Blocco PC: forse un rootkit insidioso

[gabcaly]

Salve,
da circa un mese, all'improvviso il mio PC sul quale è installato XP SP3 si blocca dopo alcuni minuti se apro contenuti multimediali, ad esempio filmati da youtube, ma anche se ascolto brani mp3.
Il blocco con un conseguente beep prolungato, ma che escludo in questa circostanza come avviso della MotherBoard, si protrae finchè non riavvio il PC.
Se questi contenuti multimediali non vengono eseguiti, il blocco scompare o raramente si presenta.
Ho eseguito malwarebytes, che riconoscendo alcuni malware li ha eliminati, poi ho eseguito cCleaner, azzerando di fatto le risorse cache ed internet.
Infine Combofix il quale producendo un report ho scoperto la cancellazione di svariati file infetti, ottenendo per mio vantaggio una velocità della macchina ormai dimenticata. Resta purtroppo il blocco e sicuramente non riesco ad evincere dal report qui allegato il file o rootkit che avviandosi con il servizio svchost.exe mi crea questo problema.
Tutti gli antivirus mi segnalano svchost infetto, ma non riesco a sostituirlo perchè è protetto dal sistema. Avevo pensato di usare la console di ripristino del CD, ma non l'ho ancora fatto.
Qualcuno potrebbe dare una occhiata all'allegato ?
Ne sarei riconoscente e ringrtazio sin d'ora per la collaborazione.

Grazie

 

[JeanGrey]

Ciao e benvenuto.

Salva il documento che ti allego CFScript
Con il mouse trascina il file CFScript.txt sull'icona rossa di Combofix

Lascia lavorare il programma
Verrà creato un nuovo log combofix.txt
Allega il rapporto per un controllo.

Scarica Stealth MBR rootkit detector
http://www2.gmer.net/mbr/mbr.exe
mettilo direttamente nella Directory C:\
riavvia il Pc in modalità provvisoria F8
Start - Esegui - digita C:\mbr.exe -f e clicca su OK
salva il log MBR1 ed allegatelo per il controllo.

 

[gabcaly]

ciao grazie per l'interessamento:

allego files come da te richiesto.... grazie mille

 

[JeanGrey]

Scarica TFC by OldTimer sul desktop
http://oldtimer.geekstogo.com/TFC.exe
chiudi tutti i programmi
avvia TFC, clicca su "star"
al termine della scansione ti chiederà il riavvio, dai ok.

Scarica OTC by OldTimer sul desktop
http://oldtimer.geekstogo.com/OTC.exe
doppio clic per eseguirlo
clicca su "CleanUP"
riavvia.

 

[gabcaly]

ciao, dopo aver eseguito la tua PRIMA dritta ho notato che il PC non si blocca più quando accedo ai contenuti multimediali. Ho stressato un pò il sistema per vedere anomalie, ma niente...
Dando una occhiata al file di testo che conteneva i comandi per killare alcuni programmi in autorun, deduco che qualcuno di essi, infettatosi da codice malevole, mi provocava continui blocchi.
Cmq, appena torno stasera a casa farò le altre due scansioni che mi indichi.
Forse hai già capito il problema? ... di cosa si tratterebbe ?

... torno al lavoro, e grazie ancora, ......indicherò il risultato delle scansioni appena possibile.

ciao

 

[JeanGrey]

L'infezione è stata eliminata con la procedura che abbiamo eseguito.

L'infezione era veicolata da svchost.exe.
Il file legittimo si trova nella directory c:\windows\system32, tutti gli altri omonimi in altri percorsi sono sicuramente dei malware; si tratta di un processo che ospita i servizi eseguiti dalle librerie dinamiche (i file .dll), tra i quali spesso si confondono virus e trojan.

Gli ultimi due tool che to ho consigliato servono a ripulire i file temporanei ed a disinstallare i soft che sono stati usati per la pulizia.

Non devi allegare nessun risultato.

