View Full Version : Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT


Pagine : 1 2 3 4 5 6 7 8 9 [10] 11 12 13 14 15

neway
23-12-2009, 19:10
Anch'io credo di essere vittima del rootkit. Purtroppo prima di trovare questa guida ne ho seguite altre, ho dunque pasticciato un po' con i programmi di analisi e rimozione.

Mia configurazione: windows XP SP3. Ho due hard disk fisici: uno è C con windows, l'altro è partizionato in due (D, E). La cartella documenti di windows l'ho spostata nel drive D.
Ho usato l'ultima versione di tutti i software.
Sintomi: Computer lento, crash improvviso di programmi (soprattutto firefox), ogni tanto spunta un messaggio di windows con sfondo blu con su scritto che per evitare ulteriori danni windows si è bloccato bla bla bla.

Per prima cosa ho disabilitato il ripristino di configurazione di sistema.

Poi ho scaricato GMER, ma mandandolo in esecuzione si chiudeva dopo pochi istanti: sia in modalità normale che provvisoria.

Allora ho scaricato Stealth MBR rootkit detector e avviato in modalità provvisoria con il comando c:\mbr.exe -f. ha generato il log mbr PRIMA

Allora ho scaricato e avviato il software Combofix che ha generato il log ComboFix PRIMA. Notare che nel log c'è scritto original MBR restored successfully !

Facendo di nuovo la scansione con Combofix, il log mi sembra pulito (Combofix.txt)

Poichè Stealth MBR rootkit detector continuava a darmi un log simile (vedi mbr.log) ho deciso di far partire la consolle di ripristino di windows e ho dato il comando Fixmbr. L'operazione è andata a buon fine ma il log di mbr continua a rimanere uguale a mbr.log

Per districarmi in questa situazione ambigua ho fatto la scansione con

Norman_Sinowal_Cleaner.exe che non ha trovato niente (NFix_2009-12-23_09-10-19.log)

Prevx che ha trovato due trojan che non c'entrano niente e che ho rimosso manualmente. Il log è pulito (prevx1.log)

Infine ho scoperto che ora GMER funziona, ma due versioni diverse danno log differenti (non ho fatto la scansione completa ma si tratta di quella veloce all'avvio):
Con la versione 1.1.15.15227 spunta un driver ACPI sospetto (GMER 1.0.15.15227.log)
che con la versione 1.0.15.15281 , quella attuale, non spunta (GMER 1.0.15.15281.log)

Sono parecchio confuso. I programmi non segnalano niente di chiaro e i sintomi continuano.
AIUTO!!!!! :help: :muro:


mbr PRIMA.txt (http://wikisend.com/download/519248/mbr PRIMA.txt)
ComboFix PRIMA.txt (http://wikisend.com/download/514192/ComboFix PRIMA.txt)
mbr.txt (http://wikisend.com/download/436508/mbr.txt)
ComboFix.txt (http://wikisend.com/download/512450/ComboFix.txt)
NFix_2009-12-23_09-10-19.log (http://wikisend.com/download/563642/NFix_2009-12-23_09-10-19.log)
Prevx1.log (http://wikisend.com/download/467382/Prevx1.log)
GMER 1.0.15.15227.log (http://wikisend.com/download/482918/GMER 1.0.15.15227.log)
GMER 1.0.15.15281.log (http://wikisend.com/download/368754/GMER 1.0.15.15281.log)

AttilsNa
24-12-2009, 03:01
Ragazzi siete la mia unica speranza.Ho cercato di fare più volte da solo ma non ci riesco.
Non riesco più a vedere film in streaming che o per il CPU che sale subito a 100% o il file di paging molto elevato; inoltre mi dava un errore quando stavo su msn,che mi diceva se inviare o no la segnalazione e cliccando su invia,si scollegava msn e così all'infinito.
Così ho seguito una discussione su un forum e ho scoperto che sono infetto da malwer, (se non sbaglio perchè quell'errore era un file .ddll una cosa del genere,ed era un malwe molto pericoloso).
Mi scuso prima con tutti,che non sono tanto esperto in questo campo, però sto cercando di mettercela tutta per risolvere questo problema.
-
Ho seguito questo percorso http://www.hwupgrade.it/forum/archive/index.php/t-1715546.html
e ho disattivato il ripristino configurazione sistema
Ho scansionato (non so se è la parola giusta) il pc con Gmar e Prevx 3.0 ottenendo due log, che spero di saper allegare
Prex dice che è possibile cancellare gratuitamente i file infetti,ho provato come dalla procedura,ma il sistema mi va in crash(spero si dica così),si apre una finestra blue con delle scritte,che dicono tipo che se era la prima volta che usciva quella pagina riavviare il pc ecc. ecc.
Adesso vorreri se qualcuno riesca a chiarirmi un po di idee
e mi presti assistenza per continuare, da prex risultano 38 infezioni.
Riesco a cancellare questi virus? vi prego davvero,sto diventando pazzo.Ho visto diversi forum,ma questo mi è sembrato il migliore in giro;ho visto risposte da parte dello staff veramente serie e utilissime...
mi scuso ancora per la mia ignoranza in materia,vi prego aiutatemi
spero di aver scritto nella sezione appropiata ^^

dei 2 log riesco ad allegare solo il log di gmar
quello di prex non mi si allega,
da quanto ho capito forse supera le dimensioni max fissate. Il log di prex è 345kb

Vi prego ditemi come meglio posso farmi capire se non vi è chiaro qualcosa,Grazie

Chill-Out
24-12-2009, 10:09
Sono parecchio confuso. I programmi non segnalano niente di chiaro e i sintomi continuano.
AIUTO!!!!! :help: :muro:

Se da Recovery Console ha riparato il MBR il problema è risolto, per scrupolo fai scansione completa con DrWeb CureIt.

Chill-Out
24-12-2009, 10:12
Ragazzi siete la mia unica speranza.Ho cercato di fare più volte da solo ma non ci riesco.
Non riesco più a vedere film in streaming che o per il CPU che sale subito a 100% o il file di paging molto elevato; inoltre mi dava un errore quando stavo su msn,che mi diceva se inviare o no la segnalazione e cliccando su invia,si scollegava msn e così all'infinito.
Così ho seguito una discussione su un forum e ho scoperto che sono infetto da malwer, (se non sbaglio perchè quell'errore era un file .ddll una cosa del genere,ed era un malwe molto pericoloso).
Mi scuso prima con tutti,che non sono tanto esperto in questo campo, però sto cercando di mettercela tutta per risolvere questo problema.
-
Ho seguito questo percorso http://www.hwupgrade.it/forum/archive/index.php/t-1715546.html
e ho disattivato il ripristino configurazione sistema
Ho scansionato (non so se è la parola giusta) il pc con Gmar e Prevx 3.0 ottenendo due log, che spero di saper allegare
Prex dice che è possibile cancellare gratuitamente i file infetti,ho provato come dalla procedura,ma il sistema mi va in crash(spero si dica così),si apre una finestra blue con delle scritte,che dicono tipo che se era la prima volta che usciva quella pagina riavviare il pc ecc. ecc.
Adesso vorreri se qualcuno riesca a chiarirmi un po di idee
e mi presti assistenza per continuare, da prex risultano 38 infezioni.
Riesco a cancellare questi virus? vi prego davvero,sto diventando pazzo.Ho visto diversi forum,ma questo mi è sembrato il migliore in giro;ho visto risposte da parte dello staff veramente serie e utilissime...
mi scuso ancora per la mia ignoranza in materia,vi prego aiutatemi
spero di aver scritto nella sezione appropiata ^^

dei 2 log riesco ad allegare solo il log di gmar
quello di prex non mi si allega,
da quanto ho capito forse supera le dimensioni max fissate. Il log di prex è 345kb

Vi prego ditemi come meglio posso farmi capire se non vi è chiaro qualcosa,Grazie

Nella guida in prima pagina http://www.hwupgrade.it/forum/showthread.php?t=1715546 trovi l'elenco dei server remoti da utilizzare per allegare i log.
Attendiamo quello di Prevx, ciao.

neway
24-12-2009, 10:49
Se da Recovery Console ha riparato il MBR il problema è risolto, per scrupolo fai scansione completa con DrWeb CureIt.

Moooolto strano. Ho scaricato l'ultima versione di Dr web Cure it. Apro il file .exe e compaiono i due tasti "aggiorna" e "Avvia". Cliccando su avvia, dopo pochi istanti, il computer si riavvia (o meglio si resetta perchè non c'è traccia di una normale uscita da windows).

In soldoni non riesco a fare la scansione.:muro: :muro:

In effetti il problema dev'essersi in parte risolto perchè i sintomi sono meno gravi: è scomparsa la grave lentezza ma rimangono degli effetti collaterali: il browser predefinito è ora explorer e non firefox, inoltre mi vengono ancora riscontrati degli errori del sistema windows a 16 bit quando eseguo dei vecchi programmi fortran in dos (mi sono accorto del rootkit proprio a partire da questo sintomo)

Grazie per l'assistenza il 24 di dicembre :D

Chill-Out
24-12-2009, 11:39
Moooolto strano. Ho scaricato l'ultima versione di Dr web Cure it. Apro il file .exe e compaiono i due tasti "aggiorna" e "Avvia". Cliccando su avvia, dopo pochi istanti, il computer si riavvia (o meglio si resetta perchè non c'è traccia di una normale uscita da windows).

In soldoni non riesco a fare la scansione.:muro: :muro:

In effetti il problema dev'essersi in parte risolto perchè i sintomi sono meno gravi: è scomparsa la grave lentezza ma rimangono degli effetti collaterali: il browser predefinito è ora explorer e non firefox, inoltre mi vengono ancora riscontrati degli errori del sistema windows a 16 bit quando eseguo dei vecchi programmi fortran in dos (mi sono accorto del rootkit proprio a partire da questo sintomo)

Grazie per l'assistenza il 24 di dicembre :D

Per quanto concerne CureIt a volte capita, quindi è inutile insistere, per ripristinare FF come predefinito http://support.mozilla.com/it/kb/Impostare+Firefox+come+browser+predefinito.

unnoacaso
24-12-2009, 15:07
ciao a tutti, ho colto l'occasione per registrarmi al forum che ho letto spesso.
ieri ho preso (presumo) questo mbr rootkit mentre navigavo, mi è apparso subito un avviso di antivir, ho bloccato l'accesso ma è passato lo stesso perchè dopo un pò c'è stato un riavvio spontaneo del pc e ho cominciato a riscontrare problemi nella navigazione (indirizzi che non si aprivano più, cliccando sul destro sui link cerca di aprire pagine strane). ho anche visto che nella cartello documents and settings era apparso l'utente helpassistant.
come l'utente che ha scritto un paio di messaggi sopra prima di trovare questa ottima guida, ne ho seguite altre più incasinate e ho pasticciato un pò con i programmi/tool indicati. adesso il problema durante la navigazione sembra essere sparito, però non mi fido molto e vorrei seguire la vostra procedura da capo, quindi linko i primi log:

http://wikisend.com/download/808274/gmer_log.txt

http://wikisend.com/download/446580/prevx_log.txt


prevx mi trova un problema ma per toglierlo dice che occorre la licenza.
devo procedere con la fase2?

1)nel computer ho due hard disk, entrambi con sistema operativo xp, devo controllare anche l'altro (che non mi dà problemi)?
2)nel caso valuto anche la possibilità di formattare, visto che la cosa era in programma per dare una pulita, però ho letto che potrebbe anche non togliersi. dovrei attaccare un hard disk esterno per salvare i dati, rischio che si infetti anche quello attaccandolo?

AttilsNa
24-12-2009, 15:27
Nella guida in prima pagina http://www.hwupgrade.it/forum/showthread.php?t=1715546 trovi l'elenco dei server remoti da utilizzare per allegare i log.
Attendiamo quello di Prevx, ciao.

ho copiato entrambi i link per sicurezza ^^

http://wikisend.com/download/445970/gmer.txt
gmer.txt (http://wikisend.com/download/445970/gmer.txt)

http://www.hwupgrade.it/forum/showthread.php?t=1715546
prex1.log (http://wikisend.com/download/925362/prex1.log)


questi sono i log,ieri avevo 38 file infetti per prex e così ho seguito il percorso e sono andato a cancellare i file che sono segnalati,ma come sempre non riesco a trovare nel percorso ( C:/document and setting/utente/impostazioni locali/temp/-temp/ e poi il file ) quì la cartella -temp non esiste in quel percorso,mentre quella che è in help assistent c'è e la cancello.Ma dopo un po mi ritornano i 38-39- a volte 42 file infetti...
Grazie mille,e colgo l'occasione per augurarvi un Buon Natale e felice anno nuovo a tutti

neway
24-12-2009, 16:34
Per quanto concerne CureIt a volte capita, quindi è inutile insistere

Ultima cosa: Sotto document and settings c'è la cartella HelpAssistant. Se vado come descritto nella guida in gestione computer, non trovo la voce Utenti e gruppi locali sotto Gestione computer (allego uno screenshot)

http://img694.imageshack.us/img694/5797/scr50080905018920.th.jpg (http://img694.imageshack.us/i/scr50080905018920.jpg/)

Come cancello questa maledetta cartella?

Grazie

Chill-Out
24-12-2009, 22:09
Ultima cosa: Sotto document and settings c'è la cartella HelpAssistant. Se vado come descritto nella guida in gestione computer, non trovo la voce Utenti e gruppi locali sotto Gestione computer (allego uno screenshot)

http://img694.imageshack.us/img694/5797/scr50080905018920.th.jpg (http://img694.imageshack.us/i/scr50080905018920.jpg/)

Come cancello questa maledetta cartella?

Grazie

Computer - tasto dx del mouse Proprietà -Avanzate - Profilo utente - Impostazioni

elimina il profilo HelpAssistant e dovrebbe sparire anche la cartella.

neway
25-12-2009, 03:35
Computer - tasto dx del mouse Proprietà -Avanzate - Profilo utente - Impostazioni

elimina il profilo HelpAssistant e dovrebbe sparire anche la cartella.

Giusto per essere completi ho fatto una scansione completa con Malwarebytes' Anti-Malware che mi ha trovato nella cartella help assistant due file infetti dal rootkit e poi un trojan e un malware che non c'entravano niente. Allego il log per conoscenza.

Grazie mille chill-out, ho trovato il profilo utenete help assistant e l'ho eliminato. La cartella è sparita.

Grazie ancora!
Ciao

neway
25-12-2009, 13:56
Cavolo! Stamattina Firefox era di nuovo instabile, ho controllato in document and settings e la cartella help assistant si è ricreata!!!!
Che devo fare?

Grazie mille!

wjmat
25-12-2009, 18:34
Cavolo! Stamattina Firefox era di nuovo instabile, ho controllato in document and settings e la cartella help assistant si è ricreata!!!!
Che devo fare?

Grazie mille!

hai seguito i consigli finali per proteggere meglio il pc o ce la possibilità che tu ti sia reinfettato?

Chill-Out
25-12-2009, 19:57
Cavolo! Stamattina Firefox era di nuovo instabile, ho controllato in document and settings e la cartella help assistant si è ricreata!!!!
Che devo fare?

Grazie mille!

Sicuro che la cartella fosse sparita, perchè dal log di MBAM si evince il contrario.

neway
25-12-2009, 20:40
hai seguito i consigli finali per proteggere meglio il pc o ce la possibilità che tu ti sia reinfettato?

E' improbabile perchè dopo aver eliminato il tutto ho spento il computer e non ho navigato più.

Sicuro che la cartella fosse sparita, perchè dal log di MBAM si evince il contrario.

Si, era sparita. La scansione con MBAM l'avevo fatta prima di eliminare la cartella help assistant!

Chill-Out
25-12-2009, 20:47
E' improbabile perchè dopo aver eliminato il tutto ho spento il computer e non ho navigato più.



Si, era sparita. La scansione con MBAM l'avevo fatta prima di eliminare la cartella help assistant!

La scansione è datata 25.12.09, comunque alleagami uno screenshot sia del profilo che della cartella HelpAssistant puoi utilizzare la funzione anteprima di http://imageshack.us/

neway
25-12-2009, 22:09
La scansione è datata 25.12.09, comunque alleagami uno screenshot sia del profilo che della cartella HelpAssistant

Si è datata 25 dicembre perchè se guardi bene il messaggio l'ho postato alle 2:35 di notte, e la scansione era terminata una mezzora prima.

Ho capito bene o male come funziona la cosa: Se elimino il profilo helpassistant, si ricrea al successivo riavvio del computer dopo un paio di minuti (probabilmente il tempo di copiare i 250 e passa Mb che la compongono)
Bisognerebbe capire da dove arriva questo "comando"

Ecco il contenuto della cartella helpassistant
http://img709.imageshack.us/img709/7022/scr1342925.th.jpg (http://img709.imageshack.us/i/scr1342925.jpg/)

E lo screenshot che mostra document and setting e i profili utente

http://img30.imageshack.us/img30/5489/scr0894285.th.jpg (http://img30.imageshack.us/i/scr0894285.jpg/)

Piccola precisazione: su profili utente c'è scritto che HelpAssistant è grande 174 Mb, ma tra le proprietà di questa cartella la dimensione è di circa 260Mb

Chill-Out
25-12-2009, 22:17
Elimina Adriano\HelpAssistant

neway
25-12-2009, 22:36
Elimina Adriano\HelpAssistant

E' proprio quello che faccio: così
http://img23.imageshack.us/img23/4112/scr3101488.th.jpg (http://img23.imageshack.us/i/scr3101488.jpg/)

Ma al riavvio HelpAssistant si ricrea automaticamente!

Chill-Out
25-12-2009, 22:38
E' proprio quello che faccio: così
http://img23.imageshack.us/img23/4112/scr3101488.th.jpg (http://img23.imageshack.us/i/scr3101488.jpg/)

Ma al riavvio HelpAssistant si ricrea automaticamente!

Start - Pannello di controllo - Account Utente dimmi cosa vedi, dopodichè riavvia e vediamo.

neway
25-12-2009, 23:07
Ecco. Qui non c'è traccia dell'account help assistant (per ora ho cancellato il profilo e quindi la cartella è sparita)

http://img85.imageshack.us/img85/1853/scr4398472.th.jpg (http://img85.imageshack.us/i/scr4398472.jpg/)

Ho riavviato ed ecco il risultato: addirittura due cartelle!

http://img403.imageshack.us/img403/4289/scr5030656.th.jpg (http://img403.imageshack.us/i/scr5030656.jpg/)

Il mistero si infittisce

unnoacaso
25-12-2009, 23:31
ho usato tutti i programmi, ed ho anche formattato (era già in programma da tempo).
questo è il log di dottorweb cureit:
http://wikisend.com/download/883648/CureIt_log.txt
l'unica cosa è che mbr rootkit detector ancora mi segnala la presenza,
però da qualche parte ho letto che persiste a segnalarlo.
che dite? sono a posto secondo voi?


ciao a tutti, ho colto l'occasione per registrarmi al forum che ho letto spesso.
ieri ho preso (presumo) questo mbr rootkit mentre navigavo, mi è apparso subito un avviso di antivir, ho bloccato l'accesso ma è passato lo stesso perchè dopo un pò c'è stato un riavvio spontaneo del pc e ho cominciato a riscontrare problemi nella navigazione (indirizzi che non si aprivano più, cliccando sul destro sui link cerca di aprire pagine strane). ho anche visto che nella cartello documents and settings era apparso l'utente helpassistant.
come l'utente che ha scritto un paio di messaggi sopra prima di trovare questa ottima guida, ne ho seguite altre più incasinate e ho pasticciato un pò con i programmi/tool indicati. adesso il problema durante la navigazione sembra essere sparito, però non mi fido molto e vorrei seguire la vostra procedura da capo, quindi linko i primi log:

http://wikisend.com/download/808274/gmer_log.txt

http://wikisend.com/download/446580/prevx_log.txt


prevx mi trova un problema ma per toglierlo dice che occorre la licenza.
devo procedere con la fase2?

