Allego il log di Dr Cureit. Purtroppo nel rapporto non si vede, ma ho beccato anche sdra64.exe.

cureit filtrato.txt (http://wikisend.com/download/495116/cureit filtrato.txt)

Ciao e grazie

Sarebbe opportuno ripetere scansione con l'Account Admin.

Io invece credo che tu abbia sbagliato ad esprimerti, suggerisco di chiuderla qui, se desideri ulteriori chiarimenti come da Regolamento.

Penso che dopo tutto questo tempo i files non ci sono più quindi gli ri-uploado:
Log Gmer (http://wikisend.com/download/462616/log gmer.log) e Log Prevx (http://wikisend.com/download/566132/Prevx.log)..
Penso di non avere l'infezione ma gli esperti siete voi :)

Penso che dopo tutto questo tempo i files non ci sono più quindi gli ri-uploado:
Log Gmer (http://wikisend.com/download/462616/log gmer.log) e Log Prevx (http://wikisend.com/download/566132/Prevx.log)..
Penso di non avere l'infezione ma gli esperti siete voi :)

I log non evidenziano tracce di infezione, non ricordo però se avevi fatto girare CureIt.

PS: devi necessariamente aggiornare il SO al SP3

*

I log non evidenziano tracce di infezione, non ricordo però se avevi fatto girare CureIt.

PS: devi necessariamente aggiornare il SO al SP3

Sono già passato al SP3 seguendo l'interessantissima guida che hai linkato.. Pensi che debba rieffettuare la scansione anche ora che ho messo il SP3??

Non ho fatto girare CureIt perchè c'era scritto di aspettare la vostra consulenza prima di passare alla fase successiva :D

Sono già passato al SP3 seguendo l'interessantissima guida che hai linkato.. Pensi che debba rieffettuare la scansione anche ora che ho messo il SP3??


No


Non ho fatto girare CureIt perchè c'era scritto di aspettare la vostra consulenza prima di passare alla fase successiva :D

Procedi :D

Gentile Chill- Out non posso fare la scansione da Administrator.

Giorni fa volevo creare un nuovo account e ho cambiato Antonio in utente guest, è rimasta la password originale. Infatti quando apro il pc e mi chiede la password accedo come prima.

Il problema è che mi è sparito da risorse del computer-proprietà del sistema, il tab ripristino configurazione di sistema, e dal task manager il nome utente.
In account utente non c' è la voce cre nuovo account, cambia, c' è solo l' icona utente guest Antonio, protetto da password.
Andando da Risorse computer-in gestione computer -utenti e gruppi locali c' è la voce administrator, poi antonio, ma non posso aprire il tab membro di, un messaggio dice che il servizio workstation non è stato avviato.

Ti ringrazio.

ciao a tutti =)
Ho un problema con un rootkit, BOO/sinowal.A, ma non riesco a risolvere con questa guida...
Ho avira antivir free, e ha rilevato questo virus nella mia chiavetta usb, ma da solo non riesce a rimuoverlo, così seguendo la guida ho provato a cercarlo con i programmi indicati da Chill-Out (prevx, gmer) ma prevx, cercando solo nei dischi rigidi per via della versione trial non trova nulla, e gmer idem.
Sono passato al punto 2, utilizzando sinowal cleaner che non ha trovato nulla nè nei dischi rigidi nè nella chiavetta USB.

Avira però continua a rilevare sinowal.A sia se uso la funzionalità di ricerca rootkit sia la scansione normale e lo trova in tutti i dischi, ma disconnettendo la chiavetta dal pc non trova nulla...

Mi chiedevo, ci sono altre opzioni per sapere se ho sparso virus in giro per il mio pc e per la chiavetta, o semplicemente cestino la chiavetta e addio problema? Nel caso cestinassi la chiavetta...se salvo i file che contiene sul mio pc, rischio di portarmi dietro pure il virus?

Grazie in anticipo =)

Gentile Chill- Out non posso fare la scansione da Administrator.

Giorni fa volevo creare un nuovo account e ho cambiato Antonio in utente guest, è rimasta la password originale. Infatti quando apro il pc e mi chiede la password accedo come prima.


Assegna ad Antonio i diritti di Admin.

ciao a tutti =)
Ho un problema con un rootkit, BOO/sinowal.A, ma non riesco a risolvere con questa guida...
Ho avira antivir free, e ha rilevato questo virus nella mia chiavetta usb, ma da solo non riesce a rimuoverlo, così seguendo la guida ho provato a cercarlo con i programmi indicati da Chill-Out (prevx, gmer) ma prevx, cercando solo nei dischi rigidi per via della versione trial non trova nulla, e gmer idem.
Sono passato al punto 2, utilizzando sinowal cleaner che non ha trovato nulla nè nei dischi rigidi nè nella chiavetta USB.

Avira però continua a rilevare sinowal.A sia se uso la funzionalità di ricerca rootkit sia la scansione normale e lo trova in tutti i dischi, ma disconnettendo la chiavetta dal pc non trova nulla...

Mi chiedevo, ci sono altre opzioni per sapere se ho sparso virus in giro per il mio pc e per la chiavetta, o semplicemente cestino la chiavetta e addio problema? Nel caso cestinassi la chiavetta...se salvo i file che contiene sul mio pc, rischio di portarmi dietro pure il virus?

Grazie in anticipo =)

Ciao, collega la chiavetta al PC tenendo e mantenendo premuto il tasto SHIFT (freccia in alto) e produci i log indicati nella Prima Fase, ovvero Gmer e Prevx, allega inoltre il log di Avira.


Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt deve essere hostato su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

ecco qua i vari log...
grazie mille dell'aiuto

http://wikisend.com/download/913488/report avire.txt --> avira
http://wikisend.com/download/795286/report gmer.txt --> gmer
http://wikisend.com/download/455022/report prevx.log --> prevx


p.s: la scansione di avira è stata fatta solo sulla chiavetta, non sul sistema completo

http://www.filedropper.com/log_4>
questo è il log dopo gmer dovrei avere anch'io un rootkit. non sono riuscita a far partire prevx, neppure scaricandolo con altro nome.
cosa potrei fare adesso?

http://www.filedropper.com/log_4>
questo è il log dopo gmer dovrei avere anch'io un rootkit. non sono riuscita a far partire prevx, neppure scaricandolo con altro nome.
cosa potrei fare adesso?

volevo aggiungere che quelle rare volte che mi sembrava partisse (prevx)mi restituiva dopo poco una schermata di risultati tutta sballata come se il virus si fosse sostituito al programma..:muro:

ecco qua i vari log...
grazie mille dell'aiuto

http://wikisend.com/download/913488/report avire.txt --> avira
http://wikisend.com/download/795286/report gmer.txt --> gmer
http://wikisend.com/download/455022/report prevx.log --> prevx


p.s: la scansione di avira è stata fatta solo sulla chiavetta, non sul sistema completo

Il sistema è pulito, salva ciò che devi salvare e rasa la chiavetta.

http://www.filedropper.com/log_4>
questo è il log dopo gmer dovrei avere anch'io un rootkit. non sono riuscita a far partire prevx, neppure scaricandolo con altro nome.
cosa potrei fare adesso?

volevo aggiungere che quelle rare volte che mi sembrava partisse (prevx)mi restituiva dopo poco una schermata di risultati tutta sballata come se il virus si fosse sostituito al programma..:muro:

Ciao, entrambi i log in formato testo .txt (blocco note) grazie per la collaborazione.

ok grazie mille =)

p.s: non rischio di portarmi dietro niente? Mi sono accorto del virus perchè appena connessa la chiavetta ha tentato di installarmi un trojan che avira ha intercettato

ok grazie mille =)

p.s: non rischio di portarmi dietro niente? Mi sono accorto del virus perchè appena connessa la chiavetta ha tentato di installarmi un trojan che avira ha intercettato

Devi inserire la chiavetta tenendo e mantenendo premuto il tasto SHIFT onde evitare l'autoplay.

d'accordo grazie mille della dritta e della disponibilità =)

p.s: complimenti per il forum, sono neoiscritto ma gia in passato ho letto spesso recensioni e topic e devo dire che è ottimo: una vera miniera di informazioni, aiuti e consigli =)

http://www.filedropper.com/log_6
adesso dovrebbe andar bene. grazie

d'accordo grazie mille della dritta e della disponibilità =)

p.s: complimenti per il forum, sono neoiscritto ma gia in passato ho letto spesso recensioni e topic e devo dire che è ottimo: una vera miniera di informazioni, aiuti e consigli =)

Prego, buon proseguimento.

io aspetto vs indicazioni per andare avanti...grazie anticipatamente.:help:

ciao a tutti, ho beccato pure io un'infezione al mbr.
Comunque, vediamo di esporre il tutto il più brevemente e chiaramente possibile! Sono un pò arretrato e uso ancora winxp sp2, ma andiamo con ordine.
Ero su alicesport a leggere una notizia con firefox, quando nella barra delle applicazioni in basso a destra si apre da sola la console java e l'antivirus (Avira antivir) impazzito segnala parecchi virus in entrata. Faccio elimina tutto e sembra tutto tornare alla normalità. Vado avanti a leggere tranquillo e dopo 10 minuti e mi si spegne il pc da solo.
Riaccendo e il bios mi informa che ho un virus nel mbr. Provo ad accedere lo stesso a windows, ma funziona tutto al rallentatore, pc lentissimo con blocchi frequenti. Mi procuro quindi mbr.exe e dalla modalità provvisoria eseguo "mbr.exe -f". Mi dice che ha risolto il problema fixando il mbr. Riavvio e il bios non mi rileva più anomalie, tutto parte come al solito e windows riacquista la sua normale velocità.
Faccio un paio di controllini per sicurezza e vedo che ho beccato pure il simpatico virus "HelpAssistant". Cancello quindi tutte le sue cartelle, cancello l'account windows che aveva creato e riavvio. Non compare più l'account helpassistant! Ottimo penso!
Per sicurezza poi ho:
1)Cancellato il contenuto delle cartelle Temp e Prefetch di windows
2)Ho fatto girare ccleander
3)Ho fatto una scansione con Avg anti-rootkit che non ha trovato nulla
4)Ho fatto una scansione col tool avira antirootkit che non ha trovato nulla
5)Ho fatto una scansione con Cureit che non ha trovato nulla
6)Malware bytes idem: il pc risulta pulito
7)Prevx versione demo non mi trova nulla ma la scansione dura solo 5 minuti (??) prevx.log (http://wikisend.com/download/490408/d.log)
8)E infine ho fatto una scansione completa col mio antivirus, Avira antivir appunto, aggiornato a stamattina ore 10! Risultato: pc pulito


Il pc funziona bene, non sembro essere infetto ma mbr mi rileva ancora l'infezione, questo è il log di mbr:
mbr.txt (http://wikisend.com/download/446818/mbr.txt)

Invece, questo è quanto segnala Gmer, non mi sembra niente di anomalo:
gmer.txt (http://wikisend.com/download/945774/gmer.txt)

E infine hijackthis, tra i processi e le chiavi di registro non vedo nulla di anomalo ma controllate pure voi per sicurezza!
hijackthis.txt (http://wikisend.com/download/950506/hijackthis.txt)

Secondo voi sono infetto?

http://www.filedropper.com/log_6
adesso dovrebbe andar bene. grazie

allego log di mbrrootkit
http://www.filedropper.com/mbr-log
e prevx
http://www.filedropper.com/prevx

resto in attesa di un responso, nel frattempo ho fatto partire il norman.

ciao a tutti, ho beccato pure io un'infezione al mbr.
Comunque, vediamo di esporre il tutto il più brevemente e chiaramente possibile! Sono un pò arretrato e uso ancora winxp sp2, ma andiamo con ordine.
Ero su alicesport a leggere una notizia con firefox, quando nella barra delle applicazioni in basso a destra si apre da sola la console java e l'antivirus (Avira antivir) impazzito segnala parecchi virus in entrata. Faccio elimina tutto e sembra tutto tornare alla normalità. Vado avanti a leggere tranquillo e dopo 10 minuti e mi si spegne il pc da solo.
Riaccendo e il bios mi informa che ho un virus nel mbr. Provo ad accedere lo stesso a windows, ma funziona tutto al rallentatore, pc lentissimo con blocchi frequenti. Mi procuro quindi mbr.exe e dalla modalità provvisoria eseguo "mbr.exe -f". Mi dice che ha risolto il problema fixando il mbr. Riavvio e il bios non mi rileva più anomalie, tutto parte come al solito e windows riacquista la sua normale velocità.
Faccio un paio di controllini per sicurezza e vedo che ho beccato pure il simpatico virus "HelpAssistant". Cancello quindi tutte le sue cartelle, cancello l'account windows che aveva creato e riavvio. Non compare più l'account helpassistant! Ottimo penso!
Per sicurezza poi ho:
1)Cancellato il contenuto delle cartelle Temp e Prefetch di windows
2)Ho fatto girare ccleander
3)Ho fatto una scansione con Avg anti-rootkit che non ha trovato nulla
4)Ho fatto una scansione col tool avira antirootkit che non ha trovato nulla
5)Ho fatto una scansione con Cureit che non ha trovato nulla
6)Malware bytes idem: il pc risulta pulito
7)Prevx versione demo non mi trova nulla ma la scansione dura solo 5 minuti (??) prevx.log (http://wikisend.com/download/490408/d.log)
8)E infine ho fatto una scansione completa col mio antivirus, Avira antivir appunto, aggiornato a stamattina ore 10! Risultato: pc pulito


Il pc funziona bene, non sembro essere infetto ma mbr mi rileva ancora l'infezione, questo è il log di mbr:
mbr.txt (http://wikisend.com/download/446818/mbr.txt)

Invece, questo è quanto segnala Gmer, non mi sembra niente di anomalo:
gmer.txt (http://wikisend.com/download/945774/gmer.txt)

E infine hijackthis, tra i processi e le chiavi di registro non vedo nulla di anomalo ma controllate pure voi per sicurezza!
hijackthis.txt (http://wikisend.com/download/950506/hijackthis.txt)

Secondo voi sono infetto?

Ciao, ripeti scansione con Gmer prestando attenzione alle istruzioni in Guida ed allega il log insieme a quello di Prevx, esattamente come prevede la prima fase.

allego log di mbrrootkit
http://www.filedropper.com/mbr-log
e prevx
http://www.filedropper.com/prevx

resto in attesa di un responso, nel frattempo ho fatto partire il norman.

Allega il log del Norman e successivamente passa a CureIt.

Ciao, ripeti scansione con Gmer prestando attenzione alle istruzioni in Guida ed allega il log insieme a quello di Prevx, esattamente come prevede la prima fase.

Ah ok grazie chillout.

Ecco qui il log di gmer: gmer.txt (http://wikisend.com/download/203042/gmer.txt)
E questo è prevx, ma l'avevo già postato: prevx.log (http://wikisend.com/download/490408/d.log)

Può essere che mbr mi generi un falso positivo perchè nello stesso hard disk ho anche linux? Il mio hard disk è diviso così: 1 parte windows xp, 1 parte linux, 1 parte swap che serve a linux. Il grub (bootloader) di linux si occupa di far partire, a scelta, i 2 sistemi operativi. Potrebbe essere quello che fa impazzire mbr?

Comunque ieri sera ho letto un'altra notizia su alicesport e appena sono entrato sulla pagina l'antivirus mi ha segnato 3 virus, ho fatto elimina e in teoria li ho eliminati, però non può essere un caso secondo me...nelle pagine di alicesport qualcuno si diverte ad inserire malware!

a me è sembrato non ci fosse nulla. voi che dite?
http://www.filedropper.com/normancleanerlog

http://www.filedropper.com/cureit

spero di aver caricato bene il log di cure it.
non ho capito alcune cose: per curare il mio rootkit ha fatto riavviare il sistema quindi tutti gli altri virus individuati sono stati messi in quarantena. adesso devo eliminarli io manualmente dalla quarantena oppure devo dare un'altra scansione al sistema?
giusto per curiosità volevo segnalare che prevx si è infettato e mi ha portato dentro un bel backdoor.trojan!!:cry:

che dite?

Ah ok grazie chillout.

Ecco qui il log di gmer: gmer.txt (http://wikisend.com/download/203042/gmer.txt)
E questo è prevx, ma l'avevo già postato: prevx.log (http://wikisend.com/download/490408/d.log)

Può essere che mbr mi generi un falso positivo perchè nello stesso hard disk ho anche linux? Il mio hard disk è diviso così: 1 parte windows xp, 1 parte linux, 1 parte swap che serve a linux. Il grub (bootloader) di linux si occupa di far partire, a scelta, i 2 sistemi operativi. Potrebbe essere quello che fa impazzire mbr?

