ciao

che sintomi hai per postare qui?

Ho il computer un po' troppo lento(ma credo sia per il p4 e per i 512 mb di ram...)

Ho il computer un po' troppo lento(ma credo sia per il p4 e per i 512 mb di ram...)

se vuoi fare un controllo carica i log della fase 1

Stasera nessun progresso x me.
Prevx non sono riuscito a fare la scansione in nessun modo, in più l'onnipresente finestra di dialogo inerente alla licenza.
Altrettanto dicasi con Curelt,..schermo nero e il PC che si riavvia,
inoltre una nuova finestra si è aggiunta che parla di Utilita' configurazione di sistema,..vorrei postare l'immagine ma non credo sia possibile.:mad: :mad:
pero' chiudo con una nota positiva,..mia figlia mi ha detto che stasera navigando il PC non si è bloccato,..e vai:ciapet:

Stasera riprovo il tutto, non sono ottimista pero', perchè ho gia' provato e riprovato. Naturalmente segnalero' sul Forum gli esiti.

a presto.

PC totalmente bloccato, :muro:.. non riesco neppure a collegarmi ad Internet.
occorre configuralo, trattasi di un XP, c'è qualcuno che mi posta un link dove posso attingere notizie x riconfigurare il mio PC.
Grazie.

PC totalmente bloccato, :muro:.. non riesco neppure a collegarmi ad Internet.
occorre configuralo, trattasi di un XP, c'è qualcuno che mi posta un link dove posso attingere notizie x riconfigurare il mio PC.
Grazie.

Sezione Microsoft Windows

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-02-05 09:00:57
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOCUME~1\Studio\IMPOST~1\Temp\pwtdypob.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwEnumerateValueKey [0xAAB6FF74]

Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) FsRtlCheckLockForReadAccess
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) IoIsOperationSynchronous

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- EOF - GMER 1.0.15 ----
questo è il report ma non riesco a decifrarlo, il mio pc si blocca ,non riesco a fare una scansione completa con antivirus neppure con bitdefenderquickscan,
malwarebytes non trova nulla

questo è il report ma non riesco a decifrarlo, il mio pc si blocca ,non riesco a fare una scansione completa con antivirus neppure con bitdefenderquickscan,
malwarebytes non trova nulla

Perchè hai postato qui? Quali problemi riscontri?

prevx mi da questo:


ma dato che è free non me lo fa eliminare
l'altro log sopra non lo rivela anche se mi pare ci siano attacchi
come devo fare
il pc si blocca e devo riavviare.

prevx mi da questo:


ma dato che è free non me lo fa eliminare
l'altro log sopra non lo rivela anche se mi pare ci siano attacchi
come devo fare
il pc si blocca e devo riavviare.

Se leggi attentamente la Guida in prima pagina, troverai le modalità corrette per allegare i log, scoprirai anche che Prevx anche se in versione Free rimuove l'infezione.

[B<00200000>] c:\$mbr.0 [PX5: DFB91BAE00F7FE4E014400AA3629600089E71A1B] Malware Group: Rootkit.MBR

NB: suggerisco caldamente di disinstallare quella copia non licenziata di WinRAR

Grazie per la risposta ma cleanup now non lo vedo .Non mi fa fare neppure la scansione mi dice cleanup non licensed errore v911

Grazie per la risposta ma cleanup now non lo vedo .Non mi fa fare neppure la scansione mi dice cleanup non licensed errore v911

Allega il log di Prevx nel rispetto delle modalità indicate in Guida.

Allega il log di Prevx nel rispetto delle modalità indicate in Guida. questo è il log

questo è il log

Log completo, grazie.

Ho fallito.
PC formattato,..ma non credo sia stato il virus a farmi desistere, forse ho manomesso qualcosa al BIOS e non riuscivo più a venirne a capo....peccato.

Ho fallito.
PC formattato,..ma non credo sia stato il virus a farmi desistere, forse ho manomesso qualcosa al BIOS e non riuscivo più a venirne a capo....peccato.

bhe nn è che formattando il BIOS si risistema

Con mio dispiacere (ovviamente) mi aggiungo al TD in cerca di aiuto.

I sintomi sono quelli tipici: PC lento, consumo ingiustificato di memoria, etc.

Ho cercato di fare da solo (ho letto parecchio nel forum) ma è troppo difficile. Vi posto quindi il log di gmer virus gmer unico1.log (http://wikisend.com/download/586552/virus gmer unico1.log) mentre non riesco a farmi fare la scansione da prevx poichè, come cerco di farlo partire, mi esce il pop-up con "error: v911: cleanup not licenced,....". Stesso comportamento se disinstallo e riparto da capo.

Mi metto in attesa aspettando indicazioni. Grazie

in genere per "attacco" cosa si intende,cosa può fare il boo.sinowal?

Con mio dispiacere (ovviamente) mi aggiungo al TD in cerca di aiuto.

I sintomi sono quelli tipici: PC lento, consumo ingiustificato di memoria, etc.

Ho cercato di fare da solo (ho letto parecchio nel forum) ma è troppo difficile. Vi posto quindi il log di gmer virus gmer unico1.log (http://wikisend.com/download/586552/virus gmer unico1.log) mentre non riesco a farmi fare la scansione da prevx poichè, come cerco di farlo partire, mi esce il pop-up con "error: v911: cleanup not licenced,....". Stesso comportamento se disinstallo e riparto da capo.

Mi metto in attesa aspettando indicazioni. Grazie

Ciao, il log di Gmer mi sembra un po corto, segui esattamente le istruzioni in prima pagina.

Vero. Erano però spuntate tutte le caselle, ad eccezione della "show all" che era inibita. E' possibile spuntarla solo se almeno una delle altre caselle NON è spuntata. Ho fatto così ed ecco un ben più abbondante log virus gmer unico1 bis.log (http://wikisend.com/download/456180/virus gmer unico1 bis.log)

Vero. Erano però spuntate tutte le caselle, ad eccezione della "show all" che era inibita. E' possibile spuntarla solo se almeno una delle altre caselle NON è spuntata. Ho fatto così ed ecco un ben più abbondante log virus gmer unico1 bis.log (http://wikisend.com/download/456180/virus gmer unico1 bis.log)

Allega i log della Seconda Fase

Noto con preoccupazione che uno (mbr) mi dice che c'è ancora "malicious code @ sector" e l'altro "Unable to scan for SinowalMBR hooks"

Eccoli comunque ed a te il pallino (e grazie) NFix_2010-02-17_10-46-00.log (http://wikisend.com/download/563316/NFix_2010-02-17_10-46-00.log) e poi mbr.log (http://wikisend.com/download/201904/mbr.log)

Noto con preoccupazione che uno (mbr) mi dice che c'è ancora "malicious code @ sector" e l'altro "Unable to scan for SinowalMBR hooks"

Eccoli comunque ed a te il pallino (e grazie) NFix_2010-02-17_10-46-00.log (http://wikisend.com/download/563316/NFix_2010-02-17_10-46-00.log) e poi mbr.log (http://wikisend.com/download/201904/mbr.log)

Il log può rimanere "sporco" ma sulla base di cosa pensi di essere infetto?

"prima" ne ero sicuro: PC lento, FF che si incasinava, notifiche del SO di aumento della memoria virtuale mai avvenute nel passato e non giustificate da situazioni particolari. Può essere che con i miei smanettamenti autonomi (sempre però seguendo la guida del forum) sia riuscito a cancellare il rootkit, vorrei però esserne sicuro e, leggendo i log, non ho questa certezza. E' per questo che ho richiesto aiuto.

E' possibile avere una ragionevole certezza che il virus non ci sia più?

"prima" ne ero sicuro: PC lento, FF che si incasinava, notifiche del SO di aumento della memoria virtuale mai avvenute nel passato e non giustificate da situazioni particolari. Può essere che con i miei smanettamenti autonomi (sempre però seguendo la guida del forum) sia riuscito a cancellare il rootkit, vorrei però esserne sicuro e, leggendo i log, non ho questa certezza. E' per questo che ho richiesto aiuto.

E' possibile avere una ragionevole certezza che il virus non ci sia più?

Per scrupolo fai scansione con DrWeb CureIt ed allega il log.

Ciao a tutti!
E' un bel pò che non scrivo sul forum ma questa volta avrei bisogno del vostro aiuto! :mc:
Le ho provate tutte, non ne posso più di questo Backdoor.Win32.Sinowal.gcu
Kaspersky continua a rilevarlo in Device\Harddisk1\DR1 e pur disinfettandolo continua a ritornare :-(

DOMANDA 1: avendo 2 Hard disk, C di sistema - E per i dati, con "Device\Harddisk1\DR1" intenderà il disco C o quello E?
(mi pare che a volte il primo disco sia Harddisk0 o sbaglio?)

DOMANDA 2: ma questo backdoor ci sarà veramente o no, e se c'è si potrà eliminare?

Ho già seguito tutte le procedure di pulizia e controllo e mi pare non venga rilevato nulla (sotto posto i link ai log)
Ultimamente la connessione internet è rallentata e più che altro mi sono state rubate 50 euro dalla postepay :cry:
quindi immagino sia possibile che questo Sinowal attivi un keylogger o qualcosa del genere...
(provissoriamente sto usando la tastiera vituale per inserire le password)

ECCO I MIEI LOG:

-La scansione con GMER mi pare non rilevi nulla (ma non sono molto pratica a interpretare bene i log) : http://wikisend.com/download/466578/GMER log.txt

-Con Prevx nemmeno: http://wikisend.com/download/470678/Prevx log.log

-Con Stealth MBR rootkit detector sembra ci sia un avviso di "maliciuos code", potreste confermarmi? : http://wikisend.com/download/178828/MBR.log

-Con Norman mi pare che non rileva nulla:http://wikisend.com/download/525032/NFix log.log

-CureIt mi ha eliminato un file nella system32 ma non è collegato col Backdoor Sinowal.gcu che continua a persistere: http://wikisend.com/download/963534/cureit_ripulito.txt

Altre operazioni da me effettuate:

- Analisi e rimozione con Combofix (ha eliminato il file iasna_1CF6F2E3.dll) ma il caro Sinowal non se ne è andato
- Ho provato a riscrivere più volte l'MBR dalla consolle di ripristino con il comando FIXMBR, ma il caro Sinowal non se ne è andato :mad:

Dal sito di supporto Kaspersky in inglese un utente che aveva lo stesso problema dice di averlo risolto riscrivendo l'MBR
con il supporto di un piccolo EXE, MbrFix (ma non ho capito se è la stessa cosa di usare il comandao FIXMBR dalla consolle di rispristino)
Questo è il post e il suo intervento è il penultimo: http://forum.kaspersky.com/index.php?showtopic=58147
e il link all'utility è questo: http://www.ambience.sk/fdisk-master-boot-record-windows-linux-lilo-fixmbr.php

Avendole provate tutte volevo tentare anche questa modalità ma non sono stata capace :-(
Cioè, dalla consolle di ripristino passo da C:\WINDOWS> a C:\> con il comando CHDIR C:\
poi inserendo come dice il programma il comando C:\> MbrFix /DRIVE 0 FIXMBR / mi dice però che non lo riconosce....:(
Qualcuno saprebbe dirmi cosa sbaglio? (MbrFix.exe l'ho copiato in C: senza sottocartelle) chi se ne intende di consolle di ripristino? E più che altro servirebbe a qualcosa?

Qualcuno ha qualche idea di come disfarmi una volta per tutte dell'indesiderato ??
RAGAZZI confido in un vostro aiuto! ;)
GRAZIE GRAZIE

tharoty

Ciao a tutti!
E' un bel pò che non scrivo sul forum ma questa volta avrei bisogno del vostro aiuto! :mc:
Le ho provate tutte, non ne posso più di questo Backdoor.Win32.Sinowal.gcu
Kaspersky continua a rilevarlo in Device\Harddisk1\DR1 e pur disinfettandolo continua a ritornare :-(

DOMANDA 1: avendo 2 Hard disk, C di sistema - E per i dati, con "Device\Harddisk1\DR1" intenderà il disco C o quello E?
(mi pare che a volte il primo disco sia Harddisk0 o sbaglio?)

DOMANDA 2: ma questo backdoor ci sarà veramente o no, e se c'è si potrà eliminare?

Ho già seguito tutte le procedure di pulizia e controllo e mi pare non venga rilevato nulla (sotto posto i link ai log)
Ultimamente la connessione internet è rallentata e più che altro mi sono state rubate 50 euro dalla postepay :cry:
quindi immagino sia possibile che questo Sinowal attivi un keylogger o qualcosa del genere...
(provissoriamente sto usando la tastiera vituale per inserire le password)

ECCO I MIEI LOG:

-La scansione con GMER mi pare non rilevi nulla (ma non sono molto pratica a interpretare bene i log) : http://wikisend.com/download/466578/GMER log.txt

-Con Prevx nemmeno: http://wikisend.com/download/470678/Prevx log.log

-Con Stealth MBR rootkit detector sembra ci sia un avviso di "maliciuos code", potreste confermarmi? : http://wikisend.com/download/178828/MBR.log

-Con Norman mi pare che non rileva nulla:http://wikisend.com/download/525032/NFix log.log

-CureIt mi ha eliminato un file nella system32 ma non è collegato col Backdoor Sinowal.gcu che continua a persistere: http://wikisend.com/download/963534/cureit_ripulito.txt

Altre operazioni da me effettuate:

- Analisi e rimozione con Combofix (ha eliminato il file iasna_1CF6F2E3.dll) ma il caro Sinowal non se ne è andato
- Ho provato a riscrivere più volte l'MBR dalla consolle di ripristino con il comando FIXMBR, ma il caro Sinowal non se ne è andato :mad:

Dal sito di supporto Kaspersky in inglese un utente che aveva lo stesso problema dice di averlo risolto riscrivendo l'MBR
con il supporto di un piccolo EXE, MbrFix (ma non ho capito se è la stessa cosa di usare il comandao FIXMBR dalla consolle di rispristino)
Questo è il post e il suo intervento è il penultimo: http://forum.kaspersky.com/index.php?showtopic=58147
e il link all'utility è questo: http://www.ambience.sk/fdisk-master-boot-record-windows-linux-lilo-fixmbr.php

Avendole provate tutte volevo tentare anche questa modalità ma non sono stata capace :-(
Cioè, dalla consolle di ripristino passo da C:\WINDOWS> a C:\> con il comando CHDIR C:\
poi inserendo come dice il programma il comando C:\> MbrFix /DRIVE 0 FIXMBR / mi dice però che non lo riconosce....:(
Qualcuno saprebbe dirmi cosa sbaglio? (MbrFix.exe l'ho copiato in C: senza sottocartelle) chi se ne intende di consolle di ripristino? E più che altro servirebbe a qualcosa?

Qualcuno ha qualche idea di come disfarmi una volta per tutte dell'indesiderato ??
RAGAZZI confido in un vostro aiuto! ;)
GRAZIE GRAZIE

tharoty

C:\WINDOWS\system32\mga.exe infettato da BackDoor.Update.50 - cura negata dall'utente

Ciao ripeti scansione con DrWeb CureIt e sposta in quarantena il file sopra quotato, allega anche il log del Kaspersky.

Ciao ripeti scansione con DrWeb CureIt e sposta in quarantena il file sopra quotato, allega anche il log del Kaspersky.

Grazie per l'attenzione ChillOut

NO NO, il file mga.exe individuato da Cureit l'avevo lasciato solo momentaneamente in sospeso...
dopo aver controllato cosa fosse l'ho spostato in quarantena!:O

Il log completo di Kasper non riesco a farlo, cioè l'ho impostato per memorizzare solo gli eventi critici quindi dopo la scansione completa trovo solo questo:

RILEVATO: 18/02/2010 8.43.00 \Device\Harddisk1\DR1 Trojan program: Backdoor.win32.Sinowal.gcu
DISINFETTATO: 18/02/2010 8.43.10 \Device\Harddisk1\DR1 Trojan program: Backdoor.win32.Sinowal.gcu

Questo è lo sceenshot del rilevamento (che disinfetto ma con successiva scansiona anche senza riavviare il PC il Sinowal riappare nuovamente..quindi non ha disinfettato un bel niente...)
http://wikisend.com/download/492332/kaspersky - Sinowal.gcu.jpg

...come posso procedere?:help:
GRAZIE

Dal log di CureIt si evince che il file non è stato spostato in quarantena

Statistiche delle Scansioni
-----------------------------------------------------------------------------
Oggetti controllati: 9103
Trovati oggetti Infetti: 1
Trovato Oggetti modificati: 0
Trovato oggetti Sospetti: 0
Trovato Adware: 0
Trovato Dialer: 0
Trovato Joke: 0
Trovato Riskware: 0
Trovato Hacktool: 0
Oggetti curati: 0
Oggetti cancellati: 0
Oggetti rinominati: 0
Oggetti spostati: 0
Oggetti ignorati: 0
Velocità di scansione: 968 Kb/s
Durata scansione: 00:23:49

Dal log di CureIt si evince che il file non è stato spostato in quarantena

Scusami, grazie per la disponibilità ma non è che dico le cose così per dire...
Il file è in quarantena! Semplicemente prima ho salvato il log, poi ho fatto le ricerche sulla dll e poi l'ho messa in quarantena...;)
Ti allego lo sceen: http://wikisend.com/download/445482/CAPT000.jpg

..mi interesserebbe di più capire come riscrivere l' MBR con la procedura segnalata da quell'utente del forum di kaspersky se qualcuno può aiutarmi...:cry:

Scusami, grazie per la disponibilità ma non è che dico le cose così per dire...


