Rootkit insidioso?

usernet · 22-07-2011, 23:07

Un saluto a tutti, mi rivolgo a voi perchè ho bisogno di una consulenza realmente esperta su questo problema che ormai mi trascino da diverse settimane:

si tratta di un malware a mio parere (disdetto unicamente dalle scansioni) che in barba alle limitazioni dell'account e ai vari programmi di controllo, cambia rigorosamente le impostazioni di rete, per connettersi a questa rete che ovviamente non fa parte della mia subnet e che invia e riceve pacchetti tramite connessione cifrata (stando a wireshark).

Ma adesso vi spiego meglio il problema... Dopo aver formattato, sempre in seguito a queste modifiche non previste ne autorizzate alle impostazioni della scheda di rete, ho reinstallato immediatamente gli aggiornamenti classici di windows, ho installato kaspersky 2011, comodo firewall, malware bytes, spybot mamuntu e returnil: a prescindere dal fatto che avrei avuto grossi rallentamenti, volevo capire se almeno uno di questi programmi riusciva a prevenire o perlmeno a farmi capire la causa, di queste modifiche alla connessione.

Bene, nonostante tra l'altro utilizzi un account limitato, con restrizioni software impostate su default e diversi servizi (come il dhcp) disabilitati, non un software della solita serie mi ha evitato la modifica alle impostazioni di rete verso questa subnet indefinita.
Il firewall si è limitato a segnalarmi la creazione di una nuova rete senza bloccare alcunchè (livello di avvisi massimo) e in generale, a parte uno strano rallentamento nella schermata del bios, il computer funziona allo stesso modo.

Sinceramente sto pensando ad un rootkit, che mi sembra l'unica tecnlogia in grado di fare questi danni senza subire problemi dalle restrizioni del sistema operativo o dai vari programmi... però... Ero convinto che dopo aver aggiornato il bios, dopo aver formattato l'harddisk sovrascrivendolo pure con byte nulli (e cancellando ovviamente mbr) avessi eliminato ogni minaccia...

Mi rivolgo a voi quindi ,non so più che pensare, che fare o che inventarmi per capire la causa del problema, premetto che ho fatto girare circa una decina di scanner, specifici per rootkit e non, che non hanno rilevato alcuna modifica inattesa... Che sia un errore a livello di driver?

Un grazie, davvero, a chi mi saprà/vorrà rispondere

usernet · 23-07-2011, 11:32

Nessuno che abbia di idea che si potrebbe fare per verificare o di che cosa potrebbe essere?

Riku · 23-07-2011, 12:12

mi sembra strano che rimane anche dopo la formattazione... hai provato Gmer o combofix?

usernet · 23-07-2011, 12:29

E' una cosa che ha spiazzato completamente anche a me perchè non so davvero che inventarmi... Infatti missà che l'alternativa più plausibile è che sia arrivato con qualche file scaricato in un modo o nell'altro anche se la cosa che mi lascia più perplesso è che nonostante defense +, malware bytes, mamuntu ecc... abbia potuto modificare le impostazioni dell'adattore di rete...

Comunque si, entrambi non mi segnalano niente (..e riponevo molte speranze in GMER

)

Riku · 23-07-2011, 12:54

ma tutti i programmi che hai installato in real time non andavano in conflitto?

usernet · 23-07-2011, 14:36

Quote:

Originariamente inviato da Riku

ma tutti i programmi che hai installato in real time non andavano in conflitto?

Ci ho pensato anche io in effetti.. però sembrano funzionare tutti perfettamente e senza rallentamenti di sorta... E' che bene o male c'è molta ram in esubero e un buon processore ma non so se a tutti gli effetti l'essere attiviti in contemporanea può compromettere la rilevazione.

Comunque ho trovato qualche indizio in più; quando avvio Internet explorer mi ritrovo sempre 2 processi di IE anche con una sola scheda aperta. Mentre returnil... che da questo lato mi ha sorpreso, è riuscito a trovare ben 3 virus (potevano mettere qualche dettaglio in più) nella fatidica cartella di Internet Explorer sempre, quindi suppongo che sia un trojan così su due piedi... o qualcosa che si attacca al broswer in ogni caso...

Riku · 23-07-2011, 18:36

è normale che ci siano 2 processi di Internet Explorer anche con una scheda aperta

usernet · 24-07-2011, 10:16

Ah mi sembrava strano... ero speranzoso ma trovare il processo nel task manager....