Comunque ieri sera ho letto un'altra notizia su alicesport e appena sono entrato sulla pagina l'antivirus mi ha segnato 3 virus, ho fatto elimina e in teoria li ho eliminati, però non può essere un caso secondo me...nelle pagine di alicesport qualcuno si diverte ad inserire malware!

Dai log non emerge nulla, suggerisco scansione di controllo con CureIt.

http://www.filedropper.com/cureit

spero di aver caricato bene il log di cure it.
non ho capito alcune cose: per curare il mio rootkit ha fatto riavviare il sistema quindi tutti gli altri virus individuati sono stati messi in quarantena. adesso devo eliminarli io manualmente dalla quarantena oppure devo dare un'altra scansione al sistema?
giusto per curiosità volevo segnalare che prevx si è infettato e mi ha portato dentro un bel backdoor.trojan!!:cry:

che dite?

Normale che ti abbia fatto riavviare per curare l'infezione, per quanto concerne i virus in quarantena non c'è nulla di cui preoccuparsi non possono nuocere.

Prevx non è infetto, trattasi di una errata rilevazione da parte di CureIt

PS: riallega il log in quanto è incompleto

Dai log non emerge nulla, suggerisco scansione di controllo con CureIt.

non mi trova nessuna infezione nemmeno cureit.
Solo mbr.exe mi segnala infezioni....credo che per sicurezza formatterò tutto, dopo 4 anni un pò di tabula rasa non fa di certo male!
Grazie per la disponibilità!

non mi trova nessuna infezione nemmeno cureit.
Solo mbr.exe mi segnala infezioni....credo che per sicurezza formatterò tutto, dopo 4 anni un pò di tabula rasa non fa di certo male!
Grazie per la disponibilità!

Il log può rimanere "sporco", se decidi di formattare è necessario farlo a basso livello.

Ho cancellato dalla quarantena tuii i files. ho avviato la scansione completa e ha già trovato dell'altro.
la cpu è sempre a 100 ahimè.
allego di nuovo il log.
http://www.filedropper.com/cureit_1

Ho cancellato dalla quarantena tuii i files. ho avviato la scansione completa e ha già trovato dell'altro.
la cpu è sempre a 100 ahimè.
allego di nuovo il log.
http://www.filedropper.com/cureit_1

Come detto in precedenza i files in quarantena non possono nuocere, quindi per scrupolo è bene non eliminarli.

Il log di CureIt è pulito

Statistiche delle Scansioni
-----------------------------------------------------------------------------
Oggetti controllati: 266
Trovati oggetti Infetti: 0
Trovato Oggetti modificati: 0
Trovato oggetti Sospetti: 0
Trovato Adware: 0
Trovato Dialer: 0
Trovato Joke: 0
Trovato Riskware: 0
Trovato Hacktool: 0
Oggetti curati: 0
Oggetti cancellati: 0
Oggetti rinominati: 0
Oggetti spostati: 0
Oggetti ignorati: 0
Velocità di scansione: 133 Kb/s
Durata scansione: 00:03:20

mi domando quindi che cosa ha trovato :)

Il log può rimanere "sporco", se decidi di formattare è necessario farlo a basso livello.

Appena ho una giornata libera mi ci metto dietro. Non formatto solamente, distruggo proprio tutte le partizioni e poi le ricreo.
Ho ancora il buon fdisk che può fare al caso mio...e poi nell'installazione di windows xp quando devo formattare il disco faccio formattazione completa e non veloce.

Secondo te è un rischio se formatto solo il C: lasciando stare il secondo hard disk da 20gb dove ci sono un pò di dati, non di sistema, ma solo file video, qualche documento e vari archivi .zip/.rar ?

Come detto in precedenza i files in quarantena non possono nuocere, quindi per scrupolo è bene non eliminarli.

Il log di CureIt è pulito



mi domando quindi che cosa ha trovato :)

ieri stupidamente ho fatto partire altre due vote lo scan che poi ho interrotto, per questo motivo dal log non si vedono i file. comunque avevo il Master Boot Record HDD2 infettato da BackDoor.MaosBoot.35. nonostante ciò come dicevo prima la cpu è sempre a 100.spero dopo la scansione di capirci qualcosa.

ieri stupidamente ho fatto partire altre due vote lo scan che poi ho interrotto, per questo motivo dal log non si vedono i file. comunque avevo il Master Boot Record HDD2 infettato da BackDoor.MaosBoot.35. nonostante ciò come dicevo prima la cpu è sempre a 100.spero dopo la scansione di capirci qualcosa.

Se è il ciclo idle ad occupare il 90-100% della cpu è una cosa normale

Ciao a tutti. Ho problemi al pc da un mese credevo fosse fuso l hd ma in realta ho scoperto grazie a voi ke era colpa del rootkit mbr .
Allora io ho eseguito le prime 2 fasi x far si ke il mio pc funzionasse bene!ma nella procedura del Stealth MBR rootkit detector risulta ancora almeno credo .allego i Log.Grazie
http://www.mediafire.com/file/oizztvmljui/gmer log.log
http://www.mediafire.com/file/tzngojyt2oy/Prevex file log.log
http://www.mediafire.com/file/wyt3z1wktjj/mbr.log
http://www.mediafire.com/file/kuqzimmnnzf/NFix_2010-04-26_13-46-35.log

Ciao a tutti. Ho problemi al pc da un mese credevo fosse fuso l hd ma in realta ho scoperto grazie a voi ke era colpa del rootkit mbr .
Allora io ho eseguito le prime 2 fasi x far si ke il mio pc funzionasse bene!ma nella procedura del Stealth MBR rootkit detector risulta ancora almeno credo .allego i Log.Grazie
http://www.mediafire.com/file/oizztvmljui/gmer log.log
http://www.mediafire.com/file/tzngojyt2oy/Prevex file log.log
http://www.mediafire.com/file/wyt3z1wktjj/mbr.log
http://www.mediafire.com/file/kuqzimmnnzf/NFix_2010-04-26_13-46-35.log

Ciao, la Guida in prima pagina prevede 2 log di Prevx pre e post infezione.

ciao , anch'io mi sono beccato questo fastidio .
da circa un mese il mio antivirus Avira all'inizio dello scan mi segnala che sia il record di avvio dell'hard disk 0 che di F contengono il codice del virus Boo /Sinowal. E
sto seguendo la guida posta in prima pagina e linko sia il controllo con gmer
http://www.filedropper.com/jj_2
sia il controllo con Prevx http://www.filedropper.com/hh_3
le tre minacce evidenziate in rosso da Prevx sono di quelle la cui rimozione si può fare solo con la licenza del programma . per cui aspetto vostri consigli su come procedere .
grazie mille !

Ciao, la Guida in prima pagina prevede 2 log di Prevx pre e post infezione.

Ciao scusa ma il pre infezione nn ce l ho piu' sono stata disattenta con la guida scusa ancora.spero ke puoi aiutarmi lo stesso.non capisco come mai nel Stealth MBR rootkit detector mi scrive cosi:

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x025429800
malicious code @ sector 0x025429803 !
PE file found in sector at 0x025429819 !

sono ancora infettata quindi.
ora sto provando a scansionare con Dr.Web CureIt
Grazie e scusa ancora per la mia disattenzione

ciao , anch'io mi sono beccato questo fastidio .
da circa un mese il mio antivirus Avira all'inizio dello scan mi segnala che sia il record di avvio dell'hard disk 0 che di F contengono il codice del virus Boo /Sinowal. E
sto seguendo la guida posta in prima pagina e linko sia il controllo con gmer
http://www.filedropper.com/jj_2
sia il controllo con Prevx http://www.filedropper.com/hh_3
le tre minacce evidenziate in rosso da Prevx sono di quelle la cui rimozione si può fare solo con la licenza del programma . per cui aspetto vostri consigli su come procedere .
grazie mille !

Ciao, i links ai log non sono corretti, in caso di problemi con file dropper puoi utilizzare http://wikisend.com/

Ciao scusa ma il pre infezione nn ce l ho piu' sono stata disattenta con la guida scusa ancora.spero ke puoi aiutarmi lo stesso.non capisco come mai nel Stealth MBR rootkit detector mi scrive cosi:

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x025429800
malicious code @ sector 0x025429803 !
PE file found in sector at 0x025429819 !

sono ancora infettata quindi.
ora sto provando a scansionare con Dr.Web CureIt
Grazie e scusa ancora per la mia disattenzione

É successa la stessa cosa pure a me, e ora il mbr mi rivela un'infezione uguale identica alla tua.
Probabilmente non siamo più infetti ed è rimasto solamente "sporco" il log di mbr.
Per sicurezza io ho fatto una scansione con cureit e con vari tool anti rootkit ma non mi ha trovato nulla, il pc funziona alla velocità di sempre e non ci sono processi strani, quindi mi ritengo non infetto.
Leggiti la guida "disinfezione per infetti" e esegui tutti i controlli che ci sono scritti.
Se non trova niente non hai il pc infetto

Ciao scusa ma il pre infezione nn ce l ho piu' sono stata disattenta con la guida scusa ancora.spero ke puoi aiutarmi lo stesso.non capisco come mai nel Stealth MBR rootkit detector mi scrive cosi:

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x025429800
malicious code @ sector 0x025429803 !
PE file found in sector at 0x025429819 !

sono ancora infettata quindi.
ora sto provando a scansionare con Dr.Web CureIt
Grazie e scusa ancora per la mia disattenzione

É successa la stessa cosa pure a me, e ora il mbr mi rivela un'infezione uguale identica alla tua.
Probabilmente non siamo più infetti ed è rimasto solamente "sporco" il log di mbr.
Per sicurezza io ho fatto una scansione con cureit e con vari tool anti rootkit ma non mi ha trovato nulla, il pc funziona alla velocità di sempre e non ci sono processi strani, quindi mi ritengo non infetto.
Leggiti la guida "disinfezione per infetti" e esegui tutti i controlli che ci sono scritti.
Se non trova niente non hai il pc infetto

Prima allega il log di CureIt

Ciao, i links ai log non sono corretti, in caso di problemi con file dropper puoi utilizzare http://wikisend.com/

ok , ecco gmer : http://wikisend.com/download/928986/jj.log
e prevx : http://wikisend.com/download/946398/hh.log
grazie

ok , ecco gmer : http://wikisend.com/download/928986/jj.log
e prevx : http://wikisend.com/download/946398/hh.log
grazie

Dai log non emerge nulla, per quanto concerne c:\windows\system32\acs.exe è legittiomo appartiene alla scheda WiFi.

Allega i log inerenti la Seconda e Terza fase.

Prima allega il log di CureIt

Ciao ecco il log di CureIt:
http://www.mediafire.com/file/ojtkwotjjgw/cureit filtrato.txt

La cosa che non capisco perchè m dice scansione annullata dall utente? io ho lasciato il pc acceso e a fare la scansione e ho as<pettato che finisse.
ciao e Grazie

Ciao ecco il log di CureIt:
http://www.mediafire.com/file/ojtkwotjjgw/cureit filtrato.txt

La cosa che non capisco perchè m dice scansione annullata dall utente? io ho lasciato il pc acceso e a fare la scansione e ho as<pettato che finisse.
ciao e Grazie

Dovremmo essere ok.

Dovremmo essere ok.

Ciao e grazie.Sicuro che posso stare tranquilla?perchè uso il pc per andare su sito della banca, e ho paura ke possa succedere qualcosa d poco 'carino'. e sul log di Stealth MBR rootkit detector risulta ancora questo:

copy of MBR has been found in sector 0x025429800
malicious code @ sector 0x025429803 !
PE file found in sector at 0x025429819 !

Grazie ancora ciao

Ciao e grazie.Sicuro che posso stare tranquilla?perchè uso il pc per andare su sito della banca, e ho paura ke possa succedere qualcosa d poco 'carino'. e sul log di Stealth MBR rootkit detector risulta ancora questo:

copy of MBR has been found in sector 0x025429800
malicious code @ sector 0x025429803 !
PE file found in sector at 0x025429819 !

Grazie ancora ciao

Per quanto concerne il MBR rootkit dai log non merge nulla, per il discorso Remote Banking dipende dal tuo parco software di sicurezza (in questa situazione non ti ha protetto adeguatamente) e dall'utilizzo che fai del PC.

PS: il log può rimanere "sporco"

Per quanto concerne il MBR rootkit dai log non merge nulla, per il discorso Remote Banking dipende dal tuo parco software di sicurezza (in questa situazione non ti ha protetto adeguatamente) e dall'utilizzo che fai del PC.

PS: il log può rimanere "sporco"

Grazie ancora per il tuo aiuto!provvedero con le vostre guide a rendere il mio pc piu' protetto!Grazie ancora :)

Dai log non emerge nulla, per quanto concerne c:\windows\system32\acs.exe è legittiomo appartiene alla scheda WiFi.

Allega i log inerenti la Seconda e Terza fase.

ecco i log mbr http://wikisend.com/download/683116/mbr.log
nfix http://wikisend.com/download/467190/NFix_2010-04-27_13-28-04.log
e cureit filtrato http://wikisend.com/download/558480/cureit%20filtrato.txt.

quando ho fatto cureit , dopo la rapida mi ha chiesto di riavviare . riavviato , ho rifatto la rapida e poi la completa . in entrambe le circostanze un paio di virus sono stati segnalati contemporaneamente da antivir avira .

Salve a tutti,
mi sono appena registrato, quindi mi scuso in anticipo se commetto qualche errore nell utilizzo del forum, IMPARERO'!

Ho un problema.
ESET, NOD32 mi rileva nel disco fisico nel mbr settore 0 il virus TSR.BOOT.
Premetto che ho gia letto milioni di forum e usato tutti i programmi, ma il virus non si toglie. Ho pensato di usare la console di ripristino facendo fixmbr, ma siccome ho un dual bot con xp e windows 7 64bit temo che mi cancelli le partizioni.
Il mio computer non ha l accesso ad internet perche lo uso per lavorare, ma sfortunatamente l ho beccato installando sicuramente un prg con il virus nascosto e la cosa bella che non so quale sia.

Chiedo gentilmente l aiuto di qualcuno di voi che sicuramente ne sa molto piu di me.
vi ringrazio, sono pronto a seguire le vostre istruzioni dal principio.
arrivederci.

Log rimosso, non conforme alle Regole di sezione.

Salve a tutti,
mi sono appena registrato, quindi mi scuso in anticipo se commetto qualche errore nell utilizzo del forum, IMPARERO'!

Ho un problema.
ESET, NOD32 mi rileva nel disco fisico nel mbr settore 0 il virus TSR.BOOT.
Premetto che ho gia letto milioni di forum e usato tutti i programmi, ma il virus non si toglie. Ho pensato di usare la console di ripristino facendo fixmbr, ma siccome ho un dual bot con xp e windows 7 64bit temo che mi cancelli le partizioni.
Il mio computer non ha l accesso ad internet perche lo uso per lavorare, ma sfortunatamente l ho beccato installando sicuramente un prg con il virus nascosto e la cosa bella che non so quale sia.

Chiedo gentilmente l aiuto di qualcuno di voi che sicuramente ne sa molto piu di me.
vi ringrazio, sono pronto a seguire le vostre istruzioni dal principio.
arrivederci.

devi postare i log richiesti dalla guida e allegarli secondo le modalità, grazie

Come dice la guida posto il log di gmer

questo log pero è del computer portatile non del fisso a cui sono affetto dal tsr boot virus.

mentre aspetto la scansione completa posto il log di quest altro computer. grazie

Log rimosso non conforme alle Regole di sezione.

Chiedo scusa qualcuno mi puo controllare il log di gmer? che ho postato prima?

vi ringrazioe

ecco i log mbr http://wikisend.com/download/683116/mbr.log
nfix http://wikisend.com/download/467190/NFix_2010-04-27_13-28-04.log
e cureit filtrato http://wikisend.com/download/558480/cureit%20filtrato.txt.

quando ho fatto cureit , dopo la rapida mi ha chiesto di riavviare . riavviato , ho rifatto la rapida e poi la completa . in entrambe le circostanze un paio di virus sono stati segnalati contemporaneamente da antivir avira .