Neppure io, l'unico strumento che abbiamo per comprendere la situazione sono i log ed i log di CureIt recita:

Statistiche delle Scansioni
-----------------------------------------------------------------------------
Oggetti controllati: 9103
Trovati oggetti Infetti: 1
Trovato Oggetti modificati: 0
Trovato oggetti Sospetti: 0
Trovato Adware: 0
Trovato Dialer: 0
Trovato Joke: 0
Trovato Riskware: 0
Trovato Hacktool: 0
Oggetti curati: 0
Oggetti cancellati: 0
Oggetti rinominati: 0
Oggetti spostati: 0
Oggetti ignorati: 0
Velocità di scansione: 968 Kb/s
Durata scansione: 00:23:49


Hai fatto questo passaggio? Mi riferisco al comando C:\mbr.exe -f

Stealth MBR rootkit detector
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
Scaricate MBR:EXE sul DeskTop e mettetelo direttamente nella Directory C:\
Riavviate il Pc in modalità provvisoria F8
Da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
Salvate il log prodotto come MBR ed allegatelo per il controllo

Per scrupolo fai scansione con DrWeb CureIt ed allega il log.

ho fatto la scansione ma non posso allegare il log poichè DrWeb mi dice che non ha trovato nessun file infetto.

Deduco quindi che, come avevi detto tu, abbia solamente lasciato la traccia del suo passaggio. Per eliminare anche quella mi chiedo (meglio, TI chiedo): il log dell'mbr.exe mi dice:

malicious code @ sector 0x0A9FBE9A !
PE file found in sector at 0x0A9FBEB0 !

Se con un editor esadecimale modifico una parte dei due settori segnalati (ma forse anche un solo bit) l'antivirus mbr non dovrebbe più riconoscere il modello del "malicious code" e del "PE file".

E' corretto il mio ragionamento?
Posso intervenire su quei settori senza combinare guai?

Posso intervenire su quei settori senza combinare guai?

Io personalmente eviterei :)

OK, eviterò. Grazie dell'aiuto e della guida.

OK, eviterò. Grazie dell'aiuto e della guida.

Di nulla, ciao.

Ragazzi sul pc di un mio cliente ho un maledetto virus mbr che non si toglie

Dunque prevx non parte nemmeno, mi da un errore v911
con il comando mbr.exe e poi mbr.exe -f non toglie proprio niente mi da sempre infezione
gmer non lo riconosce e dice che è tutto ok
malware bytes tutto ok
Ho anche provato con il comando di windows fixmbr, fixboot c:
ma lui rimane sempre...
Sapete se per caso c'è ultimente un virus del genere?
Che non si toglie con mbr-f e che che da noia a prevx?, poichè prevx da errore v911 errore di licenza.

Ragazzi sul pc di un mio cliente ho un maledetto virus mbr che non si toglie

Dunque prevx non parte nemmeno, mi da un errore v911
con il comando mbr.exe e poi mbr.exe -f non toglie proprio niente mi da sempre infezione
gmer non lo riconosce e dice che è tutto ok
malware bytes tutto ok
Ho anche provato con il comando di windows fixmbr, fixboot c:
ma lui rimane sempre...
Sapete se per caso c'è ultimente un virus del genere?
Che non si toglie con mbr-f e che che da noia a prevx?, poichè prevx da errore v911 errore di licenza.
ciao

se sovrascrivi il MBR da console di ripristino il rootkit deve sparire a meno che ci sia qualcos'altro che continua a reinfettarti
quali sono i sintomi e chi ti segnala l'infezione?

buonasera, spiego brevemente il problema;mi contatta un amico che, con malwarebytes, scopre di essere infetto da mbr rootkit; gli dico della guida, prova a seguirla ma in maniera confusa.Pocanzi entro in possesso del pc e, non disponendo di un monitor, lo attacco tramite usb al mio, verificando con Gdata l'eventuale presenza di virus (non rilevati).trovassi il log di gdata lo posterei..


Riesco a recuperare il log di steath detector ma non gmer.Cosa mi consigliate di fare, scansione con gmer del solo hd in questione?grazie mille

http://wikisend.com/download/524764/mbr.log

buonasera, spiego brevemente il problema;mi contatta un amico che, con malwarebytes, scopre di essere infetto da mbr rootkit; gli dico della guida, prova a seguirla ma in maniera confusa.Pocanzi entro in possesso del pc e, non disponendo di un monitor, lo attacco tramite usb al mio, verificando con Gdata l'eventuale presenza di virus (non rilevati).trovassi il log di gdata lo posterei..


Riesco a recuperare il log di steath detector ma non gmer.Cosa mi consigliate di fare, scansione con gmer del solo hd in questione?grazie mille

http://wikisend.com/download/524764/mbr.log

Segui la Guida in prima pagina :)

Segui la Guida in prima pagina :)

grazie chill (se riesco a trovarli posto i vari log delle scansione he il mio amico ha già fatto), mi metto subito a lavoro, ma un grande dubbio, le scansioni con prevx gmer le faccio dell'intero hd ,quindi anche del mio pc, o solo di quello che ho collegato?grazie

grazie chill (se riesco a trovarli posto i vari log delle scansione he il mio amico ha già fatto), mi metto subito a lavoro, ma un grande dubbio, le scansioni con prevx gmer le faccio dell'intero hd ,quindi anche del mio pc, o solo di quello che ho collegato?grazie

Solo del PC del tuo amico

Solo del PC del tuo amico
come da guida, prima di proseguire, domando lumi;
con gmer ho eseguito la scansione dell'unita G, con prevx la medesima cosa tramite tasto destro sull'unità removibile, ovvero l'hd del mio amico.
So che sarebbe stato utile vedere tutti i file eliminati (a quanto mi è stato detto tanti) dalle precedenti scansioni ma non trovo niente.proseguo con la guida?(non saprei come ricostruire l'mbr essendo questo h.d. attaccato al mio nb tramite usb)

http://wikisend.com/download/224734/gmerlog.log

http://wikisend.com/download/199292/prevx.log

come da guida, prima di proseguire, domando lumi;
con gmer ho eseguito la scansione dell'unita G, con prevx la medesima cosa tramite tasto destro sull'unità removibile, ovvero l'hd del mio amico.
So che sarebbe stato utile vedere tutti i file eliminati (a quanto mi è stato detto tanti) dalle precedenti scansioni ma non trovo niente.proseguo con la guida?(non saprei come ricostruire l'mbr essendo questo h.d. attaccato al mio nb tramite usb)

http://wikisend.com/download/224734/gmerlog.log

http://wikisend.com/download/199292/prevx.log

Dai log non emerge nulla, ma non era meglio attaccare il tuo monitor al Pc dell'amico :)

Dai log non emerge nulla, ma non era meglio attaccare il tuo monitor al Pc dell'amico :)

buongiorno chill, decisamente si, ma non ho un cavo uno a casa..ieri cmq lanciai per prova lo stealth detector sulla mia partizione, ovviamente tutto ok (paura del contagio).Lo provai anche ,trovandomi in modalità provvisoria, inserendo il file mbr.exe in G e cambiando il comando con la medesima lettera.
Non so se fosse giusto il procedimento ma questo è il log; i problemi che riscontrava erano, la non istallazione di prevx (il primo con cui aveva rimosso come da guida e che dava un errore v911 qundo cercava di reinstallarlo) e alcuni crash del pc.Oggi ho la possibilità di collegarlo su un case, mi consigli altro?grazie infinite come sempre

http://wikisend.com/download/939080/mbr.log

buongiorno chill, decisamente si, ma non ho un cavo uno a casa..ieri cmq lanciai per prova lo stealth detector sulla mia partizione, ovviamente tutto ok (paura del contagio).Lo provai anche ,trovandomi in modalità provvisoria, inserendo il file mbr.exe in G e cambiando il comando con la medesima lettera.
Non so se fosse giusto il procedimento ma questo è il log; i problemi che riscontrava erano, la non istallazione di prevx (il primo con cui aveva rimosso come da guida e che dava un errore v911 qundo cercava di reinstallarlo) e alcuni crash del pc.Oggi ho la possibilità di collegarlo su un case, mi consigli altro?grazie infinite come sempre

http://wikisend.com/download/939080/mbr.log

Scansione con DrWeb CureIt ;)

Scansione con DrWeb CureIt ;)

Nonostante il log dica il contrario, non ho interrotto la scansione;il file host modificato lo feci io per togliere la pubblicità da msn.Mi affido sempre a te per il prossimo passo e ancora grazie

http://wikisend.com/download/535704/cureit filtrato.txt

Nonostante il log dica il contrario, non ho interrotto la scansione;il file host modificato lo feci io per togliere la pubblicità da msn.Mi affido sempre a te per il prossimo passo e ancora grazie

http://wikisend.com/download/535704/cureit filtrato.txt

Direi che non c'è altro da fare

Direi che non c'è altro da fare

Perfetto, colgo l'occasione per dirti ancora grazie per la disponibilità

Perfetto, colgo l'occasione per dirti ancora grazie per la disponibilità

Prego ;)

sapete niente riguardo un virus con nome winesm32.exe che si posiziona in
C:\Documents and Settings\UTENTE\Menu Avvio\Programmi\Esecuzione automatica

sapete niente riguardo un virus con nome winesm32.exe che si posiziona in
C:\Documents and Settings\UTENTE\Menu Avvio\Programmi\Esecuzione automatica

Segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446

Riciao chill, spero di non abusare della tua pazienza, ma la situazione non è buona;dopo aver staccato l'hd noto che non parte per i troppi file danneggiati, tramite consolle di ripristino non risolvo, decido di formattare..niente. rimangono problemi sull'hd (3 mesi di vita mi dice).Uso l'utility specifica che rileva troppi problemi..decido allora di radere al suolo la partizione con talbe doctor, reinstallo windows e tutto va liscio..per scrupolo rieseguo lo stealth per l'mbr rootkit ed eccolo la..
possibile sia residente ma non attivo?

http://wikisend.com/download/224864/mbr.log

http://wikisend.com/download/522620/prevx.log

dal momento che son in fase format (nemmeno con tutti i driver installati), qualunque procedura anche drastica è ben accetta.
ti ringrazio infinitamente

gmer ha dato scermata blu con errore realtivo a pwayqfog.sys

Riciao chill, spero di non abusare della tua pazienza, ma la situazione non è buona;dopo aver staccato l'hd noto che non parte per i troppi file danneggiati, tramite consolle di ripristino non risolvo, decido di formattare..niente. rimangono problemi sull'hd (3 mesi di vita mi dice).Uso l'utility specifica che rileva troppi problemi..decido allora di radere al suolo la partizione con talbe doctor, reinstallo windows e tutto va liscio..per scrupolo rieseguo lo stealth per l'mbr rootkit ed eccolo la..
possibile sia residente ma non attivo?

http://wikisend.com/download/224864/mbr.log

http://wikisend.com/download/522620/prevx.log

dal momento che son in fase format (nemmeno con tutti i driver installati), qualunque procedura anche drastica è ben accetta.
ti ringrazio infinitamente

gmer ha dato scermata blu con errore realtivo a pwayqfog.sys

Il log può rimanere "sporco" l'unico modo per evitare ciò è formattare a basso livello.

Il log può rimanere "sporco" l'unico modo per evitare ciò è formattare a basso livello.

buongiorno e grazie chill, il tool specifico della casa costruttrice rileva troppi problemi sull'hd e non riesce a risolverli ne a cancellarlo, essendo l'hd in garanzia (l'ultima volta che si avviava il s.o. dava errore explorer.exe e si bloccava dopodicheè schermata blu), provo a restituirlo al mio amico per farlo controllare ed eventualmente sostituire dal negozio in cui l'ha preso, a questo punto potrebbe anche essere un problema di hd.grazie ancora

Segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446

grazie 1000, xò li non parla di questo file winesm32.exe

grazie 1000, xò li non parla di questo file winesm32.exe

Come suggerito segui la Guida :)

Ciao a tutti,

ho fatto una scansione sul portatile del disco utilizzando il cd di norton internet security 2010 (quindi all'avvio del computer). Questa scansione mi ha trovato il seguete rootkit: bloodhound.MBR

Ho letto la guida in prima pagina e per fare la prova del 9 ho anche fatto una scansione con Prevx 3.0 e mi ha trovato questo file sospetto: luxor2.exe

Norton mi da la possibilità di correggere bloodhound.MBR.....secondo voi può comportare il blocco del sistema?

Grazie in anticipo ;)

Norton mi da la possibilità di correggere bloodhound.MBR.....secondo voi può comportare il blocco del sistema?

Grazie in anticipo ;)

Teoricamente no.

Ciao a tutti ragazzi.

Siete semplicemente meravigliosi.. Ho completato la prima fase e già il pc non si blocca da circa 15 minuti: un record!!! Mi scuso con Chill Out ma non sono riuscito a salvare il log pre eliminazione del problema con Prevx perchè mi diceva solo di annullare la scansione o considerare attendibile il problema.. In più il pc si impallava e quindi ho cliccato 2 volte un tasto e patatrack!!
Comunque ho allegato il file GMER (ante eliminazione) ed il file Prevx (post eliminazione, riavvio e riscansione).. Trovi il primo QUI (http://www.mediafire.com/file/j1mmanymniz/Log%20GMER.txt) e l'altro QUI (http://www.mediafire.com/file/iuzaljfmytz/Prevx%28dopo%20eliminazione%29.log)..
Passo alla seconda fase :D

Sono passato alla seconda parte..
In modalità Provvisoria ho fatto partire C:\mbr.exe -f come descritto ed ho trovato in C il seguente Log che ti allego QUI (http://www.mediafire.com/file/iuzaljfmytz/mbr%20%28modalit%E0%20provvisoria%29.log)..
Stessa operazione fatta in modalità normale e (credo purtroppo) Log praticamente identico: Eccolo qui (http://www.mediafire.com/file/iuzaljfmytz/mbr%20%28modalit%E0%20normale%29.log) :muro:

Una domanda: Ma dovevo eseguire C:\mbr.exe anche in modalità provvisoria? Nella guida non era specificato all'inizio :)

PS: Dato che i post precedenti sono vecchissimi... Sto parlando da solo!?!? :stordita:

PS2: Sto facendo la scansione con Norman eccetera e sembra nn finire mai.. Domai allego il log risultante :doh:

Sono passato alla seconda parte..
In modalità Provvisoria ho fatto partire C:\mbr.exe -f come descritto ed ho trovato in C il seguente Log che ti allego QUI (http://www.mediafire.com/file/iuzaljfmytz/mbr%20%28modalit%E0%20provvisoria%29.log)..
Stessa operazione fatta in modalità normale e (credo purtroppo) Log praticamente identico: Eccolo qui (http://www.mediafire.com/file/iuzaljfmytz/mbr%20%28modalit%E0%20normale%29.log) :muro:

Una domanda: Ma dovevo eseguire C:\mbr.exe anche in modalità provvisoria? Nella guida non era specificato all'inizio :)

PS: Dato che i post precedenti sono vecchissimi... Sto parlando da solo!?!? :stordita:

PS2: Sto facendo la scansione con Norman eccetera e sembra nn finire mai.. Domai allego il log risultante :doh:

ciao

i log per ora mi sembrano tutti puliti e in quello di gmer, non vedo traccia di mbr rootkit, che dovrebbe rimanere anche a pc pulito

Ciao wjmat..

Grazie per la risposta celere.. Non so cosa avessi prima ma, da quando ho iniziato a seguire la guida, il pc va senza "frizzarsi" ogni 10 secondi.. Ragazzi era diventato impossibile anke scrivere una maledetta mail..

Ecco il log (http://www.mediafire.com/file/jg2jn32xlmk/NFix_2010-03-13_00-27-45.log) dopo TRE ORE di scansione con Norman.. Devo continuare a seguire la guida!?!? :cool:

Saluti sparsi a tutti :)

Ciao,
da qualche tempo ho un problema con il mio pc e ho scoperto recentemente di avere la famosa cartella HelpAssistant. Quindi chiedo aiuto..

Qui il log di prevx. Non mi è possibile fare la scansione con gmer xke x due volte che ho provato, o si blocca il pc o parte la schermata blu.

http://www.filedropper.com/prevx

Ciao,
da qualche tempo ho un problema con il mio pc e ho scoperto recentemente di avere la famosa cartella HelpAssistant. Quindi chiedo aiuto..

Qui il log di prevx. Non mi è possibile fare la scansione con gmer xke x due volte che ho provato, o si blocca il pc o parte la schermata blu.

http://www.filedropper.com/prevx

Ciao e benvenuto, il log non è disponibile, controlla il link.

Non so bene percè non funzionava, probabile che abbia sbagliato a incollare.. cmq ecco nuovo link del log della scansione con Prevx:

http://wikisend.com/download/961640/prevx.log

Grazie in anticipo per il tuo aiuto.

Non so bene percè non funzionava, probabile che abbia sbagliato a incollare.. cmq ecco nuovo link del log della scansione con Prevx:

http://wikisend.com/download/961640/prevx.log

Grazie in anticipo per il tuo aiuto.

Dal log di Prevx

B] c:\$mbr.0 [PX5: 99AA2E4B009FF0F80185002040C95900259D9CD1] Malware Group: Rootkit.MBR

segui esattamente quanto indicato in Guida

Ti allego i log della seconda fase:

http://wikisend.com/download/600568/mbr.log

http://wikisend.com/download/467322/NFix_2010-03-19_09-12-47.log

Ti allego i log della seconda fase:

http://wikisend.com/download/600568/mbr.log

http://wikisend.com/download/467322/NFix_2010-03-19_09-12-47.log

Hai fatto questo passaggio? :)

NB: Prevx oltre a rilevare l'infezione, ci permette di rimuoverla gratuitamente (F = Free to cleanup) per farlo è sufficiente ripetere la scansione e cliccare su Cleanup Now dopo aver disabilitato l'antivirus, importante salvare entrambi i log pre e post rimozione.

Si, l'avevo provato.. ma poi il pc si era bloccato come al solito, quindi credevo non fosse andato a buon fine e x qst non ho allegato il log della scansione post-rimozione. :doh:
Posso dedurre che è tt ok?

Si, l'avevo provato.. ma poi il pc si era bloccato come al solito, quindi credevo non fosse andato a buon fine e x qst non ho allegato il log della scansione post-rimozione. :doh:
Posso dedurre che è tt ok?