1)nel computer ho due hard disk, entrambi con sistema operativo xp, devo controllare anche l'altro (che non mi dà problemi)?
2)nel caso valuto anche la possibilità di formattare, visto che la cosa era in programma per dare una pulita, però ho letto che potrebbe anche non togliersi. dovrei attaccare un hard disk esterno per salvare i dati, rischio che si infetti anche quello attaccandolo?

unnoacaso
26-12-2009, 19:19
scusate per i post multipli ma questa infezione mi sta facendo impazzire :mc:
al momento la situazione è questa:
1) computer appena formattato (in maniera normale, non a basso livello)
due hard disk interni
e:\ hard disk in master con sistema operativo xp sp2 e avira antivir
f:\ hard disk in slave con solamente i dati
il pc non manifesta nessun problema, apparentemente sembra funzionare tutto bene e non è presente la cartella help assistant in documents and settings
2) stranamente però mbr.exe continua a segnalarmi l'infezione,
questo è il log: mbr.log (http://wikisend.com/download/493078/mbr.log)
e anche norman sinowal si comporta stranamente dicendomi: "unable to scan for sinowalmbr hooks";
inoltre in strumenti di amministrazione-gestione computer-utenti e gruppi locali-users ancora vedo l'utente helpassistant con sopra una x rossa cioè disabilitato; posso cliccare sul destro e fare elimina?
3) qualora volessi colleare l'hard disk esterno (finora mi sono astenuto dal farlo) per salvare i dati e conseguentemente snellire le scansioni rischio che venga infettato dall'mbr rootkit?
4) come richiesto dalla fase 1 della procedura (che vorrei iniziare da capo) allego:
- log di gmer gmer.txt (http://wikisend.com/download/518876/gmer.txt)
- log di prevx prevx.txt (http://wikisend.com/download/437602/prevx.txt)

ringrazio anticipatamente chi si prenderà la briga di aiutarmi in questa ingarbugliata vicenda :D




ciao a tutti, ho colto l'occasione per registrarmi al forum che ho letto spesso.
ieri ho preso (presumo) questo mbr rootkit mentre navigavo, mi è apparso subito un avviso di antivir, ho bloccato l'accesso ma è passato lo stesso perchè dopo un pò c'è stato un riavvio spontaneo del pc e ho cominciato a riscontrare problemi nella navigazione (indirizzi che non si aprivano più, cliccando sul destro sui link cerca di aprire pagine strane). ho anche visto che nella cartello documents and settings era apparso l'utente helpassistant.
come l'utente che ha scritto un paio di messaggi sopra prima di trovare questa ottima guida, ne ho seguite altre più incasinate e ho pasticciato un pò con i programmi/tool indicati. adesso il problema durante la navigazione sembra essere sparito, però non mi fido molto e vorrei seguire la vostra procedura da capo, quindi linko i primi log:

http://wikisend.com/download/808274/gmer_log.txt

http://wikisend.com/download/446580/prevx_log.txt


prevx mi trova un problema ma per toglierlo dice che occorre la licenza.
devo procedere con la fase2?

1)nel computer ho due hard disk, entrambi con sistema operativo xp, devo controllare anche l'altro (che non mi dà problemi)?
2)nel caso valuto anche la possibilità di formattare, visto che la cosa era in programma per dare una pulita, però ho letto che potrebbe anche non togliersi. dovrei attaccare un hard disk esterno per salvare i dati, rischio che si infetti anche quello attaccandolo?

Chill-Out
26-12-2009, 21:28
Ecco. Qui non c'è traccia dell'account help assistant (per ora ho cancellato il profilo e quindi la cartella è sparita)

http://img85.imageshack.us/img85/1853/scr4398472.th.jpg (http://img85.imageshack.us/i/scr4398472.jpg/)

Ho riavviato ed ecco il risultato: addirittura due cartelle!

http://img403.imageshack.us/img403/4289/scr5030656.th.jpg (http://img403.imageshack.us/i/scr5030656.jpg/)

Il mistero si infittisce

Elimina le cartelle, riavvia il PC e dimmi se il profilo HelpAssistant si ricrea.

Chill-Out
26-12-2009, 21:33
scusate per i post multipli ma questa infezione mi sta facendo impazzire :mc:


Ciao, comprenderai perfettamente che questo è uno Forum e non una chat, tra l'altro questi sono giorni di festa, quindi si tratta di avre un pochino di pazienza, comunque dai log non emege nulla :)

neway
26-12-2009, 22:52
Elimina le cartelle, riavvia il PC e dimmi se il profilo HelpAssistant si ricrea.

Si, si ricrea di continuo, l'ho cancellata 3 o 4 volte, ma al riavvio si ricrea sempre.

ho provato di nuovo dalla consolle di ripristino i comandi fixmbr e fixboot (entrambi eseguiti con successo), ho avviato in modalità provvisoria, cancellato la cartella HelpAssistant, poi riavviato in modalità normale e la cartella si è ricreata puntualmente.

E' incredibile, tutti gli anti rootkit, GMER compreso non rilevano niente, solo Stealth MBR RootKit detector è continua a segnalarmi il problema. Anche la consolle di ripristino all'atto di fare il fixmbr mi diceva che il MBR era non standard.


Allego qui perchè il log è molto corto

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x896BD740]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x896bd740
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> 0x8922e060
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x0E4FBFE2
malicious code @ sector 0x0E4FBFE5 !
PE file found in sector at 0x0E4FBFFB !
Use "Recovery Console" command "fixmbr" to clear infection !

Chill-Out
26-12-2009, 23:10
Come chiesto in precedenza il profilo si è ricreato? Allegami uno screen di tasto dx del mouse su "Risorse Del Computer"

unnoacaso
26-12-2009, 23:27
forse mi sono spiegato male, i post multipli non erano frutto di impazienza, sono io che ho fatto varie cose diverse (tra cui la formattazione) e quindi poi mi sentivo in dovere di postare la situazione aggiornata. :D
venendo al succo...veramente a me sembra che il log di mbr che ho postato dica che sono ancora infetto...o sbaglio?
e poi perchè norman sinowal si comporta stranamente dicendomi: "unable to scan for sinowalmbr hooks"?
poi vorrei anche sapere se in questi casi si può attaccare un hard disk esterno senza problemi...


Ciao, comprenderai perfettamente che questo è uno Forum e non una chat, tra l'altro questi sono giorni di festa, quindi si tratta di avre un pochino di pazienza, comunque dai log non emege nulla :)

Chill-Out
26-12-2009, 23:32
venendo al succo...veramente a me sembra che il log di mbr che ho postato dica che sono ancora infetto...o sbaglio?

Sbagli


e poi perchè norman sinowal si comporta stranamente dicendomi: "unable to scan for sinowalmbr hooks"?

Non ho visto il log


poi vorrei anche sapere se in questi casi si può attaccare un hard disk esterno senza problemi...

Si

unnoacaso
27-12-2009, 01:37
mi spieghi perchè sbaglio per il log di mbr
mbr.log (http://wikisend.com/download/493078/mbr.log)
mi sembra che dica ancora "malicius code ecc.. ecc..", aiutami a capire...
per quanto riguarda il norman sinowal questo è il log:
NFix_2009-12-26_23-32-17.log (http://wikisend.com/download/543218/NFix_2009-12-26_23-32-17.log)
come vedi c'è quella frase incriminata che dicevo, "unable to scan for sinowalmbr hooks" ed inoltre a chiusura del programma mi chiedeva anche di riavviare il computer (ma lo fa ogni volta mi pare, anche se non ne capisco il motivo).
grazie ancora del supporto :)


Sbagli



Non ho visto il log



Si

neway
27-12-2009, 12:24
Come chiesto in precedenza il profilo si è ricreato? Allegami uno screen di tasto dx del mouse su "Risorse Del Computer"

Si che si ricrea, ecco lo screenshot

http://img96.imageshack.us/img96/2557/scr9231860.th.jpg (http://img96.imageshack.us/i/scr9231860.jpg/)

Grazie ancora

psykonaut
27-12-2009, 17:27
buondì :)
ho il pc infetto e sto seguendo questa utilissima guida per cercare di uscire da questo ginepraio.. Ho eseguito le prime due scansioni con GMER e Prevx 3.0
e questi sono i due logs. Come da tutorial attendo le istruzioni per passare alla fase successiva. Grazie mille per l'aiuto

ecco i log:

gmer
Edit

prevx
Edit
speriamo bene :sperem:

Chill-Out
27-12-2009, 21:18
Si che si ricrea, ecco lo screenshot

http://img96.imageshack.us/img96/2557/scr9231860.th.jpg (http://img96.imageshack.us/i/scr9231860.jpg/)

Grazie ancora

Connessione remota -> e togli il segno di spunta da Assistenza remota e Desktop remoto

Chill-Out
27-12-2009, 21:21
mi spieghi perchè sbaglio per il log di mbr
mbr.log (http://wikisend.com/download/493078/mbr.log)
mi sembra che dica ancora "malicius code ecc.. ecc..", aiutami a capire...
per quanto riguarda il norman sinowal questo è il log:
NFix_2009-12-26_23-32-17.log (http://wikisend.com/download/543218/NFix_2009-12-26_23-32-17.log)
come vedi c'è quella frase incriminata che dicevo, "unable to scan for sinowalmbr hooks" ed inoltre a chiusura del programma mi chiedeva anche di riavviare il computer (ma lo fa ogni volta mi pare, anche se non ne capisco il motivo).
grazie ancora del supporto :)

Probabile che tu l'abbia letto su questo 3D


l'unica cosa è che mbr rootkit detector ancora mi segnala la presenza,
però da qualche parte ho letto che persiste a segnalarlo.

Chill-Out
27-12-2009, 21:23
buondì :)
ho il pc infetto e sto seguendo questa utilissima guida per cercare di uscire da questo ginepraio.. Ho eseguito le prime due scansioni con GMER e Prevx 3.0
e questi sono i due logs. Come da tutorial attendo le istruzioni per passare alla fase successiva. Grazie mille per l'aiuto

ecco i log:

gmer
Edit

prevx
Edit
speriamo bene :sperem:

Ciao e benvenuto, cortesemente utlizza i server remoti indicati in guida :)

psykonaut
27-12-2009, 21:28
Ciao e benvenuto, cortesemente utlizza i server remoti indicati in guida :)

uh perdonami, nella concitazione ho letto le istruzioni un po' di fretta :)

gmer
GMER log.txt (http://wikisend.com/download/615168/GMER log.txt)

prevx
Prevx log.txt (http://wikisend.com/download/533104/Prevx log.txt)

Chill-Out
27-12-2009, 21:30
uh perdonami, nella concitazione ho letto le istruzioni un po' di fretta :)

gmer
GMER log.txt (http://wikisend.com/download/615168/GMER log.txt)

prevx
Prevx log.txt (http://wikisend.com/download/533104/Prevx log.txt)

Dai log non emerge nulla, sulla base di cosa riiteni di avere il PC infetto?

psykonaut
27-12-2009, 21:37
Dai log non emerge nulla, sulla base di cosa riiteni di avere il PC infetto?

che strano, come antivirus uso symantec antivirus e dopo aver visitato un sito (se serve poi te lo cito) si è scatenato l'inferno. dopo una scansione con l'av è stata riscontrata una infezione del suddetto virus che non è stato possibile riparare. al che ho provato a rimuoverla seguendo (lo ammetto un po' disordinatamente) la tua guida. non venendone a capo ho riprovato a rifare tutto da capo e da qui il mio thread..

ho fatto una scansione in modalità provvisoria con mbr.exe -f ed il log mi direbbe (da quello che ci posso capire io) che un'infezione c'è...
se può servire il log è questo mbr.log (http://wikisend.com/download/508598/mbr.log)

porta pazienza ma come avrai capito non sono espertissimo :doh:

Chill-Out
27-12-2009, 21:45
che strano, come antivirus uso symantec antivirus e dopo aver visitato un sito (se serve poi te lo cito) si è scatenato l'inferno. dopo una scansione con l'av è stata riscontrata una infezione del suddetto virus che non è stato possibile riparare. al che ho provato a rimuoverla seguendo (lo ammetto un po' disordinatamente) la tua guida. non venendone a capo ho riprovato a rifare tutto da capo e da qui il mio thread..

ho fatto una scansione in modalità provvisoria con mbr.exe -f ed il log mi direbbe (da quello che ci posso capire io) che un'infezione c'è...
se può servire il log è questo mbr.log (http://wikisend.com/download/508598/mbr.log)

porta pazienza ma come avrai capito non sono espertissimo :doh:

Mi allegheresti il log del Norton :)

psykonaut
27-12-2009, 21:49
Mi allegheresti il log del Norton :)

eccolo norton.csv (http://wikisend.com/download/951408/norton.csv)

ma tutta questa pazienza dove la vai a prendere? -_-

Chill-Out
27-12-2009, 21:51
eccolo norton.csv (http://wikisend.com/download/951408/norton.csv)

ma tutta questa pazienza dove la vai a prendere? -_-

In formato .txt :)

psykonaut
27-12-2009, 21:56
In formato .txt :)

norton.txt (http://wikisend.com/download/482182/norton.txt)

spero possa andar bene..

Chill-Out
27-12-2009, 21:59
norton.txt (http://wikisend.com/download/482182/norton.txt)

spero possa andar bene..

A me sembra che il tuo AV abbia fatto il suo dovere, per scrupolo allega il log della Seconda e Terza fase

psykonaut
27-12-2009, 22:04
A me sembra che il tuo AV abbia fatto il suo dovere, per scrupolo allega il log della Seconda e Terza fase

perfetto, allora procedo subito.
una domanda, dalla guida non riesco a capire se il Norman devo avviarlo in modalità provvisoria o in modalità normale. grazie per il prezioso supporto

Chill-Out
27-12-2009, 22:12
perfetto, allora procedo subito.
una domanda, dalla guida non riesco a capire se il Norman devo avviarlo in modalità provvisoria o in modalità normale. grazie per il prezioso supporto

Normale

neway
28-12-2009, 12:40
Connessione remota -> e togli il segno di spunta da Assistenza remota e Desktop remoto

Niente da fare, era già deselezionato.

Senti, neanche per importunarti ulteriormente. Se formatto tutto dovrei risolvere il problema?

unnoacaso
28-12-2009, 13:58
ok, quindi mbr.exe continua a segnalare la presenza anche dopo la rimozione.
sono tranquillo quindi. grazie per l'aiuto e la pazienza :ave:

Probabile che tu l'abbia letto su questo 3D

Chill-Out
28-12-2009, 16:34
Niente da fare, era già deselezionato.

Senti, neanche per importunarti ulteriormente. Se formatto tutto dovrei risolvere il problema?

Mi sembra strano, comunque se desideri formattare, formatta a basso livello.

Chill-Out
28-12-2009, 16:34
ok, quindi mbr.exe continua a segnalare la presenza anche dopo la rimozione.
sono tranquillo quindi. grazie per l'aiuto e la pazienza :ave:

Prego :)

neway
28-12-2009, 21:01
Originariamente inviato da neway Guarda i messaggi
Niente da fare, era già deselezionato.

Senti, neanche per importunarti ulteriormente. Se formatto tutto dovrei risolvere il problema?
Mi sembra strano, comunque se desideri formattare, formatta a basso livello.

Ho scoperto dove sbagliavo ed ho risolto il problema SENZA formattare. Grazie a Chill-out per la sua gentilezza e disponibilità. Lo invito a leggere quanto segue.
La consolle di ripristino di windows riconosceva come predefinito un'altro disco rigido, quindi ripristinava il master boot record di un altro disco, non di quello con il sistema operativo! E' bastato quindi utilizzare il comando fixmbr completo, cioè, nel mio caso
fixmbr \Device\Harddisk1\Partition1
in cui specificavo di riparare la partizione interessata dal rootkit.

Per capire esattamente su quale partizione eseguire il fixmbr ho usato il comando map della consolle di ripristino.

Al primo riavvio ho cancellato la cartella helpassistant. Tutti i sintomi rimasti del virus sono scomparsi totalmente (si bloccava mentre entrava in standby e crashava le applicazioni in DOS a 16 bit).

ancora ora però Stealth MBR rootkit detector mi da questo log (è breve dunque lo allego qui)
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0E4FBFE2
malicious code @ sector 0x0E4FBFE5 !
PE file found in sector at 0x0E4FBFFB !

Perchè continua a trovare roba sporca?
Anche Dr Web (che ora parte tranquillamente) non segnala niente

AttilsNa
28-12-2009, 22:46
:doh: scusatemi,ho scritto doppio
Cancellate pure

AttilsNa
28-12-2009, 22:47
ho copiato entrambi i link per sicurezza ^^

http://wikisend.com/download/445970/gmer.txt
gmer.txt (http://wikisend.com/download/445970/gmer.txt)

http://www.hwupgrade.it/forum/showthread.php?t=1715546
prex1.log (http://wikisend.com/download/925362/prex1.log)


questi sono i log,ieri avevo 38 file infetti per prex e così ho seguito il percorso e sono andato a cancellare i file che sono segnalati,ma come sempre non riesco a trovare nel percorso ( C:/document and setting/utente/impostazioni locali/temp/-temp/ e poi il file ) quì la cartella -temp non esiste in quel percorso,mentre quella che è in help assistent c'è e la cancello.Ma dopo un po mi ritornano i 38-39- a volte 42 file infetti...
Grazie mille,e colgo l'occasione per augurarvi un Buon Natale e felice anno nuovo a tutti

:read: scusami chill se ripropongo,ma non avendo visto più risposte pensavo ti fosse scappato ^^
se già hai letto, è come non detto...^^ non voglio impegnarti più di quanto lo sei;quindi aspetto una vostra risposta ^^ grazie ancora

Chill-Out
29-12-2009, 11:05
Ho scoperto dove sbagliavo ed ho risolto il problema SENZA formattare. Grazie a Chill-out per la sua gentilezza e disponibilità. Lo invito a leggere quanto segue.
La consolle di ripristino di windows riconosceva come predefinito un'altro disco rigido, quindi ripristinava il master boot record di un altro disco, non di quello con il sistema operativo! E' bastato quindi utilizzare il comando fixmbr completo, cioè, nel mio caso
fixboot \Device\Harddisk1\Partition1
in cui specificavo di riparare la partizione interessata dal rootkit.

Per capire esattamente su quale partizione eseguire il fixmbr ho usato il comando map della consolle di ripristino.

Anch'io credo di essere vittima del rootkit. Purtroppo prima di trovare questa guida ne ho seguite altre, ho dunque pasticciato un po' con i programmi di analisi e rimozione.

