[QUOTE=alfio600;23415132]

URL=http://wikisend.com/download/504726/gmer.log]gmer.log (http://wikisend.[
grazie per la pazienza.[/QUOTE)
prevx.log (http://wikisend.com/download/551660/prevx.log)

URL=http://wikisend.com/download/504726/gmer.log]gmer.log[/URL]
prevx.log (http://wikisend.com/download/551660/prevx.log)

Ciao allega correttamente anche il log di Gmer

Indirizzo non trovato

Ciao allega correttamente anche il log di Gmer

Indirizzo non trovato

gmer.log (http://wikisend.com/download/770862/gmer.log)

gmer.log (http://wikisend.com/download/600350/gmer.log)

Fai controllare questo file su www.virustotal.com e su http://virusscan.jotti.org/
C:\WINDOWS\system32\mstmdm.dll

Per l'esito di virustotal a fine scansione copia l'indirizzo della pagina e incollalo nella discussione
Per l'esito di virusscan.jotti copia tutto il testo che c'è tra Scanner result e Powered by → incollalo in un file di testo e allegalo.

Gmer non è completo...
Lancia gmer -> Attendi la scansione inziale -> Clicca su "Scan" -> Al termine clicca su "Save..."

http://www.virustotal.com/it/reanalisis.html?2f73111da93b378e6e6f1b147930ca20




esito.txt (http://wikisend.com/download/945822/esito.txt)

http://www.virustotal.com/it/reanalisis.html?2f73111da93b378e6e6f1b147930ca20




esito.txt (http://wikisend.com/download/945822/esito.txt)

Scarica Avenger da qui (http://swandog46.geekstogo.com/avenger.zip)
Lancialo → Clicca Ok → Incolla TUTTO il codice, che ti ho segnalato qui sotto, nel riquadro bianco del programma → Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato un log di Avenger. Postalo per vedere se la procedura ha funzionato.

Files to delete:
C:\WINDOWS\system32\mstmdm.dll

eventualmente guarda la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737)
e caricaci i log di hijackthis e sysinspector

Scusate se rispondo solo ora ma sono stato un po' occupato:

ecco il log di hijackthis
http://wikisend.com/download/669532/hijackthis LOG.txt

e di sysinspector
http://wikisend.com/download/477664/SysInspector-TOWER-080721-2107.zip

vediamo che ne viene fuori...

Scusate se rispondo solo ora ma sono stato un po' occupato:

ecco il log di hijackthis
http://wikisend.com/download/669532/hijackthis LOG.txt

e di sysinspector
http://wikisend.com/download/477664/SysInspector-TOWER-080721-2107.zip

vediamo che ne viene fuori...
Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O17 - HKLM\System\CCS\Services\Tcpip\..\{4CC1C482-0FC6-4278-A82C-B183D4DF52E5}: NameServer = xxx.xxx.xx.xx,xxx.xxx.xx.xx
O17 - HKLM\System\CS1\Services\Tcpip\..\{4CC1C482-0FC6-4278-A82C-B183D4DF52E5}: NameServer = xxx.xxx.xx.xx,xxx.xxx.xx.xx
O17 - HKLM\System\CS2\Services\Tcpip\..\{4CC1C482-0FC6-4278-A82C-B183D4DF52E5}: NameServer = xxx.xxx.xx.xx,xxx.xxx.xx.xx


la tua configurazione di sicurezza non è adeguata...dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383) per mettere al sicuro il pc

ie va aggiornato al più presto alla 7

Scarica Avenger da qui (http://swandog46.geekstogo.com/avenger.zip)
Lancialo → Clicca Ok → Incolla TUTTO il codice, che ti ho segnalato qui sotto, nel riquadro bianco del programma → Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato un log di Avenger. Postalo per vedere se la procedura ha funzionato.

Files to delete:
C:\WINDOWS\system32\mstmdm.dll


ho provato, ma non mi fa la scanzione errore: invalid script

non fa la scansione , invalid script

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O17 - HKLM\System\CCS\Services\Tcpip\..\{4CC1C482-0FC6-4278-A82C-B183D4DF52E5}: NameServer = xxx.xxx.xx.xx,xxx.xxx.xx.xx
O17 - HKLM\System\CS1\Services\Tcpip\..\{4CC1C482-0FC6-4278-A82C-B183D4DF52E5}: NameServer = xxx.xxx.xx.xx,xxx.xxx.xx.xx
O17 - HKLM\System\CS2\Services\Tcpip\..\{4CC1C482-0FC6-4278-A82C-B183D4DF52E5}: NameServer = xxx.xxx.xx.xx,xxx.xxx.xx.xx


la tua configurazione di sicurezza non è adeguata...dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383) per mettere al sicuro il pc

ie va aggiornato al più presto alla 7

mmm urge una bella sistemazione!!! :doh:

ma si capisce da questi log se ho il MBR ROOTKIT?
o è stato un caso anomalo?

dai log non si vede nulla di particolare...

dai log non si vede nulla di particolare...

uff meno male... :D

allora piallo tutto e sistemo il pc come si deve!!!!

Grazie dei consigli :D

uff meno male... :D

allora piallo tutto e sistemo il pc come si deve!!!!

Grazie dei consigli :D
quando metti antivir, lo aggiorni, lo configuri bene e fai una scansione completa
idem per a-squared

ho provato, ma non mi fa la scanzione errore: invalid script

non riesco a venirne fuori

non riesco a venirne fuori

Devi copiare ed incollare tutto quello che è all'interno del Quote: comando compreso che è Files to delete:

Files to delete:
C:\WINDOWS\system32\mstmdm.dll

Poi fai girare questo tool:

http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_removal_tools/52382/it

allega i log

ho fatto come hai detto ,ti invio il log
NFix_2008-07-22_09-46-01.log (http://wikisend.com/download/483254/NFix_2008-07-22_09-46-01.log)

Allega anche il log di Avenger, dopodichè procedi con le scansioni di controllo indicate nella :: Terza fase :: della Guida ovvero Prevx CSI e DrWeb CureIt, ricorda di allegare tutti i log, ciao.

fatto anche le successive scanzioni sembra tutto pulito
avenger.txt (http://wikisend.com/download/722630/avenger.txt)

se riesci a caricare i log verifichiamo anche noi ;)

fatto anche le successive scanzioni sembra tutto pulito
avenger.txt (http://wikisend.com/download/722630/avenger.txt)

Senza vedere gli altri log non ti posso rispondere, posso solo tirare ad indovinare.

CureIt.log (http://wikisend.com/download/939042/CureIt.log)




prev csi.log (http://wikisend.com/download/938904/prev csi.log)

volevo dirti che ho la barra delle applicazioni ancora bloccata .grazie per l' aiuto

CureIt.log (http://wikisend.com/download/939042/CureIt.log)




prev csi.log (http://wikisend.com/download/938904/prev csi.log)

volevo dirti che ho la barra delle applicazioni ancora bloccata .grazie per l' aiuto

Per quanto concerne CureIt dovresti fare una scansione completa come indicato qui di seguito

In questa modalità Express Scan vengono controllati solo i seguenti oggetti:
* Random access memory
* Settori di Boot di tutti i dischi
* Ogetti di Startup
* Disco di Boot e cartella principale
* Cartella principale del disco di installaizone di Windows
* Cartella di Sistema di Windows
* Cartella documenti Utente ("Documenti")
* Cartella temporanea di Sistema
* Usa la cartella temporanea
Al termine di questa fase cliccate su Completa scansione e avviate cliccando sul triangolino verde

La barra delle applicazioni bloccata è una new entry verifica di non averla bloccata accidentalmente, tasto dx del mouse sulla barra e verifica che non ci sia il flag su Blocca la barra delle applicazioni

buonasera, è tutto il giorno che cerco di fare la scansione completa con dr web ,ma dopo 2 minuti si blocca il programma .

buonasera, è tutto il giorno che cerco di fare la scansione completa con dr web ,ma dopo 2 minuti si blocca il programma .
prova a riscaricarlo, riavvia il pc e quando lo esegui evita di fare altro
x chill cureit non funge in mod. provvisoria vero?

ho provato atogliere la cartella che lo bloccava e ora sta andando

che cartella lo bloccava??

prova a riscaricarlo, riavvia il pc e quando lo esegui evita di fare altro
x chill cureit non funge in mod. provvisoria vero?

Si che funge

che cartella lo bloccava??

la cartella era di un programma scaricato da internet.


CureIt.log (http://wikisend.com/download/812220/CureIt.log)

la cartella era di un programma scaricato da internet.


CureIt.log (http://wikisend.com/download/812220/CureIt.log)
il pc come sta?

Chill-Out una domanda... il comando Fixmbr della console di ripristino di Windows che scrive un nuovo MBR secondo te può risolvere la cosa? Ho intenzione di infettare il mio pc fisso (che tanto lo uso per i test :asd: ) e poi provare Fixmbr...

Si funziona, io ho eliminato due virus dalla mbr con questo comando, virus rilevati sia da Nod versione inglese che ancora non è disponibile in italiano sia da Avira.

il pc come sta?

il pc sta ancora male, ti invio il log prevcsi
prev csi.log (http://wikisend.com/download/569280/prev csi.log)

il pc sta ancora male, ti invio il log prevcsi
prev csi.log (http://wikisend.com/download/569280/prev csi.log)

credo che blocchi il nod 32

credo che blocchi il nod 32
Qui stiamo andando off-topic...
Apriti una discussione tutta tua, spieghi brevemente il problema leggi le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) e poi segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) e nell'ordine indicato.
I log che hai già prodotto caricali anche nella nuova discussione per far capire a chi ti assiste come sei messo.