Allega nuovo log di Prevx e vediamo subito :)

Eccolo qui..

http://wikisend.com/download/943528/prevx 2.log

Credo proprio sia andato a buon fine!
Grazie mille per l'aiuto e mi scuso per il disturbo.

Eccolo qui..

http://wikisend.com/download/943528/prevx 2.log

Credo proprio sia andato a buon fine!
Grazie mille per l'aiuto e mi scuso per il disturbo.

Nessun disturbo, direi che siamo ok ma per scrupolo ti suggerisco la scansione di controllo con CureIt.

:) Ottimo! Grazie mille e complimenti per il buon lavoro che svolgi.

:) Ottimo! Grazie mille e complimenti per il buon lavoro che svolgi.

Di nulla, buon proseguimento.

Ciao a tutti, anch'io ho il pc infetto: mi si pianta spesso sia le applicazioni che Mozilla o Explorer.
Prima di iniziare la procedura vorrei gentilmente sapere da voi esperti se posso fare le scansioni con i programmi indicati in prima pagina con la modalità ridotta, visto che in quella normale non ce la fa a leggermi 3 HD da 300GB senza bloccarsi dopo una 40ina di minuti massimo.
Se lascio la rete attiva in modalità ridotta posso fare le scansioni online tipo Kaspersky (in quella normale non riesco, ci provo da tre giorni inutilmente e avrò fatto mille riavvii)?E' sicuro?Ho Avira che funziona e si aggiorna da solo, ma in mod.ridotta si disattiva il GUARD, è normale, penso.
Purtroppo oltre ai blocchi del sistema ho anche il problema del Firewall di Windows disattivato (ho seguito le discussioni a riguardo ma non sono riuscita a riavviarlo)e ora anche quando cerco di disattivare il ripristino di sistema mi dice che per un errore è impossibile attivare/disattivare il ripristino!
Datemi qualche dritta generale vi prego di cuore, non vorrei aggravare la mia situazione e spero di "curare" la cosa.
Ho anche la cartella Help Assistent..la elimino da Esplora Risorse?
Con una scansione di Panda mi trova due strani file (HIDDEN FILES) con caratteri tipo russi che mi dice impossibili da eliminare e che eliminerà al prossimo riavvio del pc..ma restano lì.
Attendo di sapere se posso usare la modalità ridotta...in caso contrario potrei meterci mesi a scansionare, o posso fare anche un po' alla volta, una cartella alla volta?
Grazie a chi mi potrà aiutare!:muro:

Ciao a tutti, anch'io ho il pc infetto: mi si pianta spesso sia le applicazioni che Mozilla o Explorer.
Prima di iniziare la procedura vorrei gentilmente sapere da voi esperti se posso fare le scansioni con i programmi indicati in prima pagina con la modalità ridotta, visto che in quella normale non ce la fa a leggermi 3 HD da 300GB senza bloccarsi dopo una 40ina di minuti massimo.
Se lascio la rete attiva in modalità ridotta posso fare le scansioni online tipo Kaspersky (in quella normale non riesco, ci provo da tre giorni inutilmente e avrò fatto mille riavvii)?E' sicuro?Ho Avira che funziona e si aggiorna da solo, ma in mod.ridotta si disattiva il GUARD, è normale, penso.
Purtroppo oltre ai blocchi del sistema ho anche il problema del Firewall di Windows disattivato (ho seguito le discussioni a riguardo ma non sono riuscita a riavviarlo)e ora anche quando cerco di disattivare il ripristino di sistema mi dice che per un errore è impossibile attivare/disattivare il ripristino!
Datemi qualche dritta generale vi prego di cuore, non vorrei aggravare la mia situazione e spero di "curare" la cosa.
Ho anche la cartella Help Assistent..la elimino da Esplora Risorse?
Con una scansione di Panda mi trova due strani file (HIDDEN FILES) con caratteri tipo russi che mi dice impossibili da eliminare e che eliminerà al prossimo riavvio del pc..ma restano lì.
Attendo di sapere se posso usare la modalità ridotta...in caso contrario potrei meterci mesi a scansionare, o posso fare anche un po' alla volta, una cartella alla volta?
Grazie a chi mi potrà aiutare!:muro:
ciao
intendi la modalità provvisoria?se si comincia a seguire la fase 1
per prevx dovresti usare la modalità provvisoria con supporto di rete per poterlo aggiornare altrimenti salta quel punto

Niente da fare, ora mi si è chiuso anche Avira, ripristino sistema inaccessibile, e mi impedisce le scansioni online!!
COME NE ESCO?!Provo a installare un altro AV?
Tra l'altro se formatto ho paura che il record d'avvio non si "pulisca" e il virus si ripresenti dopo la formattazione..
Posto qui per disperazione le uniche cose che sono riuscita a fare, perdonatemi se le posto male:
http://wikisend.com/download/456230/PREVX_pre rimozione.log
http://wikisend.com/download/456562/MBR.JPG
Prevx mi dice che c'è un malware ma per eliminarlo chiede che io inserisca un codice attivazione pulizia a pagamento.
Sto facendo GMER..in modalità provvisoria.:muro:

Niente da fare, ora mi si è chiuso anche Avira, ripristino sistema inaccessibile, e mi impedisce le scansioni online!!
COME NE ESCO?!Provo a installare un altro AV?
Tra l'altro se formatto ho paura che il record d'avvio non si "pulisca" e il virus si ripresenti dopo la formattazione..
Posto qui per disperazione le uniche cose che sono riuscita a fare, perdonatemi se le posto male:
http://wikisend.com/download/456230/PREVX_pre rimozione.log
http://wikisend.com/download/456562/MBR.JPG
Prevx mi dice che c'è un malware ma per eliminarlo chiede che io inserisca un codice attivazione pulizia a pagamento.
Sto facendo GMER..in modalità provvisoria.:muro:

aspettamo il log di gmer
ma vedo che hai già postato uno screenshot della seconda fase, non ancora richiesto
ad ogni modo se vuoi seguire già la seconda fare mbr.exe lascia il log in c: come già indicato in guida

Il Log di Gmer: non so se è giusto, ci ha messo ore a fare lo scan in modalità provvisoria con rete.
http://wikisend.com/download/545862/GMER.log

Il Log di Gmer: non so se è giusto, ci ha messo ore a fare lo scan in modalità provvisoria con rete.
http://wikisend.com/download/545862/GMER.log

procedi fino alla fine

FASE 1

ecco i miei log

Gmer.txt (http://wikisend.com/download/529438/Gmer.txt)

Prevx pre rimozione.log (http://wikisend.com/download/931696/Prevx pre rimozione.log)

Prevx post rimozione.log (http://wikisend.com/download/923720/Prevx post rimozione.log)

Incrocio le dita ed aspetto notizie...

Grazie mille

FASE 1

ecco i miei log

Gmer.txt (http://wikisend.com/download/529438/Gmer.txt)

Prevx pre rimozione.log (http://wikisend.com/download/931696/Prevx pre rimozione.log)

Prevx post rimozione.log (http://wikisend.com/download/923720/Prevx post rimozione.log)

Incrocio le dita ed aspetto notizie...

Grazie mille

Ciao, passa direttamente alla scansione di controllo con DrWeb CureIt.

Niente da fare, ora mi si è chiuso anche Avira, ripristino sistema inaccessibile, e mi impedisce le scansioni online!!

Prevx mi dice che c'è un malware ma per eliminarlo chiede che io inserisca un codice attivazione pulizia a pagamento.

Scusa se sono così lenta a rispondere ma ci metto anni a fare una cosa:ora mi sono fatta prestare un portatile per scrivere in Rete visto che sul fisso infetto non ho più attivi gli AV!
Io non capisco: il pc pare a posto, non si freeza più,naviga, è veloce, MA GLI AV SONO OUT!
Ora vado con la seconda fase, ma Prevx non riesco a farlo senza comprare la chiave d'attivazione pulitura: è così o sbaglio qualcosa?
Vedo che altri utenti la postano tranquillamente!
Grazie infinite per le risposte!

Scusa se sono così lenta a rispondere ma ci metto anni a fare una cosa:ora mi sono fatta prestare un portatile per scrivere in Rete visto che sul fisso infetto non ho più attivi gli AV!
Io non capisco: il pc pare a posto, non si freeza più,naviga, è veloce, MA GLI AV SONO OUT!
Ora vado con la seconda fase, ma Prevx non riesco a farlo senza comprare la chiave d'attivazione pulitura: è così o sbaglio qualcosa?
Vedo che altri utenti la postano tranquillamente!
Grazie infinite per le risposte!

prevx elimina solo alcune infezioni gratuitamente, tra cui mbr rootkit
aspettiamo i log di mbr.exe e cureit

Ciao, passa direttamente alla scansione di controllo con DrWeb CureIt.

Ok

FASE - 3

cureit filtrato.txt (http://wikisend.com/download/253012/cureit filtrato.txt)

Ok

FASE - 3

cureit filtrato.txt (http://wikisend.com/download/253012/cureit filtrato.txt)

Il log non è completo manca il prospetto riassuntivo, eventualmente estrapolalo ed allega solo quello.

prevx elimina solo alcune infezioni gratuitamente, tra cui mbr rootkit
aspettiamo i log di mbr.exe e cureit
Questo è quello che sono riuscita a fare. Non ho capito se sono infetta ancora e perchè va tutto TRANNE gli AV e le scan online AV...??

1-Norman in mod.provvisorian senza rete(non sono riuscita a salvare il log)http://wikisend.com/download/205410/NORMAN.JPG
2-Malwarebytes in mod.provv.senza rete http://wikisend.com/download/515694/mbam-log-2010-03-24 (12-10-59)_MALWAREBYTES.txt
3-Prevx prima (in mod provv.) http://wikisend.com/download/544416/prevx_scan_preCLEAN1.log
4-http://wikisend.com/download/602736/NFix_2010-03-24_04-49-30.log
5-MBR (sempre uguale in entrambi i comandi mbr.exe e mbr.exe -f) http://wikisend.com/download/480014/mbr.log
6-Avira scan in mod.provv. http://wikisend.com/download/456682/final.JPG
7-Avira rimuove tutto? http://wikisend.com/download/442482/final_rimossi_tutti_o_3.JPG
8-CURE.IT (in mod normale scansione veloce. STO ANCORA FACENDO LA COMPLETA): http://wikisend.com/download/464934/CureIt.log
Grazie per l'aiuto.

Questo è quello che sono riuscita a fare. Non ho capito se sono infetta ancora e perchè va tutto TRANNE gli AV e le scan online AV...??

1-Norman in mod.provvisorian senza rete(non sono riuscita a salvare il log)http://wikisend.com/download/205410/NORMAN.JPG
2-Malwarebytes in mod.provv.senza rete http://wikisend.com/download/515694/mbam-log-2010-03-24 (12-10-59)_MALWAREBYTES.txt
3-Prevx prima (in mod provv.) http://wikisend.com/download/544416/prevx_scan_preCLEAN1.log
4-http://wikisend.com/download/602736/NFix_2010-03-24_04-49-30.log
5-MBR (sempre uguale in entrambi i comandi mbr.exe e mbr.exe -f) http://wikisend.com/download/480014/mbr.log
6-Avira scan in mod.provv. http://wikisend.com/download/456682/final.JPG
7-Avira rimuove tutto? http://wikisend.com/download/442482/final_rimossi_tutti_o_3.JPG
8-CURE.IT (in mod normale scansione veloce. STO ANCORA FACENDO LA COMPLETA): http://wikisend.com/download/464934/CureIt.log
Grazie per l'aiuto.
di mbr rootkit sembra non esserci traccia
la scansione con cureit non è completa
avira gira solo in modalità provvisoria?
che altri problemi sono rimasti?

Il log non è completo manca il prospetto riassuntivo, eventualmente estrapolalo ed allega solo quello.

Per sicurezza sicurezza ho fatto rifare una scansione completa ottenendo questo log:

cureit.txt (http://wikisend.com/download/612986/cureit.txt)

cureit filtrato.txt (http://wikisend.com/download/921696/cureit filtrato.txt)

Per sicurezza sicurezza ho fatto rifare una scansione completa ottenendo questo log:

cureit.txt (http://wikisend.com/download/612986/cureit.txt)

cureit filtrato.txt (http://wikisend.com/download/921696/cureit filtrato.txt)

Saimo a posto, ti suggerisco di leggere i suggerimenti a fine guida.

Saimo a posto, ti suggerisco di leggere i suggerimenti a fine guida.

Ok grazie mille!!!!!

Ok grazie mille!!!!!

Prego

Ciao a tutti,
venerdi visitando un sito l'antivirus mi ha segnalato un virus tr/pws.sinowal.gen2, l'ho messo in quarantena ma da allora non riesco ad usare il pc se non in modalità provvisoria.
Ho provato da modalità provvisoria ad eseguire la DISINFEZIONE indicata nel post GUIDA alla DISINFEZIONE per INFETTI ma non sono riuscita a risolvere il problema.POi miè stato detto di vedere questo post.
Sono nella sezione giusta? Potete aiutarmi?
Se provo ad usare il notebook pochi minuti dall'avvio si blocca.

Vi prego potete aiutarmi?

Ciao a tutti,
venerdi visitando un sito l'antivirus mi ha segnalato un virus tr/pws.sinowal.gen2, l'ho messo in quarantena ma da allora non riesco ad usare il pc se non in modalità provvisoria.
Ho provato da modalità provvisoria ad eseguire la DISINFEZIONE indicata nel post GUIDA alla DISINFEZIONE per INFETTI ma non sono riuscita a risolvere il problema.POi miè stato detto di vedere questo post.
Sono nella sezione giusta? Potete aiutarmi?
Se provo ad usare il notebook pochi minuti dall'avvio si blocca.

Vi prego potete aiutarmi?

ciao

segui la fase uno del primo post, eventualmente in modalità provvisoria con supporto di rete per far aggiornare prevx

ciao

segui la fase uno del primo post, eventualmente in modalità provvisoria con supporto di rete per far aggiornare prevx

Ciao e grazie,
vi dico subio cosa sono riuscita a fare,
1)con gmer si bocca il pc e sono costretta a spegnerlo in maniera forzata,
2)ho eseguito lascansione con prevx ma non mi fa eliminre il virus e quello che trova è questo
[B] c:\$mbr.0 [PX5: 99AA2E4B009FF0F80185002040C95900259D9CD1] Malware Group: Rootkit.MBR

pr eliminarlo o per far girare nuoamente il programma mi chiede di comprare la chiave.
Cosa devo fare?
Grazie

Ciao e grazie,
vi dico subio cosa sono riuscita a fare,
1)con gmer si bocca il pc e sono costretta a spegnerlo in maniera forzata,
2)ho eseguito lascansione con prevx ma non mi fa eliminre il virus e quello che trova è questo
[B] c:\$mbr.0 [PX5: 99AA2E4B009FF0F80185002040C95900259D9CD1] Malware Group: Rootkit.MBR

pr eliminarlo o per far girare nuoamente il programma mi chiede di comprare la chiave.
Cosa devo fare?
Grazie

Cortesemente allega il log di Prevx

Cortesemente allega il log di Prevx

Eccolo, grazie infinitamente

Eccolo, grazie infinitamente

Ripeti scansione ed allega il log completo, grazie.

Ripeti scansione ed allega il log completo, grazie.

Purtoppo non mi fa ripetere la scansione con prevx perchè mi chiede di comprare una chiave :( :(

Purtoppo non mi fa ripetere la scansione con prevx perchè mi chiede di comprare una chiave :( :(

No la versione FREE è sempre e comunque utilizzabile.

No la versione FREE è sempre e comunque utilizzabile.

se provo ad avviare la scansione, mi si apre la seguente finestra con scritto Errore V)!!:Ceanup not licensed, please purchase a license from www.prevx.com , con le due opzioni ok oppure annulla ed in entrambi i casi mi riporta alla pag html per comprare la chiave :muro:

se provo ad avviare la scansione, mi si apre la seguente finestra con scritto Errore V)!!:Ceanup not licensed, please purchase a license from www.prevx.com , con le due opzioni ok oppure annulla ed in entrambi i casi mi riporta alla pag html per comprare la chiave :muro:

Disinstalla e reinstalla, se non avessi abortito la scansione non avrenmmo avuto questi problemi

Last Scan Duration: Scan Aborted.

Disinstalla e reinstalla, se non avessi abortito la scansione non avrenmmo avuto questi problemi



Ho provato a disinstallare e reinstallare ma purtoppo non cambia nulla.

:( :(

non so come fare...vi prego non mi abbandonate

Ho provato a disinstallare e reinstallare ma purtoppo non cambia nulla.

:( :(

non so come fare...vi prego non mi abbandonate

Come indicato in Guida procedi con la fase 2 e 3, mi raccomando i log.

Come indicato in Guida procedi con la fase 2 e 3, mi raccomando i log.

Allego il log MBR rootkit detector
.Intanto ho avviato la scansione di Norman SinowalMBR Cleaner, sta eseguendo, anche se mi ha subito visualizzato UNABLE to SCAN for SinowalMBR hooks.

Grazie

Allego il log MBR rootkit detector
.Intanto ho avviato la scansione di Norman SinowalMBR Cleaner, sta eseguendo, anche se mi ha subito visualizzato UNABLE to SCAN for SinowalMBR hooks.

Grazie

Devi fare questo passaggio:


Scaricate MBR:EXE sul DeskTop e mettetelo direttamente nella Directory C:\
Riavviate il Pc in modalità provvisoria F8
Da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
Salvate il log prodotto come MBR ed allegatelo per il controllo

Devi fare questo passaggio:

Si uetso passaggio l'ho fatto, ed ho alelgato il log, il problema è con Norman SinowalMBR Cleaner, forse anche per quetso devo provare in modalità provvisoria?

Si uetso passaggio l'ho fatto, ed ho alelgato il log, il problema è con Norman SinowalMBR Cleaner, forse anche per quetso devo provare in modalità provvisoria?

