Rootkit? Con raid come procedo?

poffarbacco · 26-07-2009, 12:03

Buona domenica a tutti

Ieri è stata inserita una memoria esterna usb nel mio pc che probabilmente aveva un virus in esecuzione automatica. Comodo antivirus mi ha segnalto l'autoexec che io ho bloccato e rimosso. Il pc è andato bene fino a che non l'ho spento. Stamattina all'accensione Windows 7 RC è partito caricando tutto, per poi bloccarsi dopo 3-4 secondi. Explorer sembra impallarsi, cliccando su start si apre il menù e rimane aperto bloccato. Cliccando sulle cartelle del desktop queste si selezionano ma rimangoino così, bloccate...

Se provo a far partire comodo, questo si blocca nel momento in cui cerca di aggiornarsi prima di far partire la scansione, stessa cosa con PrevX...

Ho provato a lanciare la connessione a internet e la scansione con PrevX in quei 3-4 secondi all'avvio quando tutto funziona, ed effettivamente la scansione parte ma poi puntualmente tutto si blocca, scansione compresa.

Aggiungo che il task manager non funziona, da msconfig non c'è niente di anomalo in avvio automatico...

La modalità provvisoria funziona, così come l'avvio ridotto. Sicuramente il "problema" viene quindi caricato all'avvio tra i servizi (anche se è nascosto visto che ho controllato tutte le voci in avvio e i servizi)

Ho provato a far partire il rescue cd di Avira ma non riconosce il raid0 su cui risiede l'installazione di Win7 RC.

Non so come procedere, mi date una mano?

poffarbacco · 26-07-2009, 13:12

Edit:

Il task manager funziona...anche se è comparso parecchio tempo dopo aver premuto la combinazione di tasti...

Sembra che si apra un pò tutto dopo un'attesa di svariate decine di minuti. Appena però interagisco col pc questo si impalla nuovamente...

wjmat · 26-07-2009, 13:12

Ciao

segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio), e secondo le regole di sezione

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi.

Se il sistema dovesse essere molto compromesso, e non dovessi riuscire a seguire la guida, prova ad effettuare le prime 4 scansioni da modalità provvisoria, se non bastasse effettua prima una scansione con il rescue cd di Kaspersky o di Avira per fare una pulizia preliminare.
In caso di continui riavvi, schermate blu, ecc.. stacca eventuali hardware nuovi, magari incompatibili e per escludere problemi con quelli già in uso fai un controllo del disco e della RAM
Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nel bigino in firma guarda alla voce Portabilità di ogni programma, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente aggiornato sul pc infetto
Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione
Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

link caricamento log generici ► fileqube.com ■ wikisend.com
link caricamento immagini ► fileqube.com ■ picoodle.com ■ imageshack.us

poffarbacco · 26-07-2009, 14:06

Mi serve qualcosa che funzioni da modalità provvisoria e che giri su Win7 x64 perchè altrimenti non riesco ad aprire niente...

poffarbacco · 26-07-2009, 15:41

Ho fatto girare Kaspersky in modalità provvisoria ma non ha trovato niente...

wjmat · 26-07-2009, 15:58

già vista x64 a volte è problematico... con 7 x64 i problemi non possono che aumentare in quanto a compatibilità

aggiornaci su quali dei software presenti in guida sono compatibili o meno con 7 x64

oltre a kaspersky, di cui vorremo deve il log sicuramente c'è prevx

poffarbacco · 26-07-2009, 16:19

Quote:

Originariamente inviato da wjmat

già vista x64 a volte è problematico... con 7 x64 i problemi non possono che aumentare in quanto a compatibilità

aggiornaci su quali dei software presenti in guida sono compatibili o meno con 7 x64

oltre a kaspersky, di cui vorremo deve il log sicuramente c'è prevx

Kaspersky ha funzionato in modalità provvisoria ma non mi ha segnalato niente, riavviato normalmente sono riuscito ad avviare nei secondi iniziali di stabilità mbam che mi ha trovato il trojan maledetto, e poi eliminato.

Infine a sistema stabile ho fatto girare PrevX che mi ha trovato un'infezione di media gravità, poi eliminata manualmente.

