Ok, Grazie

Ma ora posso stare tranquillo, posso riattivare il ripristino automatico, o prima devo fare altre operazioni?

Ancora grazie :read:

Fai girare DrWeb per ulteriore scrupolo, ti chiedeo inoltre di llegare i log su i server remoti indicati in Guida, thx.

Mi sa che mi sono beccato un bell'MBR Rootkit...

il mio ntbtlog.txt (anche se non richiesto) è il seguente:
http://www.fileqube.com/shared/iDqdPB116521

il mio log di gmer è il seguente:
http://www.fileqube.com/shared/DUeXRb116527


Poiché il portatile non parte più nemmeno in modalità provvisoria non ho potuto disabilitare il Ripristino Configurazione di Sistema e non ho nemmeno potuto eseguire PrevX CSI poiché è eseguibile solo in Win, mentre Gmer l'ho eseguito da DOS e il risultato è il suddetto.
Per altre informazioni sullo stato del mio pc vi posto altre due discussioni che ho avviato altrove
http://www.hwupgrade.it/forum/showthread.php?t=1809023
http://www.hwupgrade.it/forum/showthread.php?t=1806292

Vi prego, aiutatemi...grazie in anticipo

Non vedo infezione da MBR secondò me si è incasinato qualcosa, fai questo tentativo

Da DOS digita il seguente comando e premi INVIO:
sfc /scannow

Adesso provo....ma quindi quei file dove Gmer dice "Rootkit!" non sono infetti?

Parlo di USBSTOR.sys, Volsnap.sys e disk.sys

...un altro errore me lo dava sul file ntfs.sys

X: è un altra partizione/disco con so installato?

hai cliccato su scan o ti sei limitato alla scansione veloce di gmer?

Sì è vero, X: è l'indirizzo della partizione dove è installata la console di ripristino sui portatili, cosicché i produttori non danno il Recovery Disk di Vista, ma parte quel drive X: con gli strumenti di ripristino....e da lì ho avviato Gmer...quindi forse quella non è la scansione di C:, bensì solo di X:....mmmm....
Ho cliccato su Scan ma ricordo che non mi faceva scegliere se X: C: oppure D:....mi sembra la facesse solo su X:

e come potrei fare per eseguire un controllo di Gmer su un HD che non parte?

Adesso ho collegato solo l'HD a un pc che funziona però come HD secondario....c'è qualche controllo che posso fare?

Quando rimetto l'HD nel portatile faccio sfc /scannow

Non vedo infezione da MBR secondò me si è incasinato qualcosa, fai questo tentativo

Da DOS digita il seguente comando e premi INVIO:
sfc /scannow

Quando lo faccio mi dice: "Windows Resource Protection could not perform the requested operation"

Tutto questo avviando il prompt dei comandi da X: e considerando che ho Win Vista....non mi funziona nemmeno PrevxCSI oppure Gmer su un HD diverso da X:

Come potrei fare???

Quando lo faccio mi dice: "Windows Resource Protection could not perform the requested operation"

Tutto questo avviando il prompt dei comandi da X: e considerando che ho Win Vista....non mi funziona nemmeno PrevxCSI oppure Gmer su un HD diverso da X:

Come potrei fare???

Perchè da X

Perché è il sistema che parte automaticamente da X: quando non riesce a partire da C: e c'è qualche problema...io non posso scegliere

Ho provato anche a utilizzare il Vista Recovery Disk e quindi a partire da CD, ma il risultato è lo stesso messaggio di errore, credo perché mi si visualizzano esattamente gli stessi strumenti che ho sulla preinstallata partizione di X:, però cambia che adesso sto su F:

:confused: :confused: :confused:

Resta il fatto che il prompt parte su X:, ma ovviamente io digito

C:

e poi

C:\ sfc /scannow

...e niente!

Perché è il sistema che parte automaticamente da X: quando non riesce a partire da C: e c'è qualche problema...io non posso scegliere

Ho provato anche a utilizzare il Vista Recovery Disk e quindi a partire da CD, ma il risultato è lo stesso messaggio di errore, credo perché mi si visualizzano esattamente gli stessi strumenti che ho sulla preinstallata partizione di X:, però cambia che adesso sto su F:

:confused: :confused: :confused:

Prova con il rescue cd di avira
Tutte le info le trovi qui
http://www.hwupgrade.it/forum/showthread.php?t=1689812

Lo sto prendendo il Rescue CD di Avira...tra poco provo.

Cmq quella storia dell'X: corrisponde al cosiddetto "Ripristino all'Avvio" presente già sul pc, diverso dal caso in cui bisogna farlo partire dal cd. Però è solo una questione di drive dove parte, poiché per il resto gli strumenti sono identici e precisi. Inoltre è come se il prompt dei comandi attivabile da questa modalità fosse meno efficace del prompt 'normale' che si aveva facendo partire il Boot CD di Win XP....ad esempio comandi come fixmbr, sfc /scannow o la semplice apertura di file.exe non sono eseguiti, come se si trattasse di un DOS piu' superficiale....non saprei, c'è qualcosa che devo sbloccare o che non so?

Sono riuscito a fare soltanto il chkdsk /f /r, senza errori segnalati e senza errori risolti :(

ciao ragazzi ho letto tutta la guida ma non sono riuscito a risolvere,allego i log previsti dalla fase uno così vediamo come proseguire

log fatto con Prevx CSI
Prevx CSI Log.log (http://wikisend.com/download/931566/Prevx CSI Log.log)

log fatto con gmer

gmer.log (http://wikisend.com/download/783596/gmer.log)

vi prego aiutatemi.:)

ho proseguito nella guida e credo di avere eliminato il problema vi allego i log
mbr1
mbr1.log (http://wikisend.com/download/500204/mbr1.log)

mbr2
mbr2.log (http://wikisend.com/download/551660/mbr2.log)

Prevx CSI Log
Prevx CSI Logl.log (http://wikisend.com/download/151016/Prevx CSI Logl.log)

NFix
NFix_2008-09-30_00-17-27.log (http://wikisend.com/download/572134/NFix_2008-09-30_00-17-27.log)


unica cosa all'avvio mi segnala sempre un problema con queste due dll

C:\WINDOWS\system32\fnnfvgvt.dll
C:\WINDOWS\system32\vvsmsylc.dll

http://www.fileqube.com/shared/qpyfNlCUd117084

ciao ragazzi ho letto tutta la guida ma non sono riuscito a risolvere,allego i log previsti dalla fase uno così vediamo come proseguire

log fatto con Prevx CSI
Prevx CSI Log.log (http://wikisend.com/download/931566/Prevx CSI Log.log)

log fatto con gmer

gmer.log (http://wikisend.com/download/783596/gmer.log)

vi prego aiutatemi.:)

ho proseguito nella guida e credo di avere eliminato il problema vi allego i log
mbr1
mbr1.log (http://wikisend.com/download/500204/mbr1.log)

mbr2
mbr2.log (http://wikisend.com/download/551660/mbr2.log)

Prevx CSI Log
Prevx CSI Logl.log (http://wikisend.com/download/151016/Prevx CSI Logl.log)

NFix
NFix_2008-09-30_00-17-27.log (http://wikisend.com/download/572134/NFix_2008-09-30_00-17-27.log)


unica cosa all'avvio mi segnala sempre un problema con queste due dll

C:\WINDOWS\system32\fnnfvgvt.dll
C:\WINDOWS\system32\vvsmsylc.dll

http://www.fileqube.com/shared/qpyfNlCUd117084
ciao
manca la scansione con cureit
poi scansione completa con Malwarebytes' Anti-Malware http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9)
carica anche il log classico di HiJackThis http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)

Ottima esecuzione della Guida complimenti, segui i consigli di wj così sistemiamo anche quelle due .dll, ciao ;)

Ho eseguito la scansione con Avira, quest'ultimo ha rinominato alcuni file che sembravano innocui, per lo più crack di programmi, ma il problema è rimasto irrisolto: appena riavvio mi si ripresenta la schermata di "Ripristino all'avvio".

Non so piu' che pesci prendere....ma sapete che cosa carica il pc quando finisce di muoversi il termometrino di Windows? A quanto pare l'MBR è ok, altrimenti non partirebbe proprio il termometrino...dico bene?

edit: "termometrino" si fa per dire :D

Ho eseguito la scansione con Avira, quest'ultimo ha rinominato alcuni file che sembravano innocui, per lo più crack di programmi, ma il problema è rimasto irrisolto: appena riavvio mi si ripresenta la schermata di "Ripristino all'avvio".

Non so piu' che pesci prendere....ma sapete che cosa carica il pc quando finisce di muoversi il termometrino di Windows? A quanto pare l'MBR è ok, altrimenti non partirebbe proprio il termometrino...dico bene?

edit: "termometrino" si fa per dire :D
torniamo nella tua discussione e facci il punto....

ciao
manca la scansione con cureit
poi scansione completa con Malwarebytes' Anti-Malware http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9)
carica anche il log classico di HiJackThis http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)

ok,li sto facendo adesso.appena finito li posto.
grazie mille per l'aiuto.:)

torniamo nella tua discussione e facci il punto....

Allora avvio il portatile e mi esce un Fatal System Error
"STOP: c000021a {Fatal System Error}
The initial session process or system process terminated unexpectedly with a status of 0x00000000 (0xc0000001 0x001004c0).
The system has been shut down."
dopo il quale si avvia la modalità di Ripristino, denominata in Vista "Ripristino all'avvio". Quest'ultima dovrebbe risolvere gli errori presenti, ma non trova errori e dice che non puo' risolvere niente.
Il computer continua a non partire e ho salvato i driver che carica e quelli che no (e sono questi: http://www.fileqube.com/shared/iDqdPB116521).
Inoltre ho il log di Gmer (http://www.fileqube.com/shared/DUeXRb116527), che pero' potrebbe essere errato poiché Gmer parte su X: (il drive preimpostato per la modalità di ripristino, che è come un drive esterno e lo scan me lo fa eseguire solo su X:, non su C:, dove ho i problemi)
Poiché io non avevo valutato ciò, ho ben pensato (come un cogl....) di sostituire tutti i file nominati nel log di gmer e cioè:
USBSTOR.sys
volmgr.sys
ntfs.sys
cdfs.sys
fastfat.sys
fltmgr.sys
disk.sys
crcdisk.sys
e forse halmacpi.dll
prelevandoli da un portatile "sano", ma di poco diverso dal mio
(Toshiba A100-881 il mio, Toshiba A100-646 l'altro) per grandezza HD, procio uguale come tipo (Duo 2) ma diverso come clock---> forse questa cosa ha finito con l'incasinare tutto oppure i file sono uguali??? Nel senso che se ho un file halmacpi.dll, che gestisce il multicore, e installo hal.dll, che gestisce il procio piu' semplice del mondo senza nemmeno ACPI, si impalla tutto, ma se metto al posto dell'halmacpi.dll un altro halmacpi.dll dello stesso brand non dovrebbe impallarsi molto, giusto?!?!?
Anche perché l'errore non è cambiato da quando ho fatto queste modifiche ad ora: quello che succede è sempre lo stesso e cioè Fatal System Error e Ripristino all'Avvio.
Inoltre mi pare di ricordare che una delle prime volte mi usciva nella schermata blu invece che Fatal System Error "PAGE_NON_VAULT_AREA" o una cosa del genere....e forse una volta mi ha segnalato questo file (ma non ne sono sicuro, perché mi è successo ad agosto e non ricordo molto, pero' il nome di questo file lo tengo segnato su un fogliettino): LZX32.sys

Vi prego aiutatemi :ave:

Qui sei OT, meglio qui

http://www.hwupgrade.it/forum/showthread.php?t=1809023

Grazie

Perdono pietà! :ave:
avevo capito di farvi il punto qui, invece la discussione procede "da me"...scusate ancora e grazie per l'interessamento :mano:
(continuo nell'altro thread, non mi abbandonate)

ecco i log richiesti.
precendentemente avevo eliminato anche un trojan.


mbam
mbam-log-2008-09-30 (18-25-32).txt (http://wikisend.com/download/590172/mbam-log-2008-09-30 (18-25-32).txt)

hijackthis
hijackthis.log (http://wikisend.com/download/489420/hijackthis.log)

cureit (scusate ma non sono riuscito a fare l'operazione col programmino)
CureIt.zip (http://wikisend.com/download/228704/CureIt.zip)

ps ieri avevo anche rimosso il vundoo seguendo la guida.


che dite?

Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sotto indicate voci

O2 - BHO: (no name) - {20D369BD-5ED7-4FC1-AABE-5200F231B2DE} - C:\WINDOWS\system32\awtrsqNE.dll (file missing)
O4 - HKCU\..\Run: [RemoveIT Pro XT] C:\Programmi\InCode Solutions\RemoveIT Pro v4-Trial\removeit.exe

clicca su Fix chcked

riallega nuovo log

Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sotto indicate voci



clicca su Fix chcked

riallega nuovo log

fatto

hijackthis.log (http://wikisend.com/download/525168/hijackthis.log)

fatto

hijackthis.log (http://wikisend.com/download/525168/hijackthis.log)

Bene appena posso verifico questo servizio

O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe

e controllo il log di CureIt

ok,grazie mille.attendo notizie.:)

non so quanto possa essere importante ma all'avvio non ho più i messaggi di errore delle due dll:)

non so quanto possa essere importante ma all'avvio non ho più i messaggi di errore delle due dll:)

Perfetto, procedi così:

Da Start - Esegui - digita services.msc - OK

si aprirà una finestra relativa ai Servizi cerca il Servizio denominato Service: Application Driver Auto Removal Service (01) (appdrvrem01)

Selezionalo - tasto dx del mouse e clicca su Arresta - tasto dx del mouse clicca su Proprietà / Tipo Avvio / seleziona nel menù a tendina la voce Disabilitato - Applica e OK

Esegui HijackThis - Open the Misc Tool section - clicca su Delete an NT service - inserisci nel box appdrvrem01 clicca su OK. Ti chiederà di riavviare.

Allega un nuovo log di HJT

Perfetto, procedi così:

Da Start - Esegui - digita services.msc - OK

si aprirà una finestra relativa ai Servizi cerca il Servizio denominato Service: Application Driver Auto Removal Service (01) (appdrvrem01)

Selezionalo - tasto dx del mouse e clicca su Arresta - tasto dx del mouse clicca su Proprietà / Tipo Avvio / seleziona nel menù a tendina la voce Disabilitato - Applica e OK

Esegui HijackThis - Open the Misc Tool section - clicca su Delete an NT service - inserisci nel box appdrvrem01 clicca su OK. Ti chiederà di riavviare.

Allega un nuovo log di HJT



non trovo la voce tra i servizi:(

non trovo la voce tra i servizi:(

Sicuro

http://www.fileqube.com/shared/bgGSlH117908

no a meno che non sia sotto altro nome:(

http://www.fileqube.com/shared/bgGSlH117908

no a meno che non sia sotto altro nome:(

Mmmmm... esegui HJT fixa la suddetta voce

O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe

e allega nuvo log vediamo che succede

hijackthis2.log (http://wikisend.com/download/928370/hijackthis2.log)

eccolo

hijackthis2.log (http://wikisend.com/download/928370/hijackthis2.log)

eccolo

Da Start - Esegui - digita cmd

nella finestra DOS digita

sc stop appdrvrem01 -> batti invio
sc delete appdrvrem01 -> batti invio

sc stop 01 -> batti invio
sc delete 01 -> batti invio

per uscire digita exit

allega nuovo log di hjt

hijackthis.log (http://wikisend.com/download/200844/hijackthis.log)

eccolo,sembra sparito.

hijackthis.log (http://wikisend.com/download/200844/hijackthis.log)

eccolo,sembra sparito.

Perfetto siamo OK, ti suggerisco di leggere questo 3D http://www.hwupgrade.it/forum/showthread.php?t=1726383 ;)

Perfetto siamo OK, ti suggerisco di leggere questo 3D http://www.hwupgrade.it/forum/showthread.php?t=1726383 ;)

infinitamente grazie per l'aiuto,se sei a roma o ci passi cafè pagato per te:)
Ciao Giglio

infinitamente grazie per l'aiuto,se sei a roma o ci passi cafè pagato per te:)
Ciao Giglio

Grazie e che sono un pò distante :) buon proseguimento su HWU ;)

L'mbr.exe non mi fixa niente.

Lascio di seguito i log:

Log Prevx CSI
http://www.fileqube.com/shared/nSVGYmRI126030

Log Gmer
http://www.fileqube.com/shared/rslhEo126031

MBR1
http://www.fileqube.com/shared/JrjAa126032

MBR2
http://www.fileqube.com/shared/HfZWrXMF126033

MBR3
http://www.fileqube.com/shared/dMbglh126034

A parte il discorso MBR ci sono una serie di problemi da sistemare, facciamo una cosa per volta, come da Guida la :: Seconda fase :: prevede 3 passaggi, sicuro di aver eseguito tutto correttamente, hai messo mbr.exe in C: - riavviato in modalità provvisoria F8 e lanciato il comando C:\mbr.exe -f

Ho seguito la procedura, non proprio alla lettera. Invece di dare il comando c:\mbr.exe in Start-Esegui, ho avviato il promt dei comandi e li ho dato il comando di Fix per l'mbr.
Da Start-Esegui non avevo il tempo di capire cosa stesse facendo, la finestra compariva e svaniva all'istante..

Ho seguito la procedura, non proprio alla lettera. Invece di dare il comando c:\mbr.exe in Start-Esegui, ho avviato il promt dei comandi e li ho dato il comando di Fix per l'mbr.
Da Start-Esegui non avevo il tempo di capire cosa stesse facendo, la finestra compariva e svaniva all'istante..

allora segui alla lettera le istruzioni e allega i log

NB: il comando nel secondo passaggio è C:\mbr.exe -f

Questi sono i log seguendo le istruzioni alla lettera.

Prevx
http://www.fileqube.com/shared/DMhWel126051

Gmer
http://www.fileqube.com/shared/Fkgrti126052

MBR1
http://www.fileqube.com/shared/aIvBuX126054

MBR2
http://www.fileqube.com/shared/yClaeRB126055

MBR3
http://www.fileqube.com/shared/dQmeq126057

Questi sono i log seguendo le istruzioni alla lettera.

Prevx
http://www.fileqube.com/shared/DMhWel126051

Gmer
http://www.fileqube.com/shared/Fkgrti126052

MBR1
http://www.fileqube.com/shared/aIvBuX126054

MBR2
http://www.fileqube.com/shared/yClaeRB126055

MBR3
http://www.fileqube.com/shared/dQmeq126057
mi sembra che non sia vambiato nulla....
Fai una scansione con Norman Sinowal Cleaner che trovi qui (http://download.norman.no/public/Norman_Sinowal_Cleaner.exe)
Lancialo -> Accetta le condizioni
Sotto scan area seleziona C:\*.* e clicca su Remove, idem per altre eventuali lettere, relative ad altre partizioni (ci interessa solo la scansione della MBR)
Clicca su Start scan e attendi la scansione
In caso trovi l'infezione riavvia il pc se richiesto

Al termine allega il log NFix_xxxxxx.txt che trovi sul desktop secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

Adesso qualcosa è cambiato, Prevx non mi trova nulla ma mbr.exe mi da il solito log.

Norman_tool_log
http://www.fileqube.com/shared/LWDOiN126101

Prevx log
http://www.fileqube.com/shared/Slpcc126105

MBR3
http://www.fileqube.com/shared/bDVyA126106

procedi con la scansione completa di cureit

A quanto pare nemmeno Cureit ha trovato traccia del Rootkit.MBR.

allego il log di Cureit
http://www.fileqube.com/shared/jNmNYh126381

Cmq se faccio una scansione con Gmer, l'infezzione c'è ancora..

Gmer log
http://www.fileqube.com/shared/jhMNZpgdR126382

A quanto pare nemmeno Cureit ha trovato traccia del Rootkit.MBR.

allego il log di Cureit
http://www.fileqube.com/shared/jNmNYh126381

Cmq se faccio una scansione con Gmer, l'infezzione c'è ancora..

Gmer log
http://www.fileqube.com/shared/jhMNZpgdR126382
ciao premetto che non ho letto le pagine precedenti e non so se te lo hanno già consigliato ma hai provato a fixare l'mbr facendo partire il sistema con il cd di windows e scrivendo fixmbr?

Si ho già provato, ma non ho risolto..
Percaso se copiassi i settori con l'MBR originale e quello col Rootkit potrebbe essere utile? Personalmente non ho la minima idea di come fare a leggerli o manipolarli, magari qualcuno lo sa fare..

P.S: Grazie a tutti per l'aiuto che state offrendo

Si ho già provato, ma non ho risolto..
Percaso se copiassi i settori con l'MBR originale e quello col Rootkit potrebbe essere utile? Personalmente non ho la minima idea di come fare a leggerli o manipolarli, magari qualcuno lo sa fare..

P.S: Grazie a tutti per l'aiuto che state offrendo
il log di gmer sarà sempre macchiato ;)
norman dovrebbe aver risolto perchè non viene rilevato nè da prevx nè da cureit

Si ho già provato, ma non ho risolto..
Percaso se copiassi i settori con l'MBR originale e quello col Rootkit potrebbe essere utile? Personalmente non ho la minima idea di come fare a leggerli o manipolarli, magari qualcuno lo sa fare..

P.S: Grazie a tutti per l'aiuto che state offrendo

Si può fare l'overwrite del MBR da console di ripristino ma non mi sembra il caso, allega un log di Prevx CSI, thx.

Log di Prevx

http://www.fileqube.com/shared/LRwiz127118

Log di Prevx

http://www.fileqube.com/shared/LRwiz127118

mi allegheresti anche lo Screenshot di Prevx sempre su Fileqube

Scusami, ma non ho capito che screenshots ti interessa. Quale menu o finestra di Prevx?

Scusami, ma non ho capito che screenshots ti interessa. Quale menu o finestra di Prevx?

quella in cui mostra l'esito della scansione

Screenshot Prevx
http://www.fileqube.com/shared/kPssEQUT127130

Screenshot Prevx
http://www.fileqube.com/shared/kPssEQUT127130
se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
leggi bene il trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

Screenshot Prevx
http://www.fileqube.com/shared/kPssEQUT127130

Ok vedo che hai acquistato la licenza

Sembra a posto, nonostante Gmer e mbr.exe dicano il contrario!:rolleyes:

Grazie infinite per l'aiuto..!!

Sembra a posto, nonostante Gmer e mbr.exe dicano il contrario!:rolleyes:

Grazie infinite per l'aiuto..!!

Si sei Ok ;)

oggi su prevx csi mi è comparsa la presenza di un rootkit nell'mbr,
ho fatto la scansione con gmer ma nn ha trovato niente, ho scaricato mbr.exe e lanciato da command ma mi da log pulito, ho scaricato il fix della symantec ma anche lì log pulito, se rifaccio la scansione con prevx il rootkit è sempre lì....
domanda:c'è o non c'è?!?!?!?

oggi su prevx csi mi è comparsa la presenza di un rootkit nell'mbr,
ho fatto la scansione con gmer ma nn ha trovato niente, ho scaricato mbr.exe e lanciato da command ma mi da log pulito, ho scaricato il fix della symantec ma anche lì log pulito, se rifaccio la scansione con prevx il rootkit è sempre lì....
domanda:c'è o non c'è?!?!?!?

