Buongiorno a tutti,
scrivo perchè ho un problema da qualche giorno, sono arrivato ad individuare le cause ma non riesco ad eliminarlo. Partiamo con ordine.
Ho un WinXP.
Ho beccato il virus Beagle che aveva bloccato tutto nel pc dal antivirus a varie azioni
Sono riuscito in vari passi secondo istruzioni a ripulire il pc, usando i programmi specifici per beagle come Malwarebytes e Elibagia.
Il pc sembrava essersi ripreso perfettamente tanto che Avast funzionava correttamente e pure l'accesso a task manager.
Di punto in bianco c'è stato un reset automatico del pc, non ripartiva più.
Ho dovuto fare un ripristino tramite consolle creata da combofix e cd di winxp.
Quando il pc è ripartito avast mi ha dato l'allarme di un rootkit e sia taskManager che Regedit erano disabilitati.
Ho fatto girare degli antirootkit come quello di Fsecure BlackLight e RootkitBuster di Trend Micro. Inoltre ho installato AdAware ed ho fatto la scansione e ripulito il PC.
Per capire cosa succedeva ho installato security task manager e verificato se c'erano processi pericolosi. Eliminati alcuni processi dubbiosi ho cercato di riabilitare il reg edit.
Tramite un file che mi sono costruito .vbs, ho riabilitato il registro ed ho cercatole chiavi che bloccavano. (HKCU\software\microsoft\windows\currentVersion\Po licies\system)
Eliminando le chiavi task manager funzionava di nuovo.
Ho verificato però che dopo alcuni secondi le chiavi di blocco erano nuovamente presenti.
Per capire cosa succedeva mi sono messo a monitorare il registro con regWatcher e con procMon.
Dall'analisi ho capito che l'azione era fatta dal processo rundll32 andando su taskmanager ho chiuso il processo ed ecco che le chiavi non ritornavano più.
Riavviando era tutto da capo.
Ho provato a cercare nei file di avvio la chiamata a rundll32 ma non l'ho trovata, vorrei eliminare il file ma non ci riesco, qualcuno sa aiutarmi.
Grazie
Cesare
Visitiamoci Admin
Rispondi quotando
