scusa se rispondo con ritardo ma ero fuori,
si tratta comunque dell'HDD di un portatile, ti allego il log di NOD 32, sembra tutto ok forse perchè nel frattempo ho proceduto con le fasi 2 e 3.

http://wikisend.com/download/547464/nod32.log

http://www.hwupgrade.it/forum/showpost.php?p=32817925&postcount=3033 :)

ecco i log della seconda fase

http://wikisend.com/download/860242/mbr.log
http://wikisend.com/download/885616/NFix_2010-08-11_22-58-37.log

ecco i log della seconda fase

http://wikisend.com/download/860242/mbr.log
http://wikisend.com/download/885616/NFix_2010-08-11_22-58-37.log

Per scrupolo fai scansione di controllo con CureIt.

ecco il log di cureit

http://wikisend.com/download/438306/cureit filtrato.txt

P.S. perchè i nomi delle cartelle e dei file sono di colore blu?

grazie

ecco il log di cureit

http://wikisend.com/download/438306/cureit filtrato.txt

P.S. perchè i nomi delle cartelle e dei file sono di colore blu?

grazie

Log pulito, in che senso sono blu :p

solitamente i caratteri dei nomi delle cartelle e dei file sono neri qui sono blu

Volevo ringraziare per l'aiuto, state facendo un ottimo lavoro.

Salutoni

sono un nuovo utente un po attempato
allora ecco il mio log

http://www.filedropper.com/gmer

<a href=http://www.filedropper.com/gmer><img src=http://www.filedropper.com/download_button.png width=127 height=145 border=0/></a><br /><div style=font-size:9px;font-family:Arial, Helvetica, sans-serif;width:127px;font-color:#44a854;> <a href=http://www.filedropper.com >File Hosting Online Storage Backup</a></div>

anche prevx mi da errore ma non so come postarlo
che devo fare ora
grazie a tutti

sono passato alla fase 2
o dovevo aspettare boh
ecco il log nfix

http://www.filedropper.com/nfix2010-08-1217-05-11

di nuovo grazie

solitamente i caratteri dei nomi delle cartelle e dei file sono neri qui sono blu

Volevo ringraziare per l'aiuto, state facendo un ottimo lavoro.

Salutoni

Start - Pannello di controllo - Schermo - Aspetto e ripristini la combinazione che desideri.

sono un nuovo utente un po attempato
allora ecco il mio log

http://www.filedropper.com/gmer

<a href=http://www.filedropper.com/gmer><img src=http://www.filedropper.com/download_button.png width=127 height=145 border=0/></a><br /><div style=font-size:9px;font-family:Arial, Helvetica, sans-serif;width:127px;font-color:#44a854;> <a href=http://www.filedropper.com >File Hosting Online Storage Backup</a></div>

anche prevx mi da errore ma non so come postarlo
che devo fare ora
grazie a tutti

sono passato alla fase 2
o dovevo aspettare boh
ecco il log nfix

http://www.filedropper.com/nfix2010-08-1217-05-11

di nuovo grazie

Ciao e benvenuto, il tuo problema è un'altro (Conficker), desidererei vedere prima il log di Prevx prima di fornirti ulteriori istruzioni.

intanto grazie mille
pensavo fosse un visus nel mdr
mi reindirizzava alcuni siti con entrambi i browers
come faccuo a darti un log da pervx
non so fare una immagine ne fare un log
aiutami

intanto grazie mille
pensavo fosse un visus nel mdr
mi reindirizzava alcuni siti con entrambi i browers
come faccuo a darti un log da pervx
non so fare una immagine ne fare un log
aiutami

E' scritto nella Guida in prima pagina

Dopo aver terminato la scansione per ottenere il log cliccare su Tools - Salva file di log

http://www.filedropper.com/prevx

ecco il log di prevx
prima che facessi girare norman
se necessita lo rifaccio

http://www.filedropper.com/prevx

ecco il log di prevx
prima che facessi girare norman
se necessita lo rifaccio

Ok, adesso segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1984665

NB: i log vanno allegati dove appena indicato :)

ora seguo la guida
NON mi abbandonare
sono tre gg che tribolo

il test 1 e il test 2
dicono che e tutto ok
sicuro che sia conficker ?
devo continuare a postare qui ?
e i log dove li posto ?

con gmer non posso allegare nessun log, non mi rileva niente e all'apertura mi dice che
c:\windows\system32\config\system
impossibile trovare il file specificato

ecco invece il log di prevx
log prevx.log (http://wikisend.com/download/614650/log prevx.log)

allego log di mbr
mbr.log (http://wikisend.com/download/597316/mbr.log)
e di nfix
NFix_2010-08-19_11-55-46.log (http://wikisend.com/download/580714/NFix_2010-08-19_11-55-46.log)

con gmer non posso allegare nessun log, non mi rileva niente e all'apertura mi dice che
c:\windows\system32\config\system
impossibile trovare il file specificato

ecco invece il log di prevx
log prevx.log (http://wikisend.com/download/614650/log prevx.log)

allego log di mbr
mbr.log (http://wikisend.com/download/597316/mbr.log)
e di nfix
NFix_2010-08-19_11-55-46.log (http://wikisend.com/download/580714/NFix_2010-08-19_11-55-46.log)

Ciao, sulla base di cosa pensi di aver contratto questo Virus?

Ciao, sulla base di cosa pensi di aver contratto questo Virus?

ciao, in passato ho già avuto a che fare con degli mbr, ma era un altra piattaforma
ora sto avendo problemi di schermate blu continue, non voglio escludere nessuna ipotesi, infatti in modalità provvisoria avevo trovato dei trojan
ho eseguito la scansione completa con cureit e non mi ha trovato niente di rilevante
ah, ho avuto parecchi problemi immagino di conflitti di sistema a 64 bit con adobe flash player e browser
ti ringrazio anticipatamente
aspetto tuoi consigli

ciao, in passato ho già avuto a che fare con degli mbr, ma era un altra piattaforma
ora sto avendo problemi di schermate blu continue, non voglio escludere nessuna ipotesi, infatti in modalità provvisoria avevo trovato dei trojan
ho eseguito la scansione completa con cureit e non mi ha trovato niente di rilevante
ah, ho avuto parecchi problemi immagino di conflitti di sistema a 64 bit con adobe flash player e browser
ti ringrazio anticipatamente
aspetto tuoi consigli

Se desideri fare un controllo approfondito ad ampio raggio ti suggerisco la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737).

Se desideri fare un controllo approfondito ad ampio raggio ti suggerisco la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737).

ok procedo, meglio togliermi ogni dubbio a livello software prima di procedere con testing definitivo della parte hardware
ho appena chiesto nella sezione di hijack nel caso spuntasse qualcosa
con prevx sembrava risolto ma i rischi che mi identifica sembrano aver a che fare con i driver audio?!

ti ringrazio

Qualcuno mi può dire se sono infetto da questo rootkit????

Post il log di gmer:
http://wikisend.com/download/602488/log01.log

Grazie mille.

Qualcuno mi può dire se sono infetto da questo rootkit????

Post il log di gmer:
http://wikisend.com/download/602488/log01.log

Grazie mille.

Dal log di Gmer non emerge nulla.

Grazie mille per la tua risposta tempestiva....

Vi posto anche il log di prevx:

http://wikisend.com/download/455022/logprev.log

------------------------

Il fatto è che l'utilizzo cpu è sempre al 100% qualunque cosa faccio o qualunque programma apro..... Non so più che pensare.....

Grazie mille per la tua risposta tempestiva....

Vi posto anche il log di prevx:

http://wikisend.com/download/455022/logprev.log

------------------------

Il fatto è che l'utilizzo cpu è sempre al 100% qualunque cosa faccio o qualunque programma apro..... Non so più che pensare.....

Pulito :)

Per scrupolo fai scansione completa con DrWeb CureIt come indicato in guida.

Mi scuso per aver aperto un post nella sezione, posto qui il problema:
_____________________

Ciao ragazzi, ho sottomano il portatile di un collega che era infetto da un bel pò di schifezze varie tra cui il falso antivirus 2010, ecc ecc
Ora scansionando a destra e sinistra e seguendo anche le vostre guide sono riuscito a ripulire il sistema. Per lo meno agli "occhi" di Kaspersky, SuperAntiSpyware, Malwarebytes' Anti-Malware, ecc

Quello che non mi convince è il log di mbr.exe, ve lo posto:


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x0923CA0C !
PE file found in sector at 0x0923CA22 !


Leggendo un pò in rete ho trovato pareri discordanti. A detta di qualcuno l'MBR è OK ma il rootkit ha lasciato qualche danno, cmq sarebbe inoffensivo e si può lasciare così. Da altre parti ho letto che il rootkit starebbe "dormendo" negli ultimi settori del disco e potrebbe infettare eventuali dischi esterni collegati al pc.

Volevo provare il comando fixmbr da console di ripristino ma non vorrei perdere la tabella delle partizioni, devo fare prima un bel backup.

Voi cosa mi consigliate di fare? E sopratutto ... è ancora infetto il pc?

Grazie

Mi scuso per aver aperto un post nella sezione, posto qui il problema:
_____________________

Ciao ragazzi, ho sottomano il portatile di un collega che era infetto da un bel pò di schifezze varie tra cui il falso antivirus 2010, ecc ecc
Ora scansionando a destra e sinistra e seguendo anche le vostre guide sono riuscito a ripulire il sistema. Per lo meno agli "occhi" di Kaspersky, SuperAntiSpyware, Malwarebytes' Anti-Malware, ecc

Quello che non mi convince è il log di mbr.exe, ve lo posto:


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x0923CA0C !
PE file found in sector at 0x0923CA22 !


Leggendo un pò in rete ho trovato pareri discordanti. A detta di qualcuno l'MBR è OK ma il rootkit ha lasciato qualche danno, cmq sarebbe inoffensivo e si può lasciare così. Da altre parti ho letto che il rootkit starebbe "dormendo" negli ultimi settori del disco e potrebbe infettare eventuali dischi esterni collegati al pc.

Volevo provare il comando fixmbr da console di ripristino ma non vorrei perdere la tabella delle partizioni, devo fare prima un bel backup.

Voi cosa mi consigliate di fare? E sopratutto ... è ancora infetto il pc?

Grazie

Ti ho già risposto, http://www.hwupgrade.it/forum/showpost.php?p=32913563&postcount=2 il log può rimanere sporco, in ogni caso per scrupolo segui la guida in prima pagina.

su un altro thread mi è stato detto che sono infettato da BackDoor.MaosBoot.35. Ho ripetuto la scansione con do DrWeb e questo è il nuovo log filtrato:

http://www.filedropper.com/cureitfiltrato_1

Purtroppo Dr web non mi ha chiesto di riavviare il pc per rimuovere l'infezione come previsto.
Che faccio seguo la guida passo passo?

su un altro thread mi è stato detto che sono infettato da BackDoor.MaosBoot.35. Ho ripetuto la scansione con do DrWeb e questo è il nuovo log filtrato:

http://www.filedropper.com/cureitfiltrato_1

Purtroppo Dr web non mi ha chiesto di riavviare il pc per rimuovere l'infezione come previsto.
Che faccio seguo la guida passo passo?

Il log non mostra più l'infezione, adesso dovresti essere in grado di aggiornare sia MBAM che Emsi Antimalware e ripetere scansione completa.

Il mio pc, subito dopo il boot del bios, mi restituisce la schermata nera.
Come faccio ad applicare tutto l'ambaradan della procedura di disinfezione senza poter nemmeno accedere alla modalità provvisoria?
:\

Qualche aiutino?

Il mio pc, subito dopo il boot del bios, mi restituisce la schermata nera.
Come faccio ad applicare tutto l'ambaradan della procedura di disinfezione senza poter nemmeno accedere alla modalità provvisoria?
:\

Qualche aiutino?

Ciao, prima bisognerebbe capire il perchè pensi si tratti del MBR Rootkit.

Ciao, prima bisognerebbe capire il perchè pensi si tratti del MBR Rootkit.

La mia è una speranza :D, perché almeno saprei come orientarmi e anche perché saprei giustificare la moria di 3 pc (diversi, lontani e senza parentela l'uno con l'altro) con stessi sintomi in 2 giorni.

Hai ragione, allora riformulo la domanda:
La schermata nera dopo il boot del bios può essere determinata da un MBR corrotto?
La corruzione del MBR può essere avvenuta a causa di un virus (es. MRB Rootkit)?

Sono sempre più triste :D

La schermata nera dopo il boot del bios può essere determinata da un MBR corrotto?

Si, ma può non essere l'unico motivo


La corruzione del MBR può essere avvenuta a causa di un virus (es. MRB Rootkit)?

"Una volta che il dropper viene eseguito, sovrascrive il master boot record con il proprio codice e memorizza una copia del mbr originale al settore 62 del disco, appendendo il vecchio mbr a del codice proprio. Codice del malware viene aggiunto anche nei settori 60 e 61. Il driver del rootkit viene poi scritto in uno spazio libero e inutilizzato dell’hard disk, solitamente gli ultimi settori del disco. Il codice scritto nel MBR sarà responsabile del caricamento del driver vero e proprio nel sistema.
Al successivo riavvio del sistema (il malware può programmare un reboot automaticamente) il codice scritto nel master boot record prende il controllo dell’Int 13h in modo tale da poter controllare qualunque cosa venga caricata dal sistema operativo. Questa posizione gli permette di poter modificare il kernel on-the-fly non appena viene letto dall’hard disk......."

@ Chill

Ok, molto bene.
Cosa faresti nel mio caso? Come potrei procedere?

Creare un disco di boot con antivir rescue system servirebbe a qualcosa?
Mi permetterebbe di aggirare l'eventuale MBR corrotto e caricarmi un ambiente in cui poter almeno eseguire un back dei dati recenti?

Brancolo nel buio
:doh:

@ Chill

Ok, molto bene.
Cosa faresti nel mio caso? Come potrei procedere?

Creare un disco di boot con antivir rescue system servirebbe a qualcosa?
Mi permetterebbe di aggirare l'eventuale MBR corrotto e caricarmi un ambiente in cui poter almeno eseguire un back dei dati recenti?

Brancolo nel buio
:doh:

In questo caso utilizzerei il LiveCD di DrWeb http://www.freedrweb.com/livecd/?lng=en

In questo caso utilizzerei il LiveCD di DrWeb http://www.freedrweb.com/livecd/?lng=en

Grazie per l'aiuto, ora vado a studiarmi il manuale.
Cheers

Grazie per l'aiuto, ora vado a studiarmi il manuale.
Cheers

Prego

@ Chill

Il virus si chiama welcomB. E' un trojan che fotte l'MBR.

Sono riuscito ad utilizzare windows PE per salvare i dati, ma ora permane il problema che non riesco ad avviare il pc in nessuna modalità.
Non posso mettere in atto la procedura di disinfezione.
Posso solo aggiungere che gmer ha confermato questo:
Disk \device\harddisk0\dr0 sector 06: copy of MBR

Cosa mi consigli di fare? Come posso procedere?
PS. DrWeb live cd ha un bug (conosciuto dai programmatori) che non mi fa usare mouse e tastiera, quindi non posso usarlo...

:help:

@ Chill

Il virus si chiama welcomB. E' un trojan che fotte l'MBR.

Sono riuscito ad utilizzare windows PE per salvare i dati, ma ora permane il problema che non riesco ad avviare il pc in nessuna modalità.
Non posso mettere in atto la procedura di disinfezione.
Posso solo aggiungere che gmer ha confermato questo:
Disk \device\harddisk0\dr0 sector 06: copy of MBR

Cosa mi consigli di fare? Come posso procedere?
PS. DrWeb live cd ha un bug (conosciuto dai programmatori) che non mi fa usare mouse e tastiera, quindi non posso usarlo...

:help:

Stai parlando di un Virus che ha + di 10 anni.

Stai parlando di un Virus che ha + di 10 anni.

Ok, vuoi dire che non esiste un tool di rimozione perché troppo vecchio?
Non rimane che formattare?

Ok, vuoi dire che non esiste un tool di rimozione perché troppo vecchio?
Non rimane che formattare?

No secondo me è impossibile che si tratti di quel virus.

No secondo me è impossibile che si tratti di quel virus.

E' molto probabile che tu abbia ragione, ti faccio il punto della situazione:
1. Dr Web Live CD (aggiornatissimo) ha beccato col suo scan 2 virus e altri file sospetti, ma non so altro perché ho dovuto usare la versione text/console e non so la sintassi dei comandi per creare un log, né disinfettare.
2. Antivir System Rescue (fresco di giornata) ha fallito clamorosamente. Nessun detect.
3. Avast (versione superata) ha beccato il WelcomB nel pagefile.sys
4. Gmer (aggiornato) ha sgamato un rootkit/malware nell'MBR.