Allega i log come indicato in Guida (Gmer - Prevx)

oggi su prevx csi mi è comparsa la presenza di un rootkit nell'mbr,
ho fatto la scansione con gmer ma nn ha trovato niente, ho scaricato mbr.exe e lanciato da command ma mi da log pulito, ho scaricato il fix della symantec ma anche lì log pulito, se rifaccio la scansione con prevx il rootkit è sempre lì....
domanda:c'è o non c'è?!?!?!?
ciao
disinstalla prevx, riscarica reinstalla e riscansiona

dunque, ho disinstallato prevx, scaricato di nuovo rifatto la scansione e la situazione nn cambia, il rootkit è sempre là.
Adesso vi posto il log di gmer e la prima parte del log di prevx(che è di 150kb e nn me lo fa caricare...quindi vi posto solo alcune righe)

ecco prevx

ecco prevx

Fai una scansione con Norman Sinowal Cleaner che trovi qui (http://download.norman.no/public/Norman_Sinowal_Cleaner.exe)
Lancialo -> Accetta le condizioni
Sotto scan area seleziona C:\*.* e clicca su Remove, idem per altre eventuali lettere, relative ad altre partizioni (ci interessa solo la scansione della MBR)
Clicca su Start scan e attendi la scansione
In caso trovi l'infezione riavvia il pc se richiesto

Al termine allega il log NFix_xxxxxx.txt che trovi sul desktop secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

I log completi per cortesia :)

allora il log è all'indirizzo:
http://www.fileqube.com/shared/PfdJXX133750

tra le altre cose prevx ha trovato anche un backdoor che prima nn c'era

segui qui
http://www.hwupgrade.it/forum/showpost.php?p=24563473&postcount=815

poi fai anche una scansione completa con cureit come indicato nel 1° post

e carichi entrambi i log

già fatto ma situazione uguale a prima
posto il log, nel frattempo provo anche cureit

provato anche con cureit...nada, solo prevx vede il rootkit

provato anche con cureit...nada, solo prevx vede il rootkit

carica il log di cureit

http://www.fileqube.com/shared/OfPhhdUV133828

eccolo

ragazzi sto sclerando!!!:muro: :muro:
dunque inizialmente oggi mi era comparso il rootkit nell'mbr,dopo aver fatto un pò di scansioni mi è comparso su prevx un backdoor,precisamente in
c:\windows\system32\MSWINSCK.ocx
provo a disinstallare prevx,reinstallo,riscansiono più volte usando anche tutti i programmi che m avete consigliato finchè il backdoor nn compare più ma resta il rootkit...
ora non c'è più il rootkit ma è ricomparso il backdoor...direi "eccheccààà"
insomma qlcn sa che sta succedendo?

ragazzi sto sclerando!!!:muro: :muro:
dunque inizialmente oggi mi era comparso il rootkit nell'mbr,dopo aver fatto un pò di scansioni mi è comparso su prevx un backdoor,precisamente in
c:\windows\system32\MSWINSCK.ocx
provo a disinstallare prevx,reinstallo,riscansiono più volte usando anche tutti i programmi che m avete consigliato finchè il backdoor nn compare più ma resta il rootkit...
ora non c'è più il rootkit ma è ricomparso il backdoor...direi "eccheccààà"
insomma qlcn sa che sta succedendo?

cureit riesci a caricarlo dopo averlo passato nel parser? le info nelle modalità che ho in firma

scansione completa e log di Malwarebytes' Anti-Malware (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9)

cureit nn riesco a passarlo nel parser perchè nn mi apre il file jar, ho fatto la scansione con malwarebytes ma niente, in più dopo la scansione è riapparso in prevx il rootkit

cureit nn riesco a passarlo nel parser perchè nn mi apre il file jar, ho fatto la scansione con malwarebytes ma niente, in più dopo la scansione è riapparso in prevx il rootkit

log di cureit
www.hwupgrade.helloweb.eu/ParserLog/log/output53685078645.txt

carica il log di malwarebytes

eccolo

eccolo
con cureit hai fatto scansione completa?

fai una scansione completa con F-Secure online (http://www.hwupgrade.it/forum/showpost.php?p=24033058&postcount=6) oppure Kaspersky removal tool (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7) e carica il log
vediamo se trovano il backdoor altrimenti lo facciamo fuori a mano

si con cureit ho fatto scansione compl, adesso vado di Kaspersky

si con cureit ho fatto scansione compl, adesso vado di Kaspersky

Allega il log, per qunato riguarda il file segnalato da Prevx di per sè non è maligno ma è indice di un infezione pregressa

Ciao. Penso di essere nel posto giusto.
Avviando il computer mi si presenta prima del'avvio di windows una schermata gialla e nera in cui "Trend ChipAwayVirus" mi informa di avere un boot virus. Mi sono informato e sono finito qui.

Ho cominciato a seguira la vostra fase uno, e già al primo avvio di gmer la scansione rapida individua rootkit, righe segnate di rosso (il log dovrebbe essere questo: http://www.fileqube.com/shared/BSmhcw136289)

Non ho analizzato con altri programmi, mi sembra già allarmante così. Cosa faccio? passo alla fase due?
Grazie.

Ciao. Penso di essere nel posto giusto.
Avviando il computer mi si presenta prima del'avvio di windows una schermata gialla e nera in cui "Trend ChipAwayVirus" mi informa di avere un boot virus. Mi sono informato e sono finito qui.

Ho cominciato a seguira la vostra fase uno, e già al primo avvio di gmer la scansione rapida individua rootkit, righe segnate di rosso (il log dovrebbe essere questo: http://www.fileqube.com/shared/BSmhcw136289)

Non ho analizzato con altri programmi, mi sembra già allarmante così. Cosa faccio? passo alla fase due?
Grazie.
ciao
fai prima lo scan con prevx

Ciao.
Ho scaricato e avviato prevx: ha segnalato un worm. Ho disinstallato il programma incriminato e ho fatto un'altra scansione: stavolta invece ha trovato un rootkit (alla seconda scansione, ma non alla prima).

Non ho capito come si fa a salvare un log... ma ho ricopiato manualmente sul blocco note la schermata col risultato della scansione: http://www.fileqube.com/shared/jRZAOSmR136396

Grazie dell'interessamento

Ciao.
Ho scaricato e avviato prevx: ha segnalato un worm. Ho disinstallato il programma incriminato e ho fatto un'altra scansione: stavolta invece ha trovato un rootkit (alla seconda scansione, ma non alla prima).

Non ho capito come si fa a salvare un log... ma ho ricopiato manualmente sul blocco note la schermata col risultato della scansione: http://www.fileqube.com/shared/jRZAOSmR136396

Grazie dell'interessamento
bastava leggere la mia firma e trovavi le info che ti servivano ;)

passa alla fase 2

Ciao a tutti, sono nuovo del forum quindi vi chiedo innanzitutto mooooooooooooooooooooolta pazienza. Per venire incontro ai vostri nervi ho letto le varie fasi e devo subito dirvi che ho avuto qualche problema forse dovuto al SO: sto usando l'XP 64 edition.
Diciamo subito che anche io con NOD32 ricevo il simpatico
"il settore MBR di 2. Disco fisico contiene cavallo di troia Win32/Mebroot.K."
"il settore MBR di 3. Disco fisico contiene cavallo di troia Win32/Mebroot.K."

Fase preliminare: fatta.

Fase prima: Prevx CSI non va ma Gmer si, ecco il log

gmer
http://www.fileqube.com/file/niUyWMDPq137507

Fase seconda: Stealth MBR rootkit detector nn mi parte ne in modalità provvisoria ne in mod normale!
Symantec Trojan.Mebroot Removal Tool va ma penso che nn abbia avuto effetto, ecco il log

fix mebroot
http://www.fileqube.com/file/hjhaJM137506

Vi prego aiutatemi sono sull'orlo di una crisi di nervi! Graaaaaaaaaaaaaaaaaazie!



P.S. ho letto da qualche parte che questo programma bastava x rimediare a tutti i miei mali, ma a quanto pare anch'egli è stato inutile, allego cmq il log...

norman sinowal MBR cleaner
http://www.fileqube.com/file/ewKrUyAl137505

Ciao e benvenuto, potresti allegare il log del Nod32

NB: non mettere il link al download all'interno del Tag Quote, grazie.

intanto grazie mille chill-out,
ti allego subito il log di nod 32!
http://www.fileqube.com/file/LyOQyCuB137572
scusami x aver usato il tag x quotare ma nn sono ancora pratico di forum...spero di azzeccarci adesso...

riprovo ad allegare...
http://www.fileqube.com/file/LyOQyCuB137572
sorry!

riprovo ad allegare...
http://www.fileqube.com/file/LyOQyCuB137572
sorry!

Devi semplicemente copiare il link nel post null'altro :)

Dal log del Nod32 non capisco dove rileva il Win32/Mebroot.K hai percaso collegato al PC uno o più supporti removibili USB (Hd esterni) ?

si, a dire il vero ho un hd esterno della WD da 500gb.
Di quelli che si avviano all'avvio del pc per intenderci, e mi ha dato problemi in passato: nod32 mi trovava dei virus (nn ricordo di che tipo cmq erano cartelle che comparivano con nomi lunghissimi) ma ora questo sembrava risolto...dici che l'infezione nn è su C? adesso provo a fare la scansione dell'HD esterno con Nod32 e te la allego nel prossimo post.
Grazie ancora!!!

http://www.fileqube.com/file/ECjxwX137574

eccoti il log del nod 32 con la scansione fatta sull'hd esterno che ti dicevo...

Come ipotizzavo la rilevazione è sull'Hd esterno potrebbe essere un falso positivo Nod non è nuovo a questo problema, non sò cosa c'è su quell'HD potresti salvare ciò che ti necessita e formattarlo, l'utility per la trovi sul sito del produttore del'HD

falso positivo...speriamo...
quello cmq è un hard-disk magazzino con film installazioni e roba varia.. quindi sposto tutto e formatto...
mi consigli una formattazione a bassa dnsità?
Grazie ancora!!!!

falso positivo...speriamo...
quello cmq è un hard-disk magazzino con film installazioni e roba varia.. quindi sposto tutto e formatto...
mi consigli una formattazione a bassa dnsità?
Grazie ancora!!!!

Si come detto sopra trovi l'utility sul sito del produttore

grazie mille chill-out! se continuano le segnalazioni ti farò sapere...nel frattempo cambio anche antivirus e metto avira...

un ultima domanda....spostando i file contenuti nell'hd posso infettarne altri? xkè se poi rimetto tutto dentro dopo aver formattato magari mi ritrovo punto e a capo...
be patient :D :D :D

un ultima domanda....spostando i file contenuti nell'hd posso infettarne altri? xkè se poi rimetto tutto dentro dopo aver formattato magari mi ritrovo punto e a capo...
be patient :D :D :D

Presumo che l'HD sia stato controllato col Nod e con altri eventuali software di sicurezza

Slave a tutti.
Ho un problema:
stavo cercando di disinfestarmi seguendo la guida e stava andando tutto ok, visto che avevo 2 rootkit nei due device hdd0 e hdd1.
La mia configurazione comprende un C: (che è un raid0) un E: (un eide) un F: (un sata).
Credo che durante la rimozione sia partito l'MBR ed adesso non riesco + a vedere F:
Ho provato con la console di ripristino ma non capisco se una volta sotto dos devo fare il fixmbr sotto F o sotto C?
C dove risiede l'OS funziona benissimo (è in raid0).
Ovviamente da gestione dei dischi logici l'HD compare come non allocato.
Posso recuperare i milioni di Gb di roba che mi serve lì dentro, vero?!:eek:

Il comando è il seguente:

fixmbr \device\harddrive0

da ripetere per il numero degli HD, esempio:

fixmbr \device\harddrive1
fixmbr \device\harddrive2

Il comando è il seguente:

fixmbr \device\harddrive0

da ripetere per il numero degli HD, esempio:

fixmbr \device\harddrive1
fixmbr \device\harddrive2

comando sotto console di ripristino ovviamente? ora provo, poi ti faccio sapere
thx

nada...
mi da conferma di sovrascrivere il record solo col comando fixmbr.
Se scrivo fixmbr\device\ecc + invio va a capo come nulla fosse. cmq l'ho fatto lo stesso riavvio e nada, sto f: è sparito.
Se da gestione dischi faccio la partizione dello spazio non allocato perdo i dischi, vero?

Prova così fixmbr \device\harddisk0

Prova così fixmbr \device\harddisk0

se è per lo spazio ho già provato scrivendo correttamente fixmbr \device\harddisk0
nada

se è per lo spazio ho già provato scrivendo correttamente fixmbr \device\harddisk0
nada

non per lo spazio la dicitura è diversa

Risolto il problema.
Dopo la cura con cureit, si è riavviato il pc.
Al riavvio non era più presente uno dei miei hd infettati dal rootkit non quello di sistema ma quello di storage.
con testdisk http://www.cgsecurity.org/wiki/TestDisk ho subito notato che l'hd in questione presentava 255 heads per cylinder (valore assurdo), ne ho ripristinato il valore a 16 e reso "logico".
reboot e voilà.
tutti i file al loro posto

Posto l'esperienza sperando serva a qualcuno.