Mia configurazione: windows XP SP3. Ho due hard disk fisici: uno è C con windows, l'altro è partizionato in due (D, E). La cartella documenti di windows l'ho spostata nel drive D.

Ho letto, ma tu hai usato il comando fixboot per scrivere il nuovo codice del settore di avvio di Windows non fixmbr :)

Chill-Out
29-12-2009, 11:12
:read: scusami chill se ripropongo,ma non avendo visto più risposte pensavo ti fosse scappato ^^
se già hai letto, è come non detto...^^ non voglio impegnarti più di quanto lo sei;quindi aspetto una vostra risposta ^^ grazie ancora

Scusami, il tuo reply mi è sfuggito, potresti allegare nuovo log di Prevx.

psykonaut
29-12-2009, 11:42
A me sembra che il tuo AV abbia fatto il suo dovere, per scrupolo allega il log della Seconda e Terza fase

come richiesto ecco i logs:

mbr.txt (http://wikisend.com/download/582840/mbr.txt)
NFix.txt (http://wikisend.com/download/518588/NFix.txt)
cureit filtrato.txt (http://wikisend.com/download/449380/cureit filtrato.txt)

attendo ulteriori istruzioni se necessarie..

spero di non andare troppo offtopic ma nel frattempo l'antivirus (symantec) ha cominciato a farmi le bizze, nel senso che:

- non riuscivo più ne a caricare ne scaricare il servizio
- non faceva più il liveupdate

ho provato a disinstallarlo e reinstallarlo ed ora il servizio si carica ma il liveupdate (anche se lo faccio manualmente) non parte e non da segni di vita.

presumo mi toccherà fare tutta la trafila della disinfezione che c'è qui molto ben illustrata sul vostro ottimo forum, e quasi quasi mi sa che provo a passare ad Avira. :muro:

Chill-Out
29-12-2009, 12:04
come richiesto ecco i logs:

mbr.txt (http://wikisend.com/download/582840/mbr.txt)
NFix.txt (http://wikisend.com/download/518588/NFix.txt)
cureit filtrato.txt (http://wikisend.com/download/449380/cureit filtrato.txt)

attendo ulteriori istruzioni se necessarie..

spero di non andare troppo offtopic ma nel frattempo l'antivirus (symantec) ha cominciato a farmi le bizze, nel senso che:

- non riuscivo più ne a caricare ne scaricare il servizio
- non faceva più il liveupdate

ho provato a disinstallarlo e reinstallarlo ed ora il servizio si carica ma il liveupdate (anche se lo faccio manualmente) non parte e non da segni di vita.

presumo mi toccherà fare tutta la trafila della disinfezione che c'è qui molto ben illustrata sul vostro ottimo forum, e quasi quasi mi sa che provo a passare ad Avira. :muro:

Per quel che concerne il MBR Rootkit siamo a posto.

psykonaut
29-12-2009, 12:22
Per quel che concerne il MBR Rootkit siamo a posto.

perfetto, grazie mille :)

ultima domanda poi giuro non ti stresso più :lamer:
dai logs si è evidenziato qualche altro problema ?
comunque farò tutta la procedura di disinfezione, ma in caso ci siano problemi specifici vedo di concentrarmi su quelli.

Chill-Out
29-12-2009, 12:25
perfetto, grazie mille :)

ultima domanda poi giuro non ti stresso più :lamer:
dai logs si è evidenziato qualche altro problema ?
comunque farò tutta la procedura di disinfezione, ma in caso ci siano problemi specifici vedo di concentrarmi su quelli.

Direi di no.

neway
29-12-2009, 12:56
Ho letto, ma tu hai usato il comando fixboot per scrivere il nuovo codice del settore di avvio di Windows non fixmbr

Mille scuse, ho sbagliato semplicemente a scrivere nel post. Volevo dire
fixmbr \Device\Harddisk1\Partition1

Il fixboot non si scriverebbe neanche così ma così: fixboot d:

In ogni caso grazie mille per l'aiuto e buon anno a tutti!

Chill-Out
29-12-2009, 13:14
Mille scuse, ho sbagliato semplicemente a scrivere nel post. Volevo dire
fixmbr \Device\Harddisk1\Partition1

Il fixboot non si scriverebbe neanche così ma così: fixboot d:

In ogni caso grazie mille per l'aiuto e buon anno a tutti!

Ok, hai fatto un mix con il comando diskpart, buon anno anche a te.

Maverikbj
29-12-2009, 19:08
Ciao a tutti

ho tribolato un po' (per usare un eufemismo) anch'io con questo MBR rottkit.

Un po' ho già sbrigliato la situazione ma ho l'impressione che mi sono rimaste delle code o tracce o altro che impediscono alcune funzionalità

La situazione attuale è la seguente:

Prevx 3.0 mi da situazione pulita
sthealt MBR mi da tutto OK
Norman Cleaner mi dic che non sono conensso come amministratore (annche se lo sono) e poi mi da Unable to scan for SinowalMBR ma poi fa la scansione dei dischi e trova tutto pulito.
Trend Micro Rootkit buster mi dice tutto OK.
Per sicurezza ho fatto anche un fixmbr da console di ripristino.
Ho rimosso le cartelle Helpassistant
Ho ripulito la directory temp
Ho rispistinato la chiave di registro che bloccava la visualizzazione della scheda di ripristino configurazione di sistema anche come amministratore (quindi ora tutto OK per questo)
Ho ripristinato gli attributi corretti alle cartelle degli utenti (in documents & settings) che risultavano come +h +s e quindi erano nascoste ora compaiono correttemente

Cosa non funziona ancora

1) CureIt! non parte -> schermata verde di avvio -> click su avvia scansione e rimane lì inchiodato e blocca il pc.

2) avviando il sistema normalmente non da problemi, ma avviando da modalità provvisoria -> BSOD errore 0x0000007E

3) GMER si avvia ma poi da subito BSOD BAD_POOL_HEADER errore 0x00000019

4) il norton ghost ha smesso di funzionare-> schermata gialla di avvio e si inchioda lì on un processo vproconsole che appare duplicato e assorbe nelle due istanze quasi il 100% delle risorse CPU (provato a reinstallare Norton Ghost 14 ma non risolve)

5) alle volte skype si apre da solo (si apre la schermata mentre è residente)
Aggiornato skype ma è uguale.

Per i motivi 2+3 ho reinstallato il service pack 3 di XP e me lo ha installato senza problemi dopo di che ho fatto fare tutti gli aggiornamenti in automatico

La velocità del PC non sembra compromessa
Altre cose non funzionanti non mi sembra ci siano.
Navigazione internet sembra normale.

Un aiuto sarebbe molto gradito..... :D

AttilsNa
30-12-2009, 00:37
Scusami, il tuo reply mi è sfuggito, potresti allegare nuovo log di Prevx.


sisi non preoccuparti,adesso mi da 19 infezioni mentre prima ne erano 38,
Ho cancellato i file a uno a uno dove mi dava il percorso,mentre il percorso di questi altri 19 quasi alla fine non trovo la cartella: -temp .(che se nn sbaglio sono gli stessi file,ma si trovano uno in impostazioni locali e l'altro in help assistant,una cosa del genere)..cmq ecco il log ;)

http://wikisend.com/download/208376/prex 29.12.09
prex 29.12.09 (http://wikisend.com/download/208376/prex 29.12.09)

wjmat
30-12-2009, 10:20
Ciao a tutti

ho tribolato un po' (per usare un eufemismo) anch'io con questo MBR rottkit.

Un po' ho già sbrigliato la situazione ma ho l'impressione che mi sono rimaste delle code o tracce o altro che impediscono alcune funzionalità

La situazione attuale è la seguente:

Prevx 3.0 mi da situazione pulita
sthealt MBR mi da tutto OK
Norman Cleaner mi dic che non sono conensso come amministratore (annche se lo sono) e poi mi da Unable to scan for SinowalMBR ma poi fa la scansione dei dischi e trova tutto pulito.
Trend Micro Rootkit buster mi dice tutto OK.
Per sicurezza ho fatto anche un fixmbr da console di ripristino.
Ho rimosso le cartelle Helpassistant
Ho ripulito la directory temp
Ho rispistinato la chiave di registro che bloccava la visualizzazione della scheda di ripristino configurazione di sistema anche come amministratore (quindi ora tutto OK per questo)
Ho ripristinato gli attributi corretti alle cartelle degli utenti (in documents & settings) che risultavano come +h +s e quindi erano nascoste ora compaiono correttemente

Cosa non funziona ancora

1) CureIt! non parte -> schermata verde di avvio -> click su avvia scansione e rimane lì inchiodato e blocca il pc.

2) avviando il sistema normalmente non da problemi, ma avviando da modalità provvisoria -> BSOD errore 0x0000007E

3) GMER si avvia ma poi da subito BSOD BAD_POOL_HEADER errore 0x00000019

4) il norton ghost ha smesso di funzionare-> schermata gialla di avvio e si inchioda lì on un processo vproconsole che appare duplicato e assorbe nelle due istanze quasi il 100% delle risorse CPU (provato a reinstallare Norton Ghost 14 ma non risolve)

5) alle volte skype si apre da solo (si apre la schermata mentre è residente)
Aggiornato skype ma è uguale.

Per i motivi 2+3 ho reinstallato il service pack 3 di XP e me lo ha installato senza problemi dopo di che ho fatto fare tutti gli aggiornamenti in automatico

La velocità del PC non sembra compromessa
Altre cose non funzionanti non mi sembra ci siano.
Navigazione internet sembra normale.

Un aiuto sarebbe molto gradito..... :D

ciao

gmer e cureit capita che diano problemi con alcuni pc se hai già riprovato più volte lasciali perdere

log non ne abbiamo visto ma da quello che hai scritto sembrta che mbr non ci sia più

per gli altri problemi specifici di win direi di chiedere qui
http://www.hwupgrade.it/forum/forumdisplay.php?f=33

Maverikbj
30-12-2009, 12:39
ciao

gmer e cureit capita che diano problemi con alcuni pc se hai già riprovato più volte lasciali perdere

log non ne abbiamo visto ma da quello che hai scritto sembrta che mbr non ci sia più

per gli altri problemi specifici di win direi di chiedere qui
http://www.hwupgrade.it/forum/forumdisplay.php?f=33


Aggiornamento situazione.

Scusa ma continuo qui perchè il problema sembra correlato all'attività del rootkit che avevo come sotto spiego.

Ho trovato su questo 3ad (pag 96) un utente che ha avuto un problema simile ma non trovo la soluzione (o almeno non l'ha postata) riguardo al bad_pool_header connesso a Gmer.

poi ho anche trovato questo

http://community.norton.com/norton/board/message?board.id=nis_feedback&thread.id=92568&view=by_date_ascending&page=2

Che rimanda a questa soluuzione

http://community.norton.com/norton/board/message?board.id=nis_feedback&message.id=44373#M44373

Ovvero il problema sembra associato alla corruzione del SYMEFA database

Ora ho seguito le istruzioni passo a passo del post sopra ma mi si presenta un altro problema che prima non avevo notato

Pur accedendo come administrator e avendo messo l'opzione di visualizzazione cartelle nascoste e visualizzazione cartelle di sistema la cartella System Volume Infomation ancora non è visibile (pur avendo verificato che esiste).

Allora ho tentato lo stesso sistema che avevo provato prima per le cartelle degli utenti che non si vedevano (e che aveva funzionato)

Console di ripristino

Attrib -H -S System Volume Information

Da parametro non corretto

Attrib -H -S "System Volume Information"

Ancora Parametro non corretto.

Se faccio un dir la cartella appare con attributi +d +h +s

Sto cercando di risolvere la situazione comnuque a sto punto per me è evidente che il virus ha modificato qualcosa negli attributi / diritti dell'amministratore

E questo spiega anche la risposta del tool Norman cleaner (non sei connesso come amministratore) e forse anche il comportamento di norton ghost (che ovviamente richiederà dei privilegi di amministratore per essere eseguito)
Non so se questo sia legato alla corruzione del database EFA

Io è la prima volta che sento parlare di questo problema di corruzione del database SYMEFA

Che vi pare?

Maverikbj
30-12-2009, 15:51
Allora è confemrato che il rookit ha fatto un casino coi diritte dell'amministratore.

Infatti in prprietà risulta che l'amministratore non ha diritti di controllo su molte cartelle

Ho ristabilito la situazione sulle cartelle (tra cui appunto la system volume infoirmation)

Inoltre ho riscontrato un'altra situazione assurda

Se vado opzioni cartelle mi ritrovo selezionati intrambe le ozioni (che dovrebbero essere alternative) di Cartelle e file nascosti
Se seleziono una delle due opzioni e poi faccio applikca e Ok sembra vada a psot.
Ma poi richiudendo e poi ripetendo la procedura mi ritrobo nella situazione di entrambe le opzioni selezionate.

Anche questa mi sembra chiaramente un effto del rootkit che ha cambiato qualcosa.

Chill-Out
30-12-2009, 16:40
Allora è confemrato che il rookit ha fatto un casino coi diritte dell'amministratore.

Infatti in prprietà risulta che l'amministratore non ha diritti di controllo su molte cartelle

Ho ristabilito la situazione sulle cartelle (tra cui appunto la system volume infoirmation)

Inoltre ho riscontrato un'altra situazione assurda

Se vado opzioni cartelle mi ritrovo selezionati intrambe le ozioni (che dovrebbero essere alternative) di Cartelle e file nascosti
Se seleziono una delle due opzioni e poi faccio applikca e Ok sembra vada a psot.
Ma poi richiudendo e poi ripetendo la procedura mi ritrobo nella situazione di entrambe le opzioni selezionate.

Anche questa mi sembra chiaramente un effto del rootkit che ha cambiato qualcosa.

Il problema che stai riscontrando non dipende dal rootkit in questione, ma può dipendere da un'altra infezione o dall'utilizzo errato del comando Attrib.

Maverikbj
30-12-2009, 17:01
Il problema che stai riscontrando non dipende dal rootkit in questione, ma può dipendere da un'altra infezione o dall'utilizzo errato del comando Attrib.

Credo proprio di no perchè prima dell'infezione il problema non si presentava sono sicuro.

Altre infezioni in corso ragionevoltmente presumo non ce ne sono avendo fatto scansione completa dell HD con mcafee e prevx.

Utilizzo del comando attrib non credo perchè cambia solo gli attributi delle cartelle e comunque non avevo dato nessun comando del genere su alcune cartelle in cui invece ho riscontrato il problema.

Chill-Out
30-12-2009, 17:03
Utilizzo del comando attrib non credo perchè cambia solo gli attributi delle cartelle e comunque non avevo dato nessun comando del genere su alcune cartelle in cui invece ho riscontrato il problema.

Appunto, ti suggerisco scansione completa con il tool indicato al Punto 2 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

Maverikbj
30-12-2009, 21:14
Scansione completa effettuata e nulla di anomalo trovato

Comunque ho risolto il problema delle cartelle nascoste.

Il rootkit (o un altro virus che il rootkit a scaricato) ha modificato questa chiave di registro

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"CheckedValue"=dword:00000001


Ho messo il valore da 1 a 2 e tutto è andato a posto

Ora proseguo nel tentativo di risoluzione del problema del BSOD con GMER come suggerito nel posto che ho evidenziato sopra... vediamo che succede..

Chill-Out
31-12-2009, 10:49
Scansione completa effettuata e nulla di anomalo trovato

Comunque ho risolto il problema delle cartelle nascoste.

Il rootkit (o un altro virus che il rootkit a scaricato) ha modificato questa chiave di registro

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"CheckedValue"=dword:00000001


Ho messo il valore da 1 a 2 e tutto è andato a posto

Ora proseguo nel tentativo di risoluzione del problema del BSOD con GMER come suggerito nel posto che ho evidenziato sopra... vediamo che succede..

Potresti allegare il log di MBAM :)

supertyson
04-01-2010, 09:28
Ciao, ho seguito il consiglio di ChillOut dopo aver postato al seguente link http://www.hwupgrade.it/forum/showthread.php?t=2116783 il mio problema.

Ok la fase preliminare,

la fase 1 non sono riuscito a farla completamente in quanto il programma G Mer mi dà lo stesso errore che avevo segnalato nel link sopra:
Si è verificato un errore in GMER, Potrebbe essersi verificata la perdita di dati su cui si stava lavorando, L'applicazione verrà chiusa.

Prevx sembra aver risolto il problema, qui sotto trovate i post prima e dopo la pulizia:

Prima Prevx.log (http://wikisend.com/download/469698/Prevx.log)
Dopo Prevxpost.log (http://wikisend.com/download/566132/Prevxpost.log)

Ora che devo fare?

Mi sono spinto un po' più in là lanciando anche Stealth MBR rootkit detector.

E' successa una cosa un po' strana, sono andato in modalità provvisoria e lanciato il programma come dice la guida, però è apparsa la finestra in stile DOS per un breve secondo senza darmi la possibilità di salvare il log. Sono riuscito a strappare solo questo screenshot: [img=http://img222.imageshack.us/img222/6310/mbrn.th.jpg] (http://img222.imageshack.us/i/mbrn.jpg/)

Sembra che il problema persista. Devo proseguire con la fase 2?
PErchè GMER non funziona?

Grazie

Chill-Out
04-01-2010, 10:37
Ciao, ho seguito il consiglio di ChillOut dopo aver postato al seguente link http://www.hwupgrade.it/forum/showthread.php?t=2116783 il mio problema.

Ok la fase preliminare,

la fase 1 non sono riuscito a farla completamente in quanto il programma G Mer mi dà lo stesso errore che avevo segnalato nel link sopra:
Si è verificato un errore in GMER, Potrebbe essersi verificata la perdita di dati su cui si stava lavorando, L'applicazione verrà chiusa.

Prevx sembra aver risolto il problema, qui sotto trovate i post prima e dopo la pulizia:

Prima Prevx.log (http://wikisend.com/download/469698/Prevx.log)
Dopo Prevxpost.log (http://wikisend.com/download/566132/Prevxpost.log)

Ora che devo fare?

Mi sono spinto un po' più in là lanciando anche Stealth MBR rootkit detector.

E' successa una cosa un po' strana, sono andato in modalità provvisoria e lanciato il programma come dice la guida, però è apparsa la finestra in stile DOS per un breve secondo senza darmi la possibilità di salvare il log. Sono riuscito a strappare solo questo screenshot: [img=http://img222.imageshack.us/img222/6310/mbrn.th.jpg] (http://img222.imageshack.us/i/mbrn.jpg/)

Sembra che il problema persista. Devo proseguire con la fase 2?
PErchè GMER non funziona?

Grazie

Fai girare Norman SinowalMBR Cleaner, successivamente passa alla Terza Fase.

supertyson
04-01-2010, 16:29
Fai girare Norman SinowalMBR Cleaner, successivamente passa alla Terza Fase.

Come detto in precedenza sono passato alla seconda fase:

Screenshot Stealth MBR rootkit detector http://img222.imageshack.us/i/mbrn.jpg/
Log Norman SinowalMBR Cleaner NFix_2010-01-04_11-59-29.log (http://wikisend.com/download/868710/NFix_2010-01-04_11-59-29.log)

Sono poi passato alla terza fase ma senza successo, perchè come già accaduto in fase di diagnosi della disinfezione, il programma CureIT Dr Web mi dà errore...in allegato lo screenshot dell'errore di DR WEB, e dell'errore che mi dava in precedenza GMER. Inoltre mi appare ogni tanto nella barra delle applicazioni il triangolo giallo con punto esclamativo che allego negli screenshot. http://img690.imageshack.us/gal.php?g=cureit.jpg

Tutto ciò dipende per caso dal virus/malware??