Ripeti il suddetto passaggio

di mbr rootkit sembra non esserci traccia
la scansione con cureit non è completa
avira gira solo in modalità provvisoria?
che altri problemi sono rimasti?

Grazie: allora, allego qui la scansione con DrWeb CureIt eseguita in modalità normale, SCANSIONE STAVOLTA COMPLETA chge mi ha trovato varie cosette, spostate in quarantena.
Il problema è che al riavvio ci sono DI NUOVO, perchè a occhio mi pare che siano nel System Volume Informations e quindi il ripristino.
I miei problemi sono questi: che non riesco a disattivare il rispristino!Mi dice che c'è un errore e non si può agire su di lui.
Altro problema: il pc non ha attivi gli AV, neanche in modalità provvisoria (non si vedono nemmeno le icone), ma ad es. se vado a cercare in Programmi avira e lo lancio, mi fa la scansione (pulita).
Il pc è veloce e prestante, ma non funziona nulla di collegato agli AV, nemmeno se vado online a tentare una delle solite scansioni tipo Kaspersky o Panda, "inventa" che c'è sempre qualche problema.
Brancolo nel buio...un'altra stranezza è che sul desktop alcune icone non si vedono, quelle di word, pdf, come se non sapesse con che programmi leggerle.
Come posso fare per aggirare?Mbr rootkit non c'entra o all'origine ha creato qualche diversivo che ora agisce?
Allego:
DrWeb scans.completa in modalità normale(non sono riuscita a snellirlo,mi spiace!):
http://www.filedropper.com/cureit
DOPO PRIMA SCANSIONE CUREIT SCREENSHOT: http://wikisend.com/download/457750/prima_scansione_cure_IT.JPG
DOPO SECONDA SCANSIONE CUREIT SCREENSHOT:
http://wikisend.com/download/455262/seconda_scans_con_CureIt.jpg
P.s. ho trovato il modo di bloccare il ripristino di configurazione di sistema attraverso Strumenti di Amministrazione-Servizi-Standard.
Facendo PROPRIETA' col tasto dx del mouse, dice ARRESTATO: io accedo però dal terzo HD, con XP, e immagino valga per quello solo e non per gli altri 2 HD, uno di dati e l'altro con un XP appena reinstallato, ancora vuoto.
E'una soluzione valida?Come la estendo agli altri 2 HD?
Leggendo altri post..potrebbe essere un Warm-bagle il MIO virus, ora?
Vedo che gli scherzi che fa con gli AV e Hjijack sono simili...ditemi voi...sono stremata...

Grazie: allora, allego qui la scansione con DrWeb CureIt eseguita in modalità normale, SCANSIONE STAVOLTA COMPLETA chge mi ha trovato varie cosette, spostate in quarantena.
Il problema è che al riavvio ci sono DI NUOVO, perchè a occhio mi pare che siano nel System Volume Informations e quindi il ripristino.
I miei problemi sono questi: che non riesco a disattivare il rispristino!Mi dice che c'è un errore e non si può agire su di lui.
Altro problema: il pc non ha attivi gli AV, neanche in modalità provvisoria (non si vedono nemmeno le icone), ma ad es. se vado a cercare in Programmi avira e lo lancio, mi fa la scansione (pulita).
Il pc è veloce e prestante, ma non funziona nulla di collegato agli AV, nemmeno se vado online a tentare una delle solite scansioni tipo Kaspersky o Panda, "inventa" che c'è sempre qualche problema.
Brancolo nel buio...un'altra stranezza è che sul desktop alcune icone non si vedono, quelle di word, pdf, come se non sapesse con che programmi leggerle.
Come posso fare per aggirare?Mbr rootkit non c'entra o all'origine ha creato qualche diversivo che ora agisce?
Allego:
DrWeb scans.completa in modalità normale(non sono riuscita a snellirlo,mi spiace!):
http://www.filedropper.com/cureit
DOPO PRIMA SCANSIONE CUREIT SCREENSHOT: http://wikisend.com/download/457750/prima_scansione_cure_IT.JPG
DOPO SECONDA SCANSIONE CUREIT SCREENSHOT:
http://wikisend.com/download/455262/seconda_scans_con_CureIt.jpg
P.s. ho trovato il modo di bloccare il ripristino di configurazione di sistema attraverso Strumenti di Amministrazione-Servizi-Standard.
Facendo PROPRIETA' col tasto dx del mouse, dice ARRESTATO: io accedo però dal terzo HD, con XP, e immagino valga per quello solo e non per gli altri 2 HD, uno di dati e l'altro con un XP appena reinstallato, ancora vuoto.
E'una soluzione valida?Come la estendo agli altri 2 HD?
Leggendo altri post..potrebbe essere un Warm-bagle il MIO virus, ora?
Vedo che gli scherzi che fa con gli AV e Hjijack sono simili...ditemi voi...sono stremata...
prova a sistemare il ripristino conf.
http://www.zonapc.it/downloads/ripara_pc/ripristino_config_sistema.php
va assolutamente disabilitato

prova a sistemare il ripristino conf.
http://www.zonapc.it/downloads/ripara_pc/ripristino_config_sistema.php
va assolutamente disabilitato
Allora, visto che molti programmi sul desk sono senza icona come se non avessero il programma installato, ho provato a reinstallare Avira e mi è partito, ora mi appare sul desk attivato!
Ho controllato il Ripristino di Sistema e ho potuto disattivarlo!
Ho controllato attraverso la scansione di questa cartella con CureIt e si è svuotata!
Per curiosità ho provato a riattivare il ripristino di sistema e mi è partito invece l'errore col riavvio.
Altre stranezzae: centro di sicurezza pc ha in rosso la protezione da virus( AV non trovato, anche se Avira è elencato sotto): tutti i programmi che ho installato a riguardo gli hanno confuso le idee o è sintomo del virus?
Direi che cmq va meglio..
All'inizio mi appaiono due finestre di errore: ERRORE durante il caricamento di C:\Windows\System32\NVMctray.dll e NVGpl.dll -impossibile trovare il modulo specificato: si riferiscono a programmi che c'erano e ora non risultano più installati..?
O sono sintomi gravi di errori di registro?
Cosa potrei fare ora?
Non riesco a fare la scansione online di Kaspersky, Bitdefender, F-Secure per errori Java..se provo ad aggiornarla, dà errore, non riesco.
Combofix e Malwarebytes non riesco ad avviarli senza che il pc si riavvii da solo.

Salve ragazzi,vorrei porvi un quesito,dopo aver letto la guida ovviamente e dopo aver appreso il necessario,mi sono reso conto che non sò come muovermi,vi spiego:

In avvio XP mi dà l'errore 0x0000007B,sul sito della Microsoft sono eslpicate le varie origini del problema e alla fine ho appurato quasi con certezza che il problema sia proprio un virus nel settore di avvio. Ma non riesco a mettere in atto nessuna delle soluzioni presenti nella guida perchè il notebook (acer) si rifiuta proprio di partire,né in modalità provvisoria né in altro modo,schermata blu e riavvio.

Per cui,come potrei rimuovere il virus?considerando che è un portatile,non ha il lettore floppy e il bios non ha l'avvio da usb se non sbaglio (non è mio il portatile) per cui non sò davvero come poter risolvere,vorrei evitare di sovrascrivere l'attuale windows con un altra installazione per salvare i files di cui necessito. Chiedo gentilmente un vostro parere,grazie anticipatamente.

Salve ragazzi,vorrei porvi un quesito,dopo aver letto la guida ovviamente e dopo aver appreso il necessario,mi sono reso conto che non sò come muovermi,vi spiego:

In avvio XP mi dà l'errore 0x0000007B,sul sito della Microsoft sono eslpicate le varie origini del problema e alla fine ho appurato quasi con certezza che il problema sia proprio un virus nel settore di avvio. Ma non riesco a mettere in atto nessuna delle soluzioni presenti nella guida perchè il notebook (acer) si rifiuta proprio di partire,né in modalità provvisoria né in altro modo,schermata blu e riavvio.

Per cui,come potrei rimuovere il virus?considerando che è un portatile,non ha il lettore floppy e il bios non ha l'avvio da usb se non sbaglio (non è mio il portatile) per cui non sò davvero come poter risolvere,vorrei evitare di sovrascrivere l'attuale windows con un altra installazione per salvare i files di cui necessito. Chiedo gentilmente un vostro parere,grazie anticipatamente.

http://support.microsoft.com/kb/324103/it

Non credo si tratti del Rootkit in questione, chiedi in sezione Microsoft Windows http://www.hwupgrade.it/forum/forumdisplay.php?f=126

http://support.microsoft.com/kb/324103/it

Non credo si tratti del Rootkit in questione, chiedi in sezione Microsoft Windows http://www.hwupgrade.it/forum/forumdisplay.php?f=126

Grazie per la risposta anzitutto.

Aevo già letto la pagina da te segnalata e in base a quanto accaduto (praticamente poco prima del fattaccio avg aveva segnalato un virus),avevo dedotto che il problema fosse appunto un virus nel settore di avvio.
Ciò non toglie che possa essere un problema hardware. Aldilà di questo,dato che windows non si avvia nemmeno in modalità provvisoria,c'è un modo per rimuovere il presunto virus?
Prima di chiedere nella sezione apposita,attendo una risposta,grazie ancora.

Allora, visto che molti programmi sul desk sono senza icona come se non avessero il programma installato, ho provato a reinstallare Avira e mi è partito, ora mi appare sul desk attivato!
Ho controllato il Ripristino di Sistema e ho potuto disattivarlo!
Ho controllato attraverso la scansione di questa cartella con CureIt e si è svuotata!
Per curiosità ho provato a riattivare il ripristino di sistema e mi è partito invece l'errore col riavvio.
Altre stranezzae: centro di sicurezza pc ha in rosso la protezione da virus( AV non trovato, anche se Avira è elencato sotto): tutti i programmi che ho installato a riguardo gli hanno confuso le idee o è sintomo del virus?
Direi che cmq va meglio..
All'inizio mi appaiono due finestre di errore: ERRORE durante il caricamento di C:\Windows\System32\NVMctray.dll e NVGpl.dll -impossibile trovare il modulo specificato: si riferiscono a programmi che c'erano e ora non risultano più installati..?
O sono sintomi gravi di errori di registro?
Cosa potrei fare ora?
Non riesco a fare la scansione online di Kaspersky, Bitdefender, F-Secure per errori Java..se provo ad aggiornarla, dà errore, non riesco.
Combofix e Malwarebytes non riesco ad avviarli senza che il pc si riavvii da solo.

Ho fatto qualche progresso, credo, mi dareste ancora una volta una mano a controllare i log per capire come procedere?
Sono riuscita a fare finalmente qualche scansione in mod.provvisoria che mi ha trovato qualcosa.
Persistono però i problemi del Centro Sicurezza Pc, dei programmi che non fanno la scansione del pc ma riavviano, dello Java che non mi fa disinstallare le vecchie versioni neanche in mod.provv.

Ho fatto queste cose:
1-Malwarebytes rileva qui http://wikisend.com/download/451716/mbam-log-2010-03-28 (16-13-26)_MALWAREBYTES_28
una infezione giusto attinente al mio problema del Firewall:
Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Ma perchè dice così?Io gli ho detto di mettere in quarantena (o cancellarlo?Non ricordo...da qui problemi immagino...)
2-Combofix è finalmente partito in mod. provv. funzionando fino in fondo e mi ha trovato varie cose..
Dopo un successivo tentativo di scansione fallito in mod. normale (pc si riavvia) rifaccio in mod. provv. con rete e mi ripristina la console di ripristino che era danneggiata...può essere utile?AL boot mi dà l'opzione per accedervi, non so se funziona.
Qui la prima scansione http://wikisend.com/download/570958/log_COMBOFIX_28.txt e qui la seconda http://wikisend.com/download/472906/ComboFix_post_rimoz_e_reinstall_console_ripristino.txt
3-Sto facendo Avira in mod.normale,anche se in questi gg l'ho fatta spesso e non trova più nulla, aggiornata e settata.
4-Log di Provx http://wikisend.com/download/541128/prevx_mod_rid_28.log
Cosa mi consigliate?Qual è la situazione?Grazie infinite!!

Grazie per la risposta anzitutto.

Aevo già letto la pagina da te segnalata e in base a quanto accaduto (praticamente poco prima del fattaccio avg aveva segnalato un virus),avevo dedotto che il problema fosse appunto un virus nel settore di avvio.
Ciò non toglie che possa essere un problema hardware. Aldilà di questo,dato che windows non si avvia nemmeno in modalità provvisoria,c'è un modo per rimuovere il presunto virus?
Prima di chiedere nella sezione apposita,attendo una risposta,grazie ancora.

Segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1689812 per creare e disinfettare il PC con Avira Rescue.

Ho fatto qualche progresso, credo, mi dareste ancora una volta una mano a controllare i log per capire come procedere?
Sono riuscita a fare finalmente qualche scansione in mod.provvisoria che mi ha trovato qualcosa.
Persistono però i problemi del Centro Sicurezza Pc, dei programmi che non fanno la scansione del pc ma riavviano, dello Java che non mi fa disinstallare le vecchie versioni neanche in mod.provv.

Ho fatto queste cose:
1-Malwarebytes rileva qui http://wikisend.com/download/451716/mbam-log-2010-03-28 (16-13-26)_MALWAREBYTES_28
una infezione giusto attinente al mio problema del Firewall:
Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Ma perchè dice così?Io gli ho detto di mettere in quarantena (o cancellarlo?Non ricordo...da qui problemi immagino...)
2-Combofix è finalmente partito in mod. provv. funzionando fino in fondo e mi ha trovato varie cose..
Dopo un successivo tentativo di scansione fallito in mod. normale (pc si riavvia) rifaccio in mod. provv. con rete e mi ripristina la console di ripristino che era danneggiata...può essere utile?AL boot mi dà l'opzione per accedervi, non so se funziona.
Qui la prima scansione http://wikisend.com/download/570958/log_COMBOFIX_28.txt e qui la seconda http://wikisend.com/download/472906/ComboFix_post_rimoz_e_reinstall_console_ripristino.txt
3-Sto facendo Avira in mod.normale,anche se in questi gg l'ho fatta spesso e non trova più nulla, aggiornata e settata.
4-Log di Provx http://wikisend.com/download/541128/prevx_mod_rid_28.log
Cosa mi consigliate?Qual è la situazione?Grazie infinite!!

Ciao, sei palesemente OT il 3D è dedicato solo ed esclusivamente alla rimozione del MBR Rootkit, ti invito pertanto a seguire esattamente nell'ordine indicato la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

NB: i log per il controllo andranno allegati in una nuova discussione che andrai ad aprire qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125

ok scusate.

ok scusate.

Grazie per la collaborazione.

Salve,
il nod32 mi ha rilevato l'MBR rootkit... però la prima scansione che ho fatto con Prevx mi dice che sono pulito... cosa mi consigliate di fare?

grazie fin da subito

Salve,
il nod32 mi ha rilevato l'MBR rootkit... però la prima scansione che ho fatto con Prevx mi dice che sono pulito... cosa mi consigliate di fare?

grazie fin da subito

Ciao, ti suggerisco di seguire la Guida in prima pagina ed allegare i log per il controllo.

Edit

Sicuramente c'è un infezione nel mio pc, è lento nei collegamenti, si spegne spesso con schermata blu, etc.
come antivirus ho nod32 che mi ha segnalato l'mbr, cosi sono arrivato qui.
ho seguito il protocollo fino alla terza fase fatto un primo scan.
allego intanto il log gmer
grazie infinite

Edit

Sicuramente c'è un infezione nel mio pc, è lento nei collegamenti, si spegne spesso con schermata blu, etc.
come antivirus ho nod32 che mi ha segnalato l'mbr, cosi sono arrivato qui.
ho seguito il protocollo fino alla terza fase fatto un primo scan.
allego intanto il log gmer
grazie infinite

Ciao e benvenuto, non serve copiare ed incollare la Guida presente in prima pagina, servono i log nell'ordine indicato nelle Guida stessa.

[QUOTE=cignonero;31481517]Edit

allego anche
http://wikisend.com/download/469942/2010.04.01_Prevxlog_prima.txt

http://wikisend.com/download/887108/2010.04.01_Prevxlog_dopo.txt

http://wikisend.com/download/457284/NFix_2010-04-02_01-30-30.log

http://wikisend.com/download/522966/CureIt.log

non ho inviato prima i log perché non capivo cosa voleva dire allegare... perdonatemi
grazie

scusa ancora per aver inviato tutta la guida, me ne sono accorto quando era troppo tardi...

Ho letto la guida, posto qui i file LOG. Ho helpassistant, ma nell'account utente mi esce Guest come altro utente oltre al mio...

mbr.log (http://wikisend.com/download/441952/mbr.log)

prevx.log (http://wikisend.com/download/870980/prevx.log) pre-infezione

prevx2.log (http://wikisend.com/download/961372/prevx2.log) post-infezione

a questo punto procedo con la seconda fase?

scusa ancora per aver inviato tutta la guida, me ne sono accorto quando era troppo tardi...

Il log di DrWeb CureIt è incompleto, manca la parte inerente le Statistiche, riallegalo inseime ad un log aggiornato del Nod32, grazie.

Ho letto la guida, posto qui i file LOG. Ho helpassistant, ma nell'account utente mi esce Guest come altro utente oltre al mio...

mbr.log (http://wikisend.com/download/441952/mbr.log)

prevx.log (http://wikisend.com/download/870980/prevx.log) pre-infezione

Ciao, allega tutti i log richiesti in un unico post, successivamente affrontiamo il problema HelpAssistant.

Ho letto la guida, posto qui i file LOG. Ho helpassistant, ma nell'account utente mi esce Guest come altro utente oltre al mio...

mbr.log (http://wikisend.com/download/441952/mbr.log)

prevx.log (http://wikisend.com/download/870980/prevx.log) pre-infezione

prevx2.log (http://wikisend.com/download/961372/prevx2.log) post-infezione

a questo punto procedo con la seconda fase?

fatto, procedo con la seconda fase?

fatto, procedo con la seconda fase?

