ecco qua la mia scansione completa di cureit:


http://wikisend.com/download/564816/CureIt.log



allora?ditemi voi,cosa fare....grazie

ecco qua la mia scansione completa di cureit:


http://wikisend.com/download/564816/CureIt.log



allora?ditemi voi,cosa fare....grazie

togli tutto quello che non serve e tieni solo i riferimenti alle infezioni rilevate :)

ok....fatto.ho corretto,anzi cancellato tutti i file infetti...ora tutto apposto o no?ditemi.........ah un altra cosa,secondo voi è meglio internet explorer o firefox?se voglio tenere solo fire fox,devo disinstallare internet explorer 7 e i suoi aggiornamenti?....grazie ancora di tutto....SIETE I MIGLIORIIIIIIIIIII;) ;) ;) ;)

Si sei OK per quanto concerne il resto leggi qui: http://www.hwupgrade.it/forum/showthread.php?t=1726383

NB: il riprisitno configurazione sistema avresto dovuto disabilitarlo, disabilitalo, riabilitalo e crea un nuovo punto

Metti Stealth Rootkit detector in D:\
digitare D:\mbr.exe -f e cliccate su OK

Stessa identica cosa..

Stessa identica cosa..

Allegami due log di Gmer, spuntando nel pannelo di destra di Gmer prima una partizione e poi l'altra o le altre, ciao.

Allegami due log di Gmer, spuntando nel pannelo di destra di Gmer prima una partizione e poi l'altra o le altre, ciao.
partizione c:
http://www.fileqube.com/shared/PaSPSezi29810
partizione d:
http://www.fileqube.com/shared/gtdSnJYgn29811
Grazie mille per l'aiuto

partizione c:
http://www.fileqube.com/shared/PaSPSezi29810
partizione d:
http://www.fileqube.com/shared/gtdSnJYgn29811
Grazie mille per l'aiuto

Pare a me o è tutto in D:\ i log sono identici

Pare a me o è tutto in D:\ i log sono identici

anche a me...pero io li ho spuntati!

anche a me...pero io li ho spuntati!

Fai girare questo tool http://download.norman.no/public/removembrs.zip

Istruzioni http://www.norman.com/Virus/Virus_removal_tools/52382/it

Al termine riallega log di Gmer, nell'eventualità il risultato sia il medesimo facciamo un overwrite

Fai girare questo tool http://download.norman.no/public/removembrs.zip

Istruzioni http://www.norman.com/Virus/Virus_removal_tools/52382/it

Al termine riallega log di Gmer, nell'eventualità il risultato sia il medesimo facciamo un overwrite

Log di Norman
http://www.fileqube.com/shared/FdAMnfqG29940
Log di Gmer...mi sembra identico
http://www.fileqube.com/shared/RcuZXkaF29941
grazie mille per le risposte

Fai girare questo tool http://download.norman.no/public/removembrs.zip

Istruzioni http://www.norman.com/Virus/Virus_removal_tools/52382/it

Al termine riallega log di Gmer, nell'eventualità il risultato sia il medesimo facciamo un overwrite

Log di Norman (l'ho preso dal link delle istruzioni, il primo non funziona)
http://www.fileqube.com/shared/FdAMnfqG29940
Log di Gmer
http://www.fileqube.com/shared/RcuZXkaF29941
grazie mille per le tante risposte

Il discorso è questo non sei infetta ma dal log di Gmer risulta che hai del codice appeso al settore 61, se vuoi procedere col Fix del Master Boot Record questa è la procedura:

Ciao questa è la procedura da seguire, mi raccomando presta attenzione alle istruzioni:

* Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS
* Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY
* Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive
* A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows
* Premi F10 per confermare ed uscire
* Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
* Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
* Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, nel tuo caso 1) D:\Windows quindi premere 1 e confermare con OK
* Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.
* Al prompt dei comandi digita FIXMBR e clicca su Y per confermare
* Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows

NB: per muoverti all'inteno del BIOS e selezionare i parametri indicati segui le istruzioni sui tasti funzione che vedi a video

Il discorso è questo non sei infetta ma dal log di Gmer risulta che hai del codice appeso al settore 61, se vuoi procedere col Fix del Master Boot Record questa è la procedura:

Ciao questa è la procedura da seguire, mi raccomando presta attenzione alle istruzioni:

* Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS
* Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY
* Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive
* A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows
* Premi F10 per confermare ed uscire
* Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
* Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
* Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, nel tuo caso 1) D:\Windows quindi premere 1 e confermare con OK
* Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.
* Al prompt dei comandi digita FIXMBR e clicca su Y per confermare
* Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows

NB: per muoverti all'inteno del BIOS e selezionare i parametri indicati segui le istruzioni sui tasti funzione che vedi a video

Salve Chill-Out, ti ringrazio per la tua infinita disponibilità!
Allora ho proceduto con il processo di FIXMBR che tu mi hai descritto, ho seguito tutte le fasi..ma il risultato di Gmer continua a postare quel problema:
http://www.fileqube.com/shared/aqLqf31184

Che vuol dire?
Ho eseguito FIXMBR, ma il boot dove si seleziona il sistema operativo è rimasto identico..

Salve Chill-Out, ti ringrazio per la tua infinita disponibilità!
Allora ho proceduto con il processo di FIXMBR che tu mi hai descritto, ho seguito tutte le fasi..ma il risultato di Gmer continua a postare quel problema:
http://www.fileqube.com/shared/aqLqf31184

Che vuol dire?
Ho eseguito FIXMBR, ma il boot dove si seleziona il sistema operativo è rimasto identico..

DualBoot percaso?

DualBoot percaso?

SI il dualboot..

SI il dualboot..

Che vuol dire?
Ho eseguito FIXMBR, ma il boot dove si seleziona il sistema operativo è rimasto identico..

cosa vuol dire?

se hai seguito la procedura descritta per il Fix del MBR non capisco il perchè del log di Gmer
XP è su D:\ ? mentre su C:\ cosa c'è?

Ciao a tutti...forse sono un fortunato detentore del rootkit anche se non mi sembra che gmer presenti questo problema...prevx non da risultati...forse guardando anche questo post potete capire meglio la situazione.

http://www.hwupgrade.it/forum/showthread.php?t=1751539

Allego log gmer.

Vi ringrazio anche se riuscite a scoprire qualche altra sporcizia...non sono molto uso alla lotta al rootkit...

Ciao a tutti...forse sono un fortunato detentore del rootkit anche se non mi sembra che gmer presenti questo problema...prevx non da risultati...forse guardando anche questo post potete capire meglio la situazione.

http://www.hwupgrade.it/forum/showthread.php?t=1751539

Allego log gmer.

Vi ringrazio anche se riuscite a scoprire qualche altra sporcizia...non sono molto uso alla lotta al rootkit...

Log pulito, eventulamente fai una scansione di controllo con CureIt ==>> Vedi Guida (http://www.hwupgrade.it/forum/showthread.php?t=1715546)
Ciao

Uhm ma se il log è pulito perchè mi viene fuori l'avviso di protezione di windows, firewall disattivato?

Uhm ma se il log è pulito perchè mi viene fuori l'avviso di protezione di windows, firewall disattivato?

Il log è pulito significa che il MBR non è infetto, il messaggio è inerente ad un'altro problema.

cosa vuol dire?

se hai seguito la procedura descritta per il Fix del MBR non capisco il perchè del log di Gmer
XP è su D:\ ? mentre su C:\ cosa c'è?

Su c c'è Vista installato di fabbrica...su d xp instalatto da me.
Ho eseguito tutta la procedura del fix Mbr, ma il sistema di dual boot è rimasto lo stesso, ossia quello che mi ha creato easyBCD. Io invece credevo che andasse a sovrascriverlo, e che dopo sarebbe apparso solo il boot di Vista.

Su c c'è Vista installato di fabbrica...su d xp instalatto da me.
Ho eseguito tutta la procedura del fix Mbr, ma il sistema di dual boot è rimasto lo stesso, ossia quello che mi ha creato easyBCD. Io invece credevo che andasse a sovrascriverlo, e che dopo sarebbe apparso solo il boot di Vista.

e no due bootloader due MBR a questo punto qualcosa con easyBCD non ha funzionato

e no due bootloader due MBR a questo punto qualcosa con easyBCD non ha funzionato

Cosa posso fare?
Grazie mille

Cosa posso fare?
Grazie mille

Secondo me hai fatto macello con easyBCD, ma a questo punto usciamo dal mio campo di competenza (sempre che ne abbia uno) ti consiglio di chiedere ai ragazzi che frequentano questa sezione http://www.hwupgrade.it/forum/forumdisplay.php?f=126
Ciao

Secondo me hai fatto macello con easyBCD, ma a questo punto usciamo dal mio campo di competenza (sempre che ne abbia uno) ti consiglio di chiedere ai ragazzi che frequentano questa sezione http://www.hwupgrade.it/forum/forumdisplay.php?f=126
Ciao
chill che getta la spugna... questa me la segno ;)
dai almeno stanotte ricomincerai a dormire :D
e non fare il finto modesto... ;)

chill che getta la spugna... questa me la segno ;)

bisogna anche saper ammettere i propri limiti è meglio che chieda in Area SO

dai almeno stanotte ricomincerai a dormire :D

perchè quando ho smesso?

e non fare il finto modesto... ;)

perchè non lo sono? :stordita:

sarà sto dual boot ma mi sembra ti abbia fatto impazzire ;)
era solo non fare il modesto :D :D :D :D

sarà sto dual boot ma mi sembra ti abbia fatto impazzire ;)
era solo non fare il modesto :D :D :D :D

ormai cos'è che non fà impazzire :D

Secondo me hai fatto macello con easyBCD, ma a questo punto usciamo dal mio campo di competenza (sempre che ne abbia uno) ti consiglio di chiedere ai ragazzi che frequentano questa sezione http://www.hwupgrade.it/forum/forumdisplay.php?f=126
Ciao

Dopo piu di dieci risposte..
mi sembra riduttivo dire "ha gettato la spugna"
Ti ringrazio, sei stato gentilissimo

Ciao! ho anke io questo problema riguardante mebroot! dunque so ke ti dovrei mandare tutti i log ma ti posso gia dire ke prevx csi non mi ha trovato niente (il sistema è cleaned), fixmebroot mi dice che è tutto ok non ce nessun mbr, nod32 fa una scansione pulita ma dice chiaramente che (il settore MBR di 2. Disco fisico contiene cavallo di troia Win32/Mebroot.H), altri programmi come ad-aware, CCLeaner, Malwarebytes Anti-Malware e Spyware Doctor non trovano assolutamente niente MA gmer putroppo mi trova cmq un problema (ho messo di seguito l'allegato)! ho provato di tutto! ho cercato di seguire la tua guida al meglio possibile ma il problema non si è risolto. Ho provato anke a usare i comandi fixboot e fixmbr ma non hanno funzionato.. Ah a proposito oltre nod e gmer anke l'eseguibile di mbr da scaricare e mettere su C:\ mi rileva l'errore (è tutto nell'allegato)! ma mi dice sempre la stessa cosa! sia in modalita provvisoria ke in modalita normale ke con il comando -f alla fine.. Perfavore mi potresti aiutare? Ho dovuto formattare settimana scorsa per un altro tipo di problema e ora ke stavo rimettendo tutti gli aggiornamenti non ho tanta voglia di ricominciare daccapo! Grazie cmq! Buonagiornata :D

Ciao! ho anke io questo problema riguardante mebroot! dunque so ke ti dovrei mandare tutti i log ma ti posso gia dire ke prevx csi non mi ha trovato niente (il sistema è cleaned), fixmebroot mi dice che è tutto ok non ce nessun mbr, nod32 fa una scansione pulita ma dice chiaramente che (il settore MBR di 2. Disco fisico contiene cavallo di troia Win32/Mebroot.H), altri programmi come ad-aware, CCLeaner, Malwarebytes Anti-Malware e Spyware Doctor non trovano assolutamente niente MA gmer putroppo mi trova cmq un problema (ho messo di seguito l'allegato)! ho provato di tutto! ho cercato di seguire la tua guida al meglio possibile ma il problema non si è risolto. Ho provato anke a usare i comandi fixboot e fixmbr ma non hanno funzionato.. Ah a proposito oltre nod e gmer anke l'eseguibile di mbr da scaricare e mettere su C:\ mi rileva l'errore (è tutto nell'allegato)! ma mi dice sempre la stessa cosa! sia in modalita provvisoria ke in modalita normale ke con il comando -f alla fine.. Perfavore mi potresti aiutare? Ho dovuto formattare settimana scorsa per un altro tipo di problema e ora ke stavo rimettendo tutti gli aggiornamenti non ho tanta voglia di ricominciare daccapo! Grazie cmq! Buonagiornata :D

Cortesemente i log in formato .txt, quindi se possibile allega il log di Gmer, il Nod32 oltre a rilevare l'infezione che cosa ti consente di fare? Allegami anche il log del Nod inerente la rilevazione, grazie.

Si scusami ti ho allegato tutto in formato .txt
Il nod non è ke faccia molto come vedrai dal report della scansione! lo rileva solo ma non lo trova secondo me.. boh non capisco :muro: :muro: :muro:
sei tutto cio ke mi rimane dal formattare di nuovo :help:

azzo non me lo allega in formato .txt!
te lo zippo!

Ti rielenco brevemente le modalità di pubblicazione dei log
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comodo comando Gestisci allegati nelle Opzioni aggiuntive.
Clicca su Gestisci allegati -> si aprirà una finestra -> Click su Sfoglia -> seleziona il file da caricare -> Click su Carica -> sotto allegati correnti vedrai il tuo log caricato -> Chiudi la finestra
Altrimenti caricali su [wikisend.com] (http://wikisend.com/) o su [mediafire.com] (http://www.mediafire.com/index.php).
Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.
Le immagini più grosse (es. nel caso di PrevX) salvale in JPG, essendo più leggere, e caricale su fileqube.com (http://fileqube.com) che permette di visualizzarle direttamente online.