Avevo dei problemi con un computer tipo lentezza e problemi vari pensavo di avere l'hard disk danneggiato allora l'ho formattato e ho ristallato windows per scrupolo volevo fare un'ultima scansione con ultimate boot per windws e lì ni dice All'accensione del PC,precisamente durante il booting, si è riscontrato il seguente problema

"Trend ChipAwayVirus has detected a boot virus on your hard disk. Press <Enter> for more information (recommended) <C> to continue booting
Ora mi rirtrovo nella seguente condizione ho spianato i 2 hard disk con il programma di ubwin4 nuke ma al riavvio mi segnala sempre il virus . Volevo chiedere devo per forza reistallare windows per togliere il virus o c'è un altro metodo con dos per esempio ?? inoltre se avvio ubwin 4 mi fa entrare in una pagina dove c'è un antivirus antivir peso si chiami se aggirno quello e faccio una scansione riesco a debellare il male ??
Grazie in anticipo per le risposte e saluti a tutti

Avevo dei problemi con un computer tipo lentezza e problemi vari pensavo di avere l'hard disk danneggiato allora l'ho formattato e ho ristallato windows per scrupolo volevo fare un'ultima scansione con ultimate boot per windws e lì ni dice All'accensione del PC,precisamente durante il booting, si è riscontrato il seguente problema

"Trend ChipAwayVirus has detected a boot virus on your hard disk. Press <Enter> for more information (recommended) <C> to continue booting
Ora mi rirtrovo nella seguente condizione ho spianato i 2 hard disk con il programma di ubwin4 nuke ma al riavvio mi segnala sempre il virus . Volevo chiedere devo per forza reistallare windows per togliere il virus o c'è un altro metodo con dos per esempio ?? inoltre se avvio ubwin 4 mi fa entrare in una pagina dove c'è un antivirus antivir peso si chiami se aggirno quello e faccio una scansione riesco a debellare il male ??
Grazie in anticipo per le risposte e saluti a tutti

Scarica Stealth MBR rootkit detector -> http://www2.gmer.net/mbr/mbr.exe

mettilo direttamente nella Directory C:\

da DOS digita CD \ e premi invio

ora dovresti vedere C:\> a questo punto digita mbr -f e premi invio

digita exit per uscire

grazie per il suggerimento ma ho eseguito il programma in dos e poi ho riprovato la scansione con ultimate boot ma niente il problema persiste allora ho istallato xp e ho eseguito uno scan con gmer che mi ha dato il seguente log. GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-10-28 10:04:48
Windows 5.1.2600 Service Pack 1


---- Kernel code sections - GMER 1.0.14 ----

.text ntoskrnl.exe!KeInitializeInterrupt + B67 804DA23C 1 Byte [ 06 ]

---- EOF - GMER 1.0.14 ----
penso non si tratti di rootkit che fare ora???
Grazie in anticipo

grazie per il suggerimento ma ho eseguito il programma in dos e poi ho riprovato la scansione con ultimate boot ma niente il problema persiste allora ho istallato xp e ho eseguito uno scan con gmer che mi ha dato il seguente log. GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-10-28 10:04:48
Windows 5.1.2600 Service Pack 1


---- Kernel code sections - GMER 1.0.14 ----

.text ntoskrnl.exe!KeInitializeInterrupt + B67 804DA23C 1 Byte [ 06 ]

---- EOF - GMER 1.0.14 ----
penso non si tratti di rootkit che fare ora???
Grazie in anticipo

Allega un log completo di Gmer secondo le modalità indicate in prima pagina, thx.

prevx dopo la scansione non ha rilevato nulla.
gmer ecco l'allegato scusa ma prima non riuscivo a farlo

prevx dopo la scansione non ha rilevato nulla.
gmer ecco l'allegato scusa ma prima non riuscivo a farlo

Mi sembra un pò corto come log, hai letto le info in prima pagina? Comunque se Prevx non segnala nulla dire che è positivo, ciao.

grazie mille penso anch'io che ora sia tutto Ok a presto

grazie mille penso anch'io che ora sia tutto Ok a presto

Prego :)

VI prego potete aiutarmi a capire se sono infetto dal MASTER BOOT RECORD ROOTKIT? Navigo con IE anche se già ho provveduto a scaricarmi opera, e dalla prima pagina di questo 3d non riesco ad accedere ai link di download che avete segnalato per scovare e quindi eliminare il virus..."Impossibile visualizzare pagina web".

Certo non ho la certezza che abbia proprio questo problema, magari è un altro virus o trojan o malware. Vi sintetizzo i sintomi del mio PC. Navigazione intermittente (c'è e non c'è), spesso vengo reindirizzato altrove mentre navigo e quando questo accade la pagina iniziale (google) ha i caratteri sovradimensionati mentre quando non lo sono non mi reindirizza. Anche il mulo mi dà problemi, sovente appaiono errori... non ricordo bene di che tipo e mi si chiude.

Che dite è questo il virus oppure ho qualcos'altro?

PS: ho installato opera e mi dà lo stesso problema di reindirizzamento....

:help: :help: :help: :help:

VI prego potete aiutarmi a capire se sono infetto dal MASTER BOOT RECORD ROOTKIT? Navigo con IE anche se già ho provveduto a scaricarmi opera, e dalla prima pagina di questo 3d non riesco ad accedere ai link di download che avete segnalato per scovare e quindi eliminare il virus..."Impossibile visualizzare pagina web".

Certo non ho la certezza che abbia proprio questo problema, magari è un altro virus o trojan o malware. Vi sintetizzo i sintomi del mio PC. Navigazione intermittente (c'è e non c'è), spesso vengo reindirizzato altrove mentre navigo e quando questo accade la pagina iniziale (google) ha i caratteri sovradimensionati mentre quando non lo sono non mi reindirizza. Anche il mulo mi dà problemi, sovente appaiono errori... non ricordo bene di che tipo e mi si chiude.

Che dite è questo il virus oppure ho qualcos'altro?

PS: ho installato opera e mi dà lo stesso problema di reindirizzamento....

:help: :help: :help: :help:

quando a eseguire ricerche in google e provi ad accedere a uno di quei risultati poi vieni dirottato altrove?

si si, si vede chiaramente il redirect... e poi a volte nemmeno mi funziona la connessione... che sarà?

anche perchè da quando ho questo problema anche il mulo non va, o meglio va a stento. Il problema quindi non è circoscritto ad Internet Explorer.

Help

si si, si vede chiaramente il redirect... e poi a volte nemmeno mi funziona la connessione... che sarà?

anche perchè da quando ho questo problema anche il mulo non va, o meglio va a stento. Il problema quindi non è circoscritto ad Internet Explorer.

Help

allora hai toppato thread, il tuo problema lo sirolvi conquesta guida:
rootkit CLBDRIVERS.SYS - reindirizzamento ricerche su google e siti web degli antivirus (http://www.hwupgrade.it/forum/showpost.php?p=22757132&postcount=13)

:)

Salve.
Ecco i primi log per PrevxCsi e Gmer, come richiesto dalla guida contro i MBR Rootkit:

Prevx Csi: http://www.fileqube.com/file/cxvkeOfe144407

Gmer : http://www.fileqube.com/file/tRTlCwFG144408

Grazie mille.

PS = E niente, non riesco a scaricare Stealth MBR rootkit detector, mi si apre l'avviso di Avast che vede l'.exe come un Trojan.

grazie mille xcdegasp per il consiglio!!! ;)

Spero di risolvere...

Salve.
Ecco i primi log per PrevxCsi e Gmer, come richiesto dalla guida contro i MBR Rootkit:

Prevx Csi: http://www.fileqube.com/file/cxvkeOfe144407

Gmer : http://www.fileqube.com/file/tRTlCwFG144408

Grazie mille.

PS = E niente, non riesco a scaricare Stealth MBR rootkit detector, mi si apre l'avviso di Avast che vede l'.exe come un Trojan.

Normale che Avast lo rilevi come minaccia, disabilita momentaneamente l'antivirus :)

Grazie mille.
Procedo con gli altri logs?
I primi che hanno decretato?:D

Edit: come si disattiva Avast?

Ecco il mio problema, il pc del mio amico si impalla, perciò dopo una scansione dell'HD sotto una macchina non infetta, il Nod32 rileva la seguente cosa:
"Il settore MBR di 2. Disco fisico contiene cavallo di troia Win32/Mebroot.K.", trovo questo forum e vorrei risolvere il prob con il vostro aiuto.
Fase preliminare : ok
Prima fase:
1)Prevx CSI non lo posso usare perchè per motivi tecnici non posso andare su internet con il pc infetto;
2)Eseguo Gmer e vi posto parte del log "http://www.fileqube.com/file/PTDxmzHI145196"

Ora come procedo?

Ecco il mio problema, il pc del mio amico si impalla, perciò dopo una scansione dell'HD sotto una macchina non infetta, il Nod32 rileva la seguente cosa:
"Il settore MBR di 2. Disco fisico contiene cavallo di troia Win32/Mebroot.K.", trovo questo forum e vorrei risolvere il prob con il vostro aiuto.
Fase preliminare : ok
Prima fase:
1)Prevx CSI non lo posso usare perchè per motivi tecnici non posso andare su internet con il pc infetto;
2)Eseguo Gmer e vi posto parte del log "http://www.fileqube.com/file/PTDxmzHI145196"

Ora come procedo?
ciao

da gmer si vedono anche altri rootkit
prosegui con la guida che cominciamo a rimuovere MBR, poi pensiamo agli altri

Ok provo subtio subito.....grazie....procedo con gli altri log...

Eccomi con i nuovi log...
mbr1 http://www.fileqube.com/file/qlVJGW145208
mbr2 http://www.fileqube.com/file/OtKsUSEn145209
mbr3 http://www.fileqube.com/file/LLnPKYR145210

fix meb root http://www.fileqube.com/file/GSRnmia145211

Inoltre, dopo i log sul pc infetto, ho disisntallato il nod, fatto una pulizia della macchina con c cleaner, e messo lhd sotto unaltra macchina per effettuare un scan disck ed eventualemten correzzione.

da questi log che si capisce?

Eccomi con i nuovi log...
mbr1 http://www.fileqube.com/file/qlVJGW145208
mbr2 http://www.fileqube.com/file/OtKsUSEn145209
mbr3 http://www.fileqube.com/file/LLnPKYR145210

fix meb root http://www.fileqube.com/file/GSRnmia145211

Inoltre, dopo i log sul pc infetto, ho disisntallato il nod, fatto una pulizia della macchina con c cleaner, e messo lhd sotto unaltra macchina per effettuare un scan disck ed eventualemten correzzione.

da questi log che si capisce?

ottimo, mbr rimosso
ora invece che l'ultima fase, dato che si vedeva dell'altro, apri una discussione tutta tua, spieghi brevemente il problema e poi segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) e nell'ordine indicato.

mmmm....ho dato unocchio....ma ce tanta tanta roba....provo con secure light a rinominare gli altri prob....poi credo dovrebbe essere apposto. Che dici?

mmmm....ho dato unocchio....ma ce tanta tanta roba....provo con secure light a rinominare gli altri prob....poi credo dovrebbe essere apposto. Che dici?
quello che si vede potrebbe essere la punta dell'iceberg... con la guida si rimuove tutto poi vedi tu...

Si ma la guida, comprende 7 programmi....e alcuni di questi comprnedo la conessione internet...io dalla macchina infetta...non la posso fare...

Si ma la guida, comprende 7 programmi....e alcuni di questi comprnedo la conessione internet...io dalla macchina infetta...non la posso fare...
da bigino in firma, alla voce portabilità trovi come portare tutti i programmi sul pc infetto scaricandoli da un pc connesso alla rete, escluso prevx

Niente da fare per me?

Niente da fare per me?

A dire il vero noi stiamo aspettando i log della Seconda Fase

http://www.hwupgrade.it/forum/showpost.php?p=24822556&postcount=870

Edit: come si disattiva Avast?

click destro sulla sua icona a fianco dell'orologio e scegli arresta o disattiva

Continuo ad avere problemi col programma MBR, nonostante abbia disattivato Avast.
Partendo da Start -> Esegui non riesco a trovare il file .exe, dunque riesco a farne solo un log aprendolo, esclusivamente in Modalità Provvisoria. Adesso, comunque, vi posto gli altri logs. Grazie mille.

Continuo ad avere problemi col programma MBR, nonostante abbia disattivato Avast.
Partendo da Start -> Esegui non riesco a trovare il file .exe, dunque riesco a farne solo un log aprendolo, esclusivamente in Modalità Provvisoria. Adesso, comunque, vi posto gli altri logs. Grazie mille.

