|
|||||||
|
|
|
 |
|
|
Strumenti |
09-05-2011, 17:23
|
#1 |
|
Member
Iscritto dal: Mar 2007
Città: Catania
Messaggi: 177
|
Rootkit e pc che va in crash all'avvio
Salve ragazzi mi auguro possiate darmi una mano, ho il pc della mia ragazza in balia di malware(rootkit e non so che) con l'aggravante che combofix manda il pc in crash, idem gmer.
Un mese fa abbiamo beccato un virus da megavideo che si presentava sottoforma di falso antivirus che faceva una falsa scansione...ho tolto il tutto con malwarebyte e combofix. Sembrava che tutto fosse tornato alla normalità ed invece all'avvio lo schermo appariva a volte nero e spuntavano virus. <ho quindi cercato in questo forum, ed ho visto che sta girando un rootkit che colpisce il master boot record. <ho seguito i passaggi indicati den post dedicato a questo rootkit ed ho eliminato un paio di cose. Adesso ho dei problemi ... A)Non riesco più ad accedere a windows, perchè nel momento in cui appare il controllo utente con password il pc va in crash ed appare la schermara blu....posso operare quindi soltanto da modalità provvisoioria con rete. B)ho notato che adesso se lancio prevx mi dice che un certo file CLEANUP non ha la licenza e devo attivarla....se clicco non appare nulla ma continua ad apparire il messaggio di CLEANUP. C) Ho eliminato tantissime volte PREVX ma riappare sempre, idem malwarebytes e temo che siano questi ad andare in conflitto all'avvio di windows e mandare il prc in crash...nella mod provvisoria non accade. Ho tentato diverse strade per eliminarli ma nulla. Adesso sono riuscito a terminare la scansione con GMER e mi ha evidenxiato in rosso questi valori.. ho windows vista basic questo è il log di gmer ecco il link da cui scaricarlo Edit i valori infetti sono questi nel frattempo vediamo se riesco ad avviare combofix grazie Ultima modifica di Chill-Out : 09-05-2011 alle 22:55. Motivo: Editato link |
|
|
|
09-05-2011, 22:56
|
#2 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Modalità di pubblicazione dei log:
Ogni singolo log, esclusivamente in formato .txt deve essere hostato su uno dei server remoti elencati nelle Regole di sezione.
__________________
Try again and you will be luckier.
|
|
|
|
|
10-05-2011, 10:56
|
#3 |
|
Member
Iscritto dal: Mar 2007
Città: Catania
Messaggi: 177
|
scusate se ho sbagliato ad inserire.
qui ho messo nuovamente il log di logmain. Combofix mi richiede i permessi d'amministratore  non mi era mai capitato prima di questi giorni... http://www.filedropper.com/gmer |
|
|
|
|
10-05-2011, 11:14
|
#4 | ||
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
Quote:
__________________
Try again and you will be luckier.
|
||
|
|
|
|
10-05-2011, 11:21
|
#5 |
|
Member
Iscritto dal: Mar 2007
Città: Catania
Messaggi: 177
|
quindi cosa devo fare?
come mai il pc va in crash quando si avvia'? come dovrei disinstallare totalmente prevx, ho tentato tantissime strade senza successo... Credo che qualcosa di infetto ci sia, sia gmer che comfix ed ora ho notato anche findkill vanno in crash 
|
|
|
|
|
10-05-2011, 11:30
|
#6 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
10-05-2011, 11:45
|
#7 |
|
Member
Iscritto dal: Mar 2007
Città: Catania
Messaggi: 177
|
grazie, leggo la guida, anche se comunque avevo già seguito tutti i passi.(rifaccio tutto da capo)
ho tentato di aprire il registro eventi ma non posso farlo in quanto se clicco nelle varie voci mi appare il seguente messaggio "impossibile aprire il registro eventi...verificare che il servizio registro eventi sia in esecuzione" ho tentato invece con il download di kaspersky ma un errore mi avverte che non può essere scaricato per via del computer infetto, quindi st aprocedendo a scaricare un utility di kaspersky, vediamo un pò... inizio a metter il link di hijachtis, ho notato che evidenzia un certo cleanup(che era quello che si avviava con prevx dicendomi di aggiornare....che sia sia infettato pure prevx? )http://www.filedropper.com/hijackthis_3 edit, CLEANUP, su virustotal è identificato come trojan Ultima modifica di peppe8219 : 10-05-2011 alle 11:48. |
|
|
|
|
10-05-2011, 17:20
|
#8 |
|
Member
Iscritto dal: Mar 2007
Città: Catania
Messaggi: 177
|
Dunque, ho eliminato qualsiasi voce di prevx(anche nel registro di sistema) ma al successivo riavvio qui file compaiono nuovamente in GMER e se tento di cancellarli da GMER non posso farlo.
