startup loops,root infetti

ComboFix

Utente Attivo
11
0
CPU
I5 2500k
Scheda Madre
Z68AGD80
HDD
120GB ssd
RAM
8GB 1866mhz
GPU
Integrata
Audio
Realtek integrato
Monitor
Acer 22" FullHD
PSU
875w
Case
BigTower
OS
Windows 7 Ultimate
Ciao a tutti,ho un problema di malwere sconosciuto sul mio pc/ssd. In poche parole ho provato a formattare più volte,con metodi diversi(guthman) con partedmagic,knoppix,windows7 ma non si risolve il problema. Con knoppix al comando mkfs.ext3 /dev/loop0 mi dice che non è possibile eseguire il comando in quanto alcune partizioni del sdd sono in uso. Con partedmagic sono riuscito ad eseguire un secure erase disk in frooze/snore mode ma non è servito a niente. Credo che i file infetti si autorigenerano in automatico nel root o nella ram,o forse in altre unità di memoria. Non ho collegati altri dispositivi di memoria come usbflash,hard disk o altro. ed eseguivo le distro in Live da CD
Avevo usato anche combofix e hijachthis ma non hanno risolto. Probabilmente c'è una procedura da seguire e particolari tools/distro da utilizzare e non li conosco,se risolvo qui evito l'assistenza specializzata a pagamento,grazie mille.

Logs in allegato Logs e report.rar
 
Ultima modifica:

ComboFix

Utente Attivo
11
0
CPU
I5 2500k
Scheda Madre
Z68AGD80
HDD
120GB ssd
RAM
8GB 1866mhz
GPU
Integrata
Audio
Realtek integrato
Monitor
Acer 22" FullHD
PSU
875w
Case
BigTower
OS
Windows 7 Ultimate
Incomincia a inviarci il resoconto di:
MalwareBytes
Combofix
TDSSKiller
Hijackthis
I log e report vecchi,prima della formattazione li ho salvati su un hard disk,ma non riesco a recuperarli,sono inspiegabilmente protetti da password,o forse ci voleva l'autorizzazione del vecchio amministratore. Cmq posso provare a reinstallare Windows e generarne degli altri,vi invio quelli se vanno bene lo stesso
 

ComboFix

Utente Attivo
11
0
CPU
I5 2500k
Scheda Madre
Z68AGD80
HDD
120GB ssd
RAM
8GB 1866mhz
GPU
Integrata
Audio
Realtek integrato
Monitor
Acer 22" FullHD
PSU
875w
Case
BigTower
OS
Windows 7 Ultimate
I problemi dove li noti ? sei proprio sicuro che sia un malware ?
Si,più che un virus direi un hack al sistema. In poche parole questo malwere sul vecchio pc con WindowsXp si poteva rintracciare facilmente andando nella cartella Temp e trovando files chiamati nsu.tmp,che si collegavano a tutti gli eseguibili exe del Pc. Ora su Windows7 non si riesce a trovarlo fisicamente ma i problemi che da sono sempre gli stessi dopo ogni formattazione e reinstallazione di Windows. Praticamente infetta il Tcp/Ip,credo il file sys(system?) e con system mechanic da sempre: Internet Connection Broken
Le connessioni ad internet durano pochi minuti poi si interrompono inspiegabilmente,e non viene riconosciuto un antivirus nel Pc.In generale tutte le misure di prevenzione,tutti i programmi di sicurezza vengono disattivati o resi incapaci di fermare intrusioni o fare rilevamenti virus. Non so a che genere di hacking appartenga,probabilmente un trojan. Il problema non è tanto nel riconoscerlo e fixarlo,quando nel rimuoverlo dal Pc,alcuni settori degli hard disk non vengono formattati e il virus sopravvive.
 
Ultima modifica:

tecnico24

Utente Èlite
10,706
1,071
I log e report vecchi,prima della formattazione li ho salvati su un hard disk,ma non riesco a recuperarli,sono inspiegabilmente protetti da password,o forse ci voleva l'autorizzazione del vecchio amministratore. Cmq posso provare a reinstallare Windows e generarne degli altri,vi invio quelli se vanno bene lo stesso

Si , prova a generare questi log e ad inviarceli.
Servono più informazioni.
 