Qualche idea su come procedere?

E' molto probabile che tu abbia ragione, ti faccio il punto della situazione:
1. Dr Web Live CD (aggiornatissimo) ha beccato col suo scan 2 virus e altri file sospetti, ma non so altro perché ho dovuto usare la versione text/console e non so la sintassi dei comandi per creare un log, né disinfettare.
2. Antivir System Rescue (fresco di giornata) ha fallito clamorosamente. Nessun detect.
3. Avast (versione superata) ha beccato il WelcomB nel pagefile.sys
4. Gmer (aggiornato) ha sgamato un rootkit/malware nell'MBR.

Qualche idea su come procedere?

La nota positiva è che sei riuscito ad utilizzare CureIt quindi hai la possibilità di salvare i dati, sarebbe opportuno vedere il log di Gmer.

Salve a tutti.
Credo di avere un problema di MBR. E' da qualche giorno che il pc mi si avvia ma mi obbliga a riavviarlo prima ancora di caricare l'XP.
Ho fatto una scansione generale con Avira - aggiornato quotidianamente - e mi ha rilevato nelle 2 partizioni C e D il "BOO/Sinowal.C".
Ho fatto le scansioni con Gmer e Prevx 3.0 anche se, diversamente dalla guida, Prevx non mi ha permesso la pulizia, chiedendomi l'acquisto del codice. Ho proceduto allora con la 2° fase, avviando in F8 e dando "mbr.exe -f", che sembra aver in parte risolto qualcosa dicendomi che l'MBR originario è stato ripristinato.
Dunque, dopo il trattamento 'mbr.exe -f' Avira non mi rileva più il Sinowal e anche Gmer rileva meno della precedente scansione ma continua tuttavia a rilevare files minacciosi per l'MBR e anche Prevx (come Gmer) continua a rilevarmi un file ewvarhb.sys in C:\windows\system32\drivers che qualifica 'Malware component'.
In allegato trovate i log gmer1 e gmer2 nonchè prevx1 e prevx2 rispettivamente prima e dopo l'esecuzione del file mbr.exe e ovviamente il log dello stesso mbr.exe. In particolare nel log prevx2 non c'è più questa riga:
[G] c:\$mbr.0 [PX5: 9E66FF84003CACE801A60073FB11D700EA282924]
che invece compare nel log prevx1.
Ho successivamente eseguito una scansione parziale di Norman (ho stoppato data la tarda ora e rinviato la scansione completa) e Gmer nel log gmer2 (ottenuto dopo mbr.exe e dopo Normal parziale) rileva qualcosa ancora in meno rispetto al log successivo al solo mbr.exe.
Un'ultima cosa: Ad-aware mi rileva di continuo tentativi di services.exe di connettersi a siti internet non sicuri (cosa che finora non mi era mai capitata).
Vi ringrazio in anticipo per l'aiuto che vorrete darmi.

http://wikisend.com/download/885418/gmer1.txt
http://wikisend.com/download/444782/gmer2.txt
http://wikisend.com/download/560820/prevx1.log
http://wikisend.com/download/605102/prevx2.log
http://wikisend.com/download/380342/mbr.log

Salve a tutti.
Credo di avere un problema di MBR. E' da qualche giorno che il pc mi si avvia ma mi obbliga a riavviarlo prima ancora di caricare l'XP.
Ho fatto una scansione generale con Avira - aggiornato quotidianamente - e mi ha rilevato nelle 2 partizioni C e D il "BOO/Sinowal.C".
Ho fatto le scansioni con Gmer e Prevx 3.0 anche se, diversamente dalla guida, Prevx non mi ha permesso la pulizia, chiedendomi l'acquisto del codice. Ho proceduto allora con la 2° fase, avviando in F8 e dando "mbr.exe -f", che sembra aver in parte risolto qualcosa dicendomi che l'MBR originario è stato ripristinato.
Dunque, dopo il trattamento 'mbr.exe -f' Avira non mi rileva più il Sinowal e anche Gmer rileva meno della precedente scansione ma continua tuttavia a rilevare files minacciosi per l'MBR e anche Prevx (come Gmer) continua a rilevarmi un file ewvarhb.sys in C:\windows\system32\drivers che qualifica 'Malware component'.
In allegato trovate i log gmer1 e gmer2 nonchè prevx1 e prevx2 rispettivamente prima e dopo l'esecuzione del file mbr.exe e ovviamente il log dello stesso mbr.exe. In particolare nel log prevx2 non c'è più questa riga:
[G] c:\$mbr.0 [PX5: 9E66FF84003CACE801A60073FB11D700EA282924]
che invece compare nel log prevx1.
Ho successivamente eseguito una scansione parziale di Norman (ho stoppato data la tarda ora e rinviato la scansione completa) e Gmer nel log gmer2 (ottenuto dopo mbr.exe e dopo Normal parziale) rileva qualcosa ancora in meno rispetto al log successivo al solo mbr.exe.
Un'ultima cosa: Ad-aware mi rileva di continuo tentativi di services.exe di connettersi a siti internet non sicuri (cosa che finora non mi era mai capitata).
Vi ringrazio in anticipo per l'aiuto che vorrete darmi.

http://wikisend.com/download/885418/gmer1.txt
http://wikisend.com/download/444782/gmer2.txt
http://wikisend.com/download/560820/prevx1.log
http://wikisend.com/download/605102/prevx2.log
http://wikisend.com/download/380342/mbr.log

Ciao, allega anche il log di Stealth MBR rootkit detector successivamente fai girare DrWeb CureIt esattamente come indicato.

Riepilogo log:
Stealth MBR
CureIt
Nuovo log di Gmer

Ciao, allega anche il log di Stealth MBR rootkit detector successivamente fai girare DrWeb CureIt esattamente come indicato.

Se intendi il log che mi dà al termine della procedura in modalità provvisoria F8 col comando "mbr.exe -f", l'ho già allegato, è l'ultimo dell'elenco sopra: http://wikisend.com/download/380342/mbr.log.
Altrimenti forse non ho capito bene qual è il log.:muro:
Intanto faccio la scansione completa con Norman che ho stoppato questa notte.
Ti ringrazio.

Se intendi il log che mi dà al termine della procedura in modalità provvisoria F8 col comando "mbr.exe -f", l'ho già allegato, è l'ultimo dell'elenco sopra: http://wikisend.com/download/380342/mbr.log.
Altrimenti forse non ho capito bene qual è il log.:muro:
Intanto faccio la scansione completa con Norman che ho stoppato questa notte.
Ti ringrazio.

Il log è quello che ti avevo chiesto, non mi interessa Norman procedi come indicato.

Il log è quello che ti avevo chiesto, non mi interessa Norman procedi come indicato.
Quindi è giusto il log che ti ho riportato?
Sto procedendo con CureIt e Gmer come mi hai chiesto.

Quindi è giusto il log che ti ho riportato?


Si

Ho fatto la scansione con CureIt ma c'è un problema: arrivato al driver ewvarhb.sys in C:\WINDOWS\system32\drivers si arresta il sistema, compare una schermata blu dove si parla di un altro file .sys che non ho fatto in tempo a leggere (inizia con la "k") e che ogni tanto mi rileva anche Prevx in background. Tra l'altro, anche Gmer non mi permette di fare la scansione completa dopo la prima rilevazione, se ci provo compare la stessa schermata blu e si riavvia il sistema.
Di conseguenza non ho il log di CureIt.
Come posso procedere?

Ho fatto la scansione con CureIt ma c'è un problema: arrivato al driver ewvarhb.sys in C:\WINDOWS\system32\drivers si arresta il sistema, compare una schermata blu dove si parla di un altro file .sys che non ho fatto in tempo a leggere (inizia con la "k") e che ogni tanto mi rileva anche Prevx in background. Tra l'altro, anche Gmer non mi permette di fare la scansione completa dopo la prima rilevazione, se ci provo compare la stessa schermata blu e si riavvia il sistema.
Di conseguenza non ho il log di CureIt.
Come posso procedere?

Disabilita o disinstalla Prevx e ripeti scansione completa con CureIt, diversamente fai girare combofix come indicato al Punto 3 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1984665

Disabilita o disinstalla Prevx e ripeti scansione completa con CureIt, diversamente fai girare combofix come indicato al Punto 3 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1984665
Ho interrotto il monitoraggio di Prevx e ripetuto la scansione con CureIt ma stesso risultato: giunto al driver ewvarhb.sys arresta e riavvia il sistema.
Ho provato Combofix alle condizioni indicate nel topic (niente finestre, tutti i programmi disabilitati e cavo di rete sconnesso): in mod. normale è partita solo la barra verde di progressione iniziale ma il programma non si è attivato. Ho riavviato in mod. provvisoria e lì è partito ma mi ha dato subito dopo una semplice finestra di errore e ha riavviato il sistema. Dopo il riavvio è comparsa una finestra a riga di comando che ha eseguito la scansione e rilasciato il log, che ti allego. Ho fatto Gmer ma mi dà ancora presenti i 2 driver incriminati.

ComboFix.txt (http://wikisend.com/download/447760/ComboFix.txt)
gmer3.txt (http://wikisend.com/download/590094/gmer3.txt)

Ho interrotto il monitoraggio di Prevx e ripetuto la scansione con CureIt ma stesso risultato: giunto al driver ewvarhb.sys arresta e riavvia il sistema.
Ho provato Combofix alle condizioni indicate nel topic (niente finestre, tutti i programmi disabilitati e cavo di rete sconnesso): in mod. normale è partita solo la barra verde di progressione iniziale ma il programma non si è attivato. Ho riavviato in mod. provvisoria e lì è partito ma mi ha dato subito dopo una semplice finestra di errore e ha riavviato il sistema. Dopo il riavvio è comparsa una finestra a riga di comando che ha eseguito la scansione e rilasciato il log, che ti allego. Ho fatto Gmer ma mi dà ancora presenti i 2 driver incriminati.

ComboFix.txt (http://wikisend.com/download/447760/ComboFix.txt)
gmer3.txt (http://wikisend.com/download/590094/gmer3.txt)

Apri il Blocco note e copia ed incolla questa righe:

Driver::
elebqp
ewvarhb

File::
c:\windows\system32\drivers\ewvarhb.sys

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\elebqp]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ewvarhb]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt + nuovo log di Gmer.

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

Forse abbiamo risolto.
Dopo la 2° scansione Combofix con i dati che mi hai indicato, pare che il sistema sia stato ripulito. Gmer non mi rileva nessuna minaccia e mi fa finalmente la scansione completa senza arrestarsi (ti allego i log completi di entrambe le partizioni C e D). Ho fatto una verifica anche con Prevx e Avira e non rilevano nulla.
Ho notato che il file elebqp.sys risiede ancora fisicamente nella cartella dei drivers in system32, ma ora è attaccabile e ho pensato bene di cancellarlo definitivamente.
Non so perchè nei nuovi log di Gmer risulta ancora caricato il driver kwqdqpob.sys che risiederebbe nella Temp delle mie Impostazioni locali ma non lo vedo e non so se sia una minaccia ancora latente. Devo fare qualcosa per eliminarlo?
Cosa posso fare per accertarmi che il pc sia realmente pulito?
Non posso che ringraziarti per il tuo preziosissimo aiuto.

ComboFix2.txt (http://wikisend.com/download/495208/ComboFix2.txt)
gmer4.txt (http://wikisend.com/download/958096/gmer4.txt)
gmer4bis.txt (http://wikisend.com/download/935594/gmer4bis.txt)

Forse abbiamo risolto.
Dopo la 2° scansione Combofix con i dati che mi hai indicato, pare che il sistema sia stato ripulito. Gmer non mi rileva nessuna minaccia e mi fa finalmente la scansione completa senza arrestarsi (ti allego i log completi di entrambe le partizioni C e D). Ho fatto una verifica anche con Prevx e Avira e non rilevano nulla.
Ho notato che il file elebqp.sys risiede ancora fisicamente nella cartella dei drivers in system32, ma ora è attaccabile e ho pensato bene di cancellarlo definitivamente.
Non so perchè nei nuovi log di Gmer risulta ancora caricato il driver kwqdqpob.sys che risiederebbe nella Temp delle mie Impostazioni locali ma non lo vedo e non so se sia una minaccia ancora latente. Devo fare qualcosa per eliminarlo?
Cosa posso fare per accertarmi che il pc sia realmente pulito?
Non posso che ringraziarti per il tuo preziosissimo aiuto.

ComboFix2.txt (http://wikisend.com/download/495208/ComboFix2.txt)
gmer4.txt (http://wikisend.com/download/958096/gmer4.txt)
gmer4bis.txt (http://wikisend.com/download/935594/gmer4bis.txt)

kwqdqpob.sys è il driver di Gmer, nulla di cui preoccuparsi, il passo successivo è far girare CureIt.

kwqdqpob.sys è il driver di Gmer, nulla di cui preoccuparsi, il passo successivo è far girare CureIt.
Ho eseguito CureIt e dopo la scansione rapida ho fatto quella completa ma giunto all'esame della cartella Qoobox (quella creata da Combofix, mi pare, e che contiene i file in quarantena), CureIt rileva un file BILANCIA.TTF.vir quarantenato da Combofix e lì si è bloccato. Ho dovuto riavviare. In ogni caso ti posto il log fin dove ha fatto la scansione, già filtrato.
E' necessario rifare lo scan completo e magari devo cancellare la cartella della quarantena Qoobox (che contiene anche il driver quarantenato ewvarhb.sys.vir)?

cureit filtrato.txt (http://wikisend.com/download/453150/cureit filtrato.txt)

Ecco il mio problema:

sintomi
l'accensione di XP richiede 3 tentativi, i primi due si bloccano, sempre, allo stesso punto
durante la navigazione (con Chrome) mi compare, saltuariamente, un pop-up di un antivirus che mi propone la scansione del PC (che rifiuto, ovviamente)
rilevo, ad ogni accensione, dei file infettati, creati nello stesso giorno (28/8) che cancello. Ovviamente ad ogni successiva partenza di XP trovo sempre un file di nome diverso.

la particolarità
la scansione con Gmer mi segnala la presenza di un rootkit
http://wikisend.com/download/527432/gmer1.log

mentre Prevx non mi rileva la presenza di nessun rootkit, e quindi, ovviamente, non mi offre la possibilità di rimuoverlo. Nel log allegato sono evidenziati dei falsi positivi (li ho da sempre) ed uno di quei malware di cui parlavo prima (il file taskmgr)
http://wikisend.com/download/539920/prevx1.log

allego anche il log di mbr
http://wikisend.com/download/917492/mbr.log

il solito, enorme grazie anticipato

Ho eseguito CureIt e dopo la scansione rapida ho fatto quella completa ma giunto all'esame della cartella Qoobox (quella creata da Combofix, mi pare, e che contiene i file in quarantena), CureIt rileva un file BILANCIA.TTF.vir quarantenato da Combofix e lì si è bloccato. Ho dovuto riavviare. In ogni caso ti posto il log fin dove ha fatto la scansione, già filtrato.
E' necessario rifare lo scan completo e magari devo cancellare la cartella della quarantena Qoobox (che contiene anche il driver quarantenato ewvarhb.sys.vir)?

cureit filtrato.txt (http://wikisend.com/download/453150/cureit filtrato.txt)

Personalmente ritengo sia necessario fare una scansione completa con CureIt, pertanto disinstalla Combofix

Start -->> esegui -->> digita combofix /uninstall e premi invio., successivamente elimina le cartelle C:\ComboFix - C:\Qoobox

Ecco il mio problema:

sintomi
l'accensione di XP richiede 3 tentativi, i primi due si bloccano, sempre, allo stesso punto
durante la navigazione (con Chrome) mi compare, saltuariamente, un pop-up di un antivirus che mi propone la scansione del PC (che rifiuto, ovviamente)
rilevo, ad ogni accensione, dei file infettati, creati nello stesso giorno (28/8) che cancello. Ovviamente ad ogni successiva partenza di XP trovo sempre un file di nome diverso.

la particolarità
la scansione con Gmer mi segnala la presenza di un rootkit
http://wikisend.com/download/527432/gmer1.log

mentre Prevx non mi rileva la presenza di nessun rootkit, e quindi, ovviamente, non mi offre la possibilità di rimuoverlo. Nel log allegato sono evidenziati dei falsi positivi (li ho da sempre) ed uno di quei malware di cui parlavo prima (il file taskmgr)
http://wikisend.com/download/539920/prevx1.log

allego anche il log di mbr
http://wikisend.com/download/917492/mbr.log

il solito, enorme grazie anticipato

Ciao, scarica questo file http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

successivamente segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446

PS: ricorda di allegare anche il log di TDSSKiller

Personalmente ritengo sia necessario fare una scansione completa con CureIt, pertanto disinstalla Combofix

Start -->> esegui -->> digita combofix /uninstall e premi invio., successivamente elimina le cartelle C:\ComboFix - C:\Qoobox
Non ho trovato in C la cartella Combofix ma dopo l'uninstall il sistema ha creato in C la cartella 32788R22FWJFW con vari files tra cui alcuni di Combofix (Prevx mi vede combofix.sys come minaccia, ma forse è un falso positivo).
Inoltre AdAware mi rileva un processo pev.exe (ne ho 3 nel task manager oltre ad un processo cmd.cfxxe.exe) che prova a modificare le associazioni nel registro.
Cancello 32788R22FWJFW e termino questi exe nel taskmanager prima di avviare CureIt?