Si funziona, io ho eliminato due virus dalla mbr con questo comando, virus rilevati sia da Nod versione inglese che ancora non è disponibile in italiano sia da Avira.

http://www.hwupgrade.it/forum/showpost.php?p=21875177&postcount=21

scusate ragà,ho windows vista 64 home premium,siccome utilizzo peerguardian che utilizza un file .sys(un driver)ho attivato il menu delle opzioni avanzate in automatico...a volte però(e solo a volte),il menu si blocca e non mi permette di selezionare nessuna voce e sono costretto a resettare...può dipendere tutto ciò da un virus presente nell' mbr?

scusate ragà,ho windows vista 64 home premium,siccome utilizzo peerguardian che utilizza un file .sys(un driver)ho attivato il menu delle opzioni avanzate in automatico...a volte però(e solo a volte),il menu si blocca e non mi permette di selezionare nessuna voce e sono costretto a resettare...può dipendere tutto ciò da un virus presente nell' mbr?
ciao, segui la guida fino alla prima fase che verifichiamo...

con prevx csi esce scritto alla fine del log:
Summary:
No malicious items found during the last scan

gmer invece non si carica ed esce una finestra che dice
system\currentcontrolset\services\gmer:handle non valido..dico ok

e poi inizia automaticamente la scansione,ma a lato le opzioni sono tutte disattivate e disabilitate tranne services,registry e files...perchè funziona male gmer?

prova a riscaricare e reinstallare

prova a riscaricare e reinstallare

già provato ma continua a non funzionare:(

già provato ma continua a non funzionare:(

Fai una scansione con Norman Sinowal Cleaner che trovi qui (http://download.norman.no/public/Norman_Sinowal_Cleaner.exe)
Lancialo -> Fallo scansionare -> Riavvia il pc se richiesto -> Al termine allega il log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

Vorrei delle delucidazioni per capire meglio.
Premetto che ho gia letto 5-6 pagine di questo thread.
Sono uno di quelli infettati.
ho letto da qualche parte di usare fixmbr,che basta scriverlo poi riavviare e si risolve.
è cosi?
Ci sono pericoli?
Io da niubbo direi faccio questo e risolvo di sicuro,ma purtroppo non sara cosi :(



Nel pc infettato ho 3 hd,
L'hd di avvio ha due partizioni,rischio di perdere i file?
Se li trasferisco rischio di infettare altri hd? o l'infezione è solo in quel settore nella partizione del hd di avvio?

Inoltre vorrei installare winxp su un altro hd(uno di quelli attualmente installati nello stesso pc infettato) risolvo capre e cavoli cosi giusto o no?
il virus e' sempre presente?
Scusate ma non ho capito bene come funziona:muro: ,so solo che se si formatta non si risolve nulla.
Ciao

comincia a caricare i log della prima fase
poi procediamo con la pulizia, nessun file sarà rovinato tranquillo ;)

oddio oddio :muro: sono una testa di :muro:
Ho usato cureit mi ha trovato dei bakdoor.maos ecc. su d: (non vi e' installato il sistema operativo,una volta si ma ho formattato(pero l'ho lasciato come partizione primaria) il so e' su c:
ho fatto curali e riavvia.
Premetto ho tre hd con 5 partizioni.
Dopo il riavvio si vede solo L'd principale con due partizioni e d: ce mi da da non formattato...:muro: Le altre partizioni non esistono piu' :muro: :muro: :muro:
Ditemi che non ho perso tutto c'erano dati impotanti:muro: :muro: :muro:
Premetto che non ricordo la password di administrator,non quella dell'utente,quella che si mette per fare il fixmbr

oddio oddio :muro: sono una testa di :muro:
Ho usato cureit mi ha trovato dei bakdoor.maos ecc. su d: (non vi e' installato il sistema operativo,una volta si ma ho formattato(pero l'ho lasciato come partizione primaria) il so e' su c:
ho fatto curali e riavvia.
Premetto ho tre hd con 5 partizioni.
Dopo il riavvio si vede solo L'd principale con due partizioni e d: ce mi da da non formattato...:muro: Le altre partizioni non esistono piu' :muro: :muro: :muro:
Ditemi che non ho perso tutto c'erano dati impotanti:muro: :muro: :muro:
Premetto che non ricordo la password di administrator,non quella dell'utente,quella che si mette per fare il fixmbr

Inizia ad allegare i log richiesti tanto per capire la situazione

Ne posso fare altri,Perche quelli li avevo salvati su un l'altro hd.
Per adesso quei hd li ho staccati
Appena finito le scansioni li posto.
Cmq il problema era uguale a quello di tara84 http://www.hwupgrade.it/forum/showthread.php?t=1715546&page=12
tutto uguale anche i log di gmer(tranne per il fatto rootkit detected spuntava solo malicius code e copy in sector 62 of mbr) ed il fatto che fixmbr-f non funzionava,solo che non ho potuto fare fixmbr perche' non ricordo la password

i dati dovresti averli tutti ancora, è solo saltata la tabella delle partizioni
io ho provato a recuperarla con Acronis Disk Director oppure PartitionTableDoctor

però prima sistemiamo l'infezione e poi pensiamo a dati

Senza vedere i log tiriamo ad indovinare

Prevx http://www.fileqube.com/shared/vSJyQIXN67062
gmer http://www.fileqube.com/shared/LarEE67065

Prevx http://www.fileqube.com/shared/vSJyQIXN67062
gmer http://www.fileqube.com/shared/LarEE67065

Per scrupolo fai girare questo tool:

http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_removal_tools/52382/it

allega il log

Per scrupolo fai girare questo tool:

http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_removal_tools/52382/it

allega il log

http://www.fileqube.com/shared/BCdsMfDZM67097

http://www.fileqube.com/shared/BCdsMfDZM67097

L'infezione pare eradicata, dal log di Gmer si evince

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x98a7fec size 0x1fd
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

che c'è del codice appeso in un altro settore, ma non vuol dire che sei infetto, per ovviare al problema bisognerebbe piallare tutto con una formattazione a basso livello (low level format) ma non mi sembra il caso. ;)

ok cmq io mi ero accorto del problema perche' zoneallarm mi era andato in tilt(segnalazioni continue di allarmi anche se poche di alto livello)
Cmq per tentare di recuperare i dati apro un thread nuovo? Non vorrei sbagliare pure ad usare quei programmi...
Ciao e grazie

ok cmq io mi ero accorto del problema perche' zoneallarm mi era andato in tilt(segnalazioni continue di allarmi anche se poche di alto livello)
Cmq per tentare di recuperare i dati apro un thread nuovo? Non vorrei sbagliare pure ad usare quei programmi...
Ciao e grazie
dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

per quel problema la sezione indicata sarebbe quella dei problemi di win ma se riusciamo risolviamo qui...
dammi ntempo per vedere se ci sono dei tool gratuiti per quel problema e se chill ha altre idee

http://www.hwupgrade.it/forum/showthread.php?t=1180178

http://www.cgsecurity.org/wiki/Running_TestDisk

ho fatto la scansione con Norman_Sinowal_Cleaner ma non la posso fare anche per l' unità D perchè qualsiasi programma che fa scansione di file in D: avast trova dei virus che non possono essere virus...devo farla per forza tutta?dopo la scansione dei file c' è qualche altro tipo di scansione?

comunque,all' avvio della scansione mi dice in rosso:
searching for sinowalMBR hooks failed...che vuol dire?:eek:

http://www.hwupgrade.it/forum/showthread.php?t=1180178

http://www.cgsecurity.org/wiki/Running_TestDisk

Grazie ora provo

Buongiorno a tutti,

anche io ho preso questa brutta bestia.

Ho già provato il "fixmbr" ma non ha dato i frutti sperati.

Mi affido a chi è riuscito a debellare la minaccia.

da GMER:

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x12a18ac1 size 0x1fe
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR


Mentre CSI sembra non aver trovato nulla.

Serve che alleghi i file di log? Sono da 300KB l'unoe non si possono allegare.

Grazie, aspetto speranzoso notizie.

P.S. Un bel format potrebbe risolvere la situazione?

Buongiorno a tutti,

anche io ho preso questa brutta bestia.

Ho già provato il "fixmbr" ma non ha dato i frutti sperati.

Mi affido a chi è riuscito a debellare la minaccia.

da GMER:

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x12a18ac1 size 0x1fe
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR


Mentre CSI sembra non aver trovato nulla.

Serve che alleghi i file di log? Sono da 300KB l'unoe non si possono allegare.

Grazie, aspetto speranzoso notizie.

P.S. Un bel format potrebbe risolvere la situazione?

Ciao fai girare questo tool:

http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_removal_tools/52382/it

Successivamente scansione di controllo con Drweb CureIt come indicato in Guida

Allega entrambi i log

Dunque, il Norman SinowalMBR Cleaner l'avevo già usato nei giorni passati e sembrava avesse ripulito l'infezione.(Trovata ed eliminata)

In effetti ora non trova nulla, nè sui bootsector, nè sui processi, nè sui file.

Anche Dr.Web non trova nulla. (A parte un Win32.HLLW.Medbod.121):muro:

Mi stupisce però che MBR continui a trovare l'infezione......


Formattando potrei risolvere definitivamente?

ho fatto la scansione con Norman_Sinowal_Cleaner ma non la posso fare anche per l' unità D perchè qualsiasi programma che fa scansione di file in D: avast trova dei virus che non possono essere virus...devo farla per forza tutta?dopo la scansione dei file c' è qualche altro tipo di scansione?

comunque,all' avvio della scansione mi dice in rosso:
searching for sinowalMBR hooks failed...che vuol dire?:eek:
se disattivi momentaneamente avast?

Dunque, il Norman SinowalMBR Cleaner l'avevo già usato nei giorni passati e sembrava avesse ripulito l'infezione.(Trovata ed eliminata)

In effetti ora non trova nulla, nè sui bootsector, nè sui processi, nè sui file.

Anche Dr.Web non trova nulla. (A parte un Win32.HLLW.Medbod.121):muro:

Mi stupisce però che MBR continui a trovare l'infezione......


Formattando potrei risolvere definitivamente?
caricaci i log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

Dunque, il Norman SinowalMBR Cleaner l'avevo già usato nei giorni passati e sembrava avesse ripulito l'infezione.(Trovata ed eliminata)

In effetti ora non trova nulla, nè sui bootsector, nè sui processi, nè sui file.

Anche Dr.Web non trova nulla. (A parte un Win32.HLLW.Medbod.121):muro:

Mi stupisce però che MBR continui a trovare l'infezione......


Formattando potrei risolvere definitivamente?

Normale che Gmer rilevi tracce, allega il log di CureIt ed un nuovo log di Gmer, risolvi solo formattando a basso livello (low level format) ma non mi sembra il caso

Salve, molto probabilmente sono infettato da Mbr Rootkit.
ho terminato la prima fase della guida e come suggerito allego i log di prevxCSI

http://www.fileqube.com/shared/gmyESmSTL67256

e gmer:

http://www.fileqube.com/shared/EQdZDH67258

Attendo una vostra risposta su come devo procedere..

grazie per la collaborazione
saluti
Francesco

http://www.hwupgrade.it/forum/showthread.php?t=1180178

http://www.cgsecurity.org/wiki/Running_TestDisk

Tutto risolto ho fatto il bakup dei dati, ora se ci riesco ripristino le partizioni.
Grazie anche a te
Ciao

L'infezione pare eradicata, dal log di Gmer si evince



che c'è del codice appeso in un altro settore, ma non vuol dire che sei infetto, per ovviare al problema bisognerebbe piallare tutto con una formattazione a basso livello (low level format) ma non mi sembra il caso. ;)

Ma neanche se ipoticamente si formattasse in fat32?

