PC infetto da Rootkit, non riesco a toglierlo! HELP!

[bassplayer84]

Ciao a tutti,

ho un pc di un amico in cui penso si sia infilato un bel rootkit, difficile da rimuovere!

Ho fatto varie scansioni (anche smontando l HD del notebook ed analizzandolo in esterno da altri PC) con antivirus quali Avira, Panda, Avast. Al di la di varie infezioni rilevate e pulite, il pc si avvia con molta lentezza (un notebook HP di ultima generazione).

Utilizzando Combofix (che in certe situazioni davvero aveva risolto problemi che gli altri antivirus si sognavano, e letteralmente resuscitato PC che davo per persi e da formattare) rileva, nonostante tutte le scansioni fatte, presenza di rootkit e mi obbliga a riavvare la macchina per poterlo rimuovere.
Al riavvio riparte ComboFix ma dopo pochi secondi che inizia a fare le sue cose per rimuovere il rootkit rilevato, la macchina fa schermata blu!!!

Allego il report di Hijackthis, spero riusciate a darmi una mano per disinfettare questo portatile, non ho proprio voglia di gettare la spugna e formattare!

Mattia


PS: un grosso problema che ha il pc è che la scheda di rete non va, nonostante il cavo sia collegato non lo sente come se fosse disabilitata! Se provo a disattivare/attivare la periferica da gestione dispositivi di XP, la schermata si pianta! Con il wireless naviga, anche se mooolto a rilento! E il download degli aggiornamenti di vari antivirus installati non riesce mai ad andare a buon fine!

[Chill-Out]

Di tutte le scansioni effettuate, alleghi il log di HJT che è sicuramente quello meno indicativo in funzione del problema descritto.

Quindi se desideri il solo controllo del log di HJT esiste un 3D dedicato, altrimenti segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

[bassplayer84]

Quote:

Originariamente inviato da Chill-Out

Di tutte le scansioni effettuate, alleghi il log di HJT che è sicuramente quello meno indicativo in funzione del problema descritto.

Quindi se desideri il solo controllo del log di HJT esiste un 3D dedicato, altrimenti segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

Purtroppo CombiFix non mi arriva a fare nessun log, dato che quando identifica il rootkit mi obbliga al riavvio, e quando inizia a lavorare poi mi arriva la schermata blu!
Al di la del topic che devo ordinare e sistemare, mi consigli intanto di provare la strada indicata nella guida per disinfettare i rootkit?
O potrebbe essere 1 altro problema il mio e quindi sbaglio strada?

[Chill-Out]

Quote:

Originariamente inviato da bassplayer84

Purtroppo CombiFix non mi arriva a fare nessun log, dato che quando identifica il rootkit mi obbliga al riavvio, e quando inizia a lavorare poi mi arriva la schermata blu!
Al di la del topic che devo ordinare e sistemare, mi consigli intanto di provare la strada indicata nella guida per disinfettare i rootkit?
O potrebbe essere 1 altro problema il mio e quindi sbaglio strada?

Come indicato io seguire la Guida alla disinfezione per fare una ricerca ad ampio spettro.

[bassplayer84]

Quote:

Originariamente inviato da Chill-Out

Come indicato io seguire la Guida alla disinfezione per fare una ricerca ad ampio spettro.

Ok!
Cmq con i programmi per pulire i rootkit e gli mbr torna la schermata blu, presumo sia qualcosa davvero innestato nel mbr a sto punto

[Chill-Out]

Quote:

Originariamente inviato da bassplayer84

Ok!
Cmq con i programmi per pulire i rootkit e gli mbr torna la schermata blu, presumo sia qualcosa davvero innestato nel mbr a sto punto

Sono solo gli utimi due tool sono prettamente dedicati alla rilevazione/rimozione di eventuali rootkit.

[bassplayer84]

Anche quando avvio CureIt il pc si riavvia...

consigli?

[Chill-Out]

Quote:

Originariamente inviato da bassplayer84

Anche quando avvio CureIt il pc si riavvia...

consigli?

Il primo tool della guia e MBAM

[bassplayer84]

Quote:

Originariamente inviato da Chill-Out

Il primo tool della guia e MBAM

Ho grossi problemi ad accedere ad internet, con la porta Ethernet non mi vede il cavo inserito, se provo a attivare/disattivare la scheda mi si pianta tutto! COn il wifi navigo a stento, e il download degli aggiornamenti è penosamente lento e si pianta ogni 2 sec...

che faccio?

[bassplayer84]

UPDATE


Aggiornamento eseguito con MBAM ma non ha trovato nulla in scansione...

[Chill-Out]

Soluzione 1:

Come fatto in precedenza trasferisci l'HDD su un PC sano

Soluzione 2:

http://www.hwupgrade.it/forum/showthread.php?t=1816182 -> cliccando sul tool d'interesse, vedi alla voce portabilità

Soluzione 3:

http://www.hwupgrade.it/forum/showthread.php?t=1689812

[bassplayer84]

Quote:

Originariamente inviato da Chill-Out

Soluzione 1:

Come fatto in precedenza trasferisci l'HDD su un PC sano

Soluzione 2:

http://www.hwupgrade.it/forum/showthread.php?t=1816182 -> cliccando sul tool d'interesse, vedi alla voce portabilità

Soluzione 3:

http://www.hwupgrade.it/forum/showthread.php?t=1689812

Sto continuando la lotta, ho provato con tutti i metodi, con tutti gli antivirus e scansioni in esterno... ma non si risolve... l 'unico è Combofix che rileva attività di rootkit, forza il riavvio della macchina per disinfettare e ripartire, ma al suo restart e al tentativo di rimozione parte la BSOD.