Ti rielenco brevemente le modalità di pubblicazione dei log
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comodo comando Gestisci allegati nelle Opzioni aggiuntive.
Clicca su Gestisci allegati -> si aprirà una finestra -> Click su Sfoglia -> seleziona il file da caricare -> Click su Carica -> sotto allegati correnti vedrai il tuo log caricato -> Chiudi la finestra
Altrimenti caricali su [wikisend.com] (http://wikisend.com/) o su [mediafire.com] (http://www.mediafire.com/index.php).
Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.
Le immagini più grosse (es. nel caso di PrevX) salvale in JPG, essendo più leggere, e caricale su fileqube.com (http://fileqube.com) che permette di visualizzarle direttamente online.

non va bene se le metto in doc o pdf? in txt non riesco a caricarle (non so perke, non me le prende), ho zippato il txt perke l'ho visto in gestisci allegati tra le estensioni compatibili per uppare! cmq se è un problema ci riprovo

http://www.mediafire.com/?j0bfyyogcxf

http://www.mediafire.com/?j0bfyyogcxf

Allegami un log di questo tool

http://www.trendmicro.com/download/rbuster.asp

non ha trovato niente.. non riesco davvero a capire..
http://www.mediafire.com/?7xtnznixd02

non ha trovato niente.. non riesco davvero a capire..
http://www.mediafire.com/?7xtnznixd02

Fai girare questo tool http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_removal_tools/52382/it

Al termine riallega anche log di Gmer.

norman rileva un errore e lo corregge ma poi gmer rovina tutto.. pare ci sia ancora.. :cry:

http://www.mediafire.com/?ag221ukdx9x

attenzione!!!! nod non rileva pero piu l'errore!!! lo rileva solo gmer!!! è una notizia positiva no? non vorrei esultare troppo presto :D
cosa devo fare ora?

attenzione!!!! nod non rileva pero piu l'errore!!! lo rileva solo gmer!!! è una notizia positiva no? non vorrei esultare troppo presto :D
cosa devo fare ora?

Mi alleghi un log di Gmer esattamente come indicato in Guida

certo! ekkolo..

http://www.mediafire.com/?fynmiyonyyq

kosa ne pensi?

certo! ekkolo..

http://www.mediafire.com/?fynmiyonyyq

kosa ne pensi?

Penso che l'infezione sia stata rimossa ma dal log di Gmer si evince che del codice è appeso nel settore 61, dovresti seguire alla lettere questa fase così come indicato in Guida, come vedi questa fase è composta da 3 passaggi al termine di ogni passagio salvi il log prodotto dal tool (MBR1 - MBR2 - MBR3) al termine alleghi separatamente tutti e tre i log

Esegui il tutto disconnesso dalla rete, disabilitando i software di sicurezza es: Nod32...etc....


Download tools necessari per la rimozione/disinfezione:

Stealth MBR rootkit detector -> Download (http://www2.gmer.net/mbr/mbr.exe)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
1 - Scaricate MBR:EXE sul DeskTop e mettetelo direttamente nella Directory C:\
Riavviate il Pc in modalità provvisoria F8
Da Start - Esegui - digitate C:\mbr.exe e cliccate su OK
Salvate il log prodotto come MBR1 ed allegatelo per il controllo*
Esempio di MBR infetto:
Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit infection detected !
MBR INT 0x13 hook detected !
malicious code @ sector 0x12a18ac1 size 0x1e8 !
copy of MBR has been found in sector 62 !

2 - A questo punto sempre da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
Salvate il log prodotto come MBR2 ed allegatelo per il controllo*
Esempio di MBR correttamente ripristinato:
Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit infection detected !
MBR INT 0x13 hook detected !
malicious code @ sector 0x12a14c00 size 0x1ca !
copy of MBR has been found in sector 62 !
original MBR restored successfully !

3 - Riavviate il PC in modalità normale
Da Start - Esegui - digitate C:\mbr.exe e cliccate su OK
Salvate il log prodotto come MBR3 ed allegatelo per il controllo*
Esempio di MBR corretto:
Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

fatto! ma come l'altra volta mi da lo stesso messaggio per tutti e 3..
sono sicuro di avere fatto tutto bene..

http://www.mediafire.com/?meod3qtvdxm

e tra l'altro su mediafire essendo il log identico agli altri due non me li uppa ma mi da lo stesso link
te li metto uno sotto l'altro in formato jpeg

http://www.mediafire.com/imageview.php?quickkey=4jizmy32zsj&thumb=4

fatto! ma come l'altra volta mi da lo stesso messaggio per tutti e 3..
sono sicuro di avere fatto tutto bene..

http://www.mediafire.com/?meod3qtvdxm

e tra l'altro su mediafire essendo il log identico agli altri due non me li uppa ma mi da lo stesso link
te li metto uno sotto l'altro in formato jpeg

http://www.mediafire.com/imageview.php?quickkey=4jizmy32zsj&thumb=4

Se i log li avessi rinominati come indicato in MBR1 - MBR2 e MBR3 te li avrebbe caricati, in definitiva mi stai dicendo che in modalità provvisoria eseguendo il passaggio 2 ovvero C:\mbr.exe -f il log rilasciato è sempre questo:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x17bd1417 size 0x1a8 !
copy of MBR has been found in sector 62 !

mi dici quante e quali sono le partizione e dove è installato il SO (in C:\ secondo me)

Si eseguendo i primi due comandi in modalità provvisoria senza reti e l'ultimo in modalità normale mi da sempre lo stesso responso.
Ho 2 hd (C e D) di cui C ha una subpartition che è E, il sistema operativo è su C!
Cmq per dovere di cronaca (non penso c'entri ma non si sa mai), ti spiego ke problema ho avuto prima.. mi si è spento il pc e non mi partiva piu il sistema operativo, quindi ho dovuto fare in D un nuovo sistema operativo per salvare i dati di C ke se no sarebbero andati persi se avessi formattato! fortunatamente non ce stato bisogno xke quando ho inserito il cd di windows ho eseguito la console di ripristino ke mi ha sovrascritto i dati del vekkio windows in C e da li poi ho sistemato tutto e cancellato il sistema operativo in D per averne solo uno in C.. ti ripeto probabilmente non c'entra niente ma stavo pensando ad un errore nel codice dovuto a questo.. anke se il mebroot non poteva comparire cosi da un giorno all'altro..... sono in crisi :mc:

Si eseguendo i primi due comandi in modalità provvisoria senza reti e l'ultimo in modalità normale mi da sempre lo stesso responso.
Ho 2 hd (C e D) di cui C ha una subpartition che è E, il sistema operativo è su C!
Cmq per dovere di cronaca (non penso c'entri ma non si sa mai), ti spiego ke problema ho avuto prima.. mi si è spento il pc e non mi partiva piu il sistema operativo, quindi ho dovuto fare in D un nuovo sistema operativo per salvare i dati di C ke se no sarebbero andati persi se avessi formattato! fortunatamente non ce stato bisogno xke quando ho inserito il cd di windows ho eseguito la console di ripristino ke mi ha sovrascritto i dati del vekkio windows in C e da li poi ho sistemato tutto e cancellato il sistema operativo in D per averne solo uno in C.. ti ripeto probabilmente non c'entra niente ma stavo pensando ad un errore nel codice dovuto a questo.. anke se il mebroot non poteva comparire cosi da un giorno all'altro..... sono in crisi :mc:

ammazza che rovescio, pero adesso mi è più chiaro ecco perchè dai log vedevo due MBR se Nod32 non rileva più l'infezione sei OK, se desideri ripristinare il record di avvio principale (MBR) segui questa Guida:


Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS

Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY

Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive

A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows

Premi F10 per confermare ed uscire

Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM

Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza

Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, nel tuo caso 1) C:\Windows quindi premere 1 e confermare con OK

Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.

Al prompt dei comandi digita FIXMBR e clicca su Y per confermare

Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows


NB: per muoverti all'inteno del BIOS e selezionare i parametri indicati segui le istruzioni sui tasti funzione che vedi a video

Ho eseguito tutto.. purtroppo gmer ancora rileva questo malicious code.. ma se non è un trojan horse mi metto il cuore in pace e lo lascio vivere nel mio pc (non mi da fastidio e non penso ke mi possa creare altri danni) dunque se mi confermi ke ora non corro piu pericoli non ti faccio piu perdere tempo e lascio tutto cosi! :D
Ti ringrazio davvero per l'aiuto! e ti offro una birra virtuale!! :cincin:

Ho eseguito tutto.. purtroppo gmer ancora rileva questo malicious code.. ma se non è un trojan horse mi metto il cuore in pace e lo lascio vivere nel mio pc (non mi da fastidio e non penso ke mi possa creare altri danni) dunque se mi confermi ke ora non corro piu pericoli non ti faccio piu perdere tempo e lascio tutto cosi! :D
Ti ringrazio davvero per l'aiuto! e ti offro una birra virtuale!! :cincin:

Il Trojan è stato eliminato, se hai eseguito il correttamente il Fix del MBR è impossibile che Gmer rilevi malicious code.

Ragazzi aiutatemi per favore ,stavo scaricando un file da un programma tipo rapidshare(netfolder),quando internet si è bloccato di colpo,adesso va tutto lento,il pc trementamente scattoso in ogni operazione,il mouse scatta,l'audio scatta e gracchia e internet ogni tanto si collega e ogni tanto no,il modem si va spegnendo da solo,nulla barra delle applicazioni in basso a destra dove c'è l'icona del modem adsl compare (connessione adsl-nessun hardware) vi posto i log di tutti i programmi coi quali ho fatto la scansione

Kaspersky Virus Removal Tool
ci ha impiegato quasi 5 ore e non mi ha trovato nulla:muro:

Dr.Web CureIT
DrWeb.csv (http://wikisend.com/download/470010/DrWeb.csv)

ESET SysInspector
SysInspector.xml (http://wikisend.com/download/470008/SysInspector.xml)

HiJackThis
hijackthis.log (http://wikisend.com/download/469854/hijackthis.log)

Gmer
gmer.log (http://wikisend.com/download/469742/gmer.log)

PrevxCSI
niente neanche lui

gmer mi ha trovato questo
---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0xe4f8121 size 0x1ca
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

---- EOF - GMER 1.0.14 ----

non so se sia grave,che mi consigliate di fare?:mc:

Ragazzi aiutatemi per favore ,stavo scaricando un file da un programma tipo rapidshare(netfolder),quando internet si è bloccato di colpo,adesso va tutto lento,il pc trementamente scattoso in ogni operazione,il mouse scatta,l'audio scatta e gracchia e internet ogni tanto si collega e ogni tanto no,il modem si va spegnendo da solo,nulla barra delle applicazioni in basso a destra dove c'è l'icona del modem adsl compare (connessione adsl-nessun hardware) vi posto i log di tutti i programmi coi quali ho fatto la scansione

Kaspersky Virus Removal Tool
ci ha impiegato quasi 5 ore e non mi ha trovato nulla:muro:

Dr.Web CureIT
DrWeb.csv (http://wikisend.com/download/470010/DrWeb.csv)

ESET SysInspector
SysInspector.xml (http://wikisend.com/download/470008/SysInspector.xml)

HiJackThis
hijackthis.log (http://wikisend.com/download/469854/hijackthis.log)

Gmer
gmer.log (http://wikisend.com/download/469742/gmer.log)

PrevxCSI
niente neanche lui

gmer mi ha trovato questo
---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0xe4f8121 size 0x1ca
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

---- EOF - GMER 1.0.14 ----

non so se sia grave,che mi consigliate di fare?:mc:

Ti risposi qui http://www.hwupgrade.it/forum/showpost.php?p=21818744&postcount=17
in ogni caso segui la Guida e produci i log come indicato

fatto,avira è già installato e aggiornato questo è il log che mi ha dato se serve

http://wikisend.com/download/522226/AVSCAN-20080606-111443-814D73D2.LOG

questo è quello di gmer,righe rosse non ne vedo,(non so neanche dove dovrebbero apparire)cmq

http://wikisend.com/download/521976/gmer.log

questo non so se serve,è sempre con gmer

http://wikisend.com/download/521566/autostart.txt

fatto,avira è già installato e aggiornato questo è il log che mi ha dato se serve

http://wikisend.com/download/522226/AVSCAN-20080606-111443-814D73D2.LOG

questo è quello di gmer,righe rosse non ne vedo,(non so neanche dove dovrebbero apparire)cmq

http://wikisend.com/download/521976/gmer.log

questo non so se serve,è sempre con gmer

http://wikisend.com/download/521566/autostart.txt

Ma all'epoca e mi rifesrisco al mio reply precedente che cosa facesti? :boh:
Segui la Guida in prima pagina e produci i log come indicato

nessun problema,pensavo che non ti fossi accorto che finalmente l'ho installato:D ,cmq

PRIMA FASE

prevx csi non mi trova niente
http://img341.imageshack.us/img341/6749/54165359en0.jpg

gmer l'ho già postato prima

SECONDA FASE

mbr.exe mi rilascia sempre lo stesso log sia per mbr che mbr2 e mbr3(non so se è normale)

http://wikisend.com/download/602908/mbr.log

Symantec Trojan.Mebroot Removal Tool

http://wikisend.com/download/574548/FixMebroot.log

Che hai finalmente installato Avira l'avevo visto, ti ho chiesto se all'epoca dell'infezione da MBR Rootkit avevi seguito la procedura indicata.

Fai girare questo tool http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_removal_tools/52382/it

Al termine riallega anche un nuovo log di Gmer.

Che hai finalmente installato Avira l'avevo visto, ti ho chiesto se all'epoca dell'infezione da MBR Rootkit avevi seguito la procedura indicata.