Salve, molto probabilmente sono infettato da Mbr Rootkit.
ho terminato la prima fase della guida e come suggerito allego i log di prevxCSI

http://www.fileqube.com/shared/gmyESmSTL67256

e gmer:

http://www.fileqube.com/shared/EQdZDH67258

Attendo una vostra risposta su come devo procedere..

grazie per la collaborazione
saluti
Francesco
procedi con la seconda fase

se disattivi momentaneamente avast?

grazie proverò dopo aver disabiliato avast

procedi con la seconda fase

ho terminato la seconda fase. il log finale di mbr è:

http://www.fileqube.com/shared/SUhVd67414

il log di fixmebroot è:

http://www.fileqube.com/shared/nrzTiDBj67415

Fatemi sapere se vi servono anche i log di mbr generati nella parte della seconda fase che si svolge in modalità provvisoria.

Notate che eseguendo al termine della seconda fase una nuova scansione con prevxCSI, mi ssegnala sempre il pc infettato. allego il log:

http://www.fileqube.com/shared/QPanSXJJW67419

attendo vostri suggerimenti

sempre grazie per la collaborazione
ciao

sarebbe interessante anche raffrontare la cronologia del browser negli ultimi giorni di navigazione degli utenti rimasti infetti,giusto per capire dove si è annidato ultimamente

per quale che mi riguarda stavo navigando su http://www.mymovies.it/ quando improvvisamente il pc mi si è riavviato mostrandomi successivamente la schermata "avvio di windows non riuscito". Ho ripristinato l'ultima sessione funzionante, e fin qui il pc non presentava nessun sintomo.
Tentando però di fare qualsiasi oprazione bancaria (anche dal sito delle poste) mi compare una finestra "Advanced card verification" che mi manda in crash internet explorer a cui spesso fa seguito anche un crash dell'applicazione services.exe.
Il firewall mi rileva vai tentativi di connessione di services.exe a server di cui non ricordo l'ip...

Spero che queste info possano esservi utili.

ho terminato la seconda fase. il log finale di mbr è:

http://www.fileqube.com/shared/SUhVd67414

il log di fixmebroot è:

http://www.fileqube.com/shared/nrzTiDBj67415

Fatemi sapere se vi servono anche i log di mbr generati nella parte della seconda fase che si svolge in modalità provvisoria.

Notate che eseguendo al termine della seconda fase una nuova scansione con prevxCSI, mi ssegnala sempre il pc infettato. allego il log:

http://www.fileqube.com/shared/QPanSXJJW67419

attendo vostri suggerimenti

sempre grazie per la collaborazione
ciao
Fai una scansione con Norman Sinowal Cleaner che trovi qui (http://download.norman.no/public/Norman_Sinowal_Cleaner.exe)
Lancialo -> Fallo scansionare -> Riavvia il pc se richiesto -> Al termine allega il log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

Fai una scansione con Norman Sinowal Cleaner che trovi qui (http://download.norman.no/public/Norman_Sinowal_Cleaner.exe)
Lancialo -> Fallo scansionare -> Riavvia il pc se richiesto -> Al termine allega il log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)


il log della scansione con norman:
http://www.fileqube.com/shared/cTLZduRdJ67506

come suggerito in alcuni post precedenti ho disinstallato e reinstallato prevxCSI ed eseguito un'altra scansione. questo è il log:
http://www.fileqube.com/shared/CiZJsVT67510

che mi dite riguardo al MBR rootkit?
e come mai mi vede il mirc come malicious software?

grazie
ciao

se disattivi momentaneamente avast?

ho provato anche a disabilitare avast ma nada...ma questi software sono compatibili su vista 64 bit?non c' è un altro modo per rilevare sti rootkit mbr?

il log della scansione con norman:
http://www.fileqube.com/shared/cTLZduRdJ67506

come suggerito in alcuni post precedenti ho disinstallato e reinstallato prevxCSI ed eseguito un'altra scansione. questo è il log:
http://www.fileqube.com/shared/CiZJsVT67510

che mi dite riguardo al MBR rootkit?
e come mai mi vede il mirc come malicious software?

grazie
ciao

Ciao Francesco sei pulito, è normale che Prevx Csi veda Mirc come malicious non è il solo, termina la procedura allegando il log di CureIt mi raccomando scansione completa.

Ciao Francesco sei pulito, è normale che Prevx Csi veda Mirc come malicious non è il solo, termina la procedura allegando il log di CureIt mi raccomando scansione completa.

ciao Chill-Out grazie per la risposta.
cureit mi ha fornito come log:
http://www.fileqube.com/shared/wUZmfd67517

che ho ricavato a partire dal file drweb.csv:
http://www.fileqube.com/shared/UfFGaB67516

ve li ho riportati entrambi in quanto non son sicuro che i csv si aprano col blocco note.

grazie!

ciao Chill-Out grazie per la risposta.
cureit mi ha fornito come log:
http://www.fileqube.com/shared/wUZmfd67517

che ho ricavato a partire dal file drweb.csv:
http://www.fileqube.com/shared/UfFGaB67516

ve li ho riportati entrambi in quanto non son sicuro che i csv si aprano col blocco note.

grazie!

Il file di log lo trovi qui:
Dopo aver terminato la scansione allegare il log per il controllo che trovate in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb

Il file di log lo trovi qui:
Dopo aver terminato la scansione allegare il log per il controllo che trovate in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb

eccolo, è un pò pesantino...son quasi 38 mb:

http://www.fileqube.com/shared/insFPl67524

fatemi sapere!

eccolo, è un pò pesantino...son quasi 38 mb:

http://www.fileqube.com/shared/insFPl67524

fatemi sapere!
pulito
il pc come sta?

pulito
il pc come sta?

ok ottimo, il pc sta bene in particolare non compare più la finestra "Advanced card verification" quando tento di fare un'operazione bancaria.
Un particolare ringraziamento a wjmat e Chill-Out!!

approfitto della vostra preziosa collaborazione per porvi un'altro quesito: da un pò di tempo il firewall (sygate personal firewall pro)mi blocca delle intrusioni dell'applicazione svchost.exe. qualcuno sa di cosa si tratta? aggiungo che nessun antivirus (neppure quelli che ho usato per eliminare il rootkit) rileva nulla.
vi allego il log del firewall in cui potete vedere l'host:

http://www.fileqube.com/shared/qpRsXEFw67654

se sono OT ditemi dove postare.

grazie

ok ottimo, il pc sta bene in particolare non compare più la finestra "Advanced card verification" quando tento di fare un'operazione bancaria.
Un particolare ringraziamento a wjmat e Chill-Out!!

approfitto della vostra preziosa collaborazione per porvi un'altro quesito: da un pò di tempo il firewall (sygate personal firewall pro)mi blocca delle intrusioni dell'applicazione svchost.exe. qualcuno sa di cosa si tratta? aggiungo che nessun antivirus (neppure quelli che ho usato per eliminare il rootkit) rileva nulla.
vi allego il log del firewall in cui potete vedere l'host:

http://www.fileqube.com/shared/qpRsXEFw67654

se sono OT ditemi dove postare.


grazie
dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

il firewall io lo cambierei come indicato nel trattamento
qui dei confronti http://www.matousec.com/projects/firewall-challenge/results.php

dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

il firewall io lo cambierei come indicato nel trattamento
qui dei confronti http://www.matousec.com/projects/firewall-challenge/results.php


ok grazie procedo subito con il trattamento.

riuscite a darmi qualche notizia in più su questo svchost.exe?
oppure mi dite in quale sezione postare..

grazie!

ok grazie procedo subito con il trattamento.

riuscite a darmi qualche notizia in più su questo svchost.exe?
oppure mi dite in quale sezione postare..

grazie!

Ciao Francesco felice che tu abbia risolto, se hai voglia leggi anche qui:
http://www.hwupgrade.it/forum/showthread.php?t=1691346

Ciao, ieri kaspersky mi ha segnalato di aver trovato un trojan: Trojan program Backdoor.Win32.Sinowal.ck che risiede in
Settore disco fisico: \Device\Harddisk1\DR1

Settore disco fisico: \Device\Harddisk1\DR2

Dopo averlo eliminato torna tutto apposto ma quando riavvio il problema si rispresenta. Uso windows vista con boot-us come boot manager.
Prevx CSI non ha trovato nulla

gmer si

fai anche il punto 1 della fase 2 per verifica

fai anche il punto 1 della fase 2 per verifica

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x1d1c4581 size 0x1c8 !
questo è il primo log

e quando faccio C:\mbr.exe -f mi da lo stesso log

sarebbe meglio che tu caricassi tutti i log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

carica anche il 2 ed il 3

poi fai una scansione con Norman Sinowal Cleaner che trovi qui (http://download.norman.no/public/Norman_Sinowal_Cleaner.exe)
Lancialo -> Fallo scansionare -> Riavvia il pc se richiesto -> Al termine allega il log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

sarebbe meglio che tu caricassi tutti i log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

carica anche il 2 ed il 3

poi fai una scansione con Norman Sinowal Cleaner che trovi qui (http://download.norman.no/public/Norman_Sinowal_Cleaner.exe)
Lancialo -> Fallo scansionare -> Riavvia il pc se richiesto -> Al termine allega il log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

grazie!!!sinowal me lo ha trovato e eliminato definitivamente!!

grazie!!!sinowal me lo ha trovato e eliminato definitivamente!!
procedi con la 3 fase

ciao a tutti. son stato gentilmente indirizato a voi da wjmat. allego i log della prima fase.
log prevx: http://www.fileqube.com/shared/kSZkMGoMl75525
log gmer: http://www.fileqube.com/shared/GffxWngFm75526

procedo con la seconda fase?

prova con il primo punto della seconda fase

mi sa che non son infetto da questo rootkit. il primo log MBR è pulito. è come l'esempio del punto 3. tutto ok. ora cosa devo far? dal log di gmer avevi notato rootkit malevoli?

ci sono una sfilza di copie di mbr, ma forse non è nulla di male
facciamo un ultimo controllo e poi torniamo di là ;)

