus mi ha segnalto l'autoexec che io ho bloccato e rimosso. Il pc è andato bene fino a che non l'ho spento. Stamattina all'accensione Windows 7 RC è partito caricando tutto, per poi bloccarsi dopo 3-4 secondi. Explorer sembra impallarsi, cliccando su start si apre il menù e rimane aperto bloccato. Cliccando sulle cartelle del desktop queste si selezionano ma rimangoino così, bloccate...

Se provo a far partire comodo, questo si blocca nel momento in cui cerca di aggiornarsi prima di far partire la scansione, stessa cosa con PrevX...

Ho provato a lanciare la connessione a internet e la scansione con PrevX in quei 3-4 secondi all'avvio quando tutto funziona, ed effettivamente la scansione parte ma poi puntualmente tutto si blocca, scansione compresa.

Aggiungo che il task manager non funziona, da msconfig non c'è niente di anomalo in avvio automatico...

La modalità provvisoria funziona, così come l'avvio ridotto. Sicuramente il "problema" viene quindi caricato all'avvio tra i servizi (anche se è nascosto visto che ho controllato tutte le voci in avvio e i servizi)

Ho provato a far partire il rescue cd di Avira ma non riconosce il raid0 su cui risiede l'installazione di Win7 RC.

Non so come procedere, mi date una mano?

[poffarbacco]

Edit:

Il task manager funziona...anche se è comparso parecchio tempo dopo aver premuto la combinazione di tasti...

Sembra che si apra un pò tutto dopo un'attesa di svariate decine di minuti. Appena però interagisco col pc questo si impalla nuovamente...

[wjmat]

Ciao

segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio), e secondo le regole di sezione

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi.

• Se il sistema dovesse essere molto compromesso, e non dovessi riuscire a seguire la guida, prova ad effettuare le prime 4 scansioni da modalità provvisoria, se non bastasse effettua prima una scansione con il rescue cd di Kaspersky o di Avira per fare una pulizia preliminare.
• In caso di continui riavvi, schermate blu, ecc.. stacca eventuali hardware nuovi, magari incompatibili e per escludere problemi con quelli già in uso fai un controllo del disco e della RAM
  
• Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nel bigino in firma guarda alla voce Portabilità di ogni programma, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente aggiornato sul pc infetto
  
• Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione
  
• Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
• Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

link caricamento log generici ► fileqube.com ■ wikisend.com
link caricamento immagini ► fileqube.com ■ picoodle.com ■ imageshack.us

[poffarbacco]

Mi serve qualcosa che funzioni da modalità provvisoria e che giri su Win7 x64 perchè altrimenti non riesco ad aprire niente...

[poffarbacco]

Ho fatto girare Kaspersky in modalità provvisoria ma non ha trovato niente...

[wjmat]

già vista x64 a volte è problematico... con 7 x64 i problemi non possono che aumentare in quanto a compatibilità

aggiornaci su quali dei software presenti in guida sono compatibili o meno con 7 x64

oltre a kaspersky, di cui vorremo deve il log sicuramente c'è prevx

[poffarbacco]

Quote:

Originariamente inviato da wjmat

già vista x64 a volte è problematico... con 7 x64 i problemi non possono che aumentare in quanto a compatibilità

aggiornaci su quali dei software presenti in guida sono compatibili o meno con 7 x64

oltre a kaspersky, di cui vorremo deve il log sicuramente c'è prevx

Kaspersky ha funzionato in modalità provvisoria ma non mi ha segnalato niente, riavviato normalmente sono riuscito ad avviare nei secondi iniziali di stabilità mbam che mi ha trovato il trojan maledetto, e poi eliminato.

Infine a sistema stabile ho fatto girare PrevX che mi ha trovato un'infezione di media gravità, poi eliminata manualmente.

Segnalo quindi il funzionamento dei tre programmi (anche se kaspersky è stato inefficace...)

[wjmat]

se ci carichi i log diamo un occhio, altrimenti procedi con il trattamento post

[poffarbacco]

Oggi all'accensione della webcam ho avuto un bsod e al successivo avvio il pc mi da lo stesso problema dell'altro giorno, cioè funziona perfettamente in modalità provvisoria ma se avvio normalmente dopo pochi secondi non risponde più niente ai comandi. Nei pochi secondi di stabilità all'avvio riesco ad aprire prevx che però si blocca durante la scansione (non sullo stesso file, si blocca nel momento in cui tutto il sistema si blocca), col timer della scansione che va avanti...

L'altra volta prevx riuscì a finire la scansione segnalandomi il malware, stavolta non riesco a individuare niente.

Aggiungo che in modalità provvisoria ho fatto girare sia il tool stand alone di kaspersky sia a-squared e per loro il sistema è pulito.

Nei secondi iniziali di stabilità sono riuscito a salvare un log di hijackthis: hijackthis.log

Che faccio?

[poffarbacco]

Io proprio non capisco...dopo vari riavvii e reset con pc bloccato nel tentativo di capirci qualcosa, faccio partire PrevX che questa volta arriva fino in fondo ma NON trovando niente. Ora il pc pare perfettamente funzionante e tornato "in se"...

Magari è solo qualche problema di Windows 7 RC...

L'unica cosa che ho notato è che prima di aprire PrevX per la scansione andata a buon fine, è crashato Comodo Internet Firewall...

Per il resto rimane un mistero

[xcdegasp]

prova a usare Avira Rescue Disk: http://www.hwupgrade.it/forum/showthread.php?t=1689812

lo avvii prima di avviare il pc e spesso rimuove oggetti impossibili da rimuovere altrimenti

[poffarbacco]

Quote:

Originariamente inviato da xcdegasp

prova a usare Avira Rescue Disk: http://www.hwupgrade.it/forum/showthread.php?t=1689812

lo avvii prima di avviare il pc e spesso rimuove oggetti impossibili da rimuovere altrimenti

Eeehm...

Quote:

Originariamente inviato da poffarbacco

Ho provato a far partire il rescue cd di Avira ma non riconosce il raid0 su cui risiede l'installazione di Win7 RC.

[xcdegasp]

Quote:

Originariamente inviato da poffarbacco

Eeehm...

non avevo visto, potresti provare quello di kaspersky

[wizard1993]

Quote:

Originariamente inviato da xcdegasp

non avevo visto, potresti provare quello di kaspersky

se non trovano i driver dubito ne parta anche solo uno

[poffarbacco]

Quote:

Originariamente inviato da wizard1993

se non trovano i driver dubito ne parta anche solo uno

Infatti, più che da loro dipende dalla distro linux.

Comunque per ora ho risolto, speriamo bene...