Fai girare questo tool http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_removal_tools/52382/it

Al termine riallega anche un nuovo log di Gmer.

caspita,purtroppo non riesce a completare la scansione,appena scansiona con norma sinowal dopo qualche minuto appare una scritta in rosso che dice "errore fatale impossibile continuare la scansione" e il pc si blocca completamente,all'epoca avevo semplicemente formattato il pc,non so è il problema si era tolto ma quanto meno non si faceva sentire:cry: che virus bastardo,mai preso uno così,ti ringrazio tantissimo per l'aiuto spero mi consigli qualcos'altro per evitare di formattare:mc:

Al punto 2 della seonda fase hai seguito correttamente le istruzioni, ovvero
2 - A questo punto sempre da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK

mi confermi che hai digitato questo comando C:\mbr.exe -f cosi come lo vedi f compresa

Al punto 2 della seonda fase hai seguito correttamente le istruzioni, ovvero
2 - A questo punto sempre da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK

mi confermi che hai digitato questo comando C:\mbr.exe -f cosi come lo vedi f compresa

si esatto,e mi ha dato lo stesso log del 1

si esatto,e mi ha dato lo stesso log del 1

Dal log di Gmer si evince che c'è del codice appeso nel settore 61, risultato del precedente format, che problemi riscontri perchè dai log sembra non emergere nulla.

praticamente il pc va molto lento in qualunque applicazione e a scatti,l'audio va gracchiando e a singhiozzo,il mouse sembra frenato,inoltre internet va lentissimo,non nell'apertura della pagine ma più che altro nello scarico,stranamente a volte su un sito ci impiega 1 secondo a entrare e se ci ritorno dopo qualche minuto non ci va più(devo tentare di entrarci più volte,e alla fine riesce ad entrarci),i due televisorini in basso accanto l'orologio spesso rimangono entrambi spenti,per poi riaccendersi di improvviso in maniera irregolare,come se non ci fosse banda, non so,tutto questo succedde in maniera irregolare,cioè per alcuni minuti il pc e internet sembrano funzionare regolarmente per poi diventare lenti subito dopo.Inoltre all'accenzione stranamente il modem rimane spento(la lucetta rossa nn si accende) se invece lo stacco manualmente dall'attacco usb e lo ricollego si accende anche se dopo diversi minuti.Ho controllato nel task manager e l'utlizzo della cpu è alquanto strano passa da 5% anche a 80-90% semplicemente aprendo una pagina di internet a arriva anche a 100% aprendo un'applicazione più pesante(programma di disegno,un film in dvd che va anche a scatti) il tutto si è verificato d'improvviso mentre scaricavo un file da rapidshare,ho provato anche a vedere la temperatura dei componenti(processore,ventole,hard disk) e tutto sembra apposto,ho anche fatto un test per vedere lo stato di salute dell'hard disk e dopo un test non mi ha trovato settori dannegiati

Questo è successo durante lo scaricamento di 1 file, immagino che tu il file l'abbia eseguito dopo averlo scaricato.

Questo è successo durante lo scaricamento di 1 file, immagino che tu il file l'abbia eseguito dopo averlo scaricato.

no,no,non sono riuscito a completarlo mentre scaricava si è bloccato al 17%(non scaricava oltre) così ho annullato lo scarico,il pc ha incominciato ad andare lento e pure internet e da allora non l'ha più finita:doh:

no,no,non sono riuscito a completarlo mentre scaricava si è bloccato al 17%(non scaricava oltre) così ho annullato lo scarico,il pc ha incominciato ad andare lento e pure internet e da allora non l'ha più finita:doh:

Mi sembra una cosa piuttosto strana

Fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

ecco qua

http://wikisend.com/download/540474/log.txt

intanto ho riscontrato un altro sintomo,ho cercato di salvare alcuni dati,e il masterizzatore ci ha impiegato più di 30 minuti per copiare un dvd,pazzesco

ecco qua

http://wikisend.com/download/540474/log.txt

intanto ho riscontrato un altro sintomo,ho cercato di salvare alcuni dati,e il masterizzatore ci ha impiegato più di 30 minuti per copiare un dvd,pazzesco

NB: ripristino configurazione sistema disattivato

Fai pulizia con CCleaner come indicato qui al Punto 4
http://www.hwupgrade.it/forum/showthread.php?t=1726383

Apri il Blocco Note copia e incolla queste righe:

File::
C:\WINDOWS\TEMP\78.tmp

Registry::
[-HKEY_LOCAL_MACHINE\system\ControlSet002\Services\{DEF85C80-216A-43ab-AF70-1665EDBE2780}]


Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

salve, vi leggo da diverso tempo e (haime) il mio primo post è per una richiesta (se possibile) di chiarimento circa l'eventuale presenza dimbr rootkit. Allora oggi ho notato rallentamenti ad intermittenza durante l'utilizzo del media player, ho lanciato una scansione col nod32 il quale mi ha segnalato (come ad altri utenti che hanno postato prima di me) "Il settore MBR di 2. Disco fisico contiene cavallo di troia Win32/Mebroot.H" ... ho letto la guida alla prima pagina di questo 3d e -al momento- la situazione è la seguente: prevx csi dopo aver scansionato il sistema segnala: system clear, invece gmer da il seguente che allego

...vorrei solo sapere se devo proseguire con le fasi due e tre descritte a pagina 1...

grazie...

si procedi pure

fatto tutto,ecco qua

http://wikisend.com/download/612580/log2.txt

fatto tutto,ecco qua

http://wikisend.com/download/612580/log2.txt

Ma sei sicuro di averlo copiato tutto questo Script, devi copiate tutto il contenuto del Quote

File::
C:\WINDOWS\TEMP\78.tmp

Registry::
[-HKEY_LOCAL_MACHINE\system\ControlSet002\Services\{DEF85C80-216A-43ab-AF70-1665EDBE2780}]

si procedi pure


grazie... ...beckuppo i dati (cosa che faccio periodicamente - ora approfitto della situazione..) e procedo...

Ma sei sicuro di averlo copiato tutto questo Script, devi copiate tutto il contenuto del Quote

si perfetto ho fatto tutto alla lettera,disattivato ripristino,pulito tutto con ccleaner come scritto in quella guida che mi hai linkato,e ho avviato tutto quello script,per sicurezza l'ho rifatto,ti metto il link,cmq il pc continua ad essere lentissimo purtroppo

http://wikisend.com/download/345590/log3.txt

si perfetto ho fatto tutto alla lettera,disattivato ripristino,pulito tutto con ccleaner come scritto in quella guida che mi hai linkato,e ho avviato tutto quello script,per sicurezza l'ho rifatto,ti metto il link,cmq il pc continua ad essere lentissimo purtroppo

http://wikisend.com/download/345590/log3.txt

Dal log non emerge altro, dire che il Pc è lento è un pò troppo generico, la questione forse è riconducibile a software installati di recente che vanno in conflitto, tanto per fare un'ipotesi.

Ebbene eccomi qui' anch'io :mad:
Perdonatemi se non sono particolarmente felice di partecipare a questa discussione, date le circostanze :muro:
Come indicato dal thread starter allego i file log rispettivamente di PREvxCSI
PREvxCSI.txt (http://wikisend.com/download/486156/PREvxCSI.txt)
e GMER
GMERlog.txt (http://wikisend.com/download/602736/GMERlog.txt)

Riporto il summary di PREvxCSI tanto per comodita'
"ROOTKIT-\\.\PhysicalDrive0\MBR - [512] >> Hidden Disk Sectors
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe - [B] >> Malicious Software
End of PrevxCSI Log - http://www.prevx.com"


e di GMER
"---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 00: rootkit-like behavior; MBR rootkit code detected <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sector 10: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 60: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 61: rootkit-like behavior; malicious code @ sector 0x1d1c06c0 size 0x1a8
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR

---- EOF - GMER 1.0.14 ----"


Da entrambe, nella breve esperienza che mi sono fatto negli ultimi due giorni, emerge che mi sono beccato quel fantastico Rootkit ed il bello é che andavo girando per siti Web aprendo guide online di software per la modifica di sottotitoli per DVD e non sto' scherzando.

Comunque, me ne sono accorto perché scorrendo il menu' relativo alle proprieta' della cartella, oltre ad essere completamente differente rispetto a prima, adesso non ho piu' la voce "mostra file nascosti".

Infine, chicca delle chicce, Explorer é completamente danneggiato. Impossibile la navigazione, a meno di impallare l'intero PC.
La cosa strana é che, tutto il resto funziona perfettamente. Non ho rallentamenti del sistema, l'elenco dei processi attivi mi sembra normalissimo (nessun processo anomalo), posso comunque navigare in piena liberta' adoperando Firefox, la posta Elettronica funziona.
Insomma, solo Explorer é compromesso tutte le altre applicazioni lavorano regolarmente.

Avrei voluto fare tutto da solo ma ho preferito affidarmi a presone piu' competenti tenendo conto che stavolta non si parla di un classico Virus ma di qualcosa che s'é annidato nel Master Boot Sector ed ho una paura fottuta di dare Clean Up a qualsivoglia Tool di rimozione, rischiando al successivo restart, di dover comunque formattare tutto.
Per fortuna C: contiene solo il S.O. :D

Ringrazio anticipatamente Chill-out per l'eventuale supporto


EDIT: Ah dimenticavo, l'utilita' punto di ripristino é disattivata dalla prima installazione del S.O.

Dal log non emerge altro, dire che il Pc è lento è un pò troppo generico, la questione forse è riconducibile a software installati di recente che vanno in conflitto, tanto per fare un'ipotesi.

Eccomi di nuovo in linea,ho formattato il pc di fresco e devo dire che tutto sembra tornato a posto,nessun rallentamente e pc e internet a posto,meno male,evidentemente aveva proprio bisogni di una formattazione il pc,ti ringrazio comunque tantissimo per la gentiliezza e per tutto il tempo che mia hai dedicato:D ;)

Ebbene eccomi qui' anch'io :mad:
Perdonatemi se non sono particolarmente felice di partecipare a questa discussione, date le circostanze :muro:
Come indicato dal thread starter allego i file log rispettivamente di PREvxCSI
PREvxCSI.txt (http://wikisend.com/download/486156/PREvxCSI.txt)
e GMER
GMERlog.txt (http://wikisend.com/download/602736/GMERlog.txt)

Riporto il summary di PREvxCSI tanto per comodita'
"ROOTKIT-\\.\PhysicalDrive0\MBR - [512] >> Hidden Disk Sectors
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe - [B] >> Malicious Software
End of PrevxCSI Log - http://www.prevx.com"


e di GMER
"---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 00: rootkit-like behavior; MBR rootkit code detected <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sector 10: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 60: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 61: rootkit-like behavior; malicious code @ sector 0x1d1c06c0 size 0x1a8
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR

---- EOF - GMER 1.0.14 ----"


Da entrambe, nella breve esperienza che mi sono fatto negli ultimi due giorni, emerge che mi sono beccato quel fantastico Rootkit ed il bello é che andavo girando per siti Web aprendo guide online di software per la modifica di sottotitoli per DVD e non sto' scherzando.

Comunque, me ne sono accorto perché scorrendo il menu' relativo alle proprieta' della cartella, oltre ad essere completamente differente rispetto a prima, adesso non ho piu' la voce "mostra file nascosti".

Infine, chicca delle chicce, Explorer é completamente danneggiato. Impossibile la navigazione, a meno di impallare l'intero PC.
La cosa strana é che, tutto il resto funziona perfettamente. Non ho rallentamenti del sistema, l'elenco dei processi attivi mi sembra normalissimo (nessun processo anomalo), posso comunque navigare in piena liberta' adoperando Firefox, la posta Elettronica funziona.
Insomma, solo Explorer é compromesso tutte le altre applicazioni lavorano regolarmente.

Avrei voluto fare tutto da solo ma ho preferito affidarmi a presone piu' competenti tenendo conto che stavolta non si parla di un classico Virus ma di qualcosa che s'é annidato nel Master Boot Sector ed ho una paura fottuta di dare Clean Up a qualsivoglia Tool di rimozione, rischiando al successivo restart, di dover comunque formattare tutto.
Per fortuna C: contiene solo il S.O. :D

Ringrazio anticipatamente Chill-out per l'eventuale supporto


EDIT: Ah dimenticavo, l'utilita' punto di ripristino é disattivata dalla prima installazione del S.O.

Procedi pure con la :: Seconfa fase :: leggi bene le istruzioni prima di iniziare, come avrai già letto la :: Seconda fase :: è articolata in 3 punti quindi i log da produrre sono 3, inoltre presta attenzione al comando del punto 2

Ciao

Eccomi di nuovo in linea,ho formattato il pc di fresco e devo dire che tutto sembra tornato a posto,nessun rallentamente e pc e internet a posto,meno male,evidentemente aveva proprio bisogni di una formattazione il pc,ti ringrazio comunque tantissimo per la gentiliezza e per tutto il tempo che mia hai dedicato:D ;)

Di nulla figurati ;)

allora ho approfittato della mattinata libera per dedicarmici, ho segiuto alla lettera le istruzioni della fase due, ma -ahimè- se ho capito bene l'infezione non è stata debellata.. ..allego i log prodotti... Aggiungo che fixmebroot immediatamente dopo l'avvio della scansione mi dice di riavviare il pc, alla successiva scansione la cosa si ripete, comunque nei credo sia tutto specificato... ...c'è qualche altra cosa che possa fare o devo formattare? Grazie mille...

EDIT: non accetta più di tre allagati, parcheggio qui il log di mebroot:

Symantec Trojan.Mebroot Removal Tool 1.0.1
Found drive \\.\PhysicalDrive0, analyzing MBR...
Found drive \\.\PhysicalDrive1, analyzing MBR...
Creating FixMebroot service driver
Running driver...
Trojan.Mebroot has not been found active on your computer.
Delete service driver
Delete driver file
End


The tool initiated a system reboot.

edit bis: ma che mbr non ha funioznato bene... perchè.. i log prodotti sono stati identici, in effetti ad agni digitazione della stringa di comano in strart--->esegui si apriva la maschera tipica di windows "vuoi eseguire il file mbr-exe"... ...quindi il comando mbr.exe -f non ha fatto nulla?