Scarica questo file http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovare in C:\TDSSKiller..................log.txt

Ciao riprendo qui.
Allora:
Tdsskiller individua lo stesso service frblsf (detectato da gmer) e mi chiede di cancellarlo tramite comando delete.
Posso fidarmi e quindi dare il comando di cancellazione?

il log: http://wikisend.com/download/538186/TDSSKiller.2.2.8.1_02.05.2010_09.41.57_log.txt

Intanto allego anche il log completo dello scan di Gmer (che ho rifatto riconfigurando il ripristino) e che è durato 2h!!
il log: http://wikisend.com/download/442816/gmerlog.txt

Ho già scaricato Prevx, ma visti i tempi di scan di Gmer (e dovendo fare prevx due volte), forse è meglio che aspetto una risposta per tdsskiller.

Ciao riprendo qui.
Allora:
Tdsskiller individua lo stesso service frblsf (detectato da gmer) e mi chiede di cancellarlo tramite comando delete.
Posso fidarmi e quindi dare il comando di cancellazione?

il log: http://wikisend.com/download/538186/TDSSKiller.2.2.8.1_02.05.2010_09.41.57_log.txt

Intanto allego anche il log completo dello scan di Gmer (che ho rifatto riconfigurando il ripristino) e che è durato 2h!!
il log: http://wikisend.com/download/442816/gmerlog.txt

Ho già scaricato Prevx, ma visti i tempi di scan di Gmer (e dovendo fare prevx due volte), forse è meglio che aspetto una risposta per tdsskiller.

Il log di TDSSkiller è incompleto, riallegalo.

Scarica questo file http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovare in C:\TDSSKiller..................log.txt


ho lanciato il programma la prima volta da dentro la cartella zip e questo è il log http://wikisend.com/download/504660/TDSSKiller.2.2.8.1_02.05.2010_16.42.26_log.txt , la seconda volta estraendolo http://wikisend.com/download/529182/TDSSKiller.2.2.8.1_02.05.2010_16.59.33_log.txt.
Avrei anche scaricato una versione piu aggiornata di Cureit e fatto lo scan , in cui mi ha trovato meno virus ( 5 ) rispetto all'ultima volta (12) , ma non sò dove trovare il log e quindi non posso mostrartelo .
sempre grazie .

Il log di TDSSkiller è incompleto, riallegalo.

Credo che sia incompleto in quanto alla domanda: 'type delete to delete it' io per ora non l'ho fatto ed il prog non avanza. Posso dare il comando delete tranquillamente o quale comando alternativo per proseguire?

Credo che sia incompleto in quanto alla domanda: 'type delete to delete it' io per ora non l'ho fatto ed il prog non avanza. Posso dare il comando delete tranquillamente o quale comando alternativo per proseguire?

Procedi così visto che i problemi sono 2

1 Scarica questo software http://www.surfright.nl/en/hitmanpro lancia la scansione, trovando tracce dell'infezione ti consentirà la rimozione gratutita

2 ComboFix - Download (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Doppio click su ComboFix.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza

Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt

3 Fai scansione completa con DrWeb CureIt eattamanete come indicato al Punto 5 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

Riepilogo log da allegare:
Hitman Pro
ComboFix
CureIt

Procedi così visto che i problemi sono 2

1 Scarica questo software http://www.surfright.nl/en/hitmanpro lancia la scansione, trovando tracce dell'infezione ti consentirà la rimozione gratutita

2 ComboFix - Download (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Doppio click su ComboFix.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza

Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt

3 Fai scansione completa con DrWeb CureIt eattamanete come indicato al Punto 5 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

Riepilogo log da allegare:
Hitman Pro
ComboFix
CureIt

Intanto grazie per la pazienza. Ho lanciato Hitman che si è concluso positivamente con l'eliminazione di diversi trojan mentre ha fallito sul RootKit. ma non trovo il log!! (l'exe di Hitman ha prodotto i file .key e .lic e nient'altro con nome hitman o associabile - ho fatto la scansione con -cerca- in tutto il disco)
Poi combofix (una tortura quando chiedeva il riavvio :-))...) e questo è il log:
http://wikisend.com/download/926486/ComboFix.txt

Visto il problema col log di Hitman ho anticipato il post, nel pomeriggio parto con CureIt. Se devo rifare Hitman segnalamelo.
Grazie ancora.

Fatto anche DrWeb che non ha segnalato infezioni
Il log:
http://wikisend.com/download/585278/cureit.txt

Riattivo la config sistema?

Segnalo questo: ho cercato di copiare l'eseguibile di tdsskiller in un drive esterno ma l'operazione non riesce con la segnalazione: ACCESSO NEGATO verificare se il disco è pieno (NO) o il file è attualmente in uso Va disinstallato?

Fatto anche DrWeb che non ha segnalato infezioni
Il log:
http://wikisend.com/download/585278/cureit.txt

Riattivo la config sistema?

Segnalo questo: ho cercato di copiare l'eseguibile di tdsskiller in un drive esterno ma l'operazione non riesce con la segnalazione: ACCESSO NEGATO verificare se il disco è pieno (NO) o il file è attualmente in uso Va disinstallato?

Sicuro di aver fatto scansione completa con CureIt?

Per quanto concerne HitMan Pro ti consente di salvare il file di log in formato .xml, comunque da Impostazioni - Storia puoi ricavare cosa è stato eliminato

Allega nuovo log di Gmer :)

OK ha installato ora mi chiede di riavviare per rendere effettivi etc. Devo riavviare per far proseguire gmer o posso bypassare e riavvio dopo?

Ho rilanciato Gmer ma ad un certo punto il computer si è riavviato ed ora sta caricando non meglio precisati aggiornamenti senza aver chiesto nulla. E' normale?

Si e no, dipende dagli aggiornamenti.

Ok tutti aggiornamenti di protezione windows. Almeno apparentemente :-))))

OK ha installato ora mi chiede di riavviare per rendere effettivi etc. Devo riavviare per far proseguire gmer o posso bypassare e riavvio dopo?

Per la precisione (questo è il mio dubbio), Gmer è terminato (non vedo un processo attivo con quel nome) ma allora DOV'E' il LOG??? (sigh!!-devo rifarlo?) oppure è ancora attivo?

Ho riavviato e rilanciato Gmer. Azz! Speriamo che questa volta arrivi in fondo....

ho lanciato il programma la prima volta da dentro la cartella zip e questo è il log http://wikisend.com/download/504660/TDSSKiller.2.2.8.1_02.05.2010_16.42.26_log.txt , la seconda volta estraendolo http://wikisend.com/download/529182/TDSSKiller.2.2.8.1_02.05.2010_16.59.33_log.txt.
Avrei anche scaricato una versione piu aggiornata di Cureit e fatto lo scan , in cui mi ha trovato meno virus ( 5 ) rispetto all'ultima volta (12) , ma non sò dove trovare il log e quindi non posso mostrartelo .
sempre grazie .

up

Il magrissimo log di gmer:
http://wikisend.com/download/447024/gmerlog.txt
E' possibile?(circa 30 minuti di analisi con tutto col segno di spunta)

ho sempre il problema tdsskiller che sembra sia attivo seppur non apparendo tra i processi. Sia il file .exe che il .zip (?) si rifiutano di farsi copiare segnalando il programma in attività. Che faccio li cancello (ci riesco?)

up

Come indicato in Guida

Dopo aver terminato la scansione allegare il log per il controllo che trovate in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb

Il magrissimo log di gmer:
http://wikisend.com/download/447024/gmerlog.txt
E' possibile?(circa 30 minuti di analisi con tutto col segno di spunta)

ho sempre il problema tdsskiller che sembra sia attivo seppur non apparendo tra i processi. Sia il file .exe che il .zip (?) si rifiutano di farsi copiare segnalando il programma in attività. Che faccio li cancello (ci riesco?)

Il log di Gmer è ok, per quanto concerne TDSSKiller basta cestinare il tool.

Grazie!!
Eliminati i tdsskiller.
Però mentre ero a cenare mi si è riavviato da solo (sigh!).
allora ho guardato i processi attivi e per pochi secondi era attivo: wmlprvse.exe
che da google pare un trojan ...
mi resta il dubbio che fosse wmiprvse.exe (ma è sparito subito e non ho avuto il tempo di controllare)
Ho cercato il file con la funzione cerca ma nulla....
Che faccio, ignoro?

Grazie!!
Eliminati i tdsskiller.
Però mentre ero a cenare mi si è riavviato da solo (sigh!).
allora ho guardato i processi attivi e per pochi secondi era attivo: wmlprvse.exe
che da google pare un trojan ...
mi resta il dubbio che fosse wmiprvse.exe (ma è sparito subito e non ho avuto il tempo di controllare)
Ho cercato il file con la funzione cerca ma nulla....
Che faccio, ignoro?

Come faccio a saperlo? :)

Inizia con l'aggiornare il SO al SP3

Ho lanciato siw e guardato i processi attivi. In parallelo con il task manager.
Sono apparse due copie di wmiprvse.exe su siw mentre in quel momento (?) solo una era appena apparsa sul task manager (mi vien da pensare provocate dall'avvio di siw stesso). Poi in breve sono scomparse.
Morale avevo visto male io... non era wml.....
In autorun SIW mi segnala una chiave di Hitman.pro è possibile eliminarla?

In autorun SIW mi segnala una chiave di Hitman.pro è possibile eliminarla?

Non c'è motivo, come detto in precedenza aggiorna il SO al SP3 e segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao Chill-Out senti sono ancora io scusami se mi faccio sentire ora ma ho avuto da fare in questi giorni ti ricapitolo il mio problema alle volte quando apro internet explore la cpu mi va al max e la navigazione risulta lenta ti ho gia allegato il loh di hij ma te lo rimetto

hijackthis.log (http://wikisend.com/download/525482/hijackthis.log)

mi dicesti di inserire anche i log di gmer eccolo

Gmer -log.txt (http://wikisend.com/download/462512/Gmer -log.txt)

e di prevx solo che di questo sono riuscito a creare solo il log pre-infezione infatt mi ha trovato un file dannoso Mirc.exe ma è un noto programma di chat irc bo non saprei cmq il log post infezione non sono riuscito a crearlo perche prevx mi chiede la licenza per pulire questo file poi sinceramente mi sono fermato perche non sapevo cosa fare fammi sapere e ti ringrazio in anticipio per una tua risposta

prevx-pre infezione.log (http://wikisend.com/download/907476/prevx-pre infezione.log)

Non c'è motivo, come detto in precedenza aggiorna il SO al SP3 e segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ottimo grazie.

Ciao Chill-Out senti sono ancora io scusami se mi faccio sentire ora ma ho avuto da fare in questi giorni ti ricapitolo il mio problema alle volte quando apro internet explore la cpu mi va al max e la navigazione risulta lenta ti ho gia allegato il loh di hij ma te lo rimetto

hijackthis.log (http://wikisend.com/download/525482/hijackthis.log)

mi dicesti di inserire anche i log di gmer eccolo

Gmer -log.txt (http://wikisend.com/download/462512/Gmer -log.txt)

e di prevx solo che di questo sono riuscito a creare solo il log pre-infezione infatt mi ha trovato un file dannoso Mirc.exe ma è un noto programma di chat irc bo non saprei cmq il log post infezione non sono riuscito a crearlo perche prevx mi chiede la licenza per pulire questo file poi sinceramente mi sono fermato perche non sapevo cosa fare fammi sapere e ti ringrazio in anticipio per una tua risposta

prevx-pre infezione.log (http://wikisend.com/download/907476/prevx-pre infezione.log)

ci 6?

ci 6?

Il mio reply è datato 26.04 (http://www.hwupgrade.it/forum/showpost.php?p=31762632&postcount=12718), alleghi i log richiesti il 04.05 un pochino di pazienza è gradita.

Ripeti scansione con gmer prestando attenzione alle istruzioni in prima pagina

Il mio reply è datato 26.04 (http://www.hwupgrade.it/forum/showpost.php?p=31762632&postcount=12718), alleghi i log richiesti il 04.05 un pochino di pazienza è gradita.

Ripeti scansione con gmer prestando attenzione alle istruzioni in prima pagina

ho fatto i log come c'e' scritto in prima pagina e sono quelli che ho inserito

ho fatto i log come c'e' scritto in prima pagina e sono quelli che ho inserito

Ok, dai log non memrge nulla.

Ok, dai log non memrge nulla.

quindi tutto ok nessun virus?

quindi tutto ok nessun virus?

Esatto, dai log non emerge nulla.

Esatto, dai log non emerge nulla.

ok grazie

ok grazie

Prego

chiedo anticipatamente scusa per questo post appena ho conferma di infezione parto dal primo post e seguo la guida passo passo.
stavo seguendo la guida alla disinfezione e sono al passo per la scansione di malwarbyte e mi ha rilevato 2 rootkit (almeno credo)

i 2 file rilevati (delete on reboot) non me li rimuove (fatto reboot e risconsionato) in piu al reboot mi si apre una finestra che mi dice che sono in modalita di recupero (o simile) e mi apre la finestra si msconfig e' normale?
ps prometto di essere piu preciso


Log rimosso non conforme alle Regole di sezione

chiedo anticipatamente scusa per questo post appena ho conferma di infezione parto dal primo post e seguo la guida passo passo.
stavo seguendo la guida alla disinfezione e sono al passo per la scansione di malwarbyte e mi ha rilevato 2 rootkit (almeno credo)

i 2 file rilevati (delete on reboot) non me li rimuove (fatto reboot e risconsionato) in piu al reboot mi si apre una finestra che mi dice che sono in modalita di recupero (o simile) e mi apre la finestra si msconfig e' normale?
ps prometto di essere piu preciso


Log rimosso non conforme alle Regole di sezione


in sostanza hai tracce di un adaware che sfrutta il browser per uscire su internet, io fossi in te abbandonerei IE per preferire Firefox, disinstallerei sunbelt per preferire singoli prodotti che sono decisamente più efficaci quindi Avira Free e un firewall a scelta tra Comodo-Firewall o OnlineArmor-free, e poi segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

ovviamente in un nuovo thread :)

Come indicato dal collega il nuovo Thread lo devi aprire in Sezione idonea http://www.hwupgrade.it/forum/forumdisplay.php?f=125 qui sei OT.

richiedo scusa per l'ot ma avendo durante le procedure segnalate in quel topic (che sto seguendo) ho rilevato un probabile rootkit (olmeno cosi me lo rilevano malwarbyte e Gmer e chiedevo maggiori info su quei 2 file .
riposto in quel topi scusa ancora

CIAO a tutti, sono nuovo, credo di il problema che voi state trattando.Ho seguito la vostra guida ma credo di aver solamente pasticciato. Ho già effettuato la fase seconda di riparazione, ma senza esito e credo complicando la possibilità x voi di aiutarmi. Credo di avere il problema perchè anche se Gmer non lo ha rilevato e Prevx neppure, lo stesso prevx attivo come guardia, ogni tanto mi segnala che ha riscontrato il problema ma quando gli dico di ripararlo mi chiede di fare la scansione completa, acconsento ma non lo rileva più. Inoltre ho usato combofix che dal log mi sembra dica ha riparato quel problema ( ma di fatto c'è ancora). Ho provato a cancellare l'utente Helpassistant e le relative cartelle ma si riformano.
Il sistema operativo è windows media center, service pack 3 installato in c.Vi allego i file attuali con il problema attivo ( utente Helpassistant attivo e pure le relative cartelle.Il pc è lento in internet, x spegnersi ci mette una vita e non mi va in stand-by.
Spero possiate aiutarmi, grazie comunque anticipatamente.
http://wikisend.com/download/944622/Gmer.txt
http://wikisend.com/download/939294/Prevx06-05-2010.txt
http://wikisend.com/download/484962/Combo_06_05_2010_ore_06_06log.txt
http://wikisend.com/download/954688/NFix_2010-05-06_08-58-42.log

Scusa ma ho impiegato un pò a capire come allegare

CIAO a tutti, sono nuovo, credo di il problema che voi state trattando.Ho seguito la vostra guida ma credo di aver solamente pasticciato. Ho già effettuato la fase seconda di riparazione, ma senza esito e credo complicando la possibilità x voi di aiutarmi. Credo di avere il problema perchè anche se Gmer non lo ha rilevato e Prevx neppure, lo stesso prevx attivo come guardia, ogni tanto mi segnala che ha riscontrato il problema ma quando gli dico di ripararlo mi chiede di fare la scansione completa, acconsento ma non lo rileva più. Inoltre ho usato combofix che dal log mi sembra dica ha riparato quel problema ( ma di fatto c'è ancora). Ho provato a cancellare l'utente Helpassistant e le relative cartelle ma si riformano.
Il sistema operativo è windows media center, service pack 3 installato in c.Vi allego i file attuali con il problema attivo ( utente Helpassistant attivo e pure le relative cartelle.Il pc è lento in internet, x spegnersi ci mette una vita e non mi va in stand-by.
Spero possiate aiutarmi, grazie comunque anticipatamente

Perchè non alleghi i log inerenti la prima fase?