Segnalo quindi il funzionamento dei tre programmi (anche se kaspersky è stato inefficace...)

wjmat · 26-07-2009, 17:20

se ci carichi i log diamo un occhio, altrimenti procedi con il trattamento post

poffarbacco · 01-08-2009, 17:56

Oggi all'accensione della webcam ho avuto un bsod e al successivo avvio il pc mi da lo stesso problema dell'altro giorno, cioè funziona perfettamente in modalità provvisoria ma se avvio normalmente dopo pochi secondi non risponde più niente ai comandi. Nei pochi secondi di stabilità all'avvio riesco ad aprire prevx che però si blocca durante la scansione (non sullo stesso file, si blocca nel momento in cui tutto il sistema si blocca), col timer della scansione che va avanti...

L'altra volta prevx riuscì a finire la scansione segnalandomi il malware, stavolta non riesco a individuare niente.

Aggiungo che in modalità provvisoria ho fatto girare sia il tool stand alone di kaspersky sia a-squared e per loro il sistema è pulito.

Nei secondi iniziali di stabilità sono riuscito a salvare un log di hijackthis: hijackthis.log

Che faccio?

poffarbacco · 01-08-2009, 18:32

Io proprio non capisco...dopo vari riavvii e reset con pc bloccato nel tentativo di capirci qualcosa, faccio partire PrevX che questa volta arriva fino in fondo ma NON trovando niente. Ora il pc pare perfettamente funzionante e tornato "in se"...

Magari è solo qualche problema di Windows 7 RC...

L'unica cosa che ho notato è che prima di aprire PrevX per la scansione andata a buon fine, è crashato Comodo Internet Firewall...

Per il resto rimane un mistero

xcdegasp · 02-08-2009, 10:14

prova a usare Avira Rescue Disk: http://www.hwupgrade.it/forum/showthread.php?t=1689812

lo avvii prima di avviare il pc e spesso rimuove oggetti impossibili da rimuovere altrimenti

poffarbacco · 02-08-2009, 19:01

Quote:

Originariamente inviato da xcdegasp

prova a usare Avira Rescue Disk: http://www.hwupgrade.it/forum/showthread.php?t=1689812

lo avvii prima di avviare il pc e spesso rimuove oggetti impossibili da rimuovere altrimenti

Eeehm...

Quote:

Originariamente inviato da poffarbacco

Ho provato a far partire il rescue cd di Avira ma non riconosce il raid0 su cui risiede l'installazione di Win7 RC.

xcdegasp · 03-08-2009, 12:12

Quote:

Originariamente inviato da poffarbacco

Eeehm...

non avevo visto, potresti provare quello di kaspersky

wizard1993 · 03-08-2009, 12:14

Quote:

Originariamente inviato da xcdegasp

non avevo visto, potresti provare quello di kaspersky

se non trovano i driver dubito ne parta anche solo uno

poffarbacco · 03-08-2009, 14:04

Quote:

Originariamente inviato da wizard1993

se non trovano i driver dubito ne parta anche solo uno

Infatti, più che da loro dipende dalla distro linux.

Comunque per ora ho risolto, speriamo bene...

26-07-2009, 12:03	#1
poffarbacco Senior Member Iscritto dal: Jan 2007 Messaggi: 963	Rootkit? Con raid come procedo? Buona domenica a tutti Ieri è stata inserita una memoria esterna usb nel mio pc che probabilmente aveva un virus in esecuzione automatica. Comodo antivirus mi ha segnalto l'autoexec che io ho bloccato e rimosso. Il pc è andato bene fino a che non l'ho spento. Stamattina all'accensione Windows 7 RC è partito caricando tutto, per poi bloccarsi dopo 3-4 secondi. Explorer sembra impallarsi, cliccando su start si apre il menù e rimane aperto bloccato. Cliccando sulle cartelle del desktop queste si selezionano ma rimangoino così, bloccate... Se provo a far partire comodo, questo si blocca nel momento in cui cerca di aggiornarsi prima di far partire la scansione, stessa cosa con PrevX... Ho provato a lanciare la connessione a internet e la scansione con PrevX in quei 3-4 secondi all'avvio quando tutto funziona, ed effettivamente la scansione parte ma poi puntualmente tutto si blocca, scansione compresa. Aggiungo che il task manager non funziona, da msconfig non c'è niente di anomalo in avvio automatico... La modalità provvisoria funziona, così come l'avvio ridotto. Sicuramente il "problema" viene quindi caricato all'avvio tra i servizi (anche se è nascosto visto che ho controllato tutte le voci in avvio e i servizi) Ho provato a far partire il rescue cd di Avira ma non riconosce il raid0 su cui risiede l'installazione di Win7 RC. Non so come procedere, mi date una mano? __________________ FTW Ultima modifica di poffarbacco : 26-07-2009 alle 12:05.