Non ho trovato in C la cartella Combofix ma dopo l'uninstall il sistema ha creato in C la cartella 32788R22FWJFW con vari files tra cui alcuni di Combofix (Prevx mi vede combofix.sys come minaccia, ma forse è un falso positivo).
Inoltre AdAware mi rileva un processo pev.exe (ne ho 3 nel task manager oltre ad un processo cmd.cfxxe.exe) che prova a modificare le associazioni nel registro.
Cancello 32788R22FWJFW e termino questi exe nel taskmanager prima di avviare CureIt?

Falsi positivi, facciamo così scarica questo tool

http://oldtimer.geekstogo.com/OTC.exe

connesso ad Internet fai doppio click su OTC.exe

clicca su CleanUp

se il Firewall ti allerta che OTC.exe vuole connettersi, acconsenti, al termine ti verrà chiesto di riavviare.

Poi lancia questa benedetta scansione con CureIt :)

Non ho trovato in C la cartella Combofix ma dopo l'uninstall il sistema ha creato in C la cartella 32788R22FWJFW con vari files tra cui alcuni di Combofix (Prevx mi vede combofix.sys come minaccia, ma forse è un falso positivo).

Aggiungo che Combofix mi avvisa in finestra che è attivo Avira e dovrei disattivarlo con Combofix in esecuzione. Sembra che anzichè disinstallarlo l'abbia attivato per una nuova scansione. E' possibile che Combofix non fosse installato nel sistema e così stia partendo una nuova scansione? Cosa faccio?

Aggiungo che Combofix mi avvisa in finestra che è attivo Avira e dovrei disattivarlo con Combofix in esecuzione. Sembra che anzichè disinstallarlo l'abbia attivato per una nuova scansione. E' possibile che Combofix non fosse installato nel sistema e così stia partendo una nuova scansione? Cosa faccio?

No, ti ho risposto sopra.

Poi lancia questa benedetta scansione con CureIt :)
Ho lanciato OTC ed eseguito poi CureIt con scansione completa ma saltando la rapida (l'ho interrotta), pensando che la completa includesse anche la rapida. Ti allego il log: se è incompleto, rifaccio la scansione rapida.
Vorrei chiederti:
1. nelle proprietà di Risorse del computer si è automaticamente riattivato il ripristino configurazione sistema. Lascio così?
2. Cancello la cartella "DoctorWeb"?
Grazie ancora.

cureit filtrato.txt (http://wikisend.com/download/491700/cureit filtrato.txt)

Ciao, scarica questo file http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

successivamente segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446

PS: ricorda di allegare anche il log di TDSSKiller

Successo !!! E' la seconda volta che mi "curi" !!!

Questo è il log di TDSSKiller http://wikisend.com/download/206516/TDSSKiller.2.4.1.4_01.09.2010_20.24.13_log.txt . Non ho più nessuno dei sintomi prima elencati e Gemr e Stealth MBR segnalano tutto pulito.

Ti chiederei ora (scusami) qualche info aggiuntiva (lo so, sono invadente, ma...)
1) posso evitare gli ulteriori controlli della guida http://www.hwupgrade.it/forum/showthread.php?t=1789446
2) il sistema è ora stabile ed affidabile oppure è più predente salvare (con calma) le mie cose e ripristinare la partizione di sistema con un'immagine che avevo salvato (non più aggiornatissima) ?
per ultimo:
3) che tipo di rootkit avevo (Prevx non me lo segnalava, non c'era lo user HelpAssistant...) ?

Grazie ancora con la sincera speranza di poterti offrire, un giorno, un caffè non solamente virtuale

Successo !!! E' la seconda volta che mi "curi" !!!

Questo è il log di TDSSKiller http://wikisend.com/download/206516/TDSSKiller.2.4.1.4_01.09.2010_20.24.13_log.txt . Non ho più nessuno dei sintomi prima elencati e Gemr e Stealth MBR segnalano tutto pulito.

Ti chiederei ora (scusami) qualche info aggiuntiva (lo so, sono invadente, ma...)
1) posso evitare gli ulteriori controlli della guida http://www.hwupgrade.it/forum/showthread.php?t=1789446

Io al tuo posto li farei :)


2) il sistema è ora stabile ed affidabile oppure è più predente salvare (con calma) le mie cose e ripristinare la partizione di sistema con un'immagine che avevo salvato (non più aggiornatissima) ?

Se il sistema è stabile non vedo il motivo per cui ripristinare


per ultimo:
3) che tipo di rootkit avevo (Prevx non me lo segnalava, non c'era lo user HelpAssistant...) ?

TDL3 Rootkit - Whistler Bootkit, non c'era Helpassistant perchè non si tratta della stessa infezione, proprio per questo ti ho invitato a seguire in successione questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446


Grazie ancora con la sincera speranza di poterti offrire, un giorno, un caffè non solamente virtuale

Prego ;)

Io al tuo posto li farei :)





OK, mi metto al lavoro. Ritengo che, se tutto va bene, non serva che ti posti i vari log. Fammi sapere se non condividi.

OK, mi metto al lavoro. Ritengo che, se tutto va bene, non serva che ti posti i vari log. Fammi sapere se non condividi.

Come preferisci, ma condividere i log serve sempre ed in ogni caso, sia a noi che prestiamo assitenza sia a coloro che possono avere lo stesso problema.

Ciao Chill Out, ti riscrivo qui il post che ti ho scritto ieri sera sul tardi.
Grazie.

Ho lanciato OTC ed eseguito poi CureIt con scansione completa ma saltando la rapida (l'ho interrotta), pensando che la completa includesse anche la rapida. Ti allego il log: se è incompleto, rifaccio la scansione rapida.
Vorrei chiederti:
1. nelle proprietà di Risorse del computer si è automaticamente riattivato il ripristino configurazione sistema. Lascio così?
2. Cancello la cartella "DoctorWeb"?
Grazie ancora.

cureit filtrato.txt (http://wikisend.com/download/491700/cureit filtrato.txt)

Ciao Chill Out, ti riscrivo qui il post che ti ho scritto ieri sera sul tardi.
Grazie.

Il Ripristino non è mai stato disattivato

C:\System Volume Information\_restore{603B8A87-C9AC-4919-83C9-47CAF9A57B56}\RP1\A0001030.reg infettato da Trojan.StartPage.1505 - cancellato
C:\System Volume Information\_restore{603B8A87-C9AC-4919-83C9-47CAF9A57B56}\RP1\A0001166.reg infettato da Trojan.StartPage.1505 - cancellato
C:\System Volume Information\_restore{603B8A87-C9AC-4919-83C9-47CAF9A57B56}\RP1\A0001396.reg infettato da Trojan.StartPage.1505 - cancellato

comunque lo puoi lasciare attivato, leggi attentamente questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 troverai tutte le info che ti necessitano. Devi aggiornare il SO e i software complementari perchè obsoleti, quindi vulnerabili, inoltre è necessario rivedere il tuo parco software di sicurezza.

Ciao :)

comunque lo puoi lasciare attivato, leggi attentamente questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 troverai tutte le info che ti necessitano. Devi aggiornare il SO e i software complementari perchè obsoleti, quindi vulnerabili, inoltre è necessario rivedere il tuo parco software di sicurezza.

Ciao :)
Quindi il log di CureIt era ok? Posso quindi considerare il pc pulito e sicuro e accedere ai miei dati bancari?
Quali sono i software complementari? Per la sicurezza attualmente ho installato: Avira, AdAware, Spybot e Prevx. Il primo e l'ultimo credo di aver capito vadano bene, ma gli antispyware sono adatti?
Inoltre, posso cancellare la cartella 'DoctorWeb'?
Ancora grazie.

salve, potete dare un'occhiata a questi log? Grazie!

http://www.filedropper.com/log-gmer

http://www.filedropper.com/log-prevx

@ fabrilas: possiedi già un thread perchè non continui su quello?

Quindi il log di CureIt era ok? Posso quindi considerare il pc pulito e sicuro e accedere ai miei dati bancari?
Quali sono i software complementari? Per la sicurezza attualmente ho installato: Avira, AdAware, Spybot e Prevx. Il primo e l'ultimo credo di aver capito vadano bene, ma gli antispyware sono adatti?
Inoltre, posso cancellare la cartella 'DoctorWeb'?
Ancora grazie.

Trovi tutte le info nel 3D ivi indicato http://www.hwupgrade.it/forum/showpost.php?p=32976289&postcount=3106

Come preferisci, ma condividere i log serve sempre ed in ogni caso, sia a noi che prestiamo assitenza sia a coloro che possono avere lo stesso problema.

con tale disponibilità...ecco i log

http://wikisend.com/download/510856/mbam-log-2010-09-02 (19-49-15).txt
http://wikisend.com/download/595080/a2scan_100902-211820.txt
http://wikisend.com/download/493700/cureit filtrato.txt
http://wikisend.com/download/485506/hijackthis.log

ho fatto bene a fare anche quest'ultimo ciclo di controlli poichè mbam ha trovato dei residui del rootkit. Inoltre, cosa che mi preoccupa, una cartella VUOTA, che ha marchiato come "stolen data": cosa ci sarà stato dentro quella cartella? E' vuota poichè, dopo aver trasmesso il contenuto, è stato cancellato ?

Grazie ancora

con tale disponibilità...ecco i log

http://wikisend.com/download/510856/mbam-log-2010-09-02 (19-49-15).txt
http://wikisend.com/download/595080/a2scan_100902-211820.txt
http://wikisend.com/download/493700/cureit filtrato.txt
http://wikisend.com/download/485506/hijackthis.log

ho fatto bene a fare anche quest'ultimo ciclo di controlli poichè mbam ha trovato dei residui del rootkit. Inoltre, cosa che mi preoccupa, una cartella VUOTA, che ha marchiato come "stolen data": cosa ci sarà stato dentro quella cartella? E' vuota poichè, dopo aver trasmesso il contenuto, è stato cancellato ?

Grazie ancora

I log andavano pubblicati nel 3D di comptenza, comunque non hai eseguito correttamente quanto indicato, ovvero:

- dal log di MBAM si evince che hai fatto scansione rapida ->> Quick scan inoltre dal log risulta che non hai eliminato nulla ->> No action taken

Registry Keys Infected:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\HiSoft\CrackDownloader (CrackTool.Agent) -> No action taken.

- stesso discorso per a-squared/Emsi Anti malware la versione corrente è la 5 tu hai usato la 4.5 senza aggiornare il database delle firme virali, inoltre non hai messi in quarantena gli elementi infetti

- DrWeb CureIt non hai fatto scansione completa

aiutateci ad aiutarvi, grazie.

Trovi tutte le info nel 3D ivi indicato http://www.hwupgrade.it/forum/showpost.php?p=32976289&postcount=3106
Ok, ti ringrazio ancora per l'aiuto indispensabile che mi hai prestato.
Posso considerare allo stato attuale il mio pc liberato dal rootkit, ad esempio per l'accesso ai dati bancari?
Grazie di nuovo.

aiutateci ad aiutarvi, grazie.

orca miseria, che cazziata :cry: ! purtroppo meritata !

Vero per le versioni e per gli "scan brevi" ma...i log sono stati fatti PRIMA che io facessi le eliminazioni :D

correggo e posto nella sezione opportuna

correggo e posto nella sezione opportuna

Ok ;)

Ok, ti ringrazio ancora per l'aiuto indispensabile che mi hai prestato.
Posso considerare allo stato attuale il mio pc liberato dal rootkit, ad esempio per l'accesso ai dati bancari?
Grazie di nuovo.

Direi di si, mi raccomando leggi la Guida che ti ho linkato ;)

Direi di si, mi raccomando leggi la Guida che ti ho linkato ;)
Ok. Non posso che ringraziarti ancora della tua assistenza. Bye! :)

Ok. Non posso che ringraziarti ancora della tua assistenza. Bye! :)

Prego, ciao.

Buongiorno. Mi è arrivato tra le mani un portatile di un amico, che sopra aveva letteralmente di tutto. Dopo esser riuscito a ripulirlo da svariate decine di virus, malware e spyware, mi è rimasto su un maledetto mbr rootkit che non riesco a debellare. Prevx me lo rileva in c:\windows\system32\drivers\ndis.sys, ma la versione free non mi permette la rimozione. Allego i log di gmer e dello stesso prevx, se qualcuno volesse darci un'occhiata...
Grazie!

Log Gmer : http://wikisend.com/download/552230/gmer-log.log
Log prevx: http://wikisend.com/download/443660/prevxlog.log

Buongiorno. Mi è arrivato tra le mani un portatile di un amico, che sopra aveva letteralmente di tutto. Dopo esser riuscito a ripulirlo da svariate decine di virus, malware e spyware, mi è rimasto su un maledetto mbr rootkit che non riesco a debellare. Prevx me lo rileva in c:\windows\system32\drivers\ndis.sys, ma la versione free non mi permette la rimozione. Allego i log di gmer e dello stesso prevx, se qualcuno volesse darci un'occhiata...
Grazie!

Log Gmer : http://wikisend.com/download/552230/gmer-log.log
Log prevx: http://wikisend.com/download/443660/prevxlog.log

Ciao, Prevx non ti consente di rimuoverlo in quanto rileva:

[Z<00110020>] c:\windows\system32\drivers\ndis.sys [PX5: AABA5D7880A23B4137ED034A038EE300289534B1] Malware Group: Malware Component

fai girare DrWeb CureIt ed allega il log.

Ciao e grazie per la risposta. Ho fatto girare drweb, mi ha trovato sempre in ndis.sys una backdoor.bulknet.507, ti allego il log
http://wikisend.com/download/949030/cureit filtrato.

Chiedo scusa, il log postato era riferito alla scansione rapida. Sto ultimando ora quella completa, appena terminata posterò il log corretto.

Ciao e grazie per la risposta. Ho fatto girare drweb, mi ha trovato sempre in ndis.sys una backdoor.bulknet.507, ti allego il log
http://wikisend.com/download/949030/cureit filtrato.

Chiedo scusa, il log postato era riferito alla scansione rapida. Sto ultimando ora quella completa, appena terminata posterò il log corretto.

Hai riavviato al termine della scansione rapida?

Si, ho riavviato il portatile e poi rilanciato la scansione completa, che è ancora in corso.

Si, ho riavviato il portatile e poi rilanciato la scansione completa, che è ancora in corso.

Perfetto :)

Ok, scansione completa terminata, allego il log:
http://wikisend.com/download/602130/cureit filtrato.txt

Ok, scansione completa terminata, allego il log:
http://wikisend.com/download/602130/cureit filtrato.txt

Ciao, ripeti una scansione Rapida perchè dal log non si comprende che azione hai intrapreso.

Buongiorno. Ho rieffettuato la scansione rapida e riavviato il pc, ti allego il nuovo log: http://wikisend.com/download/191722/cureit filtrato.txt
Grazie per la pazienza!

Buongiorno. Ho rieffettuato la scansione rapida e riavviato il pc, ti allego il nuovo log: http://wikisend.com/download/191722/cureit filtrato.txt
Grazie per la pazienza!

Continua a rilevare quanto segue?

[Scan path] C:\WINDOWS\system32
C:\WINDOWS\system32\dllcache\ndis.sys infettato da BackDoor.Bulknet.507 - verrà curato dopo il riavvio del sistema
C:\WINDOWS\system32\drivers\ndis.sys infettato da BackDoor.Bulknet.507 - verrà curato dopo il riavvio del sistema

Si, durante la scansione drweb mi segnala sempre BackDoor.Bulknet.507 in ndis.sys, ma anche dopo il riavvio non riesce a risolvere il problema.

Si, durante la scansione drweb mi segnala sempre BackDoor.Bulknet.507 in ndis.sys, ma anche dopo il riavvio non riesce a risolvere il problema.