Fai una scansione con Norman Sinowal Cleaner che trovi qui (http://download.norman.no/public/Norman_Sinowal_Cleaner.exe)
Lancialo -> Fallo scansionare -> Riavvia il pc se richiesto -> Al termine allega il log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

in modalità normale o provissoria?

da normale, l'eventuale pulizia avviene con il riavvio

terminata la scansione, mi sembra non abbia trovato nulla. ma come si salva il log?

non ricordo se lo lascia nella cartella da cui l'hai lanciato o in c:\

era sul desktop. ecco il log : http://www.fileqube.com/shared/xcCkg75617

dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

si grazie stava facendo. mi sarebbe piaciuto scoprire le cause dei riavvi e delle schermate blu. nessuno conosce il modo di interpretare i "misteriosi" codici d'errore forniti dalla schermata blu?

si grazie stava facendo. mi sarebbe piaciuto scoprire le cause dei riavvi e delle schermate blu. nessuno conosce il modo di interpretare i "misteriosi" codici d'errore forniti dalla schermata blu?

s trascrivi perintero la frase esatta che viene mostrata possiamo identificare la causa :)

l'errore riportato è
STOP 0x0000008E ( 0xC0000005,0x000006f2,0xb9d8cb50,0x00000000)

non ci sono frasi che si riferiscono a problemi specifici. solo la frase generale della schermata blu. che adesso non mi ricordo.

l'errore riportato è
STOP 0x0000008E ( 0xC0000005,0x000006f2,0xb9d8cb50,0x00000000)

non ci sono frasi che si riferiscono a problemi specifici. solo la frase generale della schermata blu. che adesso non mi ricordo.
dopo la scansione del disco sono apparse ancora?

no, ma in questo giorno e mezzo in cui ho avuto il pc a casa mia, è successo una sola volta.
il pc è di alcuni amici che mi han detto che succede 1-2 volte al giorno.

altra cosa: adesso ho disinstallato Avast e installato Avira Antivirus che da quanto letto offre maggiori garanzie
sto facendo un'ultima scansione. mi ha rilevato un file Boonty.exe in cui riconosce il pattern APPL/BoontyGames. io conoscendo gli amici, immagino sia un gioco online. ne sapete qualcosa? ignoro? cancello? metto in quarantena?

dopo la scansione del disco sono apparse ancora?

scusa prima mi ero dimenticato di chiederti se e come avevi ricondotto l'errore a un problema risolvibile con il chkdsk.

scusa prima mi ero dimenticato di chiederti se e come avevi ricondotto l'errore a un problema risolvibile con il chkdsk.
dopo la rimozione di bagle e chkdsk non è più comparsa?
le bsod solitamente compaiono per problemi al disco, alla ram o problemi + disparati...
il chkdsk è uno dei primi test da fare
per la cronaca aveva trovato errori?
ora torniamo di là che qui andiamo off topic

si scusate per offtopic.
ho risposto nell'altro topic

Ciao e complimenti per la guida.ero infetto ho fatto tutto ora l' unico programma che mi rileva ancora infezione e prevx gli alti mi dicono che è tutto pulito anche il tool della trend micro oltre doctor web e mbr fix.Motivo :mc:

Ciao e complimenti per la guida.ero infetto ho fatto tutto ora l' unico programma che mi rileva ancora infezione e prevx gli alti mi dicono che è tutto pulito anche il tool della trend micro oltre doctor web e mbr fix.Motivo :mc:
solitamente è gmer che mostra l'infezione anche dopo averla rimossa....

Questo è gmer dopo averlo rimosso
Gmer.txt (http://wikisend.com/download/481244/Gmer.txt)
e questo è prevx dopo averlo rimosso
prevx.log (http://wikisend.com/download/474776/prevx.log)

Questo è gmer dopo averlo rimosso
Gmer.txt (http://wikisend.com/download/481244/Gmer.txt)
e questo è prevx dopo averlo rimosso
prevx.log (http://wikisend.com/download/474776/prevx.log)

Disinstalla Prevx reinstallalo e allega nuovo log, ciao.

Ciao a tutti raga, ho tolto tale trojan qualche giorno fa con i vari tool nominati nel thread, però nod32 continua a segnalrmene la presenza. Ho provato a rifare delle scansioni con tutti i programmi qui descritti che nn lo trovano. Come può essere? Grazie ciao

Quando hai seguito la guida hai fatto QUESTO PASSO (che è il primo da fare)?

:: FASE PRELIMINARE ::

Disattivare il Ripristino Configurazione Sistema:

tasto destro del mouse sull'icona Risorse del Computer
seleziona la voce Proprietà
apri la scheda Ripristino configurazione di Sistema
spunta la voce Disattiva ripristino configurazione di sistema
conferma, la modifica, con Applica e, poi Ok

Quando hai seguito la guida hai fatto QUESTO PASSO (che è il primo da fare)?

Confermo, e dopo scansione con PrevxCSI e Gmer NON ci sono queste righe

ROOTKIT-\\.\PhysicalDrive0\MBR - [512] >> Hidden Disk Sectors

Disk \Device\Harddisk0\DR0 sector 61: rootkit-like behavior; malicious code @ sector 0x1316700 size 0x1ca
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR sector


però nod32 continua a dirmi che il trojan c'è

Confermo, e dopo scansione con PrevxCSI e Gmer NON ci sono queste righe

ROOTKIT-\\.\PhysicalDrive0\MBR - [512] >> Hidden Disk Sectors

Disk \Device\Harddisk0\DR0 sector 61: rootkit-like behavior; malicious code @ sector 0x1316700 size 0x1ca
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR sector


però nod32 continua a dirmi che il trojan c'è

Non devi copiare ed incollare gli esempi in Guida, bensì allegare i log dei tool indicati compreso il log del Nod32

Non devi copiare ed incollare gli esempi in Guida, bensì allegare i log dei tool indicati compreso il log del Nod32

OK


http://myfreefilehosting.com/f/6d215bec5e_0.02MB

http://myfreefilehosting.com/f/62077e78a0_0.23MB


http://myfreefilehosting.com/f/f18dc1da0d_0.1MB

OK


http://myfreefilehosting.com/f/6d215bec5e_0.02MB

http://myfreefilehosting.com/f/62077e78a0_0.23MB


http://myfreefilehosting.com/f/f18dc1da0d_0.1MB

Dove sono i log ? :stordita: per cortesia li potresti hostare qui http://fileqube.com/

http://www.fileqube.com/shared/qBmWUX79154 gmer

http://www.fileqube.com/shared/rOKMrml79155 prevcsi


http://www.fileqube.com/shared/KHcVeTcbT79156 nod32

http://www.fileqube.com/shared/qBmWUX79154 gmer

http://www.fileqube.com/shared/rOKMrml79155 prevcsi


http://www.fileqube.com/shared/KHcVeTcbT79156 nod32

Grazie, mi dici che cos'è il Disco A

Grazie, mi dici che cos'è il Disco A

Floppy che non ho tra l'altro

Floppy che non ho tra l'altro

Se mi confermi che si tratta di una perifiricha nello specifico Floppy vuol dire che il Nod scantona, per scrupolo fai girare questo tool:

http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_removal_tools/52382/it

allega il log, se l'hai conservato allega anche il log di Gmer Stealth Rootkit Detector

eccomi di nuovo ... stavolta sono dalla mia compagna, anche sul suo pc compare la malefica segnalazione del mebroot, però poi il Gmer si comporta in modo diverso ... potete aiutarmi o devo spostarmi su un'altra discussione ? ecco i log del Prevxcsi
http://www.fileqube.com/shared/tFKIQ80675
e del Gmer
http://www.fileqube.com/shared/imXkd80677
e i miei ringraziamenti

eccomi di nuovo ... stavolta sono dalla mia compagna, anche sul suo pc compare la malefica segnalazione del mebroot, però poi il Gmer si comporta in modo diverso ... potete aiutarmi o devo spostarmi su un'altra discussione ? ecco i log del Prevxcsi
http://www.fileqube.com/shared/tFKIQ80675
e del Gmer
http://www.fileqube.com/shared/imXkd80677
e i miei ringraziamenti

Fai girare questo tool:

http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_removal_tools/52382/it

allega il log, mi alleghi anche il log dell'AV che segnala il Mebroot

Fai girare questo tool:

http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_removal_tools/52382/it

allega il log, mi alleghi anche il log dell'AV che segnala il Mebroot

eccoli :

Nfix
http://www.fileqube.com/shared/BeRGCZKZb80792

Nod32
http://www.fileqube.com/shared/LZUJO80793

eccoli :

Nfix
http://www.fileqube.com/shared/BeRGCZKZb80792

Nod32
http://www.fileqube.com/shared/LZUJO80793

Forse mi sfugge qualcosa ma su entrambi i log io non vedo nulla, controlla su http://www.virustotal.com/it/ e su http://virscan.org/ il seguente file C:\documents and settings\user\impostazioni locali\dati applicazioni\oacyiyu.exe per i risultati basta incollare nel prossimo post l'url a termine scansione

l'URl di Virustotal è
http://www.virustotal.com/it/analisis/57812e8fc32845b84a21dda1850f9dde
Virscan non sembra dar segni di vita, è da mezzora su Step 2 Analyzing file ...

l'URl di Virustotal è
http://www.virustotal.com/it/analisis/57812e8fc32845b84a21dda1850f9dde
Virscan non sembra dar segni di vita, è da mezzora su Step 2 Analyzing file ...

Per completezza attendo i risultati della scansione con VirScan

Per completezza attendo i risultati della scansione con VirScan

ed ecco il log di Viruscan
http://www.fileqube.com/shared/HlcIie81475

ed ecco il log di Viruscan
http://www.fileqube.com/shared/HlcIie81475

Sembra un Falso positivo la cosa strana è che Prevx CSI rileva:

Summary:
C:\documents and settings\user\impostazioni locali\dati applicazioni\oacyiyu.exe - [B] >> Fraudulent Security Program (PX5: 024B5F0300BA4223C0F7046D315A550093CCC450)

su VT nulla, ti chiedo gentilmente di riapparlo su VirusTotal, grazie.

PS: riscontri altri eventuali problemi?

Sembra un Falso positivo la cosa strana è che Prevx CSI rileva:



su VT nulla, ti chiedo gentilmente di riapparlo su VirusTotal, grazie.