Comunque ho risolto che farò una formattazione accurata stando attento a bios e mbr e per il resto... vi faccio sapere se qualcosa soppravvive, grazie comunque.

22-07-2011, 23:07	#1
usernet Junior Member Iscritto dal: Jul 2007 Messaggi: 10	Rootkit insidioso? Un saluto a tutti, mi rivolgo a voi perchè ho bisogno di una consulenza realmente esperta su questo problema che ormai mi trascino da diverse settimane: si tratta di un malware a mio parere (disdetto unicamente dalle scansioni) che in barba alle limitazioni dell'account e ai vari programmi di controllo, cambia rigorosamente le impostazioni di rete, per connettersi a questa rete che ovviamente non fa parte della mia subnet e che invia e riceve pacchetti tramite connessione cifrata (stando a wireshark). Ma adesso vi spiego meglio il problema... Dopo aver formattato, sempre in seguito a queste modifiche non previste ne autorizzate alle impostazioni della scheda di rete, ho reinstallato immediatamente gli aggiornamenti classici di windows, ho installato kaspersky 2011, comodo firewall, malware bytes, spybot mamuntu e returnil: a prescindere dal fatto che avrei avuto grossi rallentamenti, volevo capire se almeno uno di questi programmi riusciva a prevenire o perlmeno a farmi capire la causa, di queste modifiche alla connessione. Bene, nonostante tra l'altro utilizzi un account limitato, con restrizioni software impostate su default e diversi servizi (come il dhcp) disabilitati, non un software della solita serie mi ha evitato la modifica alle impostazioni di rete verso questa subnet indefinita. Il firewall si è limitato a segnalarmi la creazione di una nuova rete senza bloccare alcunchè (livello di avvisi massimo) e in generale, a parte uno strano rallentamento nella schermata del bios, il computer funziona allo stesso modo. Sinceramente sto pensando ad un rootkit, che mi sembra l'unica tecnlogia in grado di fare questi danni senza subire problemi dalle restrizioni del sistema operativo o dai vari programmi... però... Ero convinto che dopo aver aggiornato il bios, dopo aver formattato l'harddisk sovrascrivendolo pure con byte nulli (e cancellando ovviamente mbr) avessi eliminato ogni minaccia... Mi rivolgo a voi quindi ,non so più che pensare, che fare o che inventarmi per capire la causa del problema, premetto che ho fatto girare circa una decina di scanner, specifici per rootkit e non, che non hanno rilevato alcuna modifica inattesa... Che sia un errore a livello di driver? Un grazie, davvero, a chi mi saprà/vorrà rispondere

23-07-2011, 11:32	#2
usernet Junior Member Iscritto dal: Jul 2007 Messaggi: 10	Nessuno che abbia di idea che si potrebbe fare per verificare o di che cosa potrebbe essere?

23-07-2011, 12:12	#3
Riku Member Iscritto dal: Jun 2011 Messaggi: 202	mi sembra strano che rimane anche dopo la formattazione... hai provato Gmer o combofix?

23-07-2011, 12:29	#4
usernet Junior Member Iscritto dal: Jul 2007 Messaggi: 10	E' una cosa che ha spiazzato completamente anche a me perchè non so davvero che inventarmi... Infatti missà che l'alternativa più plausibile è che sia arrivato con qualche file scaricato in un modo o nell'altro anche se la cosa che mi lascia più perplesso è che nonostante defense +, malware bytes, mamuntu ecc... abbia potuto modificare le impostazioni dell'adattore di rete... Comunque si, entrambi non mi segnalano niente (..e riponevo molte speranze in GMER )

23-07-2011, 12:54	#5
Riku Member Iscritto dal: Jun 2011 Messaggi: 202	ma tutti i programmi che hai installato in real time non andavano in conflitto?

23-07-2011, 18:36	#7
Riku Member Iscritto dal: Jun 2011 Messaggi: 202	è normale che ci siano 2 processi di Internet Explorer anche con una scheda aperta

24-07-2011, 10:16	#8
usernet Junior Member Iscritto dal: Jul 2007 Messaggi: 10	Ah mi sembrava strano... ero speranzoso ma trovare il processo nel task manager.... Comunque ho risolto che farò una formattazione accurata stando attento a bios e mbr e per il resto... vi faccio sapere se qualcosa soppravvive, grazie comunque.

Strumenti
Mostra una versione stampabile Invia questa pagina per email