Disabilita il Ripristino conf.sistema, successivamente fai girare Combofix esattamente come indicato al Punto 3 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1984665

Ok, ho disattivato il ripristino di sistema (che continua a riattivarsi...) ed ho operato con combofix. Ti allego il solito log...
http://wikisend.com/download/941734/ComboFix.txt

Ok, ho disattivato il ripristino di sistema (che continua a riattivarsi...) ed ho operato con combofix. Ti allego il solito log...
http://wikisend.com/download/941734/ComboFix.txt

Ma che razza di disastro è questo PC, comunque proviamo a risolvere il problema:

- abilita la visualizzazione dei file nascosti mettendo il segno di spunta su Visualizza cartelle e file nascosti - Togli la spunta da nascondi files protetti di sistema - Applica - OK

Start - Cerca digita ndis.sys

riportami per esteso tutti i percorsi dove viene trovato il file in questione, comunque dovresti trovarlo qui: c:\windows\ServicePackFiles\i386

PS: mi indichi per curiosità quali software hai fatto girare per eliminare questa infezione?

Si, questo portatile è un inferno, mai visto roba simile. Allora, considerando che è da venerdì che ho in mano questo alieno, per quel che ricordo ho iniziato da malwarebytes, che mi ha trovato 760 Chiavi di registro infette, 15 valori di registro infetti, 4 Voci infette nei dati di registro ed 83 File infetti. Ho quindi installato AVG (prima non ci riuscivo), che ha fatto un altro po' di pulizia, poi sono passato a Norman, mbr.exe, spydllremover, gmer & combofix, fino ad arrivare a prevx ed arrendermi a questo rootkit :)
Ho effettuato la ricerca, ndis.sys è in c:\windows\system32\dllcache ed in c:\windows\system32\drivers (più varie ricorrenze di btwdndis.sys, che credo sia qualcosa per il bluetooth), mentre la cartella c:\windows\ServicePackFiles non c'è proprio...
Oh, grazie per la pazienza!

Si, questo portatile è un inferno, mai visto roba simile. Allora, considerando che è da venerdì che ho in mano questo alieno, per quel che ricordo ho iniziato da malwarebytes, che mi ha trovato 760 Chiavi di registro infette, 15 valori di registro infetti, 4 Voci infette nei dati di registro ed 83 File infetti. Ho quindi installato AVG (prima non ci riuscivo), che ha fatto un altro po' di pulizia, poi sono passato a gmer & combofix, fino ad arrivare a prevx ed arrendermi a questo rootkit :)
Ho effettuato la ricerca, ndis.sys è in c:\windows\system32\dllcache ed in c:\windows\system32\drivers (più varie ricorrenze di btwdndis.sys, che credo sia qualcosa per il bluetooth), mentre la cartella c:\windows\ServicePackFiles non c'è proprio...
Oh, grazie per la pazienza!

Lo so che è nei percorsi da te indicati

C:\WINDOWS\system32\dllcache\ndis.sys infettato da BackDoor.Bulknet.507 - verrà curato dopo il riavvio del sistema
C:\WINDOWS\system32\drivers\ndis.sys infettato da BackDoor.Bulknet.507 - verrà curato dopo il riavvio del sistema

purtroppo è infetto e lo dobbiamo sostituire, sicuro di aver abilitato la visualizzazione dei file nascosti come indicato ?

Si, ho ricontrollato, ho abilitato la visualizzazione dei file nascosti e di sistema. Per sostituirlo, considerato che non ho il cd di xp, posso prenderlo dal mio pc (sempre xp pro con service pack 3)?

Si, ho ricontrollato, ho abilitato la visualizzazione dei file nascosti e di sistema. Per sostituirlo, considerato che non ho il cd di xp, posso prenderlo dal mio pc (sempre xp pro con service pack 3)?

Si

Niente da fare, non riesco ad operare su ndis.sys per poterlo sostituire: accesso negato, anche in modalità provvisoria e tramite riga di comando.
Hai qualche idea o mi arrendo e formatto tutto?

EDIT
Ho fatto il boot tramite pendrive sulla quale avevo copiato ndis.sys dal mio pc (pulito), ho sostituito i 2 ndis.sys infetti del portatile, ho riavviato quest'ultimo e...prevx mi segnala il rootkit sempre in ndis.sys!
Roba da matti.

Niente da fare, non riesco ad operare su ndis.sys per poterlo sostituire: accesso negato, anche in modalità provvisoria e tramite riga di comando.
Hai qualche idea o mi arrendo e formatto tutto?

EDIT
Ho fatto il boot tramite pendrive sulla quale avevo copiato ndis.sys dal mio pc (pulito), ho sostituito i 2 ndis.sys infetti del portatile, ho riavviato quest'ultimo e...prevx mi segnala il rootkit sempre in ndis.sys!
Roba da matti.

Serve un nuovo log di Combofix + un log di Gmer.

Buongiorno. Appena terminate le nuove scansioni, ti allego i log.
Combofix: http://wikisend.com/download/484350/ComboFix.txt
Gmer: http://wikisend.com/download/595188/LogGmer.txt

Buongiorno. Appena terminate le nuove scansioni, ti allego i log.
Combofix: http://wikisend.com/download/484350/ComboFix.txt
Gmer: http://wikisend.com/download/595188/LogGmer.txt

Giorno :)

Il log di Gmer è in po corto, sicuro di averlo impostato come indicato in Guida? Dal log di Combofix i file risultano sostituiti correttamente, per scrupolo puoi disintallare Prevx, reinstallarlo e ripetere scanSione.

Giorno :)

Il log di Gmer è in po corto, sicuro di averlo impostato come indicato in Guida? Dal log di Combofix i file risultano sostituiti correttamente, per scrupolo puoi disintallare Prevx, reinstallarlo e ripetere scanSione.

Si, ho impostato Gmer come da Guida ed il log è proprio quello. Per scrupolo l'ho rilanciato ed il risultato è stato lo stesso.
Comunque ho rifatto il boot da pendrive ed ho trovato un'altra ricorrenza di ndis.sys (che le ricerca sotto xp non rilevava) in c:\windows\ERDNT\cache. Sostituito anche questo (oltre ai 2 noti) con una versione pulita, riavviato, reinstallato prevx, rilanciata la scansione...e pare che non ci siano più tracce del maledetto!
Ore reinstallo l'antivirus, spengo l'alieno, lo restituisco al proprietario e porgo infiniti ringraziamenti a te ed alla tua pazienza :-)

Si, ho impostato Gmer come da Guida ed il log è proprio quello. Per scrupolo l'ho rilanciato ed il risultato è stato lo stesso.
Comunque ho rifatto il boot da pendrive ed ho trovato un'altra ricorrenza di ndis.sys (che le ricerca sotto xp non rilevava) in c:\windows\ERDNT\cache. Sostituito anche questo (oltre ai 2 noti) con una versione pulita, riavviato, reinstallato prevx, rilanciata la scansione...e pare che non ci siano più tracce del maledetto!
Ore reinstallo l'antivirus, spengo l'alieno, lo restituisco al proprietario e porgo infiniti ringraziamenti a te ed alla tua pazienza :-)

Per quanto concerne l'AV suggerisco Antivir configurato come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684

suggersico inoltre la lettura di http://www.hwupgrade.it/forum/showthread.php?t=1726383 e http://www.hwupgrade.it/forum/showthread.php?goto=newpost&t=2011681

Ciao ;)

Per quanto concerne l'AV suggerisco Antivir configurato come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684

Perfetto, stavo scaricando proprio quello. Ho stampato la guida, ora provvedo alla configurazione.

suggersico inoltre la lettura di http://www.hwupgrade.it/forum/showthread.php?t=1726383 e http://www.hwupgrade.it/forum/showthread.php?goto=newpost&t=2011681

Eh, girerò i tuoi link al proprietario dell'alieno, con la raccomandazione di leggerli attentamente e di mettere in pratica quanto scritto...ma ho poca fiducia, creare una cultura informatica (in particolare in questo paese...) è estremamente difficile.


Ciao ;)

Ciao e grazie di nuovo. :)

Ciao Chiil-Out, torno a scriverti perchè dopo la pulizia dal Rootkit di qualche giorno fa, ho cominciato ad avere un problema col mouse (mai avuto prima). Scrivo qui in questo 3D perchè penso che il problema possa essere un effetto collaterale del Rootkit o forse delle cure applicate.
In pratica, dopo aver acceso il pc il mouse funziona regolarmente finchè all'improvviso comincia ad andare a scatti fino a bloccarsi definitivamente e l'unico sistema di ripristinarlo è riavviare (in un'occasione ho dovuto riavviare 2 volte consecutive per riattivarlo).
Ti riepilogo i software usati:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7
Norman_Sinowal_Cleaner
Gmer
Prevx
CureIt
Combofix
OTC

I movimenti che ho fatto successivamente sono stati:
- configurazione di Avira seguendo la guida di juninho85 e quindi settando al massimo la protezione dell'antivirus. Rilevando i problemi col mouse ho poi reimpostato tutto sui valori predefiniti, ma il problema col mouse persiste.
- disinstallazione di Prevx

Oltre al mouse, mi capita talvolta di trovare scomparsa l'icona del Mirc sul desktop (è un link).
Puoi aiutarmi ancora?
Grazie.

Ciao Chiil-Out, torno a scriverti perchè dopo la pulizia dal Rootkit di qualche giorno fa, ho cominciato ad avere un problema col mouse (mai avuto prima). Scrivo qui in questo 3D perchè penso che il problema possa essere un effetto collaterale del Rootkit o forse delle cure applicate.
In pratica, dopo aver acceso il pc il mouse funziona regolarmente finchè all'improvviso comincia ad andare a scatti fino a bloccarsi definitivamente e l'unico sistema di ripristinarlo è riavviare (in un'occasione ho dovuto riavviare 2 volte consecutive per riattivarlo).
Ti riepilogo i software usati:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7
Norman_Sinowal_Cleaner
Gmer
Prevx
CureIt
Combofix
OTC

I movimenti che ho fatto successivamente sono stati:
- configurazione di Avira seguendo la guida di juninho85 e quindi settando al massimo la protezione dell'antivirus. Rilevando i problemi col mouse ho poi reimpostato tutto sui valori predefiniti, ma il problema col mouse persiste.
- disinstallazione di Prevx

Oltre al mouse, mi capita talvolta di trovare scomparsa l'icona del Mirc sul desktop (è un link).
Puoi aiutarmi ancora?
Grazie.

Ciao, il problema al mouse non è imputabile ad un Virus sempre ed in gni caso, la prima cosa da fare è sostituirlo con un altro.

Ciao, il problema al mouse non è imputabile ad un Virus sempre ed in gni caso, la prima cosa da fare è sostituirlo con un altro.
Mi sono fatto prestare temporaneamente un mouse USB (avevo un PS2) ed è tutto ok.
Ciao e grazie di nuovo.

Mi sono fatto prestare temporaneamente un mouse USB (avevo un PS2) ed è tutto ok.
Ciao e grazie di nuovo.

Prego, ciao.

Ciao Chill-Out! complimenti innanzitutto per le guide di sicurezza e per quello che fai per noi infetti :D

stavolta mi trovo arreso. nel pc in ufficcio il norton 2010 mi segnala, ogni volta che avvio il pc, la rilevazione di boot.mebroot. Segnala la rilevazione del boot, la rimuove e come per magia ogni volta che riavvio il pc rieccomi punto e a capo. la rimuove ma ritorna sempre.

ho fatto una scansione con prevx ma dice che il sistema è pulito. allora ho scaricato gmer e lanciato la scansione ma arrivato ad un certo punto il pc si riavvia. ho riprovato ma il pc si è riavviato di nuovo :muro:

adesso ho lanciato norman sinowal e vedo cosa succede.

la cosa che non mi torna è la non rilevazione di prevx all'avvio o in scansione. secondo te è possibile che all'avvio del pc norton rilevi il boot, lo metta in quarantena e cosi non risulti più nel sistema fino al riavvio?

Ciao Chill-Out! complimenti innanzitutto per le guide di sicurezza e per quello che fai per noi infetti :D

stavolta mi trovo arreso. nel pc in ufficcio il norton 2010 mi segnala, ogni volta che avvio il pc, la rilevazione di boot.mebroot. Segnala la rilevazione del boot, la rimuove e come per magia ogni volta che riavvio il pc rieccomi punto e a capo. la rimuove ma ritorna sempre.

ho fatto una scansione con prevx ma dice che il sistema è pulito. allora ho scaricato gmer e lanciato la scansione ma arrivato ad un certo punto il pc si riavvia. ho riprovato ma il pc si è riavviato di nuovo :muro:

adesso ho lanciato norman sinowal e vedo cosa succede.

la cosa che non mi torna è la non rilevazione di prevx all'avvio o in scansione. secondo te è possibile che all'avvio del pc norton rilevi il boot, lo metta in quarantena e cosi non risulti più nel sistema fino al riavvio?

Ciao, cortesemente allega i log come indicato in guida.

Ho lanciato Cureit appena rientrato in ufficio e mi ha rilevato Backdoor master boot record. L'ho curato e adesso anche il norton non rileva più niente. faccio qualche altra scansione?

Ho lanciato Cureit appena rientrato in ufficio e mi ha rilevato Backdoor master boot record. L'ho curato e adesso anche il norton non rileva più niente. faccio qualche altra scansione?

Dire di no :)

Dire di no :)

Grazie mille Chill-Out, merito della tua guida per infetti :D

Gmer mi riavviava sempre il pc, norman e prevx nemmeno rilevavano il boot. Cureit è stato fenomenale, ha subito scovato il backdoor...quasi quasi la metto come security suite al posto di norton :rolleyes:

Grazie mille Chill-Out, merito della tua guida per infetti :D

Gmer mi riavviava sempre il pc, norman e prevx nemmeno rilevavano il boot. Cureit è stato fenomenale, ha subito scovato il backdoor...quasi quasi la metto come security suite al posto di norton :rolleyes:

CureIt è ottimo come tool standalone, lascia tranquillamente il Norton.

salve Chill-Out sono nuovo del forum e mai scritto mi perdonerete eventuali errori,intanto complimenti per la competenza e disponibilità che avete

ho un problema ultimamente ho avuto dei problemi al pc che mi aveva costretto spesso a riavviare,ho pulito poi interno del case e sembra a posto.
Temendo anche infezioni da virus,non segnalatomi da
avg
Malwarebytes
ad aware

ho fatto un controllo con gmer (avevo letto la vostra ottima guida antivirus),e mi ha segnalato modifiche al sistema causate da un rootkit
ho disinstallato gli antivirus sopraelencati che non avevanno segnalato, e installato microsoft security essential che mi ha rilevato alcuni troyan e rimossi ho pulito poi il registro con ccleaner,

ricontrollato con mbr.exe e con gmer mi hanno segnalato la stessa infezione
ho scansionato con Prevx Scan che mi ha trovato il pc pulito,ma ricontrollando con i precedenti due sempre uguale,
vi invio i log di gmer e prevx
invio anche 2 screen ,di gmer dove si evidenzia il rosso e altri nomi a destra di file, e quello di mbr.exe fatto con il prompt dei comandi

attualmente il pc non mi segnala anomalie funzionali ma temo per l'mbr e non ho provato a ripristinarlo con fixmbr da consolle perchè
non so se perderei le partizioni e poi non avvierei piu il pc,

mi potete aiutare a scoprire se sono veramente infetto e come fare a liberarmene?

http://www.pctunerup.com/up/image.php?src=_201009/20100929160520_mbr.jpg
immagine mbr


http://www.pctunerup.com/up/image.php?src=_201009/20100929162729_Immagine.JPG
immagine gmer

http://www.filedropper.com/gmer111
GMER log


http://www.filedropper.com/29-09
Prevx Scan log


ho fatto una scansione rapida anche con dr.web cureit,mi ha trovato il file host modificato,non ho proceduto al ripristino richiesto in attesa
magari di vostre istruzioni,allego uno screen
http://www.pctunerup.com/up/image.php?src=_201009/20100930235122_cure1.jpg

grazie

salve Chill-Out sono nuovo del forum e mai scritto mi perdonerete eventuali errori,intanto complimenti per la competenza e disponibilità che avete

ho un problema ultimamente ho avuto dei problemi al pc che mi aveva costretto spesso a riavviare,ho pulito poi interno del case e sembra a posto.
Temendo anche infezioni da virus,non segnalatomi da
avg
Malwarebytes
ad aware

ho fatto un controllo con gmer (avevo letto la vostra ottima guida antivirus),e mi ha segnalato modifiche al sistema causate da un rootkit
ho disinstallato gli antivirus sopraelencati che non avevanno segnalato, e installato microsoft security essential che mi ha rilevato alcuni troyan e rimossi ho pulito poi il registro con ccleaner,

ricontrollato con mbr.exe e con gmer mi hanno segnalato la stessa infezione
ho scansionato con Prevx Scan che mi ha trovato il pc pulito,ma ricontrollando con i precedenti due sempre uguale,
vi invio i log di gmer e prevx
invio anche 2 screen ,di gmer dove si evidenzia il rosso e altri nomi a destra di file, e quello di mbr.exe fatto con il prompt dei comandi

attualmente il pc non mi segnala anomalie funzionali ma temo per l'mbr e non ho provato a ripristinarlo con fixmbr da consolle perchè
non so se perderei le partizioni e poi non avvierei piu il pc,

mi potete aiutare a scoprire se sono veramente infetto e come fare a liberarmene?

http://www.pctunerup.com/up/image.php?src=_201009/20100929160520_mbr.jpg
immagine mbr


http://www.pctunerup.com/up/image.php?src=_201009/20100929162729_Immagine.JPG
immagine gmer

http://www.filedropper.com/gmer111
GMER log


http://www.filedropper.com/29-09
Prevx Scan log


ho fatto una scansione rapida anche con dr.web cureit,mi ha trovato il file host modificato,non ho proceduto al ripristino richiesto in attesa
magari di vostre istruzioni,allego uno screen
http://www.pctunerup.com/up/image.php?src=_201009/20100930235122_cure1.jpg

grazie

Ciao, segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1984665

NB: per poterti aiutare mi servono i log, non gli Screenshot.