PS: riscontro altri eventuali problemi

Ecco VirusTotal
http://www.virustotal.com/it/analisis/b0d4150c203dfd5f484670ff86502b71

Ecco VirusTotal
http://www.virustotal.com/it/analisis/b0d4150c203dfd5f484670ff86502b71

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Files to delete:
C:\documents and settings\user\impostazioni locali\dati applicazioni\oacyiyu.exe


clicca su Execute, al termine il Pc si dovrebbe riavviare se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco




clicca su Execute, al termine il Pc si dovrebbe riavviare se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

ecco il log di Avenger
http://www.fileqube.com/shared/DMwKLCbf82413
(cmq al riavvio Prevx ha dato ancora la segnalazione)

ecco il log di Avenger
http://www.fileqube.com/shared/DMwKLCbf82413
(cmq al riavvio Prevx ha dato ancora la segnalazione)
disinstalla e reinstalla prevx e ricontrolla

disinstalla e reinstalla prevx e ricontrolla

sembrerebbe OK ...
http://www.fileqube.com/shared/RxrlCd82457

sembrerebbe OK ...
http://www.fileqube.com/shared/RxrlCd82457
se ti sembra di essere a posto dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

ecco il log di Avenger
http://www.fileqube.com/shared/DMwKLCbf82413
(cmq al riavvio Prevx ha dato ancora la segnalazione)

sembrerebbe OK ...
http://www.fileqube.com/shared/RxrlCd82457

Bene segui il consiglio dato da wjmat :)

Ciao a tutti, sono anche io tra i tanti pesci che hanno abboccato a questo fastidiosissimo virus, o nn so bene come definirlo.
Ho letto gran parte delle 32 (!!!) pagine di questo thread ed inizio da buon principiante a postare i log sia di Prev CSI che quello di GMER ed aspetto buone notizie da chi è piu ferrato di me....
log di GMER http://www.fileqube.com/shared/SvfoD90203
log di PrevCSI http://www.fileqube.com/shared/RTzFjav90204
grazie mille



un grosso abbraccio
undercool

Ciao a tutti, sono anche io tra i tanti pesci che hanno abboccato a questo fastidiosissimo virus, o nn so bene come definirlo.
Ho letto gran parte delle 32 (!!!) pagine di questo thread ed inizio da buon principiante a postare i log sia di Prev CSI che quello di GMER ed aspetto buone notizie da chi è piu ferrato di me....
log di GMER http://www.fileqube.com/shared/SvfoD90203
log di PrevCSI http://www.fileqube.com/shared/RTzFjav90204
grazie mille



un grosso abbraccio
undercool
ciao rifai gmer
quando lo lanci, dopo la scansione iniziale devi premere scan
il log da caricare è quello .txt

ciao rifai gmer
quando lo lanci, dopo la scansione iniziale devi premere scan
il log da caricare è quello .txt

eccoli, scusa tanto
log di GMER http://www.fileqube.com/shared/hIVzZK90502
log di PrevCSI http://www.fileqube.com/shared/dnPQFDYRH90503
cme è strano , ora all'avvio non mi da quel messaggio fastidioso....

eccoli, scusa tanto
log di GMER http://www.fileqube.com/shared/hIVzZK90502
log di PrevCSI http://www.fileqube.com/shared/dnPQFDYRH90503
cme è strano , ora all'avvio non mi da quel messaggio fastidioso....

Quale messaggio?

allego un zip con i log di gmer e un link per il log di prev csi

gmer mi trova un infenzione (rilevata anche da kas)

che viene definita : Backdoor.Win32.Sinowal.kv


il tool di rimozione della symatec Trojan.Mebroot Removal non trova nulla..


http://www.geocities.com/quintorigo2000/prev.zip
prev csi

Quale messaggio?

quando avvio il pc mi appare una schermata tipo DOS, con relativo buzz, con un avviso del virus che mi dice di continuare o meno l'avvio del sistema.

A Voi nn appare ?

ora che ho fatto girare un po di tools(cureit, gmer,Norman_Sinowal_Cleaner, ), cmq anche il nod32 nn me lo rilava piu'....
miracolo ?

allego un zip con i log di gmer e un link per il log di prev csi

gmer mi trova un infenzione (rilevata anche da kas)

che viene definita : Backdoor.Win32.Sinowal.kv


il tool di rimozione della symatec Trojan.Mebroot Removal non trova nulla..


http://www.geocities.com/quintorigo2000/prev.zip
prev csi

Sii gentile i log non zippati ed hostati su i server remoti indicati in Guida

quando avvio il pc mi appare una schermata tipo DOS, con relativo buzz, con un avviso del virus che mi dice di continuare o meno l'avvio del sistema.

A Voi nn appare ?

che cosa dovrebbe apparirci?

ora che ho fatto girare un po di tools(cureit, gmer,Norman_Sinowal_Cleaner, ), cmq anche il nod32 nn me lo rilava piu'....
miracolo ?

non credo si trattasse del Sinowal o MBR Rootkit che dir si voglia, dai log che hai allegato non emerge nulla, eventulamente se deisderi fare un controllo approfondito segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

se voglio usare mbr.exe sul boot di hard disk secondari o attaccati via usb dove e' segnalato il rootkit nelboot?
come faccio?

semplifico ho un secondo hard disk lettera G: e mi segnala il rootkit pure nel boot li..

se voglio usare mbr.exe sul boot di hard disk secondari o attaccati via usb dove e' segnalato il rootkit nelboot?
come faccio?

semplifico ho un secondo hard disk lettera G: e mi segnala il rootkit pure nel boot li..
potresti ricaricare i log correttamente

Sono incappato anch' io nel famigerato popup "Advanced card verification".
Nel mio caso, la finestra è "bianca": vedo solo il titolo e non i campi che chiedono di fornire gli identificativi della carta.
Visto che questa discussione è molto lunga e tocca vari aspetti, mi rivolgo in modo particolare a Franceso636 che in un post di fine luglio dice di aver avuto e risolto un simile problema.
Coma hai fatto ?
il mio S.O. è WinXP SP3
Grazie

Sono incappato anch' io nel famigerato popup "Advanced card verification".
Nel mio caso, la finestra è "bianca": vedo solo il titolo e non i campi che chiedono di fornire gli identificativi della carta.
Visto che questa discussione è molto lunga e tocca vari aspetti, mi rivolgo in modo particolare a Franceso636 che in un post di fine luglio dice di aver avuto e risolto un simile problema.
Coma hai fatto ?
il mio S.O. è WinXP SP3
Grazie
ciao
spiega meglio il tuo problema

Sono incappato anch' io nel famigerato popup "Advanced card verification".
Nel mio caso, la finestra è "bianca": vedo solo il titolo e non i campi che chiedono di fornire gli identificativi della carta.
Visto che questa discussione è molto lunga e tocca vari aspetti, mi rivolgo in modo particolare a Franceso636 che in un post di fine luglio dice di aver avuto e risolto un simile problema.
Coma hai fatto ?
il mio S.O. è WinXP SP3
Grazie

Ciao Dario devi semplicemente seguire la Guida quindi procedi con la la : Fase preliminare : dopodichè produci i log come indicato nella : Prima fase :

Ciao a tutti,

da qualche giorno ho notato che le prestazioni della cpu quando apro il taskmanager sono sempre al 100%, anche se le applicazioni avviate sono molto poche...

Pensando che tutto sia dovuto a "searchindexer.exe, searchfilterhost.exe, searchprotocolhost.exe" e Windows Search 4.0, ho disinstallato quest'ultimo e disattivato il servizio di indicizzazione... ma non è servito! :rolleyes:

Vi invio il log di HiJackThis, magari leggendo al suo interno mi aiuterete a capire il problema... :help:
http://fileup.itadib.com/download.php?id=YXuqPktK34KXFoYoCCwG

PS. premetto che PrevxCSI non ha trovato nulla! :mbe:

ciao
carica anche il log di gmer [info] (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)

ciao
carica anche il log di gmer [info] (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)

A te... :D

http://fileup.itadib.com/download.php?id=KLwHez9xUePNiT3WD2Ao

non mi sembra ci sia traccia di mbr

Facci vedere che ti frulla nel pc....

Scarica da qui (http://download.sysinternals.com/Files/ProcessExplorer.zip) Process Explorer.
Riavvia il pc e attendi che vengano caricati tutti programmi e servizi di sistema
Non lanciare nessuna applicazione
Estrai ProcessExplorer.zip e fallo partire
Nel menù View clicca Select Columns...
Sotto la scheda Process Image devono essere spuntate le voci "Description" "Company Name" "Image Path"
Sotto la sheda "Process memory" devono essere spuntate le voci "Working set size" e "Peak Working Set Size"
Clicca OK
Sotto il menù File clicca Save as... guarda dove viene salvato il log e clicca su salva
Ora carica il log generato tramite la funzione gestisci allegati

E' tutto tuo... :cool:
http://fileup.itadib.com/download.php?id=wT8bkgGiehlt5LyQHEBX


non mi sembra ci sia traccia di mbr

Facci vedere che ti frulla nel pc....

dal log non vedo nulla di strano...
il problema c'è ancora? compare subito o insieme a qualche applicazione che lanci?

il problema persiste...
compare sia all'avvio senza applicazioni aperte.
sia quando sono in esecuizione...


dal log non vedo nulla di strano...
il problema c'è ancora? compare subito o insieme a qualche applicazione che lanci?

prova a rifarmi un log simile ma mentre hai la cpu al massimo

prova a rifarmi un log simile ma mentre hai la cpu al massimo

http://fileup.itadib.com/download.php?id=UZoJ2rFUtG3UsLkHK8hK

con processexp
click destro su services.exe quello che consuma di + → seleziona Properties....
Sotto la scheda "Services" segnaci a che servizi è associato

poi prova a disabilitare momentaneamente gli aggiornamenti di win e vediamo se cambia qualcosa

http://www.webalice.it/viniciocolonna/services.JPG

Ho arrestato il servizio "Aggiornamenti automatici" ma non cambia nulla!



con processexp
click destro su services.exe quello che consuma di + → seleziona Properties....
Sotto la scheda "Services" segnaci a che servizi è associato

poi prova a disabilitare momentaneamente gli aggiornamenti di win e vediamo se cambia qualcosa

Qui stiamo andando off-topic...
Apriti una discussione tutta tua, spieghi brevemente il problema e poi log di
Eset Sysinspector [info] (http://www.hwupgrade.it/forum/showpost.php?p=24033155&postcount=12)
e HiJackThis [info] (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)

Ciao a tutti,
sono nuova del forum. Da alcuni gg il mio antivir ha evidenziato la presenza di
BOO/SINOWAL:A nel master boot sector HD0 e io sto vagando tra i tanti siti di informatica alla ricerca di una soluzione. Purtroppo non sono molto esperta e mi sembra tutto difficilissimo. Ho letto la vs.guida per la rimozione e mi sono spaventata! C'è qualcuno che ha voglia di guidarmi per mano come si farebbe con un bambino?