Si

sto facendo una scansione con nod, la scansione del cureit mi è scomparso in una delle cadute, devo riscannerizzare o posso recuperarlo da qualche parte?

sto facendo una scansione con nod, la scansione del cureit mi è scomparso in una delle cadute, devo riscannerizzare o posso recuperarlo da qualche parte?

Il log lo trovi qui C:\Documents and Settings\nomeutente\DoctorWeb altrimenti devi rifare scansione completa.

il cureit allegato è identico a quello che ho trovato dove mi hai indicato, infatti avevo fatto salva log, c'è un'altra procedura per fare anche salva statistiche?

il cureit allegato è identico a quello che ho trovato dove mi hai indicato, infatti avevo fatto salva log, c'è un'altra procedura per fare anche salva statistiche?

Purtroppo, no.

Si

Risultato 2° fase

mbr.log (http://wikisend.com/download/760756/mbr.log)

NFix_2010-04-02_11-42-23.log (http://wikisend.com/download/460660/NFix_2010-04-02_11-42-23.log) (1h 20m...)

NB: da quando ho eliminato alla 1° fase il rootkit, windows XP non si chiude più se non forzatamente. Rimane sulla scritta "Chiusura di Windows in corso.."

Procedo con la 3° fase o risolvo il problema "HelpAssistant"?

Diversamente da ieri, oggi Prevx mi ha rilevato l'infezione. allego quindi i miei 3 log. grazie

Log GMER.txt (http://wikisend.com/download/960834/Log GMER.txt)

scansione pre PREVX.log (http://wikisend.com/download/934394/scansione pre PREVX.log)

scansione post PREVX.log (http://wikisend.com/download/477136/scansione post PREVX.log)

Risultato 2° fase

mbr.log (http://wikisend.com/download/760756/mbr.log)

NFix_2010-04-02_11-42-23.log (http://wikisend.com/download/460660/NFix_2010-04-02_11-42-23.log) (1h 20m...)

NB: da quando ho eliminato alla 1° fase il rootkit, windows XP non si chiude più se non forzatamente. Rimane sulla scritta "Chiusura di Windows in corso.."

Procedo con la 3° fase o risolvo il problema "HelpAssistant"?

3° fase:

cureit filtrato.txt (http://wikisend.com/download/467206/cureit filtrato.txt) (nessun virus)


edit: ho disattivato l'account helpassistant ed eliminato la cartella C:\Documents and Settings\HelpAssistant che conteneva circa 9MB di file.

3° fase:

cureit filtrato.txt (http://wikisend.com/download/467206/cureit filtrato.txt) (nessun virus)


edit: ho disattivato l'account helpassistant ed eliminato la cartella C:\Documents and Settings\HelpAssistant che conteneva circa 9MB di file.

Direi che siamo a posto :)

Diversamente da ieri, oggi Prevx mi ha rilevato l'infezione. allego quindi i miei 3 log. grazie

Log GMER.txt (http://wikisend.com/download/960834/Log GMER.txt)

scansione pre PREVX.log (http://wikisend.com/download/934394/scansione pre PREVX.log)

scansione post PREVX.log (http://wikisend.com/download/477136/scansione post PREVX.log)

Nel tuo caso abbiamo più di un problema, procedi così:

- scarica questo file http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovare in C:\TDSSKiller..................log.txt

- nuovo log di Prevx

allora, questo è il log di tdsskiller

TDSSKiller.2.2.8.1_02.04.2010_16.25.32_log.txt (http://wikisend.com/download/511392/TDSSKiller.2.2.8.1_02.04.2010_16.25.32_log.txt)

mentre prevx mi dice che sono ancora infetto, nonostante abbia già seguito la procedura del cleanup una volta

scansione infez PREVX.log (http://wikisend.com/download/532962/scansione infez PREVX.log)

devo rieseguire la procedura di rimozione? quando mi ricollego in internet l'infezione riappare...



inoltre windows mi continua a dire che è stato rilevato un conflitto di indirizzi IP con un altro sistema sulla rete.

allora, questo è il log di tdsskiller

TDSSKiller.2.2.8.1_02.04.2010_16.25.32_log.txt (http://wikisend.com/download/511392/TDSSKiller.2.2.8.1_02.04.2010_16.25.32_log.txt)

mentre prevx mi dice che sono ancora infetto, nonostante abbia già seguito la procedura del cleanup una volta

scansione infez PREVX.log (http://wikisend.com/download/532962/scansione infez PREVX.log)

inoltre windows mi continua a dire che è stato rilevato un conflitto di indirizzi IP con un altro sistema sulla rete.

Un problema l'abbiamo risolto, quello del TDL Rootkit, adesso fai scansione completa con DrWeb CureIt, insieme al log di CureIt allega anche un nuovo log di Prevx ma solo dopo aver disabilitato Acronis.

Purtroppo, no.

ho copiato la scansione di nod32 in un file txt

http://wikisend.com/download/734912/2010.04.02_nod32scan.txt

ho copiato la scansione di nod32 in un file txt

http://wikisend.com/download/734912/2010.04.02_nod32scan.txt

Il log del Nod è pulito

Un problema l'abbiamo risolto, quello del TDL Rootkit, adesso fai scansione completa con DrWeb CureIt, insieme al log di CureIt allega anche un nuovo log di Prevx ma solo dopo aver disabilitato Acronis.

ho fatto la scansione con DrWeb CureIt, mi ha rilevato BackDoor.MaosBoot.35 e gli ho dato 'cura'.
questo è il log
CureIt.log (http://wikisend.com/download/467382/CureIt.log)

e questo il successivo log di prevx
scansione post cureit PREVX.log (http://wikisend.com/download/597646/scansione post cureit PREVX.log)

Il log del Nod è pulito

ho rifatto la scansione con cureit, ecco l'allegato
http://wikisend.com/download/442816/CureIt.log
sembra pulito... ora cosa devo fare con tutti quei programmi scaricati? devo riattivare ripristino sistema?

ho rifatto la scansione con cureit, ecco l'allegato
http://wikisend.com/download/442816/CureIt.log
sembra pulito... ora cosa devo fare con tutti quei programmi scaricati? devo riattivare ripristino sistema?

Log pulito, come indicato in guida puoi riattivare il ripristino conf.sistema, per tutto il resto trovi le info che ti necessitano alla voce SUGGERIMENTI.

Log pulito, come indicato in guida puoi riattivare il ripristino conf.sistema, per tutto il resto trovi le info che ti necessitano alla voce SUGGERIMENTI.

non c'è nessun altro profilo registrato, ho Windows XP Home Edition, ho controllato secondo le indicazioni.

ancora una domanda, sembra che il virus era legato a un programma che avevo scaricato tempo fa, infatti il programma non c'è piu ora sul pc, ma nella realtà mi servirebbe. Cosa succede se ora lo acquisto in rete? Potrebbe ripresentarsi lo stesso problema?

Si tratta di un programma di conversione file video della alloksoft mpeg4 converter

grazie per la pazienza

non c'è nessun altro profilo registrato, ho Windows XP Home Edition, ho controllato secondo le indicazioni.

Meglio così


ancora una domanda, sembra che il virus era legato a un programma che avevo scaricato tempo fa, infatti il programma non c'è piu ora sul pc, ma nella realtà mi servirebbe. Cosa succede se ora lo acquisto in rete? Potrebbe ripresentarsi lo stesso problema?

Si tratta di un programma di conversione file video della alloksoft mpeg4 converter

grazie per la pazienza

Non credo che il virus fosse legato al software :)

Eventualmente in Sezione Programmi e Utility http://www.hwupgrade.it/forum/forumdisplay.php?f=37 puoi trovare il software che fa al tuo caso.

Salve a tutti:D
Eccomi qua, un'altra "utonta" appestata da helpassistant! (da mesi ormai)
Dopo aver provato con un'altra procedura (con mbr.exe) e non aver risolto quasi niente (visto che la cartella helpassistant continua a "rifiorire" misteriosamente, anche se il pc un pò s'è sbloccato) volevo provare con la vostra soluzione ma mi sono scontrata subito contro il primo muro invalicabile: non riesco a scaricare Gmer.exe, il link mi da un errore, dice che non sono autorizzata (o qualcosa del genere).
Aiuto! Perchè la jella mi perseguita?!!!:cry:

Salve a tutti:D
Eccomi qua, un'altra "utonta" appestata da helpassistant! (da mesi ormai)
Dopo aver provato con un'altra procedura (con mbr.exe) e non aver risolto quasi niente (visto che la cartella helpassistant continua a "rifiorire" misteriosamente, anche se il pc un pò s'è sbloccato) volevo provare con la vostra soluzione ma mi sono scontrata subito contro il primo muro invalicabile: non riesco a scaricare Gmer.exe, il link mi da un errore, dice che non sono autorizzata (o qualcosa del genere).
Aiuto! Perchè la jella mi perseguita?!!!:cry:

Ciao, passa direttamente a Prevx.

Come non detto.
Ieri sera (prima di vedere la tua risposta) ero riuscita a scaricare gmer per altre vie e prima di andare a letto avevo anche dato il via alla (lunghissima) scansione ma "qualche furbone" (o forse sabotatore :mbe: ) mi ha staccato l'alimentazione al portatile così stamattina l'ho trovato (giustamente) spento. :mad: :mad: Così adesso ho dovuto ricominciare tutto da capo :muro: ormai voglio fare le cose per benino, da manuale, sbarazzarmi di questo virus sta diventando sempre più una sfida (contro il sabotatore di cui sopra :Prrr: ), oltre che una necessità.


Uffa!!! Non lo sopporto più!!!!:cry:
Si è bloccato già 2 volte nel bel mezzo della scansione e l'ultima, guarda caso, proprio quando è arrivato alla cartella c:/documents and settings/helpassistant... ecc. ecc. m'ha proprio spento il monitor!! Sparito il mouse!!! Lo odioooooo!!! Hal 9000 faceva meno resistenza!!! :mad:

Una domanda:
ho disabilitato l'account HelpAssistant come spiegato nella guida della prima pagina però in C:\Documents and Settings la cartella HelpAssistant è ancora presente... da cosa dipende?

Una domanda:
ho disabilitato l'account HelpAssistant come spiegato nella guida della prima pagina però in C:\Documents and Settings la cartella HelpAssistant è ancora presente... da cosa dipende?

SO in uso?

SO in uso?

xp professional sp3

xp professional sp3

Windows XP Professional

Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer - Utenti e gruppi locali - Users

Tasto dx del mouse su HelpAssistant - Poprietà - mettete il segno di spunta su Account disabilitato - aprite il TAB Membro di se HelpAssistant è all'interno del box bianco selezionatelo e rimuovetelo cliccando sul tasto Rimuovi

Applica e OK, riavviate il PC.

Fatto quanto sopra e riavviato il PC?

Fatto quanto sopra e riavviato il PC?

Ho già seguito la procedura. Nel tab 'Membro di' mi compariva 'Administrator' ...l'ho rimosso, dato Applica e riavviato.

Però la cartella rimane.

Inoltre in Pannello di controllo > Account utente > mi compare il mio account più un 'Guest'... possono essere collegate le 2 cose?

Ho già seguito la procedura. Nel tab 'Membro di' mi compariva 'Administrator' ...l'ho rimosso, dato Applica e riavviato.

Però la cartella rimane.

Inoltre in Pannello di controllo > Account utente > mi compare il mio account più un 'Guest'... possono essere collegate le 2 cose?

No, non sono collegate, rimuovi la cartella manualmente, se si ricrea abbiamo un problema.

Ok, ho cancellato la cartella HelpAssistant, svuotato cestino e riavviato... adesso non c'è più.
Grazie per la disponibilità

Rieccomi qua :(
Al terzo tentativo sono riuscita a finire la scansione con gmer.
Poi sono passata a prevx ma, ahiahiahi, non sono riuscita a salvare nessun log, cmq la finestra alla fine della scansione era come quella che hai messo nel primo post (RISCHIO $mbr.0 in C:\ Rootkit.MBR).
Ovviamente in tutto questo sono successe cose dell'altro mondo (sempre a me, eh!:muro: ): avevo dato il via a prevx prima di pranzo quando sono tornata aveva finito con il risultato di cui sopra e mentre cercavo di capire (da un'altro pc) come dovevo procedere per salvare i log è misteriosamente ripartita da capo un'altra scansione, mi sono allontanata di nuovo per pochi minuti e quando sono tornata c'era un'angosciante schermata blu che mi diceva di riavviare. Così ho fatto e poi nuova scansione, stesso risultato di prima (RISCHIO $mbr.0 in C:\ Rootkit.MBR) gli ho detto di pulire e apparentemente l'ha fatto, dove prima diceva rischio ecc ecc non c'era più niente. Adesso però se provo a riavviare di nuovo prevx mi chiede la licenza (ah ah come gli spacciatori: il primo giro è gratis ma poi devi pagare!!!:Prrr: ) e nella schermata "riassuntiva" risultano 4 scansioni e nessuna "pulitura" (ohi ohi!!)
Cmq sono andata avanti con mbr.exe e ho ottunto anche qui risultati allucinanti: sia con mbr.exe che con mbr.exe -f il risultato è lo stesso c'è un maleware, c'è una copia dell' mbr in un settore x ma non se ne vuole andare!!
Sono di nuovo andata avanti con Norman che dopo lunghe peripezzie mi dice che non ha trovato niente. (buon per lui!)

Ah in tutto questo la cartella helpassistant è ancora lì

Ok, ho cancellato la cartella HelpAssistant, svuotato cestino e riavviato... adesso non c'è più.
Grazie per la disponibilità

Prego

Rieccomi qua :(
Al terzo tentativo sono riuscita a finire la scansione con gmer.
Poi sono passata a prevx ma, ahiahiahi, non sono riuscita a salvare nessun log, cmq la finestra alla fine della scansione era come quella che hai messo nel primo post (RISCHIO $mbr.0 in C:\ Rootkit.MBR).
Ovviamente in tutto questo sono successe cose dell'altro mondo (sempre a me, eh!:muro: ): avevo dato il via a prevx prima di pranzo quando sono tornata aveva finito con il risultato di cui sopra e mentre cercavo di capire (da un'altro pc) come dovevo procedere per salvare i log è misteriosamente ripartita da capo un'altra scansione, mi sono allontanata di nuovo per pochi minuti e quando sono tornata c'era un'angosciante schermata blu che mi diceva di riavviare. Così ho fatto e poi nuova scansione, stesso risultato di prima (RISCHIO $mbr.0 in C:\ Rootkit.MBR) gli ho detto di pulire e apparentemente l'ha fatto, dove prima diceva rischio ecc ecc non c'era più niente. Adesso però se provo a riavviare di nuovo prevx mi chiede la licenza (ah ah come gli spacciatori: il primo giro è gratis ma poi devi pagare!!!:Prrr: ) e nella schermata "riassuntiva" risultano 4 scansioni e nessuna "pulitura" (ohi ohi!!)
Cmq sono andata avanti con mbr.exe e ho ottunto anche qui risultati allucinanti: sia con mbr.exe che con mbr.exe -f il risultato è lo stesso c'è un maleware, c'è una copia dell' mbr in un settore x ma non se ne vuole andare!!
Sono di nuovo andata avanti con Norman che dopo lunghe peripezzie mi dice che non ha trovato niente. (buon per lui!)

Ah in tutto questo la cartella helpassistant è ancora lì

Comprenderai perfettamente che senza vedere un log, non è possibile prestarti assistenza, in Guida trovi tutti i passaggi da seguire.

Comprenderai perfettamente che senza vedere un log, non è possibile prestarti assistenza, in Guida trovi tutti i passagi da seguire.

Si si, comprendo perfettamente. :rolleyes:
l log di gmer e di mbr ce li ho, vedo di postarli.
Con Norman si è bloccato di nuovo, o meglio, ha finito la scansione dopo essersi bloccato, cioè era tutto bloccato tranne Norman che dopo un pò è riparitito, lui e solo lui, il resto è ancora bloccato (persino l'orologio segna ancora le 6 e 5 :cry: ).
Cercherò di salvare il salvabile e lo posterò ma la vedo buia.:(

Si si, comprendo perfettamente. :rolleyes:
l log di gmer e di mbr ce li ho, vedo di postarli.
Con Norman si è bloccato di nuovo, o meglio, ha finito la scansione dopo essersi bloccato, cioè era tutto bloccato tranne Norman che dopo un pò è riparitito, lui e solo lui, il resto è ancora bloccato (persino l'orologio segna ancora le 6 e 5 :cry: ).
Cercherò di salvare il salvabile e lo posterò ma la vedo buia.:(

Tutti i log nell'ordine indicato in Guida, in quanto sono l'unico strumento che abbiamo per darti i suggerimenti del caso.

Tutti i log nell'ordine indicato in Guida, in quanto sono l'unico strumento che abbiamo per darti i suggerimenti del caso.

Lo capisco ma purtroppo ho il portatile che è messo veramente male, mi si blocca ogni 3x2 (e rispetto a qualche settimana fa è già migliorato, almeno riesco a connettermi e a scaricare antivirus e simili), e non sono riuscita a salvare tutti i log.
Questo è quello che ho, se ti può dire qualcosa bene altrimenti grazie ugualmente, proverò a terminare la procedura incrociando le dita (tanto peggio di così non può andare):(

http://wikisend.com/download/445294/gmer.txt
http://wikisend.com/download/437868/mbr.log
http://wikisend.com/download/558576/NFix_2010-04-07_17-53-05.log

Lo capisco ma purtroppo ho il portatile che è messo veramente male, mi si blocca ogni 3x2 (e rispetto a qualche settimana fa è già migliorato, almeno riesco a connettermi e a scaricare antivirus e simili), e non sono riuscita a salvare tutti i log.
Questo è quello che ho, se ti può dire qualcosa bene altrimenti grazie ugualmente, proverò a terminare la procedura incrociando le dita (tanto peggio di così non può andare):(

http://wikisend.com/download/445294/gmer.txt
http://wikisend.com/download/437868/mbr.log
http://wikisend.com/download/558576/NFix_2010-04-07_17-53-05.log

Produci il log di DrWeb CureIt

Ho avuto un' esperienza con helpassistant...
Ho staccato il disco e l' ho messo su un pc con MS security essential come Hd secondario: ha rilevato sinowal (mbr) virus e l' ha rimosso.