Salve a tutti! Stamane ho riscontrato su un hard disk esterno un rootkit nell'mbr tramite nod32.

Esattamente l'allarme è:

Settore MBR del disco fisico 1 - Win32/Mebroot.mbr trojan horse - errore nell'azione di pulizia; operazione non disponibile per questo tipo di oggetto


Ho letto varie discussioni e tool per rimuovere tale infezione ma il mio problema è che bisogna andare a toccare solo l'mbr del disco esterno e non l'hd principale che sembra ok in quanto il problema è stato rilevato su una unità esterna e non sul disco principale. Come procedo quindi alla rimozione nel solo caso di hd esterni?

cosa fa esattamente questo mebroot? quali i danni? Sinceramente non ho mai notato nulla e con avira (era un vecchio hard disk di un notebook ora riciclato come hd di backup esterno) non ho mai avuto segnalazioni. Insomma..mai alcun problema. Possibile keylogger?

Salve a tutti! Stamane ho riscontrato su un hard disk esterno un rootkit nell'mbr tramite nod32.

Esattamente l'allarme è:

Settore MBR del disco fisico 1 - Win32/Mebroot.mbr trojan horse - errore nell'azione di pulizia; operazione non disponibile per questo tipo di oggetto


Ho letto varie discussioni e tool per rimuovere tale infezione ma il mio problema è che bisogna andare a toccare solo l'mbr del disco esterno e non l'hd principale che sembra ok in quanto il problema è stato rilevato su una unità esterna e non sul disco principale. Come procedo quindi alla rimozione nel solo caso di hd esterni?

Scansiona l'HDD esterno con Drweb Cureit, vedi guida.


cosa fa esattamente questo mebroot? quali i danni? Sinceramente non ho mai notato nulla e con avira (era un vecchio hard disk di un notebook ora riciclato come hd di backup esterno) non ho mai avuto segnalazioni. Insomma..mai alcun problema. Possibile keylogger?

Vedi Guida in prima pagina, ci sono anche i vari approfondimenti.

Scansiona l'HDD esterno con Drweb Cureit, vedi guida.



Vedi Guida in prima pagina, ci sono anche i vari approfondimenti.

schermata bsod durante la scansione in modalità protetta di cureit.

E alla fine non ho risolto.. :(

negli approfondimenti comunque non mi sembra sia riportato i "danni" che fa.. ma cosa è e come si insinua..ma magari non ho letto bene io..provo a rileggere..

schermata bsod durante la scansione in modalità protetta di cureit.

E alla fine non ho risolto.. :(

negli approfondimenti comunque non mi sembra sia riportato i "danni" che fa.. ma cosa è e come si insinua..ma magari non ho letto bene io..provo a rileggere..

Scansiona l'HDD in modalità normale.

Salve a tutti, :muro:
ho un problema con il computer fisso di casa poichè da qualche giorno denota limiti di prestazioni molto evidenti nonchè la presenza di malware & Co.

Ho letto la guida, ma effettuando in questi giorni due scansioni con due diversi antivirus di diffusione ho avuto due risultati all'apperenza diversi ma entrambi relazionati con il settore di avvio.

Con Avira ho ricontrato un infezione Boo/sinowal.f
mentre con Nod ho trovato Win32/mebroot trojanhorse
ed entrambi non sono in grado di rimuovere il problema.

sono lo stesso virus?

Procedo con la prima fase di verifica con Gmer e Prevx 3.0 ?

grazie anticipatamente,
attendo una notifica e semmai procedo con l'allegare i rispettivi log.

Procedo con la prima fase di verifica con Gmer e Prevx 3.0 ?

grazie anticipatamente,
attendo una notifica e semmai procedo con l'allegare i rispettivi log.

Si, leggi bene le istruzioni in merito a Prevx.

ho effettuato le scansioni senza disattivare le configurazioni di ripristino di sistema

log gmer

http://www.mediafire.com/?4wyja12x896d4td

log prevx

http://www.mediafire.com/?5jes2p9omnesecy


prevx mi ha trovato 6 rischi attivi. evito di disinfettarli per ora giusto?

le rifaccio entrambe o va bene comunque?

scusate la distrazione

Come da guida nel frattempo ho provato a fare la pulizia con Prevx, ma il bello è che a pulizia terminata non mi da la possiblità di rifare la scansione per valutare l'avvenuta rimozione, quindi non posto neanche il log.

attendo lumi

ciao buona serata

ho fatto le scansioni come da guida,allego i log

log BDTOOLS REMOVE http://www.mediafire.com/?ad2eeibao2nj61g

log ComboFix http://www.mediafire.com/?45d3luqeerc43yj

log gmer http://www.mediafire.com/?6c7ih7lqfotc199

ciao

ho effettuato le scansioni senza disattivare le configurazioni di ripristino di sistema

log gmer

http://www.mediafire.com/?4wyja12x896d4td

log prevx

http://www.mediafire.com/?5jes2p9omnesecy


prevx mi ha trovato 6 rischi attivi. evito di disinfettarli per ora giusto?

le rifaccio entrambe o va bene comunque?

scusate la distrazione

Come da guida nel frattempo ho provato a fare la pulizia con Prevx, ma il bello è che a pulizia terminata non mi da la possiblità di rifare la scansione per valutare l'avvenuta rimozione, quindi non posto neanche il log.

attendo lumi

Ti ho suggerito di leggere attentamente la Guida in quanto Prevx ti consente solo la rimozione di

[B] c:\$mbr.0 [PX5: 99AA2E4B009FF0F80185002040C95900259D9CD1] Malware Group: Rootkit.MBR

hai eseguito il seguente passaggio?

NB: Prevx oltre a rilevare l'infezione, ci permette di rimuoverla gratuitamente (F = Free to cleanup) per farlo è sufficiente ripetere la scansione e cliccare su Cleanup Now dopo aver disabilitato l'antivirus, importante salvare entrambi i log pre e post rimozione.

ciao buona serata

ho fatto le scansioni come da guida,allego i log

log BDTOOLS REMOVE http://www.mediafire.com/?ad2eeibao2nj61g

log ComboFix http://www.mediafire.com/?45d3luqeerc43yj

log gmer http://www.mediafire.com/?6c7ih7lqfotc199

ciao

Seguire la Guida http://www.hwupgrade.it/forum/showthread.php?t=1984665 vuol dire anche allegare i log nel 3D di pertinenza.

Seguire la Guida http://www.hwupgrade.it/forum/showthread.php?t=1984665 vuol dire anche allegare i log nel 3D di pertinenza.

spostato

Ciao Chill,
io ho letto il NB difatti l'ho rimosso con quello, ma sembra che ci siano altri virus per i quali prevx richiede la licenza di rimozione.
Nel frattempo Avira continua a riscontrare la presenza di Boo/sinowal.f

come procediamo?

Nel frattempo Avira continua a riscontrare la presenza di Boo/sinowal.f


Strano, allega i log della seconda e terza fase, mi raccomando legge bene le istruzioni.

Ciao a tutti, io ho questi problemi: Il browser non mi visualizza alcune pagine(per es. dduniverse), ne apre altre a vanvera, e a volte quando clicco su qualche contatto msn viene visualizzato un messaggio di errore e si chiude msn.
Il mio antivirus ha rilevato questo: trojan-clicker.win32.wistler.a
Ho seguito la guido, scaricato gmer e prevx, vi allego i link dei log:

gmer: http://wikisend.com/download/939080/log.txt

prevx: http://wikisend.com/download/611522/logprev.log

Ora che dovrei fare?
Grazie anticipatamente.

Ciao a tutti, io ho questi problemi: Il browser non mi visualizza alcune pagine(per es. dduniverse), ne apre altre a vanvera, e a volte quando clicco su qualche contatto msn viene visualizzato un messaggio di errore e si chiude msn.
Il mio antivirus ha rilevato questo: trojan-clicker.win32.winsler.a
Ho seguito la guido, scaricato gmer e prevx, vi allego i link dei log:

gmer: http://wikisend.com/download/939080/log.txt

prevx: http://wikisend.com/download/611522/logprev.log

Ora che dovrei fare?
Grazie anticipatamente.

Ciao e benvenuto, scarica questo tool http://ad13.geekstogo.com/MBRCheck.exe

1 Doppio click MBRCheck.exe
2 Dovrebbe aprirsi una finestra nera (non intraprendere nessuna azione)
3 Scegli l'opzione 3 Exit ed allega il log prodotto (MBRCheck_date_time)

Eccoci, log di mbr: http://wikisend.com/download/513938/MBRCheck_12.04.10_00.45.52.txt

Eccoci, log di mbr: http://wikisend.com/download/513938/MBRCheck_12.04.10_00.45.52.txt

Sei fermo al SP2 non più supportato dalla stessa Microsoft, allegami il log dell'AV che ha rilevato l'infezione.

Non è che son fermo al sp2, è che ho riformattato per vedere se risolvevo il probrema, e il sp3 non l'ho ancora installato.
Mi consigli di installare sp3 e ripetere gli scan?

Come faccio a prendere il log di karspesky?
Abbiate pazienza sono un po imbranato col pc...

Non è che son fermo al sp2, è che ho riformattato per vedere se risolvevo il probrema, e il sp3 non l'ho ancora installato.
Mi consigli di installare sp3 e ripetere gli scan?

Come faccio a prendere il log di karspesky?
Abbiate pazienza sono un po imbranato col pc...

Ciao, trovi il log alla voce Reports se non riesci ad allegare il log, riporta per estesto cosa ha rilevato il KAV, mi serve vedere il percorso ovvero dove viene rilevata l'infezione.

log kaspersky: http://wikisend.com/download/482182/kav.txt

I percorsi del file sono: \device\harddisk1\ddr1
\device\harddisk2\dd2

Visto che ho 3 harddisk collegati, e uno di questi proviene da un altro pc, quindi a sua volta ha installato un altro winxp, sto ripetendo la scansione di gmer includendo tutte le partizioni... Appena finisce lo posto.
Credo comunque che il virus sia annidato in qualche partizione di boot (si dice così?).. Per questo l'av non riesce a rimuoverlo, o dice di rimuoverlo, ma ad ogni avvio si ripresenta il problema..

Ecco il log aggiornato di gmer includendo tutte le partizioni:
http://wikisend.com/download/562886/gmertuttidischi.txt

log kaspersky: http://wikisend.com/download/482182/kav.txt

I percorsi del file sono: \device\harddisk1\ddr1
\device\harddisk2\dd2

Visto che ho 3 harddisk collegati, e uno di questi proviene da un altro pc, quindi a sua volta ha installato un altro winxp, sto ripetendo la scansione di gmer includendo tutte le partizioni... Appena finisce lo posto.
Credo comunque che il virus sia annidato in qualche partizione di boot (si dice così?).. Per questo l'av non riesce a rimuoverlo, o dice di rimuoverlo, ma ad ogni avvio si ripresenta il problema..

Ecco il log aggiornato di gmer includendo tutte le partizioni:
http://wikisend.com/download/562886/gmertuttidischi.txt

Volevo vedere il log dal Kav in quanto controllando il log di MBRCheck.exe mi era sorto un dubbio a proposito degli HDD, chu tu mi confermi:

Esegui nuovamente MBRCheck.exe

alla dicitura "Enter 'Y' and hit ENTER for more options, or 'N' to exit"

digita Y e batti invio

MBRCheck ti mostra 3 opzioni:

[1] Dump de MBR of a physical disk to file
[2] Restore de MBR or a physical disk whit a standar boot code..
[3] Exit.

scegli l'opzione 2

alla dicitura "Enter the physical disk number to fix (0-99, -1 to cancel):"

digita 1 e batti invio

alla dicitura Available MBR codes:

seleziona il tuo SO digita YES e batti invio

attendi che il tool faccia il suo lavoro, riavvia la macchina ed allega il log che trovi sul Desktop

http://wikisend.com/download/630954/MBRCheck_12.06.10_00.51.25.txt

http://wikisend.com/download/630954/MBRCheck_12.06.10_00.51.25.txt

Sicuro di aver seguito alla lettere le istruzioni?

Ho rifatto la procedura battendo 0 anzichè 1 all'ultima opzione (default xp anzichè xp)... Non mi sembra che dopo il riavvio il file di log sia diverso:

http://wikisend.com/download/503686/MBRCheck_12.06.10_15.53.22.txt

Ho rifatto la procedura battendo 0 anzichè 1 all'ultima opzione (default xp anzichè xp)... Non mi sembra che dopo il riavvio il file di log sia diverso:

http://wikisend.com/download/503686/MBRCheck_12.06.10_15.53.22.txt

Come puoi notare dal log il MBR del disco 0 è OK

149 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: 503FD2CC6F3632B90CEC9C763A09B1AF1755FCD5

la rilevazione del Kav immagino sia successiva all'installazione dei dischi/o.

La rilevazione del kav è per forza successiva all'installazione dei dischi, anche perchè ho installato kav solo dopo aver aggiunto l'ultimo disco da 80gb proveniente da un altro pc...

Che devo fare per liberarmi di sto maledetto virus?

Io userei anche fdisk... Solo che non posso perchè ho gli hd semipieni e non so dove spostare i dati mentre eseguo l'operazione...

La rilevazione del kav è per forza successiva all'installazione dei dischi, anche perchè ho installato kav solo dopo aver aggiunto l'ultimo disco da 80gb proveniente da un altro pc...

Appunto che cosa ho detto


Che devo fare per liberarmi di sto maledetto virus?

Io userei anche fdisk... Solo che non posso perchè ho gli hd semipieni e non so dove spostare i dati mentre eseguo l'operazione...

Come detto in precedenza non a caso ti ho chiesto il log del Kav e la sequenza inerente l'installazione dei dischi, pertanto non devi fare nulla, trattasi di un Falso positivo in quanto l'Av rileva un MBR non standard.

ragazzi mi serve una mano pochi giorni fa ho fatto una scansione con nod 32 e mi ha rivelato win32/mebroot.k trojan horse.
adesso ho provato con norman e non mi trova nessun virus con prevx3.0 non mi trova quel virus ma un'altro sul dekstop che credo sia un falso positivo
ora vi allego il log di nod 32 e quello di gmer perchè poi vi ripeto visto che prevx non mi trovava il virus e soprattutto per rimuovere i virus dovevo comprarlo mi sono fermato a questa fase...
io ho windows7 e ho come da guida Disattivato il Ripristino Configurazione Sistema solo che mi fermo alla fase due. ovviamente nod mi ha mostrato un popup di allerta ma non me lo fa ne pulire ne mettere in quarantena... qualcuno mi può aiutare please... non vorrei riformattare grazie..

log di nod 32 http://wikisend.com/download/435370/log nod 32.txt
log gmer http://wikisend.com/download/405644/log gmer.txt


mi serve una mano per togliere questo infamone di un trojan del tutto. help

ragazzi mi serve una mano pochi giorni fa ho fatto una scansione con nod 32 e mi ha rivelato win32/mebroot.k trojan horse.
adesso ho provato con norman e non mi trova nessun virus con prevx3.0 non mi trova quel virus ma un'altro sul dekstop che credo sia un falso positivo
ora vi allego il log di nod 32 e quello di gmer perchè poi vi ripeto visto che prevx non mi trovava il virus e soprattutto per rimuovere i virus dovevo comprarlo mi sono fermato a questa fase...
io ho windows7 e ho come da guida Disattivato il Ripristino Configurazione Sistema solo che mi fermo alla fase due. ovviamente nod mi ha mostrato un popup di allerta ma non me lo fa ne pulire ne mettere in quarantena... qualcuno mi può aiutare please... non vorrei riformattare grazie..

log di nod 32 http://wikisend.com/download/435370/log nod 32.txt
log gmer http://wikisend.com/download/405644/log gmer.txt


mi serve una mano per togliere questo infamone di un trojan del tutto. help

Ciao, mi alleghi il log di Prevx come recita la Guida in prima pagina, grazie.