Tra l'altro ho notato che nella barra delle applicazioni l'orologio mostra l'ora in formato americano anzichè europeo e no riesco a sistemarlo.

Devo passare all'eliminazione della cartella helpassistant o prima devo sistemare quanto sopra?

Scusate se rompo l'anima ma per me è importante che torni tutto come prima..

grazie di nuovo..

Chill-Out
04-01-2010, 16:50
Come detto in precedenza sono passato alla seconda fase:

Screenshot Stealth MBR rootkit detector http://img222.imageshack.us/i/mbrn.jpg/
Log Norman SinowalMBR Cleaner NFix_2010-01-04_11-59-29.log (http://wikisend.com/download/868710/NFix_2010-01-04_11-59-29.log)

Sono poi passato alla terza fase ma senza successo, perchè come già accaduto in fase di diagnosi della disinfezione, il programma CureIT Dr Web mi dà errore...in allegato lo screenshot dell'errore di DR WEB, e dell'errore che mi dava in precedenza GMER. Inoltre mi appare ogni tanto nella barra delle applicazioni il triangolo giallo con punto esclamativo che allego negli screenshot. http://img690.imageshack.us/gal.php?g=cureit.jpg

Tutto ciò dipende per caso dal virus/malware??

Tra l'altro ho notato che nella barra delle applicazioni l'orologio mostra l'ora in formato americano anzichè europeo e no riesco a sistemarlo.

Devo passare all'eliminazione della cartella helpassistant o prima devo sistemare quanto sopra?

Scusate se rompo l'anima ma per me è importante che torni tutto come prima..

grazie di nuovo..

Le istruzioni inerenti la cartella HelpAssistant le trovi qui http://www.hwupgrade.it/forum/showpost.php?p=29922350&postcount=2142

gli altri problemi non dipendono dal rootkit in questione.

supertyson
04-01-2010, 16:53
Le istruzioni inerenti la cartella HelpAssistant le trovi qui http://www.hwupgrade.it/forum/showpost.php?p=29922350&postcount=2142

gli altri problemi non dipendono dal rootkit in questione.

ok per la cartella helpassistant

ma gli altri problemi allora da cosa dipendono?
ho seguito tutte le guide e le indicazioni che mi avete dato ma i problemi persistono...posso lasciarli stare (se non generano casini a lungo andare) o lidevo rimuovere con altri tools?

Chill-Out
04-01-2010, 16:57
ok per la cartella helpassistant

ma gli altri problemi allora da cosa dipendono?
ho seguito tutte le guide e le indicazioni che mi avete dato ma i problemi persistono...posso lasciarli stare (se non generano casini a lungo andare) o lidevo rimuovere con altri tools?

Gmer e DrWeb su alcuni sistemi a volte crashano, tutto qui.

supertyson
04-01-2010, 17:05
Gmer e DrWeb su alcuni sistemi a volte crashano, tutto qui.

ok rimossa anche helpassistant, grazie ChillOut per il tuo contributo determinante!

Chill-Out
04-01-2010, 17:14
ok rimossa anche helpassistant, grazie ChillOut per il tuo contributo determinante!

Prego

supertyson
04-01-2010, 17:25
scusa , l'ultima cosa

ma è normale che MBR stealth dia ancora questo messaggio?

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A14C00
malicious code @ sector 0x012A14C03 !
PE file found in sector at 0x012A14C19 !

Chill-Out
04-01-2010, 17:26
scusa , l'ultima cosa

ma è normale che MBR stealth dia ancora questo messaggio?

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A14C00
malicious code @ sector 0x012A14C03 !
PE file found in sector at 0x012A14C19 !

Si il log può rimanere "sporco"

Maverikbj
04-01-2010, 18:04
Potresti allegare il log di MBAM :)

Arieccomi....

La situazione si è ulteriormente incasinata all'inverosimile...
per la serie i guai non vengono mai soli ma in nutrita compagnia.

Allora vi avevo lasciato con il problema delle cartelle nascoste risolto modificando la chiave di registro

orbene fatto ciò mi è venuta la pessima idea di fare gli aggiornamenti con windows update (ricordo che avevo appena reinstallato il service pack 3 senza problemi)

Mi ha fatto ben 33 aggioramnti senza problemi. Sul 34 si è incartato per 8 ore.
Passato tale tempo ho pensato che valesse la pena di resettare.

Al riavvio BSOD page fault in non paged area errore 0x00000050

Provo in safe mode -> schermo nero con cursore lampeggiante...

bensisimo!

Allora i tentativi (infruttosi) per risolvere la faccenda sono stati nell'ordine

1) verificare le RAM -> tutto OK
2) chkdsk /r
3) ancora fixmbr
4) inserito disco floppy avvio di win98 -> fdisk /MBR
5) fixboot da console di ripristino
6) riavvio con ultima configurazione funzionante (ancora BSOD)
7) controllato il boot.ini che sembra a posto.
8) controllato che NON è il caso riportato qua:
http://support.microsoft.com/?kbid=894278&sd=RMVP

E dunque reinstallato con installazione di ripristino (non recovery console) XP con SP3 già integrato (anche installando i driver NVIDIA Sata tramite dischetto -F6 all'avvio) -> non cambia nulla sempre lo stesso BSOD

A questo punto non credo si tratti più di virus ma di qualche driver che si è irrimediabilmente incasinato (forse a causa del virus). Già ma quale?

Se devo continuare la discussione da un'altra parte fatemi sapere dove... (in quale sezione)

Comunque sono attualmente bloccato su questo BSOD

Si potesse almeno avere un log di cosa carica e quindi dove si blocca ma non riesco ad avere il ntbtlog.txt
non me lo produce in nessun tipo di avvio anche avviando im modalità provvisioria: si vede che carica un bel numero di driver prima del BSOD

Mi viene in mente ora di smontare l'HD e sottoporlo a MBAM con un altro PC servirebbe? Ma mi sa che avrò esito negativo...

Qualcuno ha altre idee?

(una volta mi pare che c'era il riavvio im modalità provvisoria con conferma passo a passo... ma non lo trovo più.. si postesse fare capirei che driver è che che incasina il tutto..)

Chill-Out
04-01-2010, 18:14
Se devo continuare la discussione da un'altra parte fatemi sapere dove... (in quale sezione)


Sezione Microsoft Windows

omissam
04-01-2010, 20:01
Bene Chill....Ho seguito le istruzioni seguendo alla lettera le indicazioni con Gmer e Prevx.Allego link per log (spero di farlo in maniera esatta..scusandomi per eventuali errori) per vedere se ora il problema è risolto (sembra che comunque vada già meglio!!) Grazie

http://wikisend.com/download/509626/Gmer1.txt.log
http://wikisend.com/download/547464/prevx.txt
http://wikisend.com/download/464550/Prevx2.txt

AttilsNa
05-01-2010, 01:55
sisi non preoccuparti,adesso mi da 19 infezioni mentre prima ne erano 38,
Ho cancellato i file a uno a uno dove mi dava il percorso,mentre il percorso di questi altri 19 quasi alla fine non trovo la cartella: -temp .(che se nn sbaglio sono gli stessi file,ma si trovano uno in impostazioni locali e l'altro in help assistant,una cosa del genere)..cmq ecco il log ;)

http://wikisend.com/download/208376/prex 29.12.09
prex 29.12.09 (http://wikisend.com/download/208376/prex 29.12.09)

mi riquoto..Scusate per l'insistenza,ma se mi dite che state già controllando già mi rilasso col pensiero,grazie ancora

Chill-Out
05-01-2010, 10:17
sisi non preoccuparti,adesso mi da 19 infezioni mentre prima ne erano 38,
Ho cancellato i file a uno a uno dove mi dava il percorso,mentre il percorso di questi altri 19 quasi alla fine non trovo la cartella: -temp .(che se nn sbaglio sono gli stessi file,ma si trovano uno in impostazioni locali e l'altro in help assistant,una cosa del genere)..cmq ecco il log ;)

http://wikisend.com/download/208376/prex 29.12.09
prex 29.12.09 (http://wikisend.com/download/208376/prex 29.12.09)

mi riquoto..Scusate per l'insistenza,ma se mi dite che state già controllando già mi rilasso col pensiero,grazie ancora

In formato .txt, grazie.

Chill-Out
05-01-2010, 10:18
Bene Chill....Ho seguito le istruzioni seguendo alla lettera le indicazioni con Gmer e Prevx.Allego link per log (spero di farlo in maniera esatta..scusandomi per eventuali errori) per vedere se ora il problema è risolto (sembra che comunque vada già meglio!!) Grazie

http://wikisend.com/download/509626/Gmer1.txt.log
http://wikisend.com/download/547464/prevx.txt
http://wikisend.com/download/464550/Prevx2.txt

Passa direttamente alla Teza Fase della presente Guida

supertyson
05-01-2010, 11:45
Si il log può rimanere "sporco"

ok , un'altra cosa..

dopo aver fatto la disinfezione ho notato che è cambiato, oltre al formato dell'ora... boh??, anche il colore del nome dei file nelle cartelle del pc.

Alcuni sono blu altri normalmente neri...come mai?

FabioBi
05-01-2010, 15:24
Ciao,
anch'io ho questo problema del mbr rootkit. Ho seguito la prima fase e nonostante mbr continui a dirmi che c'è un malicius code, ho visto che il pc ora lavora correttamente mentre prima si piantava in continuo e non mi compare più un messaggio di allarme su messenger.

comunque allego i log:

http://wikisend.com/download/891358/mbr.log
http://wikisend.com/download/478412/logPrevx.log

grazie della disponibilità.

Chill-Out
05-01-2010, 21:44
ok , un'altra cosa..

dopo aver fatto la disinfezione ho notato che è cambiato, oltre al formato dell'ora... boh??, anche il colore del nome dei file nelle cartelle del pc.

Alcuni sono blu altri normalmente neri...come mai?

Non dipende dal rootkit

Chill-Out
05-01-2010, 21:46
Ciao,
anch'io ho questo problema del mbr rootkit. Ho seguito la prima fase e nonostante mbr continui a dirmi che c'è un malicius code, ho visto che il pc ora lavora correttamente mentre prima si piantava in continuo e non mi compare più un messaggio di allarme su messenger.

comunque allego i log:

http://wikisend.com/download/891358/mbr.log
http://wikisend.com/download/478412/logPrevx.log

grazie della disponibilità.

La prima fase prevede il log di Gmer + due log di Prevx

Alek09
06-01-2010, 18:51
Salve a tutti, vi espongo il mio problema.

Stavo navigando tranquillamente con firefox quando senza che io abbia scaricato nulla, mi si apre Acrobat Reader, come se avessi aperto un file .pdf (che ribadisco non ho aperto, almeno non di mia iniziativa...)

Subito Avira mi manda un allarme, 3 notifiche di virus (purtroppo non ricordo il nome esatto, ricordo che uno era un .gi e l'altro era identificato come un trojan), a queste notifiche rispondo decidendo di eliminare i file, delete.

Dopo poco tempo il pc si riavvia da solo e durante il Boot mi appare la famosa scritta:

Trend ChipAwayVirus has detected a boot virrus on your hard disk.
Press <Enter> for more information (recommended)
<c> to continue booting.

dopo di chè, continuo il boot ed il pc si avvia, all'apparenza, senza problemi...

Ho seguito la prima fase della procedura come indicato dalla guida, solo che... Prevx non riscontra alcun anomalia, eppure spulciando il log trovo:

[G] c:\$mbr.0 [PX5: 99AA2E4B009FF0F80185002040C95900259D9CD1]

che assomiglia abbastanza all'esempio di log infetto che appare proprio nella guida, che faccio? passo alla seconda fase della guida?

vi allego i log (come potete vedere, il secondo log di prevx non c'è dato che non trova nulla da correggere), grazie in anticipo:

http://wikisend.com/download/484350/Gmer.txt
http://wikisend.com/download/525232/prevx.log

Chill-Out
06-01-2010, 22:06
Salve a tutti, vi espongo il mio problema.

Stavo navigando tranquillamente con firefox quando senza che io abbia scaricato nulla, mi si apre Acrobat Reader, come se avessi aperto un file .pdf (che ribadisco non ho aperto, almeno non di mia iniziativa...)

Subito Avira mi manda un allarme, 3 notifiche di virus (purtroppo non ricordo il nome esatto, ricordo che uno era un .gi e l'altro era identificato come un trojan), a queste notifiche rispondo decidendo di eliminare i file, delete.

Dopo poco tempo il pc si riavvia da solo e durante il Boot mi appare la famosa scritta:

Trend ChipAwayVirus has detected a boot virrus on your hard disk.
Press <Enter> for more information (recommended)
<c> to continue booting.

dopo di chè, continuo il boot ed il pc si avvia, all'apparenza, senza problemi...

Ho seguito la prima fase della procedura come indicato dalla guida, solo che... Prevx non riscontra alcun anomalia, eppure spulciando il log trovo:

[G] c:\$mbr.0 [PX5: 99AA2E4B009FF0F80185002040C95900259D9CD1]

che assomiglia abbastanza all'esempio di log infetto che appare proprio nella guida, che faccio? passo alla seconda fase della guida?

vi allego i log (come potete vedere, il secondo log di prevx non c'è dato che non trova nulla da correggere), grazie in anticipo:

http://wikisend.com/download/567170/Gmer.txt
http://wikisend.com/download/525232/prevx.log

Cortesemente riallega il log di Gmer, in quanto risulta incompresibile.

Alek09
06-01-2010, 22:13
Cortesemente riallega il log di Gmer, in quanto risulta incompresibile.

Chiedo venia per l'inconveniente, riuppato e link aggiornato nel mio primo post:

http://wikisend.com/download/484350/Gmer.txt

Chill-Out
06-01-2010, 22:35
Chiedo venia per l'inconveniente, riuppato e link aggiornato nel mio primo post:

http://wikisend.com/download/484350/Gmer.txt

Ok, allega i log della Fase 2 e 3

FabioBi
07-01-2010, 14:48
La prima fase prevede il log di Gmer + due log di Prevx

si scusa Chill ...ecco i log

http://wikisend.com/download/569986/LogGmer.txt
http://wikisend.com/download/957854/LogPrePrevx.log
http://wikisend.com/download/923950/LogPostPrevx.log

Chill-Out
07-01-2010, 21:28
si scusa Chill ...ecco i log

http://wikisend.com/download/569986/LogGmer.txt
http://wikisend.com/download/957854/LogPrePrevx.log
http://wikisend.com/download/923950/LogPostPrevx.log

Per scrupolo porta a termine la Guida, attendiamo i log della seconda e terza fase.

Chill-Out
07-01-2010, 23:05
Guida aggiornata

FabioBi
08-01-2010, 18:34
Per scrupolo porta a termine la Guida, attendiamo i log della seconda e terza fase.

ecco i log della seconda e terza fase:


http://wikisend.com/download/485712/mbr.log
http://wikisend.com/download/459608/NFix_2010-01-08_12-54-29.log
http://wikisend.com/download/956986/cureit filtrato.txt

posso rimuovere la cartella helpassistant?

Chill-Out
08-01-2010, 18:57
ecco i log della seconda e terza fase:


http://wikisend.com/download/485712/mbr.log
http://wikisend.com/download/459608/NFix_2010-01-08_12-54-29.log
http://wikisend.com/download/956986/cureit filtrato.txt

posso rimuovere la cartella helpassistant?

Cortesemente riallega il log di CureIt su un server remoto alernativo, li trovi nelle Regole di sezione in firma, per la cartella Help.......trovi le istruzioni in Guida.

Alek09
08-01-2010, 20:26
Ok, allega i log della Fase 2 e 3

ho proseguito con la 2a fase, al momento di avviare il pc in modalità provvisoria succede una cosa insolita, almeno credo, ossia il pc mi da la possibilità di fare il log in a xp sia come administrator che con il mio nome user.. cosa che abitualmente non si verifica..

comunque, il log di mbr è breve e dice solo:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


il log di Norman_Sinowal_Cleaner è: http://www.mediafire.com/?wj5jrj1wmww

nella terza fase ho dei problemi, cureit si apre, ma appena premo avvia per la prima scansione, dopo pochi secondi di attesa, il computer si riavvia regolarmente.
In poche parole, non mi permette di effettuare la scansione...

provo ad effettuarla in modalità provvisoria? accedo come user o come administrator? oppure prima elimino la cartella helpassistant? o ci sono programmi alternativi?
mi è anche venuto il dubbio che cureit non parta per qualche conflitto con altri programmi (prevx e/o l'antivirus)

grazie ancora per la pazienza. (:

Chill-Out
09-01-2010, 10:21
ho proseguito con la 2a fase, al momento di avviare il pc in modalità provvisoria succede una cosa insolita, almeno credo, ossia il pc mi da la possibilità di fare il log in a xp sia come administrator che con il mio nome user.. cosa che abitualmente non si verifica..

comunque, il log di mbr è breve e dice solo:



il log di Norman_Sinowal_Cleaner è: http://www.mediafire.com/?wj5jrj1wmww

nella terza fase ho dei problemi, cureit si apre, ma appena premo avvia per la prima scansione, dopo pochi secondi di attesa, il computer si riavvia regolarmente.
In poche parole, non mi permette di effettuare la scansione...

provo ad effettuarla in modalità provvisoria? accedo come user o come administrator? oppure prima elimino la cartella helpassistant? o ci sono programmi alternativi?
mi è anche venuto il dubbio che cureit non parta per qualche conflitto con altri programmi (prevx e/o l'antivirus)

grazie ancora per la pazienza. (:

Il log di Stealth MBR rootkit/Mebroot/Sinowal è ok, se CureIt crasha direi che non è il caso di insistere, elimina il profilo HelpAssistant.

FabioBi
09-01-2010, 14:14
Cortesemente riallega il log di CureIt su un server remoto alernativo, li trovi nelle Regole di sezione in firma, per la cartella Help.......trovi le istruzioni in Guida.

Chill ....riesco ad allegare il log solo su wikisend. Freefilehosting non è disponibile e fileqube una volta fatto l'upload va in una pagina pubblicitaria senza darmi alcun codice del log. Ti mando il log da wikisend, grazie della pazienza.

http://wikisend.com/download/937968/CureitFiltrato.txt

Chill-Out
09-01-2010, 17:03
Chill ....riesco ad allegare il log solo su wikisend. Freefilehosting non è disponibile e fileqube una volta fatto l'upload va in una pagina pubblicitaria senza darmi alcun codice del log. Ti mando il log da wikisend, grazie della pazienza.

http://wikisend.com/download/937968/CureitFiltrato.txt

Al momento wikisend non è disponibile, hai provato su http://www.mediafire.com/ ?

Alek09
09-01-2010, 17:57
Il log di Stealth MBR rootkit/Mebroot/Sinowal è ok, se CureIt crasha direi che non è il caso di insistere, elimina il profilo HelpAssistant.

ho xp professional, eliminato anche il profilo HelpAssistant... riavvio ma la scritta è sempre presente:

Trend ChipAwayVirus has detected a boot virrus on your hard disk.
Press <Enter> for more information (recommended)
<c> to continue booting.


capisco che tutte le scansioni non hanno trovato nulla, e che effettivamente il pc sembra non avere nulla che non va... ma perchè quella scritta al boot?
posso lasciare tutto così, o conviene comunque formattare e togliere ogni dubbio?

