Olimpo Informatico

[webmasterone]

Ciao
Xp Sp3 installato da poco (Fresh)
Avira Antivir

Incuriosito da un post trovato in giro in cui si parlava di Rootkit e Combofix, sono finalmente approdato al vostro Vito.
Molto ben fatto


Ho provato a fare un ascansione anche io con Combofix

Intanto ogni volta che lo lancio, mi dice:"Combofix ha rilevato la presenza di attività rootkit ed è necessario riavviare il pc"

sospettando che il problema fosse dovuto al software di masterizzazione ROXIO (già in passato avevo avuto un problema simile proprio con roxio) ho provato a disinstallarlo, rilanciando la scansione, ma il problema persiste.

A questo dubbio il sospetto di avere qualche malaware / Rootkit sul pc è alta.

Vi allego i log di HijackThis e Combofix.

Mi aiutate, per favore a capire se ho qualche problema come sopra ?

attendo Fiducioso.

Web

HiJackThis LOG

[bdoriano]

Ciao webmasterone,

dai logs che hai postato, vedo che utilizzi VirtualCloneDrive.
Potrebbe essere lui la causa dell'avviso di ComboFix.

Oltre a quel messaggio, riscontri altri problemi?

[webmasterone]

ho appena reinstallato tutto per due motivi
1) il pc cominciava ad essere rallentato
2) avevo preso un virus
nonostante avira me lo avesse bloccato al volo, ho deciso che era ora di riformattare e ricominciare da capo


purtroppo mi è rimasta la pulce , e questo comportamento di combofix mi aveva insospettito (non pensavo a Virtual Clone Drive)

al momento il ho solo due problemi

1) quando lancio ie (ho ie8) si apre la finestra di ie (che rimane bianca) e dal quel momento passano dai 3 ai 8-10 secondi prima che mi mostri la home page
ho provato con varie hgome page, il problema c'è sempre (sia con google che altri siti + pesanti)
come se i8 facesse qualcosa prima di mostrmi la pagina
2) all' avvio (ho xp pro sp3) dopo aver cliccato sull' utente, inserito la password e cliccato su login, passa semnpre (per i miei gusti) troppo tempo.
tieni presente che ho 4 HD Usb esterni (da 1 Gb cad. collegati) e durante questo tempo lampeggiano.... quindi potrebbe essere che il rallentamento sia dovuto proprio a loro. Anche per questo cercavo un sistema per non fargli fare eventuali controlli sugli HD collegati all' Avvio. ma magari sto dicendo una scemata.

[R16]

Scusa l'intromissione bdoriano.
Ci sono nel log di Combofix, (nella sezione SnapShot@) un sacco di file .dat e qualche .dll, collegate a Symantec Security Check .
Potrebbe essere quello il problema.

Poi, per curiosità, mi piacerebbe sapere cos'è di preciso questo LogMeIn
Ha tutta l'aria di essere un programma di sicurezza, che agisce in tempo reale.

[webmasterone]

Symantec Security Check perchè ieri ho provato a fare una scansione online con Symantec

ma il problema del rootkit e gli altri segnalati erano precedenti

[R16]

Che cos'è questo programma:LogMeIn

[webmasterone]

[bdoriano]

LogMeIn l'ho usato anch'io prima di passare definitivamente a TeamViewer.
Ho ancora qualche pc su cui faccio assistenza con LogMeIn, ma li sto passando tutti a TV.

Che tipo di virus avevi beccato?

[R16]

Per vedere se c'è qualche driver che interferisce con Combofix, segui queste indicazioni:
Scarica Defogger:
link
Si tratta di un programma che serve per disattivare temporaneamente i driver impiegati da software per l'emulazione di CD/DVD.
Eseguilo, e clicca su "Disable", premi "Yes" per confermare, quindi attendi la fine della procedura.
Defogger può richiedere, un riavvio (reboot ) del pc.

Poi fai una scansione con Combofix, e vedi se rileva ancora attività rootkit.

Opssss... non avevo visto che hai postato.

[bdoriano]

Dimenticavo, hai provato a resettare le impostazioni di IE per vedere se torna a funzionare?

• Strumenti
  
• Opzioni Internet
  
• Avanzate
  
• Reimposta...
  
• Reimposta

[webmasterone]

ah, bella domanda... non me lo ricordo....
stavo navigando

diciamo che è il virus è stato il pretesto per riformattare e reinstallare tutto (ogni tanto lo faccio)

però mi aveva incuriosito (e legermente preoccupato) questo fatto del rootkit.

non c'è nessun altra scansione che mi suggerite per approfondire la questione e togliermi ogni dubbio ?