Ciao a tutti!

Sto avendo problemi con un computer con Windows XP
Il computer ha un MBR Rootkit che faceva comparire all'avvio la seguente scritta "trend chipawayvirus has detected a boot virus on your hard disk".
Provando a lanciare GMER questo mi rilevava la presenza del rootkit, tuttavia il computer si bloccava durante la scansione tanto da dover riavviare manualmente.
Il computer dopo qualche tentativo non avviava Xp tanto che ho dovuto eliminare un file da 0 KB sotto /system32/driver per farlo avviare. (Operazione effettuata tramite UBUNTU live-CD).

Ora il XP si avvia ma il computer è davvero rallentato e credo seriamente che vi siano altre infezioni in corso, incluso il rootkit solo in parte debellato.

Non avendone alcuna dimestichezza vi posto i log di SystemScan, PrevX e HijackThis.

HELP ME, PLEASE ^^

HijackThis Log : hijackthis.log (http://wikisend.com/download/433894/hijackthis.log)

PrevX Log : aa.log (http://wikisend.com/download/422856/aa.log)

SystemScan : report.txt (http://wikisend.com/download/433976/report.txt)

Ciao a tutti!

Sto avendo problemi con un computer con Windows XP
Il computer ha un MBR Rootkit che faceva comparire all'avvio la seguente scritta "trend chipawayvirus has detected a boot virus on your hard disk".
Provando a lanciare GMER questo mi rilevava la presenza del rootkit, tuttavia il computer si bloccava durante la scansione tanto da dover riavviare manualmente.
Il computer dopo qualche tentativo non avviava Xp tanto che ho dovuto eliminare un file da 0 KB sotto /system32/driver per farlo avviare. (Operazione effettuata tramite UBUNTU live-CD).

Ora il XP si avvia ma il computer è davvero rallentato e credo seriamente che vi siano altre infezioni in corso, incluso il rootkit solo in parte debellato.

Non avendone alcuna dimestichezza vi posto i log di SystemScan, PrevX e HijackThis.

HELP ME, PLEASE ^^

HijackThis Log : hijackthis.log (http://wikisend.com/download/433894/hijackthis.log)

PrevX Log : aa.log (http://wikisend.com/download/422856/aa.log)

SystemScan : report.txt (http://wikisend.com/download/433976/report.txt)

Dopo il riavvio ti ha dato ancora la presente segnalazione?

trend chipawayvirus has detected a boot virus on your hard disk

@ Chill-Out :
non me la da + da quando ho installato Ubuntu su un'altra partizione e ho eliminato il file da 0kb in system32/driver (soluzione trovata dato che non mi si avviava + XP, http://social.answers.microsoft.com/Forums/en-US/xprepair/thread/1bb2ac51-8b5c-4058-b835-408524ace776 )

@ Chill-Out :
non me la da + da quando ho installato Ubuntu su un'altra partizione e ho eliminato il file da 0kb in system32/driver (soluzione trovata dato che non mi si avviava + XP, http://social.answers.microsoft.com/Forums/en-US/xprepair/thread/1bb2ac51-8b5c-4058-b835-408524ace776 )

Scarica questo file http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

successivamente segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446

Allegha i log dove appena indicato, compreso TDSSKiller.

Scarica questo file http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

successivamente segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446

Allegha i log dove appena indicato, compreso TDSSKiller.

Quindi Continuiamo lì e devo allegare anche i log già pubblicati qui oltre a TDSSkiller ?
PS: sto facendo una scansione con malwarebytes

Grazie ;)

Quindi Continuiamo lì e devo allegare anche i log già pubblicati qui oltre a TDSSkiller ?
PS: sto facendo una scansione con malwarebytes

Grazie ;)

Esatto :)

[SIZE="4"][CENTER][B]Prevx 3.0 -> Download (http://www.prevx.com/freescan.asp)
Compatibile: Windows XP - Vista
Caratteristiche: necessaria la connesione ad Internet
Dopo aver terminato la scansione per ottenere il log cliccare su Tools - Salva file di log
Estratto dal log di Prevx che mostra l'infezione:



Ragazzi ho fatto la scansione con prevx, come da guida, mi individua 4 infezioni, ma non riesco a salvare il log, dove trovo tools ecc..
Grazie infinite.

Ragazzi ho fatto la scansione con prevx, come da guida, mi individua 4 infezioni, ma non riesco a salvare il log, dove trovo tools ecc..
Grazie infinite.

Vedi immagine allegata

http://img29.imageshack.us/img29/4701/clipboard01qh.th.jpg (http://img29.imageshack.us/i/clipboard01qh.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

Vedi immagine allegata

http://img29.imageshack.us/img29/4701/clipboard01qh.th.jpg (http://img29.imageshack.us/i/clipboard01qh.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

grazie, ci provo.
Ragazzi visti che ho provato a fare tutto quello descritto nella guida, senza ottenere risultati, esiste un metodo di formattazione completa, anche del mbr per poi rinstallare il tutto?. Il problema del pc è che non vedo l'hd in gestione disco in gestione computer e quando tento di far partire XP da cd per fare rinstalla questo non parte perchè non vede l HD, il pc in questione attualmente monta vista

questo è illog di gmr
http://wikisend.com/download/536478/GMR.log
questo è quello di mbr
http://wikisend.com/download/543022/mbr-log.log
non essendo riuscito a creare il log di Prevx mi scusere se allego un doc.?
Edit

resto in attesa di vs notizie

Sicuro del Vs aiuto vi ringrazio e vi saluto.

grazie, ci provo.
Ragazzi visti che ho provato a fare tutto quello descritto nella guida, senza ottenere risultati, esiste un metodo di formattazione completa, anche del mbr per poi rinstallare il tutto?. Il problema del pc è che non vedo l'hd in gestione disco in gestione computer e quando tento di far partire XP da cd per fare rinstalla questo non parte perchè non vede l HD, il pc in questione attualmente monta vista

questo è illog di gmr
http://wikisend.com/download/536478/GMR.log
questo è quello di mbr
http://wikisend.com/download/543022/mbr-log.log
non essendo riuscito a creare il log di Prevx mi scusere se allego un doc.?
Edit

resto in attesa di vs notizie

Sicuro del Vs aiuto vi ringrazio e vi saluto.

Allega il log di Prevx in formato testo .txt

Tools - Salva file di log - Salva con nome - attribuisci al file il nome che preferisci - clicca su salva.

Allega il log di Prevx in formato testo .txt

Tools - Salva file di log - Salva con nome - attribuisci al file il nome che preferisci - clicca su salva.

ecco il log, ci sono riuscito
http://wikisend.com/download/962128/logPrevx.log

ecco il log, ci sono riuscito
http://wikisend.com/download/962128/logPrevx.log

Anche per te vale lo stesso suggerimento http://www.hwupgrade.it/forum/showpost.php?p=34246188&postcount=3191

Anche per te vale lo stesso suggerimento http://www.hwupgrade.it/forum/showpost.php?p=34246188&postcount=3191


questo dovrebbere essere in txt,
grazie e ciao
http://wikisend.com/download/436132/Prevx_log.txt

Attendo Vs notizie .. sono disperato
Ciao

Anche per te vale lo stesso suggerimento http://www.hwupgrade.it/forum/showpost.php?p=34246188&postcount=3191

Ciao
ho fatto tutto quello che mi hai suggerito e questi sono i vari log:
http://wikisend.com/download/453094/TDSSKiller.2.4.15.0_23.01.2011_19.30.17_log.txt
mbam: http://wikisend.com/download/443272/mbam-log-2011-01-23 (20-54-53).txt
a2anti: http://wikisend.com/download/410324/a2scan_110123-211812.txt
Dotr.web filtrato: http://wikisend.com/download/457758/cureit filtrato.txt
HijackThis : http://wikisend.com/download/431072/hijackthis.log

Hora riesco a vedere in gestione computer, gestione disco le due partizioni, ma quando cerco di far partire l'installazione di XP da CD questo non parte mi da un errore, "una serie di numeri e codici".
Cosa è quella partizione , che vedo, senza letterea e che si chiama "Integrego Congifurazione EISA? ho capito è la partizione di ripristino.
Aggiungo altri dettagli il pc ci avvia sempre con utente Guest e non mi da la possibbilità di creare altri utente "mi dice che i caratteri usati per l'untente non sono validi". NOn mi fa partite neanche il tools, di acer, per il ripristino "utente cliente" non abilitato.
Grazie e sicuro del vs aiuto vi saluto.

Ciao
ho fatto tutto quello che mi hai suggerito e questi sono i vari log:
http://wikisend.com/download/453094/TDSSKiller.2.4.15.0_23.01.2011_19.30.17_log.txt
mbam: http://wikisend.com/download/443272/mbam-log-2011-01-23 (20-54-53).txt
a2anti: http://wikisend.com/download/410324/a2scan_110123-211812.txt
Dotr.web filtrato: http://wikisend.com/download/457758/cureit filtrato.txt
HijackThis : http://wikisend.com/download/431072/hijackthis.log

Hora riesco a vedere in gestione computer, gestione disco le due partizioni, ma quando cerco di far partire l'installazione di XP da CD questo non parte mi da un errore, "una serie di numeri e codici".
Cosa è quella partizione , che vedo, senza letterea e che si chiama "Integrego Congifurazione EISA? ho capito è la partizione di ripristino.
Aggiungo altri dettagli il pc ci avvia sempre con utente Guest e non mi da la possibbilità di creare altri utente "mi dice che i caratteri usati per l'untente non sono validi". NOn mi fa partite neanche il tools, di acer, per il ripristino "utente cliente" non abilitato.
Grazie e sicuro del vs aiuto vi saluto.

Ho visto che hai pubblicato i log nel 3D indicato :)

Ho visto che hai pubblicato i log nel 3D indicato :)

ok grazie,
continuo da li.
ciao

salve, alcuni giorni fa il mio pc ha iniziato a dare i numeri, non si apriva piu google chrome e il giorno dopo neanche piu firefox e il pc va lentissimo, ho fatto una scansione con avg e mi rilevava diversi trojan agent_rx.j, per eliminarli mi hanno consigliato una scansione con virit explorer ma non li ha eliminati, e nello scanning automatico mi dice VIRUS ATTIVO IN MEMORIA: ROOTKIT.TDL3.GEN.
Ho seguito questa guida e vi allego i log di gmer e prevx. Grazie mille in anticipo e se dovevo presentarmi da qualche parte scusate.

salve, alcuni giorni fa il mio pc ha iniziato a dare i numeri, non si apriva piu google chrome e il giorno dopo neanche piu firefox e il pc va lentissimo, ho fatto una scansione con avg e mi rilevava diversi trojan agent_rx.j, per eliminarli mi hanno consigliato una scansione con virit explorer ma non li ha eliminati, e nello scanning automatico mi dice VIRUS ATTIVO IN MEMORIA: ROOTKIT.TDL3.GEN.
Ho seguito questa guida e vi allego i log di gmer e prevx. Grazie mille in anticipo e se dovevo presentarmi da qualche parte scusate.

Ciao e benvenuto, non log compressi esattamente come indicato nella prima pagina del 3D, grazie per la collaborazione.

ah ok...
http://wikisend.com/download/632082/gmer.txt

http://wikisend.com/download/471930/prevx.log

spero si possa fare qualcosa in fretta perchè il pc sta peggiorando a vista d'occhio.

ah ok...
http://wikisend.com/download/632082/gmer.txt

http://wikisend.com/download/471930/prevx.log

spero si possa fare qualcosa in fretta perchè il pc sta peggiorando a vista d'occhio.

Anche per te vale lo stesso suggerimento http://www.hwupgrade.it/forum/showpost.php?p=34246188&postcount=3191

salve, alcuni giorni fa il mio pc ha iniziato a dare i numeri, non si apriva piu google chrome e il giorno dopo neanche piu firefox e il pc va lentissimo, ho fatto una scansione con avg e mi rilevava diversi trojan agent_rx.j, per eliminarli mi hanno consigliato una scansione con virit explorer ma non li ha eliminati, e nello scanning automatico mi dice VIRUS ATTIVO IN MEMORIA: ROOTKIT.TDL3.GEN.
Ho seguito questa guida e vi allego i log di gmer e prevx. Grazie mille in anticipo e se dovevo presentarmi da qualche parte scusate.


Ciao! Ti riporto la mia esperienza: avevo il portatile infettato con questo rootkit e ho usato combofix, avendo cura di disabilitare antivirus e i programmi in esecuzione... io non ho installato i file della console di ripristino...aspetta eventualmente su questo aspetto un consiglio da chi ne sa più di me.
Ti avverto che ci vorrà una mezzoretta, e non potrai accedere al pc. Fai una copia di backup, ok?

Buona fortuna!

E.

Ciao Chill,
penso che non ti ricordi di me, ma in passato mi hai aiutato 2 volte col rootkit.
Ora il computer sembra funzionare però ho uno piccolo problema sempre rootkit dipendente.

Provo ad avviare un exe in ambiente 16 bit con NTVDM, a volte parte subito a volte mi compare la scritta http://wikisend.com/download/607352/Errore NTVDM.bmp. a quel punto se insisto clikkando su ignora prima o poi il programma parte.

Ora navigando su internet ho trovato che potrebbe trattarsi sempre del rootkit.
ho fatto una scansione con mbr ma non riesco a ben interpretarlo.
http://wikisend.com/download/612732/mbr.txt
Volevo chiedermi se devo/non preoccuparmi e se c'è un modo risolvere questo problema del NTVDM un pò pazzerello.
Grazie sempre

Ciao Chill,
penso che non ti ricordi di me, ma in passato mi hai aiutato 2 volte col rootkit.
Ora il computer sembra funzionare però ho uno piccolo problema sempre rootkit dipendente.

Provo ad avviare un exe in ambiente 16 bit con NTVDM, a volte parte subito a volte mi compare la scritta http://wikisend.com/download/607352/Errore NTVDM.bmp. a quel punto se insisto clikkando su ignora prima o poi il programma parte.

Ora navigando su internet ho trovato che potrebbe trattarsi sempre del rootkit.
ho fatto una scansione con mbr ma non riesco a ben interpretarlo.
http://wikisend.com/download/612732/mbr.txt
Volevo chiedermi se devo/non preoccuparmi e se c'è un modo risolvere questo problema del NTVDM un pò pazzerello.
Grazie sempre

Ciao, sei ok, per il problema NTVDM cheidi in Sezione Microsoft Windows

Grazie Chill sempre preciso.

Grazie Chill sempre preciso.

Prego

Gmer mi ha già dato una cattiva notizia a fine scansione: ecco comunque il Edit link al logo

Mentre Edit che, apparentemente, non ha trovato nulla :S

Buona giornata a tutti :)

Gmer mi ha già dato una cattiva notizia a fine scansione: ecco comunque il Edit link al logo

Mentre Edit che, apparentemente, non ha trovato nulla :S

Buona giornata a tutti :)

Cortesemente utilizza i Server remoti indicati nella Guida in prima pagima :)

Cortesemente utilizza i Server remoti indicati nella Guida in prima pagima :)

Gmer (http://www.filedropper.com/scansionegmer)

Prevx (http://www.filedropper.com/logprevx)

A presto e grazie

Gmer (http://www.filedropper.com/scansionegmer)

Prevx (http://www.filedropper.com/logprevx)

A presto e grazie

Segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1984665

PS: non riallegare il log di Gmer utilizzo questo :)

Segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1984665


Devo seguire la guida anche se entrambi i test (alla voce "Sono infetto?") sono risultati negativi (cioè non hanno riscontrato una possibile infezione al Conficker)?!?!?

Grazie mille e non riuploado il file Gmer, tranky :))

Devo seguire la guida anche se entrambi i test (alla voce "Sono infetto?") sono risultati negativi? Cioè non hanno riscontrato una possibile infezione al Conficker!?!?

Grazie mille e non riuploado il file Gmer, tranky :))

Si :)

Si :)

Un paio di domandine :doh:

1) Quando faccio la scansione con bd rem tool si ferma al primo step, mi dice system clean e quindi non mi fa riavviare il pc..

2) Lancio ComboFix a macchina dedicata ma mi dice "installazione non riuscita" e poi "impossibile aprire il file nircmd.cfxxe" e mi chiede di selezionare un programma per aprire codesto file o fare una ricerca su internet :S

PS: vuoi che mi sposto in quella discussione con le risposte o posso proseguire quì?? Non vorrei creare confusione

Un paio di domandine :doh:

1) Quando faccio la scansione con bd rem tool si ferma al primo step, mi dice system clean e quindi non mi fa riavviare il pc..