Ciao a tutti,
sono nuova del forum. Da alcuni gg il mio antivir ha evidenziato la presenza di
BOO/SINOWAL:A nel master boot sector HD0 e io sto vagando tra i tanti siti di informatica alla ricerca di una soluzione. Purtroppo non sono molto esperta e mi sembra tutto difficilissimo. Ho letto la vs.guida per la rimozione e mi sono spaventata! C'è qualcuno che ha voglia di guidarmi per mano come si farebbe con un bambino?

Ciao e benvenuto, nulla di cui spaventarsi, devi semplicemnte seguire la Guida indicata in prima pagina quindi procedi con la :: Fase preliminare :: e successivamente con la :: Prima fase :: se hai dubbi chiedi :)

Mi allegheresti il log di Avira, su come allegare il log trovi le info sempre in prima pagina

Innanzi tutto grazie per la pronta risposta.
Stavo cercando di capire come allegare il log quando improvvisamente ha smesso di funzionare il mouse, allora non riuscendo più a dare comandi ho spento e riacceso, ma a quel punto non mi permetteva più la navigazione (sì il collegamento adsl, ma non l'utilizzo di Internet).
In questo momento sto utilizzando un pc che non è il mio per poter comunicare con voi nella speranza che riusciate ad aiutarmi.
Cosa devo fare?

Innanzi tutto grazie per la pronta risposta.
Stavo cercando di capire come allegare il log quando improvvisamente ha smesso di funzionare il mouse, allora non riuscendo più a dare comandi ho spento e riacceso, ma a quel punto non mi permetteva più la navigazione (sì il collegamento adsl, ma non l'utilizzo di Internet).
In questo momento sto utilizzando un pc che non è il mio per poter comunicare con voi nella speranza che riusciate ad aiutarmi.
Cosa devo fare?

Qui la situazione si complica, in che senso non ti permette più la navigazione? Cerca di essere più dettagliato

Allora, ho letto la tua richiesta di postare i log di avira e poichè sono totalmente inesperta in materia, stavo cercando di capire come fare.
Non ho premuto nulla, stavo semplicemente leggendo quando ad un certo punto mi è comparsa una finestra in cui mi si diceva che era stata rilevato un tentativo di importante modifica di un registro (o qualcosa di simile).
Avendo la possibilità di cliccare "nega" o "consenti" ho pigiato nega anche perchè temevo fosse una trappola del virus annidato nel rootkit.
A quel punto si è bloccato il mouse, non riuscivo più a fare nulla e ho spento.
Quando ho riacceso ho fatto la connessione (riuscita) e poi ho tentato di accedere tramite Firefox al vs. sito, ma il messaggio era di "connessione non riuscita" (neppure ad altri siti che ho provato a visitare).

Allora, ho letto la tua richiesta di postare i log di avira e poichè sono totalmente inesperta in materia, stavo cercando di capire come fare.
Non ho premuto nulla, stavo semplicemente leggendo quando ad un certo punto mi è comparsa una finestra in cui mi si diceva che era stata rilevato un tentativo di importante modifica di un registro (o qualcosa di simile).
Avendo la possibilità di cliccare "nega" o "consenti" ho pigiato nega anche perchè temevo fosse una trappola del virus annidato nel rootkit.
A quel punto si è bloccato il mouse, non riuscivo più a fare nulla e ho spento.
Quando ho riacceso ho fatto la connessione (riuscita) e poi ho tentato di accedere tramite Firefox al vs. sito, ma il messaggio era di "connessione non riuscita" (neppure ad altri siti che ho provato a visitare).

Avendo la possibilità di cliccare "nega" o "consenti" ho pigiato nega anche perchè temevo fosse una trappola del virus annidato nel rootkit.

di quale software parli?

Spybot, se non erro.

Spybot, se non erro.

Bene bisogna verificare che cosa hai bloccato, è probabile che il processo bloccato abbia causato i problemi sopra descritti.

Sì, anch'io ho immediatamente pensato di aver bloccato qualcosa di fondamentale per la connessione, però ora non so che fare.

Sì, anch'io ho immediatamente pensato di aver bloccato qualcosa di fondamentale per la connessione, però ora non so che fare.

Non uso Spybot dalla notte dei tempi, prova a disabilitarlo e vediamo :)

Lascio questo pc, vado a casa, provo e poi riprendo a scrivere.
Grazie per la disponibilità.

ECCOMI!!!!
Ho disinstallato il programma, ma non ho risolto.
Ho deciso allora di provare con il ripristino configurazione sistema a qualche gg fa ed è andata bene.
Sono felice perchè posso dinuovo stare in contatto con te, ma il Rootkit è sempre nel mio pc e io sono veramente una schiappa e non so neanche come fare a postarti i log.

sul pc sano scarica tutti i programmi e tool che servono e te li porti con una chiavetta sul pc infetto
msn e programmi di posta funzionano?

per i log ho le modalità in firma

ECCOMI!!!!
Ho disinstallato il programma, ma non ho risolto.
Ho deciso allora di provare con il ripristino configurazione sistema a qualche gg fa ed è andata bene.
Sono felice perchè posso dinuovo stare in contatto con te, ma il Rootkit è sempre nel mio pc e io sono veramente una schiappa e non so neanche come fare a postarti i log.

AL FINE DI MANTENERE IL THREAD ORDINATO E FRUIBILE HOSTATE I LOG SOLO ED ESCLUSIVAMENTE IN FORMATO .TXT SU http://fileqube.com/ in alternativa su http://wikisend.com/ PUBBLICANDO PER OGNI LOG IL LINK CHE VERRA' RILASCIATO PER IL DOWNLOAD

cosa c'è di poco chiaro

Scusami tanto, mi vergogno ad ammetterlo, ma non so dove prendere i log e neache cosa fare una volta aperto il file da te indicato. Stamattina ho chiesto se qualcuno poteva guidarmi come un bambino perchè sono veramente poco esperta di informatica. uso il pc per scrivere, e per fare alcune ricerche che mi servono per lavoro, ma non so smanettarci.
Hai voglia di aiutarmi?:help: :help:

Scusami tanto, mi vergogno ad ammetterlo, ma non so dove prendere i log e neache cosa fare una volta aperto il file da te indicato. Stamattina ho chiesto se qualcuno poteva guidarmi come un bambino perchè sono veramente poco esperta di informatica. uso il pc per scrivere, e per fare alcune ricerche che mi servono per lavoro, ma non so smanettarci.
Hai voglia di aiutarmi?:help: :help:

Si certo che ho volgia di aiutarti ma ho bisogno della tua massima collaborazione, io sono qui e tu sei li :) quindi lasciamo stare il log di Avira e procediamo come indicato in Guida

:: FASE PRELIMINARE ::


Disattivare il Ripristino Configurazione Sistema:

* tasto destro del mouse sull'icona Risorse del Computer
* seleziona la voce Proprietà
* apri la scheda Ripristino configurazione di Sistema
* spunta la voce Disattiva ripristino configurazione di sistema
* conferma, la modifica, con Applica e, poi Ok

Riattivate il Ripristino Configurazione Sistema solo a disinfezione terminata

qundo hai fatto me lo dici ;)

grazie wjmat, ho capito come si fa ....ma non so dove prendere i log da allegare, ovvero ho capito il discorso di sfoglia, ecc. ,.... ma dove sono i log di avira?

Sono onorata di avere ben due nuovi amici che mi stanno aiutando.
Ok, tralasciamo per ora i post e andiamo avanti con fase preliminare e fase uno.
Sono pronta.
Vado!

Ho fatto!

Ho fatto!

:: PRIMA FASE ::


Download Software necessari per la rilevazione:

Prevx CSI -> Download
Compatibile: Windows XP - Vista
Caratteristiche: necessaria la connesione ad Internet
Dopo aver terminato la scansione per ottenere il log cliccare su Options - Save a Log File

il log salvalo per comodità sul Desktop dopodichè lo carichi su http://fileqube.com/ terminato il caricamento ti verrà rilasciato un link, nel prossimo post mi indichi il link rilasciato così io posso controllare il log.

fatto e salvato log su desktop, ora come faccio a caricarlo su quel programma?

ho capito, fatto l'uploaded ma ora come te lo mando?

ho capito, fatto l'uploaded ma ora come te lo mando?

terminato il caricamento ti verrà rilasciato un link, nel prossimo post mi indichi il link rilasciato così io posso controllare il log.

ho capito, fatto l'uploaded ma ora come te lo mando?

è questo?


http://www.fileqube.com/remove/wWfrklL111274?lMvffK111274

ora che ho capito il funzionamento per postare i log ti mando anche quello di avira che mi avevi chiesto stamane.

http://www.fileqube.com/remove/OnQqCd111279?ZUwkbLS111279

http://www.fileqube.com/shared/OnQqCd111279

forse è questo!!! scusa la mia imbranataggine!!

ho capito, fatto l'uploaded ma ora come te lo mando?

è questo?


http://www.fileqube.com/remove/wWfrklL111274?lMvffK111274

ora che ho capito il funzionamento per postare i log ti mando anche quello di avira che mi avevi chiesto stamane.

http://www.fileqube.com/remove/OnQqCd111279?ZUwkbLS111279

mi stai mandando i links per la rimozione del file

http://www.fileqube.com/shared/yMcnokfDo111296

e anche questo!

http://www.fileqube.com/shared/yMcnokfDo111296

e anche questo!

Adesso vanno bene ;) procedi pure

Gmer -> Download (http://www2.gmer.net/beta/gmer.exe)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione - scompattare il file compresso per praticità sul DeskTop e lanciare Gmer.exe avendo cura di spuntare sul pannello di destra tutte le caselle
Dopo aver terminato la scansione cliccare su Copy, aprite il Blocco Note ed incollare il log

fatto la scansione, pigiato copy non so come aprire il blocco note in quanto una scritta in inglese di pigiare ctrl + un tasto, ma non funziona. cosa sbaglio?

fatto la scansione, pigiato copy non so come aprire il blocco note in quanto una scritta in inglese di pigiare ctrl + un tasto, ma non funziona. cosa sbaglio?