ComboFix

Utente Attivo
11
0
CPU
I5 2500k
Scheda Madre
Z68AGD80
HDD
120GB ssd
RAM
8GB 1866mhz
GPU
Integrata
Audio
Realtek integrato
Monitor
Acer 22" FullHD
PSU
875w
Case
BigTower
OS
Windows 7 Ultimate
ecco i logs in allegato
Logs e report.rar
ragazzi ci sono delle partizioni protette da password di un Superuser,e non me la fa formattare ne eliminare!che devo fare?sono dei rootkit o altro?
ah digitando il comando in distrolinux: cat /dev/sda comincia ad uscirmi un codice stranissimo nel terminale fatto di simboli come carte da gioco,e nessuno dei comandi cat/dev/zero funziona. Che devo fare?
 
Ultima modifica:

tecnico24

Utente Èlite
10,706
1,071
Questi IP sono americani
157.54.104.75
157.54.14.146
157.54.14.162
157.54.80.10

Che vanno eliminati.
Questi li conosci : 172.31.79.142 172.31.79.144
?
 

ComboFix

Utente Attivo
11
0
CPU
I5 2500k
Scheda Madre
Z68AGD80
HDD
120GB ssd
RAM
8GB 1866mhz
GPU
Integrata
Audio
Realtek integrato
Monitor
Acer 22" FullHD
PSU
875w
Case
BigTower
OS
Windows 7 Ultimate
Questi IP sono americani
157.54.104.75
157.54.14.146
157.54.14.162
157.54.80.10

Che vanno eliminati.
Questi li conosci : 172.31.79.142 172.31.79.144
?

No mai letti prima,che significa e come li elimino?
credi che si tratti di un rootkit?
 

tecnico24

Utente Èlite
10,706
1,071
Molto probabile.

Scarica ed estrai sul desktop Complete Internet Repair in allegato qui in basso.
Disconnesso da internet , spunta a sinistra su:

Reset Internet Protocol
Repair Winsock
Restore the default hosts
Flush DNS resolver cache


Clicca sul pulsante Go! ed attendi il lavoro.
Al termine riavvia il computer e la connessione sarà ripristinata.
Rifai lo scan aggiornato con Combofix e riposta il relativo logfile.
 

Allegati

  • CIntRep-1-2-8-1288.zip
    438.8 KB · Visualizzazioni: 49

ComboFix

Utente Attivo
11
0
CPU
I5 2500k
Scheda Madre
Z68AGD80
HDD
120GB ssd
RAM
8GB 1866mhz
GPU
Integrata
Audio
Realtek integrato
Monitor
Acer 22" FullHD
PSU
875w
Case
BigTower
OS
Windows 7 Ultimate
Molto probabile.

Scarica ed estrai sul desktop Complete Internet Repair in allegato qui in basso.
Disconnesso da internet , spunta a sinistra su:

Reset Internet Protocol
Repair Winsock
Restore the default hosts
Flush DNS resolver cache


Clicca sul pulsante Go! ed attendi il lavoro.
Al termine riavvia il computer e la connessione sarà ripristinata.
Rifai lo scan aggiornato con Combofix e riposta il relativo logfile.

Grazie
Complete Internet Repair l'avevo già utilizzato due giorni fa seguendo l'altro topic,ma ad ogni riutilizzo mi dava gli stessi problemi da fixare,il che mi sembrava strano. Poi qualsiasi tool o programma exe che provo ad eseguire mi dice Autore sconosciuto,come se fossero stati modificati dal malwere,non so. Ho provato ad eseguirli anche in modalità provvisoria con esegui ma credo non cambi nulla. Dici che funzionano lo stesso?Cmq dopo provo e posto i Logs appena possibile
Volevo chiederti,è normale che un rootkit riesca a rendere unità di memoria con una propria gestione?
 
Ultima modifica:

tecnico24

Utente Èlite
10,706
1,071
Ti dico solo che dai rootkit ci si può aspettare di tutto.
Sono molto fastidiosi e personalmente da espierenza non sono facili da eliminare.
Riposta un nuovo log di Combofix .
 

R16

Utente Èlite
2,307
425
CPU
boh
Scheda Madre
boh
HDD
boh
RAM
boh
GPU
boh
Audio
boh
Monitor
boh
PSU
boh
Case
boh
OS
boh
Ciao.
Molto probabilmente il pc è infetto dal Rootkit 0 Access. (Zero Access)
Tale rootkit, (dipende dalla variante) distrugge la connessione, infetta l'MBR, crea piccole partizioni nascoste, per poter sopravvivere anche a un format.