(teamviewer lo uso anche io , anzi, in ufficio, dato che sono dietro a proxy, uso solo quello)

[bdoriano]

Comincia a fare l'operazione che ti ha consigliato R16 poco fa.

Dopodiché, segui le indicazioni di questa discussione per postare i logs di OTL.

[webmasterone]

[R16]

Se Combofix, non rileva attività rootkit, significa che bdoriano aveva visto giusto.

In ogni caso segui le sue precedenti indicazioni:

[webmasterone]

scusate il ritardo, ma sto provando a disinstallare i programmi e lanciare subito dopo combofix, pre vedere se qualcuno di loro è responsabile di questa attività sospetta rootkit

ho disinstallato:

Virtual clone drive
combofix ancora rootkit sospetto
Logmein
combofix ancora rootkit sospetto
teamviewer
combofix ancora rootkit sospetto
SandBoxie
combofix ancora rootkit sospetto
WebCam Hercules
combofix ancora rootkit sospetto

oggi proverò anche con :
Skype
Avira antivir
Stampante Hp (ha installato un sacco di roba, compreso driver per stampare sulla stampante via router wireless)
i software antymalaware (Malawarebytes' Anti Malaware, Spyboot, etcc)

Devo riuscire a capire cosa è sto cavolo di attività sospetta Rootkit !!!!!

Intanto, come mi avete chiesto, ho appena eseguito OTL
ecco i Log:

OTL:
OTL.Txt

Extras:
Extras.Txt


Web

[R16]

Accidenti webmasterone, ma sei un "duro"
Mi piacciono i "duri". 8)
Un consiglio: quando hai disistallato tutto, riscarica Combofix, (installazione fresca) disistallando la versione vecchia seguendo le indicazioni di questo topic:
http://forum.zeusnews.com/viewtopic.php?t=47670

[webmasterone]

sto continuando a rimuovere
nonosrtante abbia disinstallato avira (da pann contr)
poi abbia fatto pulizia ccleaner e registro
e abbia usato pure il tool di avira per rimuovere le chiavi di registro
Combofix continua a dirmi che ho avira desktop attivo ????
boh...

quando reinstallero, mi consigliate di tenere avira, o di mettere Ms Essentials ?

[webmasterone]

quando reinstallero, mi consigliate di tenere avira, o di mettere Ms Essentials ?

deve essere free

gli altri non mi interessano, ho avute pessime esperienze passate

[R16]

Reistalli Avira. (è migliore)
Per configurarlo:
http://forum.zeusnews.com/viewtopic.php?t=42228

[webmasterone]

sono allo sgocciolo.....
ormai restano più pochi programmi....
e combofix continua a segnalare la sospettta attività Rootkit, quindi riavvia per la scansione

mentre aspettavo, ho letto anche il tuo 3d sull' MBR (http://forum.zeusnews.com/viewtopic.php?t=51461) così ho provato MBRCheck

al primo check ha trovato :

Size Device Name MBR Status
--------------------------------------------
1863 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: 503FD2CC6F3632B90CEC9C763A09B1AF1755FCD5
465 GB \\.\PhysicalDrive1 Unknown MBR code
SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F

facendoglielo correggere, anche riavviando, rimaneva sempre uguale, quindi non lo correggeva (ho provato sia con l'opzione Default, che con la seconda, ovvero Win Xp )

allora ho riavviato con CD XP e recovery console
ho fatto sia il Fixboot che il FixMbr
Fimbr l'ho fatto sui due hd, cioè
FIXMBR \Device0\Harddisk0\Partition1
FIXMBR \Device0\Harddisk1\Partition1
l'ho provato più di una volta, e ogni volta che lanciavo il FIXMBR mi diceva che il settore d'avvio non era standard (forse serviva il riavvio per rendere effettivi i cambiamenti)

fatto sta che al riavvio, rilanciando MBRCheck
ho otttenuto:
PhysicalDrive0 Model Number: WDCWD20EARS-00MVWB0, Rev: 51.0AB51
PhysicalDrive1 Model Number: SAMSUNGHD502IJ, Rev: 1AA01113

Size Device Name MBR Status
--------------------------------------------
1863 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
465 GB \\.\PhysicalDrive1 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

quindi pare che ora gli MBR siano a posto

ora sono curioso di rilnaciare Combofix e vedere cosa dice... anche se non ci spero....