Leggi bene, mbr.exe lo devi scaricare e mettere direttamente nella Directory C:\

Riavvia il Pc in modalità provvisoria F8

Da Start - Esegui - digitate C:\mbr.exe e cliccate su OK

Ecco:

Fix Meb Root: http://www.fileqube.com/file/GZzsRIL145793

Prevx CSI : http://www.fileqube.com/file/edGHgZ145794

CureIt : http://www.fileqube.com/file/ETOzMOYp145796

MBR 1 : http://www.fileqube.com/file/kmuexzsRF145800

MBR 2 :
http://www.fileqube.com/file/DLRdfeEEw145801

MBR 3 :
http://www.fileqube.com/file/vjrbJn145803

Ecco:

Fix Meb Root: http://www.fileqube.com/file/GZzsRIL145793

Prevx CSI : http://www.fileqube.com/file/edGHgZ145794

CureIt : http://www.fileqube.com/file/ETOzMOYp145796

MBR 1 : http://www.fileqube.com/file/kmuexzsRF145800

MBR 2 :
http://www.fileqube.com/file/DLRdfeEEw145801

MBR 3 :
http://www.fileqube.com/file/vjrbJn145803

potresti gentilmente caricarmi il log di cureit filtrato secondo le modalità in firma

fai pulizia con ATFCleaner (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2)
poi scansione completa con Malwarebytes' Anti-Malware (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9)

Cure It filtrato: http://www.fileqube.com/file/PVUwnbUT145945

Malware: http://www.fileqube.com/file/SzpUqTcRs145946

Cure It filtrato: http://www.fileqube.com/file/PVUwnbUT145945

Malware: http://www.fileqube.com/file/SzpUqTcRs145946

fileqube pare abbia ancora problemi, così come gli altri server remoti

vai qui http://pastebin.com
incolli il contenuto del log clicchi su send e poi ci riporti il link
grazie

Grazie a te!
Carico solo gli ultimi logs postati o anche gli altri?
Uhm, come mai il log di CureIt filtrato è vuoto?

Questo il link per Malware: http://pastebin.com/m6fe45ca2

Grazie a te!
Carico solo gli ultimi logs postati o anche gli altri?
Uhm, come mai il log di CureIt filtrato è vuoto?

Questo il link per Malware: http://pastebin.com/m6fe45ca2
il nome del log di partenza era corretto?
cureit.txt oppure cureit.log

dovrebbe darti una cosa simile
http://pastebin.com/m636f72ba


fileqube sembra si sia ripreso...
sto scaricando il log completo

qui il log filtrato
http://pastebin.com/m2451bfbe
sembri ok, dai un occhio al trattamento in firma per info su come proteggere meglio il pc

Grazie mille, davvero.
Sembro o sono ok? :)

Grazie mille, davvero.
Sembro o sono ok? :)

dai log che ho visto SEI pulito ;)

Grazie mille, davvero.
Sembro o sono ok? :)

Controlla su http://www.virustotal.com/it/ e http://virscan.org/ il seguente file IEklow.dll nel seguente percorso C:\WINDOWS\system32\IEklow.dll copia nel prossimo post l'URL rilasciata a fine analisi

dai log che ho visto SEI pulito ;)

come non detto....

prevx non riuscivo a scaricarlo e mi ero perso quel pezzo li ;)

http://www.virustotal.com/it/analisis/b1f13017325f6a087e9de9275bac5c0c

http://virscan.org/report/219131f3628c5dbc04513b53308ea247.html
Eccoli

http://www.virustotal.com/it/analisis/b1f13017325f6a087e9de9275bac5c0c

http://virscan.org/report/219131f3628c5dbc04513b53308ea247.html
Eccoli

Per cortesia ripeti la scansione su VirusTotal

Ecco: http://www.virustotal.com/it/analisis/b1f13017325f6a087e9de9275bac5c0c

Ecco: http://www.virustotal.com/it/analisis/b1f13017325f6a087e9de9275bac5c0c

Una nuova scansione non la stessa, thx.

Chiedo venia, non so perché abbia ricopiato il link vecchio.
Ecco il nuovo: http://www.virustotal.com/it/analisis/64bf06092025d9c4d65e2982dada6646

prevx csi non rileva nulla quindi allego solo il log di gmer...
per quanto riguarda mbr.exe l'ho provato ma quando faccio il comando "mbr -f" non mi ripristina l'mbr ma dà come log esattamente lo stesso testo del comando "mbr" liscio :muro:

il fix della norton mi da errore nel driver registry... quindi non va...

ho fatto anche il fixmbr da ripristino ma non ha avuto effetti!

Suggerimenti?

allego anche il log di mbr.exe

prevx csi non rileva nulla quindi allego solo il log di gmer...
per quanto riguarda mbr.exe l'ho provato ma quando faccio il comando "mbr -f" non mi ripristina l'mbr ma dà come log esattamente lo stesso testo del comando "mbr" liscio :muro:

il fix della norton mi da errore nel driver registry... quindi non va...

ho fatto anche il fixmbr da ripristino ma non ha avuto effetti!

Suggerimenti?

ciao

il log di gmer ricaricalo completo

Fai una scansione con Norman Sinowal Cleaner che trovi qui (http://download.norman.no/public/Norman_Sinowal_Cleaner.exe)
Lancialo -> Accetta le condizioni
Sotto scan area seleziona C:\*.* e clicca su Remove, idem per altre eventuali lettere, relative ad altre partizioni (ci interessa solo la scansione della MBR)
Clicca su Start scan e attendi la scansione
In caso trovi l'infezione riavvia il pc se richiesto

Al termine allega il log NFix_xxxxxx.txt che trovi sul desktop secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

sta ancora scansionando cmq gia dice di aver riparato \device\harddisk1\dr1 (infected with SinowalMBR.A)

scusa ma il log di gmer è completo... sennò come si esporta?

ps: scan finito, nel log ha solo rimosso un sacco di cose dal file hosts ma erano quelli che mette spybot search and destroy!

ora ho riavviato rifatto la scansione e non trova niente...
xò mbr.exe ancora mi trova qualkosa di sospetto nell'mbr
mentre l'antivirus non mi trova + boot.mebroot :confused:

sta ancora scansionando cmq gia dice di aver riparato \device\harddisk1\dr1 (infected with SinowalMBR.A)

scusa ma il log di gmer è completo... sennò come si esporta?

ps: scan finito, nel log ha solo rimosso un sacco di cose dal file hosts ma erano quelli che mette spybot search and destroy!

ora ho riavviato rifatto la scansione e non trova niente...
xò mbr.exe ancora mi trova qualkosa di sospetto nell'mbr
mentre l'antivirus non mi trova + boot.mebroot :confused:

carica il log di norman e passa alla 3° fase

il primo log oppure l'ultimo?
ho fatto 3 scansioni, nella prima ha tolto sinowal nelle altre non trova problemi.

Chiedo venia, non so perché abbia ricopiato il link vecchio.
Ecco il nuovo: http://www.virustotal.com/it/analisis/64bf06092025d9c4d65e2982dada6646

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Files to delete:
C:\WINDOWS\system32\IEklow.dll


clicca su Execute, al termine il Pc si dovrebbe riavviare se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

il primo log oppure l'ultimo?
ho fatto 3 scansioni, nella prima ha tolto sinowal nelle altre non trova problemi.

carica tutto

ecco qua i 3 log di norman e l'ultimo di gmer

ecco qua i 3 log di norman e l'ultimo di gmer

aspettiamo i log della 3 fase
mi raccomando caricali secondo le modalità che ho anche in firma

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco




clicca su Execute, al termine il Pc si dovrebbe riavviare se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt


http://pastebin.com/m55b9a1a9

http://pastebin.com/m55b9a1a9

A posta, leggi attentamente qui http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao

ecco infine il log di cureit, non ha trovato nulla di rilevante solo 3 file che però non sono virus :p

devo stare tranquillo anche se mbr.exe e gmer diconi che c'è un malicious code @ sector xxxxxx?

ecco infine il log di cureit, non ha trovato nulla di rilevante solo 3 file che però non sono virus :p

devo stare tranquillo anche se mbr.exe e gmer diconi che c'è un malicious code @ sector xxxxxx?
il log di gmer rimarrà sporco...

carica anche il log di prevx

I log non zippati, mi domando il perchè ci sia sempre bisogno di ricordalo :O

I log non zippati, mi domando il perchè ci sia sempre bisogno di ricordalo :O

chiedo scusa pensavo si potesse fare, poi il txt pulito veniva poco + grande della dimensione massima consentita quindi l'ho zippato... non pensavo fosse vietato, i prossimi li metterò non zippati.

Edit: aggiunto log Prevx qui (http://www.fileqube.com/file/KmvTUIKr146482)

A posta, leggi attentamente qui http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao

Alla grande, fatto tutto.
Vi ringrazio vivamente, gentilissimi. Posso dire che è tutto ok ora?

Alla grande, fatto tutto.
Vi ringrazio vivamente, gentilissimi. Posso dire che è tutto ok ora?

Prego, direi che siamo a posto ;)

chiedo scusa pensavo si potesse fare, poi il txt pulito veniva poco + grande della dimensione massima consentita quindi l'ho zippato... non pensavo fosse vietato, i prossimi li metterò non zippati.

Edit: aggiunto log Prevx qui (http://www.fileqube.com/file/KmvTUIKr146482)

Il log è pulito :)

ciao a tutti ho lasciato un post nella sezione principale e mui è stato detto di postare qui i miei log. ho letto la guida ed ecco i log:
prevx
http://www.fileqube.com/file/obTQxND147272
gmer
http://www.fileqube.com/file/sXuFRQmsX147273

da quanto vedo prevx non trova niente, gmer invece si.....
cosa mi suggerite?

http://www.hwupgrade.it/forum/showthread.php?p=24972112 questo è il link dell'altra discussione, contiene altri log, magari possono essere utili:cry:
ciao;)

ciao a tutti ho lasciato un post nella sezione principale e mui è stato detto di postare qui i miei log. ho letto la guida ed ecco i log:
prevx
http://www.fileqube.com/file/obTQxND147272
gmer
http://www.fileqube.com/file/sXuFRQmsX147273

da quanto vedo prevx non trova niente, gmer invece si.....
cosa mi suggerite?

http://www.hwupgrade.it/forum/showthread.php?p=24972112 questo è il link dell'altra discussione, contiene altri log, magari possono essere utili:cry:
ciao;)

sappi che il log di gmer rimarrà sempre "sporco" anche dopo la pulizia, quindi non è detto che tu sia ancora infetta
procedi pure, la guida la seguiamo comunque tutta

mi sa che non c'è stato niente da fare...leggete i log e capirete...tutto cm prima!
mbr non mi ripara un bel niente e quello della symantec in modalità normale dice ke non c'è nessun virus, in modalità provvisoria non riesce nemmeno a portare a termine il processo....
mi hanno detto ke il fatto che viene rilevato il virus è solo un problema di incompatibilità di antivirus ma a me pare strano...perchè dovrebbe interessare proprio i settori di boot???:mbe:
helpppp:cry: :cry: :cry:
MBR 1 http://www.fileqube.com/file/aLxmJG148931
MBR 2 http://www.fileqube.com/file/DuZtwFa148932
MBR 3 http://www.fileqube.com/file/jvLyeCPCq148933
FIXMEBROOT (in modalità provvisoria) http://www.fileqube.com/file/xhiWmygv148934

mi sa che non c'è stato niente da fare...leggete i log e capirete...tutto cm prima!
mbr non mi ripara un bel niente e quello della symantec in modalità normale dice ke non c'è nessun virus, in modalità provvisoria non riesce nemmeno a portare a termine il processo....
mi hanno detto ke il fatto che viene rilevato il virus è solo un problema di incompatibilità di antivirus ma a me pare strano...perchè dovrebbe interessare proprio i settori di boot???:mbe:
helpppp:cry: :cry: :cry:
MBR 1 http://www.fileqube.com/file/aLxmJG148931
MBR 2 http://www.fileqube.com/file/DuZtwFa148932
MBR 3 http://www.fileqube.com/file/jvLyeCPCq148933
FIXMEBROOT (in modalità provvisoria) http://www.fileqube.com/file/xhiWmygv148934

1 Fai girare questo tool http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni: http://www.norman.com/Virus/Virus_removal_tools/52382/it

2 Scansiona con CuteIt come indicato in Guida

Riepilogo da allegare:
Norman
CureIt
Gmer
Prevx

scusami penso di avere un problema con norman ecc ecc...

Norman SinowalMBR Cleaner
Copyright © 1990 - 2008, Norman ASA. Built 2008/05/13 16:21:18

Norman Scanner Engine Version: 5.92.04
Nvcbin.def Version: 5.92.00, Date: 2008/05/13 16:21:18, Variants: 0

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Home 5.1.2600 Service Pack 2
Logged on user: WINDOWS-4BC2260\Windows xp


Scan started: 15/11/2008 15:18:31

Scanning bootsectors...

Unable to scan for SinowalMBR hooks

Number of sectors found: 0
Number of sectors scanned: 0
Number of sectors not scanned: 0
Number of infections found: 0
Number of infections removed: 0
Total scanning time: 0s 32ms

mi sa che non riesce ad entrare nell'mbr...

