Virus fantasma o PC posseduto?

[Mr0range]

Premessa: Ho un AMD 5200+ su ASROCK ALiveNF7G-HDready (video e audio integrato), come SO uso winXP, antivir: NOD32, firewall: Sygate personal firewall.

Tutto è iniziato 2 giorni fa...
Navigavo tranquillamente su internet, e ad un certo punto il pc si è riavviato da solo (non per cali di tensione, blocchi, ecc... ha effettuato la chiusura di win normalmente e si è riavviato, come se avessi cliccato sul tasto RIAVVIA).
Da allora ogni 10 min l'icona del firewall lampeggia e mi da il log:

Unsolicited incoming ARP replay detected, this is a kind of MAC spoofing that may consequently do harm to your computer.

L'attacco dovrebbe provenire dal mio router, ma escludo problemi in LAN perchè sono io ad usare tutti i pc in rete, ed escludo problemi al router perchè il portatile con la stessa config software nn presenta questi log.
Da quello che ho capito leggendo le guide online del firewall, la questione dei 10 min dovrebbe dipendere dalle impostazioni di sygate, che quando rileva un attacco del genere blocca il traffico verso quell'ip per 10 min di default (però non ho capito cosa blocca, poichè l'attacco viene dal mio rotuer, se bloccasse il traffico non potrei navigare, giusto?)

Alcune settimane fa si era presentata una situazione simile (pc che si riavvia da solo e log che imperversano subito dopo...) ma con l'aggravante di una fastidiosa schermata blu. Al tempo avevo chiesto aiuto qui e si era risolto il problema formattando e installando driver aggiornati.

Temendo un problema di virus/trojan/backdoor e simili ho già provato a caricare l'immagine di sistema (pulitissima) salvata 2 settimane fa, ma il problema persiste.
Ho controllato i traffic log di sygate a pc appena acceso e senza programmi aperti per 10-15 min e gli unici file che hanno accesso a internet sono:
ntoskrnl.exe
ndisuio.sys

Qualcuno è in grado di spiegarmi cosa succede al mio pc?!?!?!

[xcdegasp]

putroppo Sygate è molto obsoleto el'ultima rilasciata era comunque buggata (possedeva dei bug) di conseguenza forse èil caso che cambi firewall magari considerando OnlineArmor o Comodo-Firewall restando tra i free..

per quanto riguarda il fenomeno che stai vivendo è evidente che ci sia un anomalia ossiaun pc che lavora in maniera poco corretta

la prima cosadafare è procedere per gradi, quindi si depura/controlla un pc per poi passare agli altri percui:
1) spegni tutti i pc tranne router e quello che segnalava l'evento arp, questo lo chiameremo PC1
2) segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti
magari fai le scansioni che non richiedono connessione tranne per l'ultima che serve.
3) constato che il pc èinfetto lo si purifica e si innalza la protezione / constato che ilpc èpulito lo si lascia acceso e si prosegue con il pc più vicino (lo chiameremo PC2)
4) si esegue sul PC2 le stesse scansioni del PC1
5) e via così

appena rilevi novamente l'attacco arp ti fermi e analizziamo con estrema attenzione questo pcche abbiamo aceso per ultimo essendo la possibile causa

[Mr0range]

Poichè gli "attacchi" sono praticamente continui e avvengono indipendentemente dal numero di pc connessi alla rete (quindi anche nel caso in cui il PC1 sia l'unico connesso alla rete), non penso che servano scansioni sugli altri pc.

Ora che mi ci hai fatto pensare ho rifatto una scansione con hijackthis e in effetti un paio di voci strane sono rimaste anche dopo il ripristino dell'immagine di sistema con acronis...ma come è possibile? quando carico un'immagine non dovrebbe ridarmi il sistema così com'era stato salvato?

Cmq inizio a fare un pò di scansioni e poi vedo di postare i log...

[xcdegasp]

io fossi in te controllerei tutti i pcinquanto si diffondono proprio vi lan

[Mr0range]

Ho fatto uno scan di tutto l'HDD con F-secure ed eccetto qualche cookie non ha trovato nulla di grave.

PrevxCSI invece mi segnala questo problema:

ROOTKIT-\\.\PhysicalDrive0\MBR - [512] >> Hidden Disk Sectors


Mentre su Hijackthis le voci sospette sono queste:

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll


Per ora proseguo con gli altri scan della guida, se servono i log completi delle scansioni, li ho salvati quindi basta chiedere.


*Ho appena fatto una scansione con PrevxCSI sull'altro pc in rete e nn viene rilevato alcun problema.

[Mr0range]

Cercando su hw il log di PrevxCSI, ho trovato questo thread e direi senza ombra di dubbio che la mia infezione è questa.
Come descritto nel suddetto thread può esserci un reboot automatico del sistema (come è successo a me). Inoltre poichè l'infezione si trova nel master boot record, si spiega anche perchè ripristinando il sistema con il precedente backup, l'infezione non viene eliminata.

[Mr0range]

Ok ho ripulito l'MBR come descritto nella guida, ho anche effettuato le scansioni di controllo con PrevxCSI, Gmer e Dr.Webe non segnalano alcun problema. Anche il firewall ha smesso di rompere le scatole.

Però sono rimaste le strane voci su hijackthis:

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll

(anche dopo il solito backup con acronis...mah )

Cmq per il resto mi sembra sia tutto ok, quindi me sa che posso stare tranquillo...

Sarei curioso di sapere un paio di cose però:

1) Come ci si può difendere da questo tipo di attacchi?
Credo che anche 2 settimane fa il problema fosse lo stesso, solo che con i driver vecchi il pc andava in crash (e il problema si è risolto con la formattazione che ha ricreato l'MBR corretto). Quindi suppongo che al momento sia un'infezione facile da beccarsi.

2) Quali sono i rischi che comporta questo tipo di infezioni? Perdita di dati? Si rubano user e pss dei miei account? Usano il mio ip per fare qualche ca....ata?

[wjmat]

sarebbe meglio che tu caricassi tutti i log secondo le modalità

per evitare di reinfettarti guarda qui
http://www.hwupgrade.it/forum/showthread.php?t=1691346

poi utilizzare firefox blindato come trovi nel trattamento che ho in firma

[Mr0range]

I log mi sa che nn li ho +, perchè dopo aver effettuato tutti i controlli su tutte le partizioni con tutti i programmi consigliati ho ricaricato il backup di sistema che avevo salvato...(e mi sembra che i log li avevo salvati tutti sul desk)...


Per il browser, potrei provare anche se per questioni di lavoro non posso assultamente fare a meno di usare Iexp.

[wjmat]

allora installa almeno peerguardian con la lista dei siti da bloccare di hu

[Chill-Out]

Quote:

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll

dovrebbero essere relativi a NVIDIA