26-07-2009, 13:12	#2
poffarbacco Senior Member Iscritto dal: Jan 2007 Messaggi: 963	Edit: Il task manager funziona...anche se è comparso parecchio tempo dopo aver premuto la combinazione di tasti... Sembra che si apra un pò tutto dopo un'attesa di svariate decine di minuti. Appena però interagisco col pc questo si impalla nuovamente... __________________ FTW

26-07-2009, 13:12	#3
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	Ciao segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio), e secondo le regole di sezione Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi. Se il sistema dovesse essere molto compromesso, e non dovessi riuscire a seguire la guida, prova ad effettuare le prime 4 scansioni da modalità provvisoria, se non bastasse effettua prima una scansione con il rescue cd di Kaspersky o di Avira per fare una pulizia preliminare. In caso di continui riavvi, schermate blu, ecc.. stacca eventuali hardware nuovi, magari incompatibili e per escludere problemi con quelli già in uso fai un controllo del disco e della RAM Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nel bigino in firma guarda alla voce Portabilità di ogni programma, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente aggiornato sul pc infetto Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni. Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo... link caricamento log generici ► fileqube.com ■ wikisend.com link caricamento immagini ► fileqube.com ■ picoodle.com ■ imageshack.us __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • Ultima modifica di wjmat : 26-07-2009 alle 15:56.

26-07-2009, 14:06	#4
poffarbacco Senior Member Iscritto dal: Jan 2007 Messaggi: 963	Mi serve qualcosa che funzioni da modalità provvisoria e che giri su Win7 x64 perchè altrimenti non riesco ad aprire niente... __________________ FTW

26-07-2009, 15:41	#5
poffarbacco Senior Member Iscritto dal: Jan 2007 Messaggi: 963	Ho fatto girare Kaspersky in modalità provvisoria ma non ha trovato niente... __________________ FTW

26-07-2009, 15:58	#6
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	già vista x64 a volte è problematico... con 7 x64 i problemi non possono che aumentare in quanto a compatibilità aggiornaci su quali dei software presenti in guida sono compatibili o meno con 7 x64 oltre a kaspersky, di cui vorremo deve il log sicuramente c'è prevx __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • Ultima modifica di wjmat : 26-07-2009 alle 16:03.

26-07-2009, 17:20	#8
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	se ci carichi i log diamo un occhio, altrimenti procedi con il trattamento post __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

01-08-2009, 17:56	#9
poffarbacco Senior Member Iscritto dal: Jan 2007 Messaggi: 963	Oggi all'accensione della webcam ho avuto un bsod e al successivo avvio il pc mi da lo stesso problema dell'altro giorno, cioè funziona perfettamente in modalità provvisoria ma se avvio normalmente dopo pochi secondi non risponde più niente ai comandi. Nei pochi secondi di stabilità all'avvio riesco ad aprire prevx che però si blocca durante la scansione (non sullo stesso file, si blocca nel momento in cui tutto il sistema si blocca), col timer della scansione che va avanti... L'altra volta prevx riuscì a finire la scansione segnalandomi il malware, stavolta non riesco a individuare niente. Aggiungo che in modalità provvisoria ho fatto girare sia il tool stand alone di kaspersky sia a-squared e per loro il sistema è pulito. Nei secondi iniziali di stabilità sono riuscito a salvare un log di hijackthis: hijackthis.log Che faccio? __________________ FTW

01-08-2009, 18:32	#10
poffarbacco Senior Member Iscritto dal: Jan 2007 Messaggi: 963	Io proprio non capisco...dopo vari riavvii e reset con pc bloccato nel tentativo di capirci qualcosa, faccio partire PrevX che questa volta arriva fino in fondo ma NON trovando niente. Ora il pc pare perfettamente funzionante e tornato "in se"... Magari è solo qualche problema di Windows 7 RC... L'unica cosa che ho notato è che prima di aprire PrevX per la scansione andata a buon fine, è crashato Comodo Internet Firewall... Per il resto rimane un mistero __________________ FTW

02-08-2009, 10:14	#11
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	prova a usare Avira Rescue Disk: http://www.hwupgrade.it/forum/showthread.php?t=1689812 lo avvii prima di avviare il pc e spesso rimuove oggetti impossibili da rimuovere altrimenti __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

Strumenti
Mostra una versione stampabile Invia questa pagina per email