Mi è arrivato 1 altro pc in ufficio con problema simile... cavo di rete collegato, non sente nulla (come se il cavo non fosse inserito).
Apro la scheda connessioni di rete, e l 'icona della LAN alterna "cavo di rete scollegato" e "abilita" a raffica, senza poter intervenire.

E come se non bastasse il mio pc dell' ufficio, quello da cui avevo scaricato i programmi indicati nelle varie guide, tutto di un tratto dalle 17 di oggi mi ha chiuso tutte le connessioni di rete in maniera improvvisa, idem outlook con la cartella di exchange, riavviato varie volte il pc ma la connessione di rete non riesce a contattare il DNS di rete, e quindi a livello di risorse di rete vede solo se stesso (il pc è in dominio, tutti gli altri pc invece dell ufficio vanno benissimo).
Se lascio gli IP da ottenere in automatico dal DHCP, mi resta la schermata di acquisizione indirizzo ip per lungo tempo, dopo di che non riesce ad ottenerlo ovviamente, e mi va in connessione limitata o assente.
Se lascio gli IP forzati, mi si aggancia alla LAN, ma sono isolato da tutto (no unità di rete, outlook non si aggancia ad exchange, no internet, non vedo altri pc all'interno del dominio).
Se tolgo il pc dal dominio e provo a rimetterlo, non riesce a contattare il controller di dominio (quindi non risolve il dns?).
Se pingo se stesso il segnale arriva, se pingo router o server non arriva nulla. Idem da altri pc non riesco a pingare il mio..
Ma che diavolo sta succedendo?

Internet e navigazione sono KO, nel visualizzatore eventi mi da problemi di risoluzione DNS...e tutto sto crash presumo dipenda da qualcosa che mi sono preso dai portatili infetti?


che casino...

[Chill-Out]

http://www.hwupgrade.it/forum/showpo...1&postcount=11

quale/i delle 3 soluzioni hai messo in pratica?

[bassplayer84]

Quote:

Originariamente inviato da Chill-Out

http://www.hwupgrade.it/forum/showpo...1&postcount=11

quale/i delle 3 soluzioni hai messo in pratica?

Allora avevo prima di tutto analizzato il disco in esterno, collegato al mio PC (quello che ieri ha dato di matto poi).
Poi una volta rimontato all'interno del portatile, solo combofix mi rilevava attività di rootkit, ma quando provava a rimuoverla arrivava puntuale la BSOD.
QUesta capitava anche quando lanciavo Gmer o StealthMBR.

Il mio pc dell'ufficio stamattina è partito misteriosamente e direi anche miracolosamente. L ho dovuto rimuovere e reinserire di nuovo all'interno del dominio (non mi loggava, non so perchè) ma ora sembra tutto ok. Ho fatto il giro con i programmi elencati nella guida, e a parte 1 paio di piccolezze non sembra aver rimasto nulla nel groppone (davvero non ci ho capito bene cosa era successo).

Ora sto analizzando il disco del portatile incriminato di rootkit in esterno di nuovo con tutti i programmini e nel loro esatto ordine, indicato nella guida... vediamo che succede...

PS: ma è normale che tutti i pc che nonostante abbiano il cavo di rete collegato non sentono nulla, arrivino a me?^^

[bassplayer84]

Update

Avendo fatto il bkp dei dati, ho provato a formattare e si presenta sempre lo stesso problema!
Ma la cosa si fa interessante!
Al primo avvio vedevo 2 schede di rete (ne ho solo 1 una Marvell), e Gmer aveva sentito presenza di rootkit. Provando a rimuoverlo windows si era impallato, al riavvio c'era solo 1 scheda di rete e gmer non trovava + il rootkit, ma si sono ripresentati gli stessi sintomi che il pc aveva prima di formattarlo!

Aveva rilevato presenza di rootkit nel file findstr.exe nella directory c/windows/system32, descrizione Hidden Process.


Devo formattare a basso livello?

[wjmat]

carica il log di gmer

[bassplayer84]

Quote:

Originariamente inviato da wjmat

carica il log di gmer

Gmer non rilevava nulla... ma ormai ho formattato a basso livello...

[wjmat]

aveva sentito solo la presenza del rootkit lo chiami nulla?

[bassplayer84]

Quote:

Originariamente inviato da wjmat

aveva sentito solo la presenza del rootkit lo chiami nulla?

Lo aveva sentito dopo al format normale, quando il pc era in condizione iniziale solo Combofix lo rilevava, ma quando provava a levarlo arrivava la BSOD.

[wjmat]

Quote:

Originariamente inviato da bassplayer84

Lo aveva sentito dopo al format normale, quando il pc era in condizione iniziale solo Combofix lo rilevava, ma quando provava a levarlo arrivava la BSOD.

gmer meglio non usarlo per rimuovere, a volte i danni sono anche peggiori