Il Blocco Note di Windows quindi Start - Tutti i programmi - Accessori - Blocco Note ed incolli col tasto dx del mouse oppure Modifica - Incolla

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-09-23 19:24:08
Windows 5.1.2600 Service Pack 2


---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 00: MBR rootkit code detected <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x25429800 size 0x1ad
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs ikhfile.sys (PCTools Research Pty Ltd.)

---- EOF - GMER 1.0.14 ----



ho fatto una megacazzata?

C'è qualcuno????

il log lo vogliamo tutto, leggi nelle info
Gmer http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)

Rieccomi qui! C'è sempre qualche anima generosa? Stavolta spero di aver salvato bene il log di gmer.


http://www.fileqube.com/shared/XFIlaEgE111942

prevx mi sembrava pulito
gmer non è come dovrebbe essere in caso di infezione...

Fai una scansione con Norman Sinowal Cleaner che trovi qui (http://download.norman.no/public/Norman_Sinowal_Cleaner.exe)
Lancialo -> Accetta le condizioni
Sotto scan area seleziona C:\*.* e clicca su Remove, idem per altre eventuali lettere, relative ad altre partizioni (ci interessa solo la scansione della MBR)
Clicca su Start scan e attendi la scansione
In caso trovi l'infezione riavvia il pc se richiesto

Al termine allega il log NFix_xxxxxx.txt che trovi sul desktop secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

Ho lanciato la scansione con norman sinowal. quello che ho notato che la parte iniziale del log di scansione di gmer di oggi è diversa da quella di ieri che potrai leggere qualche messaggio più su di questo. ieri, appena partita la scansione, mi segnalava il rootkit in rosso, mentre oggi no. ha un significato?

ho cambiato le info del programma, mi sono accorto dopo che è stato aggiornato
se togli le lettere dalla scansioni eviti una ricerca inutile

ora cerco i log vecchi

Vedi, la scansione partiva subito evidenziando questo stato:



GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-09-23 19:24:08
Windows 5.1.2600 Service Pack 2



---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 00: MBR rootkit code detected <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x25429800 size 0x1ad
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs ikhfile.sys (PCTools Research Pty Ltd.)

---- EOF - GMER 1.0.14 ----



mentre oggi non lo ha segnalato all'inizio.

gmer è noto perchè anche a pc ripulito segnala ancora l'infezione
carica quello di norman secondo le modalità ;)

http://www.fileqube.com/shared/VVZeuD112030

nel log dovresti vedere una cosa simile se sei pulita
No SinowalMBR hooks found

Number of sectors found: 1
Number of sectors scanned: 1
Number of sectors not scanned: 0
Number of infections found: 0
Number of infections removed: 0
Total scanning time: 0s 281ms

Tu hai visionato i log che ti ho inviato e cosa ne pensi?
Io sono un po' confusa perchè da una settimana le scansioni con antivir mi evidenziavano subitissimo un rootkit nel master boot HD0, ieri gmer partiva e subito segnalava rootkit, oggi mi sembra che il virus si sia suicidato.:boh:

passa al punto 1 della seconda fase

Aspetta, punto uno della seconda fase... mi sembra tutto piuttosto difficile.
ho scaricato il progr sul desktop. come lo metto in C.\ ?
scusami ma le mie capacità sono riassunte nel mio nickname :)

http://www.fileqube.com/shared/UngTwDrLC112084
http://www.fileqube.com/shared/xtOgq112085

per scrupolo potresti dare un'occhiata ai log delle scansioni di ieri e di oggi di antivir. ci vedi differenze? che ne pensi?

http://www.fileqube.com/shared/UngTwDrLC112084
http://www.fileqube.com/shared/xtOgq112085

per scrupolo potresti dare un'occhiata ai log delle scansioni di ieri e di oggi di antivir. ci vedi differenze? che ne pensi?

mi sembrano entrambi quello di oggi, e puliti

lo metti in c: e riavvia in mod. provvisoria
le info mi sembrano più che esaustive... ;)

forse sono io che ho allegato due volte lo stesso log:muro:
stavolta ti mando i log giusti:

http://www.fileqube.com/shared/xtOgq112085
http://www.fileqube.com/shared/ueDMjEgw112088

in una dovrebbe esserci la segnalazione di virus, poi sparito nella scansione di oggi. tu che ci vedi?

Per quanto riguarda il mettere il programma in C:\ ho capito il concetto, ma praticamente intendi dire di prenderlo e copiarlo nella cartella HDD (C)?

graaaazie, sei gentilissimo a non mandarmi a quel paese.

si ieri segnava qualcosa...

non ti ho mandata a quel paese perchè sto prendendo di proposito dei sedativi...

mettere ovviamente significa spostare

ti chiedo ancora scusa, ma mi sembrava troppo semplice solo spostare (o mettere). Il fatto è che ho una paura dell'accidente di fare qualche m..
E' la prima volta che mi metto a smanettare sul pc. Io so appena navigare, mandare le mail e scrivere su una pagina in bianco. Fortunatamente ho trovato voi, non so come chiamarvi se non angeli custodi degli imbranati come me e ho deciso di lanciarmi perchè mi sono sentita un po' meno insicura.
:) :) :)
Ora che ho messo mbr in c:\ riavvio in modalità provvisoria e poi? a quel punto, scusa la domanda idiota, ma come farò a comunicare con te?
DA LEGGERE PRIMA DI INCAZZARTI: non sono mai andata in modalità provvisoria e non so in quale mondo verrò proiettata!

Indice di infezione

Disk \Device\Harddisk0\DR0 sector 00: MBR rootkit code detected <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x25429800 size 0x1ad
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

con i log di ormai non si capisce più nulla, è possibile avere un log completo di gmer

ciao chill out. ho allegato il log di gmer al messaggio 698. leggi anche il 700.
se hai dei dubbi piuttosto rilancio la scansione. grazie per esserci anche tu :)

chill questo dovrebbe essere quello completo
http://www.hwupgrade.it/forum/showpost.php?p=24261693&postcount=698

per la mod. provvisoria io chiederei l'aiuto del pubblico ;)

ciao chill out. ho allegato il log di gmer al messaggio 698. leggi anche il 700.
se hai dei dubbi piuttosto rilancio la scansione. grazie per esserci anche tu :)

Nuovo log grazie.

http://www.fileqube.com/shared/HPdfs112125

Ecco il nuovo log.

http://www.fileqube.com/shared/HPdfs112125

Ecco il nuovo log.

Ok il log è ovviamente cambiato sicura di non aver già eseguito la :: Seconda fase ::

assolutamente sicura. ho solo scaricato mbr e poi lo messo in c:\ e a quel punto attendevo istruzioni. cosa può essere successo? perchè poi la scansione di antivir di oggi non mi segnala infezioni mentre quella di ieri sì? puoi vedere i due diversi log di avira nel mio messaggio delle ore 15,16 (n.711)

assolutamente sicura. ho solo scaricato mbr e poi lo messo in c:\ e a quel punto attendevo istruzioni. cosa può essere successo? perchè poi la scansione di antivir di oggi non mi segnala infezioni mentre quella di ieri sì? puoi vedere i due diversi log di avira nel mio messaggio delle ore 15,16 (n.711)

Come detto in precedenza i log danno esiti incongruenti, procedi per gradi:

Stealth MBR rootkit detector -> Download (http://www2.gmer.net/mbr/mbr.exe)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
1 - Scaricate MBR:EXE sul DeskTop e mettetelo direttamente nella Directory C:\
Riavviate il Pc in modalità provvisoria F8
Da Start - Esegui - digitate C:\mbr.exe e cliccate su OK
Salvate il log prodotto come MBR1 ed allegatelo per il controllo*

per avviare in modalità provvisorai devi premere ripetutamente F8 subito all'avvio del PC prima che compaia la schermata di caricamento di WIN

Allora,
ho spento e riavviato e premuto F8. Come temevo sono finita in un mondo a me sconosciuto fatto di scritte strane dove non ho trovato nessuno start da pigiare. essendomi spaventata ho optato per exit e sono tornata nel mondo a me noto. riavviando il pc mi è però uscita una scritta che diceva: Window ha terminato l'installazione di nuove periferiche. Il software di supporto della periferica richiede il riavvio del computer. Riavviare il computer per rendere effettive le nuove impostazioni. Riavviare ora? SI NO.
Io ho scelto no perchè non so di cosa si tratta, dato che non ho installato nessuna periferica.

Detto questo, lo so che ho già fatto andare fuori di testa Wjmat, ma ti prego di non lasciarmi sola e di spiegarmi cosa trovo e cosa devo fare in modalità provvisoria anche perchè da là non posso comunicare e una volta che ci vado sono sola (mi sembra di parlare di un girone dell'inferno!)

Allora,
ho spento e riavviato e premuto F8. Come temevo sono finita in un mondo a me sconosciuto fatto di scritte strane dove non ho trovato nessuno start da pigiare. essendomi spaventata ho optato per exit e sono tornata nel mondo a me noto. riavviando il pc mi è però uscita una scritta che diceva: Window ha terminato l'installazione di nuove periferiche. Il software di supporto della periferica richiede il riavvio del computer. Riavviare il computer per rendere effettive le nuove impostazioni. Riavviare ora? SI NO.
Io ho scelto no perchè non so di cosa si tratta, dato che non ho installato nessuna periferica.

Detto questo, lo so che ho già fatto andare fuori di testa Wjmat, ma ti prego di non lasciarmi sola e di spiegarmi cosa trovo e cosa devo fare in modalità provvisoria anche perchè da là non posso comunicare e una volta che ci vado sono sola (mi sembra di parlare di un girone dell'inferno!)

Ok allora optiamo per il male minore allega un log di Avira scansione completa

http://www.fileqube.com/shared/GAataA112140

questa è la scansione di avira fatta oggi intorno alle 14.54.

sarebbe meglio configurarlo prima
http://www.hwupgrade.it/forum/showthread.php?t=1514684

sarebbe meglio configurarlo prima
http://www.hwupgrade.it/forum/showthread.php?t=1514684

questo di sicuro

http://www.fileqube.com/shared/GAataA112140

questa è la scansione di avira fatta oggi intorno alle 14.54.