Ah eehm avrei un problema :stordita:
Non mi parte la modalita' provvisoria :( Ho provato sia a dare Modalita' Provvisoria che Modalita' Provvisoria con Prompt dei Comandi ma nisba :muro:
Inizia a caricare i vari driver & Co. dopodiché parte per un nanosecondo la crashata blue e si riavvia

EDIT: Ho letto di un utente che é riuscito a rimuovere il Rootkit eseguendo semplicemente il tool Dr. Web, si puo' fare comunque?

allora ho approfittato della mattinata libera per dedicarmici, ho segiuto alla lettera le istruzioni della fase due, ma -ahimè- se ho capito bene l'infezione non è stata debellata.. ..allego i log prodotti... Aggiungo che fixmebroot immediatamente dopo l'avvio della scansione mi dice di riavviare il pc, alla successiva scansione la cosa si ripete, comunque nei credo sia tutto specificato... ...c'è qualche altra cosa che possa fare o devo formattare? Grazie mille...

EDIT: non accetta più di tre allagati, parcheggio qui il log di mebroot:

Symantec Trojan.Mebroot Removal Tool 1.0.1
Found drive \\.\PhysicalDrive0, analyzing MBR...
Found drive \\.\PhysicalDrive1, analyzing MBR...
Creating FixMebroot service driver
Running driver...
Trojan.Mebroot has not been found active on your computer.
Delete service driver
Delete driver file
End


The tool initiated a system reboot.

edit bis: ma che mbr non ha funioznato bene... perchè.. i log prodotti sono stati identici, in effetti ad agni digitazione della stringa di comano in strart--->esegui si apriva la maschera tipica di windows "vuoi eseguire il file mbr-exe"... ...quindi il comando mbr.exe -f non ha fatto nulla?


Allega un nuovo log di Gmer e Prevx CSI seguente le istruzioni in Guida

Ah eehm avrei un problema :stordita:
Non mi parte la modalita' provvisoria :( Ho provato sia a dare Modalita' Provvisoria che Modalita' Provvisoria con Prompt dei Comandi ma nisba :muro:
Inizia a caricare i vari driver & Co. dopodiché parte per un nanosecondo la crashata blue e si riavvia

EDIT: Ho letto di un utente che é riuscito a rimuovere il Rootkit eseguendo semplicemente il tool Dr. Web, si puo' fare comunque?

Prima allega un log di Gmer

ti ringrazione della diponibilità Chill-Out

allora

CSI ---> system clear

e gmer come da allegato

ti ringrazione della diponibilità Chill-Out

allora

CSI ---> system clear

e gmer come da allegato

Sei pulito procedi con le scansioni di controllo

aspita... ..sono contento, allora il log di csi+the result scan online è http://csia0.prevx.com/individualcsiresultsplus.asp?ano=184985072&LICVERIFIER=ED941EE8-84B8-40C5-9AE1-48F77439A25A&Opt=S&AGENTPROFILE=CSIPLUS&CMD=LSR mentre invece la scansione concure it dapprima mi ha fatto riavviare, poi alla seconda non ha trovato nulla, anche la fase "completa scansione" è uscito tutto pulito, evito di allegare il log risultante, sia perchè è di oltre due mega, poi per non tediarne alcuno con una lettura di status ok ecc. ecc... ..(comunque se serve sono ovviamente disponibilissimo alla pubblicazione)...

..ti ringrazio ancora...

aspita... ..sono contento, allora il log di csi+the result scan online è http://csia0.prevx.com/individualcsiresultsplus.asp?ano=184985072&LICVERIFIER=ED941EE8-84B8-40C5-9AE1-48F77439A25A&Opt=S&AGENTPROFILE=CSIPLUS&CMD=LSR mentre invece la scansione concure it dapprima mi ha fatto riavviare, poi alla seconda non ha trovato nulla, anche la fase "completa scansione" è uscito tutto pulito, evito di allegare il log risultante, sia perchè è di oltre due mega, poi per non tediarne alcuno con una lettura di status ok ecc. ecc... ..(comunque se serve sono ovviamente disponibilissimo alla pubblicazione)...

..ti ringrazio ancora...

Prego ;)

Niente sono stato costretto a formattare C: perche' nel tentativo di far partire il sistema in modalita' provvisoria, come un idiota, ho innescato un loop al riavvio per cui come cercava di entrare in safe mode, crashava, restartava, ritentava il safe mode e l'anello ripartiva. Tutto questo perche' con l'msconfig ho spuntato sulla finestra BOOT.INI la modalita' safe mode /minimal. Bella vaccata, lo riconosco.

Una domanda, fermo restando che come torno online (adesso sono sul computer dell'ufficio :stordita:) posto immediatamente le scansioni con tutti e due i programmi di diagnostica PREvxCSI e GMER, la formattazione completa all'atto di installare Win XP e' di basso livello? Ovvero, avra' "arato" il Master Boot Sector?
Perche' adesso, il menu' di proprieta' delle Cartelle e' regolare, cosi' come Explorer funziona senza crash.
C'ho aperto i file di guida di alcuni driver che stavo installando ed e' partito senza alcun problema mentre prima era sufficiente anche solo il doppio-clic sull'icona di Explorer che come si apriva, crashava di brutto

EDIT: Allora, ieri ho rifatto la scansione con GMER e mi segnala solo il dannatissimo
malicious code @ sector 0x1d1c06c0 size 0x1a8 !
copy of MBR has been found in sector 62 !

Ho potuto finalmente eseguire tutta la procedura FASE DUE e FASE TRE, ed ecco i risultati (chiedo scusa sin da subito ma dal lavoro non posso andare sui siti di Uploading):

MBR1
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x1d1c06c0 size 0x1a8 !
copy of MBR has been found in sector 62 !

MBR2
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x1d1c06c0 size 0x1a8 !
copy of MBR has been found in sector 62 !

MBR3
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x1d1c06c0 size 0x1a8 !
copy of MBR has been found in sector 62 !

Inoltre ho eseguito il tool Symantec come da guida:
Symantec Trojan.Mebroot Removal Tool 1.0.2
Found drive \\.\PhysicalDrive0, analyzing MBR...
Found drive \\.\PhysicalDrive1, analyzing MBR...
Found drive \\.\PhysicalDrive2, analyzing MBR...
Creating FixMebroot service driver
Running driver...
Trojan.Mebroot has not been found active on your computer.
Delete service driver
Delete driver file
End

Infine DrWEB (solo le parti significative)
DwShield avviato
Versione Engine: 4.44 (4.44.0.09170)
Versione API dell'Engine: 2.02
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\367af3d0 - 1760 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\25f75c88 - 2545 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\67bba19c - 2410 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\5279b88f - 4202 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\7d915d0b - 5939 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\b4dab2fd - 1088 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\789dcc86 - 1646 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\fd6ae82e - 3574 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\378e7152 - 5179 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\20a76445 - 2885 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\9e3e2cf8 - 5080 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\ca7844fc - 16365 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\d9af0feb - 13612 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\0bdf4fef - 1725 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\67dd5b52 - 4099 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\e43351b9 - 1319 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\20da76ce - 3709 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\1e6189b4 - 6097 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\82e329cf - 1097 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\320e0c77 - 3605 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\b234a0ba - 7770 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\9c8cac22 - 4210 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\df8a8cc3 - 1010 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\e3aaa05d - 421 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\0ca69186 - 1306 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\7efcbbf1 - 1234 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\9086c7f4 - 1238 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\3d93084f - 4406 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\4f931a64 - 7847 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\ee7ce634 - 6014 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\5b8d9742 - 804 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\7c0b38da - 5020 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\c3b94038 - 1565 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\89d990f5 - 1582 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\f0977889 - 1131 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\733e885e - 2303 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\ba5cdecb - 3904 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\c07e190c - 2456 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\ce90d6e1 - 4411 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\87d1ac70 - 1311 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\b29a39b1 - 2486 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\8d282873 - 4462 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\dab17405 - 94 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\05388333 - 557 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\9c3562d4 - 945 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\03b0fe6b - 209466 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\49f58872 - 149 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\a37fe43e - 679 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\6f652654 - 652 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\a764482c - 999 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\2b116fb3 - 1211 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\6e645a99 - 814 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\5585b283 - 698 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\27402039 - 2747 virus records
[Virus base] C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\12e57a47 - 13534 virus records
Totale virus records: 387372
C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\setup.exe compresso da BINARYRES
....
Processi in memoria: System:4 - Ok
Processi in memoria: C:\WINDOWS\Explorer.EXE:260 - Ok
Processi in memoria: C:\WINDOWS\RTHDCPL.EXE:372 - Ok
Processi in memoria: C:\Programmi\Microsoft IntelliPoint\ipoint.exe:392 - Ok
Processi in memoria: C:\WINDOWS\system32\RUNDLL32.EXE:448 - Ok
Processi in memoria: C:\WINDOWS\system32\ctfmon.exe:456 - Ok
Processi in memoria: C:\Programmi\PrevxCSI\prevxcsi.exe:556 - Ok
Processi in memoria: C:\WINDOWS\system32\nvsvc32.exe:612 - Ok
Processi in memoria: C:\Programmi\PrevxCSI\prevxcsi.exe:656 - Ok
Processi in memoria: \SystemRoot\System32\smss.exe:804 - Ok
Processi in memoria: \??\C:\WINDOWS\system32\csrss.exe:868 - Ok
Processi in memoria: \??\C:\WINDOWS\system32\winlogon.exe:892 - Ok
Processi in memoria: C:\WINDOWS\system32\services.exe:936 - Ok
Processi in memoria: C:\WINDOWS\system32\lsass.exe:948 - Ok
Processi in memoria: C:\WINDOWS\system32\svchost.exe:1120 - Ok
Processi in memoria: C:\WINDOWS\system32\svchost.exe:1188 - Ok
Processi in memoria: C:\WINDOWS\System32\alg.exe:1228 - Ok
Processi in memoria: C:\WINDOWS\System32\svchost.exe:1436 - Ok
Processi in memoria: C:\WINDOWS\system32\svchost.exe:1564 - Ok
Processi in memoria: C:\WINDOWS\system32\wuauclt.exe:1628 - Ok
Processi in memoria: C:\WINDOWS\system32\svchost.exe:1692 - Ok
Processi in memoria: C:\Documents and Settings\xxxxxx\Desktop\cureitDrWEB.exe:1812 - Ok
Processi in memoria: C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\_start.exe:1816 - Ok
Processi in memoria: C:\WINDOWS\system32\spoolsv.exe:1888 - Ok
Processi in memoria: C:\DOCUME~1\xxxxxx\IMPOST~1\Temp\RarSFX0\setup.exe:1916 - Ok
[Memory test] Nessun virus trovato
Master Boot Record HDD1 - Ok
Active OS/2 or WinNT Boot Sector HDD1 - Ok
Master Boot Record HDD2 - Ok
OS/2 or WinNT Boot Sector HDD2 - Ok
Master Boot Record HDD3 - Ok
...

-----------------------------------------------------------------------------
Statistiche delle Scansioni
-----------------------------------------------------------------------------
Oggetti controllati: 982
Trovati oggetti Infetti: 0
Trovato Oggetti modificati: 0
Trovato oggetti Sospetti: 0
Trovato Adware: 0
Trovato Dialer: 0
Trovato Joke: 0
Trovato Riskware: 0
Trovato Hacktool: 0
Oggetti curati: 0
Oggetti cancellati: 0
Oggetti rinominati: 0
Oggetti spostati: 0
Oggetti ignorati: 0
Velocità di scansione: 9495 Kb/s
Durata scansione: 00:00:15
-----------------------------------------------------------------------------

Master Boot Record HDD1 - Ok
Active OS/2 or WinNT Boot Sector HDD1 - Ok
Master Boot Record HDD2 - Ok
OS/2 or WinNT Boot Sector HDD2 - Ok
Master Boot Record HDD3 - Ok




A me sembra che la parte "attiva" di quel dannato Rootkit, sia stata eliminata con la passata che diedi mediante DrWEB, prima di fare quel casino con la modalita' provvisoria. Adesso i vari tool non vedono piu' l'MBR corrotto ma rivelano un residuo di codice (probabilmente inerte?:mbe:) del Rootkit che se ne sta' li buonino senza creare danni.

Puo' essere cosi'? Il punto e' che tutto funziona bene, anche se sono con la configurazione base ovvero WinXP + SP2 appena installato e configurato, driver fondamentali, NO connessione Internet.
Chill-out che ne dici?

Credo che mi giochero' l'ultima carta. Provero' a fixare l'MBR mediante il ripristino configurazione all'installazione di Windows, non vedo altre possibilita' per togliere quella stringa al settore 62 :mad:

Niente sono stato costretto a formattare C: perche' nel tentativo di far partire il sistema in modalita' provvisoria, come un idiota, ho innescato un loop al riavvio per cui come cercava di entrare in safe mode, crashava, restartava, ritentava il safe mode e l'anello ripartiva. Tutto questo perche' con l'msconfig ho spuntato sulla finestra BOOT.INI la modalita' safe mode /minimal. Bella vaccata, lo riconosco.

Una domanda, fermo restando che come torno online (adesso sono sul computer dell'ufficio :stordita:) posto immediatamente le scansioni con tutti e due i programmi di diagnostica PREvxCSI e GMER, la formattazione completa all'atto di installare Win XP e' di basso livello? Ovvero, avra' "arato" il Master Boot Sector?
Perche' adesso, il menu' di proprieta' delle Cartelle e' regolare, cosi' come Explorer funziona senza crash.
C'ho aperto i file di guida di alcuni driver che stavo installando ed e' partito senza alcun problema mentre prima era sufficiente anche solo il doppio-clic sull'icona di Explorer che come si apriva, crashava di brutto

Se formatti a basso livello come dici tu ari tutto

Salve a tutti , mi unisco alla discussione contividendo il mio grosso problema e sperando che qualche "dio" tra di voi riesca a salvarmi da questo peccato!!! ;)


dunque, io ho bisogno una grande mano, poiche premetto che di forum e di pc non ne capisco molto, e dico che leggendo le pagine arretrate, non riuscivo a capire che combinavate e non avevo la piu pallida idea di cosa bisogna fare...

potete giudarmi passo a passo visto questa mia incompetenza in materia??

