Windows XP - Combofix mi rileva rootkit

Raziel86 · 02-02-2011, 16:10

Salve a tutti i membri e allo Staff,

giungo qui nella speranza che qualcuno mi possa aiutare a capirci qualcosa.

Qualche giorno fa avevo il pc estremamente lento. Del tipo che mentre guardavo un film il disco cominciava a scrivere tanto da bloccarmi tutto il pc e si ristabiliva dopo circa 30-1 minuto di intensa scrittura.
Task manager: pulito.
Processo che scriveva: inesistente (le colonne dei byte letti/scritti aumentavano di pochi byte.

La cosa si è ripetuta nei giorni seguenti alchè ho provato vari tool:

Provo Malwarebyte's Antimalware: Log candido.
Provo GMER: Log pulito
Provo Norton Antivirus (versione di 30 giorni): Nessuna minaccia
Provo Norton Power Eraser: Nessuna minaccia
Provo HijackThis: Nulla.
Provo Prevx: scansione pulita.
Ultima spiaggia, lancio Combofix: Rootkit! Combofix ha rilevato la presenza di rootkit. Necessario riavviare il computer.

Riavvio, scansiono: il log mi sembra pulito. Lo allego:

Codice:

http://www.mediafire.com/file/a31038fwqc8bn4i/ComboFix.txt

Alchè convinto di aver risolto, ricomincio a fare il mio solito ma il pc ha comunque queste pause di scrittura.
Formatto...
Rilanciando Combofix il rootkit non è più presente. Alchè ricopio tutto come prima, e mi sistemo la macchina.
Riavvio e rilancio per un ulteriore controllo Combofix: rootkit ancora presente.

Allora provo queste cose:

Eliminate tutte le partizioni (sia con GParted che con Windows)
Formattazione a basso livello
HD esterno con i dati "probabilmente infetti" non collegato.
Combofix riscaricato ogni volta.
Aggiungo inoltre che ho installato una macchina virtuale con stesso cd di Windows (che uso da anni ormai) e l'ho portata alle stesse condizioni della mia macchina reale (aggiornamenti di Windows, dati, etc etc) ma su questa Combofix non ha avuto niente da obiettare.

Dopo 11 formattazioni nel giro di 2 giorni (

) per provare tutte le combinazioni possibili, noto che il rootkit viene rilevato (sempre e solo da Combofix) solo dopo l'aggiornamento di Windows KB2115168.

Segnalo (che forse può essere utile):
Da quando ho preso questo "rootkit", ad ogni formattazione il sistema mi rileva il lettore di memory card dicendomi: disco rimovibile.
Ovviamente non ho nessuna memory card inserita e quando cerco di entrarci mi dice appunto che non c'è niente.
La cosa strana è che non mi è mai uscita prima. E non sono certo alla prima formattazione sul mio notebook xD

PS: I driver del lettore di memory card non ci sono e dubito siano nativi di XP.

Penso di aver detto tutto. Se vi serve qualche log particolare, chiedete pure.

**Chill-Out** · 03-02-2011, 10:57

Quote:

Originariamente inviato da Raziel86

Penso di aver detto tutto. Se vi serve qualche log particolare, chiedete pure.

Il log di Combofix che rileva questo presunto Rootkit

02-02-2011, 16:10	#1
Raziel86 Junior Member Iscritto dal: Aug 2007 Messaggi: 9	Windows XP - Combofix mi rileva rootkit Salve a tutti i membri e allo Staff, giungo qui nella speranza che qualcuno mi possa aiutare a capirci qualcosa. Qualche giorno fa avevo il pc estremamente lento. Del tipo che mentre guardavo un film il disco cominciava a scrivere tanto da bloccarmi tutto il pc e si ristabiliva dopo circa 30-1 minuto di intensa scrittura. Task manager: pulito. Processo che scriveva: inesistente (le colonne dei byte letti/scritti aumentavano di pochi byte. La cosa si è ripetuta nei giorni seguenti alchè ho provato vari tool: Provo Malwarebyte's Antimalware: Log candido. Provo GMER: Log pulito Provo Norton Antivirus (versione di 30 giorni): Nessuna minaccia Provo Norton Power Eraser: Nessuna minaccia Provo HijackThis: Nulla. Provo Prevx: scansione pulita. Ultima spiaggia, lancio Combofix: Rootkit! Combofix ha rilevato la presenza di rootkit. Necessario riavviare il computer. Riavvio, scansiono: il log mi sembra pulito. Lo allego: Codice: http://www.mediafire.com/file/a31038fwqc8bn4i/ComboFix.txt Alchè convinto di aver risolto, ricomincio a fare il mio solito ma il pc ha comunque queste pause di scrittura. Formatto... Rilanciando Combofix il rootkit non è più presente. Alchè ricopio tutto come prima, e mi sistemo la macchina. Riavvio e rilancio per un ulteriore controllo Combofix: rootkit ancora presente. Allora provo queste cose: Eliminate tutte le partizioni (sia con GParted che con Windows) Formattazione a basso livello HD esterno con i dati "probabilmente infetti" non collegato. Combofix riscaricato ogni volta. Aggiungo inoltre che ho installato una macchina virtuale con stesso cd di Windows (che uso da anni ormai) e l'ho portata alle stesse condizioni della mia macchina reale (aggiornamenti di Windows, dati, etc etc) ma su questa Combofix non ha avuto niente da obiettare. Dopo 11 formattazioni nel giro di 2 giorni () per provare tutte le combinazioni possibili, noto che il rootkit viene rilevato (sempre e solo da Combofix) solo dopo l'aggiornamento di Windows KB2115168. Segnalo (che forse può essere utile): Da quando ho preso questo "rootkit", ad ogni formattazione il sistema mi rileva il lettore di memory card dicendomi: disco rimovibile. Ovviamente non ho nessuna memory card inserita e quando cerco di entrarci mi dice appunto che non c'è niente. La cosa strana è che non mi è mai uscita prima. E non sono certo alla prima formattazione sul mio notebook xD PS: I driver del lettore di memory card non ci sono e dubito siano nativi di XP. Penso di aver detto tutto. Se vi serve qualche log particolare, chiedete pure. Ultima modifica di Raziel86 : 02-02-2011 alle 16:14.

Strumenti
Mostra una versione stampabile Invia questa pagina per email