in System32 non vi è traccia  ..ho reinstallato prevx ma quando faccio la scansione appare immediatamente questo avviso di CLEANUP che va a scaricare un file CLEANUP.exe che virustotal da come infetto..  a questo punto credo che quei file derivino da prevx ma sono infetti... non so come venirne a capo....kaspersky non si installa poichè mi avvisa che il sistema è infetto... |
|
|
|
|
10-05-2011, 18:08
|
#9 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
10-05-2011, 18:31
|
#10 |
|
Member
Iscritto dal: Mar 2007
Città: Catania
Messaggi: 177
|
non effetta nessuna scansione, poichè quando nego di acquistare la licenza a CLEANUP, si interrompe la scansione
Gmer intanto ha rilevato altro file,quello evidenziato ....io li ho disabilitati C:\Windows\System32\drivers\pxkbf.sys (*** hidden *** ) [DISABLED] pxkbf <-- ROOTKIT !!! Service C:\Windows\System32\drivers\pxrts.sys (*** hidden *** ) [DISABLED] pxrts <-- ROOTKIT !!! Service C:\Windows\System32\drivers\pxscan.sys (*** hidden *** ) [DISABLED] pxscan <-- ROOTKIT !!! Service System32\drivers\pxsec.sys (*** hidden *** ) [DISABLED] pxsec |
|
|
|
|
10-05-2011, 18:49
|
#11 |
|
Member
Iscritto dal: Mar 2007
Città: Catania
Messaggi: 177
|
<ho fatto scansione con malware e non mi ha trovato nulla
<con <free online virus scanner non ho avuto buona sorte, aveva trovato 9 spyware dopo di che la scansione si blocca e mi avvisa che non ho i requisiti d'amministratore validi  adesso la sto rifacendo... vediamo pure cosa mi da emsisoft |
|
|
|
|
10-05-2011, 19:40
|
#12 |
|
Member
Iscritto dal: May 2011
Città: Puglia
Messaggi: 35
|
Se proprio non ne vuole sapere, io proverei con una scansione dal boot, se hai la possibilità di masterizzare su cd una iso di Avira Rescue System, da un altro pc funzionante:
link
__________________
there's no place like 127.0.0.1 Xp/Seven/Ubuntu user live and let live... |
|
|
|
|
11-05-2011, 08:09
|
#13 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
11-05-2011, 09:31
|
#14 | ||
|
Member
Iscritto dal: Mar 2007
Città: Catania
Messaggi: 177
|
Quote:
Quote:
kaspersky non posso istallarlo perchè mi dice che ho il pc infetto. Inoltre se digito su google quei file, mi escono delle pagine(fra cui anche prevx )che mi avvertono che sono malware e causano instabilità del sistema(vedesi crash) NOn so più cosa fare..provo il suggerimento skbirkoff |
||
|
|
|
|
11-05-2011, 10:14
|
#15 | ||
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
Quote:
__________________
Try again and you will be luckier.
|
||
|
|
|
|
11-05-2011, 11:10
|
#16 |
|
Member
Iscritto dal: Mar 2007
Città: Catania
Messaggi: 177
|
Chill è così....
Ho prima disintallato manualmente poi reinstallato e tolto con l'utility rilasciata da prevx dopo di che non avendo risultati ho provato con un utility a pagamento per disinstallare il programma. Ho pure deselezionato prevx all'avvio del sistema ma riappare nuovamente... Ps sto facendo scansione da live cd dopo di che vedo di formattare. Volevo delle info. Per passare da windovs vista ad Xp sono semplici i passaggi od è complicato? come fare un backuo online? |
|
|
|
|
11-05-2011, 14:00
|
#17 |
|
Member
Iscritto dal: May 2011
Città: Puglia
Messaggi: 35
|
Scusa ma se hai già deciso di formattare (addirittura!), che la fai a fare la scansione?
 La formattazione è solo per casi estremi, io ci penserei su prima di fare sto passo, poi cmq la decisione è tua.
__________________
there's no place like 127.0.0.1 Xp/Seven/Ubuntu user live and let live... |
|
|
|
|
11-05-2011, 15:42
|
#18 | |
|
Member
Iscritto dal: Mar 2007
Città: Catania
Messaggi: 177
|
Quote:
Ma non so come fare... Kaspersky rescue non mi ha rilevato nulla, adesso ho avira rescue system sul portatile e mi ha devidenziato 11 avvisi, ma di File sospetti o Rilevamenti zero... A prposito Ho messo prevx in un altro computer e fatto scansione con Log main.... Bene, non mi ha segnato nessuno di quei file che invece sul portatile infetto mi rileva in rosso....cosa significa questo? per quanto riguarda la schermata BLU ho disattivato il comando che fa riavviare il pc in caso d'errore, ed ho quindi visualizzato quantos critto...di errori non se ne parla...solo alla fine c'erano scritti dei numeri... |
|
|
|
|
|
11-05-2011, 20:49
|
#19 |
|
Member
Iscritto dal: Mar 2007
Città: Catania
Messaggi: 177
|
questo è l'errore che appare all'avvio di windows..
appare solo un codice alfa numerico senza specificare altro ***stop : 0x0000008E (0xc0000005, 0x8223E157, 0X8C06E91C, 0X00000000) |
|
|
|
|
12-05-2011, 14:33
|
#20 |
|
Member
Iscritto dal: May 2011
Città: Puglia
Messaggi: 35
|
Mah mi pare abbastanza incasinata sta situazione, magari prova con un ripristino di sistema dal prompt dei comandi, scegliendo un giorno tra quelli disponibili in cui sei sicuro che il pc funzionava. Qui è spiegato come fare: link
(nota: %systemroot% è in genere c:\windows)
__________________
there's no place like 127.0.0.1 Xp/Seven/Ubuntu user live and let live... Ultima modifica di skbirkoff : 12-05-2011 alle 14:37. Motivo: aggiunta nota |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 19:33.