Scusa ho finito ora una scansione con DR. Web può essere utile?

Se devo fare qualcosa dimmi vorrei risolvere il problema, è molto pesante, grazie!

Allego il text di Dr.Web ma non mi sembra dir nulla di interessante

http://wikisend.com/download/970744/DrWeb.txt

Scusa ho finito ora una scansione con DR. Web può essere utile?

Se devo fare qualcosa dimmi vorrei risolvere il problema, è molto pesante, grazie!

Allego il text di Dr.Web ma non mi sembra dir nulla di interessante

http://wikisend.com/download/970744/DrWeb.txt

Il log di DrWeb è incompleto, comunque servirebbero questi http://www.hwupgrade.it/forum/showpost.php?p=31878620&postcount=2842

Ciao scusa il ritardo ma il mio computer è diventato una lumaca .

Ti allego i txt delle due scansione x la prima fase, appena completate.

http://wikisend.com/download/490408/Gmer 08-05-2010.log

http://wikisend.com/download/168966/Prevx 08-05-2010.txt

Se puoi vedi se c'è qualcosa da fare, grazie.

scusate,generalmente dove vengono creare le cartelle dove copia alcuni file che potrebbero essere inviati?
Grazie

Ciao scusa il ritardo ma il mio computer è diventato una lumaca .

Ti allego i txt delle due scansione x la prima fase, appena completate.

http://wikisend.com/download/490408/Gmer 08-05-2010.log

http://wikisend.com/download/168966/Prevx 08-05-2010.txt

Se puoi vedi se c'è qualcosa da fare, grazie.

Non emerge nulla, fai girare Stealth MBR rootkit detector come indicato nella Seconda Fase ed allega il log.

Ciao chill, scusa ma vado lento con le scansioni.

Ti allego i file richiestimi

http://wikisend.com/download/470844/mbr 09-05-2010.log

http://wikisend.com/download/574498/NFix_2010-05-09_23-30-57.log

Poi volevo diri che mbr.exe c'è stato una volta che mi ha rilevato il problema, ma non mi ha detto che lo aveva risolto dopo che housato il comando mbr.exe -f. Inoltre quand combofix mi ha detto che era tutto risolto, ho cancellato l'utente e la cartelle, ma poi si sno ripresentati.
Ti allego le foto di come si presentano ora:

http://wikisend.com/download/632244/Cartella.bmp

http://wikisend.com/download/444964/Utente.bmp

La riformazione di questi 2 poblemi mi fa pensare che il male non è stato sdradicato o almeno non del tutto.
Spero possa iutarmi, grazie sempre.

Ciao chill, scusa ma vado lento con le scansioni.

Ti allego i file richiestimi

http://wikisend.com/download/470844/mbr 09-05-2010.log

http://wikisend.com/download/574498/NFix_2010-05-09_23-30-57.log

Poi volevo diri che mbr.exe c'è stato una volta che mi ha rilevato il problema, ma non mi ha detto che lo aveva risolto dopo che housato il comando mbr.exe -f. Inoltre quand combofix mi ha detto che era tutto risolto, ho cancellato l'utente e la cartelle, ma poi si sno ripresentati.
Ti allego le foto di come si presentano ora:

http://wikisend.com/download/632244/Cartella.bmp

http://wikisend.com/download/444964/Utente.bmp

La riformazione di questi 2 poblemi mi fa pensare che il male non è stato sdradicato o almeno non del tutto.
Spero possa iutarmi, grazie sempre.

Log puilito

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

per HelpAssistant segui le istruzioni in prima pagina.

Un ringraziamento a tutti per il magnifico lavoro che svolgete..

Purtroppo chi capita in questo tread risulta infetto, i famosi software Symantec ect. pagati molto sembra non siano in grado di fare niente, per loro tutto è ok.

Bene come per altri allego log, premetto che ho utilizzato anche combofix che ha rimosso una cartella ed un file forse utile (forse incriminato .. legato al programmo installato prima che tutto si bloccase in modo random).

http://wikisend.com/download/216844/prevx.log

http://wikisend.com/download/529858/gmer.log

http://wikisend.com/download/570612/combofixlog.txt

Prevx sembra non trovare nulla, ma mbr invece si...??


Attendo gentile risposta.

Grazie

Un ringraziamento a tutti per il magnifico lavoro che svolgete..

Purtroppo chi capita in questo tread risulta infetto, i famosi software Symantec ect. pagati molto sembra non siano in grado di fare niente, per loro tutto è ok.

Bene come per altri allego log, premetto che ho utilizzato anche combofix che ha rimosso una cartella ed un file forse utile (forse incriminato .. legato al programmo installato prima che tutto si bloccase in modo random).

http://wikisend.com/download/216844/prevx.log

http://wikisend.com/download/529858/gmer.log

http://wikisend.com/download/570612/combofixlog.txt

Prevx sembra non trovare nulla, ma mbr invece si...??


Attendo gentile risposta.

Grazie

Ciao, per quanto concerne Prevx e Gmer non emerge nulla, allega i log delle seconda e terza fase.

Ciao, per quanto concerne Prevx e Gmer non emerge nulla, allega i log delle seconda e terza fase.

Grazie, CO

anche per per non risultava nulla di strano... ma mbr???

http://wikisend.com/download/551660/mbr.log

http://wikisend.com/download/909322/NFix_2010-05-10_15-57-06.log

Grazie, CO

anche per per non risultava nulla di strano... ma mbr???

http://wikisend.com/download/551660/mbr.log

http://wikisend.com/download/909322/NFix_2010-05-10_15-57-06.log

Il log può rimanere "sporco" fai scansione di contollo con CureIt.

Il log può rimanere "sporco" fai scansione di contollo con CureIt.

Cosa intendi per "sporco" ... comunque allego Dr.Web

http://wikisend.com/download/506946/DrWeb.csv

Rileva prevx installato..?

Cosa intendi per "sporco" ... comunque allego Dr.Web

http://wikisend.com/download/506946/DrWeb.csv

Rileva prevx installato..?

Intendo questo

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x02542D6C1
malicious code @ sector 0x02542D6C4 !
PE file found in sector at 0x02542D6DA !

dal log di CureIt (incompleto) non emerge nulla.

[QUOTE=Chill-Out;31930604]Intendo questo


Scusa CO anche io intendevo...

copy of MBR has been found in sector 0x02542D6C1
malicious code @ sector 0x02542D6C4 !
PE file found in sector at 0x02542D6DA

Il fatto è lo "sporco" non è eliminabile ... in altri termini copia del malicious code rimane comunque nonostante il fix?

CureIt completo circa 6 ore rileva i files in quarantena di NIS (Symantec)precedenti + HA rimosso.

http://wikisend.com/download/468936/DrWeb all.csv

Ritieni quindi che il PC sia pulito?

Grazie.

Intendo questo


Scusa CO anche io intendevo...

copy of MBR has been found in sector 0x02542D6C1
malicious code @ sector 0x02542D6C4 !
PE file found in sector at 0x02542D6DA

Il fatto è lo "sporco" non è eliminabile ... in altri termini copia del malicious code rimane comunque nonostante il fix?

CureIt completo circa 6 ore rileva i files in quarantena di NIS (Symantec)precedenti + HA rimosso.

http://wikisend.com/download/468936/DrWeb all.csv

Ritieni quindi che il PC sia pulito?

Grazie.

Il log di CureIt continua ad essere incompleto, nella Guida in prima trovi le infi su come e dove ottenerlo, comunque non emergono tracce del Rootkit.

Il log di CureIt continua ad essere incompleto, nella Guida in prima trovi le infi su come e dove ottenerlo, comunque non emergono tracce del Rootkit.

Ok, grazie mille.

Ciao.

Ok, grazie mille.

Ciao.

Prego, ciao. :)

Ciao Chill, ho rattivato il notebook diverse volte e sembra che l'utente HelpAssistant non si riabiliti, nè tatomeno si riformino le cartelle relative x cui penso che che il rpoblema si sia risolto, x questo dai log non s evince più nulla. Tuttavia il pc mi resta lento nell'avvio e non mi va instand-by, capisco che non è l'argomento di questa guida ma potresti indirizzarmi cmq ad una che mi possa aiutare ?.
Grazie di tutto.

P.S. l'utente HelpAssistant devo lascialo disabilitato o posso eliminarlo e nel caso come visto che ho Windows Media center edition (pro ).Grazie di nuovo.

Ciao Chill, ho rattivato il notebook diverse volte e sembra che l'utente HelpAssistant non si riabiliti, nè tatomeno si riformino le cartelle relative x cui penso che che il rpoblema si sia risolto, x questo dai log non s evince più nulla. Tuttavia il pc mi resta lento nell'avvio e non mi va instand-by, capisco che non è l'argomento di questa guida ma potresti indirizzarmi cmq ad una che mi possa aiutare ?.
Grazie di tutto.

P.S. l'utente HelpAssistant devo lascialo disabilitato o posso eliminarlo e nel caso come visto che ho Windows Media center edition (pro ).Grazie di nuovo.

Per quel che concerne HelpAssistant siamo a posto, per il resto allega un log di HJT nel 3D deidicato http://www.hwupgrade.it/forum/showthread.php?t=937676

Grazie Chil x il 3d, ma un ultima cosa, non ho capito se l'utente HelpAssistant lo devo lasciare disabilitato o posso eliminarlo.Se devo eliminarlo mi spiegheresti come? (Ho windows media centere edition ( sarebbe windows pro)) Grazie, ciao di nuovo.

Grazie Chil x il 3d, ma un ultima cosa, non ho capito se l'utente HelpAssistant lo devo lasciare disabilitato o posso eliminarlo.Se devo eliminarlo mi spiegheresti come? (Ho windows media centere edition ( sarebbe windows pro)) Grazie, ciao di nuovo.

Lo lasci disabilitato ;)

appena provo a far partire Gmer compare una schermata blu .
Come posso fare ?

Intanto ho iniziato a far fare la scansione a Prevx ;)

Mi hanno mandato in questo topic dopo che ho tolto un'altra infezione che mi faceva partire un finto antivirus :muro:

http://www.filedropper.com/prevx_2

e poi ho fatto il cleanup free.

Cosa devo fare ora ? :)

appena provo a far partire Gmer compare una schermata blu .
Come posso fare ?

Intanto ho iniziato a far fare la scansione a Prevx ;)

Mi hanno mandato in questo topic dopo che ho tolto un'altra infezione che mi faceva partire un finto antivirus :muro:

http://www.filedropper.com/prevx_2

e poi ho fatto il cleanup free.

Cosa devo fare ora ? :)

Quanto indicato in Guida

annanzitutto complimenti!
Vi ho "scoperti" da poco e sono alla partecipazione del mio primo forum...
Il mio SO xp professional service pack 3 HD160 giga. I problemi inziano un mese fà, all'apertura di un programma contabile esce schermata NTVDM ha rilevato un errore di sistema ecc... chiudevo e il programma partiva (attualmente per farlo partire devo chiudere il messaggio circa 10-12 volte...), poi ho cominciato ad avere dei problemi con internet explorer che andava un pò a rilento e si sconnetteva (ADSL)...l'icona della rimozione hardware sulla barra non a tutte le accensioni compare, ma non è questo il punto perchè gli Antivirus Avira e Avast che ho installato (e che mi dicono che è tutto ok!) si connettono e si aggiornano! Ho fatto girare super antispyware ho tolto moltissimo ma al secondo lancio mi manda in crash il sistema. Schemata blu anche quando tento di andare su internet. Metto HD come slave su altro PC e trovo ancora 58 infezioni che elimino. Rimonto si accende ma non ho risolto il problema...Poi Vi ho trovati e ho fatto tutte le procedure della guida...Primo problema non ho più il tab ripristino configurazione di sistema...mi è anche sparita la partizione del disco (30 Giba) e per mio errore perchè non ho letto attentamente, non posso più far girare previx (chiede codice):muro:
Ho lanciato anche Malwarebytes che ha trovato e tolto parecchio ma ancora nulla. Attualmente non si connette più ad internet (ci riecono solo gli antivirus) e la contabilità per ora non la faccio. Il collegamento è ok perchè con portatile si collega. Vorrei averla vinta io anche se con tutto questo tempo facevo i salvataggi e formattavo...il problema è che non ho i drivers del PC e volevo proprio evitarlo! Allego i log chissà che non si possa fare qualcosa...:rolleyes:
gmer.txt (http://wikisend.com/download/467150/gmer.txt)
prevx.txt (http://wikisend.com/download/456562/prevx.txt)
NFix_2010-05-10_18-07-45.log (http://wikisend.com/download/568416/NFix_2010-05-10_18-07-45.log)
mbr.log (http://wikisend.com/download/509432/mbr.log)
mbam-log-2010-05-14 (13-07-05).txt (http://wikisend.com/download/888004/mbam-log-2010-05-14 (13-07-05).txt)
mbam-log-2010-05-14 (13-25-51).txt (http://wikisend.com/download/530026/mbam-log-2010-05-14 (13-25-51).txt)
Spero di aver fatto tutto giusto....grazie

Quanto indicato in Guida

in guida c'è scritto di postare i log di prima e dopo la scansione . Io ho postato solo quello prima della scansione, perchè il pc non è mio ma è della mia ragazza ed è difficile prendere tutti i log se il pc non lo hai sottomano costantemente .

Cmq tra i file rilevati c'è mbr.exe .

Ho fatto fare clean up e questo è andato via .


Gmer se lo eseguo mi fa spegnere il pc subito dopo la comparsa di una classica schermata blu di window xp .

Nella guida non mi sembra esserci altro almeno nella prima fase ;)

Devo quindi procedere con la seconda fase ?

Nella guida non mi sembra esserci altro almeno nella prima fase ;)

Devo quindi procedere con la seconda fase ?

Esatto

annanzitutto complimenti!
Vi ho "scoperti" da poco e sono alla partecipazione del mio primo forum...
Il mio SO xp professional service pack 3 HD160 giga. I problemi inziano un mese fà, all'apertura di un programma contabile esce schermata NTVDM ha rilevato un errore di sistema ecc... chiudevo e il programma partiva (attualmente per farlo partire devo chiudere il messaggio circa 10-12 volte...), poi ho cominciato ad avere dei problemi con internet explorer che andava un pò a rilento e si sconnetteva (ADSL)...l'icona della rimozione hardware sulla barra non a tutte le accensioni compare, ma non è questo il punto perchè gli Antivirus Avira e Avast che ho installato (e che mi dicono che è tutto ok!) si connettono e si aggiornano! Ho fatto girare super antispyware ho tolto moltissimo ma al secondo lancio mi manda in crash il sistema. Schemata blu anche quando tento di andare su internet. Metto HD come slave su altro PC e trovo ancora 58 infezioni che elimino. Rimonto si accende ma non ho risolto il problema...Poi Vi ho trovati e ho fatto tutte le procedure della guida...Primo problema non ho più il tab ripristino configurazione di sistema...mi è anche sparita la partizione del disco (30 Giba) e per mio errore perchè non ho letto attentamente, non posso più far girare previx (chiede codice):muro:
Ho lanciato anche Malwarebytes che ha trovato e tolto parecchio ma ancora nulla. Attualmente non si connette più ad internet (ci riecono solo gli antivirus) e la contabilità per ora non la faccio. Il collegamento è ok perchè con portatile si collega. Vorrei averla vinta io anche se con tutto questo tempo facevo i salvataggi e formattavo...il problema è che non ho i drivers del PC e volevo proprio evitarlo! Allego i log chissà che non si possa fare qualcosa...:rolleyes:
gmer.txt (http://wikisend.com/download/467150/gmer.txt)
prevx.txt (http://wikisend.com/download/456562/prevx.txt)
NFix_2010-05-10_18-07-45.log (http://wikisend.com/download/568416/NFix_2010-05-10_18-07-45.log)
mbr.log (http://wikisend.com/download/509432/mbr.log)
mbam-log-2010-05-14 (13-07-05).txt (http://wikisend.com/download/888004/mbam-log-2010-05-14 (13-07-05).txt)
mbam-log-2010-05-14 (13-25-51).txt (http://wikisend.com/download/530026/mbam-log-2010-05-14 (13-25-51).txt)
Spero di aver fatto tutto giusto....grazie

Ciao, ripeti scansione con Prevx e procedi col CleanUp esattamente come indicato in Guida

[B] c:\$mbr.0 [PX5: 99AA2E4B009FF0F80185002040C95900259D9CD1] Malware Group: Rootkit.MBR

successivamente produci il log della scansione completa con CureIt, successivamente vediamo come procedere.