Putroppo il danno che ho avuto è molto grave... 1 hdd 80gb sataII 32mb cache infetto, 1 hdd 700gb sataII 32mb cache infetto, 1hdd 320gb ide infetto e per finire 1 hdd 160gb ide infetto...

come antivirus monto nod32.. e mi dice che il disco fisico contiene cavallo di troia mebroot.K.

ho formattato tutto, ma è ritornato fuori...

Help mee!!! :cry: :cry:

Ciao benvenuto nel pronto soccorso di HU.
Leggi le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) e poi segui il primo post di questa discussione.

E' veramente difficile comprende le dinamiche dell'informatica sopratutto dopo che ti sei smazzato millemila tool di rimozione, fatti girare in modalita' provvisoria, normale, ridicola etc etc......
Ad ogni modo, pur non potendo postare i Log per il momento (sono di nuovo in ufficio :stordita:) la situazione e' la seguente:

Ho eseguito tutti i tool elencati in questo thread, in modalita' provvisoria. Per lo meno quelli che funzionano in modalita' provvisoria.
Il risultato e' che, nonostante GMER continui a rivelare un
malicious code @ sector 0x1d1c06c0 size 0x1a8 !
copy of MBR has been found in sector 62 !
DrWEB non rivela nessuna infezione, trojan, malware, rootkit
PREvxCSI a sua volta mi da' sistema completamente pulito (di questo, come torno a casa postero' il log)

Ci tengo a precisare che dopo aver visto, per l'ennesima volta, che GMER rivelava sto' benedetto codice al settore 62, ho fatto anche FIXMBR dalla recovery console.
Il procedimento e' andato a buon fine, funziona tutto ma GMER continua a sentire quella porzione di codice che oramai, ne sono convinto dev'essere completamente inerte e lo testimonia il fatto che:

1 - ADaware 2008 aggiornato non sente nulla
2 - Spybot Search and Destroy lo stesso
3 - Ho installato Comodo Firewall che ha eseguito un check del sistema ed il responso e' stato sistema pulito
4 - Ho installato SP3+IE7+Patch di sicurezza critiche di IE (comunque io navigo sempre con Firefox :stordita: Explorer serve a mia Madre dannato sito della Banca SanPaolo :muro:)

e il sistema e' veloce, nessun crash, nessun riavvio :read:
Nessun processo oscuro o strano in Task Manager. A sistema fermo, l'unica cosa che succhia il 99% della CPU e' il ciclo idle, come dev'essere

Ah per la cronaca, se mai doveste reperire per quelle famose vie alternative un file come Subtitle 0.65 (programma per la modifica dei sottotitoli) sappiate che con il mulo c'e' un fortissimo rischio che proprio all'interno di quell'archivio si nasconda un fottutissimo Trojan. Difatti ADaware l'ha beccato ieri, durante la scansione e una volta eliminato il file e ridata la scansione il sistema é risultato pulito.



EDIT: Come promesso, ecco il log di PREvxCSI
PREvxCSI-FINALE.log (http://wikisend.com/download/714850/PREvxCSI-FINALE.log)

Anche a me succede la stessa cosa di clivest, tutto sembra ok, nessuna infezione rilevata, ma gmer continua a dare

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x98a412b size 0x1e4 !
copy of MBR has been found in sector 62 !

anche dopo FIXMBR.


ho solo c con windows xp e basta.

Saluti

Paper

E' veramente difficile comprende le dinamiche dell'informatica sopratutto dopo che ti sei smazzato millemila tool di rimozione, fatti girare in modalita' provvisoria, normale, ridicola etc etc......
Ad ogni modo, pur non potendo postare i Log per il momento (sono di nuovo in ufficio :stordita:) la situazione e' la seguente:

Ho eseguito tutti i tool elencati in questo thread, in modalita' provvisoria. Per lo meno quelli che funzionano in modalita' provvisoria.
Il risultato e' che, nonostante GMER continui a rivelare un
malicious code @ sector 0x1d1c06c0 size 0x1a8 !
copy of MBR has been found in sector 62 !
DrWEB non rivela nessuna infezione, trojan, malware, rootkit
PREvxCSI a sua volta mi da' sistema completamente pulito (di questo, come torno a casa postero' il log)

Ci tengo a precisare che dopo aver visto, per l'ennesima volta, che GMER rivelava sto' benedetto codice al settore 62, ho fatto anche FIXMBR dalla recovery console.
Il procedimento e' andato a buon fine, funziona tutto ma GMER continua a sentire quella porzione di codice che oramai, ne sono convinto dev'essere completamente inerte e lo testimonia il fatto che:

1 - ADaware 2008 aggiornato non sente nulla
2 - Spybot Search and Destroy lo stesso
3 - Ho installato Comodo Firewall che ha eseguito un check del sistema ed il responso e' stato sistema pulito
4 - Ho installato SP3+IE7+Patch di sicurezza critiche di IE (comunque io navigo sempre con Firefox :stordita: Explorer serve a mia Madre dannato sito della Banca SanPaolo :muro:)

e il sistema e' veloce, nessun crash, nessun riavvio :read:
Nessun processo oscuro o strano in Task Manager. A sistema fermo, l'unica cosa che succhia il 99% della CPU e' il ciclo idle, come dev'essere

Ah per la cronaca, se mai doveste reperire per quelle famose vie alternative un file come Subtitle 0.65 (programma per la modifica dei sottotitoli) sappiate che con il mulo c'e' un fortissimo rischio che proprio all'interno di quell'archivio si nasconda un fottutissimo Trojan. Difatti ADaware l'ha beccato ieri, durante la scansione e una volta eliminato il file e ridata la scansione il sistema risulta pulito.

Sei pulito nonostante il log di Gmer

Anche a me succede la stessa cosa di clivest, tutto sembra ok, nessuna infezione rilevata, ma gmer continua a dare



anche dopo FIXMBR.


ho solo c con windows xp e basta.

Saluti

Paper

Allega il log di Gmer

SPETTACOLARE!!!grazie tante....La guida è stata perfetta

Salve, arrivo un po' in ritardo e spero di aver postato nella discussione corretta :)

Sono stato infettato la settimana scorsa dal virus rootkit BOO/sinowal.a rilevato da AVIRA antivir, che mi ha infettato il Master boot record HD1....
non avendo ancora letto niente a riguardo ho proseguito alla formattazione del disco fisso, che, ovviamente, non è servita perchè credo che il virus si sia rigenerato da solo.....fattosta che l'avevo ancora segnalato.

Mi sono scaricato poi i vari GMER, MBR.EXE, Panda rootkit, Norman sinowal remover e PREVXCSI...

Ho eseguito MBR.EXE in modalità provvisoria e normale e non sono cmq riuscito a togliere il virus, che mi veniva ancora rilevato...
Ho provato poi con FIXMBR dalla console di ripristino e qualcosa è successo:

AVIRA non me lo rileva più, Panda, Norman e PREVXCSI nemmeno, ma i log di GMER e MBR sono rimasti identici.......
a questo punto non so più cosa pensare.....sono veramente libero dal sinowal o è ancora li??

allego i log di GMER e MBR come sono ora:
**************
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x2641881 size 0x1cb !
copy of MBR has been found in sector 62 !
***************

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-06-15 20:03:34
Windows 5.1.2600 Service Pack 2


---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x2641881 size 0x1cb
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----

Grazie a tutti ..... spero qualcuno riesca ad aiutarmi! :cool:

PS. se non rispondo velocemente ai post è perchè magari non sono sempre al pc...!
PS2. leggendo uno degli ultimi post.....mi sto ricredendo...magari sono pulito veramente anche io!! .....il PC funziona normalmente...

Salve, arrivo un po' in ritardo e spero di aver postato nella discussione corretta :)

Sono stato infettato la settimana scorsa dal virus rootkit BOO/sinowal.a rilevato da AVIRA antivir, che mi ha infettato il Master boot record HD1....
non avendo ancora letto niente a riguardo ho proseguito alla formattazione del disco fisso, che, ovviamente, non è servita perchè credo che il virus si sia rigenerato da solo.....fattosta che l'avevo ancora segnalato.

Mi sono scaricato poi i vari GMER, MBR.EXE, Panda rootkit, Norman sinowal remover e PREVXCSI...

Ho eseguito MBR.EXE in modalità provvisoria e normale e non sono cmq riuscito a togliere il virus, che mi veniva ancora rilevato...
Ho provato poi con FIXMBR dalla console di ripristino e qualcosa è successo:

AVIRA non me lo rileva più, Panda, Norman e PREVXCSI nemmeno, ma i log di GMER e MBR sono rimasti identici.......
a questo punto non so più cosa pensare.....sono veramente libero dal sinowal o è ancora li??

allego i log di GMER e MBR come sono ora:
**************
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x2641881 size 0x1cb !
copy of MBR has been found in sector 62 !
***************

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-06-15 20:03:34
Windows 5.1.2600 Service Pack 2


---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x2641881 size 0x1cb
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----

Grazie a tutti ..... spero qualcuno riesca ad aiutarmi! :cool:

PS. se non rispondo velocemente ai post è perchè magari non sono sempre al pc...!
PS2. leggendo uno degli ultimi post.....mi sto ricredendo...magari sono pulito veramente anche io!! .....il PC funziona normalmente...


Da quello che vedo sei pulito, certo che se alleghi i log è meglio, procedi con le scansioni di controllo che male non fanno, ovvero Prevx CSI e CureIt, ciao.

Ciao

intanto grazie!!

PREVX CSI l'ho già utilizzato e non mi trova niente.....proverò anche con cure it.... ma quindi quelle due righe segnalate da gmer e mbr sono destinate a restare così anche se sono pulito?

E già che ci sono, mi chiedevo se davvero questi tipi di rootkit potrebbero riuscire EFFETTIVAMENTE a fregarmi le password e i certificati dell'home banking, e magari pure a spostare i soldi???
Non mi fido di sicuro a tenermi un rootkit così, ma dall'altro lato mi chiedo se siano veramente cosi efficaci!!:)

grazie di nuovo........spero di non avere più bisogno del tuo aiuto :) ma nel caso passerò di qui sicuramente!!

Ciao

intanto grazie!!

PREVX CSI l'ho già utilizzato e non mi trova niente.....proverò anche con cure it.... ma quindi quelle due righe segnalate da gmer e mbr sono destinate a restare così anche se sono pulito?

Si

E già che ci sono, mi chiedevo se davvero questi tipi di rootkit potrebbero riuscire EFFETTIVAMENTE a fregarmi le password e i certificati dell'home banking, e magari pure a spostare i soldi???

Il Rootkit in se per se no, ma puo nascondere ad esempio un Trojan che si fà carico di rubare password è quant'altro

Non mi fido di sicuro a tenermi un rootkit così, ma dall'altro lato mi chiedo se siano veramente cosi efficaci!!:)

Purtroppo sono molto efficaci in ogni caso ti ribadisco che sei pulito.

grazie di nuovo........spero di non avere più bisogno del tuo aiuto :) ma nel caso passerò di qui sicuramente!!

Prego

Salve a tutti, spero possiate aiutarmi (ed evitarmi la formattazione....:cry: )!
Ieri pomeriggio il pc si è riavviato da solo...e ovviamente la cosa mi ha insospettito....poi Avast mi ha informato che avevo preso un ROOTKIT e mi ha consigliato di cancellare il file e fare una scansione al riavvio. Ovviamente gli ho dato retta e la scansione non ha rilevato nulla.
Ho provato anche la scansione online di TrendMicro che mi ha solo consigliato di risolvere alcune vulnerabilità del sistema, così mi sono decisa ad installare il SP3 per Win XP.
Oggi però un collega esperto mi ha detto di non fidarmi e di provare con il nod32....che ha rilevato ancora il settore di memoria infetto, ma non mi consente di eliminarlo in alcun modo. Per fortuna che con Google sono approdata qui...
Ho seguito la prima fase della procedura e quindi posto i link dei log:
logPrevx.txt (http://wikisend.com/download/532742/logPrevx.txt)
logGmer.txt (http://wikisend.com/download/533044/logGmer.txt)

Attendo istruzioni.......:help:
Grazie!

I log sono entrambi puliti, mi indicheresti che cosa rileva Nod32 allegando il log, grazie.

Salve e bentrovati.
Anche io, a quanto pare, mi sono beccato il malefico mebroot ... almeno, così dice il NOD32 ...
Trovato il vostro sito, ho seguito le istruzioni della fase preliminare, della prima e della seconda fase fino al punto 2 (mbr.exe -f) compreso ...
a questo punto mi sono fermato perche i log derivanti dal primo e dal secondo comando mbr sono risultati identici : la frase "original MBR restored successfully" purtroppo non appare ...
ho preferito fermarmi a questo punto e attendere lumi da chi può fornirne ...
Nel rispondermi vi prego di essere il più possibile elementari, mettendo in conto un certo rincoglionimento dovuto all'età (63) ... grazie in anticipo

Salve e bentrovati.
Anche io, a quanto pare, mi sono beccato il malefico mebroot ... almeno, così dice il NOD32 ...
Trovato il vostro sito, ho seguito le istruzioni della fase preliminare, della prima e della seconda fase fino al punto 2 (mbr.exe -f) compreso ...
a questo punto mi sono fermato perche i log derivanti dal primo e dal secondo comando mbr sono risultati identici : la frase "original MBR restored successfully" purtroppo non appare ...
ho preferito fermarmi a questo punto e attendere lumi da chi può fornirne ...
Nel rispondermi vi prego di essere il più possibile elementari, mettendo in conto un certo rincoglionimento dovuto all'età (63) ... grazie in anticipo

Allega il log di Prevx CSI

scusa il ritardo, ho dovuto uscire
ecco il log del prevxcsi
http://www.hotshare.net/file/62930-28824203bd.html

scusa il ritardo, ho dovuto uscire
ecco il log del prevxcsi
http://www.hotshare.net/file/62930-28824203bd.html

Il log è pulito fai girare questo tool

http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_removal_tools/52382/it

successivamente procedi con Dr.Web CureIt! (trovi le indicazioni in prima pagina) al termine nuova scansione col Nod32 e vediamo se e cosa rileva.