Prova a fare queste scansioni per poter individuare, da dove nasce il problema:
scarica Scanner Servizio Farbar sul desktop :
http://download.bleepingcomputer.com/farbar/FSS.exe
Metti un segno di spunta in tutte le caselle sul lato sinistro.
Clicca su "Scan".
Si creerà un log (FSS.txt) nella stessa directory in cui viene eseguito lo strumento.
Posta il log.



Scarica MiniToolBox salvalo sul desktop:
http://download.bleepingcomputer.com/farbar/MiniToolBox.exe
Metti la spunta a tutte le caselle.
Clicca GO.
Posta il log.

Scarica ListParts :
http://download.bleepingcomputer.com/farbar/ListParts.exe
Esegui lo strumento, fai clic su Scan e allega il log (Result.txt).

Scarica OTL, e salvalo sul desktop:

http://oldtimer.geekstogo.com/OTL.exe

Clicca sull'icona di OTL che trovi sul tuo desktop .

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta : minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e a Purity Check.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:
netsvcs
/ Md5start
Afd.sys
atapi.sys
csrss.exe
Dhcpcsvc.dll
explorer.exe
lsass.exe
nsiproxy.sys
regedit.exe
services.exe
svchost.exe
tcpip.sys
tdx.sys
userinit.exe
winlogon.exe
/ Md5stop
% Systemdrive% \ *.*
% SystemRoot% \ *. / Mp / s
% SystemRoot% \ system32 \ *. sys / 90
% SystemRoot% \ system32 \ *. exe / lockedfiles
% SystemRoot% \ system32 \ drivers \ *. sys / lockedfiles
% Windir% \ assembly \ GAC \ *. ini
% Windir% \ assembly \ GAC_MSIL \ *. ini
% Windir% \ assembly \ gac_32 \ *. ini
% Windir% \ assembly \ gac_64 \ *. ini
% Windir% \ assembly \ temp \ *. ini
% Windir% \ assembly \ tmp \ u / s
"%WinDir%\$NtUninstallKB*$."
% ALLUSERSPROFILE% \ Application Data \ *. exe
HKLM \ System \ CurrentControlSet \ Services \ dhcp
HKLM \ System \ CurrentControlSet \ Services \ AFD
HKLM \ System \ CurrentControlSet \ Services \ tdx
HKLM \ System \ CurrentControlSet \ Services \ Tcpip
HKLM \ System \ CurrentControlSet \ Services \ nsiproxy
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce

Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum.
 
Ultima modifica:

ComboFix

Utente Attivo
11
0
CPU
I5 2500k
Scheda Madre
Z68AGD80
HDD
120GB ssd
RAM
8GB 1866mhz
GPU
Integrata
Audio
Realtek integrato
Monitor
Acer 22" FullHD
PSU
875w
Case
BigTower
OS
Windows 7 Ultimate
Ciao.

OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum.

Ciao,grazie per l'aiuto. Ho già provato con OTL ma non me lo fa eseguire
Per gli altri invece MicrosoftFix e Cintrep postato da tecnico me li esegue solo come autore sconosciuto,quindi non hanno effetto sul sistema
Devo provare ad eseguirli con Android o altri sistemi operativi per risolvere il problema degli exe infetti?con le distrolinux non ci sono programmi simili?
Cmq ora proverò tutto poi posterò i Logs,grazie

@Tecnico24
Ecco i logs che mi chiedevi
http://wikisend.com/download/391982/LOGS.zip
 
Ultima modifica:

tecnico24

Utente Èlite
10,706
1,071
Che si tratti di rootkit non c'è dubbio.

Scarica Systemlook:
http://jpshortstuff.247fixes.com/SystemLook.exe
sul desktop.

Nella schermata principale copia questo codice:

:reg

HKLM\System\CurrentControlSet\Services\dhcp /s
HKLM \System\CurrentControlSet\Services\Tcpip /s


Clicca su Look per far partire lo scan e posta il suo report.

Dopo incollaci :

:folderfind
$NtUninstallKB*$


clicca su Look e inviaci il log.
 

Entra

oppure Accedi utilizzando

Hot: Sei vaccinato? [sondaggio anonimo]

  • Primo ciclo vaccinale completo (1-2 dosi)

    Voti: 426 78.9%
  • Fatta 1a dose, in attesa della 2a

    Voti: 18 3.3%
  • Sono prenotato per la 1a dose

    Voti: 13 2.4%
  • Non so se vaccinarmi

    Voti: 14 2.6%
  • Non ho intenzione di vacciarmi

    Voti: 57 10.6%
  • Fatta anche la terza dose

    Voti: 12 2.2%