Ciao, ripeti scansione con Prevx e procedi col CleanUp esattamente come indicato in Guida



successivamente produci il log della scansione completa con CureIt, successivamente vediamo come procedere.

Ciao, grazie per la solerzia...
Previx non mi parte più vuole il codice di attivazione, CuriIt quando clicco su esegui sembra partire con rumore anche dell'HD ma poi si ferma e non compare nulla....
Ho eseguito c:\mbr.exe-f e nel log non mi trova più infezione... (non sono a casa e non riesco a postarlo) Ho disabilitato come da guida anche HelpAssistent e sembra che non ricompaia. Ho aperto il programma di contabilità e non ho più errore NTDVM ecc.ecc.
Però non ho più tab di riconfigurazione sistema mi dice "che è stato disattivato dai criteri di gruppo per riattivare contattare l'amministratore del dominio" e la partizione del disco non c'è più! Allo spegnimento del PC mi esce che deve terminare WMS.IDLE forzando si spegne...

Ciao, grazie per la solerzia...
Previx non mi parte più vuole il codice di attivazione, CuriIt quando clicco su esegui sembra partire con rumore anche dell'HD ma poi si ferma e non compare nulla....
Ho eseguito c:\mbr.exe-f e nel log non mi trova più infezione... (non sono a casa e non riesco a postarlo) Ho disabilitato come da guida anche HelpAssistent e sembra che non ricompaia. Ho aperto il programma di contabilità e non ho più errore NTDVM ecc.ecc.
Però non ho più tab di riconfigurazione sistema mi dice "che è stato disattivato dai criteri di gruppo per riattivare contattare l'amministratore del dominio" e la partizione del disco non c'è più! Allo spegnimento del PC mi esce che deve terminare WMS.IDLE forzando si spegne...

Senza vedere un log è difficile risponderti, comunque per quanto concerne l'errore WMS.IDLE dimmi se hai installato MS Office.

Senza vedere un log è difficile risponderti, comunque per quanto concerne l'errore WMS.IDLE dimmi se hai installato MS Office.

Ciao, confermo che ho MS Office e i log sono:

http://wikisend.com/download/468732/mbr2.txt
http://wikisend.com/download/477664/mbr3.txt
http://wikisend.com/download/467698/mbr 1.txt

leggendo attentamente mi sa che sono ancora infetta....perchè non parte CureIt!?

Ciao, confermo che ho MS Office e i log sono:

http://wikisend.com/download/468732/mbr2.txt
http://wikisend.com/download/477664/mbr3.txt
http://wikisend.com/download/467698/mbr 1.txt

leggendo attentamente mi sa che sono ancora infetta....perchè non parte CureIt!?

A questo punto presumo che MS Office non sia aggiornato, procedi così disinstalla Prevx, reinstallalo e ripeti scansione.
Mentre per quanto concerne CureIt prova a rilanciarlo dopo averlo ovviamente riscaricato.

A questo punto presumo che MS Office non sia aggiornato, procedi così disinstalla Prevx, reinstallalo e ripeti scansione.
Mentre per quanto concerne CureIt prova a rilanciarlo dopo averlo ovviamente riscaricato.

Ciao ti ringrazio, effettivamente Office non è mai stato aggiornato...
Per quanto riguarda Prevx avevo già provato come mi hai consigliato a disintallarlo e ieri ho fatto tutto altre volte facendo girare anche Ccclener...nulla da fare mi dice sempre "errore V911" e vuole la licenza..ho provato a chiederla e mi esce lo stesso errore...Stesso problema con CureIt non parte...esce esegui lo lancio sembra lavorare ma poi non fa nulla:confused:
Se lascio tutto così che sembra funzionare?
Buona giornata

A questo punto presumo che MS Office non sia aggiornato, procedi così disinstalla Prevx, reinstallalo e ripeti scansione.
Mentre per quanto concerne CureIt prova a rilanciarlo dopo averlo ovviamente riscaricato.

Ciao, scusa se disturbo ancora... sono riuscita a far partire CureIt in modalità provvisoria.Sta lavorando da ieri pomeriggio...è lentissimo e in questo momento è ancora sulla scansione dei Drivers; è normale? Quando finirà mando il log... Grazie grazie

appena provo a far partire Gmer compare una schermata blu .
Come posso fare ?

Intanto ho iniziato a far fare la scansione a Prevx ;)

Mi hanno mandato in questo topic dopo che ho tolto un'altra infezione che mi faceva partire un finto antivirus :muro:

http://www.filedropper.com/prevx_2

e poi ho fatto il cleanup free.

Cosa devo fare ora ? :)

aggiungo il log di Stealth MBR rootkit detector http://www.filedropper.com/mbrold_1

aggiungo il log di Stealth MBR rootkit detector http://www.filedropper.com/mbrold_1

Procedi direttamente con CureIt.

Procedi direttamente con CureIt.

oramai ho fatto fare la scansione anche all'altro programma :D , spero che la mia ragazza non abbia chiuso la finestra del programma senza salvare il log :stordita:


comunque mi dite una cosa ?

Internet explorer si chiude spesso con errori soprattutto quando si cerca di accedere a siti che richiedono l'accesso attraverso password e username ,e se tento di installare comodo firewall l'installazione fallisce .
Dite sia colpa del virus che sto eliminando ora o questo non c'entra niente ?

Un mbr cosa dovrebbe fare di preciso ? Cioè quali sono i sintomi ?

p.s : una cosa che ho fatto che forse non dovevo fare è eliminare la cartella HelpAssistant prima di procedere con il resto .. Ho compromesso qualcosa ?

Salve! Purtroppo :muro: credo di essere ancora in ballo con qualche infezione. Posto qui dato l'intervento precedente.
Dopo un breve periodo di funzionamento apparentemente normale, durante uno streaming il sistema è andato in riavvio e la situazione è precipitata. CPU fuori frequenza, schermo fuori frequenza, quasi impossibilità a riavviare il PC. Sono riuscito con mSCONFIG a ripristinare la configurazione al 3 maggio (più o meno il periodo della precedente disinfezione).
Prima della riconfigurazione, alla riaccensione, il Pc attivava savedump.exe, ma poi crashava subito.
per farla breve adesso riesco a navigare normalmente ma se vado in streaming (ho provato solo quello RAI) dopo qualche minuto riavvia.
Gmer non segnala rootkit.
la scansione completa:
gmerlog1.txt (http://wikisend.com/download/472862/gmerlog1.txt)

Prevx:
prevx.txt (http://wikisend.com/download/457758/prevx.txt)

ho poi eseguito DrWeb che ha trovato 9 file sospetti:
drwebcsvfile.txt (http://wikisend.com/download/908414/drwebcsvfile.txt)
o
DrWeb.csv (http://wikisend.com/download/457402/DrWeb.csv)

questo il log completo e filtrato:
cureit filtrato.txt (http://wikisend.com/download/457230/cureit filtrato.txt)

PS: I file in quarantena ottenuti da DrWeb io li ho cancellati del tutto.
Non ho ancora cancellato i C\QooBox

PPS: Non sono riuscito a mettere i file in allegato (mi rispondeva indirizzo non valido).

Grazie in anticipo per l'aiuto!!!

Salve! Purtroppo :muro: credo di essere ancora in ballo con qualche infezione. Posto qui dato l'intervento precedente.
Dopo un breve periodo di funzionamento apparentemente normale, durante uno streaming il sistema è andato in riavvio e la situazione è precipitata. CPU fuori frequenza, schermo fuori frequenza, quasi impossibilità a riavviare il PC. Sono riuscito con mSCONFIG a ripristinare la configurazione al 3 maggio (più o meno il periodo della precedente disinfezione).
Prima della riconfigurazione, alla riaccensione, il Pc attivava savedump.exe, ma poi crashava subito.
per farla breve adesso riesco a navigare normalmente ma se vado in streaming (ho provato solo quello RAI) dopo qualche minuto riavvia.
Gmer non segnala rootkit.
la scansione completa:
gmerlog1.txt (http://wikisend.com/download/472862/gmerlog1.txt)

Prevx:
prevx.txt (http://wikisend.com/download/457758/prevx.txt)

ho poi eseguito DrWeb che ha trovato 9 file sospetti:
drwebcsvfile.txt (http://wikisend.com/download/908414/drwebcsvfile.txt)
o
DrWeb.csv (http://wikisend.com/download/457402/DrWeb.csv)

questo il log completo e filtrato:
cureit filtrato.txt (http://wikisend.com/download/457230/cureit filtrato.txt)

PS: I file in quarantena ottenuti da DrWeb io li ho cancellati del tutto.
Non ho ancora cancellato i C\QooBox

PPS: Non sono riuscito a mettere i file in allegato (mi rispondeva indirizzo non valido).

Grazie in anticipo per l'aiuto!!!

Ciao, dai log non emergono tracce del Rootkit in questione.

OK. Adesso che il PrevX free è installato (unica variazione apportata al sistema) son tornati a funzionare anche gli streaming.
(sottolineo che non è stata effettuata nessuna ulteriore bonifica). Mistero.
Domanda: ma AVGantivirus (che evidentemente è un colabrodo) è sostituibile dalla versione free di PrevX. In altre parole potrei tentare di disinstallare AvG?

OK. Adesso che il PrevX free è installato (unica variazione apportata al sistema) son tornati a funzionare anche gli streaming.
(sottolineo che non è stata effettuata nessuna ulteriore bonifica). Mistero.
Domanda: ma AVGantivirus (che evidentemente è un colabrodo) è sostituibile dalla versione free di PrevX. In altre parole potrei tentare di disinstallare AvG?

Direi di sostituire AVG con Avira Antivir Free al quale puoi affiancare Prevx in versione Free, comunque a tal proposito ti suggerisco la lettura di questo 3D http://www.hwupgrade.it/forum/showthread.php?t=2011681 dove puoi trovare tutte le info che ti necessitano.

Ciao! Sono già passato di qua per il problema di un MBR rootkit che ho avuto (e poi risolto grazie a voi), ma ora ne ho un altro, ossia il pc si spegne IMPROVVISAMENTE da solo...quando vuole lui!!!! (e rimane spento, senza riavviarsi).
Prevx, norman e doctorweb non trovano niente, ma gmer trova dei file strani che non saprei dire se sono dei rootkit.
Questo è il log di mbr.exe: credo di essere infetto da qualcosa ma non so cosa...

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x02542D6C1
malicious code @ sector 0x02542D6C4 !
PE file found in sector at 0x02542D6DA !

Chillout confido in te! Grazie! :-)

Ciao! Sono già passato di qua per il problema di un MBR rootkit che ho avuto (e poi risolto grazie a voi), ma ora ne ho un altro, ossia il pc si spegne IMPROVVISAMENTE da solo...quando vuole lui!!!! (e rimane spento, senza riavviarsi).
Prevx, norman e doctorweb non trovano niente, ma gmer trova dei file strani che non saprei dire se sono dei rootkit.
Questo è il log di mbr.exe: credo di essere infetto da qualcosa ma non so cosa...

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x02542D6C1
malicious code @ sector 0x02542D6C4 !
PE file found in sector at 0x02542D6DA !

Chillout confido in te! Grazie! :-)

Ciao, se il PC si spegne da solo hai problemi alla Ram o all'alimentatore, potresti iniziare facendo questi Test http://www.hwupgrade.it/forum/showthread.php?t=1909033

é un pò che scrivo sul forum il mio problema (v. ho tanto bisogno di aiuto mi sento un'analfabeta). Leggendo su internet ho scoperto che esiste questo virus che utilizza i driver atapi.sys e ACIP.sys che sono gli stessi che ho io nel mio pc nella cartella drivers.. non so se sia normale .. l'unica cosa che so è che il pc non va.. ho provato con tutti i mezzi possibili da voi descritti ma niente.. non vorrei essermi presa un TDL3.. sembra che non esistano soluzioni al mio problema..:cry:

salve a tutti

anche il mio pc è afflitto dai problemi di cui si parla qui
mi sono accorto del problema perchè ho notato un notevole rallentamento e per la comparsa della cartella HelpAssistant

il pc è dotato di un hard disk suddiviso in 2 partizioni con Windows 7 nella prima partizione e Xp nella seconda...xp è l'os che uso abitualmente.

Ho fatto le scansioni indicate nella guida del primo post riavviando il pc con windows 7.


Gmer e Prevx 3.0 non mi hanno trovato niente
Questi i log:

gylook0m.log (http://wikisend.com/download/921696/gylook0m.log)
PREVXCSIFREE.log (http://wikisend.com/download/960834/PREVXCSIFREE.log)

Poi ho intrapreso la seconda fase riavviando Seven in modalità provvisoria e MBR:EXE mi ha trovato l'infezione ma facendo mbr.exe -f non me l'ha corretta.

Questo il log:
mbr.log (http://wikisend.com/download/859960/mbr.log)

Ho fatto la scansione con Norman SinowalMBR Cleaner ma non mi ha rilevato niente.
Tuttavia durante la scansione è comparsa la scritta rossa "Unable to scan for SinowalMBR hooks"

Log
NFix_2010-05-30_20-06-36.log (http://wikisend.com/download/563384/NFix_2010-05-30_20-06-36.log)


Help please :(

salve a tutti

anche il mio pc è afflitto dai problemi di cui si parla qui
mi sono accorto del problema perchè ho notato un notevole rallentamento e per la comparsa della cartella HelpAssistant

il pc è dotato di un hard disk suddiviso in 2 partizioni con Windows 7 nella prima partizione e Xp nella seconda...xp è l'os che uso abitualmente.

Ho fatto le scansioni indicate nella guida del primo post riavviando il pc con windows 7.


Gmer e Prevx 3.0 non mi hanno trovato niente
Questi i log:

gylook0m.log (http://wikisend.com/download/921696/gylook0m.log)
PREVXCSIFREE.log (http://wikisend.com/download/960834/PREVXCSIFREE.log)

Poi ho intrapreso la seconda fase riavviando Seven in modalità provvisoria e MBR:EXE mi ha trovato l'infezione ma facendo mbr.exe -f non me l'ha corretta.

Questo il log:
mbr.log (http://wikisend.com/download/859960/mbr.log)

Ho fatto la scansione con Norman SinowalMBR Cleaner ma non mi ha rilevato niente.
Tuttavia durante la scansione è comparsa la scritta rossa "Unable to scan for SinowalMBR hooks"

Log
NFix_2010-05-30_20-06-36.log (http://wikisend.com/download/563384/NFix_2010-05-30_20-06-36.log)


Help please :(

Ciao, dai log non emerge nulla.

sembrerebbe che Dr.Web CureIt abbia trovato e risolto il guaio

questo il messaggio relativo all'infezione "Master Boot Record HDD1 infettato da BackDoor.MaosBoot.35"

al momento non sto avendo problemi e la cartella HelpAssistant non si è ricreata

grazie a tutti

sembrerebbe che Dr.Web CureIt abbia trovato e risolto il guaio

questo il messaggio relativo all'infezione "Master Boot Record HDD1 infettato da BackDoor.MaosBoot.35"

al momento non sto avendo problemi e la cartella HelpAssistant non si è ricreata

grazie a tutti

Se alleghi il log, può tornare utile anche per altri utenti. :)

Pardon, eccolo:

CureIt.log (http://wikisend.com/download/208826/CureIt.log)

Pardon, eccolo:

CureIt.log (http://wikisend.com/download/208826/CureIt.log)

Ciao, il log è incompleto, manca la parte inerente le Statistiche che evidenziano il file infetti rimossi, potresti riallegarlo?

Ciao, il log è incompleto, manca la parte inerente le Statistiche che evidenziano il file infetti rimossi, potresti riallegarlo?

quello postato è l'unico file presente nella cartella creata da Doctorweb cure.it
:boh:

quello postato è l'unico file presente nella cartella creata da Doctorweb cure.it
:boh:

Verifica nel percorso indicato in Guida, diversamente se non riscontri problema puoi passare al trattamento post infezione.