Riepilogo log da allegare:

Norman Sinowal Cleaner
CureIt
Nod32

NB: dove hostare i log è inidcato in prima pagina

ecco il log del Norman
http://www.fileqube.com/shared/GVoXL42482
adesso passo Dr.Web CureIt

ecco il log del Norman
http://www.fileqube.com/shared/GVoXL42482
adesso passo Dr.Web CureIt
anche questo log è pulito

I log sono entrambi puliti, mi indicheresti che cosa rileva Nod32 allegando il log, grazie.

Ecco qui: logNod32.txt (http://wikisend.com/download/944928/logNod32.txt)

Grazie dell'aiuto!

ed ecco il log del dr.Web CureIt (37 Mb ?!?)

http://www.fileqube.com/shared/IdBPS42653

e sempre grazie per la pazienza

vado col NOD32

ed ecco il log del Nod32

http://www.fileqube.com/shared/sOUaAv42706

buona partita

ed ecco il log del Nod32

http://www.fileqube.com/shared/sOUaAv42706

buona partita

Dal log di CureIt e Nod32 non emerge nulla o meglio Nod non rileva nulla, allega per scrupolo un log di Gmer

ecco il log di GMER

http://www.fileqube.com/shared/azxJM43437

mi sembra ci sia ancora, o non capisco di cosa si tratti ...

ecco il log di GMER

http://www.fileqube.com/shared/azxJM43437

mi sembra ci sia ancora, o non capisco di cosa si tratti ...

Sei OK

OK, grazie di tutto

OK, grazie di tutto

Prego, il fatto che Gmer segnali

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x98a412b size 0x1a8
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

non vuol dire che sei infetto ;)

Ecco qui: logNod32.txt (http://wikisend.com/download/944928/logNod32.txt)

Grazie dell'aiuto!
Mi sa che il mio post si è un po' perso in quelli di Marci45.... :doh:
Lo rimetto qui, così si vede meglio!

Grazie ancora! :D

Mi sa che il mio post si è un po' perso in quelli di Marci45.... :doh:
Lo rimetto qui, così si vede meglio!

Grazie ancora! :D

Fai girare questo tool

http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_removal_tools/52382/it

successivamente procedi con Dr.Web CureIt! (trovi le indicazioni in prima pagina) al termine nuova scansione col Nod32 e vediamo se e cosa rileva.

Riepilogo log da allegare:

Norman Sinowal Cleaner
CureIt
Nod32

Ecco qui:

Norman Sinowal Cleaner
NFix_2008-06-19_22-02-26.log (http://wikisend.com/download/527996/NFix_2008-06-19_22-02-26.log)

Mentre questo girava, il NOD32 ha rilevato l'MBR in un file dei Temporary Internet Files: non sapendo che fare (mi diceva di eliminarlo....), gliel'ho fatto cancellare e copiare in quarantena. Allego anche il rapporto virus del NOD:
rapporto_virus_nod32.txt (http://wikisend.com/download/471538/rapporto_virus_nod32.txt)
Dopo un altro po', si è accorto del virus pure Prevx (che non era attivato ma avevo lasciato sul desktop...): allego pure il suo log (non so se serve)
raporto_virus_prevx.txt (http://wikisend.com/download/605846/raporto_virus_prevx.txt)

DrWeb CureIt (ho tagliato buona parte del dettaglio files esaminati perché erano tutti ok e il file pesava 49 MB....):
CureIt2.log (http://wikisend.com/download/511246/CureIt2.log)

Nod32
logNod32.txt (http://wikisend.com/download/967276/logNod32.txt)

Ciao!

ps: che cos'è sta roba nel log di Norman?
Removed hosts entry: 127.0.0.1 "www.007guard.com"

dai una passata con atf-cleaner e rifai il log di cureit e prevx :)

Fatto!

Prevx:
prevx_last.txt (http://wikisend.com/download/953684/prevx_last.txt)

CureIt:
CureIt.log (http://wikisend.com/download/210616/CureIt.log)

Sembrerebbe tutto a posto....che ne dite?

Ciao e ancora grazie dell'aiuto!

Fatto!

Prevx:
prevx_last.txt (http://wikisend.com/download/953684/prevx_last.txt)

CureIt:
CureIt.log (http://wikisend.com/download/210616/CureIt.log)

Sembrerebbe tutto a posto....che ne dite?

Ciao e ancora grazie dell'aiuto!

Dr.Web ha rilevato C:\Programmi\SpywareBlaster\spywareblaster.exe ==>> Trojan.Fakealert.896 trattasi di falso positivo, avresti dovuto spostarlo e non cancellarlo, a questo punto se desideri usarlo devi disinstallarlo e reinstallarlo, sembra non ci siano problemi ma sarebbe stato meglio fare un scansione completa con Dr.Web come indicato in Guida NB: eventuali malware rilevati vanno spostati e non cancellati direttamente
Ciao

Sì infatti ho dovuto reinstallare Spyware blaster... ma la scansione con DrWeb è troppo lunga e non potevo restare lì a guardarlo per dargli istruzioni, così ho avuto la bella idea di impostare "Cancella" come opzione predefinita...
Comunque ho fatto la scansione completa come da guida! Se ti è venuto il dubbio per le dimensioni del log, è perché ho impostato DrWeb per non loggare i file scansionati, dato che la precedente scansione ci ha messo qualcosa come 6 ore e il log (64MB!!!) era troppo pesante pure per aprirlo....

Comunque che ne dici, sono a posto? :rolleyes:
Ciao!

Sì infatti ho dovuto reinstallare Spyware blaster... ma la scansione con DrWeb è troppo lunga e non potevo restare lì a guardarlo per dargli istruzioni, così ho avuto la bella idea di impostare "Cancella" come opzione predefinita...
Comunque ho fatto la scansione completa come da guida! Se ti è venuto il dubbio per le dimensioni del log, è perché ho impostato DrWeb per non loggare i file scansionati, dato che la precedente scansione ci ha messo qualcosa come 6 ore e il log (64MB!!!) era troppo pesante pure per aprirlo....

Comunque che ne dici, sono a posto? :rolleyes:
Ciao!

Direi di si, altra cosa usi SpyBot?

Non più, lo usavo ma da quando uso SpywareBlaster non ho più preso nulla....fino ad ora!!!!!!! :D

Si può rimuovere un mbr rootkit formattando l'hd o facendo qualcosa del genere?
(non ho molta esperienza in questo campo)

Si può rimuovere un mbr rootkit formattando l'hd o facendo qualcosa del genere?
(non ho molta esperienza in questo campo)

Si formattando risolvi il problema, ma la Guida al momento non prevede il format :) , perchè vorresti formattare?

(sono andrea fw, sto usando l' account di mio fratello)
vorrei formattare perchè ho win che ogni 5 minuti si pianta e mi da una schermata blu, quindi non riesco a seguire la guida. Pensavo fosse qualcosa di hw, ma ho testato le ram con il memtest incluso nel bios dfi e non ho trovato nulla.
siccome poi mi sono accorto di avere un rootkit, pensavo che fosse quello :muro:

(sono andrea fw, sto usando l' account di mio fratello)
vorrei formattare perchè ho win che ogni 5 minuti si pianta e mi da una schermata blu, quindi non riesco a seguire la guida. Pensavo fosse qualcosa di hw, ma ho testato le ram con il memtest incluso nel bios dfi e non ho trovato nulla.
siccome poi mi sono accorto di avere un rootkit, pensavo che fosse quello :muro:

Quale Rootkit e quale software lo segnala?

nod 32 segnala mbroot.k

nod 32 segnala mbroot.k

segui la Guida in prima pagina

Si, ho provato a suguirla ma siccome mi compare la schermata blu ogni 2 minuti non riesco a fare un gran chè e perdo un casino di tempo.

siccome ho una partizione con win e una da archivio pensavo di formattare tanto non predo nulla :rolleyes:

più che altro mi piacerebbe sapere se può essere quel rootkit a provocarmi le schermate blu

Si, ho provato a suguirla ma siccome mi compare la schermata blu ogni 2 minuti non riesco a fare un gran chè e perdo un casino di tempo.

siccome ho una partizione con win e una da archivio pensavo di formattare tanto non predo nulla :rolleyes:

più che altro mi piacerebbe sapere se può essere quel rootkit a provocarmi le schermate blu

Prima fai girare questo tool


http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_removal_tools/52382/it

allega il log

Intanto grazie per l'aiuto;)

Ho lanciato una scansione con il tool però il pc si è piantato e non l'ha finita. Il log comunque è il log1.

Poi ne ho lanciata un altra e è riuscita a "scannare" tutto il C, e il log è il log2.

Comunque dal log1 sembra che abbia tolto qualcosa...

...mi ero dimenticato di allegarli...eh eh

Dopo che ho fatto girare quell' affare mi sembra di avere risolto la questione delle schermate blu, è da mezz'ora che ho il pc acceso e fin'ora non si è piantato. Non pensavo che un rootkit potesse fare cose del genere...

Grazie ancora Chill-Out :)

...mi ero dimenticato di allegarli...eh eh

Dopo che ho fatto girare quell' affare mi sembra di avere risolto la questione delle schermate blu, è da mezz'ora che ho il pc acceso e fin'ora non si è piantato. Non pensavo che un rootkit potesse fare cose del genere...

Grazie ancora Chill-Out :)

Si il tool ha rimosso Sinowal ma per scrupolo è opportuno seguire la Guida anche in cosiderazione del fatto che il PC adesso parrebbe stabilizzato.
Ciao

Ecco qua i log di prevxcsi e gmer.
http://www.fileqube.com/shared/jARgTjdeO46666 log di prevxcsi
http://www.fileqube.com/shared/dYjuAxcco46669 log di gmer

Continuo con la fase 2?

Ecco qua i log di prevxcsi e gmer. Il log di prevxcsi era di 200KB (brutto segno?) quindi ho dovuto sepzzarlo in 2 parti rar per postarlo.

Continuo con la fase 2?

per cortesia non zippare il log hostalo sul server remoto indicato in Guida, thx.

Fatto (vedi post di prima)

Fatto (vedi post di prima)

Si procedi pure, mi dici se il tuo SO è originale, thx.

Non è proprio originale...Ora procedo con la fase 2.

Ecco qui:
http://www.fileqube.com/shared/vrgTen46886 MBR1.log
http://www.fileqube.com/shared/fbDMQ46888 MBR2.log
http://www.fileqube.com/shared/peUjF46889 MBR3.log
http://www.fileqube.com/shared/nXIHNd46890 FixMebroot.log

Ecco qui:
http://www.fileqube.com/shared/vrgTen46886 MBR1.log
http://www.fileqube.com/shared/fbDMQ46888 MBR2.log
http://www.fileqube.com/shared/peUjF46889 MBR3.log
http://www.fileqube.com/shared/nXIHNd46890 FixMebroot.log

Bene procedi con la fase successiva

Ecco i 2 log

http://www.fileqube.com/shared/kDwHs46973 prevx log
http://www.fileqube.com/shared/XVkQUOz46974 cureit log

Così è a posto il mio pc?

Ecco i 2 log

http://www.fileqube.com/shared/kDwHs46973 prevx log
http://www.fileqube.com/shared/XVkQUOz46974 cureit log

Così è a posto il mio pc?

Il log non zippato, thx.

Si, ma il lgo è di 90MB se non è zippato :eek: Così pesa solo 2MB

Si, ma il lgo è di 90MB se non è zippato :eek: Così pesa solo 2MB

Dimmi se riscontri problemi, dovremmo essere Ok

Una domanda (forse a cui è già stata data risposta): l'UAC di windows vista riesce a bloccare questa infezione?

Una domanda (forse a cui è già stata data risposta): l'UAC di windows vista riesce a bloccare questa infezione?

No

No

thanks ;)

Dimmi se riscontri problemi, dovremmo essere Ok

Fin' ora sembra essere tutto ok, non ho riscontrato niente di strano.
Grazie del supporto:D

Fin' ora sembra essere tutto ok, non ho riscontrato niente di strano.
Grazie del supporto:D

Prego, ciao.

Ciao a tutti, ho seguito con molto interesse questa discussione essendo anch'io incappato in qualche cosa di strano: Windows 2000 originale con sp4 e tutti gli aggiornamenti possibili... Antivirus Avira personal che non rivela nulla come d'altra parte tutte le utility qui esposte tranne gmer che insiste a scrivere che nei settori 62 e 63 oltre alla copia MBR sono presenti rootkit-like behavior (!!!??): ho gia provveduto a ripartire con cd e fatto fixmbr e fixboot, mbr.exe non rivela nulla e non funziona mbr.exe -f (non cambia nessun boot sector)... Mi devo preoccupare??? Ho un richiesta: è possibile cancellare fisicamente il boot sector e poi ricostruirlo? Grazie.... Marco
PS Tempo fa avevo preso Bagle... :stordita:

Ciao a tutti, ho seguito con molto interesse questa discussione essendo anch'io incappato in qualche cosa di strano: Windows 2000 originale con sp4 e tutti gli aggiornamenti possibili... Antivirus Avira personal che non rivela nulla come d'altra parte tutte le utility qui esposte tranne gmer che insiste a scrivere che nei settori 62 e 63 oltre alla copia MBR sono presenti rootkit-like behavior (!!!??): ho gia provveduto a ripartire con cd e fatto fixmbr e fixboot, mbr.exe non rivela nulla e non funziona mbr.exe -f (non cambia nessun boot sector)... Mi devo preoccupare??? Ho un richiesta: è possibile cancellare fisicamente il boot sector e poi ricostruirlo? Grazie.... Marco
PS Tempo fa avevo preso Bagle... :stordita:

Allega i log di gmer e Prevx CSI

Ho a portata di mano quello di gmer (sono al lavoro e lo avevo spedito qui da casa via email)... Ti indico solo le voci strane...