Ciao

Ho avuto un' esperienza con helpassistant...
Ho staccato il disco e l' ho messo su un pc con MS security essential come Hd secondario: ha rilevato sinowal (mbr) virus e l' ha rimosso.

Ciao

http://www.hwupgrade.it/forum/showthread.php?t=1715546 ;)

Lo capisco ma purtroppo ho il portatile che è messo veramente male, mi si blocca ogni 3x2 (e rispetto a qualche settimana fa è già migliorato, almeno riesco a connettermi e a scaricare antivirus e simili), e non sono riuscita a salvare tutti i log.
Questo è quello che ho, se ti può dire qualcosa bene altrimenti grazie ugualmente, proverò a terminare la procedura incrociando le dita (tanto peggio di così non può andare):(

http://wikisend.com/download/445294/gmer.txt
http://wikisend.com/download/437868/mbr.log
http://wikisend.com/download/558576/NFix_2010-04-07_17-53-05.log

Ecco anche l'ultimo log.

http://wikisend.com/download/923950/cureit filtrato.txt

Ieri sera ho tolto anche la cartella helpassistant e, per ora, non si è ancora fatta rivedere, anche se mi sono connessa e ho lavorato un pò, anche IE (che in questi giorni aveva ricominciato a fare i capricci) è ripartito, e in generale il computer mi sembra più "arzillo".
Speriamo a bene :rolleyes: Non sono ancora tranquilla, anche l'altra volta sembrava che fosse passata ma a distanza di settimane sono ricomparsi alcuni sintomi e, andando a riguardare ho ritrovato la maledetta cartella. :sperem:

@omihalcon
Sulla mia avventura con helpassistant potrei scriverci un libro! Oltre che sul portatile me l'ero beccato anche sul pc di casa; come ne sono uscita in quel caso è una storia infinita di faide familiari peggio di Beautiful che mi ha portato ad arrivare fino qui in cerca di aiuto per il mio povero portatile. :ncomment: :sob:

Ecco anche l'ultimo log.

http://wikisend.com/download/923950/cureit filtrato.txt

Ieri sera ho tolto anche la cartella helpassistant e, per ora, non si è ancora fatta rivedere, anche se mi sono connessa e ho lavorato un pò, anche IE (che in questi giorni aveva ricominciato a fare i capricci) è ripartito, e in generale il computer mi sembra più "arzillo".
Speriamo a bene :rolleyes: Non sono ancora tranquilla, anche l'altra volta sembrava che fosse passata ma a distanza di settimane sono ricomparsi alcuni sintomi e, andando a riguardare ho ritrovato la maledetta cartella. :sperem:

@omihalcon
Sulla mia avventura con helpassistant potrei scriverci un libro! Oltre che sul portatile me l'ero beccato anche sul pc di casa; come ne sono uscita in quel caso è una storia infinita di faide familiari peggio di Beautiful che mi ha portato ad arrivare fino qui in cerca di aiuto per il mio povero portatile. :ncomment: :sob:

Il log è vuoto ->> File size: 0 B :)

Il log è vuoto ->> File size: 0 B :)
Noooo :eek: :eek: :eek:
Oh ma tutte a me!!:cry:
Eppure ho fatto tutto come nella guida, ho anche riprovato ma mi da ancora un file vuoto!:cry:
Che faccio?! Ti posto la versione integrale?! :confused:

Mi rimangio tutto!
Ce l'ho fatta!
http://wikisend.com/download/434938/cureit filtrato.txt
ora qualcosa c'è

Noooo :eek: :eek: :eek:
Oh ma tutte a me!!:cry:
Eppure ho fatto tutto come nella guida, ho anche riprovato ma mi da ancora un file vuoto!:cry:
Che faccio?! Ti posto la versione integrale?! :confused:

Dal momento che sei in posseso del file integrale lo snellisci e lo hosti su Wikisend.

Come dicevo...
Noooo :eek: :eek: :eek:
Mi rimangio tutto!
Ce l'ho fatta!
http://wikisend.com/download/434938/cureit filtrato.txt
ora qualcosa c'è

Per ora ancora nessuna traccia di helpassistant e tutto sembra filare liscio :stordita:

Come dicevo...


Per ora ancora nessuna traccia di helpassistant e tutto sembra filare liscio :stordita:

Dal log non emerge nulla di anomalo, un altro giro di Prevx è consigliato.

Ciao gentili esperti. Nel mio portatile Lenovo r60, S.O. xp professional 2003, service pack 3, 512 Mb Ram, 1,66 ghz HD, si è infilato il rootkit mbr segnalato da Avira. Nel percorso C:\Documents and settings si è creata la cartella Help assistant rilevata da Hijackthis , ma non da Prevx come noterete nel file allegato. Posso solo navigare in provvisoria in quanto all' accensione il pc si presenta con la schermata blu Irql not less or equal.
Vi ringrazio per il momento.

gmer report.txt (http://wikisend.com/download/598922/gmer report.txt)

prevx report.log (http://wikisend.com/download/957076/prevx report.log)

Ciao gentili esperti. Nel mio portatile Lenovo r60, S.O. xp professional 2003, service pack 3, 512 Mb Ram, 1,66 ghz HD, si è infilato il rootkit mbr segnalato da Avira. Nel percorso C:\Documents and settings si è creata la cartella Help assistant rilevata da Hijackthis , ma non da Prevx come noterete nel file allegato. Posso solo navigare in provvisoria in quanto all' accensione il pc si presenta con la schermata blu Irql not less or equal.
Vi ringrazio per il momento.

gmer report.txt (http://wikisend.com/download/598922/gmer report.txt)

prevx report.log (http://wikisend.com/download/957076/prevx report.log)

Ciao, dai log non emerge nulla, comunque prosegui con la seconda e terza fase. Per quanto concerne la schermata blu trattasi di un problema di driver.

Dal log non emerge nulla di anomalo, un altro giro di Prevx è consigliato.

Lo farei volentieri, anzi ci avevo già provato, ma adesso sembra che voglia la licenza :what: Se provo a fare la scansione dice "Errore: V911: Cleanup not licensed, please purchase a license from www.prevx.com":Prrr:
Cmq, per quello che può valere, quando ho aperto prevx c'era la scritta verde che dice che il pc è pulito e il numero di scansioni è salito da 4 a 9, infatti ieri ho ridato un giro con Malwarebytes e Avira e ho visto che ogni tanto mi si apriva una finestrina di prevx in basso a dx, mi sembrava infatti di aver letto da qualche parte che è in grado di lavorare anche insieme ad altri antivirus, forse è questo il caso, non so :mbe:

Per ora continua a filare tutto liscio, se veramente mi sono liberata di quest'incubo potrei anche pensare di pagarla la licenza di prevx :asd: se la sono più che guadagnata! :D

E infine, ultimo ma non per importanza:
GRAZIE, GRAZIE, GRAZIE IMMENSAMENTE Chill-Out:ave: :ave: :ave:
per la pazienza e l'ottima guida (anche se, utonta come sono, sono riuscita ugualmente a fare casino :stordita: );)

Lo farei volentieri, anzi ci avevo già provato, ma adesso sembra che voglia la licenza :what: Se provo a fare la scansione dice "Errore: V911: Cleanup not licensed, please purchase a license from www.prevx.com":Prrr:
Cmq, per quello che può valere, quando ho aperto prevx c'era la scritta verde che dice che il pc è pulito e il numero di scansioni è salito da 4 a 9, infatti ieri ho ridato un giro con Malwarebytes e Avira e ho visto che ogni tanto mi si apriva una finestrina di prevx in basso a dx, mi sembrava infatti di aver letto da qualche parte che è in grado di lavorare anche insieme ad altri antivirus, forse è questo il caso, non so :mbe:

Per ora continua a filare tutto liscio, se veramente mi sono liberata di quest'incubo potrei anche pensare di pagarla la licenza di prevx :asd: se la sono più che guadagnata! :D

E infine, ultimo ma non per importanza:
GRAZIE, GRAZIE, GRAZIE IMMENSAMENTE Chill-Out:ave: :ave: :ave:
per la pazienza e l'ottima guida (anche se, utonta come sono, sono riuscita ugualmente a fare casino :stordita: );)

Prego, qui trovi la Guida dedicata a Prevx http://www.hwupgrade.it/forum/showthread.php?t=1923599

Eseguita procedura, MBR stanato ed eliminato.

10000000 Grazie ed a buon rendere

Ciaoo a tutti

Eseguita procedura, MBR stanato ed eliminato.

10000000 Grazie ed a buon rendere

Ciaoo a tutti

Ciao, se deisderi puoi allegare i log per il controllo, le modalità sul come farlo le trovi in Guida.

[QUOTE=Chill-Out;31496139]Meglio così

Buongiorno,
grazie ancora per l'aiuto dell'altra volta... tutto ok e ho acquistato anche prevx... il pc è di nuovo una freccia.

Ho una domanda:
alice-ti-aiuta (la connessione adsl) mi ha chiesto il download di un applicazione, l'ho fatto e mi sono ritrovato la schermata di apertura di google modificata nel font, times new roman piccolino piutosto che arial...
e poi la barra blu tutto in alto di firefox non si legge piu, sembra che ci siano tante scritte una sopra l'altra

vuol dire che ho preso ancora una specie di virus?

ho dato un'occhiata veloce in giro... i risultati non sono del tutto univoci ma prevale l'idea che sia innocuo, cmq rivorrei l'aspetto normale della mia pagina di apertura perché cosi piccolo leggo male...

cmq quanto meno è invadente...
tu che ne dici?
grazie per la risposta

[QUOTE=Chill-Out;31496139]Meglio così

Buongiorno,
grazie ancora per l'aiuto dell'altra volta... tutto ok e ho acquistato anche prevx... il pc è di nuovo una freccia.

Ho una domanda:
alice-ti-aiuta (la connessione adsl) mi ha chiesto il download di un applicazione, l'ho fatto e mi sono ritrovato la schermata di apertura di google modificata nel font, times new roman piccolino piutosto che arial...
e poi la barra blu tutto in alto di firefox non si legge piu, sembra che ci siano tante scritte una sopra l'altra

vuol dire che ho preso ancora una specie di virus?

ho dato un'occhiata veloce in giro... i risultati non sono del tutto univoci ma prevale l'idea che sia innocuo, cmq rivorrei l'aspetto normale della mia pagina di apertura perché cosi piccolo leggo male...

cmq quanto meno è invadente...
tu che ne dici?
grazie per la risposta

Dal momento che la connessione è attiva e funzionate, non serve scaricare applicati vari propinati da Alice, per quanto concerne l'interfaccia di Google è assolutamente normale, mentre per Firefox presumo tu abbia cmbiato inavvertitamente qualche impostazione, per ripristinare il tutto Strumenti - Opzioni - Contenuti.

Ciao Chill-out e ancora grazie.
Ho eseguito la 2a e 3a fase, ma ho fatto confusione con il report di Dr.Web.
Ho provato ad eliminare Help assistant, ma è rimasto in C:\Documents and Settings.
Intanto ti ho allegato i log di mbr (che ha trovato qualcosa) e Nfix.

mbr.log (http://wikisend.com/download/861372/mbr.log)
NFix_2010-04-09_13-30-01.log (http://wikisend.com/download/925976/NFix_2010-04-09_13-30-01.log)

MI sta prendendo l' infarto perchè dopo la scansione di Dr.Web ho cancellato il report e ora devo rifare la scansione.
Dr.Web aveva trovato questo backdoor.

Master Boot Record HDD1;;BackDoor.MaosBoot.35;Curato.;
Master Boot Record HDD1;;BackDoor.MaosBoot.35;Curato.;


A presto.

Ciao ragazzi,
sono passato al pc dell'ufficio.. ho fatto girare Gmer (qui il log (http://wikisend.com/download/477036/log gmer.log)) e prevx. Quest'ultimo non ha trovato nulla ma eccovi comunque il log (http://wikisend.com/download/571570/Prevx.log).. A questo punto forse il mio pc è apposto e, davvero nn so come sia possibile perchè non lo formatto da circa 5 anni e c'ho girato su e giù per il web!! Attendo news e ditemi se comunque devo scansionare il pc lo stesso con Norman dato che è una bestia e potrebbe rilevare qualke altro virus :)

Ciao Chill-out e ancora grazie.
Ho eseguito la 2a e 3a fase, ma ho fatto confusione con il report di Dr.Web.
Ho provato ad eliminare Help assistant, ma è rimasto in C:\Documents and Settings.
Intanto ti ho allegato i log di mbr (che ha trovato qualcosa) e Nfix.

mbr.log (http://wikisend.com/download/861372/mbr.log)
NFix_2010-04-09_13-30-01.log (http://wikisend.com/download/925976/NFix_2010-04-09_13-30-01.log)

MI sta prendendo l' infarto perchè dopo la scansione di Dr.Web ho cancellato il report e ora devo rifare la scansione.
Dr.Web aveva trovato questo backdoor.

Master Boot Record HDD1;;BackDoor.MaosBoot.35;Curato.;
Master Boot Record HDD1;;BackDoor.MaosBoot.35;Curato.;


A presto.

Potresti allegare anche il log di CureIt, inoltre indicami il SO in uso.

stavo seguindo la guida ma al momento di installare prevx non mi fa procedere e mi dice che è necessario essere aministratori per installare prevx, ora il punto è che io sono l'unico utente di xp e ovviamente sono anche amministratore (ho persino verificato su pannello di controllo e anche li risulto amministratore) la scansione fatta con gmer mi sa che conferma che sono infetto:
http://wikisend.com/download/476276/gmerlog.txt

cosa mi consigliate di fare?

ciao a tutti, scusate se disturbo, da ieri mi sono beccato questo rootkit...ho letto tutta la discussione ma non son riuscito a risolvere...ho provato col tool di rimozione della Eset e quello della Symantec ma non è servito, ho anche provato con mbr.exe -f ma non me lo fixa, me lo rileva solo, potreste aiutarmi per favore? grazie e scusate ancora...vi prego sono disperato...ho tanti giga di roba sul pc e non vorrei perderla...grazie

stavo seguindo la guida ma al momento di installare prevx non mi fa procedere e mi dice che è necessario essere aministratori per installare prevx, ora il punto è che io sono l'unico utente di xp e ovviamente sono anche amministratore (ho persino verificato su pannello di controllo e anche li risulto amministratore) la scansione fatta con gmer mi sa che conferma che sono infetto:
http://wikisend.com/download/476276/gmerlog.txt

cosa mi consigliate di fare?

Tasto dx del mouse ->> Esegui come

ciao a tutti, scusate se disturbo, da ieri mi sono beccato questo rootkit...ho letto tutta la discussione ma non son riuscito a risolvere...ho provato col tool di rimozione della Eset e quello della Symantec ma non è servito, ho anche provato con mbr.exe -f ma non me lo fixa, me lo rileva solo, potreste aiutarmi per favore? grazie e scusate ancora...vi prego sono disperato...ho tanti giga di roba sul pc e non vorrei perderla...grazie

Ciao, hai letto la Guida in prima pagina?

bene grazie, sono riuscito a fare le scansioni ecco i log:

http://wikisend.com/download/526716/prevxlog.log
http://wikisend.com/download/476276/gmerlog.txt



mi sa che sono infetto secondo gmer anche se prevx dice di no

che faccio chill-out?

ciao, si ho letto la guida, ho scaricato gmer e prevx, gmer ha fatto la scansione e subito mi ha rilevato una cosa in rosso, poi dopo un pò l'ho fermata perchè erano davvero tantissimi files ma credo che quello rompiscatole lo abbia individuato bene, poi ho fatto la scansione con prevx, mi ha trovato due files infetti ma non mi fa salvare il log, e non mi fa neanche disinfettare i files, comunque allego i log di tutti e due (prevx mi son segnato io le due cose infette, a mano) :

anzi ora vero che qui non mi fa allegare 2 files, vi scrivo a mano quello che ha rilevato prevx :

botdklive.dll in c:\programmi\messenger plus! live\scripts\live...
livenotifier.dll in c:\programmi\messenger plus! live\scripts\live...

ciao, si ho letto la guida, ho scaricato gmer e prevx, gmer ha fatto la scansione e subito mi ha rilevato una cosa in rosso, poi dopo un pò l'ho fermata perchè erano davvero tantissimi files ma credo che quello rompiscatole lo abbia individuato bene, poi ho fatto la scansione con prevx, mi ha trovato due files infetti ma non mi fa salvare il log, e non mi fa neanche disinfettare i files, comunque allego i log di tutti e due (prevx mi son segnato io le due cose infette, a mano) :

anzi ora vero che qui non mi fa allegare 2 files, vi scrivo a mano quello che ha rilevato prevx :

botdklive.dll in c:\programmi\messenger plus! live\scripts\live...
livenotifier.dll in c:\programmi\messenger plus! live\scripts\live...

Per poter essere aiutati è necessario seguire esattamente la Guida, altrimenti tiriamo ad indovinare, allega su uno dei Server Remoti indicati i log completi di Prevx e Gmer.

bene grazie, sono riuscito a fare le scansioni ecco i log:

http://wikisend.com/download/526716/prevxlog.log
http://wikisend.com/download/476276/gmerlog.txt



mi sa che sono infetto secondo gmer anche se prevx dice di no

che faccio chill-out?

Fase 2 e 3 attendo i log, tutti in 1 unico Post, grazie.