Chill-Out
09-01-2010, 18:01
ho xp professional, eliminato anche il profilo HelpAssistant... riavvio ma la scritta è sempre presente:

Trend ChipAwayVirus has detected a boot virrus on your hard disk.
Press <Enter> for more information (recommended)
<c> to continue booting.


capisco che tutte le scansioni non hanno trovato nulla, e che effettivamente il pc sembra non avere nulla che non va... ma perchè quella scritta al boot?
posso lasciare tutto così, o conviene comunque formattare e togliere ogni dubbio?

Segui questa procedura

* Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS
* Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY
* Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive
* A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows
* Premi F10 per confermare ed uscire
* Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
* Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
* Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, 1) X:\Windows quindi premere 1 e confermare con OK
* Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.
* Al prompt dei comandi digita FIXMBR e clicca su Y per confermare
* Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows

AttilsNa
10-01-2010, 19:16
In formato .txt, grazie.

ho rifatto la scansione,e ho usato il sito che avete messo in prima pagina per inserire i log.
Non so se è quello che vuoi,se non è così mi dici come fare e io lo faccio.
Grazie a voi ;)

http://wikisend.com/download/571574/10.01.10
10.01.10 (http://wikisend.com/download/571574/10.01.10)

Briseide28
10-01-2010, 20:42
Salve a tutti. Il mio pc giace da giorni ormai preda di un rootkit, e non so proprio più quale strada tentare per rimuoverlo. :muro:
Ho eseguito la fase preliminare; mentre gmer non funge in alcun modo, questo è il log della scansione con prevX:
http://wikisend.com/download/529858/prevx1.txt
Per quanto riguarda la rimozione delle voci infette, mi richiede la licenza :confused:
Grazie a chiunque voglia darmi una mano. :)

Chill-Out
10-01-2010, 22:13
ho rifatto la scansione,e ho usato il sito che avete messo in prima pagina per inserire i log.
Non so se è quello che vuoi,se non è così mi dici come fare e io lo faccio.
Grazie a voi ;)

http://wikisend.com/download/571574/10.01.10
10.01.10 (http://wikisend.com/download/571574/10.01.10)

In formato testo (.txt) esattamente come viene rilasciato, esempio http://wikisend.com/download/529858/prevx1.txt

Chill-Out
10-01-2010, 22:16
Salve a tutti. Il mio pc giace da giorni ormai preda di un rootkit, e non so proprio più quale strada tentare per rimuoverlo. :muro:
Ho eseguito la fase preliminare; mentre gmer non funge in alcun modo, questo è il log della scansione con prevX:
http://wikisend.com/download/529858/prevx1.txt
Per quanto riguarda la rimozione delle voci infette, mi richiede la licenza :confused:
Grazie a chiunque voglia darmi una mano. :)

Ciao, allega i log inerenti la seconda e terza fase, successivamente vediamo come procedere.

Briseide28
11-01-2010, 13:59
Log con mbr detector:
http://wikisend.com/download/943784/mbr.log
Con Norman_Sinowal_Cleaner ho avuto un po' di problemi, nel senso che la scansione finisce sempre per bloccarsi... Ho provato svariate volte, sia in modalità provvisoria che non, ma niente :rolleyes: Questo è il log che mi ha salvato, ovviamente incompleto.
http://wikisend.com/download/612412/NFix_ok.txt
Con dr.web di male in peggio... quando avvio la scansione si impalla tutto e devo per forza riavviare.
Infine ho inattivato help assistant, almeno quello con successo. :D
Come mi muovo ora? Grazie! :)

Chill-Out
11-01-2010, 18:06
Log con mbr detector:
http://wikisend.com/download/943784/mbr.log
Con Norman_Sinowal_Cleaner ho avuto un po' di problemi, nel senso che la scansione finisce sempre per bloccarsi... Ho provato svariate volte, sia in modalità provvisoria che non, ma niente :rolleyes: Questo è il log che mi ha salvato, ovviamente incompleto.
http://wikisend.com/download/612412/NFix_ok.txt
Con dr.web di male in peggio... quando avvio la scansione si impalla tutto e devo per forza riavviare.
Infine ho inattivato help assistant, almeno quello con successo. :D
Come mi muovo ora? Grazie! :)

Nuovo log di Prevx e verifica che il profilo HelpAssistant non sia ricomparso.

FabioBi
11-01-2010, 19:59
Al momento wikisend non è disponibile, hai provato su http://www.mediafire.com/ ?

Ecco il log da mediafire. Spero di aver fatto corretamente perchè l'upload non è molto intuitivo:

http://www.mediafire.com/file/gzzmtnmny0v/CureitFiltrato.txt

Grazie

Briseide28
11-01-2010, 22:38
Il maledetto Help assistant continua a riattivarsi... :rolleyes: Ma dopo aver seguito le indicazioni del primo post, per caso devo eliminarlo anche da documents and setting e dagli users?
Comunque questa è il log con prevX:
http://www.mediafire.com/?zafkqumqz4m

Chill-Out
12-01-2010, 11:17
Ecco il log da mediafire. Spero di aver fatto corretamente perchè l'upload non è molto intuitivo:

http://www.mediafire.com/file/gzzmtnmny0v/CureitFiltrato.txt

Grazie

Log pulito, segui il trattamento post infezione.

Chill-Out
12-01-2010, 11:19
Il maledetto Help assistant continua a riattivarsi... :rolleyes: Ma dopo aver seguito le indicazioni del primo post, per caso devo eliminarlo anche da documents and setting e dagli users?
Comunque questa è il log con prevX:
http://www.mediafire.com/?zafkqumqz4m

Fammi capire, hai eliminato il profilo HelpAssistant ed al riavvio si è ricreato?

Briseide28
12-01-2010, 14:17
--- scusate il doppio post, colpa del pc impallato!

Briseide28
12-01-2010, 14:24
Ho seguito le istruzioni nella guida, cioè da gestione computer ho disabilitato Help Assistant e rimosso questi dal tab membro di. Al riavvio successivo, o quello dopo, torna tutto come prima, con Help assistant riabilitato e presente come membro di administrator. C'è da dire che però non sono dei veri e propri riavvii; infatti il pc si blocca dopo 5, massimo 10 minuti costringendomi a resettarlo o spegnerlo direttamente, senza poter avviare la procedura di arresto da pc.

Chill-Out
12-01-2010, 16:49
Ho seguito le istruzioni nella guida, cioè da gestione computer ho disabilitato Help Assistant e rimosso questi dal tab membro di. Al riavvio successivo, o quello dopo, torna tutto come prima, con Help assistant riabilitato e presente come membro di administrator. C'è da dire che però non sono dei veri e propri riavvii; infatti il pc si blocca dopo 5, massimo 10 minuti costringendomi a resettarlo o spegnerlo direttamente, senza poter avviare la procedura di arresto da pc.

Produci il log di una scansione completa col tool indicato al Punto 2 della presente guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

anto
12-01-2010, 16:50
Una domanda: GMER deve essere lanciato da windows del disco che si presume infetto o si può anche lanciare da un altro disco con un sistema operativo windows - che si ritiene sicuramente NON infetto - per far scansionare completamente il disco che si suppone infetto?

Dico questo perchè ho tra le mani un disco con un possibile rootkit ma che ormai non riesce neppure ad avviare windows...


Grazie per i consigli.

Anto

Chill-Out
12-01-2010, 18:51
Una domanda: GMER deve essere lanciato da windows del disco che si presume infetto o si può anche lanciare da un altro disco con un sistema operativo windows - che si ritiene sicuramente NON infetto - per far scansionare completamente il disco che si suppone infetto?

Dico questo perchè ho tra le mani un disco con un possibile rootkit ma che ormai non riesce neppure ad avviare windows...


Grazie per i consigli.

Anto

Pui lanciarlo anche dal PC ospitante.

FabioBi
12-01-2010, 22:11
Log pulito, segui il trattamento post infezione.

Grazie mille dell'assistenza.
Mi sai dire perchè dal log di mbr si nota che c'è ancora un malicius code?

Chill-Out
12-01-2010, 22:45
Grazie mille dell'assistenza.
Mi sai dire perchè dal log di mbr si nota che c'è ancora un malicius code?

Il log può rimanere "sporco", ciao.

Alek09
13-01-2010, 17:55
Produci il log di una scansione completa col tool indicato al Punto 2 della presente guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

sono di nuovo io, Chill, non ho ancora effettuato quella procedura che mi hai suggerito circa il boot con il cd di windows (colpa di un altro virus, questa volta influenzale che mi ha tenuto ko)... ma mi sono accorto di avere lo stesso problema di briseide.

Dopo aver disabilitato l'account HelpAssistant, come mi avevi suggerito tu, seguendo la guida... oggi ho notato che è riapparso.
Ho disabilitato di nuovo l'account, ho anche cancellato la cartella in Documents and Settings, riavvio il pc, e quando vado a controllare, noto che la cartella è ancora disabilitata.
Tutta questa procedura con il pc scollegato da internet, senza il cavo del router collegato.

Provo a riavviare il pc con il collegamento internet attivo, e noto che HelpAssistant è tornato, sia come cartella sia come profilo abilitato presente come membro di Administrator.

Nella guida consigliano "aprite il TAB Membro di se HelpAssistant è all'interno del box bianco selezionatelo e rimuovetelo cliccando sul tasto Rimuovi"; mi consigli di rimuovere anche se risulta Membro di Administrator?
Consigli anche a me la scansione con quel tool, ossia Malwarebytes Anti-Malware o mi rinnovi l'invito a procedere con la procedura che mi hai descritto qualche giorno fa?

Di nuovo grazie per l'assistenza.

Chill-Out
13-01-2010, 19:33
sono di nuovo io, Chill, non ho ancora effettuato quella procedura che mi hai suggerito circa il boot con il cd di windows (colpa di un altro virus, questa volta influenzale che mi ha tenuto ko)... ma mi sono accorto di avere lo stesso problema di briseide.

Dopo aver disabilitato l'account HelpAssistant, come mi avevi suggerito tu, seguendo la guida... oggi ho notato che è riapparso.
Ho disabilitato di nuovo l'account, ho anche cancellato la cartella in Documents and Settings, riavvio il pc, e quando vado a controllare, noto che la cartella è ancora disabilitata.
Tutta questa procedura con il pc scollegato da internet, senza il cavo del router collegato.

Provo a riavviare il pc con il collegamento internet attivo, e noto che HelpAssistant è tornato, sia come cartella sia come profilo abilitato presente come membro di Administrator.

Nella guida consigliano "aprite il TAB Membro di se HelpAssistant è all'interno del box bianco selezionatelo e rimuovetelo cliccando sul tasto Rimuovi"; mi consigli di rimuovere anche se risulta Membro di Administrator?
Consigli anche a me la scansione con quel tool, ossia Malwarebytes Anti-Malware o mi rinnovi l'invito a procedere con la procedura che mi hai descritto qualche giorno fa?

Di nuovo grazie per l'assistenza.

No, procedi come indicato.

Briseide28
14-01-2010, 19:41
Produci il log di una scansione completa col tool indicato al Punto 2 della presente guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

Uff! Son due giorni che provo a scansionare ma si blocca sempre... una sola volta è arrivato sino alla fine, avevo anche salvato il loge dopo due secondi si blocca tutto... Al riavvio, puf, log sparito!:muro: Aveva comunque rilevato due file infetti, tra l'altro segnalati precedentemente anche da prevx... ma non ho avuto modo di rimuoverli. La scansione con questo programma l'avevo già fatta comunque, tipo una settimana fa, ma era con la versione del programma non aggiornata, aveva tipo un anno. Riprovo a farla ancora?

Chill-Out
14-01-2010, 22:13
Uff! Son due giorni che provo a scansionare ma si blocca sempre... una sola volta è arrivato sino alla fine, avevo anche salvato il loge dopo due secondi si blocca tutto... Al riavvio, puf, log sparito!:muro: Aveva comunque rilevato due file infetti, tra l'altro segnalati precedentemente anche da prevx... ma non ho avuto modo di rimuoverli. La scansione con questo programma l'avevo già fatta comunque, tipo una settimana fa, ma era con la versione del programma non aggiornata, aveva tipo un anno. Riprovo a farla ancora?

Apri MBAM - TAB File di log ed allega l'ultimo in ordine di tempo

Briseide28
15-01-2010, 00:52
Questa è la scansione di cui parlavo, fatta una decina di giorni fa. In realtà, non ricordavo, era una scansione rapida. Nell'attesa di riuscire di nuovo ad eseguire quella completa, allego questa.
http://wikisend.com/download/501182/mbam-log-2010-01-03 (17-39-49).txt

master3000
15-01-2010, 19:42
salve a tutti,
ho avuto anche io questo problema e lho risolto con mbr.exe
nonostante ciò ora nel log di mbr mi esce sempre un malicious code diverso da quello del virus

ecco il log
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x02542E2E2
malicious code @ sector 0x02542E2E5 !
PE file found in sector at 0x02542E2FB !

come risolvo?

ps: fare un fixmbr da console di ripristino è davvero rischioso come dice?

Chill-Out
15-01-2010, 19:49
salve a tutti,
ho avuto anche io questo problema e lho risolto con mbr.exe
nonostante ciò ora nel log di mbr mi esce sempre un malicious code diverso da quello del virus

ecco il log
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x02542E2E2
malicious code @ sector 0x02542E2E5 !
PE file found in sector at 0x02542E2FB !

come risolvo?

ps: fare un fixmbr da console di ripristino è davvero rischioso come dice?

Hai risolto digitando C:\mbr.exe -f

master3000
15-01-2010, 20:06
Hai risolto digitando C:\mbr.exe -f

si lho gia fatto quando avevo il virus e mi ha risolto il problema, ma mi compare questo messaggio qui ancora, ed anche se faccio c:\mbr.exe -f non cambia niente

Chill-Out
15-01-2010, 20:15
si lho gia fatto quando avevo il virus e mi ha risolto il problema, ma mi compare questo messaggio qui ancora, ed anche se faccio c:\mbr.exe -f non cambia niente

Ok, il log può rimanere "sporco".

AttilsNa
16-01-2010, 01:49
In formato testo (.txt) esattamente come viene rilasciato, esempio http://wikisend.com/download/529858/prevx1.txt

Chill scusami,ma non ci riesco,mi esce sempre uguale.
Ma poi cosa cambia? basta cliccare su download ed esce il mio log.
Se serve necessariamente,ti prego di spiegarmi come fare e cerco di postarlo

master3000
16-01-2010, 03:08
Ok, il log può rimanere "sporco".

ok capisco

xò sto avendo dei problemi di blocco del pc improvvisi, cioè che si blocca tutto e si sfasano le finestre e le icone, non so come spiegarlo, ma sta di fatto che devo solo riavviare/resettare poi
ho il dubbio che possa essere skype, è possibile?

Chill-Out
16-01-2010, 10:33
ok capisco

xò sto avendo dei problemi di blocco del pc improvvisi, cioè che si blocca tutto e si sfasano le finestre e le icone, non so come spiegarlo, ma sta di fatto che devo solo riavviare/resettare poi
ho il dubbio che possa essere skype, è possibile?

Non saprei, se desideri allega i log dei tool indicati in Guida.

master3000
16-01-2010, 19:51
Non saprei, se desideri allega i log dei tool indicati in Guida.

credo di aver risolto, il problema molto probabilmente era dovuto al vcore della scheda madre troppo basso, xkè il giorno stesso che ho risolto il problema poi ho overclockato la CPU :D

gabmac2
18-01-2010, 13:41
allora,tempo fa avevo preso questo virus ,avevo formattato il disco e eliminato la partizioni che avevo ed ero ripartito,tutto ok con una sola partizione

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

dopo un paio di settimane ho dovuto ricreare una partizione il "responso" è

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x0747059C4 !
PE file found in sector at 0x0747059DA !

il pc è ovviamente pulito,fatto scansioni con qualcunque programma e tutto ok
Il mio problema è però questo,dovrei ridimensionare la partizione ,potrebbe questo creare problemi,o è solo "sporcizia inoffensiva"?
grazie in anticipo

Chill-Out
18-01-2010, 13:46
Il mio problema è però questo,dovrei ridimensionare la partizione ,potrebbe questo creare problemi
grazie in anticipo

Direi di no :)

gabmac2
18-01-2010, 20:37
ok,quindi è come pensavo è solo sporcizia

Briseide28
19-01-2010, 19:59
Questa è la scansione di cui parlavo, fatta una decina di giorni fa. In realtà, non ricordavo, era una scansione rapida. Nell'attesa di riuscire di nuovo ad eseguire quella completa, allego questa.
http://wikisend.com/download/501182/mbam-log-2010-01-03 (17-39-49).txt

Come non detto, non solo non sono più riuscita a condurre a termine una scansione completa, ma in più ora il programma lancia un messaggio d'errore e non si avvia affatto. Il pc inoltre tende a bloccarsi con più facilità rispetto alla scorsa settimana, spesso proprio all'avio, ad esempio mentre ri-disabilito help assistant da gestione computer, che come al solito si riattiva da solo. Che devo fare? Mi conviene forse portarlo direttamente da un tecnico? :wtf:

gabmac2
19-01-2010, 20:39
Briseide28 hai provato con mbr -f ?Che programmi di pulizia hai usato?

Anche a me succedeva di blocchi e ho risolto inizialmente con mbr -f e poi devi intraprendere l' opera di pulizia

Briseide28
20-01-2010, 10:21
Ci ho provato, ma nulla... Ho adoperato un sacco di programmi, più o meno tutti gli anti-rootkit consigliati sul web, ma qualcuno si blocca, e qualcuno non rileva nulla... :help:

Briseide28
21-01-2010, 12:51
Devo interpretare questo silenzio come conseguenza del fatto che non ci sono più speranze per il mio pc? :D Cooomunque, in preda ad un attacco di nevrosi ieri ho provato a cancellare tutte le tracce della cartella help assistant sia in documents and setting che in gestione computer... ovviamente dopo poco si è rigenerato nuovamente, e non solo: le cartelle sono diventate addirittura 3-4 :muro:
Ho inoltre scansionato con Combofix, ed è andato tutto bene, tranne nella fase finale di salvataggio del log quando il pc si è bloccato. Comunque questo non è andato perso per fortuna, lo allego nel caso possa servire a qualcosa.
http://wikisend.com/download/885418/ComboFix.txt

Chill-Out
21-01-2010, 13:05
Devo interpretare questo silenzio come conseguenza del fatto che non ci sono più speranze per il mio pc? :D Cooomunque, in preda ad un attacco di nevrosi ieri ho provato a cancellare tutte le tracce della cartella help assistant sia in documents and setting che in gestione computer... ovviamente dopo poco si è rigenerato nuovamente, e non solo: le cartelle sono diventate addirittura 3-4 :muro:
Ho inoltre scansionato con Combofix, ed è andato tutto bene, tranne nella fase finale di salvataggio del log quando il pc si è bloccato. Comunque questo non è andato perso per fortuna, lo allego nel caso possa servire a qualcosa.
http://wikisend.com/download/885418/ComboFix.txt

Segui questa procedura

* Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS
* Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY
* Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive
* A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows
* Premi F10 per confermare ed uscire
* Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
* Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
* Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, 1) X:\Windows quindi premere 1 e confermare con OK
* Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.
* Al prompt dei comandi digita FIXMBR e clicca su Y per confermare
* Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows


ci sono altri problemi che affronteremo successivamente.