Disk \Device\Harddisk0\DR0 sector 1: copy of MBR
... tutti uguali
Disk \Device\Harddisk0\DR0 sector 61: copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR

Scansione fatta con GMER 1.0.14.
Il PC risulta pulito a tutte le scansioni e non ha problemi di sorta ma poichè lo uso per homebanking ed altro vorrei eliminare il problema...

Ho trovato un sw interessante per leggere e scrivere l'MBR (HDhacker) ma non ho capito bene se i settori sono proprio quelli fisici o sono sparsi per il disco.

Ho a portata di mano quello di gmer (sono al lavoro e lo avevo spedito qui da casa via email)... Ti indico solo le voci strane...

Disk \Device\Harddisk0\DR0 sector 1: copy of MBR
... tutti uguali
Disk \Device\Harddisk0\DR0 sector 61: copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR

Scansione fatta con GMER 1.0.14.
Il PC risulta pulito a tutte le scansioni e non ha problemi di sorta ma poichè lo uso per homebanking ed altro vorrei eliminare il problema...

Ho trovato un sw interessante per leggere e scrivere l'MBR (HDhacker) ma non ho capito bene se i settori sono proprio quelli fisici o sono sparsi per il disco.

Se fosse possibile vorrei il log completo, allegalo in base alle istruzioni indicate in prima pagina, thx.

gmer.log (http://wikisend.com/download/562994/gmer.log)

Eccolo! Grazie :mc:

gmer.log (http://wikisend.com/download/562994/gmer.log)

Eccolo! Grazie :mc:

Bene vorrei vedere anche il log di Stealth MBR rootkit detector ovvere i log della :: Seconda fase :: punti 1 - 2 - 3

Bene vorrei vedere anche il log di Stealth MBR rootkit detector ovvere i log della :: Seconda fase :: punti 1 - 2 - 3

Non li ho qui... sono via e tornerò a casa solo martedi... per ora grazie... martedì sera posterò gli altri...
ma erano puliti come da punto 3 con mbr.exe. e norton non rivela nulla...

Non li ho qui... sono via e tornerò a casa solo martedi... per ora grazie... martedì sera posterò gli altri...

Ok ;)

Visto il tempo sono in anticipo!!! ecco i log....
mbr non rivela nulla e non modifica nulla: se vuoi i log della provvisoria ugualmente fammi sapere...

CureIt.log (http://wikisend.com/download/477694/CureIt.log)
FixMebroot.log (http://wikisend.com/download/489174/FixMebroot.log)
mbr.log (http://wikisend.com/download/489022/mbr.log)
Prevx.log (http://wikisend.com/download/488978/Prevx.log)

quello di gmer è valido il precedente... Grazie e Buona settimana a TUTTI!!!

Eccomi, sono al lavoro... Allora ribadisco il buongiorno a tutti e buon lavoro. Ho una domanda che mi dovrebbe chiarire un dubbio... E' possibile che quelli che ho trovato nei set 62 e 63 siano solo delle copie dell'MBR? Se si, è possibile semplicemente cancellarle??? :mc:

Eccomi, sono al lavoro... Allora ribadisco il buongiorno a tutti e buon lavoro. Ho una domanda che mi dovrebbe chiarire un dubbio... E' possibile che quelli che ho trovato nei set 62 e 63 siano solo delle copie dell'MBR? Se si, è possibile semplicemente cancellarle??? :mc:

ultima cosa un log aggiornato di Gmer, thx.

ultima cosa un log aggiornato di Gmer, thx.

quello questa sera.... Questa mattina era troppo lungo e non son riuscito :ave:
Rispetto al vecchio ci sono solo delle voci inerenti il sw di altiris che ho rimosso appunto per velocizzare...

ultima cosa un log aggiornato di Gmer, thx.
OK, oggi vado a casa a mangiare e nel primo pomeriggio, prima del lavoro lancio gmer... vediamo se riesco in 1/2 ora ad avere il log... Scusami ancora per il disguido.... Grazie

OK, oggi vado a casa a mangiare e nel primo pomeriggio, prima del lavoro lancio gmer... vediamo se riesco in 1/2 ora ad avere il log... Scusami ancora per il disguido.... Grazie

Nessun disturbo, quando puoi, attendo il log ;)

Ecco il log di Gmer fresco fresco...

Gmer.log (http://wikisend.com/download/603922/Gmer.log)

Ecco il log di Gmer fresco fresco...

Gmer.log (http://wikisend.com/download/603922/Gmer.log)

Sei pulito nonostante il log di Gmer segnali ciò:

Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR


per quanto concerne gli altri settori del disco sembra che un programma li abbia scritti è una specie di falso positivo di Gmer + o -

sembra che un programma li abbia scritti è una specie di falso positivo di Gmer + o -

Prima di tutto grazie mille...
Beh, io uso spesso ghost e acronis... Considera che fra aggiornamenti e pulizie è un pc che non formatto dal 98...
Lo immaginavo ma la cosa mi infastidisce... E' possibile forzare la copia su questi due settori??? :muro:

Prima di tutto grazie mille...
Beh, io uso spesso ghost e acronis... Considera che fra aggiornamenti e pulizie è un pc che non formatto dal 98...
Lo immaginavo ma la cosa mi infastidisce... E' possibile forzare la copia su questi due settori??? :muro:

Io lascerei il mondo come stà, se decidessi di formattare in funzione del fatto che non formatti dal 98' devi procedere con un format di basso livello, ma se il Pc non dà problemi non mi sembra il caso.

Io lascerei il mondo come stà, se decidessi di formattare in funzione del fatto che non formatti dal 98' devi procedere con un format di basso livello, ma se il Pc non dà problemi non mi sembra il caso.

No!, non da nessun problema... ogni tanto si dimentica il beep all'avvio ma basta smntare le schede, pulirle e rimetterle... Ho tutti gli slot pieni, rete, firewire, usb 2.0, acuisizione video... I pc vecchiotti non avvano nulla integrato! Ho riscnerizzato con gmer in mod provvisoria e quelle voci non c sono! Eccolo:

Gmer Prov.log (http://wikisend.com/download/533866/Gmer Prov.log)

Normale???

salve a tutti, ho seguito molto sommariamente questa discussione, ma sinceramente mi sono perso, visto che nn sono molto pratico di pc, ma disposto ad imparare cmq. Spiego il problema: facendo una scansione con il mio antivirus nod 32 mi è venuta fuori questa scritta Il settore MBR di 2. Disco fisico contiene cavallo di troia Win32/Mebroot.K.. E' possibile avere una soluzione a questo problema? Credo di aver letto nella guida qualcosa inerente, ma nn sono sicuro. Grazie in anticipo.l:)

No!, non da nessun problema... ogni tanto si dimentica il beep all'avvio ma basta smntare le schede, pulirle e rimetterle... Ho tutti gli slot pieni, rete, firewire, usb 2.0, acuisizione video... I pc vecchiotti non avvano nulla integrato! Ho riscnerizzato con gmer in mod provvisoria e quelle voci non c sono! Eccolo:

Gmer Prov.log (http://wikisend.com/download/533866/Gmer Prov.log)

Normale???

Si

Grazie Chill-out, hai una pazienza icredibile soprattutto con chi, come me, è veramente assillante. Grazie ancora. Marco :p

Grazie Chill-out, hai una pazienza icredibile soprattutto con chi, come me, è veramente assillante. Grazie ancora. Marco :p

Di nulla, figurati ;)

salve a tutti, ho seguito molto sommariamente questa discussione, ma sinceramente mi sono perso, visto che nn sono molto pratico di pc, ma disposto ad imparare cmq. Spiego il problema: facendo una scansione con il mio antivirus nod 32 mi è venuta fuori questa scritta Il settore MBR di 2. Disco fisico contiene cavallo di troia Win32/Mebroot.K.. E' possibile avere una soluzione a questo problema? Credo di aver letto nella guida qualcosa inerente, ma nn sono sicuro. Grazie in anticipo.l:)

Devi semplicemente seguire le istruzioni in Guida ed allegare i log per il controllo, quindi provvedi a disabilitare il ripristino configurazione sistema e successivamente allega i log di Prevx CSI e Gmer

ecco la prima e seconda fase:
XXXXXXXXXXXXXXXXXXX

ecco la prima e seconda fase:

Manca il log di Prevx CSI

ecco fatto

non so se può tornare utile, o non centra niente, ma il NOD mi rivela il troian solo quando inserisco una pen drive... centra qualcosa?

non so se può tornare utile, o non centra niente, ma il NOD mi rivela il troian solo quando inserisco una pen drive... centra qualcosa?

Il log di Prevx CSI è vuoto ovvero 0 B, il fatto che Nod rilevi il Trojan sulla chiavetta è di fondamentele importanza, allega il log del Nod tanto per capire meglio :)

ho riletto il tuo messaggio, che hai modificato, non ho fatto il ripristino...se devo ripetere il tutto dimmelo, rimando tutto a domani mattina adesso devo staccare. ciao e Grazie per la tua disponibilità!..

Il log di Prevx CSI è vuoto ovvero 0 B, il fatto che Nod rilevi il Trojan sulla chiavetta è di fondamentele importanza, allega il log del Nod tanto per capire meglio :)

non lo rivela sulla chiavetta, ma nella prima fase quando controlla la memoria, solo che se è inserita la chiavetta lo rivela, se la tolgo invece non rivela nulla..
cmq rimandiamo tutto a domani se non ti dispiace, intanto mi spieghi come si fa a ricavare il log da Nod?
Ciao e grazie ancora...

ieri sera ero un po fuso, dopo una giornata di lavoro. ho rifatto tutto per benino seguendo le istruzioni ecco tutto, e stavola ho disattivato il ripristino...:
xxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Fai girare questo tool


http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_removal_tools/52382/it

allega il log sempre e solo in formato .txt, grazie.

Fai girare questo tool


http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_removal_tools/52382/it

allega il log sempre e solo in formato .txt, grazie.
ecco:


xxxxxxxxxxxxxxxxx

e non zippati :)

scusami tanto:D
attendo con ansia il responso....

scusami tanto:D
attendo con ansia il responso....

magari se lo rialleghi non zippato :)

scusami tanto....
eccolo:
xxxxxxxxxxxxxxxxxxxxxxx

Procedi con la :: Seconda fase :: prestando attenzione alle istruzioni, l'utilizzo del tool Stealth MBR rootkit detector è strutturato in 3 passaggi, quindi al termine di ogni passaggio devi salvare il log come indicato in Guida.

:rolleyes:

sono riuscito... tu pensa che nel frattempo si lavora!:mc:

xxxxxxxxxxxxxxxxxxxxxx
fammi sapere cosa ho combinato!!!:muro:
grazie per la pazienza

Bene, passa alla :: Terza fase :: procedendo solo con la scansione di controllo con Dr.Web CureIt al termine allega il log + un nuovo log di Gmer
Ciao

Bene, passa alla :: Terza fase :: procedendo solo con la scansione di controllo con Dr.Web CureIt al termine allega il log + un nuovo log di Gmer
Ciao

ho quasi finito il mio turno di lavoro, so che la scansione di Dr.Web ci mette tempo, quindi nn riesco a farla per oggi, mi dici cmq se c'erano problemi al mio pc? Non ti sei espresso proprio!!!:D

ho quasi finito il mio turno di lavoro, so che la scansione di Dr.Web ci mette tempo, quindi nn riesco a farla per oggi, mi dici cmq se c'erano problemi al mio pc? Non ti sei espresso proprio!!!:D

Si che c'erano problemi altrimenti non si spiegherebbe la rilevazione del Nod, il log di Gmer ed il log del tool della Norman, attendo le ultime analisi cliniche di laboratorio :D

domani sarò dinuovoa lavoro e quindi ti mando tutto... ciao e grazie ancora:)

sono operativo, tra un po le analisi di laboratorio:D :D

ecco fatto, la terza fase:
xxxxxxxxxxxxxxxxxxxxxx
SPERIAMO BENE.....:(

naturalmente fammi sapere....
grazie ancora

Sei OK
ma se sono davvero OK, perchè ogni tanto mi riappare questo messaggio ?

ma se sono davvero OK, perchè ogni tanto mi riappare questo messaggio ?
potresti anche esserti reinfettato... ;)
fai anche una scansione con prevx

naturalmente fammi sapere....
grazie ancora
fai anche un giro con prevx

Va bene, ecco il log del Prevx
http://www.fileqube.com/shared/DtMuE52733

ed il log del Gmer
http://www.fileqube.com/shared/eyzncac52736

grazie

naturalmente fammi sapere....
grazie ancora

Sei ok ;)

ma se sono davvero OK, perchè ogni tanto mi riappare questo messaggio ?

http://www.hwupgrade.it/forum/showpost.php?p=22954799&postcount=362

il mio post è datato 18.06.2008 oggi è il 3 di Luglio come ti faceva notare wjmat ti sei semplicemente reinfettato, adesso guardo i log.

Va bene, ecco il log del Prevx
http://www.fileqube.com/shared/DtMuE52733

ed il log del Gmer
http://www.fileqube.com/shared/eyzncac52736

grazie

Dopo aver cliccato su Clean il pop up del Nod si ripresenta?

Dopo aver cliccato su Clean il pop up del Nod si ripresenta?

cliccando su CLEAN mi risponde "error while cleaning - operation unavailable for this object type" e mi propone "RETRY" o "CANCEL" ...
se scelgo "RETRY" mi ripropone sempre lo stesso messaggio ...
se scelgo "CANCEL" ricompare la schermata del NOD "Threat found" che se ne va solo scegliendo "LEAVE"

cliccando su CLEAN mi risponde "error while cleaning - operation unavailable for this object type" e mi propone "RETRY" o "CANCEL" ...
se scelgo "RETRY" mi ripropone sempre lo stesso messaggio ...
se scelgo "CANCEL" ricompare la schermata del NOD "Threat found" che se ne va solo scegliendo "LEAVE"

Mah.....fai pulizia con ATF Cleaner come indicato qui: http://www.hwupgrade.it/forum/showthread.php?t=1599737 dopodichè fai una scansione completa con Dr.Web CureIt -->> vedi Guida (http://www.hwupgrade.it/forum/showthread.php?t=1715546) il tool naturalmente lo devi riscaricare in quanto sono passati alcuni giorni e le definizioni sono state aggiornate.