Abbiamo finito! ;)

 

[gabcaly]

ciao,
scusami se mi faccio sentire solo adesso per ringraziarti per il tempo che mi hai dedicato. Purtroppo il problema non è stato risolto, ma a differenza di prima si presenta con maggiore ritardo. Comunque, sto incominciando a pensare che ci sia un problema alle memorie, perchè da quello che ho capito si saturano all'improvviso ed il sistema va in crash.
Sicuramente verrebbe da pensare l'azione di un virus, ma con tutte le scansioni eseguite, sia per i trojans, i virus ed i rootkits, non è emerso granché.
Comunque sempre se ti va, posto l'ultima scansione di Combofix, magari qualcosa è sfuggito.
Ti ringrazio, .... al tuo prossimo intervento

 

[JeanGrey]

Ciao gabcaly, mi spiace che tu non abbia risolto.
Il rapporto di Combofix è pulito, e non credo cheil problema sia riconducibile ad una qualche infezione.

Leggi queste due guide se ti possono essere d'aiuto.
http://www.tomshw.it/forum/schede-madre-e-ram/123137-guida-interpretare-i-beep-del-bios.html
Il visualizzatore eventi di Windows [MegaLab.it]

 

[gabcaly]

sei stato davvero gentile indicarmi altri links per la soluzione del mio problema. Ho dato lettura alle specifiche dei beeps ma non so, se nel mio caso, il beep prolungato fino a spegnimento della macchina sia riconducibile ad un avviso da parte del Bios. Sapevo che i beep venivano emessi solo accensione del PC.
Tuttavia, mentre qindows è in esecuzione, a prescindere di cosa faccia, mi appaiono delle schermate bu in cui mi si avverte che il sistema è stato arrestato per evitare danni fisici all'hardware e spesso compare una msg che fa riferimento ad un accesso anomalo, non consentito, alle memorie.
Sono certo si tratta di un danneggiamento di un banco o incrociando le dita di un sospetto accumulo di polvere sottile che dissesta i collegamenti.
Non ho ancora aperto il case poichè sto fuori sempre per lavoro ma appena lo farò completerò questo post indicando la possibile soluzione, a avantaggio di chi, trovandosi nella medesima situazione, possa trovarne giovamento.
Per ora posso solo ringraziarti, ma ti dico pure che il tuo tempo speso per questo problema non è andato di certo perso, anzi, ho risolto molti problemucci, e la macchina ha riacquistato la velocità di un tempo (malgrado il crash improvviso).
Grazie, di cuore. :ok: Gabriel H.

 

[-Glider-]

Sono certo si tratta di un danneggiamento di un banco o incrociando le dita di un sospetto accumulo di polvere sottile che dissesta i collegamenti.

Prova a lanciare un memtest per testare le RAM;)



Ciao

 

[gabcaly]

già fatto, ho utlizzato memTest86 ISO che ho masterizzato in un CD e poi ho fatto il boot con questo. Ho lasciato fare tutti i passaggi, ma niente, nessun errore...Cmq, mi hai fatto ricordare di rieseguirlo nuovamente, appena torno a casa farò una prova e se posso mettero una istantanea video.... del risultato....grazie anche a te....:)

 

[R16]

Ciao a tutti.
Forse la causa, può essere che il file C:\svchost non è stato eliminato. (si è rigenerato)
Altra causa, può essere, che sempre secondo il log di Combofix, è in uso ben 2 antivirus, e 2 firewall.

AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {00350032-0033-0034-3100-300030003500}
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {00000002-0002-0000-7C25-9E7C08000A00}
AV: VirusKeeper 2007 *On-access scanning enabled* (Updated) {165EE528-D666-4745-B14E-AA998BBEC191}
FW: NVIDIA Firewall *enabled* {EDC10449-64D1-46c7-A59A-EC20D662F26D}
FW: Outpost Firewall Pro *disabled* {8A20CA2A-9E02-4A64-923B-0A38208EB7FD}

Ciao.