Briseide28
21-01-2010, 13:12
Dove posso trovare il cd di installazione di windows?

Chill-Out
21-01-2010, 13:16
Dove posso trovare il cd di installazione di windows?

Dovresti averlo, altrimenti chiedi aiuto ad amici, conoscenti etc....

Briseide28
21-01-2010, 13:25
Ho controllato, ma ho solo quello della motherboard e dell'ati... mi adopererò per cercarlo da qualcun altro, sperando di trovarlo... ma va bene anche non originale? E deve essere della mia medesima versione di windows, esatto? Ti ringrazio ancora per l'aiuto! :)

Chill-Out
21-01-2010, 13:27
ma va bene anche non originale? :)

No

E deve essere della mia medesima versione di windows, esatto?

Si

AttilsNa
22-01-2010, 03:48
Chill scusami,ma non ci riesco,mi esce sempre uguale.
Ma poi cosa cambia? basta cliccare su download ed esce il mio log.
Se serve necessariamente,ti prego di spiegarmi come fare e cerco di postarlo

ragazzi per favore,aiutatemi ad aiutarvi

Chill-Out
22-01-2010, 11:33
ragazzi per favore,aiutatemi ad aiutarvi

Terminata la scansione clicca su Tools - Salva file di log - nel campo Nome file: digita PREVX - salvalo sul Desktop ed allegalo.

el ciel0
23-01-2010, 18:19
salve a tutti,penso di aver preso qualche giorno fa mbr rootkit,il pc si blocca\va ho trovato la canonica cartella helpassistant(eliminata).
per tentare di risolvere il problema ho fatto:
scansione online f-secure(mi ha trovato alcuni file risalenti a tale mebroot,1 non lo ha eliminato)
usato mbr(in modalità provvisoria)il log è questo:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x017499F00
malicious code @ sector 0x017499F03 !
PE file found in sector at 0x017499F19 !

ho usato il comando mbr.exe -f ricordo di aver letto un log con su scritto mbr restored,dopo di ciò il log era sempre lo stesso(come quello sopra)

poi HO PRESO DRWEB CUREIT,mi ha rilevato un paio di trojan che ho eliminato e un paio di problemi in cartelle di office,quarantenati.

Il problema è che il log di mbr è sempre come quello postato sopra,

ho poi fatto una scansione con prevx mi ha trovato pkjmcxp.exe, ma non lo vuole eliminare perchè ho la versione free,il mio avira però non lo vede.

cosa ne pensate???pensate che la cosa sia grave???che devo fare???come elimino pkjmcxp.exe?

Grazie mille

P.S. il pc è in internet da almeno una 30ina di minuti è non è ancora crashato/freezato ne si è creato helpassistant,però mi sembra tutto un po lento

Chill-Out
23-01-2010, 21:07
salve a tutti,penso di aver preso qualche giorno fa mbr rootkit,il pc si blocca\va ho trovato la canonica cartella helpassistant(eliminata).
per tentare di risolvere il problema ho fatto:
scansione online f-secure(mi ha trovato alcuni file risalenti a tale mebroot,1 non lo ha eliminato)
usato mbr(in modalità provvisoria)il log è questo:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x017499F00
malicious code @ sector 0x017499F03 !
PE file found in sector at 0x017499F19 !

ho usato il comando mbr.exe -f ricordo di aver letto un log con su scritto mbr restored,dopo di ciò il log era sempre lo stesso(come quello sopra)

poi HO PRESO DRWEB CUREIT,mi ha rilevato un paio di trojan che ho eliminato e un paio di problemi in cartelle di office,quarantenati.

Il problema è che il log di mbr è sempre come quello postato sopra,

ho poi fatto una scansione con prevx mi ha trovato pkjmcxp.exe, ma non lo vuole eliminare perchè ho la versione free,il mio avira però non lo vede.

cosa ne pensate???pensate che la cosa sia grave???che devo fare???come elimino pkjmcxp.exe?

Grazie mille

P.S. il pc è in internet da almeno una 30ina di minuti è non è ancora crashato/freezato ne si è creato helpassistant,però mi sembra tutto un po lento

Segui la Guida in prima pagina ed allega i log della Prima fase

el ciel0
24-01-2010, 11:42
vorrei di cuore mandare il log di prevx,ma al successivo avvio dopo il post scritto ieri il pc non si avvia,ovvero lo accendo ma prima che compaia la schermata di windovs si riavvia da solo,non posso mettere la modalità provvisoria,si riavvia dopo averla selezionata.
ho provato ad usare la console di ripristino con i comandi fix boot e fixmbr,ma dopo averlo fatto non cambia nulla...
responsi???devo gettare il pc???ma sopratutto ho perso tutti i dati che avevo sopra vero???

p.s.il cd con cui avevo effettuato l'installazione di xp era un windovs pro service pack2 a cui ho aggiornato il sp3,il cd di windovs da cui o effettuato la console di ripristino è un home sp3,può essere rilevante???

grazie

Chill-Out
24-01-2010, 21:44
vorrei di cuore mandare il log di prevx,ma al successivo avvio dopo il post scritto ieri il pc non si avvia,ovvero lo accendo ma prima che compaia la schermata di windovs si riavvia da solo,non posso mettere la modalità provvisoria,si riavvia dopo averla selezionata.
ho provato ad usare la console di ripristino con i comandi fix boot e fixmbr,ma dopo averlo fatto non cambia nulla...
responsi???devo gettare il pc???ma sopratutto ho perso tutti i dati che avevo sopra vero???

p.s.il cd con cui avevo effettuato l'installazione di xp era un windovs pro service pack2 a cui ho aggiornato il sp3,il cd di windovs da cui o effettuato la console di ripristino è un home sp3,può essere rilevante???

grazie

Nel tempo intercorso fra questo Post ed il precedente che cosa è successo?

http://www.hwupgrade.it/forum/showpost.php?p=30574345&postcount=2400

el ciel0
24-01-2010, 23:52
nulla,ho spento il pc alle 17.30 circa,quasi convinto di aver risolto il problema.quando ho riprovato ad accenderlo è successo ciò che ho descritto nel post delle 10.42...

el ciel0
25-01-2010, 16:54
non senza difficoltà sono riuscito a riavviare il pc,avevo stupidamente eliminato ntldr:muro: .

il log di prevx è questo http://wikisend.com/download/641778/gggg.log

ancora grazie per l'aiuto

Chill-Out
25-01-2010, 17:02
non senza difficoltà sono riuscito a riavviare il pc,avevo stupidamente eliminato ntldr:muro: .

il log di prevx è questo http://wikisend.com/download/641778/gggg.log

ancora grazie per l'aiuto

Mi sembrava strano, allega il log di Gmer ed in sequenza i log della seconda e terza fase tutti in 1 unico post, grazie.

el ciel0
25-01-2010, 18:42
ho provato 4 volte ad aprire gmer,ma causa la ''schermata blu'' che fare???nel frattempo penso che il malware rilavato da prevx sia drweb cureit...sia perchè è tra i processi attivi durante la scansione di dr web,sia perchè provando a terminarlo termina anche drweb,sia perchè andandolo a cercare ha un icona uguale/moltosimile a quella di drweb

Chill-Out
25-01-2010, 19:11
ho provato 4 volte ad aprire gmer,ma causa la ''schermata blu'' che fare???nel frattempo penso che il malware rilavato da prevx sia drweb cureit...sia perchè è tra i processi attivi durante la scansione di dr web,sia perchè provando a terminarlo termina anche drweb,sia perchè andandolo a cercare ha un icona uguale/moltosimile a quella di drweb

Lascia stare Gmer ed allega i log richiesti.

TORTOLI
26-01-2010, 09:31
Buongiorno.
Sto facendo la prima fase descritta....

ma i log di Gmer e Prevx 3.0 li faccio qui? O su Wikisend?
Grazie
Saluti

wjmat
26-01-2010, 10:01
Buongiorno.
Sto facendo la prima fase descritta....

ma i log di Gmer e Prevx 3.0 li faccio qui? O su Wikisend?
Grazie
Saluti

ciao

le dimensioni non ti permetteranno di caricarli con la funzione integrata del forum quindi usa wikisend o uno dei server remoti consigliati

el ciel0
26-01-2010, 11:17
Lascia stare Gmer ed allega i log richiesti.

ecco i 3 log

http://wikisend.com/download/529858/cureit filtrato.txt

http://wikisend.com/download/443282/prevx.log

http://wikisend.com/download/452000/mbr.log

Chill-Out
26-01-2010, 13:26
ecco i 3 log

http://wikisend.com/download/529858/cureit filtrato.txt

http://wikisend.com/download/443282/prevx.log

http://wikisend.com/download/452000/mbr.log

Ok, adesso controlla su http://virscan.org/ e http://www.virustotal.com/it/ il seguenti file:

pkjmcxp.exe che trovi in c:\documents and settings\fau\impostazioni locali\temp\rarsfx0\

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione.

el ciel0
26-01-2010, 14:58
ecco gli scan

http://virscan.org/report/875729b8d1fc3562cd5bfc7d7b05e86b.html

http://www.virustotal.com/it/analisis/0865be5af95ba18f11c2db1ed5c7d8ca2f96fd88848c31dc1e7925d1dc419d8c-1264510515

TORTOLI
26-01-2010, 15:56
Dopo la scansione di alcune unità ... si blocca ... con un messaggio che non ho fatto in tempo a riportare .. perchè poco dopo la maschera è diventata blu riportando un avviso di errore a tutta pagina che in maniera sintetica descrivo :
KERNEL_STACK_INPAGE_ERROR....
ECC
ECC
ECC

Informazioni tecniche
*** STOP:0X00000077(0X00000001,0X00000000,0X00000000,0XBA043CBC)

Che devo fare???
Grazie
Saluti

wjmat
26-01-2010, 16:50
Dopo la scansione di alcune unità ... si blocca ... con un messaggio che non ho fatto in tempo a riportare .. perchè poco dopo la maschera è diventata blu riportando un avviso di errore a tutta pagina che in maniera sintetica descrivo :
KERNEL_STACK_INPAGE_ERROR....
ECC
ECC
ECC

Informazioni tecniche
*** STOP:0X00000077(0X00000001,0X00000000,0X00000000,0XBA043CBC)

Che devo fare???
Grazie
Saluti

comincia a caricare il log di prevx

TORTOLI
26-01-2010, 16:59
Ok!! Nel frattempo che apettavo la risposta ho lanciato Malwarebytes ... lo faccio terminare e allego il responso??

wjmat
26-01-2010, 17:01
Ok!! Nel frattempo che apettavo la risposta ho lanciato Malwarebytes ... lo faccio terminare e allego il responso??

non mi sembra sia richiesto dalla guida, ormai lascialo girare, male non fa

Chill-Out
26-01-2010, 17:58
ecco gli scan

http://virscan.org/report/875729b8d1fc3562cd5bfc7d7b05e86b.html

http://www.virustotal.com/it/analisis/0865be5af95ba18f11c2db1ed5c7d8ca2f96fd88848c31dc1e7925d1dc419d8c-1264510515

Direi che siamo a posto, segui i suggerimenti che trovi sempre nella Guida in prima pagina.

el ciel0
26-01-2010, 18:03
grazie mille

Chill-Out
26-01-2010, 18:06
grazie mille

Prego

TORTOLI
27-01-2010, 09:16
Ecco il risultato.

http://wikisend.com/download/442482/scansione PREV 26-1.log

Come dovrei procedere??

Grazie

O FORSE dovevo mettere:
http://wikisend.com/download/442482/scansione%20PREV%2026-1.log

wjmat
27-01-2010, 10:00
Ecco il risultato.

http://wikisend.com/download/442482/scansione PREV 26-1.log

Come dovrei procedere??

Grazie

O FORSE dovevo mettere:
http://wikisend.com/download/442482/scansione%20PREV%2026-1.log

non vedo mbr rootkit, da dove hai dedotto di essere infetto?
se ne sei sicuro procedi con la seconda fase

TORTOLI
27-01-2010, 10:09
Perchè avevo notato di avere un problema con i comandi dal prompt di MSDOS

Dopo aver dato il comando ...
mi si apre una maschera che dice :
"NTVDM ha rilevato un errore di sistema
NTVDM ha rilevato un errore di sistema c0h .. ecc!"


Forse AVG lo ha già eliminato ??

Sto andando avanti con la fase 2 ok??

TORTOLI
27-01-2010, 10:27
MBR eseguito in modalità provvisoria non dà nessun risultato! Che succede??

SCUSA .. l'ha creato ma non lo vedevo!!

TORTOLI
27-01-2010, 12:00
Ecco qua!

Allego i risultati

http://wikisend.com/download/508164/mbr.log

http://wikisend.com/download/891488/NFix_2010-01-27_09-38-55.log

Attendo NOTIZIE o ISTRUZIONI

Grazie mille, saluti

wjmat
27-01-2010, 14:46
Ecco qua!

Allego i risultati

http://wikisend.com/download/508164/mbr.log

http://wikisend.com/download/891488/NFix_2010-01-27_09-38-55.log

Attendo NOTIZIE o ISTRUZIONI

Grazie mille, saluti

passa alla scansione di controllo

TORTOLI
27-01-2010, 15:13
Ci avevo già provato!

Ma non va ... ogni qualvolta avvio la scansione... il programma mi riavvia il pc!!! :-(

Che succede? Cosa posso fare??

Grazie. Attendo fiducioso!

lodofan
28-01-2010, 02:17
Ciao, prima di scrivere ho passato ore a leggere tutto il 3D, e fatto tutte le prove, ma non ho raccolto niente di positivo. La situazione attuale è questa:

1) Unico antivirus che mi rileva Win32 Mebroot è NOD32

2) Ho effettuato tutti i passaggi con MBR e GMer, e solo MBR rileva l'infezione come da stralcio del log sotto:
detected MBR rootkit hooks:
\Driver\ACPI -> 0x85fd29d0
NDIS: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC -> SendCompleteHandler -> 0x8610a330
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

3) Ho fatto diverse volte il procedimento per l'eliminazione del suddetto, ma quando vado a lanciare DrWebCureIt, al momento dell'avvio della scansione il PC si resetta e si riavvia....

Ad ogni riavvio del PC, in pochi istanti NOD32 rileva sempre il virus.

Spero riusciate a darmi una mano :-)
Grazie in anticipo

Chill-Out
28-01-2010, 09:43
Ciao, prima di scrivere ho passato ore a leggere tutto il 3D, e fatto tutte le prove, ma non ho raccolto niente di positivo. La situazione attuale è questa:

1) Unico antivirus che mi rileva Win32 Mebroot è NOD32

2) Ho effettuato tutti i passaggi con MBR e GMer, e solo MBR rileva l'infezione come da stralcio del log sotto:
detected MBR rootkit hooks:
\Driver\ACPI -> 0x85fd29d0
NDIS: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC -> SendCompleteHandler -> 0x8610a330
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

3) Ho fatto diverse volte il procedimento per l'eliminazione del suddetto, ma quando vado a lanciare DrWebCureIt, al momento dell'avvio della scansione il PC si resetta e si riavvia....

Ad ogni riavvio del PC, in pochi istanti NOD32 rileva sempre il virus.

Spero riusciate a darmi una mano :-)
Grazie in anticipo

Ciao, allega i log inerenti la prima fase esattamente come indicato i Guida + log del Nod32.

lodofan
28-01-2010, 13:34
Preciso che nel mentre ho provato scan con Pareto AV ed Avira. Quest'ultimo ha trovato diversi file riconducibili a Win32 MebRoot. Vengono correttamente eliminati ma regolarmente ad ogni riavvio si ripresentano.

Log file MBR eseguito comando MBR.EXE in modalità provv
mbr1.log (http://wikisend.com/download/460760/mbr1.log)
Log file MBR eseguito comando MBR.EXE -f in modalità provv
mbr2.log (http://wikisend.com/download/460524/mbr2.log)
Log file MBR eseguito comando MBR.EXE in modalità standard dopo riavvio
mbr3.log (http://wikisend.com/download/495322/mbr3.log)

Per finire log file NOD32 filtrato che purtroppo devo interrempere a metà strada altrimenti si blocca il PC
NOD32log1.txt (http://wikisend.com/download/549324/NOD32log1.txt)

Grazie ancora.

Chill-Out
28-01-2010, 13:41
Preciso che nel mentre ho provato scan con Pareto AV ed Avira. Quest'ultimo ha trovato diversi file riconducibili a Win32 MebRoot. Vengono correttamente eliminati ma regolarmente ad ogni riavvio si ripresentano.

Log file MBR eseguito comando MBR.EXE in modalità provv
mbr1.log (http://wikisend.com/download/460760/mbr1.log)
Log file MBR eseguito comando MBR.EXE -f in modalità provv
mbr2.log (http://wikisend.com/download/460524/mbr2.log)
Log file MBR eseguito comando MBR.EXE in modalità standard dopo riavvio
mbr3.log (http://wikisend.com/download/495322/mbr3.log)

Per finire log file NOD32 filtrato che purtroppo devo interrempere a metà strada altrimenti si blocca il PC
NOD32log1.txt (http://wikisend.com/download/549324/NOD32log1.txt)

Grazie ancora.

Cortesemente leggi bene la Guida in prima pagina, la prima fase prevede due log, ovvero Gmer e Prevx, per quanto concerne Prevx leggi bene le istruzioni.

TORTOLI
28-01-2010, 14:26
Ma a me .. non risponde più nessuno !?? !?! ?

Vista l'indifferenza ... nel frattempo mi faccio una scansione all'accesso di avast!!

Male non farà !?!?!?

wjmat
28-01-2010, 14:41
Ma a me .. non risponde più nessuno !?? !?! ?

Vista l'indifferenza ... nel frattempo mi faccio una scansione all'accesso di avast!!

Male non farà !?!?!?

il pc funziona correttamente ho vedi anomalie?

lodofan
28-01-2010, 16:04
Cortesemente leggi bene la Guida in prima pagina, la prima fase prevede due log, ovvero Gmer e Prevx, per quanto concerne Prevx leggi bene le istruzioni.

Chiedo venia….. Purtroppo la situazione sta precipitando, ed il pc si blocca con una maggiore frequenza.
Posso allegare solo log di GMER effettuato in modalità provvisoria, e log di PrevX effettuato una sola volta.

GMERlog.txt (http://wikisend.com/download/434974/GMERlog.txt)

PrevX1.log (http://wikisend.com/download/928510/PrevX1.log)

Log file MBR eseguito comando MBR.EXE in modalità provv
mbr1.log (http://wikisend.com/download/460760/mbr1.log)
Log file MBR eseguito comando MBR.EXE -f in modalità provv
mbr2.log (http://wikisend.com/download/460524/mbr2.log)
Log file MBR eseguito comando MBR.EXE in modalità standard dopo riavvio
mbr3.log (http://wikisend.com/download/495322/mbr3.log)

Per finire log file NOD32 filtrato che purtroppo devo interrempere a metà strada altrimenti si blocca il PC
NOD32log1.txt (http://wikisend.com/download/549324/NOD32log1.txt)

Di questo passo mi sa che presto dovrò formattare….
Grazie ancora.