Hai messo il segno di spunta su C: ed eventuali altre partizioni?

Ho completato la fase 1 della guida. Ecco il link per il download dei log;
http://www.fileqube.com/file/TZnbwK149619

Ho completato la fase 1 della guida. Ecco il link per il download dei log;
http://www.fileqube.com/file/TZnbwK149619

Ok scommetto che ti si aprono finestre pubblicitarie a Random, giusto?

si, mi si aprivano pagine pubblicitarie random fino a prima dell'ultima disinfezione. Attualmente, direi non più.

si, mi si aprivano pagine pubblicitarie random fino a prima dell'ultima disinfezione. Attualmente, direi non più.

In merito a questo problema non abbiamo fatto nulla, ma se mi dici che sei a posto và bene ;)

Ciao a tutti!
Dopo aver scoperto con Avira free questo: BOO/Sinowal.A, ho scritto è mi è stato consigliato di seguire questa guida!
Dopo la prima fase, posto il primi due log:

http://wikisend.com/download/914692/log prevx csi.log

http://wikisend.com/download/518876/log Gmer.txt

Grazie per gli eventuali aiuti!
Un saluto.

Ciao a tutti!
Dopo aver scoperto con Avira free questo: BOO/Sinowal.A, ho scritto è mi è stato consigliato di seguire questa guida!
Dopo la prima fase, posto il primi due log:

http://wikisend.com/download/914692/log prevx csi.log

http://wikisend.com/download/518876/log Gmer.txt

Grazie per gli eventuali aiuti!
Un saluto.
ciao il log sembrano puliti
configura antivir come indicato qui (http://www.hwupgrade.it/forum/showthread.php?t=1514684) eccetto la scheda Action for concerning files che imposti così (http://img80.imageshack.us/img80/3417/antivirwu7.png), e poi fai una scansione completa e carichi il log/report secondo queste modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

in realtà ho brutalmente eliminato un file che secondo me era il responsabile, spero di non aver fatto guai peggiori.
ora che si fa? proseguo con la seconda fase o attendo altri lumi dalla (vostra, che io non ci capisco nulla!) lettura dei log? e.a proposito, quello che dici ad un altro utente sul fatto che il codice gmer rimane sporco può valere anche nel mio caso?
grazie dell'assistenza

in realtà ho brutalmente eliminato un file che secondo me era il responsabile, spero di non aver fatto guai peggiori.
ora che si fa? proseguo con la seconda fase o attendo altri lumi dalla (vostra, che io non ci capisco nulla!) lettura dei log? e.a proposito, quello che dici ad un altro utente sul fatto che il codice gmer rimane sporco può valere anche nel mio caso?
grazie dell'assistenza
prevx segnalava 3 file infetti

procedi con la 2 fase

ciao il log sembrano puliti
configura antivir come indicato qui (http://www.hwupgrade.it/forum/showthread.php?t=1514684) eccetto la scheda Action for concerning files che imposti così (http://img80.imageshack.us/img80/3417/antivirwu7.png), e poi fai una scansione completa e carichi il log/report secondo queste modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

Log di Avira: http://www.mediafire.com/?dxyhctdpodv

Log di Avira: http://www.mediafire.com/?dxyhctdpodv

procedi con la seconda fase

procedi con la seconda fase

Ecco i risultati della seconda fase:
http://www.mediafire.com/?2mmyjd3i2lx

Ecco i risultati della seconda fase:
http://www.mediafire.com/?2mmyjd3i2lx

ok, procedi con l'ultima fase

ok, procedi con l'ultima fase

Grazie wimat della disponibilità!
Ecco l'ultima fase:
log prevx csi: http://www.mediafire.com/?xkcymemnzvy
log dr.web: http://www.mediafire.com/?mztygtumf3c

Grazie wimat della disponibilità!
Ecco l'ultima fase:
log prevx csi: http://www.mediafire.com/?xkcymemnzvy
log dr.web: http://www.mediafire.com/?mztygtumf3c

Nel frattempo fai una scansione completa con Avira per conferma :)

Ricorda di allegare il log

Nel frattempo fai una scansione completa con Avira per conferma :)

Ricorda di allegare il log

Dal log di CureIt

Master Boot Record HDD1 - Ok
Active OS/2 or WinNT Boot Sector HDD1 - Ok
Master Boot Record HDD2 infettato da BackDoor.MaosBoot
Active OS/2 or WinNT Boot Sector HDD2 - Ok
Master Boot Record HDD3 infettato da BackDoor.MaosBoot
Active OS/2 or WinNT Boot Sector HDD3 - Ok

Ciao chill-out e tutti,
Mi sembra che andiamo male... credo che Stealth MBR non sia riuscito a fare il suo lavoro. Ecco comunque i log:
http://www.fileqube.com/file/gqgbJcs151010
http://www.fileqube.com/file/FJzArow151009
http://www.fileqube.com/file/wVRpKHP151008
http://www.fileqube.com/file/pnmKTXcLx151007 :(

Ciao chill-out e tutti,
Mi sembra che andiamo male... credo che Stealth MBR non sia riuscito a fare il suo lavoro. Ecco comunque i log:
http://www.fileqube.com/file/gqgbJcs151010
http://www.fileqube.com/file/FJzArow151009
http://www.fileqube.com/file/wVRpKHP151008
http://www.fileqube.com/file/pnmKTXcLx151007 :(

Procedi con la :Terza Fase: ed allega anche un log di gmer

Nel frattempo fai una scansione completa con Avira per conferma :)

Ricorda di allegare il log

Ecco il log di Avira: http://www.mediafire.com/?ext9eiyquv1

Ecco il log di Avira: http://www.mediafire.com/?ext9eiyquv1

Dovremmo essere OK :)

Dovremmo essere OK :)


Due domandine:

in un post precedente mi segnalavi questo:
Dal log di CureIt


Quote:
Master Boot Record HDD1 - Ok
Active OS/2 or WinNT Boot Sector HDD1 - Ok
Master Boot Record HDD2 infettato da BackDoor.MaosBoot
Active OS/2 or WinNT Boot Sector HDD2 - Ok
Master Boot Record HDD3 infettato da BackDoor.MaosBoot
Active OS/2 or WinNT Boot Sector HDD3 - Ok

Cosa vuol dire?

Poi, Dr.Web mi rileva trojan.startpage.1505
Lo elimino?
Grazie!

Due domandine:

in un post precedente mi segnalavi questo:
Dal log di CureIt


Quote:
Master Boot Record HDD1 - Ok
Active OS/2 or WinNT Boot Sector HDD1 - Ok
Master Boot Record HDD2 infettato da BackDoor.MaosBoot
Active OS/2 or WinNT Boot Sector HDD2 - Ok
Master Boot Record HDD3 infettato da BackDoor.MaosBoot
Active OS/2 or WinNT Boot Sector HDD3 - Ok

Cosa vuol dire?

Poi, Dr.Web mi rileva trojan.startpage.1505
Lo elimino?
Grazie!

Si infatti mi domandavo che azione avevi intrapreso in quanto i file infetti devono essere messi in quarantena tramite la funzione sposta, per quanto riguarda questo trojan.startpage.1505 nel log precedente non l'ho visto, hai fatto un'altra scansione?

Si infatti mi domandavo che azione avevi intrapreso in quanto i file infetti devono essere messi in quarantena tramite la funzione sposta, per quanto riguarda questo trojan.startpage.1505 nel log precedente non l'ho visto, hai fatto un'altra scansione?

Sto terminando adesso la scansione con Dr.web e mi rileva il trojan.startpage.1505.
Ho provveduto a curarlo e mi dice Azione: cancellato.

Per quanto riguarda i precedenti non ho fatto nessuna azione dedicata!
Che faccio?
Thanks.

Sto terminando adesso la scansione con Dr.web e mi rileva il trojan.startpage.1505.
Ho provveduto a curarlo e mi dice Azione: cancellato.

Per quanto riguarda i precedenti non ho fatto nessuna azione dedicata!
Che faccio?
Thanks.

Da Guida:
Al termine di questa fase cliccate su Completa scansione e avviate cliccando sul triangolino verde
Gli eventuali malware rilevati è preferibile metterli in quarantena cliccando sul tasto Sposta
Dopo aver terminato la scansione allegare il log per il controllo che trovate in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb

Tutto pulito!:yeah:

Un doveroso ringraziamento a (in ordine di apparizione):

:ave: wimat & Chill-Out

Un salutone ;)

Tutto pulito!:yeah:

Un doveroso ringraziamento a (in ordine di apparizione):

:ave: wimat & Chill-Out

Un salutone ;)

Prego eventualmente leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao ;)

Tutto pulito!:yeah:

Un doveroso ringraziamento a (in ordine di apparizione):

:ave: wimat & Chill-Out

Un salutone ;)

di nulla, ciao

Ciao, vi posto i miei log delle scansioni fatte. Il problema preciso è che all'avvio, specialmente "da freddo", durante il boot si pianta e si riavvia anche 6-7-8 volte. Anche in Windows può capitare il riavvio improvviso ma non accade spesso. Prima di seguire la vostra ottima guida, ho provato vari antivirus noti, tra i quali AVG che mi ha individuato un "hidden driver" -> driver nascosto in C:\windows\system32\drivers, chiamato anakoubs03.sys, il nome esatto non me lo ricordo, però è tipo questo ed è un .SYS, di questo sono sicuro. Bello però AVG che gli dici "rimuovi", riavvia e quando torni in windows ti dice che ha fatto un errore ed infatti, riscansionando non l'ha rimosso! Complimenti! Non per niente, lo odio! L'ho provato solo perché non sapevo più dove sbattere la testa.
Kaspersky Remover (quello della guida per gli infettati, per intenderci) non riesce a portare a termine la scansione (provato 3 volte) quindi ho lasciato perdere.

Di seguito i miei log nella speranza troviate qualcosa fuori posto!

LOG DI MBAM: www.hwupgrade.helloweb.eu/ParserLog/log/output12757371610.txt

LOG DI A2SCAN: www.hwupgrade.helloweb.eu/ParserLog/log/output2054575622.txt

LOG DI CUREIT: www.hwupgrade.helloweb.eu/ParserLog/log/output10071270418.txt

LOG DI HiJackThis: www.hwupgrade.helloweb.eu/ParserLog/log/output13101543832.txt

LOG DI SYSISPECTOR: www.hwupgrade.helloweb.eu/ParserLog/log/output-830562601.txt

LOG DI GMER: www.hwupgrade.helloweb.eu/ParserLog/log/output20473912.txt

LOG DI PREVCSI: www.hwupgrade.helloweb.eu/ParserLog/log/output6181506239.txt

Sono tutti stati passati con "lo SCREMATORE" Parser per Log...non sono in ordine rispetto alla guida, però io li ho lanciati rispettando la sequenza della guida per pc infetti. Ho postato quì perché avevo letto anche questa ed avevo fatto una prova con MBR.exe che però non aveva trovato nulla di anormale. Magari, poi vi allego un altro esito anche di quella.

Intanto grazie! Paolo. ;)

Ciao, vi posto i miei log delle scansioni fatte. Il problema preciso è che all'avvio, specialmente "da freddo", durante il boot si pianta e si riavvia anche 6-7-8 volte. Anche in Windows può capitare il riavvio improvviso ma non accade spesso. Prima di seguire la vostra ottima guida, ho provato vari antivirus noti, tra i quali AVG che mi ha individuato un "hidden driver" -> driver nascosto in C:\windows\system32\drivers, chiamato anakoubs03.sys, il nome esatto non me lo ricordo, però è tipo questo ed è un .SYS, di questo sono sicuro. Bello però AVG che gli dici "rimuovi", riavvia e quando torni in windows ti dice che ha fatto un errore ed infatti, riscansionando non l'ha rimosso! Complimenti! Non per niente, lo odio! L'ho provato solo perché non sapevo più dove sbattere la testa.
Kaspersky Remover (quello della guida per gli infettati, per intenderci) non riesce a portare a termine la scansione (provato 3 volte) quindi ho lasciato perdere.

Di seguito i miei log nella speranza troviate qualcosa fuori posto!