2) Lancio ComboFix a macchina dedicata ma mi dice "installazione non riuscita" e poi "impossibile aprire il file nircmd.cfxxe" e mi chiede di selezionare un programma per aprire codesto file o fare una ricerca su internet :S

PS: vuoi che mi sposto in quella discussione con le risposte o posso proseguire quì?? Non vorrei creare confusione

Mi occorreva il log di Combo pre procedere all'eliminazione di:

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] olzkadun

procedi così:

scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Files to delete:
C:\WINDOWS\system32\gnbpbgl.dll

Drivers to delete:
olzkadun

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\olzkadun
HKLM\SYSTEM\ControlSet002\Services\olzkadun


clicca su Execute, al termine il Pc si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt + nuovo log di Gmer

Mi occorreva il log di Combo pre procedere all'eliminazione di:



procedi così:

scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco



clicca su Execute, al termine il Pc si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt + nuovo log di Gmer

Ho fatto quanto mi hai detto ma sono successe 2 cose strane/fastidiose

1) non sento più l'audio da firefox (mentre posso sentire la musica coi files mp3 nel mio pc)

2) Non mi parte più Gmer: la prima volta sono tornato a casa ed ho trovato il programma chiuso ed il messaggio "memoria virtuale insufficiente", la seconda volta mi si è riavviato il pc una volta inizializzato Gmer, e l'ultima volta si è chiuso durante la scansione (l'applicazione verrà terminata.. eccetera)..

Ti allego comunque il file avenger (http://www.filedropper.com/avenger) :) ma anche :cry: e :muro:

Ho fatto quanto mi hai detto ma sono successe 2 cose strane/fastidiose

1) non sento più l'audio da firefox (mentre posso sentire la musica coi files mp3 nel mio pc)

2) Non mi parte più Gmer: la prima volta sono tornato a casa ed ho trovato il programma chiuso ed il messaggio "memoria virtuale insufficiente", la seconda volta mi si è riavviato il pc una volta inizializzato Gmer, e l'ultima volta si è chiuso durante la scansione (l'applicazione verrà terminata.. eccetera)..

Ti allego comunque il file avenger (http://www.filedropper.com/avenger) :) ma anche :cry: e :muro:

Direi che siamo ok

Driver "olzkadun" deleted successfully.

Fai pulizia con ATF Cleaner come indicato qui http://www.hwupgrade.it/forum/showthread.php?t=1599737

Direi che siamo ok



Fai pulizia con ATF Cleaner come indicato qui http://www.hwupgrade.it/forum/showthread.php?t=1599737

Ciao, un paio di domande:

1)Ho fatto pulizia con ATF Cleaner ma mi chiedevo se devo seguire tutta la kilometrica "Guida alla disinfezione" oppure basta far girare ATF??

2) In caso che io debba seguire tutta la procedura, è scritto nella guida che per evitare tutte quelle innumerevoli operazioni basterebbe far girare PrevxCSI.. Confermi oppure ho capito male io!?!?

Grazie ancora per la tua disponibilità :)

Ciao, un paio di domande:

1)Ho fatto pulizia con ATF Cleaner ma mi chiedevo se devo seguire tutta la kilometrica "Guida alla disinfezione" oppure basta far girare ATF??

2) In caso che io debba seguire tutta la procedura, è scritto nella guida che per evitare tutte quelle innumerevoli operazioni basterebbe far girare PrevxCSI.. Confermi oppure ho capito male io!?!?

Grazie ancora per la tua disponibilità :)

No, mi riferivo solo ed esclusivamente ad ATF Cleaner :)

No, mi riferivo solo ed esclusivamente ad ATF Cleaner :)
Ok ho fatto pulizia con AFT Cleaner.. Il mio pc è sempre impallatissimo ugualmente.. Ma per adesso è un altro il problema che mi preme:

Prima di iniziare a seguire le guide (sia quella sulla rimozione MBR Rootkit che l'utilissimo trattamento post disinfezione) l'audio mi andava benissimo.
Ora invece funziona quando apro un file audio presente tra le mie cartelle, mentre tutto tace quando vado su youtube o qualunque altro sito con un player (ho provato a reinstallare flash player), tutto tace con l'avvio di windows (prima funzionava l'audio sia per l'avvio che per l'arresto del sistema).
Smanettando tra le proprietà audio ho visto che non mi lasciava scegliere l'hardware per la riproduzione dei midi (ora sono riuscito a settare soundmax), addirittura quando andavo a scegliere il tono per l'avvio di windows (tanto per provare se le casse funzionavano) il pulsante dell'anteprima audio non era nemmeno cliccabile (prima volta che mi succede nella mia vita)!!! In più: Anche se attivo mostra l'icona volume sulla barra delle applicazioni, non mi compare.. Insomma pare che ci sia un conflitto o non so che!!
Ho porvato persino a bloccare da "msconfig" l'avvio di SoundMax temendo un conflitto..
Scusa se sono stato molto dettagliato ma volevo cercare di darti un quadro il più possibile completo..
Posto che abito al 4° piano, puoi aiutarmi onde evitare che mi butti dal balcone!?

Ok ho fatto pulizia con AFT Cleaner.. Il mio pc è sempre impallatissimo ugualmente.. Ma per adesso è un altro il problema che mi preme:

Prima di iniziare a seguire le guide (sia quella sulla rimozione MBR Rootkit che l'utilissimo trattamento post disinfezione) l'audio mi andava benissimo.
Ora invece funziona quando apro un file audio presente tra le mie cartelle, mentre tutto tace quando vado su youtube o qualunque altro sito con un player (ho provato a reinstallare flash player), tutto tace con l'avvio di windows (prima funzionava l'audio sia per l'avvio che per l'arresto del sistema).
Smanettando tra le proprietà audio ho visto che non mi lasciava scegliere l'hardware per la riproduzione dei midi (ora sono riuscito a settare soundmax), addirittura quando andavo a scegliere il tono per l'avvio di windows (tanto per provare se le casse funzionavano) il pulsante dell'anteprima audio non era nemmeno cliccabile (prima volta che mi succede nella mia vita)!!! In più: Anche se attivo mostra l'icona volume sulla barra delle applicazioni, non mi compare.. Insomma pare che ci sia un conflitto o non so che!!
Ho porvato persino a bloccare da "msconfig" l'avvio di SoundMax temendo un conflitto..
Scusa se sono stato molto dettagliato ma volevo cercare di darti un quadro il più possibile completo..
Posto che abito al 4° piano, puoi aiutarmi onde evitare che mi butti dal balcone!?

Il problema legato all'audio non è inerente l'infezione, chiedi in sezione idonea http://www.hwupgrade.it/forum/forumdisplay.php?f=19 previa lettura di http://www.hwupgrade.it/forum/showthread.php?t=1639417

la procedura suggerita funziona anche su sistema Windows Server???
Grazie

la procedura suggerita funziona anche su sistema Windows Server???
Grazie

Ciao, sulla base di cosa pensi che il problema sia questo?

ciao a tutti,

ieri mentre navigavo (windows7 x64) mi son venuti fuori diversi popup di avira, tempo un secondo schermata blu con scritto qualcosa tipo "unknown disk error" o "hard disk error", e dal riavvio successivo sempre :muro: appena parte il caricamento di windows, schermata blu con errore

0x000007b ( 0xfffff880009a9928 0xffffffffc0000034 0x000000000000
0x0000000000000000)

che cercando un attimo sotto win7 ma anche sotto xp e' un problema
all' MBR, dovuto moooolto probabilmente nel mio caso a un virus nel
settore di avvio

ora... non riesco ad accedere a windows in alcun modo per poter utilizzare i programmi della guida del primo post: il ripristino di windows non va, modalita'
provvisoria nemmeno (ricade nella schermata blu vista sopra)... riesco solo a bootare con una live distro di linux :mc:

grazie per l 'aiuto

aggiornamento, dopo MOLTA fatica son riuscito con SARDU boot disk e programma TESTDISK a rilevare una micro partizione creata dal virus che non doveva esserci, eliminata, riscritto l' MBR dalla console di repristino di windows.

Avviato finalmente win 7, scan rapido con avira e malwarebytes che hanno trovato un totale di 10 files infetti da diverse cose brutte:
dal log di avira:

TR/Kazy.13325' [trojan]
TR/Crypt.XPACK.Gen3' [trojan].
'TR/Pirminay.clx' [trojan
TR/Meredrop.A.3559' [trojan].

dal log di malwarebytes:

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Icozaxifivu (Trojan.Agent.U) -> Value: Icozaxifivu -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JP595IR86O (Trojan.FakeAlert) -> Value: JP595IR86O -> Quarantined and deleted successfully.

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
c:\Users\asd\AppData\Local\Temp\aeroscmxnw.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

ho quindi provato a partire con la guida ma GMER mi da l' errore
C:\windows\system32\config\system impossibile trovare il file specificato
presumo perche' non compatibile con 7 64bit?

la scansione con prevxcsifree invece mi da pc pulito (serve che alleghi il log cmq?)

come procedo?
grazie 1000!

aggiornamento, dopo MOLTA fatica son riuscito con SARDU boot disk e programma TESTDISK a rilevare una micro partizione creata dal virus che non doveva esserci, eliminata, riscritto l' MBR dalla console di repristino di windows.

Avviato finalmente win 7, scan rapido con avira e malwarebytes che hanno trovato un totale di 10 files infetti da diverse cose brutte:
dal log di avira:


come procedo?
grazie 1000!

Scarica questo file http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

successivamente segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446

Allegha i log dove appena indicato, compreso TDSSKiller.

ciao, ecco tutto!

http://wikisend.com/download/789774/mbam-log-2011-02-25 (09-46-21).txt
http://wikisend.com/download/537604/hijackthisLOG.txt
http://wikisend.com/download/590308/CureIt.log
http://wikisend.com/download/460438/quarantine.txt
http://wikisend.com/download/389308/TDSSKiller.2.4.18.0_25.02.2011_12.51.38_log.txt
http://wikisend.com/download/226664/Prevx 3.0 log

tutto questo per il primo hd, il secondo l' ho scollegato (vi sono solo partizioni dati e sembra avere anche lui problemi all' MBR...)

come procedo? grazie 10000000!!!!

Ciao,
il pc della mia ragazza ha un fastidiosissimo mbr rootkit, avast lo rileva, mi dice di fare una scansione all'avvio, la faccio ma questa non trova nulla.

mi potete dire quali sono i programmi per fare scansioni per poter postare poi i log?

grazie.

ciao, ecco tutto!

http://wikisend.com/download/789774/mbam-log-2011-02-25 (09-46-21).txt
http://wikisend.com/download/537604/hijackthisLOG.txt
http://wikisend.com/download/590308/CureIt.log
http://wikisend.com/download/460438/quarantine.txt
http://wikisend.com/download/389308/TDSSKiller.2.4.18.0_25.02.2011_12.51.38_log.txt
http://wikisend.com/download/226664/Prevx 3.0 log

tutto questo per il primo hd, il secondo l' ho scollegato (vi sono solo partizioni dati e sembra avere anche lui problemi all' MBR...)

come procedo? grazie 10000000!!!!

Direi che siamo ok, per il secondo HDD scegli se fare del FIX del MBR da Console di ripristino oppure TDSSKiller etc....

Ciao,
il pc della mia ragazza ha un fastidiosissimo mbr rootkit, avast lo rileva, mi dice di fare una scansione all'avvio, la faccio ma questa non trova nulla.

mi potete dire quali sono i programmi per fare scansioni per poter postare poi i log?

grazie.

http://www.hwupgrade.it/forum/showthread.php?t=1715546

Direi che siamo ok, per il secondo HDD scegli se fare del FIX del MBR da Console di ripristino oppure TDSSKiller etc....

ok fixato anche il secondo mbr
ora rifaccio tutti i log e gli scan, se esce qualcosa di strano posto i log
intanto grazie!

Ciao,
ho fatto la scansione con gmer e prevx.

il log di gmer non riesco capirlo ma con prevx mi dice che sono pulito.

ecco i log

GMER:
log_gmer.txt (http://wikisend.com/download/432038/log_gmer.txt)

PREVX
prevx.log (http://wikisend.com/download/939754/prevx.log)

grazie per l'aiuto.

ok fixato anche il secondo mbr
ora rifaccio tutti i log e gli scan, se esce qualcosa di strano posto i log
intanto grazie!

Ok :)

Ciao,
ho fatto la scansione con gmer e prevx.

il log di gmer non riesco capirlo ma con prevx mi dice che sono pulito.

ecco i log

GMER:
log_gmer.txt (http://wikisend.com/download/432038/log_gmer.txt)

PREVX
prevx.log (http://wikisend.com/download/939754/prevx.log)

grazie per l'aiuto.

Scarica questo file http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

Scaricato e fatto 2 scansioni nella prima mi ha fatto riaviare e cancellato la minaccia, nella seconda non la rileva più ma trova un processo sospetto comunque ecco i log

Prima

TDSSKiller.2.4.18.0_27.02.2011_15.44.47_log.txt (http://wikisend.com/download/464190/TDSSKiller.2.4.18.0_27.02.2011_15.44.47_log.txt)

Dopo

TDSSKiller.2.4.18.0_27.02.2011_15.53.51_log.txt (http://wikisend.com/download/446376/TDSSKiller.2.4.18.0_27.02.2011_15.53.51_log.txt)

Scaricato e fatto 2 scansioni nella prima mi ha fatto riaviare e cancellato la minaccia, nella seconda non la rileva più ma trova un processo sospetto comunque ecco i log

Prima

TDSSKiller.2.4.18.0_27.02.2011_15.44.47_log.txt (http://wikisend.com/download/464190/TDSSKiller.2.4.18.0_27.02.2011_15.44.47_log.txt)

Dopo

TDSSKiller.2.4.18.0_27.02.2011_15.53.51_log.txt (http://wikisend.com/download/446376/TDSSKiller.2.4.18.0_27.02.2011_15.53.51_log.txt)

Ottimo, scansiona con DrWeb CureIt esattamente come indicato nella prima pagina delle presente Guida.

ok fixato anche il secondo mbr
ora rifaccio tutti i log e gli scan, se esce qualcosa di strano posto i log
intanto grazie!

ecco i log della scansioni con il secondo hd, anche qui sono state rilevate un po' di cose brutte:

http://wikisend.com/download/198026/gmer.log
http://wikisend.com/download/460766/privoxy.log
http://wikisend.com/download/404770/TDSSKiller.2.4.18.0_26.02.2011_14.04.09_log.txt
http://wikisend.com/download/505010/mbam-log-2011-02-27 (16-00-34).txt
http://wikisend.com/download/615940/a2scan_110226-182729.txt
http://wikisend.com/download/468528/CureIt.log
http://wikisend.com/download/450778/hijackthis.log

devo procedere con qualcos' altro?
grazie in anticipo!!! ;)

devo procedere con qualcos' altro?
grazie in anticipo!!! ;)

No, devi semplicemente smettere di scaricare determinate cose che veicolano solo infezioni :)

Houston abbiamo un problema...

Lanciando il programma che mi hai indicato non succede nulla, faccio doppio click sull'icona e mi si apre una schermata in cui mi chiede quale utente deve lanciare il programma io seleziono l'utente ma poi non succede nulla.

che faccio?

Houston abbiamo un problema...

Lanciando il programma che mi hai indicato non succede nulla, faccio doppio click sull'icona e mi si apre una schermata in cui mi chiede quale utente deve lanciare il programma io seleziono l'utente ma poi non succede nulla.

che faccio?