Sei ok ;)

grazie ancora per la tua disponibilità, grazie grazie grazie:D, sono in debito con te di un favore!;)


ps. procedo come accordi ad eliminare i log;)

grazie ancora per la tua disponibilità, grazie grazie grazie:D, sono in debito con te di un favore!;)


ps. procedo come accordi ad eliminare i log;)

Di nulla figurati, mi raccomando leggi qui: http://www.hwupgrade.it/forum/showthread.php?t=1726383 e qui: http://www.hwupgrade.it/forum/showthread.php?t=1691346

Mah.....fai pulizia con ATF Cleaner come indicato qui: http://www.hwupgrade.it/forum/showthread.php?t=1599737 dopodichè fai una scansione completa con Dr.Web CureIt -->> vedi Guida (http://www.hwupgrade.it/forum/showthread.php?t=1715546) il tool naturalmente lo devi riscaricare in quanto sono passati alcuni giorni e le definizioni sono state aggiornate.

Passato ATF Cleaner e fatta la scansione completa con Dr.Web CureIt
ecco il log
http://www.fileqube.com/shared/CsAojl53778

Log puilitissimo, il Nod spara ancora alert pop up?

Log puilitissimo, il Nod spara ancora alert pop up?

si :muro:

Log puilitissimo, il Nod spara ancora alert pop up?

boh, comunque io vado per 7/8 giorni verso il fresco Friuli, il pc riposa (magari gli passa) e se al ritorno persevera vi disturberò ancora ...
sempre e comunque grazie di cuore

boh, comunque io vado per 7/8 giorni verso il fresco Friuli, il pc riposa (magari gli passa) e se al ritorno persevera vi disturberò ancora ...
sempre e comunque grazie di cuore

Buone ferie, al ritorno facci sapere, ciao.

Edit: hai percaso attaccato al Pc un Hd esterno?

eccomi chill-out! :)

come antivirus ho l'avg free, ma poi avevo scaricato il norton scan sicurity (che individua i virus, non li previene!).

il prevx csi non mi lascia allegati nè resoconti:dopo la scansione mi dice che il pc è pulito.

eccomi chill-out! :)

come antivirus ho l'avg free, ma poi avevo scaricato il norton scan sicurity (che individua i virus, non li previene!).

Il Trend Micro citato in Pm che cosa è? AVG che cosa rileva? Il Norton Security Scan rileva ma non elimina e non serve a niente

il prevx csi non mi lascia allegati nè resoconti:dopo la scansione mi dice che il pc è pulito.

Prevx CSI -> Download (http://www.prevx.com/freescan.asp)
Compatibile: Windows XP - Vista
Caratteristiche: necessaria la connesione ad Internet
Dopo aver terminato la scansione per ottenere il log cliccare su Options - Save a Log File
Estratto dal log di Prevx che mostra l'infezione:

Gmer -> Download (http://www2.gmer.net/beta/gmer.exe)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione - scompattare il file compresso per praticità sul DeskTop e lanciare Gmer.exe avendo cura di spuntare sul pannello di destra tutte le caselle
Dopo aver terminato la scansione cliccare su Copy, aprite il Blocco Note ed incollare il log

Allega i log

ecco i file log
...mi sa che gmer ha trovato qualcosa!ecco il file log.

nel prossimo post ti mando quello di prevx

....speriamo bene!

il log di prevx è troppo grande...

anche zippato con winrar è 44 KB e non me lo allega.

dimmi se posso fare un estratto

Questa (http://www.hwupgrade.it/forum/showthread.php?t=1779308) è una brevissima guida alla pubblicazione dei log

chill-out...GRAZIE MILLEEEEEEEEEEEEE!!!!!!!!

il problema è risolto,o almeno sembra! :)

seguendo la procedura del primo post e analizzando tutti i file log sembra tutto ok... avevo un problema nel settore 62 (...da come parlo di pc neanche mi riconosco :D ).

grazie mille e spero di ricontattarti....solo per un saluto :D

ciao ciao

chill-out...GRAZIE MILLEEEEEEEEEEEEE!!!!!!!!

il problema è risolto,o almeno sembra! :)

seguendo la procedura del primo post e analizzando tutti i file log sembra tutto ok... avevo un problema nel settore 62 (...da come parlo di pc neanche mi riconosco :D ).

grazie mille e spero di ricontattarti....solo per un saluto :D

ciao ciao

Disk \Device\Harddisk0\DR0 sector 00: MBR rootkit code detected <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sector 10: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x7289c34 size 0x1fd
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

sarebbe opportuno allegare un log di Gmer per il controllo :mbe:

salve a tutti,
questo è il mio primo post su questo bellissimo forum.....semplicemente per emergenza....
avira antivir mi trova questo rootkit e anche gmer lo conferma....però prevx non lo trova.....

ecco la stringa di gmer perchè il log intero non me lo fa allegare perchè è troppo grande:


---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 00: MBR rootkit code detected <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x17bd52d8 size 0x1fd
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR


ditemi che non è male di morte..... ma soprattutto.....posso spegnere il pc con la tranquillità che si riaccenda?

in attesa di una soluzione ringrazio anticipatamente :ave: :ave: :sperem:

salve a tutti,
questo è il mio primo post su questo bellissimo forum.....semplicemente per emergenza....
avira antivir mi trova questo rootkit e anche gmer lo conferma....però prevx non lo trova.....

ecco la stringa di gmer perchè il log intero non me lo fa allegare perchè è troppo grande:


---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 00: MBR rootkit code detected <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x17bd52d8 size 0x1fd
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR


ditemi che non è male di morte..... ma soprattutto.....posso spegnere il pc con la tranquillità che si riaccenda?

in attesa di una soluzione ringrazio anticipatamente :ave: :ave: :sperem:

Allega anche il log di Avira, per quanto riguarda la soluzione devi semplicemente seguire la Guida prestando massima attenzione ai log da produrre.

ok grazie però non ho capito....la guida mi fa solo produrre i log.....cosa risolve davvero il problema?:confused: :confused:

nella seconda fase si corregge il problema, oltre a produrre i log ;)

allora....ho fatto la 2 fase ma lanciato mbr.exe da modalità provvisoria mi chiedeva l'autorizzazione per farlo partire e gliel'ho data.....poi però è uscita un finestra testuale per tipo 1 frazione di secondo.....

ok grazie però non ho capito....la guida mi fa solo produrre i log.....cosa risolve davvero il problema?:confused: :confused:

Teoricamente la Guida, ma se non produci i log tiriamo ad indovinare :D

Ciao, anch'io ho riscontrato gli stessi problemi di cui tratta la discussione, quindi sono in cerca di aiuto. Da quanto ho letto nella guida e nelle successive risposte mi sembra che tu, Chill-Out, ne sappia veramente tanto.
Comunque ho letto la guida ed i due log sono:

http://wikisend.com/download/915712/Prevx CSI.log
http://wikisend.com/download/883156/gmer.txt

Premetto che ho già provato la seconda parte ma prevx mi rileva ancora il "virus"
L'avviso però che mi avvertiva all'avvio del pc, prima del boot non esce più.
Averei postato i log di mbr.exe in modalità provisoria, ma non ne ha generati.

Ringrazio anticipamente

Ciao, anch'io ho riscontrato gli stessi problemi di cui tratta la discussione, quindi sono in cerca di aiuto. Da quanto ho letto nella guida e nelle successive risposte mi sembra che tu, Chill-Out, ne sappia veramente tanto.
Comunque ho letto la guida ed i due log sono:

http://wikisend.com/download/915712/Prevx CSI.log
http://wikisend.com/download/883156/gmer.txt

Premetto che ho già provato la seconda parte ma prevx mi rileva ancora il "virus"
L'avviso però che mi avvertiva all'avvio del pc, prima del boot non esce più.
Averei postato i log di mbr.exe in modalità provisoria, ma non ne ha generati.

Ringrazio anticipamente

Ciao e benvenuto sul Forum di HWU, andiamo al sodo :) quello che vorrei capire e se i log di Prevx CSI e Gmer li hai prodotti prima o dopo la :: Seconda fase :: ovvero prima o dopo l'utilizzo di Stealth MBR rootkit detector

Qelli postati, li ho prodotti dopo aver tentato la seconda fase.
Comunque quando ho avviato Stealth MBR rootkit detector dalla modalità provvisoria compariva una finestra per una frazione di secondo e poi scompariva subito.

Qelli postati, li ho prodotti dopo aver tentato la seconda fase.

E' ciò dovrebbe essere positivo :sperem: - procedi cosi:

- Fai girare questo tool:

http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_removal_tools/52382/it

allega il log

Questo è il link per il log di nfix.
http://wikisend.com/download/552896/NFix_2008-07-17_17-57-29.log

Ciao a tutti

mi sono becatto anche io sta robaccia...:cry:

ecco i log

http://wikisend.com/download/496116/Prevx CSI LOG.log

http://wikisend.com/download/472938/GMER LOG.txt

premetto che ho Avast 4.8 home edition come antivirus e non mi ha segnalato nulla...

Grazie in anticipo per l'aiuto. :help:

Ciao ciao

Ciao a tutti

mi sono becatto anche io sta robaccia...:cry:

ecco i log

http://wikisend.com/download/496116/Prevx CSI LOG.log

http://wikisend.com/download/472938/GMER LOG.txt

premetto che ho Avast 4.8 home edition come antivirus e non mi ha segnalato nulla...

Grazie in anticipo per l'aiuto. :help:

Ciao ciaoda dove deduci di essere infetto, i log mi sembrano puliti...

Questo è il link per il log di nfix.
http://wikisend.com/download/552896/NFix_2008-07-17_17-57-29.log

Ciao procedi con la scansione di controllo con DrWeb CureIt dopodichè disinstalla Prevx CSI, reinstallalo e fai una nuova scansione.

Riepilogo log da allegare:
CureIt
Prevx CSI
Nuovo log di Gmer

da dove deduci di essere infetto, i log mi sembrano puliti...

veramente??? :confused:

eppure mi è comparsa la schermata nera con la scritta gialla ecc... e il pc si era riavviato con tutta la trafila.
ho capito di cosa si trattava cercando un po' in rete e sono venuto qui...

bhooo... meglio così anche se la cosa è strana... magari nei prossimi giorni faccio una formattattina...

grazie per aver dato un'occhiata ai log comunque. :)

magari hai altro....i log mi sembrano puliti....
altri sintomi?

magari hai altro....i log mi sembrano puliti....
altri sintomi?

Nessun altro sintomo, niente di anomalo!
ho lasciato il pc acceso per diverso tempo, l'ho spento, fatto qualche ravvio senza anomalie...
lo sto usando senza nessun problema (navigo, chatto, ecc.)

meglio così in fondo, anche se devo ammetere che la cosa mi da da pensare :rolleyes:

Nessun altro sintomo, niente di anomalo!
ho lasciato il pc acceso per diverso tempo, l'ho spento, fatto qualche ravvio senza anomalie...
lo sto usando senza nessun problema (navigo, chatto, ecc.)

meglio così in fondo, anche se devo ammetere che la cosa mi da da pensare :rolleyes:
eventualmente guarda la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737)
e caricaci i log di hijackthis e sysinspector

Ciao procedi con la scansione di controllo con DrWeb CureIt dopodichè disinstalla Prevx CSI, reinstallalo e fai una nuova scansione.

Riepilogo log da allegare:
CureIt
Prevx CSI
Nuovo log di Gmer

Ciao, ecco il log:

http://wikisend.com/download/932100/CureIt.log
http://wikisend.com/download/612592/Gmer.txt
http://wikisend.com/download/868074/Prevx CSI.log

Prevx non mi rileva più niente di infetto, speriamo che si sia sistemato tutto.

Ciao, ecco il log:

http://wikisend.com/download/932100/CureIt.log
http://wikisend.com/download/612592/Gmer.txt
http://wikisend.com/download/868074/Prevx CSI.log

Prevx non mi rileva più niente di infetto, speriamo che si sia sistemato tutto.

Pulito :) anche se il log di CureIt è incomprensibile, dovresti essere a posto.

Pulito :) anche se il log di CureIt è incomprensibile, dovresti essere a posto.

Perfetto, GRAZIE MILLE!:D

Perfetto, GRAZIE MILLE!:D

Prego, se ti và puoi leggere qui http://www.hwupgrade.it/forum/showthread.php?t=1726383 e qui http://www.hwupgrade.it/forum/showthread.php?t=1691346

Ciao

Aiuto ,sono nuovo come faccio a mandare il log

Aiuto ,sono nuovo come faccio a mandare il log

Questa (http://www.hwupgrade.it/forum/showthread.php?t=1779308) è una brevissima guida alla pubblicazione dei log

Questa (http://www.hwupgrade.it/forum/showthread.php?t=1779308) è una brevissima guida alla pubblicazione dei log

sono infetto come faccio a inviare il log dfelle infezioni?

http://www.hwupgrade.it/forum/showthread.php?t=1779308

NOTA BENE:
1 - AL FINE DI MANTENERE IL THREAD ORDINATO E FRUIBILE HOSTATE I LOG SOLO ED ESCLUSIVAMENTE IN FORMATO .TXT SU http://fileqube.com/ in alternativa su http://wikisend.com/ PUBBLICANDO PER OGNI LOG IL LINK CHE VERRA' RILASCIATO PER IL DOWNLOAD
2 - E' OPPORTUNO LEGGERE ATTENTAMENTE TUTTA LA GUIDA

http://www.hwupgrade.it/forum/showthread.php?t=1779308

gmer.log (http://wikisend.prevx.log

grazie per la pazienza.