LOG DI MBAM: www.hwupgrade.helloweb.eu/ParserLog/log/output12757371610.txt

LOG DI A2SCAN: www.hwupgrade.helloweb.eu/ParserLog/log/output2054575622.txt

LOG DI CUREIT: www.hwupgrade.helloweb.eu/ParserLog/log/output10071270418.txt

LOG DI HiJackThis: www.hwupgrade.helloweb.eu/ParserLog/log/output13101543832.txt

LOG DI SYSISPECTOR: www.hwupgrade.helloweb.eu/ParserLog/log/output-830562601.txt

LOG DI GMER: www.hwupgrade.helloweb.eu/ParserLog/log/output20473912.txt

LOG DI PREVCSI: www.hwupgrade.helloweb.eu/ParserLog/log/output6181506239.txt

Sono tutti stati passati con "lo SCREMATORE" Parser per Log...non sono in ordine rispetto alla guida, però io li ho lanciati rispettando la sequenza della guida per pc infetti. Ho postato quì perché avevo letto anche questa ed avevo fatto una prova con MBR.exe che però non aveva trovato nulla di anormale. Magari, poi vi allego un altro esito anche di quella.

Intanto grazie! Paolo. ;)

Ciao Paolo perchè ti sei accodato a questo 3D dedicato alla rimozione del MBR Rootkit? Comunque riallega i log correttamente l'unico da parsare (snellire) è quello di DrWeb CureIt, rimaniamo in attesa :)

OK, vi riallego i log "lisci" con DrWeb scremato:

SYSISPECTOR: www.hwupgrade.helloweb.eu/ParserLog/log/SysInspector-UMBRELLA-12FEE1-081122-1010.txt

A2SCAN: http://www.fileqube.com/file/QVUehtR152204

MBAM: www.hwupgrade.helloweb.eu/ParserLog/log/mbam-log-2008-11-21 (14-50-30).txt

HIJACKTHIS: www.hwupgrade.helloweb.eu/ParserLog/log/hijackthis.log

GMER: www.hwupgrade.helloweb.eu/ParserLog/log/gmer.log

CUREIT (ridotto): www.hwupgrade.helloweb.eu/ParserLog/log/output-5822975973.txt

PREVCSI: www.hwupgrade.helloweb.eu/ParserLog/log/PrevxCSI.log

Dovrebbero funzionare tutti.

Mi sono accodato a questo post per non aprirne un altro ed oltretutto, sono convinto di essere affetto da un problema al MBR, dato che ripristini e formattazione non contano nulla. Il problema persiste. Fatto sta che da questi scan mi pare che sia pulito. Però, da come va, non si direbbe proprio.
Saluti! :)

VPaolo86

L'unico log allegato correttamente è quello di A2, ripeto devi scremare solo quello di CureIt :)

VPaolo86

L'unico log allegato correttamente è quello di A2, ripeto devi scremare solo quello di CureIt :)

Ho usato il Parser anche per fare il caricamento remoto, non li ho scremati (non gli ho messo la spunta) a parte CureIt. Vorrà dire che li caricherò con Fileqube.

Intanto, ti dico che questa mattina, mio padre ha acceso il pc e c'era un macello assurdo: tutti gli eseguibili erano senza icona e non lanciabili (come se fossero file a cui bisognava associare un applicativo per essere aperti...tipo Apri con...). Non potevo aprire nulla: Outlook, Explorer, AntiVirus & Co, niente di niente.

Formattato e Reinstallato (ma tanto a breve saremo daccapo).
Ho fatto uno scan approfondito con Avira Free. Mi ha rimosso dei file in System Volume Information. Ti ho allegato il log.

Ora dovrò con pazienza rifare tutte le scansioni e ripostare tutto. Quando avrò tutto, le posto. Scusa ancora, alla prossima.

PrevCSI log: http://www.fileqube.com/file/VIpggZDeG152626
GMER log: http://www.fileqube.com/file/NdMRZRfLw152625
Dovremo esserci :D

PrevCSI log: http://www.fileqube.com/file/VIpggZDeG152626
GMER log: http://www.fileqube.com/file/NdMRZRfLw152625
Dovremo esserci :D
i log sono puliti ;)
dai un occhio al trattamento in firma per mettere al sicuro il "nuovo" pc
ciao

ecco i tre log della terza fase:
http://www.fileqube.com/file/kPbyov152991
http://www.fileqube.com/file/BwkjvX152993
http://www.fileqube.com/file/fIuhJJxb152992

... e complimenti per la nomination... appena ho finito con questa sciocca macchina vi voto!

ecco i tre log della terza fase:
http://www.fileqube.com/file/kPbyov152991
http://www.fileqube.com/file/BwkjvX152993
http://www.fileqube.com/file/fIuhJJxb152992

... e complimenti per la nomination... appena ho finito con questa sciocca macchina vi voto!

Snellisci il log di Cureit come indicato qui http://hwupgrade.blogspot.com/2008/11/il-parser-per-log-un-utilissimo.html

... e complimenti per la nomination... appena ho finito con questa sciocca macchina vi voto!

che vuol dire? :mbe:

ecco l'indirizzo del file filtrato:
www.hwupgrade.helloweb.eu/ParserLog/log/output597208238.txt.

la storia della nomination si riferiva a un messaggio che compare nella pagina principale di Hwupgrade, che dice che il sito è stato segnalato per la selezione "miglior sito dell'anno"... dicevo così per dire, insomma: non mi è neppure chiaro se tu che mi stai assistendo fai in qualche modo parte dello staff di Hu

ecco l'indirizzo del file filtrato:
www.hwupgrade.helloweb.eu/ParserLog/log/output597208238.txt.

la storia della nomination si riferiva a un messaggio che compare nella pagina principale di Hwupgrade, che dice che il sito è stato segnalato per la selezione "miglior sito dell'anno"... dicevo così per dire, insomma: non mi è neppure chiaro se tu che mi stai assistendo fai in qualche modo parte dello staff di Hu
carica anche un nuovo log di prevx

ecco l'indirizzo del file filtrato:
www.hwupgrade.helloweb.eu/ParserLog/log/output597208238.txt.

la storia della nomination si riferiva a un messaggio che compare nella pagina principale di Hwupgrade, che dice che il sito è stato segnalato per la selezione "miglior sito dell'anno"... dicevo così per dire, insomma: non mi è neppure chiaro se tu che mi stai assistendo fai in qualche modo parte dello staff di Hu

che importanza ha :D carica il log di Prevx ;)

ecco fatto capo
http://www.fileqube.com/file/aNczbHW153178

ecco fatto capo
http://www.fileqube.com/file/aNczbHW153178

mi sembra pulito e si vede solo roba vecchia...
in caso

disinstalla Prevx
riavvia il pc
riscaricalo http://pxnow.prevx.com/zeroL/PREVXCSIFREE_IT.exe
reinstallalo
nuovo scan e nuovo log


se non riscontri altri problemi (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
leggi bene il trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

mi sembra pulito e si vede solo roba vecchia...
in caso

disinstalla Prevx
riavvia il pc
riscaricalo http://pxnow.prevx.com/zeroL/PREVXCSIFREE_IT.exe
reinstallalo
nuovo scan e nuovo log


se non riscontri altri problemi (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
leggi bene il trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

ecco il nuovo log con programma reinstallato:
http://www.fileqube.com/file/DfeOze153189

ecco il nuovo log con programma reinstallato:
http://www.fileqube.com/file/DfeOze153189


Log pulito :)

grazie a tutti, passo alla prevenzione:D

grazie a tutti, passo alla prevenzione:D

Bravo :)

PrevCSI log: http://www.fileqube.com/file/VIpggZDeG152626
GMER log: http://www.fileqube.com/file/NdMRZRfLw152625
Dovremo esserci :D

ciao

non scrivermi in privato ;)
rischi che se non ci sono non ti assiste nessuno....

abbiamo visto che mbr non c'è

apri un nuovo 3d tutto tuo, segnala il problema e segnala i link già posta qui

poi nel nuovo 3d carica un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

Salve; sono nuovo del forum, ma seguo il sito saltuariamente da anni ed apprezzo molto i vostri articoli.
Dopo aver rimbalzato un po' in rete mi sono accorto di essere infettato da un virus che alla fine ho scoperto essere un Mebroot.k (almeno così mi ha detto nod32...)
Ho provato a seguire la Bibbia per la rimozione, ma già alla prima fase ho riscontrato diversità: prevx CSI non riscontra l'hidden disk sector....
Andando oltre, gmer riscontra il malicious code, ma eseguendo mbr per fixare, non ha alcun effetto.:muro:
Ho provato ora a usare la console ripristino di windows. Tutto è sembrato andare a posto, ho fatto girare Prevx CSI e Dr.web cureit e niente!
Tuttavia, facendo girare Gmer continua a dare notifica "sector 61: malicious code @ sector 0x1d1c4581 size 0x1a8".:muro:
Non capendoci troppo nel log di gmer vi chiedo: devo preoccuparmi? Devo fare qualcosa d'altro o posso considerare il mio vecchio PC pulito - dal mebroot ovviamente!:Prrr: -
Allego di seguito i log:
file gmer:
http://www.fileqube.com/file/iTDxQUeoU158063
file mbr:
http://www.fileqube.com/file/jIdKfBjB158064

Spero di essere stato abbastanza chiaro e di non farvi perdere troppo tempo
Grazie in anticipo!
Ciao ciao

Ciao e benvenuto per scrupolo fai girare questo tool ed allega il log

1 Fai girare questo tool http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni: http://www.norman.com/Virus/Virus_removal_tools/52382/it

Ok, come consigliato:

http://www.fileqube.com/file/FcBkWY158167

Grazie mille per l'aiuto! Siete instancabili!:D

Ok, come consigliato:

http://www.fileqube.com/file/FcBkWY158167

Grazie mille per l'aiuto! Siete instancabili!:D

Il log è ok, per quanto riguarda Gmer non preoccuparti :)

:D Grazie, grazie, grazie....:)

:D Grazie, grazie, grazie....:)

Prego prego :)

diavolaccio!

dopo che credevo - grazie ai vostri suggerimenti - di aver risolto i miei guai con MBR e ho applicato i consigli post-disinfezione, ecco un nuovo problema:
il browser non solo non accede a internet (nessun browser), ma non stabilisce neppure la comunicazione col router (che funziona, dato che l'altro computer connesso è quello da cui ora scrivo). O meglio, il ping funziona (4/4) ma non visualizzo l'interfaccia e il problema resta!!! Il messaggio visualizzato è "disconnesso dal server durante la connessione".

altre indicazioni:
-all'avvio appare il messaggio di errore "impossibile trovare uno dei file della libreria necessari per eseguire l'applicazione"
- Andando su Connessioni di rete, la macchina risulta connessa, infatti la vedo nella rete locale ed accede a internet con programmi come e-mule
- Nè Avira, nè CSI, nè Registry mechanic nè spyware doctor nè altro nacora segnalano infezioni non rimosse
- la lista delle connessioni remote nella cartella "connessioni" di propietà internet è vuota. Ora la macchina ha anche cancellato i punti di ripristino.

Tutto questo vi dice qualcosa? o si va -sob!- alla formattazione?

diavolaccio!

dopo che credevo - grazie ai vostri suggerimenti - di aver risolto i miei guai con MBR e ho applicato i consigli post-disinfezione, ecco un nuovo problema:
il browser non solo non accede a internet (nessun browser), ma non stabilisce neppure la comunicazione col router (che funziona, dato che l'altro computer connesso è quello da cui ora scrivo). O meglio, il ping funziona (4/4) ma non visualizzo l'interfaccia e il problema resta!!! Il messaggio visualizzato è "disconnesso dal server durante la connessione".

altre indicazioni:
-all'avvio appare il messaggio di errore "impossibile trovare uno dei file della libreria necessari per eseguire l'applicazione"
- Andando su Connessioni di rete, la macchina risulta connessa, infatti la vedo nella rete locale ed accede a internet con programmi come e-mule
- Nè Avira, nè CSI, nè Registry mechanic nè spyware doctor nè altro nacora segnalano infezioni non rimosse
- la lista delle connessioni remote nella cartella "connessioni" di propietà internet è vuota. Ora la macchina ha anche cancellato i punti di ripristino.

Tutto questo vi dice qualcosa? o si va -sob!- alla formattazione?