Ciao a tutti!
Sono di nuovo infettata dal virus MBR :muro:
Sintomi abbastanza "soft", lentezza del pc, di explorer e varie applicazioni, blocco dei menu a tendina, all'accensione stamattina risultava un ripristino per errore grave.
NOTA: lo scorso mese ero stata infettata dal virus My Security Engine (il falso antivirus). L'ho rimosso, ma da allora il pc è sempre stato lento, forse degli strascichi possono aver causato la nuova infezione?
Sistema: ho Windows XP professional 2002 SP3, disco fisso C con windows, disco slave D e disco esterno E

Log PRIMA FASE:
GMER: Edit
(ad un certo punto alla fine, nell'analisi di D, ha detto che c'era un settore danneggiato ed era necessario un chkdsk)
PREVX pre-rimozione: prevx.log (http://wikisend.com/download/571570/prevx.log)
non ha trovato nulla, quindi sono andata avanti con la seconda fase

Log SECONDA FASE:
MBR: mbr.log (http://wikisend.com/download/586552/mbr.log)
NORMANSINOWAL: NFix_2010-06-15_16-23-24.log (http://wikisend.com/download/544416/NFix_2010-06-15_16-23-24.log)

Grazie per qualsiasi aiuto/risposta!

Manca il log di Gmer al suo posto hai allegato l'eseguibile del software stesso, successivamente procedi come indicato in Guida con CureIt.

Ops, chiedo scusa per l'errore! :D

Log Gmer: log gmer.txt (http://wikisend.com/download/470046/log gmer.txt)
Dr Web Cureit: cureit filtrato.txt (http://wikisend.com/download/958186/cureit filtrato.txt)


Domanda: Prevx sta ancora girando, avendolo usato per la scansione.
Ebbene, mi blocca la homepage di Google segnalandola come non sicura e mi appare questo messaggio da Prevx:
High Risk: Hosts file redirection to unapproved web site or IP address.
The request to visit this web site has been redirected by an entry in your hosts file. We strongly suggest that you close your browser window now to avoid possibile infection or information capture. You should also inspect and verify your hosts file contents.
Premetto di aver osservato da un po' strani comportamenti di google, come lentezza esasperante, e link nei preferiti che ogni tanto funzionava, ogni tanto invece mi dava "page not found".
Cosa devo fare? Sempre colpa del virus?

Ops, chiedo scusa per l'errore! :D

Log Gmer: log gmer.txt (http://wikisend.com/download/470046/log gmer.txt)
Dr Web Cureit: cureit filtrato.txt (http://wikisend.com/download/958186/cureit filtrato.txt)

Dai log non emergono tracce del Rootkit in questione


Domanda: Prevx sta ancora girando, avendolo usato per la scansione.
Ebbene, mi blocca la homepage di Google segnalandola come non sicura e mi appare questo messaggio da Prevx:
High Risk: Hosts file redirection to unapproved web site or IP address.
The request to visit this web site has been redirected by an entry in your hosts file. We strongly suggest that you close your browser window now to avoid possibile infection or information capture. You should also inspect and verify your hosts file contents.
Premetto di aver osservato da un po' strani comportamenti di google, come lentezza esasperante, e link nei preferiti che ogni tanto funzionava, ogni tanto invece mi dava "page not found".
Cosa devo fare? Sempre colpa del virus?

No, trattasi solo della SOL Safe On Line, qui trovi la Guida dedicata a Prevx http://www.hwupgrade.it/forum/showthread.php?t=1923599

Ciao Chill-Out.

Sono gil e la mia macchina ha OS Win7 (OS aggiornato alla fiamma)

Sono un'altro con il problema Win32/Mebroot.mbr

L'ho diagnosticato con NOD32 (ver.5206) (su tutti e due gli HD):
Il settore MBR di 1. Disco fisico contiene cavallo di troia Win32/Mebroot.mbr.
Il settore MBR di 2. Disco fisico contiene cavallo di troia Win32/Mebroot.mbr.

Ti allego i vari log:

MBR:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0747059C1
malicious code @ sector 0x0747059C4 !
PE file found in sector at 0x0747059DA !

GMER:
http://www.hwupgrade.it/forum/attachment.php?attachmentid=76607&stc=1&d=1276882704

Inutile dirti che le ho provate tutte:
Gmer
Prevx
MBR
Norman SinowalMBR Clean
. . . . nulla.

Ho visto alcuni post di altri forum che parlano di azzerare settori . . . ma non mi permetto se non guidato da una guida autorevole
Ho scaricato anche HxDSetupIT ma, come detto sopra ho paura a modificare qualcosa.

Ti sarei grato se potresti darmi qualche aiuto.

THK in ADV

Gil

Ciao Chill-Out.

Inutile dirti che le ho provate tutte:
Gmer
Prevx
MBR
Norman SinowalMBR Clean
. . . . nulla.


Ciao, per poterti aiutare è necessario vedere i log richiesti in Guida.

Ciao, per poterti aiutare è necessario vedere i log richiesti in Guida.

Pardon. . .

NOD32 - http://wikisend.com/download/462388/gil_NOD32.jpg
Gmer Log - http://wikisend.com/download/533132/gil_Gmer.log
Prevx Log - http://wikisend.com/download/641778/gil_Prevx.log
MBR - http://wikisend.com/download/560820/gil_mbr.log
HxD disk1 - http://wikisend.com/download/518876/gil_disk1.jpg
HxD disk2 - http://wikisend.com/download/437554/gil_disk2.jpg

Manca qualcosa?

THK

Gil

Pardon. . .

NOD32 - http://wikisend.com/download/462388/gil_NOD32.jpg
Gmer Log - http://wikisend.com/download/533132/gil_Gmer.log
Prevx Log - http://wikisend.com/download/641778/gil_Prevx.log
MBR - http://wikisend.com/download/560820/gil_mbr.log
HxD disk1 - http://wikisend.com/download/518876/gil_disk1.jpg
HxD disk2 - http://wikisend.com/download/437554/gil_disk2.jpg

Manca qualcosa?

THK

Gil

Dimenticavo:
http://wikisend.com/download/441430/Gil_NFix_2010-06-18_16-43-49.log

Ciao

Dimenticavo:
http://wikisend.com/download/441430/Gil_NFix_2010-06-18_16-43-49.log

Ciao

Fai girare DrWeb CureIt, attendo il log.

Fai girare DrWeb CureIt, attendo il log.

L'ho passato stammatina. Ecco il Log:
http://wikisend.com/download/881934/Gil_CureIt.log (credo che non sia quello giusto: per la foga della contentezza ho fatto ripartire il CureIt prima di copiare il log)

Sembra che abbiia trovato il virus ed abbia applicato la cura.

Con NOR32 non lo trova più.

Ho risolto?

L'ho passato stammatina. Ecco il Log:
http://wikisend.com/download/881934/Gil_CureIt.log (credo che non sia quello giusto: per la foga della contentezza ho fatto ripartire il CureIt prima di copiare il log)

Sembra che abbiia trovato il virus ed abbia applicato la cura.

Con NOR32 non lo trova più.

Ho risolto?

Non è il log giusto, comunque se Nod non spara più avvisi dovremmo essere ok.

Salve,

ho notato che in alcune circostanze, pur rimuovendo il rootkit dal MBR, rimangono delle tracce di settori che il tool mbr.exe continua a segnalare.
Io li ho rimossi cosi':

- scarico Roadkil's Sector Editor (http://www.roadkil.net/program.php/P24/Sector%20Editor)

- mi segno le tracce residue riportate sul log di mbr.exe
(es: copy of MBR has been found in sector 0x0100A757
malicious code @ sector 0x0100A75A !
PE file found in sector at 0x0100A770 !)

- avvio la calcolatrice di Windows in modalita' scientifica, convertendo la notazione esadecimale dei suddetti settori in versione decimale (imposto la calc. su Hex, ci copio le otto cifre dopo la x di cui sopra, reimposto la calc. su Dec)

- come utente del gruppo Administrators lancio Sectedit.exe precedentemente scaricato selezionando il disco infetto, clicko su Tools -> Goto Sector, ci copio il valore decimale ottenuto sopra e clicko su Goto

- clicko su File -> Export Sector(s) per farne una copia di backup (non si sa mai!); clicko su Edit -> Zero Data per ripulire il settore del disco e poi salvo il lavoro con File -> Save Sector

- rilancio mbr.exe per controllare che le tracce siano state rimosse.

Ciao ragazzi,
avrei bisogno di un grosso aiuto perchè uno di questi virus mi mette parecchio in difficoltà e mi fa brancolare nel buio:

1) da qalche giorno quando apro il pc (anche in modalità provvisoria) appare il mess:
"Trend ChipAwayVirus has detected a boot virus on your hard disk!
Press <Enter> for more information (recommended)
<C> to continue booting"

2) Nel task manager compare il processo IEXPLORE.EXE anche se non uso InternetExplorer da una vita e, anche se lo termino, ricompare dopo pochi secondi.
Inoltre ogni tanto si aprono automaticamente pagine di Internet Explorer mentre sto usando altri programmi o comunque firefox.

3) Ogni tanto il volume dell'audio si azzera da solo.

Il pc già vecchiotto è diventato sensibilmente più lento, soprattutto all'avvio.
Come antivirus ho Avira ed ho già fatto delle scansioni anche con SuperAntispyware e SpybotS&D.... ma non trovano nulla (a parte i soliti tracking cookies ecc)


Alcuni log:
mbr.txt (http://wikisend.com/download/460888/mbr.txt)
hijackthis.txt (http://wikisend.com/download/585724/hijackthis.txt)
PREVx3.txt (http://wikisend.com/download/452876/PREVx3.txt)

Spero che possiate aiutarmi.
Grazie

Ciao ragazzi,
avrei bisogno di un grosso aiuto perchè uno di questi virus mi mette parecchio in difficoltà e mi fa brancolare nel buio:

1) da qalche giorno quando apro il pc (anche in modalità provvisoria) appare il mess:
"Trend ChipAwayVirus has detected a boot virus on your hard disk!
Press <Enter> for more information (recommended)
<C> to continue booting"

2) Nel task manager compare il processo IEXPLORE.EXE anche se non uso InternetExplorer da una vita e, anche se lo termino, ricompare dopo pochi secondi.
Inoltre ogni tanto si aprono automaticamente pagine di Internet Explorer mentre sto usando altri programmi o comunque firefox.

3) Ogni tanto il volume dell'audio si azzera da solo.

Il pc già vecchiotto è diventato sensibilmente più lento, soprattutto all'avvio.
Come antivirus ho Avira ed ho già fatto delle scansioni anche con SuperAntispyware e SpybotS&D.... ma non trovano nulla (a parte i soliti tracking cookies ecc)


Alcuni log:
mbr.txt (http://wikisend.com/download/460888/mbr.txt)
hijackthis.txt (http://wikisend.com/download/585724/hijackthis.txt)
PREVx3.txt (http://wikisend.com/download/452876/PREVx3.txt)

Spero che possiate aiutarmi.
Grazie

Procedi esattamente come indicato nella Guida in prima pagina.

Procedi esattamente come indicato nella Guida in prima pagina.

Questi i LOG del passo 1:
GMER.txt (http://wikisend.com/download/909322/GMER.txt)
PREVx3.txt (http://wikisend.com/download/438024/PREVx3.txt)

Spero possiate aiutarmi.
Grazie.

Questi i LOG del passo 1:
GMER.txt (http://wikisend.com/download/909322/GMER.txt)
PREVx3.txt (http://wikisend.com/download/438024/PREVx3.txt)

Spero possiate aiutarmi.
Grazie.

Allega in sequenza i log della Seconda e Terza fase.

ciao
sono un utente poco avanzato, però la guida a pagina 1 la possono capire davvero tutti.
premetto cmq di non aver letto tutte le 146 pagine ma sono saltato direttamente all'ultima per sapere se la discussione era ancora attuale.

dunque la mia domanda è :
esiste di questa guida anke la versione per windows 7 a 64bit ?

grazie in tutti i casi

ciao
sono un utente poco avanzato, però la guida a pagina 1 la possono capire davvero tutti.
premetto cmq di non aver letto tutte le 146 pagine ma sono saltato direttamente all'ultima per sapere se la discussione era ancora attuale.

dunque la mia domanda è :
esiste di questa guida anke la versione per windows 7 a 64bit ?

grazie in tutti i casi

Ciao e benvenuto!

Purtroppo con i sistemi a 64bit abbiamo le mani un pochino legate, ma sulla base di cosa deduci di aver contratto l'infezione in oggetto, non è impossibile ma su un sistema con architettura a 64bit mi pare strano.

ehi, che velocità !!

veramente non ho indizi che mi diano indicazioni in questo senso.
però, come già accennato, sono poco esperto. dunque non conoscendo i sintomi di tale condizione volevo scansionare diciamo così a scopo preventivo.
----------------------

possiedo due pc di cui "l'altro" viaggia a XP.
con le stesse premesse di esperienza, ma con la tua guida, ho lanciato gmer.exe su quest'ultimo, scontrandomi però con la finestra:
"Si è verificato un errore in gmer.exe. L'applicazione verrà chiusa.", con seguente "Segnalazione del problema a Microsoft" e la chiusura dell'applicazione.

come raccolgo in questo caso informazioni da segnalare qui (in caso di utilità), per continuare con l'operazione?

ehi, che velocità !!

veramente non ho indizi che mi diano indicazioni in questo senso.
però, come già accennato, sono poco esperto. dunque non conoscendo i sintomi di tale condizione volevo scansionare diciamo così a scopo preventivo.
----------------------

possiedo due pc di cui "l'altro" viaggia a XP.
con le stesse premesse di esperienza, ma con la tua guida, ho lanciato gmer.exe su quest'ultimo, scontrandomi però con la finestra:
"Si è verificato un errore in gmer.exe. L'applicazione verrà chiusa.", con seguente "Segnalazione del problema a Microsoft" e la chiusura dell'applicazione.

come raccolgo in questo caso informazioni da segnalare qui (in caso di utilità), per continuare con l'operazione?

A scopo preventivo su entrambi i sistemi puoi far girare Prevx e DrWeb CureIt (prestando attenzione alle istruzioni in prima pagina)

ok, per ora grazie

ti farò sapere.....

Salute a te, chill-out

con tutti i miei dubbi e la mia propensione a prevenire, mi permetto di esporre qui un metodo per coloro che come me preferiscono chiudere la stalla PRIMA che le mucche scappino.

Con MBRtool (freeware - scaricabile qui)
http://www.brothersoft.com/mbrtool-61331.html
è possibile fare il backup del MBR sano, così che sia possibile ripristinarlo in caso di contagio.

Se applicata per tempo credo sia anche una valida alternativa alla guida in prima pagina, anche visti i fastidi e la pericolosità dei rootkit in questi casi.

Salute a te, chill-out

con tutti i miei dubbi e la mia propensione a prevenire, mi permetto di esporre qui un metodo per coloro che come me preferiscono chiudere la stalla PRIMA che le mucche scappino.

Con MBRtool (freeware - scaricabile qui)
http://www.brothersoft.com/mbrtool-61331.html
è possibile fare il backup del MBR sano, così che sia possibile ripristinarlo in caso di contagio.

Se applicata per tempo credo sia anche una valida alternativa alla guida in prima pagina, anche visti i fastidi e la pericolosità dei rootkit in questi casi.

E' possibile farlo anche da Console di ripristino di Win, ciao.

Salve a tutti,ho un pc di un cliente che non posso assolutamente formattare,ha preso il classico virus yoyo che intacca l'mbr e all'avvio da Y(8capovolto)Y(8capovolto) subito la dicitura verifing dmi pool data.
Con fixmbr,fixboot e ripristino installazione xp professionale non sono riuscito a risolvere il problema.
A questo punto ho pensato di portarmi il pc e di risolvere smontando l'hd e collegarlo come hd esterno tramite box usb in modo da poter fare una scansione con diversi software.
Avira e Malware bytes nono rilevano nulla.Stealth Mbr non rileva nulla,Gmer mi scansiona solo C mentre sul mio pc l'hd collegato come esterno ha assegnata la lettera E
Mi date una mano?

Salve a tutti,ho un pc di un cliente che non posso assolutamente formattare,ha preso il classico virus yoyo che intacca l'mbr e all'avvio da Y(8capovolto)Y(8capovolto) subito la dicitura verifing dmi pool data.
Con fixmbr,fixboot e ripristino installazione xp professionale non sono riuscito a risolvere il problema.
A questo punto ho pensato di portarmi il pc e di risolvere smontando l'hd e collegarlo come hd esterno tramite box usb in modo da poter fare una scansione con diversi software.
Avira e Malware bytes nono rilevano nulla.Stealth Mbr non rileva nulla,Gmer mi scansiona solo C mentre sul mio pc l'hd collegato come esterno ha assegnata la lettera E
Mi date una mano?