Starting master boot sector scan:
Master boot sector HD0
[DETECTION] Contains code of the BOO/Sinowal.A boot sector virus



è sparita la rilevazione, per quel che riguarda il MBR Rootkit siamo a posto

sparita rilevazione vuol dire che il rootkit non c'è più o che è meglio nascosto e avira non lo vede? e se non c'è più... chi lo ha eliminato?

sparita rilevazione vuol dire che il rootkit non c'è più o che è meglio nascosto e avira non lo vede? e se non c'è più... chi lo ha eliminato?

Sparito dal log di Avira, sparito dal log di Gmer misteri dell'informatica

Benissimo, però mi rimane il dubbio che si sia nascosto meglio anche perchè io non ho fatto nulla per eliminarlo quindi mi chiedo cosa gli sia successo.
Io adesso per essere tranquilla cosa dovrei fare?
Quel messaggio relativo all'installazione di nuove periferiche mi deve preoccupare?
Non sarà il virus che agisce in quel modo? Secondo te cos'è successo?

Benissimo, però mi rimane il dubbio che si sia nascosto meglio anche perchè io non ho fatto nulla per eliminarlo quindi mi chiedo cosa gli sia successo.
Io adesso per essere tranquilla cosa dovrei fare?

Scansione con DrWeb CureIt come indicato in Guida

Quel messaggio relativo all'installazione di nuove periferiche mi deve preoccupare?

No

Non sarà il virus che agisce in quel modo? Secondo te cos'è successo?


No, avevi percaso inserito un supporto removibile USB

Ecco il log di scansione con drweb:

http://www.fileqube.com/shared/sKlSPdz112276


Grazie a Chill out e a Wjmat per la disponibilità.

Ecco il log di scansione con drweb:

http://www.fileqube.com/shared/sKlSPdz112276


Grazie a Chill out e a Wjmat per la disponibilità.
prova a caricarlo come da punto 4 delle modalità che ho in firma, se non hai già provato

Ciao,
rientro ora dal lavoro.
Ho provato con le modalità del punto 4 ma non ci sono riuscita.

Forse ho sbagliato qualcosa:
ho scaricato il programma zippato
ho estratto il file
l'ho aperto ed è escita una scritta di nokia
ho scelto il file del log ma non ho trovato il modo di lanciare l'upload e la conversione.

Come l'ho mandato ieri non va proprio bene?

l'ho fatto io...
www.hwupgrade.helloweb.eu/ParserLog/log/output3578773416.txt

sembra ok

il pc come sta?

Ciao,:)
quindi sei riuscito a controllare il file che avevo allegato al messaggio 732 e ti sembra tutto oK?
Se è così sono felicissima!
Adesso cosa dovrei fare per stare tranquilla?
Io giro con Antivir free e Spy Doctor a pagamento. Ti sembrano sufficienti?
Altra cosa: cosa devo fare per non ricevere più decine di mail strane del tipo: Banco Posta, compra sacchetti ora, prenotazione camera, ecc. ? (che forse contengono dei collegamenti a files .exe). Lo so che basta non aprirle, ma a volte per disattenzione può succedere di farlo.

se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
leggi bene iltrattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

per le mail ci va un filtro antispam

A me sembra che il pc funzioni bene, se lancio le mie solite scansioni non c'è più nulla, ma devi tenere conto che non sono un'esperta, tutt'altro quindi non sono in grado più di tanto di cogliere i segni di anomalie a meno che siano veramente macroscopiche (ad es prima di iniziare a comunicare con voi, mi pare venerdì scorso il pc si era spento e riavviato e questo mi aveva messo in allarme).

Comunque oggi devo andare al lavoro, ma appena possibile farò ciò che mi hai suggerito per la pulizia del pc post-infezione.

Per quanto riguarda l'antispam ce ne sono dei gratuiti che funzionano o devo comprarlo?

Infine: avevo disattivato il ripristino conf. sistema. devo riattivarlo?

Grazie grazie grazie, sei stato gentilissimo.
Un grazie anche a Chill out che mi ha aiutata insieme a te.

per l'antispam ne trovi alcuni free qui
http://www.hwupgrade.it/forum/showthread.php?t=668898

il ripristino puoi lasciarlo disattivato

Salve ho appeno concluso la fase 2, ma nonostante ciò avira rileva ancora sto benedetto VIRUS....
Che faccio, a dimenticavo vedete i log ai rispettivi link:

MBR1 (http://www.ferachiusa.com/2fase/mbr1.log) - MBR2 (http://www.ferachiusa.com/2fase/mbr2.log) - MBR3 (http://www.ferachiusa.com/2fase/mbr3.log) - FIXMEBROOT (http://www.ferachiusa.com/2fase/FixMebroot.log)

non li fa aprire direttamente in rete, quindi basta salvare la destinazione e successivamente visualizzarli (giusto per la cronaca, scusate)


Sono disperato......
c'è o non c'è questa infezione???

Salve ho appeno concluso la fase 2, ma nonostante ciò avira rileva ancora sto benedetto VIRUS....
Che faccio, a dimenticavo vedete i log ai rispettivi link:

MBR1 (http://www.ferachiusa.com/2fase/mbr1.log) - MBR2 (http://www.ferachiusa.com/2fase/mbr2.log) - MBR3 (http://www.ferachiusa.com/2fase/mbr3.log) - FIXMEBROOT (http://www.ferachiusa.com/2fase/FixMebroot.log)

non li fa aprire direttamente in rete, quindi basta salvare la destinazione e successivamente visualizzarli (giusto per la cronaca, scusate)


Sono disperato......
c'è o non c'è questa infezione???
Ciao
non riesco a visualizzarli...
leggi le modalità che ho in firma e ricaricali correttamente

Bastava fare salva oggetto o destinazione, comunque rieccoti i link, e grazie mille della disponibilità...
Avira non molla solo lui vede sto vitus.............

FixMebroot.html (http://www.ferachiusa.com/2fase/FixMebroot.html)

mbr1.html (http://www.ferachiusa.com/2fase/mbr1.html)

mbr2.html (http://www.ferachiusa.com/2fase/mbr2.html)

mbr3.html (http://www.ferachiusa.com/2fase/mbr3.html)

Grazie ancora

la fase 1 prevede:
log di gmer
log di prevx

Già fatto e mi hanno segnalato di procedere con la guida completa di riferimento, ecco perchè sono alla fase 2.....

vedi il post iniziale di oggi

http://www.hwupgrade.it/forum/showthread.php?t=1829648

file della prima fase

apri il link per i log della prima fase (http://www.ferachiusa.com/boot_sector/boot.html)


... Datemi una mano per favore nonostante sia alla fase due, Avira, l'ombrello dell'infelicità continua a segnalare il BOO/Sinowal.A mentre tutti i software da voi indicati ritengono il mio settore HD1 pulito, allora?? grazie e scusate se insisto..... se proprio non ne vengo a capo, compro un nuovo HDD, mi dispiace solo di aver perso una giornata, (chiaramente prendete questa mia osservazione con le pinze) nel leggere post e sotto-post del forum, guide ecc... per non risolvere poi un problema di questo genere, vabe pazienza, ma soprattutto un grazie a tutta la comunità, anche perchè non ero al corrente di tutte queste informazioni, almeno per me o meglio nel mio caso TEORICHE.

Distinti saluti

gmer su c: non è completo, mi sembra solo lo scan veloce

Fai anche una scansione con Norman Sinowal Cleaner che trovi qui (http://download.norman.no/public/Norman_Sinowal_Cleaner.exe)
Lancialo -> Accetta le condizioni
Sotto scan area seleziona C:\*.* e clicca su Remove, idem per altre eventuali lettere, relative ad altre partizioni (ci interessa solo la scansione della MBR)
Clicca su Start scan e attendi la scansione
In caso trovi l'infezione riavvia il pc se richiesto

Al termine allega il log NFix_xxxxxx.txt che trovi sul desktop secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

Ora sto verificando ma comunque ho spuntato solo c oltre alle 11 caselle soprastanti, e ADS.
non vedo altre impostazioni, comunque ora gli sto facendo fare un'altra scansione

Di seguito:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-09-28 19:18:15
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT F7ED4C34 ZwCreateThread
SSDT F7ED4C20 ZwOpenProcess
SSDT F7ED4C25 ZwOpenThread
SSDT F7ED4C2F ZwTerminateProcess
SSDT F7ED4C2A ZwWriteVirtualMemory

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----

Se ci sono altre impostazioni, delucidami pure
Grazie

dopo lo scan iniziale devi cliccare su scan

si, certo l'ho fatto ma il file è quello. ORA riprovo ancora! abbiate pazienza (Gmer)
NIENTE, il file (stringhe risultanti) è quello) non so perchè....

Ripeto il PC è stato appena formattato, non vi è nulla....

ok, procedo, il testo è poco quindi lo incollo.. e poi lo cancello subito

NFix_2008-09-28_19-23-30.log
________________________________

...ho accorciato il codice, tanto si vede l'eliminazione del siniwal..........

Number of sectors found: 2
Number of sectors scanned: 2
Number of sectors not scanned: 0
Number of infections found: 0
Number of infections removed: 1
Total scanning time: 1s 360ms


Scanning running processes and process memory...

Number of processes/threads found: 1207
Number of processes/threads scanned: 1207
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 16s


Scanning file system...


Running post-scan cleanup routine:

Number of files found: 0
Number of archives unpacked: 0
Number of files scanned: 0
Number of files not scanned: 0
Number of files skipped due to exclude list: 0
Number of infected files found: 0
Number of infected files repaired/deleted: 0
Number of infections removed: 0
Total scanning time: 0s 16ms

FORSE CI SIAMO, Avira non mi segnala più niente, ora la domanda sorge spontanea:

Sto tranquillo? o devo fare altro??

Veramente grazie è stato Nfix ad eliminare il VIRUS non tutti gli altri che chiaramente servivano solo per stanarlo anche se non mi ha chiesto dopo la scansione di riavviare il PC...

FORSE CI SIAMO, Avira non mi segnala più niente, ora la domanda sorge spontanea:

Sto tranquillo? o devo fare altro??

Veramente grazie è stato Nfix ad eliminare il VIRUS non tutti gli altri che chiaramente servivano solo per stanarlo anche se non mi ha chiesto dopo la scansione di riavviare il PC...

Non è così come dici tu Norman ha eliminato il trojan ma la fase due ha ripristinato il MBR :)

Ok, Grazie

Ma ora posso stare tranquillo, posso riattivare il ripristino automatico, o prima devo fare altre operazioni?

Ancora grazie :read: