Rootkit.Gen

[paolo8989]

Mercoledì, mentre navigavo con il portatile (usando Firefox) Antivir mi ha segnalato la rilevazione di TR\Rootkit.Gen; contemporaneamente si sono aperte due applicazioni nella barra, con scritto "updating" se non ricordo male, e nel frattempo dei processi con nomi tipo A1.tmp, A6.tmp
ad antivir ho chiesto di eliminare, ma i processi sono andati avanti e dopo qualche minuto, mentre tentavo di chiuderli con il task manager, il pc si pè riavviato.

Mi hanno consigliato di usare gmer, io comunque sto seguendo la guida alla disinfestazione che ho trovato qui; le scansioni con malwarebytes, a-squared e f-secure (quest'ultima è durata molto meno del previsto, scansionando molti meno files di quanto mi aspettavo) hanno rilevato alcuni trojan e cookie sparsi, sto provando a postare i log ma mi si è già piantato una volta.

log di malwarebytes: mbam-log-2009-11-26 (22-55-42).txt (è la rapida, la completa aveva trovato le stesse cose ma si era piantata prima di eliminare e salvare il log)
log di a-squared: a2scan_091126-235806.txt
a2scan_091126-235806.txt_2.txt
log di F-Secure : F-Secure log 01.txt
log di Cure-It : non va :S
log di Eset Sysinspector: SysInspector-PAOLO-HPDV-091127-1651.xml
log di HijackThis: hijackthis.log
log di gmer: gmer_01.log

Nel frattempo il pc è abbastanza instabile, si è bloccato più volte, l'ultima delle quali mentre cercavo di leggere la lista delle rilevazioni di Antivir.

Ho scaricato Cure-It, ma appena lo lancio il computer si riavvia di botto, sia in normale che in safe mode.
Sono andato avanti, alla fine prevX ha rilevato un rootkit MBR, ha riavviato per rimuoverlo, ma ora il pc non va più oltre la schermata del bios (posso scegliere il boot device premendo F9, ma se scelgo l'HD resta in schermo nero.
La console di ripristino non riesce ad eseguire fixboot, "vede" solo C: (ma il disco conteneva anche la partizione di ripristino HP e la partizione, che XP vedeva come G:, su cui era installato XP), quindi non ho fatto fixmbr per paura di perdere tutti i dati (ho backuppato solo l'essenziale). Attendo consigli, domani mattina proverei a bootare da CD con Knoppix per backuppare il resto se riesco

[xcdegasp]

bene ho analizzato i log ma non hai fatto all'inzio la pulizia tramite Atf-Cleaner, per questo motivo ho l'incertezza anche che tu abbia impostato i dns consigliati nella procedura di disinfezione..

puoi fare la pulizia con quel programma e impostare i dns?

[paolo8989]

ho fatto entrambe le cose, ho scordato di scriverlo esplicitamente, comunque ho seguito la guida punto per punto fino a cure-it

[xcdegasp]

ok bene, proviamo a proseguire quindi salta cureIT per il momento

[paolo8989]

aggiunto log di eset sysinspector

[paolo8989]

aggiunto log di HijackThis

[paolo8989]

aggiunto log di gmer (zero voci rosse)

[paolo8989]

prevx mi ha trovato un rootkit.MBR, ha riavviato per rimuoverlo, ma ora il pc è fermo da più di 5 minuti con schermo nero (un solo trattino intermittente in altro a sinistra) e ventola al massimo.
Dopo mezz'oretta ho spento, quindi ho riprovato più volte, ma non c'è verso di farlo bootare, una volta sparita la schermata del bios rimane sullo schermo nero.

ps: devo spostarmi nel thread del MBR rootkit o tengo questo?

[xcdegasp]

prova a cercare sul sito del produttore l'ultimo bios reperibile per il tuo pc così lo installi e vediamo se questo sblocca la situazione

[paolo8989]

come lo installo? bootando da CD?

(premetto che non l'ho ancora trovato :P)

[paolo8989]

ps: sicuro serva lavorare sul bios? forse mi sono spiegato male prima, la schermata iniziale appare (ho la possibilità di entrare in system information premendo F1, o di scegliere come bootare, ma si blocca subito dopo), mi sembra una situazione diversa da quella descritta qui [Guida] Ripristinare il BIOS

[wjmat]

la modalità provvisoria da lo stesso problema?

[paolo8989]

si blocca prima di poter scegliere

(su quel pc ho il dual boot vista/xp, ma non arriva nemmeno a quello schermo)

[wjmat]

la schermata del bios la vedi?

[paolo8989]

vedo la schermata iniziale HP, con in basso tutte le opzioni (ESC per visualizzare i dati principali del sistema, F1 per System information, ecc ecc compresa quella per il boot device order) poi se lo lascio andare, ovvero bootare da HD, non va avanti, resta con schermo nero con trattino lampeggiante

con il CD di winXP va oltre, ma (ovviamente) mi apre la schermata di setup o repair installation

[Chill-Out]

Quote:

Originariamente inviato da paolo8989

vedo la schermata iniziale HP, con in basso tutte le opzioni (ESC per visualizzare i dati principali del sistema, F1 per System information, ecc ecc compresa quella per il boot device order) poi se lo lascio andare, ovvero bootare da HD, non va avanti, resta con schermo nero con trattino lampeggiante

con il CD di winXP va oltre, ma (ovviamente) mi apre la schermata di setup o repair installation

* Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS
* Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY
* Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive
* A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows
* Premi F10 per confermare ed uscire
* Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
* Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
* Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, 1) X:\Windows quindi premere 1 e confermare con OK
* Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.
* Al prompt dei comandi digita FIXBOOT e clicca su Y per confermare
* Al prompt dei comandi digita FIXMBR e clicca su Y per confermare
* Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows

[paolo8989]

sarà fatto

ma come mi regolo per il dual boot?

[Chill-Out]

Quote:

Originariamente inviato da paolo8989

sarà fatto

ma come mi regolo per il dual boot?

Cosa c'è in dual?

[paolo8989]

vista e XP, io ripristinerei da XP, che è l'unico che uso e di cui ho il CD

ho installato XP dopo Vista (che era preinstallato), per fare il dual boot ho dovuto (se non sbaglio) scaricare il bootloader di Vista dopo l'installazione (eliminando temporaneamente l'accesso a XP) e poi configurare con EasyBCD

edit: a console di ripristino non riesce ad eseguire fixboot, inoltre diskpart "vede" solo C: (ma il disco conteneva anche la partizione di sistema HP e la partizione, che XP vedeva come G:, su cui era installato XP), quindi non ho fatto fixmbr per paura di perdere tutti i dati (ho backuppato solo l'essenziale). Attendo consigli, domani mattina proverei a bootare da CD con Knoppix per backuppare il resto se riesco

[wjmat]

il backup non è d'obbligo ma è una sicurezza in più
fai pure il fixmbr, per recuperare poi il bootloader di vista puoi usare questo
http://www.hwupgrade.it/forum/showpo...3&postcount=13