Ciao, fai girare Prevx e DrWeb CureIt esattamente come indicato in prima pagina.

http://www.hwupgrade.it/forum/showthread.php?p=32658944#post32658944

il topic era questo ma è stato chiuso e allora continuo qua.

io ho fatto tutto ciò che c'era scritto di fare alla pagine uno di questo topic ma il risultato è stato negativo: non mi trova niente...

se volete posso postare pure i log delle scansioni (ma mi sembra inutile) sl che non mi fa caricare + di un file txt per messaggio..cmq fatemi sapere...

Riporto quanto scritto nella Guida in prima pagina

NOTA BENE:
1 - AL FINE DI MANTENERE IL THREAD ORDINATO E FRUIBILE HOSTATE I LOG SOLO ED ESCLUSIVAMENTE IN FORMATO .TXT SU http://wikisend.com/ in alternativa su http://www.filedropper.com/ PUBBLICANDO PER OGNI LOG IL LINK CHE VERRA' RILASCIATO PER IL DOWNLOAD
2 - E' OPPORTUNO LEGGERE ATTENTAMENTE TUTTA LA GUIDA

Scarica questo tool http://ad13.geekstogo.com/MBRCheck.exe link alternativo http://wikisend.com/download/449386/MBRCheck.exe

1 Doppio click MBRCheck.exe
2 Dovrebbe aprirsi una finestra nera (non intraprendere nessuna azione)
3 Scegli l'opzione 3 Exit ed allega il log prodotto (MBRCheck_date_time)

dimmi inioltre se hai il disco di installazione di Win.

col tuo link mi dice

403 Forbidden
Access to this resource on the server is denied!

cmq si ho il cd di windows xp con sp3

Anche a me Access to this resource on the server is denied! vedo di recuperare una copia di quel tool, mi serve quel log per procedere.

PS: il server è temporanemente offline lo stanno ripristinando.

è ancora offline il sito


sta sera viene qua un mio amico..se gli passo dei file..(film....che ho su un altro hd nn quello di sistema..ma su quello di storage.....rischia qualcosa???)


fatemi sapere....che io credo che il hd infetto sia quello di sistema.......almeno da quello che ho linkato...e vorrei sapere se rischio qualcosa se gli passo dei file a lui....


grazie:) ps lui ha seven :)

Segui questa procedura

* Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS
* Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY
* Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive
* A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows
* Premi F10 per confermare ed uscire
* Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
* Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
* Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, 1) X:\Windows quindi premere 1 e confermare con OK
* Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.
* Al prompt dei comandi digita FIXMBR e clicca su Y per confermare
* Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows

http://wikisend.com/download/500368/MBRCheck_07.22.10_18.02.18.txt

il server è tornato online :)


toglimi una curiosità ma il problema su quale hd è ???

quello + piccolo è quello di sistema quello + grande è quello che tengo come storage

Scusa, ma \F: che cos'è ?

c è l hardisk col sistema operativo.....

il secondo hardisk che uso come storage..è l unità F

Interno o esterno?

è interno....

Esegui nuovamente MBRCheck.exe

alla dicitura "Enter 'Y' and hit ENTER for more options, or 'N' to exit"

digita Y e batti invio

MBRCheck ti mostra 3 opzioni:

[1] Dump de MBR of a physical disk to file
[2] Restore de MBR or a physical disk whit a standar boot code..
[3] Exit.

scegli l'opzione 2

alla dicitura "Enter the physical disk number to fix (0-99, -1 to cancel):"

digita 1 e batti invio

alla dicitura Available MBR codes:

seleziona il tuo SO digita YES e batti invio

attendi che il tool faccia il suo lavoro, riavvia la macchina ed allega il log che trovi sul Desktop MBRfix.txt

purtroppo per 3 giorni sarò assente...tornerò online per lunedì confido in una risposta...

grazie comunque :)

Ciao, mi dovresti allegare questo log MBRfix.txt come precedentemente richiesto.

Ciao Chill, sono di nuovo io, stamane ho avuto una brutta sorpresa,
mentre smanettavo sul computer ho rivisto la cartella Help assistant, pensavo fosse vuota, vado x controllarla e mi pesa 1,29 GB; mi sembra un pò troppo, vado su utenti e vedo con mia triste sorpresa che il mostro utente "help assistant" è abilitato. Notavo da un pezzo che stranamente il pc non riusciva ad andare in stand by.
Non ho fatto nulla, stavolta prima di smanettare aspetto tuoi lumi.
Ciao spero possa aiutarmi

Ciao Chill, sono di nuovo io, stamane ho avuto una brutta sorpresa,
mentre smanettavo sul computer ho rivisto la cartella Help assistant, pensavo fosse vuota, vado x controllarla e mi pesa 1,29 GB; mi sembra un pò troppo, vado su utenti e vedo con mia triste sorpresa che il mostro utente "help assistant" è abilitato. Notavo da un pezzo che stranamente il pc non riusciva ad andare in stand by.
Non ho fatto nulla, stavolta prima di smanettare aspetto tuoi lumi.
Ciao spero possa aiutarmi

Segui esattamente la Guida in prima pagina.

Come un paziente al dottore deve far presente tutto qullo che ha notato cosi ti dico quello che mi si è verificato.
Ho disattivato il Ripristino Configurazione Sistema
Ho lanciato gmer
ho lasciato il notebook acceso che scansionava e l'ho ritrovato che cercava di rriaccendersi ma era fermo all'immagine iniziale di windows con quella specie di clessidra in basso che andava avanti e indietro ma il pc non partiva.
ho forzato lo spegnimento, fatto partire la modalità provvisoria, era tutto ok, ho fatto ripartire e si è riavviato normalmente, solo che mi aveva disabilitato tutte le unità disco virtuali.
ora sto provando a ripetere la scansione di Gmer.
Appena ho pronto tutto mi faccio sentire, ci vuole un pò x tutte quelle scansioni e relative operazioni.

P.S. 1°: volevo chiederti una cosa, ho il sospetto che la modalitò di standby sia disabilitata da HelpAssistant, tu che ne pensi ? lo standby potrebbe essere qualcosa che cozza con questo problema?

P.S. 2°: Nel precedente tentativo di eliminare il rootkit alla fine non avevo proceduto come dice la guida, allora mi ero limitato a disabilitare l'account, non ad eliminarlo, cambia qualcosa?

Appena ho pronto tutto mi faccio sentire, ci vuole un pò x tutte quelle scansioni e relative operazioni.

La Prima Fase non porta via + di 1/2 ora


P.S. 1°: volevo chiederti una cosa, ho il sospetto che la modalitò di standby sia disabilitata da HelpAssistant, tu che ne pensi ? lo standby potrebbe essere qualcosa che cozza con questo problema?

No


P.S. 2°: Nel precedente tentativo di eliminare il rootkit alla fine non avevo proceduto come dice la guida, allora mi ero limitato a disabilitare l'account, non ad eliminarlo, cambia qualcosa?

Beh direi di si, anche se non ricordo cosa successe all'epoca.

il mio gmer è molto lento.
Anzi x meglio dire mi ha dato x 3 volte la schermata mentre stava facendo la scansione, l'ultima che ho seguito personalmente, si è fermata dopo 3 ore e 44 min.
Mi sono scritto la schermata blu.

il problema sembra essere causato dal file seguente: awgiyuod.sys

PAGE_FAULT_IN_NONPAGED_AREA

*** STOP: Ox00000050 (OXFB849000,OxOOOOOOOO,Ox9CCF6FEC,OXOOOOOOO0)


*** awgiyuod.sys - Address 9CCF6FEC base at 9CCF6000, DateStamp 4aff0029

Il punto è che questo awgiyuod.sys GMer nella scansione o lo crea lui o lo scansiona come problema
e me lo da tra i moduli cosi:

awgiyuod.sys (GMER) \??\c:\DOCUME^1\ANDREA\IMPOST^1\Temp\awgiyuod.sys

aspetto tue istruzioni e intanto mi vado a coricare

Problema risolto, avevo una versione sbagliata di gmer
Ti allego i post.

http://wikisend.com/download/770096/GMer dom 25072010 10.47.22.txt

http://wikisend.com/download/571900/PrevX dom 25072010 6.32.08.txt

ciao a tutti io mi sono bloccato al primo step, ovvero l'avvio di gmer. appena lo avvio mi dice che non trova il file system dopodicchè quando clicco scan (molte delle caselle sono ingrigite) mi dice che il file system è utilizzato da un altro processo: che faccio?

Allego log seconda fase

http://wikisend.com/download/465818/mbr Dom 25072010 1150.txt

http://wikisend.com/download/881934/NFix_2010-07-25_12-17-47.txt

ciao a tutti io mi sono bloccato al primo step, ovvero l'avvio di gmer. appena lo avvio mi dice che non trova il file system dopodicchè quando clicco scan (molte delle caselle sono ingrigite) mi dice che il file system è utilizzato da un altro processo: che faccio?

Passa direttamente a Prevx, premurandoti di leggere bene le istruzioni.

Allego log seconda fase

http://wikisend.com/download/465818/mbr Dom 25072010 1150.txt

http://wikisend.com/download/881934/NFix_2010-07-25_12-17-47.txt

Non emerge nulla, fai scansione di controllo con CureIt.

Passa direttamente a Prevx, premurandoti di leggere bene le istruzioni.

non capisco come ripulire, comunque sembra non trovare nulla!

http://wikisend.com/download/466342/prevx.log

non capisco come ripulire, comunque sembra non trovare nulla!

http://wikisend.com/download/466342/prevx.log

Log pulito, ma su quale base pensi di aver contratto l'infezione in oggetto?

http://img838.imageshack.us/img838/1417/kavp.th.jpg (http://img838.imageshack.us/i/kavp.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

nn è scomparso neanche dopo avere formattato

http://img838.imageshack.us/img838/1417/kavp.th.jpg (http://img838.imageshack.us/i/kavp.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

nn è scomparso neanche dopo avere formattato

Adesso è più chiaro, la procedura è diversa leggi qui http://www.hwupgrade.it/forum/showpost.php?p=32662879&postcount=2923

MBRCheck_07.25.10_22.02.12.txt (http://wikisend.com/download/526996/MBRCheck_07.25.10_22.02.12.txt)

MBRCheck_07.25.10_22.02.12.txt (http://wikisend.com/download/526996/MBRCheck_07.25.10_22.02.12.txt)

Esegui nuovamente MBRCheck.exe

alla dicitura "Enter 'Y' and hit ENTER for more options, or 'N' to exit"

digita Y e batti invio

MBRCheck ti mostra 3 opzioni:

[1] Dump de MBR of a physical disk to file
[2] Restore de MBR or a physical disk whit a standar boot code..
[3] Exit.

scegli l'opzione 2

alla dicitura "Enter the physical disk number to fix (0-99, -1 to cancel):"

digita 1 e batti invio

alla dicitura Available MBR codes:

seleziona il tuo SO digita YES e batti invio

attendi che il tool faccia il suo lavoro, riavvia la macchina ed allega il log che trovi sul Desktop MBRfix.txt

ho fatto quello che mi hai detto ma non mi è spuntato mbrfix al riavvio. in compenso se faccio ripartire il programma non mi vede più il codice malevolo!

MBRCheck_07.25.10_22.15.21.txt (http://wikisend.com/download/482918/MBRCheck_07.25.10_22.15.21.txt)

ho fatto quello che mi hai detto ma non mi è spuntato mbrfix al riavvio. in compenso se faccio ripartire il programma non mi vede più il codice malevolo!

MBRCheck_07.25.10_22.15.21.txt (http://wikisend.com/download/482918/MBRCheck_07.25.10_22.15.21.txt)

Era il log successivo che ti avrei chiesto, adesso ripeti scansione col Kasperky e fammi sapere.

Era il log successivo che ti avrei chiesto, adesso ripeti scansione col Kasperky e fammi sapere.

quant'è bello leggere questo 3D...è come seguire le puntate di Xfiles :D :D

quant'è bello leggere questo 3D...è come seguire le puntate di Xfiles :D :D

In che senso?

In che senso?

nel senso che è bello seguire le modalità con cui vengono risolti i problemi, sia qui che nel 3D su hijackthis e in generale sulla "pulizia" da virus :D

nel senso che è bello seguire le modalità con cui vengono risolti i problemi, sia qui che nel 3D su hijackthis e in generale sulla "pulizia" da virus :D

.....e' tutto bello finquando non capita a te....nel senso in prima persona:oink:

ho rifatto la procedura ma a me sul desktop compare solo questo file

http://wikisend.com/download/602130/MBRCheck_07.26.10_09.57.09.txt

mbrcheck....nessun mbrfix

Come puoi notare dal log

153 GB \\.\PhysicalDrive1 Known-bad MBR code detected (Whistler / Black Internet)!

evidentemente sbagli qualcosa nel fare quanto qui indicato


Esegui nuovamente MBRCheck.exe

alla dicitura "Enter 'Y' and hit ENTER for more options, or 'N' to exit"

digita Y e batti invio

MBRCheck ti mostra 3 opzioni:

[1] Dump de MBR of a physical disk to file
[2] Restore de MBR or a physical disk whit a standar boot code..
[3] Exit.

scegli l'opzione 2

alla dicitura "Enter the physical disk number to fix (0-99, -1 to cancel):"

digita 1 e batti invio

alla dicitura Available MBR codes:

seleziona il tuo SO digita YES e batti invio

attendi che il tool faccia il suo lavoro, riavvia la macchina ed allega il log che trovi sul Desktop

Edit: controllando il precedente log si evince che ti sei reinfettato

.....e' tutto bello finquando non capita a te....nel senso in prima persona:oink:

sgrat sgrat :D :D

cmq complimenti a Chill :read:

aggiungo che il pc ci ha messo un ora a riavviarsi ma nn ho trovato quel file sul desktop

Dal log si evince che sbagli qualcosa


MBRCheck, version 1.1.1

(c) 2010, AD



\\.\C: --> \\.\PhysicalDrive0

\\.\F: --> \\.\PhysicalDrive1



Size Device Name MBR Status

--------------------------------------------

114 GB \\.\PhysicalDrive0 Unknown MBR code

153 GB \\.\PhysicalDrive1 Known-bad MBR code detected (Whistler / Black Internet)!





Found non-standard or infected MBR.

Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Options:

[1] Dump the MBR of a physical disk to file.

[2] Restore the MBR of a physical disk with a standard boot code.

[3] Exit.



Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): Available MBR codes:

[ 0] Default (Windows XP)

[ 1] Windows XP

[ 2] Windows Server 2003

[ 3] Windows Vista

[ 4] Windows 2008

[ 5] Windows 7

[-1] Cancel



Please select the MBR code to write to this drive:

Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code!

Please reboot your computer to complete the fix.





Done! Press ENTER to exit...

io l ho fatto anche adesso...

metto Y

scelgo l opzione 2

poi metto 1 (per l hd)

sulla richiesta del so ho provato sia con 0 che con 1

e alla fine mi dice che la cosa è andata a buon fine e di riavviare...

questi sn i passaggi però ripeto nn mi si riavvia...

dove sbaglio?

Riavvia ed allega nuovo log di MBRCheck

http://wikisend.com/download/704762/MBRCheck_07.26.10_15.31.03.txt

questo giro ho scelto spegni computer (anzichè riavviare) ci ha messo 20 minuti..però si è spento..ora l ho riacceso..ma nn trovo quel file che dici tu sul desktop

cmq questo è l ultimo mbrcheck

Se la procedura viene eseguita correttamente questo è il log che ti restituisce



MBRCheck, version 1.1.1

(c) 2010, AD



\\.\C: --> \\.\PhysicalDrive0

\\.\D: --> \\.\PhysicalDrive1

\\.\E: --> \\.\PhysicalDrive0



Size Device Name MBR Status

--------------------------------------------

465 GB \\.\PhysicalDrive0 Windows 7 MBR code detected

465 GB \\.\PhysicalDrive1 Windows 7 MBR code detected





Done! Press ENTER to exit...

ma se sbaglio dove sbaglio? cioè ti ho scritto quello che faccio e mi pare che sia quello che mi hai detto tu

Comprenderai perfettamente che prestare assistenza a distanza è tutt'altro che facile, cumunque dal tuo log si evince che non selezioni le opzioni descritte nella mia procedura.