Per poter essere aiutati è necessario seguire esattamente la Guida, altrimenti tiriamo ad indovinare, allega su uno dei Server Remoti indicati i log completi di Prevx e Gmer.

hai ragione chiedo scusa per la mia incompetenza..:(

spero di aver fatto bene le cose ora :

http://wikisend.com/download/453240/log di gmer.log

http://wikisend.com/download/431056/log prevx.log

fase due: riavviato in modalità provvisoria ma mbr detector non si avvia, compare una finestra per un attimo e sparisce, il normal invece fornisce il seguente log

http://wikisend.com/download/833944/NFix_2010-04-14_13-11-47.log


a questo punto che faccio? perchè mbr detector non si avvia?

hai ragione chiedo scusa per la mia incompetenza..:(

spero di aver fatto bene le cose ora :

http://wikisend.com/download/453240/log di gmer.log

http://wikisend.com/download/431056/log prevx.log

Procedi così:

1 Scarica questo file http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovare in C:\TDSSKiller..................log.txt

2 Scarica questo software http://www.surfright.nl/en/hitmanpro lancia la scansione, trovando tracce dell'infezione ti consentirà la rimozione gratutita

3 ComboFix - Download (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Doppio click su ComboFix.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza

Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt

4 Fai scansione completa con DrWeb CureIt eattamanete come indicato al Punto 5 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

Riepilogo log da allegare:
TDSSKiller
ComboFix
CureIt
Nuovo log di Gmer

NB: i log andranno allegati in una nuova discussione che andrai ad aprire qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125

fase due: riavviato in modalità provvisoria ma mbr detector non si avvia, compare una finestra per un attimo e sparisce, il normal invece fornisce il seguente log

http://wikisend.com/download/833944/NFix_2010-04-14_13-11-47.log


a questo punto che faccio? perchè mbr detector non si avvia?

Prosegui con CureIt

Salve ragazzi, io mi trovo in una situazione un pò strana. Vi spiego

Ieri mentre navigavo, ho ricevuto tramite avira antivirus, una segnalazione di virus da una pagina web che stavo visitando. Non sapendo come comportarmi ho chiuso tramite Ctrl+Alt+Canc. SUccessivamente ho riavviato Mozilla, non pensando però al fatto che questo browser in caso di crash, ripropone le stesse pagine. Allora velocissimamente sono tornato alla homepage (google). Pochi minuti dopo il computer si riavvia da solo. E da li sono iniziati i problemi.

Riacceso il computer, ho ripreso a lavorare al pc e a un certo punto il sistema diventa piu lento. Stavo lavorando dentro una cartella, e per rendermi conto di quello che stava succedendo (in pratica quando volete verificare se il pc si è freezato o no) ne ho aperta un'altra. La seconda cartella si è aperta tranquillamente ma dopodichè mi è risultato impossibile compiere qualsiasi altra azione. Il mouse si muoveva tranquillamente su tutto lo schermo e anche il pulsante Start si illuminava. Il bloc num si accendeva e si spegneva e i pulsanti di "riduci a icona" "ingrandisci",.. si illuminavano ma cliccando su qualunque cosa era come se il pc fosse bloccato. In parole povere un "freeze" dove il muose si muoveva tranquillamente.

Spaventato,ho riavviato (era anche l'unica cosa possibile) e sembrava tutto normale. Dopo 5 minuti circa il computer si blocca proprio e comincia ad emettere un fischio tipo sirena molto forte, impossibile anche qui ogni altra azione. Alchè ho dovuto riavviare.

Stamattina ho riacceso tutto sperando di non trovare problemi, ma , ahimè, il problema persisteva.La prima volta che l'ho acceso sono riuscito a scaricare ivari programmi per controllare le temperature (Tutte oK) e i vari voltaggi. Ho smontato il pc e l'ho spolverato, ho elminato vecchi programmi, ho effettuato la pulitura del registro e dei Temporary Internet Files.Ma il problema restava. Alchè ho cominciato a pensare che si trattasse di un virus.

Navigando per il web sono riuscito a trovare un post in inglese in cui si parlava di un certo antivirus "Dr Web" suggerito a un tizio che aveva gli stessi miei problemi.

L'ho scaricato, e subito ha trovato questo virus "Master Boot REcord Hdd1" "backdoor.maosboot.35".Finita la scansione rapida glil'ho fatto elminare. Successivamente il problema (fin'ora ) non si è piu presentato.

Però, incuriosito da questo virus, l'ho cercato con google e ho trovato questo post. Ora, la mia domanda è questa:

Leggendo la guida iniziale, io mi sono reso conto di aver fatto solo 1 delle tante fasi per eliminare questo virus; visto che il virus, in una seconda scansione (sempre rapida, ora sto facendo quella completa) non risulta, è necessario che io compia dall'inizio tutte le varie fasi per la sua rimozione?

Grazie anticipatamente delle risposte

Se desideri fugare ogni dubbio segui la Guida in prima pagina, ti suggerisco inoltre la Guida al tuo AV http://www.hwupgrade.it/forum/showthread.php?t=1514684 così in caso di infezione saprai come comportarti.

ok allora le farò tutte. Ora ho appena fatto un'analisi con HijackThis e sto provando a farla analizzare da quel sito che lo fa automaticamente solo che pare non funzionare :(

ok allora le farò tutte. Ora ho appena fatto un'analisi con HijackThis e sto provando a farla analizzare da quel sito che lo fa automaticamente solo che pare non funzionare :(

Come puoi notare tu stesso HJT non è contemplato nella Guida, in quanto per questa infezione è irrelevante.

Ah ok. Nel frattempo la scansione completa di Dr Web ha rilevato (oltre ad altri file infetti che si trovavano nella cartella quarantena di Avira ma che ho comunque fatto spostare) quest'altro virus "infettato da BackDoor.MaosBoot.41" mi sa che cè ancora!

Per Chill-out il mio S.O. xp professional 2002, service pack 3, 512 Mb Ram.

Ti chiedo una informazione urgente.
Miracolosamente il portatile si è riavviato in modalità normale, però nel task manager c' è un utente kchwwwGIUBFD che l 'ho trovato anche in risorse computer-gestione computer- utenti e gruppi locali- users in cui appare come amministratore.
Ti chiedo semplicemente, poichè in quel percorso non si elimina, se posso interrompere il processo suddetto nel task manager che è associato a 2 miei programmi Tvsukernel.exe (del mio portatile Lenovo) e Uacxecuter.exe sempre del Lenovo, prima di ricollegarmi alla rete.

Sono tornato in provvisoria e mi è risparito antonio dal task. Anche quell' utente kchwwwGIUBFD è sparito ed anche in utenti e gruppi locali users non c' è.
Naturalmente devo finire la scansione con DrWEb Cureit, ma per la ragione di cui sopra aspetto.
Grazie mille

LOG GMER

Download Link---->http://wikisend.com/download/603734/LogGmer.log

Forum Link---> LogGmer.log (http://wikisend.com/download/603734/LogGmer.log)

LOG PREVX

Download Lik---> http://wikisend.com/download/504994/LogPrevx.log

Forum Link---> LogPrevx.log (http://wikisend.com/download/504994/LogPrevx.log)


Ho anche la cartella HelpAssistant nei profili



Prevx ha trovato dei file infetti ma tra di questi NON cè il file del Rootkit e quei file era possibile eliminarli solo tramite l'acquisto di licenza. Per questo il log di Prevx è solo 1,dato che non potevo eseguire la pulizia.

Per Chill-out il mio S.O. xp professional 2002, service pack 3, 512 Mb Ram.

Ti chiedo una informazione urgente.
Miracolosamente il portatile si è riavviato in modalità normale, però nel task manager c' è un utente kchwwwGIUBFD che l 'ho trovato anche in risorse computer-gestione computer- utenti e gruppi locali- users in cui appare come amministratore.
Ti chiedo semplicemente, poichè in quel percorso non si elimina, se posso interrompere il processo suddetto nel task manager che è associato a 2 miei programmi Tvsukernel.exe (del mio portatile Lenovo) e Uacxecuter.exe sempre del Lenovo, prima di ricollegarmi alla rete.

Sono tornato in provvisoria e mi è risparito antonio dal task. Anche quell' utente kchwwwGIUBFD è sparito ed anche in utenti e gruppi locali users non c' è.
Naturalmente devo finire la scansione con DrWEb Cureit, ma per la ragione di cui sopra aspetto.
Grazie mille

Allega il log di CureIt

LOG GMER

Download Link---->http://wikisend.com/download/603734/LogGmer.log

Forum Link---> LogGmer.log (http://wikisend.com/download/603734/LogGmer.log)

LOG PREVX

Download Lik---> http://wikisend.com/download/504994/LogPrevx.log

Forum Link---> LogPrevx.log (http://wikisend.com/download/504994/LogPrevx.log)


Ho anche la cartella HelpAssistant nei profili



Prevx ha trovato dei file infetti ma tra di questi NON cè il file del Rootkit e quei file era possibile eliminarli solo tramite l'acquisto di licenza. Per questo il log di Prevx è solo 1,dato che non potevo eseguire la pulizia.

Fai scansione con DrWeb CureIt esattamente come indicato in Guida ed allega il log.

Ciao a tutti, mi scuso se sarò molto fumoso e non seguirò il protocollo postando i log ma purtroppo il notebook infetto non mi è sottomano.
Confido ugualmente nell'aiuto di qualcuno.

Provando molti tool per "disinfestare" un notebook sono saltati fuori vari nomi di trojan ecc tutti rimossi, quello che (credo) mi sia rimasto è il rootkit Olmarik.

Il notebook essenzialmente mantiene tutte le funzionalità, elenco i tool per i quali il sistema risulta assolutamente pulito (capisco che sembra incredibile questa cosa):
-spybot
-ESET Smart Security 4.0
-Prevx 3.0
-Norman SinowalMBR Cleaner
-Stealth MBR rootkit detector
-Dr.Web CureIt!
-Combofix (non ci ho capito molto mi ha stanato diverse cose ma alla fine il problema rimane)
-hijackthis (ripultito anche quello ovviamente non ho la garanzia della correttezza del 100% ma direi quasi)

Cosa c'è allora che non va??
1) Non appena apro un browser qualunque E INIZIO A NAVIGARE (ovvero se rimango semplicemente collegato ad internet e non mi metto a navigare il problema non si presenta) NOD32 inizia a mandarmi degli alert continui in cui mi informa che sta bloccando degli indirizzi internet sospetti.
2) quasi in contemporanea la cartella "C:\Documents and Settings\XXX\Local Settings\Temp" si riempie con una 30ina di file .bin chiamati con i nomi dei paesi! (per esempio Italy.bin Spain.bin ecc)
3)Alcune siti sembrano bloccati (per esempio se avete presente la form del sito di hijackthis per inserire il log e farselo analizzare, alla pressione del bottone "analizza" non si ottiene risposta, ed ho appurato che è il 100% colpa del notebook semi-infetto ovvero con un altro notebook e stessa connessione internet il problema non si pone)
4)Ho provato queste 4 utility
-eSage Lab TDSS remover
-ESET Win32/Olmarik Fixer
-Kaspersky TDSSKiller
-Norman Cleaner TDSS

Per le prime DUE non risulto assolutamente infetto (per l'ESET Win32/Olmarik Fixer ero inizialmente positivo, poi curato), per le altre due si! In particolare "Kaspersky TDSSKiller" durante la scansione del "Kernel memory" mi rileva un TDSS Rootkit in C:\WINDOWS\system32\drivers\atapi.sys e mi dice che verrà corretto con il prossimo riavvio (cosa falsissima).

Idem per il "Norman Cleaner TDSS" che però non mi indica precisamente alcun file ma dice semplicemente di aver trovato e corretto (anche qui cosa falsissima) un rootkit di terza generazione Rootkit TDL3.

Che fare? Visto che sembrerebbe rimanere solo questo atapi.sys corrotto ho pensato di ripristinarlo dal CD di windows. Ovvero, seguendo una guida, da console di ripristino ho fatto

cd system32\drivers
ren atapi.sys atapi.old
expand X:\i386\atapi.sy_

Ma ovviamente la cosa non ha funzionato (e mi fa pensare che anche una formattazione non risolva, come ho letto altrove servirebbe una formattazione di basso livello che vorrei evitare e non credo io sia in grado di fare)

Ora che ci penso il "Norman Cleaner TDSS" ha salvato un log in cui indica la presenza di questo rootkit in 3 files
-atapi.sys
-acpi.sys
-classpnp.sys (o qualcosa di simile, ora in questo momento ricordo era una file che terminava in "..pnp.sys")

ed io ho rimpiazzato (invano) solo atapi.sys.
Avrà senso rimpiazare anche gli altri 2?

Da console di ripristino posso fare qualcos'altro? Per esempio con il comando "fixmbr" rischio qualcosa?

Perché me lo sento che il sistema è quasi pulito c'è solo questa "piccola" cosa di atapi.sys ma che mi sta facendo uscire di testa da 2 giorni


edit: credo che il mio amico abbia beccato esattamente questo
http://www.pcalsicuro.com/main/2010/01/tdl3-rootkit-spettatori-di-un-gioco-a-senso-unico/

http://wikisend.com/download/494948/cureit filtrato.txt


cureit filtrato.txt (http://wikisend.com/download/494948/cureit filtrato.txt)


Ecco i File di DRWEB filtrati!

Ciao a tutti, mi scuso se sarò molto fumoso e non seguirò il protocollo postando i log ma purtroppo il notebook infetto non mi è sottomano.
Confido ugualmente nell'aiuto di qualcuno.

Provando molti tool per "disinfestare" un notebook sono saltati fuori vari nomi di trojan ecc tutti rimossi, quello che (credo) mi sia rimasto è il rootkit Olmarik.

Il notebook essenzialmente mantiene tutte le funzionalità, elenco i tool per i quali il sistema risulta assolutamente pulito (capisco che sembra incredibile questa cosa):
-spybot
-ESET Smart Security 4.0
-Prevx 3.0
-Norman SinowalMBR Cleaner
-Stealth MBR rootkit detector
-Dr.Web CureIt!
-Combofix (non ci ho capito molto mi ha stanato diverse cose ma alla fine il problema rimane)
-hijackthis (ripultito anche quello ovviamente non ho la garanzia della correttezza del 100% ma direi quasi)

Cosa c'è allora che non va??
1) Non appena apro un browser qualunque E INIZIO A NAVIGARE (ovvero se rimango semplicemente collegato ad internet e non mi metto a navigare il problema non si presenta) NOD32 inizia a mandarmi degli alert continui in cui mi informa che sta bloccando degli indirizzi internet sospetti.
2) quasi in contemporanea la cartella "C:\Documents and Settings\XXX\Local Settings\Temp" si riempie con una 30ina di file .bin chiamati con i nomi dei paesi! (per esempio Italy.bin Spain.bin ecc)
3)Alcune siti sembrano bloccati (per esempio se avete presente la form del sito di hijackthis per inserire il log e farselo analizzare, alla pressione del bottone "analizza" non si ottiene risposta, ed ho appurato che è il 100% colpa del notebook semi-infetto ovvero con un altro notebook e stessa connessione internet il problema non si pone)
4)Ho provato queste 4 utility
-eSage Lab TDSS remover
-ESET Win32/Olmarik Fixer
-Kaspersky TDSSKiller
-Norman Cleaner TDSS

Per le prime DUE non risulto assolutamente infetto (per l'ESET Win32/Olmarik Fixer ero inizialmente positivo, poi curato), per le altre due si! In particolare "Kaspersky TDSSKiller" durante la scansione del "Kernel memory" mi rileva un TDSS Rootkit in C:\WINDOWS\system32\drivers\atapi.sys e mi dice che verrà corretto con il prossimo riavvio (cosa falsissima).

Idem per il "Norman Cleaner TDSS" che però non mi indica precisamente alcun file ma dice semplicemente di aver trovato e corretto (anche qui cosa falsissima) un rootkit di terza generazione Rootkit TDL3.

Che fare? Visto che sembrerebbe rimanere solo questo atapi.sys corrotto ho pensato di ripristinarlo dal CD di windows. Ovvero, seguendo una guida, da console di ripristino ho fatto

cd system32\drivers
ren atapi.sys atapi.old
expand X:\i386\atapi.sy_

Ma ovviamente la cosa non ha funzionato (e mi fa pensare che anche una formattazione non risolva, come ho letto altrove servirebbe una formattazione di basso livello che vorrei evitare e non credo io sia in grado di fare)

Ora che ci penso il "Norman Cleaner TDSS" ha salvato un log in cui indica la presenza di questo rootkit in 3 files
-atapi.sys
-acpi.sys
-classpnp.sys (o qualcosa di simile, ora in questo momento ricordo era una file che terminava in "..pnp.sys")

ed io ho rimpiazzato (invano) solo atapi.sys.
Avrà senso rimpiazare anche gli altri 2?

Da console di ripristino posso fare qualcos'altro? Per esempio con il comando "fixmbr" rischio qualcosa?

Perché me lo sento che il sistema è quasi pulito c'è solo questa "piccola" cosa di atapi.sys ma che mi sta facendo uscire di testa da 2 giorni


edit: credo che il mio amico abbia beccato esattamente questo
http://www.pcalsicuro.com/main/2010/01/tdl3-rootkit-spettatori-di-un-gioco-a-senso-unico/

scusate nel mio sproloquio ho dimenticato di dire che tra le cose che non vanno c'è gmer, nel senso che durante la scansione restituisce una schermata blue velocissima e si riavvia.

Tra le altre cose ho provato anche "Hitman pro" che si vanta tanto di debellare questi rootkit TDL3 ma a me non sembra affatto

http://wikisend.com/download/494948/cureit filtrato.txt


cureit filtrato.txt (http://wikisend.com/download/494948/cureit filtrato.txt)


Ecco i File di DRWEB filtrati!