Tasto dx del mouse Esegui come amministratore

Salve a tutti, sono stato infettato dal rootkit in questione, rilevato da nod32...Per prima cosa visto che non gli era possibile disinfettarlo in modalità noramle ho peovato a fare una scansione in modalità provvisoria e successivamente ho riavviato il pc e provato a fare le due prime scansioni come da guida ma non ho rilevato nulla, possible che nod abbia disinfettato? Da rapporto scansione non trovo nulla......questi i log:

gmer log
(http://wikisend.com/download/486156/gmer_log_pre.txt]gmer_log_pre.txt)

prevx log (http://wikisend.com/download/610738/prevx_log_pre.txt]prevx_log_pre.txt)

Salve a tutti, sono stato infettato dal rootkit in questione, rilevato da nod32...Per prima cosa visto che non gli era possibile disinfettarlo in modalità noramle ho peovato a fare una scansione in modalità provvisoria e successivamente ho riavviato il pc e provato a fare le due prime scansioni come da guida ma non ho rilevato nulla, possible che nod abbia disinfettato? Da rapporto scansione non trovo nulla......questi i log:

gmer log
(http://wikisend.com/download/486156/gmer_log_pre.txt]gmer_log_pre.txt)

prevx log (http://wikisend.com/download/610738/prevx_log_pre.txt]prevx_log_pre.txt)

Scarica questo file http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

ciao Chill Out, nonostante il tuo prezioso aiuto ho ancora problemi su un secondo pc:

in pratica il pc si e' rallentato tantissimo improvvisamente e talvolta mi si chiude AVIRA

ho fatto girare il tool kasperski e qui c'e' il log:
http://wikisend.com/download/452462/TDSSKiller.2.4.19.0_01.03.2011_16.35.42_log.txt

ho messo in quarantena il file segnalato, spero di aver fatto bene

ecco i log della scansioni con il secondo hd, anche qui sono state rilevate un po' di cose brutte:

http://wikisend.com/download/198026/gmer.log
http://wikisend.com/download/460766/privoxy.log
http://wikisend.com/download/404770/TDSSKiller.2.4.18.0_26.02.2011_14.04.09_log.txt
http://wikisend.com/download/505010/mbam-log-2011-02-27 (16-00-34).txt
http://wikisend.com/download/615940/a2scan_110226-182729.txt
http://wikisend.com/download/468528/CureIt.log
http://wikisend.com/download/450778/hijackthis.log

devo procedere con qualcos' altro?
grazie in anticipo!!! ;)


scusa un ultimo dubbio (dopo tutti questi casini son diventato paranoico! :cry: )
nel log di Prevx 3.0 ci sono 2 cose segnalate , pero' non le ho potute pulire perche' non erano free to cleanup ma andava comprata la licenza, e' comunque tutto ok ??
grazie

Scarica questo file http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

fatta la scansione nessun elemento nocivo rilevato, piuttosto il pc é diventato improvvisamente lento e non sò il perchè, questo é il log comunque:

TDSSKiller log
(http://wikisend.com/download/447488/TDSSKiller.2.4.19.0_01.03.2011_16.47.56_log.txt)

ciao Chill Out, nonostante il tuo prezioso aiuto ho ancora problemi su un secondo pc:

in pratica il pc si e' rallentato tantissimo improvvisamente e talvolta mi si chiude AVIRA

ho fatto girare il tool kasperski e qui c'e' il log:
http://wikisend.com/download/452462/TDSSKiller.2.4.19.0_01.03.2011_16.35.42_log.txt

ho messo in quarantena il file segnalato, spero di aver fatto bene

No

scusa un ultimo dubbio (dopo tutti questi casini son diventato paranoico! :cry: )
nel log di Prevx 3.0 ci sono 2 cose segnalate , pero' non le ho potute pulire perche' non erano free to cleanup ma andava comprata la licenza, e' comunque tutto ok ??
grazie

Si

fatta la scansione nessun elemento nocivo rilevato, piuttosto il pc é diventato improvvisamente lento e non sò il perchè, questo é il log comunque:

TDSSKiller log
(http://wikisend.com/download/447488/TDSSKiller.2.4.19.0_01.03.2011_16.47.56_log.txt)

Salve a tutti, sono stato infettato dal rootkit in questione, rilevato da nod32...Per prima cosa visto che non gli era possibile disinfettarlo in modalità noramle ho peovato a fare una scansione in modalità provvisoria e successivamente ho riavviato il pc e provato a fare le due prime scansioni come da guida ma non ho rilevato nulla, possible che nod abbia disinfettato? Da rapporto scansione non trovo nulla......questi i log:

gmer log
(http://wikisend.com/download/486156/gmer_log_pre.txt]gmer_log_pre.txt)

prevx log (http://wikisend.com/download/610738/prevx_log_pre.txt]prevx_log_pre.txt)

A questo punto fai scansione completa col Nod ed allega il log.

spero di aver fatto bene -> No


dho :muro: sto facendo girare gmer e prevx, domani posto i log
e vedo se riesco a ripristinare il file che ho messo in quarantena allora :mc:

Chill-Out, ti ringrazio ancora per il supporto!

dho :muro: sto facendo girare gmer e prevx, domani posto i log
e vedo se riesco a ripristinare il file che ho messo in quarantena allora :mc:

Chill-Out, ti ringrazio ancora per il supporto!

ciao,
allego i due log di gmer (positivo) e prevx (negativo)

http://wikisend.com/download/591340/gmer log.log
http://wikisend.com/download/469414/log PREVX.log

ciao,
allego i due log di gmer (positivo) e prevx (negativo)

http://wikisend.com/download/591340/gmer log.log
http://wikisend.com/download/469414/log PREVX.log

Ti sei reinfettato, segui questa guida http://www.hwupgrade.it/forum/showthread.php?t=1984665

NB: i log allegali dove appena indicato

grazie ancora, spero di riuscire ad uscirne

uff non riesco a capire come restorare il file che mi hai detto che ho erroneamente messo in quarantena con il tool kasperski , sai aiutarmi? immagino vada fatto prima di iniziare

A questo punto fai scansione completa col Nod ed allega il log.

Fatto scansione completa con nod e riecco il maledetto...devo precisare che ho seguito la scansione e risultava ogni volta che faceva la scansione sul settore mbr di ogni partizione (ovvero 4)...
purtroppo il sistema durante l'operazione é andato in crash (non me ne manca una :doh: ) e sono riuscito a recuperare solo i dati in questo log:

nod32 log (http://wikisend.com/download/484458/nod32_log.txt)

Fatto scansione completa con nod e riecco il maledetto...devo precisare che ho seguito la scansione e risultava ogni volta che faceva la scansione sul settore mbr di ogni partizione (ovvero 4)...
purtroppo il sistema durante l'operazione é andato in crash (non me ne manca una :doh: ) e sono riuscito a recuperare solo i dati in questo log:

nod32 log (http://wikisend.com/download/484458/nod32_log.txt)

Rapporto del controllo
Versione del database delle firme antivirali: 5812 (20110124)

è il caso che aggiorni DB dellle firme.

è il caso che aggiorni DB dellle firme.

pensavo fossero aggiornati, non c'ho fatto caso comunque ecco il log di un scansione ultrarapida nod32 con firme aggiornate:

nod32 log (http://wikisend.com/download/508238/nod32_log.txt)

Tasto dx del mouse Esegui come amministratore

è XP Home Edition, ed esiste un solo utente sul sistema

Io ancora non ne esco fuori...ho provato pure a fare il restore del boot dalla console di ripristino win7, ma appena parte il sistema nod rileva il virus...Tdsskiller a volte và altre no e non posso avere un riscontro immediato...:help:

è XP Home Edition, ed esiste un solo utente sul sistema

Mi alleghi un Screenshot utilizzando la miniatura di http://imageshack.us/

Io ancora non ne esco fuori...ho provato pure a fare il restore del boot dalla console di ripristino win7, ma appena parte il sistema nod rileva il virus...Tdsskiller a volte và altre no e non posso avere un riscontro immediato...:help:

Scarica questo file http://public.avast.com/~gmerek/aswMBR.exe

- doppio click su aswMBR.exe

- clicca su Scan per lanciare la scansione

- al termina clicca su Save log e successivamente su Exit

il log lo trovi sul Desktop

Scarica questo file http://public.avast.com/~gmerek/aswMBR.exe

- doppio click su aswMBR.exe

- clicca su Scan per lanciare la scansione

- al termina clicca su Save log e successivamente su Exit

il log lo trovi sul Desktop

questo il log:

aswMBr log
(http://wikisend.com/download/689578/aswMBR.txt)

questo il log:

aswMBr log
(http://wikisend.com/download/689578/aswMBR.txt)

Pulito, il Nod sfarlocca, non è la prima volta.

Mi alleghi un Screenshot utilizzando la miniatura di http://imageshack.us/

Eccolo

http://img215.imageshack.us/img215/267/screen1sw.th.jpg (http://img215.imageshack.us/i/screen1sw.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

Eccolo

http://img215.imageshack.us/img215/267/screen1sw.th.jpg (http://img215.imageshack.us/i/screen1sw.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

Rilancia il programma, togliendo il segno di spunta da:

Proteggi il computer etc.............

già fatto ma non cambia nulla.

il programma non ne vuole sapere di avviarsi

già fatto ma non cambia nulla.

il programma non ne vuole sapere di avviarsi

Aggiorna XP al SP3


Windows XP Home Service Pack 2

il SP2 non è + supportato dalla stessa Microsoft :)

aggiornato al service pack 3 ma ancora non funziona.

Clicco sull'icona e non succede nulla

aggiornato al service pack 3 ma ancora non funziona.

Clicco sull'icona e non succede nulla

Prova a riscaricarlo, se non dovesse funzionare è inutile insistere.

ciao a tutti,

ho nuovamente problemi con una fresca installazione su un pc nuovo (quindi hd differente dal quello che ha avuto problemi un mesetto fa).

premetto , sistema pulito, win XP sp3 aggiornato, avira prof + avira firewall.

purtroppo noto dei rallentamenti generali improvvisi di sistema da qualche giorno e nuovamente dei blocchi di avira guard randomici

faggio girare malwarebytes anti malware+ scan completo con
avira e tutto sembra ok

dopo un altro rallentamento generico , reboot e mi appare la finestra : disco non di sistema, sostituire e premere invio

l' hard disk non viene visto nemmeno da console di repristino

ho usato quindi il livecd SARDU + Test Disk
ho riscontrato problemi con la mappa delle partizioni (ne sono viste due errate!), dopo averle cancellate e riscritto l' MBR, faccio partire la console di ripristino,
chkdsk, fixboot e fixmbr e tutto riparte.

Purtroppo ora alcuni programmi danno problemi , in particolare non sono riuscito ad usare GMER che durante la scansione veloce ora fa rebootare il pc , ne' MBR.exe

la scansione di Norman SinowalMBR Cleaner e' allegata e Prevx 3.0 non rileva nulla.
allego il log e resto in attesa di aiuto, grazie!

http://www.filedropper.com/nfix2011-04-0518-14-45

ciao a tutti,

ho nuovamente problemi con una fresca installazione su un pc nuovo (quindi hd differente dal quello che ha avuto problemi un mesetto fa).

premetto , sistema pulito, win XP sp3 aggiornato, avira prof + avira firewall.

purtroppo noto dei rallentamenti generali improvvisi di sistema da qualche giorno e nuovamente dei blocchi di avira guard randomici

faggio girare malwarebytes anti malware+ scan completo con
avira e tutto sembra ok

dopo un altro rallentamento generico , reboot e mi appare la finestra : disco non di sistema, sostituire e premere invio

l' hard disk non viene visto nemmeno da console di repristino

ho usato quindi il livecd SARDU + Test Disk
ho riscontrato problemi con la mappa delle partizioni (ne sono viste due errate!), dopo averle cancellate e riscritto l' MBR, faccio partire la console di ripristino,
chkdsk, fixboot e fixmbr e tutto riparte.

Purtroppo ora alcuni programmi danno problemi , in particolare non sono riuscito ad usare GMER che durante la scansione veloce ora fa rebootare il pc , ne' MBR.exe

la scansione di Norman SinowalMBR Cleaner e' allegata e Prevx 3.0 non rileva nulla.
allego il log e resto in attesa di aiuto, grazie!

http://www.filedropper.com/nfix2011-04-0518-14-45

Allora, il 3D è dedicato solo ed esclusivamente alla rimozione del MBR Rootkit pertanto come detto in precedenza

http://www.hwupgrade.it/forum/showpost.php?p=34686125&postcount=494

eh ho capito ma se qualcosa mi crea delle partizioni errate e mi va a modificare l' mbr presumevo fosse questo il thread corretto, purtroppo non riesco a far terminare GMER e MBR.exe per verificare cos' ha preso esattamente questo pc (che non e' lo stesso del vecchio post visto che a valle di quel post ho approfittato di una offerta per sostituire fisicamente il pc).

provo a seguire quindi i consigli dell' altro thread ed effettuare le scansioni indicate li....

eh ho capito ma se qualcosa mi crea delle partizioni errate e mi va a modificare l' mbr presumevo fosse questo il thread corretto, purtroppo non riesco a far terminare GMER e MBR.exe per verificare cos' ha preso esattamente questo pc (che non e' lo stesso del vecchio post visto che a valle di quel post ho approfittato di una offerta per sostituire fisicamente il pc).

provo a seguire quindi i consigli dell' altro thread ed effettuare le scansioni indicate li....

Leggi bene http://www.hwupgrade.it/forum/showpost.php?p=34686125&postcount=494

okappa, e come sempre grazie per tutto l' aiuto!

grazie mille ottima guida mi ha aiutato a non formattare(cosa che odio tantissimo).
Io ho salvato e tolto il virus con questo programma "tdsskiller" se lo volete mettere in guida secondo me è veramente semplice da utilizzare ed in più è efficace!

grazie mille ottima guida mi ha aiutato a non formattare(cosa che odio tantissimo).
Io ho salvato e tolto il virus con questo programma "tdsskiller" se lo volete mettere in guida secondo me è veramente semplice da utilizzare ed in più è efficace!

Usato in + di una occasione, al momento preferisco questo http://public.avast.com/~gmerek/aswMBR.exe

Ciao Chill, sono di nuovo qui,

avevo un problema che il notebook non mi si avviava in nessun modo,
modalità provvisoria ecc.

Poi ho scoperto che mi partiva con il disco Di norton Ghost o con il Disco di nLITE (LA toshiba non fornisce il disco di installazione del sistema x il qosmio)

avevo postato nella sezione hardware invece lì mi hanno detto che si tratta del MBR

quindi sono tornato qui e usando l'ultimo tool che hai indicato tu mi è subito affacciato 2 voci rosse dalla scansione.

Ti allego il log x sapere se sono di nuovo infetto e devo ricominciare tutto come prima.


Grazie sempre

http://wikisend.com/download/419668/aswMBR.txt

Fatta pure la scansione con GMER

http://wikisend.com/download/442844/Gmer 03052011 0101.txt

Scusa Chill,
volevo chiederti pure, se per caso, il problema può essersi presentato perchè ho effettuato uno scandisk con correzione dei problemi, che mi ha riportato in vita il virus eliminato? (FANTASIE da incompetente?)

Grazie.

Ciao Chill, sono di nuovo qui,

avevo un problema che il notebook non mi si avviava in nessun modo,
modalità provvisoria ecc.

Poi ho scoperto che mi partiva con il disco Di norton Ghost o con il Disco di nLITE (LA toshiba non fornisce il disco di installazione del sistema x il qosmio)

avevo postato nella sezione hardware invece lì mi hanno detto che si tratta del MBR

quindi sono tornato qui e usando l'ultimo tool che hai indicato tu mi è subito affacciato 2 voci rosse dalla scansione.

Ti allego il log x sapere se sono di nuovo infetto e devo ricominciare tutto come prima.


Grazie sempre

http://wikisend.com/download/419668/aswMBR.txt

Fatta pure la scansione con GMER

http://wikisend.com/download/442844/Gmer 03052011 0101.txt

Scusa Chill,
volevo chiederti pure, se per caso, il problema può essersi presentato perchè ho effettuato uno scandisk con correzione dei problemi, che mi ha riportato in vita il virus eliminato? (FANTASIE da incompetente?)

Grazie.

I logs sono ok

Scusa se i logs sono puliti, allora il fatto che il notebook non si avvia in nessun modo se non col cd di Norton Ghost o CD di avvio di Windows (NLite) significa che il problema non è l'MBR oppure che è lì il problema.
In pratica ho capito che non ho un problema virale, ma nella sezione hardware mi hanno consigliato di ripristinare l'MBR col cd di avvio di Windows (eventualmente potrei usare l'opzione offerta dal tool da te indicato e di cui ti ho postato il log?) quindi se l'MBR è partito a cosa potrebbe essere dovuta questa partenza?
Se non è l'mbr cosa potrebbe essere?
Avrei bisogno di un pò di luce nelle tenebre della mia ignoranza!
:mc:

Scusa se i logs sono puliti, allora il fatto che il notebook non si avvia in nessun modo se non col cd di Norton Ghost o CD di avvio di Windows (NLite) significa che il problema non è l'MBR oppure che è lì il problema.
In pratica ho capito che non ho un problema virale, ma nella sezione hardware mi hanno consigliato di ripristinare l'MBR col cd di avvio di Windows (eventualmente potrei usare l'opzione offerta dal tool da te indicato e di cui ti ho postato il log?) quindi se l'MBR è partito a cosa potrebbe essere dovuta questa partenza?
Se non è l'mbr cosa potrebbe essere?
Avrei bisogno di un pò di luce nelle tenebre della mia ignoranza!
:mc:

Io vedo

Disk 0 MBR read successfully

non essendo un problema legato ad una infezione, prosegui qui http://www.hwupgrade.it/forum/showthread.php?t=2349857

Ok grazie sempre gentilissimo.