Olimpo Informatico

[pisterzobe]

buongiorno!
il sistema operativo é XP fam SP3 con Comodo FW, Spyware terminator e Antivir (free).4 G di Ram (utili 3)
All'avviamento services.exe consuma fino a 2G di ram, quindi tutto ritorna normale.il fenomeno dura circa 20/30 secondi
Da processexplorer sembrerebbe che sia Plug & Play
Temo quindi, la presenza di un rootkit
Ccleaner,scan (in modalità provvisoria)con antivir,terminator,malwarebytes,cureit dr webb, a-squared, bit defender,ESET NOD 32 non hanno dato nulla.
gmer non ha evidenziato nulla di rosso
lo allego comunque

gmer1
GMER 1.0.15.15220 - http://www.gmer.net
Rootkit quick scan 2009-11-21 18:13:48
Windows 5.1.2600 Service Pack 3
Running: g4bcl4zb.exe; Driver: C:\DOCUME~1\ML~1\LOCALS~1\Temp\kwnorpoc.sys


---- System - GMER 1.0.15 ----

SSDT spib.sys ZwEnumerateKey [0xB7EC5CA4]
SSDT spib.sys ZwEnumerateValueKey [0xB7EC6032]

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8B1161F8

AttachedDevice \FileSystem\Ntfs \Ntfs CFRPD.sys (COMODO Safe Delete Filter/COMODO Security Solutions Inc.)
AttachedDevice \FileSystem\Ntfs \Ntfs CFRPD.sys (COMODO Safe Delete Filter/COMODO Security Solutions Inc.)
AttachedDevice \Driver\Tcpip \Device\Ip cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Tcpip \Device\Tcp cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Tcpip \Device\Udp cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Tcpip \Device\RawIp cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)

---- EOF - GMER 1.0.15 ----
gmer2
gmer2.log

allego systemscan
report.txt
che comprende anche hijackthis

ho lanciato anche combofix, che allego
ComboFix.txt


Spero che un'anima pia sappia darmi qualche consiglio
grazie in anticipo
Se ho commesso errori di comportamento, vi prego di scusarmi
Buon pomeriggio e buon WE a tutte e a tutti

[Sante62]

Ciao pisterzobe e benvenuto...

Per adesso Wikisend non va, o sono io che non riesco a connettermi.

Appena possibile, io o qualche altro daremo un'occhiata ai logs..

[pisterzobe]

grazie, attendo fiducioso!
buona domenica (quello che ne resta!)

[bdoriano]

Hai beccato MBR rootkit.

1. Scarica questo programma e salvalo in C:\
   
2. Clicca Start
   
3. Clicca Esegui...
   
4. Digita:

   Codice:

   cmd

   
   
   
5. Clicca su ok
   
6. si apre la finestra DOS, digita:
   

   Codice:

   CD \

   
   premi invio
   
7. digita:
   

   Codice:

   mbr -f

   
   premi invio
   
8. digita:
   

   Codice:

   exit

   
   premi invio
   
   
9. Riavvia il pc
   
10. Posta qui il contenuto del log C:\mbr.log

Apri il Blocco note e crea un file di testo con le seguenti istruzioni:

[pisterzobe]

grazie!!!!!!!!!!!!
eseguo

grazie dell'attenzione e del tempo dedicato
buona giornata

[pisterzobe]

eseguito
il fenomeno sussiste, purtroppo.
ecco i log
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Combofix
Caricato su Rapidshare. Non è velocissimo ma comunque per adesso va...[/url]

[Sante62]

Scusate, ho svbagliato bersaglio.

[pisterzobe]

sbagliato bersaglio?
non capisco.
grazie , in ogni caso, per l'interessamento.
OT
bellissimo il "Bacco" di Floridia che ho avuto occasione di ammirare al museo di Siracusa
fine OT

[Sante62]

[pisterzobe]

cure-it mi dice di non aver trovato nulla
non so se ridere o piangere
nessuna idea delle cause del fenomeno....e della soluzione?

[Sante62]

Fai la scanzione con Systemscan e posta il log generato come
indicato quì.

Nel frattempo, riferisci se il problema riscontrato all'inizio c'è ancora.

[pisterzobe]

ecco il rapporto
report.txt

si, il fenomeno persiste.
Dura un paio di minuti: il consumo di RAM cresce velocemente per "gradini" di circa 7-10 MB. Arrivato a 2,1 GB, scende di colpo ai valori normali. Il consumo di CPU varia fino al 50-60%. Il PC (un portatile con xp fam sp3 e 4gb di ram -utili 3-) sembra funzionare correttamente.Ho fatto scansioni con hijackthis al culmine del fenomeno: log identico a quello in condizioni normali.
grazie per il tempo dedicato!
buona giornata!

[Sante62]

Nel log non c'è niente di particolare, solo un pò di confusione, nel senso che hai Comodo, che presumo comprenda anche l'antivirus, quindi insieme ad Avira, tutto fanno tranne che proteggerti.

Riepilogando, decidi quale antivirus tenere, Comodo o Avira e disinstallane uno; lo stesso vale per gli antispyware, io consiglierei Superantispyware e basta.-

Adesso avvia il PC in modalità provvisoria
Avvia Hijackthis, seleziona queste righe, clicca poi su fix Checked:

[pisterzobe]

comodo é solo fw, senza la funzione antivirus.Quindi ho 1 fw, 1av ed 1 aspy.
il notebox ed il fisso, con la stessa stuttura (ma con solo 1 gb di ram), hanno lo stesso haijackthis, con le stesse voci che suggerisci di fixare, ma senza alcun problema all'avviamento.
quindi, scusa, ma sono un po' restio a fixare quanto dici.
cosa ne pensi?
é chiaro, non critico e non faccio il "saputello"....sono un niubbissimo, ma cerco di capire!
grazie, sempre, di cuore dell'aiuto. attendo il tuo parere
buon pomeriggio

[pisterzobe]

Non era un rootkit, ma un bug del pulitore di registro
http://groups.google.fr/group/microsoft.public.windowsxp.general/browse_thread/thread/b255eef840c24c10
"After doing several searches on the Web I found that there was an Issue with
Comodo System Cleaner that was causing this type of issues. I upgraded to
Comodo System Cleaner Version 2.0.111095.7 and found that this issue was
resolved. "
TUTTO OK
ti ringrazio infinitamente dell'aiuto e della cortesia....che mi ha ricordato ancora una volta i bei tempi di quando ero a Siracusa
BUON WE