Allega nuovo log di Prevx

stavo leggendo in un forum in inglese che rimpiazzando il file atapi.sys si risolve ma non è un semplice rimpiazzo da console di ripristino: bisogna mettere offline il vecchio atapi.sys mediante una chiave di registro poi sostituirlo e rimetterlo online ma sinceramente non ci ho capito una mazza

stavo leggendo in un forum in inglese che rimpiazzando il file atapi.sys si risolve ma non è un semplice rimpiazzo da console di ripristino: bisogna mettere offline il vecchio atapi.sys mediante una chiave di registro poi sostituirlo e rimetterlo online ma sinceramente non ci ho capito una mazza

Ciao, trattasi sempre di un Rootkit ma non del MBR Rootkit bensì del TDL3 ti suggerisco di seguire questa procedura http://www.hwupgrade.it/forum/showpost.php?p=31620665&postcount=2694 anche se in parte l'hai fatta (in ogni caso servono i log) che puoi allegare qui http://www.hwupgrade.it/forum/showthread.php?t=2177137

grazie mille, scusate se ho sbagliato discussione

Gentile Chill-out, purtroppo ieri ho modificato il mio utente Antonio con diritti di amministratore:help: in guest.
E all' avvio di Dr Web appare una finestrina di windows con la sigla cn78zxp.

Il messaggio recita: "Il percorso del file di log punta alla cartella C:\Documents and settings-Antonio-Doctor web.log
Modificare impostazioni del nome del file di log.

Ho fatto la scansione completa, ma alla fine il file di log in quel percorso risulta vuoto.:help:

proseguito con la terza fase:
cureit http://wikisend.com/download/442042/cureit filtrato.txt

poi ho rifatto scansione gmer:
http://wikisend.com/download/493476/gmerdopo.txt


a quanto pare sono ancora infetto, ricordo che nella fase 2 mi succedeva che
mbr detector non si avviava, compariva una finestra per un attimo e spariva, il normal invece forniva il seguente log

http://wikisend.com/download/833944/...4_13-11-47.log


a questo punto non mi importa nulla dei dati formatterei tutto ma vorrei esser sicuro che il rootkit non si annidi nel boot dell'hd

proseguito con la terza fase:
cureit http://wikisend.com/download/442042/cureit filtrato.txt

poi ho rifatto scansione gmer:
http://wikisend.com/download/493476/gmerdopo.txt


a quanto pare sono ancora infetto, ricordo che nella fase 2 mi succedeva che
mbr detector non si avviava, compariva una finestra per un attimo e spariva, il normal invece forniva il seguente log

http://wikisend.com/download/833944/...4_13-11-47.log


a questo punto non mi importa nulla dei dati formatterei tutto ma vorrei esser sicuro che il rootkit non si annidi nel boot dell'hd

Il log di Gmer può rimanere "sporco" secondo me sei ok.

Gentile Chill-out, purtroppo ieri ho modificato il mio utente Antonio con diritti di amministratore:help: in guest.
E all' avvio di Dr Web appare una finestrina di windows con la sigla cn78zxp.

Il messaggio recita: "Il percorso del file di log punta alla cartella C:\Documents and settings-Antonio-Doctor web.log
Modificare impostazioni del nome del file di log.

Ho fatto la scansione completa, ma alla fine il file di log in quel percorso risulta vuoto.:help:

E' necessario vedere il log, controlla nella Cartella DoctorWeb altrimenti ripeti scansione.

Il log di Gmer può rimanere "sporco" secondo me sei ok.

utilizzando linux esiste un metodo per verificare se un rootkit si è insediato nel mbr dello stesso hardisk su cui sta girando linux, mi spiego meglio, avendo computers su cui era presente xp ma che sono stati formattati per metterci linux, è possibile scovare eventuali rootkit tuttora presenti nel mbr?

non so se possono far danno con linux? ma comunque vorrei evitare che possano far danno in futuro qualora fosse reinstallato windows.

altra piccola domanda, ho scoperto il rootkit sotto winxp perchè il mio antivirus comodo me lo ha segnalato, ma è possibile che il firewall abbia comunque continuato a proteggermi bloccando la backdoor? oppure a poco servono i firewall contro i rootkit?

http://wikisend.com/download/917718/PrevxLog.log

Ecco quà l'ultimo log di prevx

erano a posto gli altri miei log Chill ??(tanto per avere un'idea della situazione visto che lavoro proprio dal computer che era stato infettato)

buongiorno, allego i due file della fase preliminare:

http://wikisend.com/download/214008/prevx.log

http://wikisend.com/download/886670/gmerscan.txt

mi accorgo solo ora di non aver disabilitato il ripristino configurazione, va bene se lo faccio adesso o devo rifare le scansioni della fase preliminare?

leggendo su internet qualcuno consigliava di formattare l'hard disk avviare da cd win98 e dare il comando fdisk/mbr in tal modo si era sicuri al 100% di aver cancellato sia hd che mbr, è una procedura utile chillout?

buongiorno, allego i due file della fase preliminare:

http://wikisend.com/download/214008/prevx.log

http://wikisend.com/download/886670/gmerscan.txt

mi accorgo solo ora di non aver disabilitato il ripristino configurazione, va bene se lo faccio adesso o devo rifare le scansioni della fase preliminare?

ciao

da cosa ti sei diagnosticato mbr rootkit visto che i log mi sembrano puliti?

da cosa ti sei diagnosticato mbr rootkit visto che i log mi sembrano puliti?

si erano infettati altri pc della stessa rete e avevo il sospetto che avesse infettato anche il mio. non riuscivo a capire se il log gmer sia pulito o meno..

comunque grazie wjmat, tu cosa ne pensi della strategia fdisk/mbr + formattazione come rimedio estremo per eliminare il rootkit? ha controindicazioni a parte la perdita dei dati?

si erano infettati altri pc della stessa rete e avevo il sospetto che avesse infettato anche il mio. non riuscivo a capire se il log gmer sia pulito o meno..

comunque grazie wjmat, tu cosa ne pensi della strategia fdisk/mbr + formattazione come rimedio estremo per eliminare il rootkit? ha controindicazioni a parte la perdita dei dati?

se sovrascrivi mbr sei già a posto e non perdi i dati
al max hai da eliminare l'utente help assistant

http://wikisend.com/download/917718/PrevxLog.log

Ecco quà l'ultimo log di prevx

erano a posto gli altri miei log Chill ??(tanto per avere un'idea della situazione visto che lavoro proprio dal computer che era stato infettato)

Mat potresti dare anche a me un occhiata al log?

scusate questo virus che ho preso ruba dati sensibili?
La cartella helpassistant in cui il virus mi ha copiato un sacco di file che avevo sul pc posso cancellarla?
I dati copiati possono essere stati trasferiti all'esterno?

se sovrascrivi mbr sei già a posto e non perdi i dati
al max hai da eliminare l'utente help assistant

ma scusate, se basta sovrascrivere mbr col comando fdisk allora perchè non lo mettiamo nella guida? mi sembra una procedura molto veloce e sicura. che ne pensate?

ma scusate, se basta sovrascrivere mbr col comando fdisk allora perchè non lo mettiamo nella guida? mi sembra una procedura molto veloce e sicura. che ne pensate?

Perchè fdisk non c'entra nulla.

Mat potresti dare anche a me un occhiata al log?

Un pochino di pazienza è gradita, comunque scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Files to delete:
c:\windows\imglib.dll


clicca su Execute, al termine il Pc si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

utilizzando linux esiste un metodo per verificare se un rootkit si è insediato nel mbr dello stesso hardisk su cui sta girando linux, mi spiego meglio, avendo computers su cui era presente xp ma che sono stati formattati per metterci linux, è possibile scovare eventuali rootkit tuttora presenti nel mbr?

non so se possono far danno con linux? ma comunque vorrei evitare che possano far danno in futuro qualora fosse reinstallato windows.

altra piccola domanda, ho scoperto il rootkit sotto winxp perchè il mio antivirus comodo me lo ha segnalato, ma è possibile che il firewall abbia comunque continuato a proteggermi bloccando la backdoor? oppure a poco servono i firewall contro i rootkit?

Anche Linux dovrebbe darti la segnalazione, in assenza come detto precedentmente sei ok, anche il FW gioca un ruolo fondamentale in quanto il Trojan apre una backdoor cercandi di bypassare il FW stesso.

Perchè fdisk non c'entra nulla.

:confused: non c'entra nulla con la rimozione del rootkit mbr?
ma qualche rigo sopra Wjmat mi ha confermato che il comando fdisk funziona, come fai a dire che non c'entra nulla? scusa ma non capisco.

se sovrascrivi mbr sei già a posto e non perdi i dati
al max hai da eliminare l'utente help assistant

:confused: non c'entra nulla con la rimozione del rootkit mbr?
ma qualche rigo sopra Wjmat mi ha confermato che il comando fdisk funziona, come fai a dire che non c'entra nulla? scusa ma non capisco.

Nel Post non è indicato il comando che è fixmbr non fdisk.

Nel Post non è indicato il comando che è fixmbr non fdisk.

no proprio non ci stiamo capendo,mi spiego meglio, fixmbr non c'entra nulla con quello che dico io....

io mi riferisco ad avviare il pc in dos con un dischetto o con un cd di win98 ad esempio, e lanciare precisamente il seguente comando: fdisk/mbr che dovrebbe sovrascrivere l'MBR e quindi eliminare eventuali virus presenti nell'mbr. Poi una formattazione e il pc è pulito.
E ti chiedevo se non fosse utile inserire questa procedura come alternativa agli altri metodi, perchè questa procedura banalissima ha l'inconveniente di perdere i dati ma è utilissima per chi non ha dati importanti e vuole un metodo semplicissimo, veloce e sicuro.

no proprio non ci stiamo capendo

Probabile


E ti chiedevo se non fosse utile inserire questa procedura come alternativa agli altri metodi, perchè questa procedura banalissima ha l'inconveniente di perdere i dati ma è utilissima per chi non ha dati importanti e vuole un metodo semplicissimo, veloce e sicuro.

Lo scopo della Guida è ovviamente quello di risolvere il problema evitando i danni collaterali, altrimenti non avrebbe senso definirla Guida.

Nell'eventualità formatto direttamente a basso livello, risolvendo il problema alla radice e con ampio margine di sicurezza.

inserire due righe alla fine della guida del tipo:
Per chi non ha dati importanti basterà avviare il pc in dos e lanciare il comando fdisk/mbr dopodichè procederà alla formattazione.

mi avrebbe fatto risparmiare mezza giornata, e come me tanti altri ve ne sarebbero stati grati. Le guide si fanno per essere utili a più persone possibili.

detto questo io ammiro voi e soprattutto chillout per il tempo e la passione che dedicate agli altri in questo utilissimo forum, volevo solo esprimere il punto di vista di uno capitato qui per caso cercando un modo per sbarazzarsi di un virus che resisteva alla classica formattazione e che dopo aver perso mezza giornata ha trovato altrove una soluzione più rude ma più veloce.

grazie comunque ;)

http://wikisend.com/download/489428/avengerLog.txt

Ecco qui il log di avenger

inserire due righe alla fine della guida del tipo:
Per chi non ha dati importanti basterà avviare il pc in dos e lanciare il comando fdisk/mbr dopodichè procederà alla formattazione.

Mi domando per quale motivo, se la Guida in prima pagina non sortisce effetti positivi, basta lanciare il comando fixmbr da Console di Ripristino che non comporta nessuna perdita di dati. ( in 137 pagine di Thread questa condizione si è verificata pochissime volte)


mi avrebbe fatto risparmiare mezza giornata, e come me tanti altri ve ne sarebbero stati grati. Le guide si fanno per essere utili a più persone possibili.

Solitamente per registarsi al Forum ed inserire il primo messaggio bastano 10 minuti, dopodichè bisogna attendere pazientemente che qualcuno che presta assistenza gratuitamente risponda. Le guide sono utili se e quando vengono comprese e rispondono alle esigenze della massa e non del singolo. Mi dispiace che tu abbia perso mezza giornata del tuo preziosissimo tempo, ma non mi risulta che nessuno ti sia venuto a cercare.



detto questo io ammiro voi e soprattutto chillout per il tempo e la passione che dedicate agli altri in questo utilissimo forum, volevo solo esprimere il punto di vista di uno capitato qui per caso cercando un modo per sbarazzarsi di un virus che resisteva alla classica formattazione e che dopo aver perso mezza giornata ha trovato altrove una soluzione più rude ma più veloce.

grazie comunque ;)

Quanto affermi stride fortemente con quanto detto in precedenza, i temini passione ed ammirazione sono volti solo a celare una inutile e sterile polemica, la differenzia sostanziale sta nel fatto che dici di aver perso tempo, mentre chi ti ha prestato educatamente e gratuitamente assitenza pensa il contrario, altrimenti non lo avrebbe fatto.

Detto questo sono 5GG di sospensione per polemica pubblica, sperando che siano sufficienti a leggere il Regolamento e a stabilire se desideri restare ospite di questa community.

http://wikisend.com/download/489428/avengerLog.txt

Ecco qui il log di avenger

Dire che siamo ok, per scrupolo ultimo log di Prevx :)

a quanto detto dal collega aggiungo che se un utente ritiene non all'altezza o non sufficientemente efficace la nostra guida o non ci ritenga all'altezza per ottenere risposte esaustive e risolutive può sempre considerarsi libero di rivolgersi altrove, noi non abbiamo mai obbligato nessuno a restare o a seguire le nostre indicazioni..
non vedo quindi nessun motivo per scrivere messaggi del tipo "ho risolto su altri lidi", per noi non potrà mai essere preso come un torto :O

noi siamo contenti quando gli utenti risolvono il loro problema, per raggiungere questo obbietivo noi forniamo determinati strumenti strumenti ma cio non esclude d'usare un proprio set di strumenti o di rivolgersi ad altre persone :)


sentivo la necessità di questa precisazione che per noi è scontata ma a quanto pare è ignorata completamente da alcuni :O

Ecco qui l'ultimo log di Prevx

http://wikisend.com/download/514192/PrevxLog.log

Ecco qui l'ultimo log di Prevx

http://wikisend.com/download/514192/PrevxLog.log

A posto, al termine della Guida in prima pagina, trovi i Suggerimenti :)

Grazie mille Chill Out, da solo non sarei mai riuscito a risolvere il problema!!

Grazie mille Chill Out, da solo non sarei mai riuscito a risolvere il problema!!

Prego

forse ho sbagliaoto cosa devo attacare di gmer?

forse ho sbagliaoto cosa devo attacare di gmer?

vai avanti nella discussione che avevi già aperto e carica i log restanti
http://www.hwupgrade.it/forum/showthread.php?p=31626322

vai avanti nella discussione che avevi già aperto e carica i log restanti
http://www.hwupgrade.it/forum/showthread.php?p=31626322

questa sera quando torno a casa lo faccio.

Una domanda banale. Questo virus cosa serve?
C'è rischio che rubi dati personali?
Ho visto che ha creato una cartella helpassistant in cui ha copiato una marea di file. (la cartella l'ho eliminata)
AVG e Malawarebytes hanno individuato ed eliminato alcuni virus che sono entrati contestualemnte a questo, poi non rilevavano più nulla.
Il solo virus Helpassistant può avermi fregato dei file?

Grazie per l'aiuto senza di voi avrei formattato tutto.
PS: domanda stupida, i virus risiedono nel disco fisso o sulla scheda madre?
Possono resistere ad una formattazione?

questa sera quando torno a casa lo faccio.

Una domanda banale. Questo virus cosa serve?
C'è rischio che rubi dati personali?
Ho visto che ha creato una cartella helpassistant in cui ha copiato una marea di file. (la cartella l'ho eliminata)
AVG e Malawarebytes hanno individuato ed eliminato alcuni virus che sono entrati contestualemnte a questo, poi non rilevavano più nulla.
Il solo virus Helpassistant può avermi fregato dei file?

Grazie per l'aiuto senza di voi avrei formattato tutto.
PS: domanda stupida, i virus risiedono nel disco fisso o sulla scheda madre?
Possono resistere ad una formattazione?

c'è la possibilità che abbia fregato qualche informazione ma non posso darti la certezza

carica i log richiesti dalla guida per mbr visto uno dei problemi è lui

Ciao ragazzi,
sono passato al pc dell'ufficio.. ho fatto girare Gmer (qui il log (http://wikisend.com/download/477036/log gmer.log)) e prevx. Quest'ultimo non ha trovato nulla ma eccovi comunque il log (http://wikisend.com/download/571570/Prevx.log).. A questo punto forse il mio pc è apposto e, davvero nn so come sia possibile perchè non lo formatto da circa 5 anni e c'ho girato su e giù per il web!! Attendo news e ditemi se comunque devo scansionare il pc lo stesso con Norman dato che è una bestia e potrebbe rilevare qualke altro virus :)

Grazie mille per non avermi completamente calcolato a distanza di tanti giorni:ave:

Grazie mille per non avermi completamente calcolato a distanza di tanti giorni:ave:

Invece di fare polemica bastava uppare il tuo Post, nel caso ti fosse sfuggito l'assistenza che viene fornirta è del tutto gratuita, sarebbe opportuno soffermarsi un pochino a riflettere prima di fare certe affermazioni.

Invece di fare polemica bastava uppare il tuo Post, nel caso ti fosse sfuggito l'assistenza che viene fornirta è del tutto gratuita, sarebbe opportuno soffermarsi un pochino a riflettere prima di fare certe affermazioni.

Credo che te la stai pigliando troppo.. non ho mica offeso nessuno, anzi sono sempre stato prodigo di ringraziamenti soprattutto verso di te.. Ho anche aspettato un sacco di giorni prima di farlo notare..

Ciao a tutti gli utenti del forum

Allego il log di Dr Cureit. Purtroppo nel rapporto non si vede, ma ho beccato anche sdra64.exe.

cureit filtrato.txt (http://wikisend.com/download/495116/cureit filtrato.txt)

Ciao e grazie

Credo che te la stai pigliando troppo.. non ho mica offeso nessuno, anzi sono sempre stato prodigo di ringraziamenti soprattutto verso di te.. Ho anche aspettato un sacco di giorni prima di farlo notare..

Ciao a tutti gli utenti del forum

Io invece credo che tu abbia sbagliato ad esprimerti, suggerisco di chiuderla qui, se desideri ulteriori chiarimenti come da Regolamento.