Dal momento che il problema non sembra riconducibile ad un'infezione, chiedi qui http://www.hwupgrade.it/forum/forumdisplay.php?f=123

ciao a tutti!
sono nuovo e vi espongo il mio problema:
questi giorni a quanto pare mi son beccato questo trojan.mebroot sul mio portatile. l'unico sintomo che ho riscontrato all'inizio è stato un cambiamento ai link dei risultati di ricerca di google (portavano ad altri siti che non c'entravano niente con le ricerche).

leggendo un pò in giro scarico qualche antivirus/antimalware ed effettuo scansioni. il primo a trovare qualcosa è Dr.Web (in versione free) che trova un backdoor.maosboot
ora leggo che dovrebbe essere l'equivalente del trojan.mebroot
finita la scansione clicco su ripara, e mi chiede di riavviare, ok.
ora, dopo il riavvio, e dopo la schermata di caricamento di windows, appare una velocissima schermata blu e si riavvia automaticamente.

ora ho scaricato ubuntu e l'ho fatto partire da cd per recuperare alcuni file dall'hard-disk, ma gran parte delle cartelle e dei file sono, a quanto pare, corrotti.

ora la formattazione mi sembra inevitabile, il problema è:
io ho sempre attaccato un hd usb esterno, è possibile che si sia infettato anch'esso? come faccio a scoprirlo? potrebbe infettare altri pc?

grazie mille in anticipo!

ciao a tutti!
sono nuovo e vi espongo il mio problema:
questi giorni a quanto pare mi son beccato questo trojan.mebroot sul mio portatile. l'unico sintomo che ho riscontrato all'inizio è stato un cambiamento ai link dei risultati di ricerca di google (portavano ad altri siti che non c'entravano niente con le ricerche).

leggendo un pò in giro scarico qualche antivirus/antimalware ed effettuo scansioni. il primo a trovare qualcosa è Dr.Web (in versione free) che trova un backdoor.maosboot
ora leggo che dovrebbe essere l'equivalente del trojan.mebroot
finita la scansione clicco su ripara, e mi chiede di riavviare, ok.
ora, dopo il riavvio, e dopo la schermata di caricamento di windows, appare una velocissima schermata blu e si riavvia automaticamente.

ora ho scaricato ubuntu e l'ho fatto partire da cd per recuperare alcuni file dall'hard-disk, ma gran parte delle cartelle e dei file sono, a quanto pare, corrotti.

ora la formattazione mi sembra inevitabile, il problema è:
io ho sempre attaccato un hd usb esterno, è possibile che si sia infettato anch'esso? come faccio a scoprirlo? potrebbe infettare altri pc?

grazie mille in anticipo!

Ciao e benvenuto, quando parli di files corrotti cosa intendi?

esplorando l'hard disk da ubuntu, alcune cartelle appaiono proprio vuote, ed alcuni file non riesce ad aprirli (e a copiarli)

ah e windows non si avvia più..

presumo siano corrotti no?

esplorando l'hard disk da ubuntu, alcune cartelle appaiono proprio vuote, ed alcuni file non riesce ad aprirli (e a copiarli)

ah e windows non si avvia più..

presumo siano corrotti no?

Strano, comunque per quanto concerne l'hd esterno dopo aver formattato il pc lo colleghi tenendo premuto il tasto SHIFT (è il tasto con la freccetta verso l'alto) per impedire l'esecuzione in Autoplay dopodichè lo verifichi con il parco software di sicurezza ha disposizione.

Questa mattina mi è apparsa una brutta schermata di Avast che dice :

"E' stato identificato un oggetto nascosto sospetto (rootkit) nel vostro sistema.Potrebbe essere un'infezione virus.Si consiglia di rimuovere immediatamente l'oggetto.

Nome del file : MBR:\\.\PHYSICALDRIVE0
Tipo : Rootkit: settore boot nascosto "

Ho provato a rimuoverlo con Avast senza successo.

Navigando su Internet avrei trovato la procedura per rimuoverlo però dovrei entrare in modalità provvisoria.
Il problema è che quando premo il tasto F8 il virus non mi permette l'avvio in Modalità provvisoria; infatti quando premo F8, mi appaiono le varie opzioni tra cui la Modalità Provvisoria, ma se la seleziono, si riavvia il sistema e ritorno nuovamente nella schermata Modalità provvisoria - Modalità normale ecc..

L'unico modo consentito è quello di avviarlo in Modalità normale.Però in questo caso non riesco a rimuovere il virus.

Ero tentato di attivare la Modalita' provvisoria da Start->Esegui>msconfig>BOOT.INI poi spuntare l'opzione /SAFEBOOT

però ho paura che al riavvio il PC entri in Loop cioè che non si possa più riavviare in alcun modo.

Aiutoo, non so + cosa fare!

Grazie anticiapatamente.

P.S. S.O. Windows XP HOM

@Chill-Out riporto la discussione scritta nell'altro post.
La procedura da te indicate va bene per le prime 2 fasi ma alla fase 2 quando dovrei rimuovere il virus mi fermo visto che non riesco a riavviare in modalità provvisoria.

Aggiornamento dell'ultima ora :

Credo di aver capito quale sia la causa della mancata possibilità si riavvio in Modalità Provvisoria.
Cercando su internet pare sia il file "a347bus.sys" di Alcohol 120%. che crea problemi all'avvio.
Ho letto molti pareri su come risolvere il problema, ma non ho trovato una vera e propria procedura sicura per la risoluzione del problema.

C'è qualcuno che può darmi delle informazioni + dettagliate ?

Grazie.

Prima devo riuscire ad entrare in modalità porvvisoria poi penserò a rimuovere il virus

La :: PRIMA FASE :: prevede la pubblicazione di due log, senza vederli tiriamo ad indovinare.

salve a tutti...
posto il mio problema in questa sezione in quanto il topic da me aperto è stato giustamente chiuso, visto che c'era già un argomento simile, anche se resta comunque un grosso intoppo (motivo per cui avevo aperto una discussione diversa):

nella guida ci sono i link da cui scaricare i programmi che servono, ma il mio problema è proprio quello!.
il computer mi fa aprire solo i siti tra i preferiti e quasi nessun altro.

l'antivirus segnala infatti un boot sector virus impossibile da rimuovere
(in questo topic avevo spiegato meglio il problema:
http://www.hwupgrade.it/forum/showthread.php?p=25646365#post25646365)

come mi comporto?

aggiungo una nota:
ho provato a formattare il volume ma mi dice che è impossibile completare la formattazione...

Ciao a tutti questi sono i link

http://wikisend.com/download/643214/prevx.log

http://wikisend.com/download/961696/gmer.log

Tenete presente che ho 2 sistemi operativi installati (xp-ubuntu con ubuntu installato dopo quindi alla partenza mi si apre il grub) e che al grub mi suona la campanella e mi compare il messaggio ChipAwayVirus...

Grazie per l'aiuto
Luca

Ciao a tutti questi sono i link

http://wikisend.com/download/643214/prevx.log

http://wikisend.com/download/961696/gmer.log

Tenete presente che ho 2 sistemi operativi installati (xp-ubuntu con ubuntu installato dopo quindi alla partenza mi si apre il grub) e che al grub mi suona la campanella e mi compare il messaggio ChipAwayVirus...

Grazie per l'aiuto
Luca

Fai girare questo tool http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni: http://www.norman.com/Virus/Virus_removal_tools/52382/it

Allega log di Norman Sinowal Cleaner + nuovo log di Gmer

ho fatto il Norman Sinowal Cleaner mi ha chiesto di riavviare il computer e al riavvio non mi arriva al grub si ferma prima e dice DISK BOOT FAILURE che faccio?

Fai girare questo tool http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni: http://www.norman.com/Virus/Virus_removal_tools/52382/it

Allega log di Norman Sinowal Cleaner + nuovo log di Gmer

ho fatto il Norman Sinowal Cleaner mi ha chiesto di riavviare il computer e al riavvio non mi arriva al grub si ferma prima e dice DISK BOOT FAILURE che faccio? Sono entrato con knoppix e dice che l'hard disk è tutto libero possibile che mi ha formattato tutto?

ho fatto il Norman Sinowal Cleaner mi ha chiesto di riavviare il computer e al riavvio non mi arriva al grub si ferma prima e dice DISK BOOT FAILURE che faccio?

Come è possibile? Dal Bios F10 imposta l'hdd come First Boot Device salvi le impostazioni ed esci

Come è possibile? Dal Bios F10 imposta l'hdd come First Boot Device salvi le impostazioni ed esci

niente non funziona è come se avesse cancellato l'mbr e il grub come faccio a reinstallare l'mbr?

Sono entrato con knoppix e dice che l'hard disk è tutto libero possibile che mi ha formattato tutto?

No impossibile

niente non funziona è come se avesse cancellato l'mbr e il grub come faccio a reinstallare l'mbr?

* Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS
* Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY
* Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive
* A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows
* Premi F10 per confermare ed uscire
* Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
* Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
* Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, 1) X:\Windows quindi premere 1 e confermare con OK
* Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.
* Al prompt dei comandi digita FIXMBR e clicca su Y per confermare
* Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows


Mi viene qualche dubbio su dove e come è installato Ubuntu

No impossibile



* Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS
* Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY
* Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive
* A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows
* Premi F10 per confermare ed uscire
* Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
* Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
* Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, 1) X:\Windows quindi premere 1 e confermare con OK
* Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.
* Al prompt dei comandi digita FIXMBR e clicca su Y per confermare
* Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows


Mi viene qualche dubbio su dove e come è installato Ubuntu

Ho reinstallato l'mbr ora tutto ok ho dovuto reinstallare grub per rivedere linux all'avvio... Comunque non mi da piu' il segnale di virus all'avvio questo è l'importante ciao grazie

Ho reinstallato l'mbr ora tutto ok ho dovuto reinstallare grub per rivedere linux all'avvio... Comunque non mi da piu' il segnale di virus all'avvio questo è l'importante ciao grazie

Prego di nulla, anche se per un attimo ho temuto il peggio, saresti cortese da allegare il log di Norman e Gmer, grazie ;)

Prego di nulla, anche se per un attimo ho temuto il peggio, saresti cortese da allegare il log di Norman e Gmer, grazie ;)

questo è il nuovo log di gmer http://wikisend.com/download/682810/gmer.log

purtroppo non posso allegarti il Norman perchè ho scordato di salvarlo comunque ricordo che mi aveva riparato 2 errori tipo hd0 e hd1 e poi mi ha chiesto di riavviare il computer... Posso prendere qualche precauzione per il futuro contro questi rootkit?

questo è il nuovo log di gmer http://wikisend.com/download/682810/gmer.log

purtroppo non posso allegarti il Norman perchè ho scordato di salvarlo comunque ricordo che mi aveva riparato 2 errori tipo hd0 e hd1 e poi mi ha chiesto di riavviare il computer... Posso prendere qualche precauzione per il futuro contro questi rootkit?

Beh ti suggerisco la lettura degli approfondimenti linkati in prima pagina in modo da avere una visione più chiara del problema, in linea di massima non conoscendo il tuo parco software di sicurezza sotto Win puoi leggere qui http://www.hwupgrade.it/forum/showthread.php?t=1726383, importante l'uso di account limitato e browser alternativo ad IE meglio se sandboxato.
A livello software ti posso consiglare il nuovo Prevx Edge (http://www.prevx.com/) che controlla in tempo reale anche l'integrita del MBR

Salve a tutti.
Il mio problema ha a che vedere con il malefico rootkit BOO/Sinowal.A rilvato da Avira.
Ieri avevo provato a rimuoverlo con il tool di rimozione di Avira, ma oggi me l'ha beccato di nuovo e allora ho provato con Prevxcsi e gmer come da voi consigliato.
Allego i log, sperando di aver copiato tutto correttamente.
Prevxcsi non rileva però nessun problema.
E' un falso positivo allora?
Qui i link:
http://www.mediafire.com/?sharekey=565ce9819279fd73d2db6fb9a8902bda
Grazie per la risposta

Salve a tutti.
Il mio problema ha a che vedere con il malefico rootkit BOO/Sinowal.A rilvato da Avira.
Ieri avevo provato a rimuoverlo con il tool di rimozione di Avira, ma oggi me l'ha beccato di nuovo e allora ho provato con Prevxcsi e gmer come da voi consigliato.
Allego i log, sperando di aver copiato tutto correttamente.
Prevxcsi non rileva però nessun problema.
E' un falso positivo allora?
Qui i link:
http://www.mediafire.com/?sharekey=565ce9819279fd73d2db6fb9a8902bda
Grazie per la risposta

ciao

prevx è pulito, idem per gmer ma non so se hai cliccato su scan per la scansione lunga, il log mi sembra un pò troppo corto

ciao

prevx è pulito, idem per gmer ma non so se hai cliccato su scan per la scansione lunga, il log mi sembra un pò troppo corto

Si, ho cliccato su "Scan", ho provato adesso anche a rifare una scansione, ma non mi ha dato un log molto più lungo.