TORTOLI
28-01-2010, 16:42
Purtroppo i comandi dal PROMPT MS DOS ... non funzionano!!!
Adesso sto facendo una scansione con AVAST PROFESSIONAL ....

Come mi consigli di proseguire ??

wjmat
28-01-2010, 17:15
Purtroppo i comandi dal PROMPT MS DOS ... non funzionano!!!
Adesso sto facendo una scansione con AVAST PROFESSIONAL ....

Come mi consigli di proseguire ??

i comandi possono non funzionare per altri problemi
riprova gmer se va

clint67
28-01-2010, 19:18
Ciao a tutti.
Sono in cerca di chiarimenti.
Ho letto (ed eseguito) la prima fase (vedi log)

http://wikisend.com/download/447760/gmer.log.txt

http://wikisend.com/download/878982/prevx_pre.log

http://wikisend.com/download/918954/prevx_post.log

Dopo aver fatto il la pulizia con Prevx (adesso non rileva più problemi), ho lanciato anche mbr (poi anche con parametro -f) e mi ritorna questo log

http://wikisend.com/download/532678/mbr.log.txt

Non mi fa stare tanto tranquillo....
Se avete qualche consiglio, ringrazio anticipatamente tutti i volenterosi

Chill-Out
28-01-2010, 21:15
Chiedo venia….. Purtroppo la situazione sta precipitando, ed il pc si blocca con una maggiore frequenza.
Posso allegare solo log di GMER effettuato in modalità provvisoria, e log di PrevX effettuato una sola volta.

GMERlog.txt (http://wikisend.com/download/434974/GMERlog.txt)

PrevX1.log (http://wikisend.com/download/928510/PrevX1.log)

Log file MBR eseguito comando MBR.EXE in modalità provv
mbr1.log (http://wikisend.com/download/460760/mbr1.log)
Log file MBR eseguito comando MBR.EXE -f in modalità provv
mbr2.log (http://wikisend.com/download/460524/mbr2.log)
Log file MBR eseguito comando MBR.EXE in modalità standard dopo riavvio
mbr3.log (http://wikisend.com/download/495322/mbr3.log)

Per finire log file NOD32 filtrato che purtroppo devo interrempere a metà strada altrimenti si blocca il PC
NOD32log1.txt (http://wikisend.com/download/549324/NOD32log1.txt)

Di questo passo mi sa che presto dovrò formattare….
Grazie ancora.

Segui questa procedura

* Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS
* Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY
* Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive
* A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows
* Premi F10 per confermare ed uscire
* Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
* Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
* Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, 1) X:\Windows quindi premere 1 e confermare con OK
* Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.
* Al prompt dei comandi digita FIXMBR e clicca su Y per confermare
* Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows


ci sono altri problemi che affronteremo successivamente.

Chill-Out
28-01-2010, 21:16
Ciao a tutti.
Sono in cerca di chiarimenti.
Ho letto (ed eseguito) la prima fase (vedi log)

http://wikisend.com/download/447760/gmer.log.txt

http://wikisend.com/download/878982/prevx_pre.log

http://wikisend.com/download/918954/prevx_post.log

Dopo aver fatto il la pulizia con Prevx (adesso non rileva più problemi), ho lanciato anche mbr (poi anche con parametro -f) e mi ritorna questo log

http://wikisend.com/download/532678/mbr.log.txt

Non mi fa stare tanto tranquillo....
Se avete qualche consiglio, ringrazio anticipatamente tutti i volenterosi

Direi che siamo a buon punto, allega il log della scansione di controllo.

TORTOLI
29-01-2010, 09:35
Ho lasciato acceso il pc con gmer che lavorava ... quando sono tornato era nuovamente bloccato!!!

Ho salvato un log parziale prima di non seguirlo più... lo allego!!!
http://www.wikisend.com/download/435410/provv%20log%20alle%201715.log
Vedi niente ??

Come proseguo ??
Riprovo Prev !!

Grazie saluti


Siccome l'ho già fato allego anche il log di Prevx ... mi trova questi due infezioni!!!
http://www.wikisend.com/download/882912/prevx%2029-01.log

Compro la licenza per eliminarle ???

wjmat
29-01-2010, 10:02
Ho lasciato acceso il pc con gmer che lavorava ... quando sono tornato era nuovamente bloccato!!!

Ho salvato un log parziale prima di non seguirlo più... lo allego!!!
http://www.wikisend.com/download/435410/provv%20log%20alle%201715.log
Vedi niente ??

Come proseguo ??
Riprovo Prev !!

Grazie saluti


Siccome l'ho già fato allego anche il log di Prevx ... mi trova questi due infezioni!!!
http://www.wikisend.com/download/882912/prevx%2029-01.log

Compro la licenza per eliminarle ???
se hai installato pdfcreator nulla di che preoccuparsi


per il prompt di dos vedi se basta questo
http://www.raymond.cc/blog/archives/2009/09/06/re-enable-brings-back-run-task-manager-regedit-cmd-folder-options-and-system-restore/

TORTOLI
29-01-2010, 11:28
Ok ...

ho fatto ..
Re-Enable v2 Portable.exe


Ma non è cambiato niente ....

Sicuro che non sono più infettato ?? :-)

wjmat
29-01-2010, 12:56
Ok ...

ho fatto ..
Re-Enable v2 Portable.exe


Ma non è cambiato niente ....

Sicuro che non sono più infettato ?? :-)

i log che ho visionato dicono che mbr rootkit c'era ma non è presente attualmente
prova a rimuovere le restrizioni al registro di sistema (http://www.hwupgrade.it/forum/showpost.php?p=24113148&postcount=20)

TORTOLI
29-01-2010, 14:46
Ho fatto questa fase solamente ... ho sbagliato ??

Per rimuovere restrizioni applicate al registro o rimuovere la scritta Virus Alert (per win XP e 2000):
Doppio click su SDFix.exe e il tool si estrarrà in automatico in C:\SDFix
Vai alla cartella C:\SDFix
Fai click dx su XP VirusAlert_Repair.inf oppure su W2K VirusAlert_Repair.inf a seconda del tuo s.o. e seleziona installa
In questo caso non vengono generati log, riavvia il pc

Non mi crea log .... e non mi cambiato niente!!!

Che faccio?? Lo rimuovo o dovevo muovermi diversamente?

wjmat
29-01-2010, 16:16
Ho fatto questa fase solamente ... ho sbagliato ??

Per rimuovere restrizioni applicate al registro o rimuovere la scritta Virus Alert (per win XP e 2000):
Doppio click su SDFix.exe e il tool si estrarrà in automatico in C:\SDFix
Vai alla cartella C:\SDFix
Fai click dx su XP VirusAlert_Repair.inf oppure su W2K VirusAlert_Repair.inf a seconda del tuo s.o. e seleziona installa
In questo caso non vengono generati log, riavvia il pc

Non mi crea log .... e non mi cambiato niente!!!

Che faccio?? Lo rimuovo o dovevo muovermi diversamente?

si dovevi seguire solo quella parte
allora il prompt non è bloccato ma ha soltanto problemi suoi
per questo problema intanto chiedi qui
http://www.hwupgrade.it/forum/forumdisplay.php?f=33

TORTOLI
29-01-2010, 16:32
GRAZIE MILLE

SOLO un'ultima domanda ...

ma SDFix .. va disintallato ??

Chill-Out
29-01-2010, 16:35
GRAZIE MILLE

SOLO un'ultima domanda ...

ma SDFix .. va disintallato ??

Lo cestini.

cristina300
29-01-2010, 16:41
Ciao a tutti,
non riesco ad accedere ad internet tranne che al vostro portale e alla mia e mail.
Se provo a fare una ricerca su google, mi fa vedere solo i risultati e non prosegue alla visualizzazione delle sucessive pagine..
Inoltre i processi del mio portatile si sono rallentati molto.
Deduco che ci sia un virus.. :cry:
Come posso procedere?
Grazie

Cristina

N.B.
Avrei pronti i log di:

Win32.Worm.Downladup.Gen.log
ComboFix.txt
GMER.log

Li allego separati?

Chill-Out
29-01-2010, 16:47
Ciao a tutti,
non riesco ad accedere ad internet tranne che al vostro portale e alla mia e mail.
Se provo a fare una ricerca su google, mi fa vedere solo i risultati e non prosegue alla visualizzazione delle sucessive pagine..
Inoltre i processi del mio portatile si sono rallentati molto.
Deduco che ci sia un virus.. :cry:
Come posso procedere?
Grazie

Cristina

N.B.
Avrei pronti i log di:

Win32.Worm.Downladup.Gen.log
ComboFix.txt
GMER.log

Li allego separati?

Ciao, hai sbagliato 3D, quello dedicato al Kido è il seguente http://www.hwupgrade.it/forum/showthread.php?t=1984665


Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

lodofan
29-01-2010, 21:09
Segui questa procedura



ci sono altri problemi che affronteremo successivamente.

Rispondo solo ora dopo aver trascorso tutta la giornata a formattare e reinstallare tutto....
Ormai il PC non mi consentiva nemmeno l'avvio in modalità provvisoria e le schermate blu si alternavano....
Grazie mille per l'aiuto che mi è stato offerto.... qualcuno mi ha riferito che può essere una nuova variante di Mebroot.... da qua il motivo per il quale non si è riusciti a stanarlo con la procedura classica.... pazienza.
Spero di non incappare nuovamente in sto maledetto....
A presto e grazie ancora.

PS: per tutti coloro che incontrano questa nuova versione... il primo sintomo è il processo services.exe che manda in palla HDD master.

lodofan
30-01-2010, 17:02
Rispondo solo ora dopo aver trascorso tutta la giornata a formattare e reinstallare tutto....
Ormai il PC non mi consentiva nemmeno l'avvio in modalità provvisoria e le schermate blu si alternavano....
Grazie mille per l'aiuto che mi è stato offerto.... qualcuno mi ha riferito che può essere una nuova variante di Mebroot.... da qua il motivo per il quale non si è riusciti a stanarlo con la procedura classica.... pazienza.
Spero di non incappare nuovamente in sto maledetto....
A presto e grazie ancora.

PS: per tutti coloro che incontrano questa nuova versione... il primo sintomo è il processo services.exe che manda in palla HDD master.

Amara sorpresa.... sono nuovamente alle prese con lo stesso virus.... HDD nuovo. A sto punto ritengo che sia un problema residente su Bios.... Brutta bestia.

Chill-Out
30-01-2010, 18:15
Rispondo solo ora dopo aver trascorso tutta la giornata a formattare e reinstallare tutto....
Ormai il PC non mi consentiva nemmeno l'avvio in modalità provvisoria e le schermate blu si alternavano....
Grazie mille per l'aiuto che mi è stato offerto.... qualcuno mi ha riferito che può essere una nuova variante di Mebroot.... da qua il motivo per il quale non si è riusciti a stanarlo con la procedura classica.... pazienza.
Spero di non incappare nuovamente in sto maledetto....
A presto e grazie ancora.

PS: per tutti coloro che incontrano questa nuova versione... il primo sintomo è il processo services.exe che manda in palla HDD master.

Amara sorpresa.... sono nuovamente alle prese con lo stesso virus.... HDD nuovo. A sto punto ritengo che sia un problema residente su Bios.... Brutta bestia.

Se non formatti a basso livello non te ne liberi, a meno che non sia il Nod32 che sfarlocca.

niox26
30-01-2010, 23:58
Ho seguito la prima fase passo passo questi sono i log,.. help me.:help:

URL=http://wikisend.com/download/434468/Gmer 30 gennaio.txt]Gmer 30 gennaio.txt[/URL]

PREVX 30 gennaio prima.log (http://wikisend.com/download/457294/PREVX 30 gennaio prima.log)

PREVX 30 gennaio Dopo.log (http://wikisend.com/download/443720/PREVX 30 gennaio Dopo.log)

Devo aggiungere che ad ogni accensione PC mi esce una finestra di dialogo del Sottosistema MS-DOS a 16 Bit che recita:
C:\Progra 1\VTUNE\VI\BIOSCTL.EXE
NTVDM ha rilevato un errore di sistema
NTVDM ha rilevato un errore di sistema c0h scegliere "chiudi" per terminare l'applicazione.
Chill-Out mi ha gia' aiutato una volta. grazie ancora.

Chill-Out
31-01-2010, 15:34
Ho seguito la prima fase passo passo questi sono i log,.. help me.:help:

URL=http://wikisend.com/download/434468/Gmer 30 gennaio.txt]Gmer 30 gennaio.txt[/URL]

PREVX 30 gennaio prima.log (http://wikisend.com/download/457294/PREVX 30 gennaio prima.log)

PREVX 30 gennaio Dopo.log (http://wikisend.com/download/443720/PREVX 30 gennaio Dopo.log)

Devo aggiungere che ad ogni accensione PC mi esce una finestra di dialogo del Sottosistema MS-DOS a 16 Bit che recita:
C:\Progra 1\VTUNE\VI\BIOSCTL.EXE
NTVDM ha rilevato un errore di sistema
NTVDM ha rilevato un errore di sistema c0h scegliere "chiudi" per terminare l'applicazione.
Chill-Out mi ha gia' aiutato una volta. grazie ancora.

Ciao, allega i log inerenti la seconda e terza fase, il problema inerente NTVDM è di competenza della sezione Microsoft Windows, utilizzando la funzione cerca trovi la soluzione al problema.

niox26
31-01-2010, 18:10
Ciao, allega i log inerenti la seconda e terza fase, il problema inerente NTVDM è di competenza della sezione Microsoft Windows, utilizzando la funzione cerca trovi la soluzione al problema.

PREVX 30 gennaio prima bis.txt (http://wikisend.com/download/519752/PREVX 30 gennaio prima bis.txt)

PREVX 30 gennaio Dopo bis.txt (http://wikisend.com/download/532562/PREVX 30 gennaio Dopo bis.txt)

ecco fatto.

Chill-Out
31-01-2010, 18:11
PREVX 30 gennaio prima bis.txt (http://wikisend.com/download/519752/PREVX 30 gennaio prima bis.txt)

PREVX 30 gennaio Dopo bis.txt (http://wikisend.com/download/532562/PREVX 30 gennaio Dopo bis.txt)

ecco fatto.

Seconda e terza fase :)

niox26
31-01-2010, 18:21
Ciao, allega i log inerenti la seconda e terza fase, il problema inerente NTVDM è di competenza della sezione Microsoft Windows, utilizzando la funzione cerca trovi la soluzione al problema.

NTVDM...anche questo è un problema di infezione... ho capito bene.:mad:

Chill-Out
31-01-2010, 18:22
NTVDM...anche questo è un problema di infezione... ho capito bene.:mad:

Direi di no.

lodofan
01-02-2010, 13:42
Se non formatti a basso livello non te ne liberi, a meno che non sia il Nod32 che sfarlocca.

Bene, dopo giorni di combattimento l'unica soluzione è stata formattare tutti HDD a basso livello, prestando la massima attenzione nel salvare i dati su dispositivi esterni che poi sono stati tutti passati sotto diversi antivirus (PrevX, NOD32, Avira e Comodo). Giusto qualche nota... subito dopo aver installato windows ed aver aggiornato mi è stato rilevato un trojan su un crack.... per il resto ora tutto sembra andare. Grazie dell'aiuto. Comunque credo che la mia fosse una variante bella tosta.

fanfa
01-02-2010, 14:12
Purtroppo sono stato infettato dal virus helpassistant.

Questi sono i log:

-Gmer
gmer.txt (http://wikisend.com/download/918578/gmer.txt)
-Prevx
prevx-pre.log (http://wikisend.com/download/456736/prevx-pre.log)
-Prevx dopo aver provato il cleanup
prevx-post.log (http://wikisend.com/download/601376/prevx-post.log)

EDIT: visto che anche dopo il cleanup mi dava ancora presente l'infezione, ho rifatto un'altra scansione con successivo cleanup. Adesso non appare più l'infezione e questo è il log

prevx-post2.log (http://wikisend.com/download/445796/prevx-post2.log)

Procedo alla fase due?

TORTOLI
01-02-2010, 14:26
Purtroppo il problema non è totalmente risolto nel senso che .... Non mi sembra di essere ancora infettato ma il danno rimane e non riesco a ripararlo.... i comandi per lanciare dei programmi da dos non mi funzionano!!

Non rimane che ?? Ditemi Voi !

niox26
01-02-2010, 16:28
Direi di no.

Chill-Out solo per tua opportuna conoscenza,.. x il problema NTVDm nella sessione Microsoft Windows XP mi sta aiutando tallines segnalandomi che devo scaricarmi Combofix e fare una scansione.

a presto.

Chill-Out
01-02-2010, 16:29
Chill-Out solo per tua opportuna conoscenza,.. x il problema NTVDm nella sessione Microsoft Windows XP devoscaricarmi Combofix e fare una scansione.

a presto.

No, cosa c'entra Combofix?

Chill-Out
01-02-2010, 16:30
Purtroppo sono stato infettato dal virus helpassistant.

Questi sono i log:

-Gmer
gmer.txt (http://wikisend.com/download/918578/gmer.txt)
-Prevx
prevx-pre.log (http://wikisend.com/download/456736/prevx-pre.log)
-Prevx dopo aver provato il cleanup
prevx-post.log (http://wikisend.com/download/601376/prevx-post.log)

EDIT: visto che anche dopo il cleanup mi dava ancora presente l'infezione, ho rifatto un'altra scansione con successivo cleanup. Adesso non appare più l'infezione e questo è il log

prevx-post2.log (http://wikisend.com/download/445796/prevx-post2.log)

Procedo alla fase due?

Seconda e terza fase.

fanfa
01-02-2010, 16:31
Sono passato alla fase due, questi sono i log.

-mbr
mbr.log (http://wikisend.com/download/483418/mbr.log)
-norman
NFix_2010-02-01_14-11-18.log (http://wikisend.com/download/447170/NFix_2010-02-01_14-11-18.log)

Ora nella fase tre, quando avvio la scansione da drweb si riavvia il pc, come faccio?

niox26
01-02-2010, 16:34
No, cosa c'entra Combofix?

Chill questo e il mio 3d:
Sto ccercando di disinfettare il PC, sto seguendo quindi le indicazioni di chill-out, tra i miei vari problemi devo aggiungere che ad ogni accensione PC mi esce una finestra di dialogo del Sottosistema MS-DOS a 16 Bit che recita:

C:\Progra 1\VTUNE\VI\BIOSCTL.EXE
NTVDM ha rilevato un errore di sistema
NTVDM ha rilevato un errore di sistema c0h scegliere "chiudi" per terminare l'applicazione.

ho provato con la funzione "cerca" ma non ho trovato nulla.
spero che possiate aiutarmi. cmq grazie.


questa è la gentile segnalazione di tallines:
Penso che Chill-Out ti abbia già detto di lanciare Combofix, o l'avrai trovato nella guida alla disinfezione.
Se non l'ha fatto, lancia Combofix da modalità provvisoria, rinominandolo, ossia una volta downloadato lo rinomini tipo abc, o def ghi......come vuoi tu e lo avvii.
Poi, una volta tornato in modalità normale scrivi sfc /scannow (occhio agli spazi) da Start/Esegui = richiede il cd originale di windows, in quanto il pc confronta i file del SO installato che possono essere infettati con i file non infettati del cd originale.
NTVDM è un rootkit, se hai usato la funzione cerca in windows è normale che tu non l'abbia trovato, vai nel registro .