Vedi esempio

http://img638.imageshack.us/img638/5640/mbrcheckexample.th.jpg (http://img638.imageshack.us/i/mbrcheckexample.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

si si ma infatti io ti ringrazio che sei gentile e stai cercando di darmi una mano..
comunque ti metto queste due immagini così vedi cosa faccio :)


http://img819.imageshack.us/img819/4906/immagine1mj.jpg

http://img191.imageshack.us/img191/9931/immagine2ba.jpg

Allegami un log con queste modalità, ovvero senza intraprendere nessuna azione.

http://www.hwupgrade.it/forum/showpost.php?p=32662879&postcount=2923

Ciao Chill, sono su un altro pc.
ho fatto prima la scansione "rapida" in "enhanced protection mode"( 2 ore e 10 min Z) col dott.web, poi ho iniziato quella completa che ha iniziato anch'essa in "enhanced protection mode" ma dalle 20 di ieri domenica ad ora 2100 di lunedi sta ancora scannerizzando tu che dici forzo a spegnere il pc o aspetto ancora . Fammi sapere sono un po preoccupato non avendo più alcun punto di ripristino

Sono le 00.52 ancora lavora o almeno così sembra, ma è possibile 29 ore di scannerizzazione? o si è bloccato, ma il processore sembra lavorare e la schermata sebbene bloccata lampeggia.

volevo chiederti se visto che sembra non risultare nulla, dr Web permettendo, procedo a rimuovere la cartella HelpAssistant e l'account e nel caso, ho windows pro, che significa membro di se?

Grazie ciao

Sono le 06.20 il pc ancora lavora ( almeno sembra ) in modalita enhanced è possibile ? Anche se ho 2 hard disk da 495 GB mi sembra un pò troppo, ma non blocco x paura di fare danno ulteriore

Ciao Chill, sono su un altro pc.
ho fatto prima la scansione "rapida" in "enhanced protection mode"( 2 ore e 10 min Z) col dott.web, poi ho iniziato quella completa che ha iniziato anch'essa in "enhanced protection mode" ma dalle 20 di ieri domenica ad ora 2100 di lunedi sta ancora scannerizzando tu che dici forzo a spegnere il pc o aspetto ancora . Fammi sapere sono un po preoccupato non avendo più alcun punto di ripristino

Sono le 00.52 ancora lavora o almeno così sembra, ma è possibile 29 ore di scannerizzazione? o si è bloccato, ma il processore sembra lavorare e la schermata sebbene bloccata lampeggia.

volevo chiederti se visto che sembra non risultare nulla, dr Web permettendo, procedo a rimuovere la cartella HelpAssistant e l'account e nel caso, ho windows pro, che significa membro di se?

Grazie ciao

Sono le 06.20 il pc ancora lavora ( almeno sembra ) in modalita enhanced è possibile ? Anche se ho 2 hard disk da 495 GB mi sembra un pò troppo, ma non blocco x paura di fare danno ulteriore

Sono un po tante, ma quanta roba c'è sul quel PC? Comunque la scansione si può sospendere e abortire.

http://wikisend.com/download/447806/MBRCheck_07.26.10_19.05.24.txt

ecco

Qualcosa non quadra, questo è evidente, dimmi di che marca è il PC, successivamente fai scansione completa con DrWeb CureIt come indicato in prima pagina.

no non mi da nessuna possibilità, si vede solo il fondo dello schermo, mi sa che lo stoppo. Dei 495 + 495 gb ce ne saranno un 480 occupati il resto libero.

ore 10.00

Stoppato c'era qualcosa che era andato male, ecco il log filtrato con parser.

http://wikisend.com/download/533132/cureit filtrato mar 27072010 10.04.34.txt

Ho fatto una scansione x verifica con MBR checker, forse il problema è lì. Tutto forse si è riformato da li ti allego il file

http://img175.imageshack.us/i/mbrcheck.png/

Il mio è un Windows media center edition ( pro service pack 3)

Nel frattempo anche Prevx mi ha comunicato che l'unità è infetta e per rimuovere l'infezione devo effettuare una scansione completa

http://img814.imageshack.us/i/prevx.png/

no non mi da nessuna possibilità, si vede solo il fondo dello schermo, mi sa che lo stoppo. Dei 495 + 495 gb ce ne saranno un 480 occupati il resto libero.

ore 10.00

Stoppato c'era qualcosa che era andato male, ecco il log filtrato con parser.

http://wikisend.com/download/533132/cureit filtrato mar 27072010 10.04.34.txt

Ho fatto una scansione x verifica con MBR checker, forse il problema è lì. Tutto forse si è riformato da li ti allego il file

http://img175.imageshack.us/i/mbrcheck.png/

Il mio è un Windows media center edition ( pro service pack 3)

Nel frattempo anche Prevx mi ha comunicato che l'unità è infetta e per rimuovere l'infezione devo effettuare una scansione completa

http://img814.imageshack.us/i/prevx.png/

Leggi la Guida in prima pagina, Prevx ti consente la rimozione gratuita.

ora faccio le scansioni

cmq è un amd atlhon 3500
1 gb di ram
2 hard disk uno con so da 120 gb e uno di storage con 160gb
windows xp sp3

il pc è un assemblato....ho cambiato due anni fa la scheda madre passando da asus a msi..e ho aggiunto semrpe due anni fa l hd che ha problemi...

qualceh tempo fa ho provato ad aggiornare il bios (il pc dava problemi) dal sito msi

Scarica questo tool http://www.esagelab.com/resources.php?s=bootkit_remover sul Desktop

Scompatta l'archivio compresso e posiziona remover.exe sempre sul Desktop

Doppio click su remover.exe ed allegami il log che produce

http://wikisend.com/download/607290/bootkit_remover_debug_log.txt

è normale che quando lo faccio nella scheramta dos si veda sl l unità c? (quella con l OS?)

Mi hai allegato un geroglifico, puoi copiare ed incollare (nel Blocco note) il contenuto del Prompt cliccando col tasto dx del mouse sulla barra del titolo.

Esempio di log

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: 33651d4929a84a7ab9d65c115ce1bdc0

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
Reply With Quote

Scusa Chill, ma Prevx mi segnala in maniera estemporanea come se fosse una scansione di sua sponte che c'è il problema , ma quando faccio la scansione completa non me lo rileva, che tipo di scansione gli devo fare fare ?
e per quanto evidenziato da mbrcheck che faccio

Scusa Chill, ma Prevx mi segnala in maniera estemporanea come se fosse una scansione di sua sponte che c'è il problema , ma quando faccio la scansione completa non me lo rileva, che tipo di scansione gli devo fare fare ?
e per quanto evidenziato da mbrcheck che faccio

http://img814.imageshack.us/i/prevx.png/ cliccare sul tasto Rimuovi

Non ti ho chiesto il log di MBRCheck.exe tanto è vero che il log è pulito, sono due cose diverse.

Quando su prevx faccio rimuovi mi richiede la licenza, ma io ho la versione free quindi dovrei comprare l'altra versione?
Poi mbrCheck dice che ho l'mbr non riconosciuti non dovrei riportarli a quelli di windows?

Poi mbrCheck dice che ho l'mbr non riconosciuti non dovrei riportarli a quelli di windows?

No, ed allega un log di Prevx.

visto che nn me lo fa salvare (cioè facendo come dici tu...trovo l opzione copia...ma nn me la fa selezionare) ti posto l immaigne ....

http://img69.imageshack.us/img69/4868/immaginecpb.jpg

Dov'è finito F:\ ????


Disabilita il Ripristino configurazione sistema ( su entrambi i dischi) e fai scansione completa con MBAM, qui trovi le INFO che ti necessitano http://www.hwupgrade.it/forum/showthread.php?t=1599737

Ti allego tutto quello che ho su prevx

http://wikisend.com/download/506030/CSICleanupLog.txt

http://wikisend.com/download/923244/Prevx mar 27072010 12.24.21.txt

Ti allego tutto quello che ho su prevx

http://wikisend.com/download/506030/CSICleanupLog.txt

http://wikisend.com/download/923244/Prevx mar 27072010 12.24.21.txt

[27/7/2010 10:43] The file [\\.\PhysicalDrive0\MBR] has been removed and contained a threat of type [Possible MBR Rootkit] - Identity: 0000000000000000000000000000000000000000
[27/7/2010 10:45] The file [\\.\PhysicalDrive0\MBR] has been removed and contained a threat of type [Possible MBR Rootkit] - Identity: 0000000000000000000000000000000000000000

a posto, comunque ti avevo chiesto un log completo.

Ma il secondo link non è il log completo?

Ora che faccio ricancello la cartella e disabilito l'account e poi lo elimino?

Scusa a riguardo ho windows pro, che significa membro di se, scritto nella guida?

Ma il secondo link non è il log completo?

Ora che faccio ricancello la cartella e disabilito l'account e poi lo elimino?

Scusa a riguardo ho windows pro, che significa membro di se, scritto nella guida?

No, non è il log completo.

Significa quello che c'è scritto, comunque ho aggiunto una virgola a scanso di equivoci.

Scusa ho sbagliato il log completo era:

http://wikisend.com/download/208376/Prevx mar 27072010 12.41.21.txt

Procedo allora ad eliminare l'account?

Scusa ho sbagliato il log completo era:

http://wikisend.com/download/208376/Prevx mar 27072010 12.41.21.txt

Procedo allora ad eliminare l'account?

Si, come da istruzioni.

ok account disabilitato, rimosso dal membro di, pc riavviato.

l'account resta disabilitato, lo devo lasciare cosi o lo rimuovo? e la cartella

C:\Documents and Settings\HelpAssistant

la lascio o la posso cancellare?

grazie sempre cmq x la tua disponibilità

ok account disabilitato, rimosso dal membro di, pc riavviato.

l'account resta disabilitato, lo devo lasciare cosi o lo rimuovo? e la cartella

C:\Documents and Settings\HelpAssistant

la lascio o la posso cancellare?

grazie sempre cmq x la tua disponibilità

L'Account lo lasci disabilitato, la cartella HelpAssistant la lasci dov'è l'importante è che sia vuota.

sento un TAK.. (a volte questo rumore lo sento anche quando ho windows acceso)... sl che a questo punto mi si blocca su


Brutto segno se proviene dall'HDD

http://wikisend.com/download/930032/mbam-log-2010-07-27 (14-23-54).txt

Log pulito, dovrebbero esserci processi infetti in memoria che MBAM non riesce a terminare, inizio a pensare che Kis sfarlocca.

è possibile che ora ho fatto una scansione completa con kis e nn mi trova niente???

Si, se alleghi il log constatiamo.

Scusa una ultima curiosità, ma se ho rimosso completamente l'infezione, perchè non rimuovere anche completamente l'account e la rispettiva cartella?

Ciao e Grazie di tutto

Scusa una ultima curiosità, ma se ho rimosso completamente l'infezione, perchè non rimuovere anche completamente l'account e la rispettiva cartella?

Ciao e Grazie di tutto

Perchè l'Account HelpAssistant con relativa cartella di norma è disabilitato ed è dedicato all'assistenza remota.

ma come mai con mbr mi da ancora quel prolbema sull hd di storage??

http://img830.imageshack.us/img830/1632/immagineyh.jpg


come salvo il rapporto?


io vado su rapporti
quello in questone è questo
ma nn so come salvarlo

Scansione Completa: processo completato 49 minuti fa (eventi: , oggetti: 93994, ora: 00.35.43)

Trattasi di un MBR non standard, nel TAB rapporti trovi il tasto salva se non ricordo male, al massimo allega uno Screenshot.

Ok Grazie , ciao di nuovo.

qua ci sn i rapporti delle scansioni di oggi

http://wikisend.com/download/313448/io.txt

Direi che siamo ok.

Ok Grazie , ciao di nuovo.

Prego, ciao.

quindi teoricamente è scomparso??però con MBR mi risulta ancora...

Come già detto trattasi di MBR non standard


ma se formattassi quell hd risolverei il problema?

Se formatti a basso livello


se porto i dati da quell hd a quello principale (giusto epr formattarlo) rischio di passare anche il virus?

Non ci sono tracce del virus

si ma quindi visto che è un mbr nn standard al fine pratico che problemi ci sn?


formattare a basso livello cosa vuol dire??


il problema èc he ora quelle volte che nn mi si impalla il pc col hd in questine attaccato se provo a trasportare dei file da quell hd a quello principale mi si impalla

E' opportuno chiedere in Sezione dedicata http://www.hwupgrade.it/forum/forumdisplay.php?f=121 ;)

ciao ragazzi anche io ho questo problema e siccome sono nuovo non so cosa fare,devo postare i log?

ciao ragazzi anche io ho questo problema e siccome sono nuovo non so cosa fare,devo postare i log?

Ciao e benvenuto/a, come indicato in prima pagina

NOTA BENE:
1 - AL FINE DI MANTENERE IL THREAD ORDINATO E FRUIBILE HOSTATE I LOG SOLO ED ESCLUSIVAMENTE IN FORMATO .TXT SU http://wikisend.com/ in alternativa su http://www.filedropper.com/ PUBBLICANDO PER OGNI LOG IL LINK CHE VERRA' RILASCIATO PER IL DOWNLOAD
2 - E' OPPORTUNO LEGGERE ATTENTAMENTE TUTTA LA GUIDA

ho fatto cosi':ho scaricato mbr,l'ho salvato in c,poi ho fatto:Start-Esegui e nello spazio bianco ho scritto:C:\mbr.exe -f
poi ho premuto ok...la scritta non appare piu',ma volevo sapere se il virus è stato eliminato definitivamente...grazie

ho fatto cosi':ho scaricato mbr,l'ho salvato in c,poi ho fatto:Start-Esegui e nello spazio bianco ho scritto:C:\mbr.exe -f
poi ho premuto ok...la scritta non appare piu',ma volevo sapere se il virus è stato eliminato definitivamente...grazie

La Guida in prima pagina prevede una determinata procedura struttura in passaggi che non sono casuali, tu invece hai eseguito direttamente Stealth MBR rootkit detector.

Tra l'altro senza vedere un log come posso risponderti?

scusate ma come faccio a caricare un log?

x eman90
http://www.hwupgrade.it/forum/showthread.php?t=1751598



x chill-out:
1 ora e mezzo di formattazione a basso livello (Ho trovato un programma free)
4 ore di formattazione normale in ntfs..e finalmente il log è questo...problema risolto :D
GRAZIE DI TUTTO

http://wikisend.com/download/553122/MBRCheck_07.31.10_18.55.45.txt

Prego

ecco il log

ecco il log

Il log di HJT non è previsto

http://www.hwupgrade.it/forum/showpost.php?p=21854177&postcount=1 :read:

ciao a tutti, innanzitutto complimenti per il lavoro, passo al mio problema.
NOD 32 rileva la presenza del rootkit mebroot.k, seguendo la vostra guida ho eseguito la prima fase e questi sono i log potete verificarli?
grazie in anticipo
http://wikisend.com/download/464106/GMERLOG.txt
http://wikisend.com/download/504606/LOGPREVX.log

ciao a tutti, innanzitutto complimenti per il lavoro, passo al mio problema.
NOD 32 rileva la presenza del rootkit mebroot.k, seguendo la vostra guida ho eseguito la prima fase e questi sono i log potete verificarli?
grazie in anticipo
http://wikisend.com/download/464106/GMERLOG.txt
http://wikisend.com/download/504606/LOGPREVX.log

Ciao e benvenuto/a, dai log non emerge nulla, potresti allegare il log del Nod32 che rileva il Rootkit

PS: sul tuo PC vedo installato Avast

ciao,
ho effettuato la scansione con il NOD collegando l'HD su un altro PC, la rifaccio e allego il log.
grazie

ciao,
ho effettuato la scansione con il NOD collegando l'HD su un altro PC, la rifaccio e allego il log.
grazie

HDD esterno?

scusa se rispondo con ritardo ma ero fuori,
si tratta comunque dell'HDD di un portatile, ti allego il log di NOD 32, sembra tutto ok forse perchè nel frattempo ho proceduto con le fasi 2 e 3.

http://wikisend.com/download/547464/nod32.log

scusa se rispondo con ritardo ma ero fuori,
si tratta comunque dell'HDD di un portatile, ti allego il log di NOD 32, sembra tutto ok forse perchè nel frattempo ho proceduto con le fasi 2 e 3.

http://wikisend.com/download/547464/nod32.log

Dal log del Nod32

Si è verificato un errore durante il controllo del settore MBR di 2. Disco fisico. Errore nella lettura del settore .

non mi piace molto, allega i log della Fase 2 e 3 :)

scusa se rispondo con ritardo ma ero fuori,
si tratta comunque dell'HDD di un portatile, ti allego il log di NOD 32, sembra tutto ok forse perchè nel frattempo ho proceduto con le fasi 2 e 3.

http://wikisend.com/download/547464/nod32.log