Chill-Out
01-02-2010, 16:42
Bene, dopo giorni di combattimento l'unica soluzione è stata formattare tutti HDD a basso livello, prestando la massima attenzione nel salvare i dati su dispositivi esterni che poi sono stati tutti passati sotto diversi antivirus (PrevX, NOD32, Avira e Comodo). Giusto qualche nota... subito dopo aver installato windows ed aver aggiornato mi è stato rilevato un trojan su un crack.... per il resto ora tutto sembra andare. Grazie dell'aiuto. Comunque credo che la mia fosse una variante bella tosta.

Credo che leggere il Regolamento che hai accettato all'atto dell'iscrizione sia la cosa migliore

1. Cosa non è consentito fare nel forum

11. Aprire discussioni riguardanti pornografia, pirateria (niente crack, serials, warez o qualsiasi richiesta tecnica di natura illecita - in particolare quelle su radio, televisione, satelliti e telefonia -) e pubblicità di alcun tipo, oltre a qualsiasi attivita' illecita ai sensi delle vigenti leggi italiane.

3GG di sospensione.

Chill-Out
01-02-2010, 16:44
Chill questo e il mio 3d:
Sto ccercando di disinfettare il PC, sto seguendo quindi le indicazioni di chill-out, tra i miei vari problemi devo aggiungere che ad ogni accensione PC mi esce una finestra di dialogo del Sottosistema MS-DOS a 16 Bit che recita:

C:\Progra 1\VTUNE\VI\BIOSCTL.EXE
NTVDM ha rilevato un errore di sistema
NTVDM ha rilevato un errore di sistema c0h scegliere "chiudi" per terminare l'applicazione.

ho provato con la funzione "cerca" ma non ho trovato nulla.
spero che possiate aiutarmi. cmq grazie.


questa è la gentile segnalazione di tallines:
Penso che Chill-Out ti abbia già detto di lanciare Combofix, o l'avrai trovato nella guida alla disinfezione.
Se non l'ha fatto, lancia Combofix da modalità provvisoria, rinominandolo, ossia una volta downloadato lo rinomini tipo abc, o def ghi......come vuoi tu e lo avvii.
Poi, una volta tornato in modalità normale scrivi sfc /scannow (occhio agli spazi) da Start/Esegui = richiede il cd originale di windows, in quanto il pc confronta i file del SO installato che possono essere infettati con i file non infettati del cd originale.
NTVDM è un rootkit, se hai usato la funzione cerca in windows è normale che tu non l'abbia trovato, vai nel registro .

Se avessi pensato ad un rootkit ti avrei chiesto di chiedere in Sezione Microsoft Windows? :)

niox26
01-02-2010, 16:54
Gia':muro: ...ma con la funzione cerca non ho trovato nulla,...ci ritorneremo sopra. grazie chill.

a presto.

Chill-Out
01-02-2010, 17:04
Sono passato alla fase due, questi sono i log.

-mbr
mbr.log (http://wikisend.com/download/483418/mbr.log)
-norman
NFix_2010-02-01_14-11-18.log (http://wikisend.com/download/447170/NFix_2010-02-01_14-11-18.log)

Ora nella fase tre, quando avvio la scansione da drweb si riavvia il pc, come faccio?

Elimina il Profilo HelpAssistant e riavvia il PC.

fanfa
01-02-2010, 21:03
Ho eliminato il profilo, cancellato la cartella in document&setting e riavviato, ma quando provo ad avviare la scansione con dr.web cure it il sistema si riavvia. Cosa posso fare?

P.S. Fortunatamente dopo il riavvio non è riapparso l'utente, quindi questo dovrebbe comunque essere un buon segnale

EDIT: Sono riuscito a fare la scansione (ma con windows in modalità provvisoria), questo è il log filtrato:

cureit filtrato.txt (http://wikisend.com/download/600568/cureit filtrato.txt)

Scusate se l'ho postato su un altro sito ma wikisend in questo momento non funziona

niox26
01-02-2010, 22:47
Ciao Chill, ho scaricato Dr.Web CureIt ma come do l'ok dopo aver cliccato su avvia lo scermo diventa nero ed il PC si riavvia,... resto in attesa di tue indicazioni.

a presto.

p.s. forse dovevo eliminare prima la cartella HelpAssistant??

niox26
01-02-2010, 23:06
Inoltre, sistematicamente esce sempre questa finestra di dialogo:

Prevx 3.0
Errore V911: Cleanup not licensed, please purchase a license from www.p...x.com (in questo modo non faccio pubblicita' vero..)

che devo fare:help:

a presto.

Chill-Out
02-02-2010, 10:04
Ho eliminato il profilo, cancellato la cartella in document&setting e riavviato, ma quando provo ad avviare la scansione con dr.web cure it il sistema si riavvia. Cosa posso fare?

P.S. Fortunatamente dopo il riavvio non è riapparso l'utente, quindi questo dovrebbe comunque essere un buon segnale

EDIT: Sono riuscito a fare la scansione (ma con windows in modalità provvisoria), questo è il log filtrato:

cureit filtrato.txt (http://www.2shared.com/file/11057601/1d9a72b2/cureit_filtrato.html)

Scusate se l'ho postato su un altro sito ma wikisend in questo momento non funziona

Nella guida in prima pagina trovi l'alternativa a wikisend, edita il post con il link al FileHosting corretto, grazie.

Chill-Out
02-02-2010, 10:07
Inoltre, sistematicamente esce sempre questa finestra di dialogo:

Prevx 3.0
Errore V911: Cleanup not licensed, please purchase a license from www.p...x.com (in questo modo non faccio pubblicita' vero..)

che devo fare:help:

a presto.

Nessuna pubblicità, l'utilizzo di Prevx è espressamente indicato in guida, il messaggio è dovuto al fatto che l'infezione rilevata viene rimossa solo dietro l'acquisto di regolare licenza, non ha nulla a che fare con il MBR Rootkit che viene rimosso gratuitamente.

Ciao Chill, ho scaricato Dr.Web CureIt ma come do l'ok dopo aver cliccato su avvia lo scermo diventa nero ed il PC si riavvia,... resto in attesa di tue indicazioni.

a presto.

p.s. forse dovevo eliminare prima la cartella HelpAssistant??

Come ripetuto più volte siamo in attesa dei log inerenti la seconda e terza fase, non so più come spiegartelo.

niox26
02-02-2010, 11:34
Chill questi sono i log che sono riuscito a realizzare, sicuramente sbaglio qualcosa,...ma non mortificarmi, e cmq grazie.


Gmer 30 gennaio.txt (http://wikisend.com/download/529858/Gmer 30 gennaio.txt)

mbr.log (http://wikisend.com/download/596124/mbr.log)

NFix_2010-01-31_21-38-52.log (http://wikisend.com/download/942020/NFix_2010-01-31_21-38-52.log)

PREVX 30 gennaio Dopo bis.txt (http://wikisend.com/download/545606/PREVX 30 gennaio Dopo bis.txt)

PREVX 30 gennaio prima bis.txt (http://wikisend.com/download/500468/PREVX 30 gennaio prima bis.txt)

Chill-Out
02-02-2010, 12:17
Chill questi sono i log che sono riuscito a realizzare, sicuramente sbaglio qualcosa,...ma non mortificarmi, e cmq grazie.


Gmer 30 gennaio.txt (http://wikisend.com/download/529858/Gmer 30 gennaio.txt)

mbr.log (http://wikisend.com/download/596124/mbr.log)

NFix_2010-01-31_21-38-52.log (http://wikisend.com/download/942020/NFix_2010-01-31_21-38-52.log)

PREVX 30 gennaio Dopo bis.txt (http://wikisend.com/download/545606/PREVX 30 gennaio Dopo bis.txt)

PREVX 30 gennaio prima bis.txt (http://wikisend.com/download/500468/PREVX 30 gennaio prima bis.txt)

Ok, mi alleghi un nuovo log di Prevx fatto in data odierna + log di CureIt

fanfa
02-02-2010, 13:04
Nella guida in prima pagina trovi l'alternativa a wikisend, edita il post con il link al FileHosting corretto, grazie.

Peccato che l'altro file hosting (fileqube.com) non funzioni più, comunque ora rifunziona wikisend ed ho editato il link

Chill-Out
02-02-2010, 13:19
Peccato che l'altro file hosting (fileqube.com) non funzioni più, comunque ora rifunziona wikisend ed ho editato il link

Dovremmo essere ok :)

wjmat
02-02-2010, 13:55
Peccato che l'altro file hosting (fileqube.com) non funzioni più, comunque ora rifunziona wikisend ed ho editato il link

e quel barbone di google che inganna... fileqube è vivo e vegeto ;)
http://www.google.it/search?q=fileqube.com&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:it:official&client=firefox-a

http://it.search.yahoo.com/search?p=fileqube.com&ei=UTF-8&fr=moz35

fanfa
02-02-2010, 14:47
Dovremmo essere ok :)

Ok, ora provo a riutilizzare il pc e vedo un po'.

grazie mille per l'aiuto.

P.S. Perchè però se provo a fare la scansione con cureit (non in modalità provvisoria di windows) si riavvia il sistema

EDIT: Purtroppo ci sono ancora problemi. Fortunatamente non c'è più traccia del profilo helpassistant e della cartella in document&setting, ma usando il pc dopo pochi minuti si blocca tutto e sono costretto a riavviare il sistema. Cercando nel registro di windows la voce helpassistant ho trovato queste due voci:

registro.reg (http://wikisend.com/download/524374/registro.reg)

registro2.reg (http://wikisend.com/download/533958/registro2.reg)

niox26
02-02-2010, 16:07
Ok, mi alleghi un nuovo log di Prevx fatto in data odierna + log di CureIt

Stasera appena rientro a casa postero' i log Chill.

Chill-Out
02-02-2010, 16:29
P.S. Perchè però se provo a fare la scansione con cureit (non in modalità provvisoria di windows) si riavvia il sistema

Capita, non sei il solo.


EDIT: Purtroppo ci sono ancora problemi. Fortunatamente non c'è più traccia del profilo helpassistant e della cartella in document&setting, ma usando il pc dopo pochi minuti si blocca tutto e sono costretto a riavviare il sistema. Cercando nel registro di windows la voce helpassistant ho trovato queste due voci:

registro.reg (http://wikisend.com/download/524374/registro.reg)

registro2.reg (http://wikisend.com/download/533958/registro2.reg)

E' normale avere il valore nel Registro

Allega per scrupolo un nuovo log di Prevx

fanfa
02-02-2010, 17:51
Rifacendo la scansione è riapparso l'errore, questi sono i log:
prevx-pre.log (http://wikisend.com/download/598406/prevx-pre.log)
prevx-post.log (http://wikisend.com/download/501382/prevx-post.log)

Però non c'è più l'utente e la cartella in document&setting

EDIT: nel mio pc ho 2 HD, uno con windows e l'altro con due partizioni(una per linux e una come scambio dati). Ora ho notato che non parte più il grub(cioè il bootloader di linux) che era installato nell'mbr del secondo disco. Che sia stato infettato anche questo?

Chill-Out
02-02-2010, 18:06
EDIT: nel mio pc ho 2 HD, uno con windows e l'altro con due partizioni(una per linux e una come scambio dati). Ora ho notato che non parte più il grub(cioè il bootloader di linux) che era installato nell'mbr del secondo disco. Che sia stato infettato anche questo?

Devi semplicemente reinstallarlo.

fanfa
02-02-2010, 18:12
Devi semplicemente reinstallarlo.

Ok, l'ho reinstallato e ora funziona linux, ma perchè è successo questo se è sull'mbr dell'altro HD?

Invece per il discorso dei log che ho postato?

niox26
02-02-2010, 19:51
Stasera appena rientro a casa postero' i log Chill.


niente da fare non riesco neppure a fare una scansione con Prevx 3.0, ariva al 63- 64% della scansione con la dicitura "Scanning for new threats with the prevx Database",...per non parlare della onnipresente finestra che mi invita a collegarmi a www.Prevx.com x la licenza.
Non vorrei mollare perchè qui imparo cose nuove, ma non comprendo perche' adesso tutte queste difficolta x una scansione gia' fatta e rifatta. grazie cmq Chill.

p.s. ma se acquisto sta' licenza risolvo i miei problemi??..domanda difficile vero:mad:

fanfa
02-02-2010, 19:58
adesso anche a me appare la stessa finestra di niox26 mentre cerco di fare la scansione con prevx :muro: :muro:
A forza di cliccare annulla arrivo al 98% però poi non va più avanti.

Ora ho cominciato a fare il backup dei dati sul secondo hd da linux, poi domani proverò a reinstallare tutto. Come faccio a formattare completamente l'mbr e togliere l'infezione?

E poi come posso vedere se anche il secondo hd è infetto?(quello dove ho tutte le partizioni di linux e una che condivido tra windows e linux per tenere i file)

niox26
02-02-2010, 23:30
Per non stare fermo ho provato a fare la scansione con CureIt allora,...niente, come già segnalato, cliccando su avvia, schermo nero e PC che si riavvia....mhaa:confused: :confused:

Chill-Out
03-02-2010, 10:05
niente da fare non riesco neppure a fare una scansione con Prevx 3.0, ariva al 63- 64% della scansione con la dicitura "Scanning for new threats with the prevx Database",...per non parlare della onnipresente finestra che mi invita a collegarmi a www.Prevx.com x la licenza.
Non vorrei mollare perchè qui imparo cose nuove, ma non comprendo perche' adesso tutte queste difficolta x una scansione gia' fatta e rifatta. grazie cmq Chill.

p.s. ma se acquisto sta' licenza risolvo i miei problemi??..domanda difficile vero:mad:

Per scrupolo disinstalla, reinstalla e fai nuova scansione, il problema può essere riconducibile ad un rallentamento temporaneo della rete o ad un problema ai Server Prevx

Per non stare fermo ho provato a fare la scansione con CureIt allora,...niente, come già segnalato, cliccando su avvia, schermo nero e PC che si riavvia....mhaa:confused: :confused:

Falla da modalità provvisoria F8

Chill-Out
03-02-2010, 10:06
adesso anche a me appare la stessa finestra di niox26 mentre cerco di fare la scansione con prevx :muro: :muro:
A forza di cliccare annulla arrivo al 98% però poi non va più avanti.

Ora ho cominciato a fare il backup dei dati sul secondo hd da linux, poi domani proverò a reinstallare tutto. Come faccio a formattare completamente l'mbr e togliere l'infezione?

E poi come posso vedere se anche il secondo hd è infetto?(quello dove ho tutte le partizioni di linux e una che condivido tra windows e linux per tenere i file)

Per scrupolo disinstalla, reinstalla e fai nuova scansione, il problema può essere riconducibile ad un rallentamento temporaneo della rete o ad un problema ai Server Prevx

Non comprendo il motivo per cui vuoi formattare i log sono ok.

fanfa
03-02-2010, 10:16
I log sembrano ok, ma di fatto il pc dopo qualche minuto di attività si blocca completamente, quindi evidentemente c'è qualche altra cosa.

Comunque, mi sapresti dire come posso fare a testare l'mbr del secondo HD? basta lanciare il file mbr.exe posizionandolo dentro al disco d: (anche se sono sotto windows in esecuzione da c: )?

grazie

Chill-Out
03-02-2010, 10:37
I log sembrano ok, ma di fatto il pc dopo qualche minuto di attività si blocca completamente, quindi evidentemente c'è qualche altra cosa.

Comunque, mi sapresti dire come posso fare a testare l'mbr del secondo HD? basta lanciare il file mbr.exe posizionandolo dentro al disco d: (anche se sono sotto windows in esecuzione da c: )?

grazie

I log non sembrano, sono ok! Allega un log di Gmer spuntanto tutte le voci nel pannello di dx, esattamente cme indicato in Guida.

fanfa
03-02-2010, 13:03
Ecco il log di gmer, come mi hai chiesto:
gmer.log (http://wikisend.com/download/612986/gmer.log)

Già che ci sono però ti riposto anche quello di mbr:
mbr.log (http://wikisend.com/download/470262/mbr.log)

Questo log indica che l'mbr è ancora infetto? oppure è solo sintomo del fatto che c'è stata un'infezione?

grazie

Chill-Out
03-02-2010, 13:05
Ecco il log di gmer, come mi hai chiesto:
gmer.log (http://wikisend.com/download/612986/gmer.log)

Non emerge nulla


Già che ci sono però ti riposto anche quello di mbr:
mbr.log (http://wikisend.com/download/470262/mbr.log)

Questo log indica che l'mbr è ancora infetto? oppure è solo sintomo del fatto che c'è stata un'infezione?

grazie

Si può rimanere "sporco"

fanfa
03-02-2010, 13:13
Si può rimanere "sporco"

Ok, grazie mille per il tuo preziosissimo aiuto, ora riproverò ad utilizzare il pc per vedere se è tutto ok.


P.S. ma il fatto che rimanga "sporco" significa che è più probabile che si ripresenti il virus?

Chill-Out
03-02-2010, 13:16
Ok, grazie mille per il tuo preziosissimo aiuto, ora riproverò ad utilizzare il pc per vedere se è tutto ok.

Prego


P.S. ma il fatto che rimanga "sporco" significa che è più probabile che si ripresenti il virus?

No

Antony500
03-02-2010, 21:05
Ciao a tutti, sono nuovissimo, posto in questo topic perché mio padre è andato in un sito per acquistare prodotti di agricoltura online(conosce il creatore), quindi va nella homepage e all'improvviso esce un avviso di avast, ho trovato un virus, e quel virus si chiamava Iframe Gen, ma risiedeva nel sito,però vorrei sapere una cosa, il sistema è infetto?(non posso usare scansioni e programmini vari perché il pc è di mio padre e si arrabbierebbe)

Un grazie mille anticipato, ciao

wjmat
03-02-2010, 21:37
Ciao a tutti, sono nuovissimo, posto in questo topic perché mio padre è andato in un sito per acquistare prodotti di agricoltura online(conosce il creatore), quindi va nella homepage e all'improvviso esce un avviso di avast, ho trovato un virus, e quel virus si chiamava Iframe Gen, ma risiedeva nel sito,però vorrei sapere una cosa, il sistema è infetto?(non posso usare scansioni e programmini vari perché il pc è di mio padre e si arrabbierebbe)

Un grazie mille anticipato, ciao

ciao

che sintomi hai per postare qui?

niox26
03-02-2010, 23:09
Per scrupolo disinstalla, reinstalla e fai nuova scansione, il problema può essere riconducibile ad un rallentamento temporaneo della rete o ad un problema ai Server Prevx



Falla da modalità provvisoria F8

Stasera nessun progresso x me.
Prevx non sono riuscito a fare la scansione in nessun modo, in più l'onnipresente finestra di dialogo inerente alla licenza.
Altrettanto dicasi con Curelt,..schermo nero e il PC che si riavvia,
inoltre una nuova finestra si è aggiunta che parla di Utilita' configurazione di sistema,..vorrei postare l'immagine ma non credo sia possibile.:mad: :mad:
pero' chiudo con una nota positiva,..mia figlia mi ha detto che stasera navigando il PC non si è bloccato,..e vai:ciapet: