Si, ho cliccato su "Scan", ho provato adesso anche a rifare una scansione, ma non mi ha dato un log molto più lungo.
allora sei ok

allora sei ok

Olè...
:D

Olè...
:D

per completezza configura antivir come indicato qui (http://www.hwupgrade.it/forum/showthread.php?t=1514684), fai una scansione completa e carichi il log/report secondo queste modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

per completezza configura antivir come indicato qui (http://www.hwupgrade.it/forum/showthread.php?t=1514684), fai una scansione completa e carichi il log/report secondo queste modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

Ho fatto i compiti e questo è il risultato... pardon: il log

Ho fatto i compiti e questo è il risultato... pardon: il log

avira non è settato bene
Primary action...................: repair
Secondary action.................: ignore <--- delete


l'infezione sembra che venga rilevata in d:
d: lo usavi come disco principale prima?

avira non è settato bene



l'infezione sembra che venga rilevata in d:
d: lo usavi come disco principale prima?

Mannaggia, m'è sfuggito...
No.
E' sempre stato così dacchè ho comprato il pc
Se non erro, dice nel log che si trovano "tracce" o "residui" di questo virus...

Download tools necessari per la rimozione/disinfezione:

Stealth MBR rootkit detector -> Download (http://www2.gmer.net/mbr/mbr.exe)
Ciao,ho provato a scaricare il tool ma Avira non mi lascia accedere alla pagina per il download e rilascia questo messaggio:
L'accesso al file è stato negato!
Avviso: il contenuto di questo sito web rientra in una categoria indesiderata: Malware

URL richiesto: http://www2.gmer.net/mbr/mbr.exe


Creato da AntiVir WebGuard 8.0.15.0, WCDB 7.0.107.1230Vorrei un consiglio su come procedere,se ad es. disabilitare il webguard,perchè si tratta di falso positivo accertato,o se invece rinunciare a scaricare il tool se c'è davvero qualcosa che non va nel sito.Mi scuso se questa domanda è già stata fatta.Grazie in anticipo per la risposta.

Ciao,ho provato a scaricare il tool ma Avira non mi lascia accedere alla pagina per il download e rilascia questo messaggio:
Vorrei un consiglio su come procedere,se ad es. disabilitare il webguard,perchè si tratta di falso positivo accertato,o se invece rinunciare a scaricare il tool se c'è davvero qualcosa che non va nel sito.Mi scuso se questa domanda è già stata fatta.Grazie in anticipo per la risposta.

Sarebbe opportuno procedere come indicato in Guida ovvero:

Fase preliminare e Prima fase

la seconda prevede 2 log da produrre per il controllo, dopodichè vediamo se e come procedere, ciao.

Sarebbe opportuno procedere come indicato in Guida ovvero:

Fase preliminare e Prima fase

la seconda prevede 2 log da produrre per il controllo, dopodichè vediamo se e come procedere, ciao.Grazie per la risp.
Le scansioni con Gmer e Prevx Edge non hanno evidenziato traccia di infezioni,col tool mbr.exe vorrei solo fare qualche test,non credo di essere infetto da rootkits.Prima di farti impegnare tempo per leggere i logs di Gmer e Prevx Edge [se può sostituire il log di Prevx CSI] provo a chiedere nel 3d di Avira se qualche altro utente che usa Avira Premium riceve lo stesso alert se cerca di scaricare l'mbr.exe.Ciao.

Grazie per la risp.
Le scansioni con Gmer e Prevx Edge non hanno evidenziato traccia di infezioni,col tool mbr.exe vorrei solo fare qualche test,non credo di essere infetto da rootkits.Prima di farti impegnare tempo per leggere i logs di Gmer e Prevx Edge [se può sostituire il log di Prevx CSI] provo a chiedere nel 3d di Avira se qualche altro utente che usa Avira Premium riceve lo stesso alert se cerca di scaricare l'mbr.exe.Ciao.

Se la tua domanda è riferita solo all'alert allora si la segnalazione di Avira è normale, se non sei infetto è inutile fare esperimenti ;)

Ciao
In allegato il log dove nella prima riga c'è il risultato di prevx
e sotto quello di gmer

come devo procedere a rimuovere l'infezione?
S.O. Windows XP pro
Grazie

Ciao
In allegato il log dove nella prima riga c'è il risultato di prevx
e sotto quello di gmer

come devo procedere a rimuovere l'infezione?
S.O. Windows XP pro
Grazie

Ciao e benvenuto procedi esattamente come indicato in Guida ;)

Ciao a tutti ... anche a me Antivir mi ha segnalato il rootkit ... ho seguito la guida ma a me non appare mai copy of MBR has been found in sector 62 ma arriva solo alla riga malicius code ..... e nulla + .... come mai? che posso fare?
Grazie a tutti ...

Ciao a tutti ... anche a me Antivir mi ha segnalato il rootkit ... ho seguito la guida ma a me non appare mai copy of MBR has been found in sector 62 ma arriva solo alla riga malicius code ..... e nulla + .... come mai? che posso fare?
Grazie a tutti ...

Allega secondo le modalità i due log richiesti nella :: Prima fase :: della presente Guida

Eccoli ...

http://www.fileqube.com/file/dePnSUXZA165798

http://www.fileqube.com/file/kGDmvBus165799

Grazie dell'aiuto.

Ciao e benvenuto procedi esattamente come indicato in Guida ;)

Grazie per il benvenuto :)
Quindi procedo con la seconda e terza fase della guida.

Vi terrò aggiornati

Eccoli ...

http://www.fileqube.com/file/dePnSUXZA165798

http://www.fileqube.com/file/kGDmvBus165799

Grazie dell'aiuto.

Estratto dal log di Gmer

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x12a0123b size 0x1aa

puoi trascurare la segnalazione, il tuo problema è un'altro, ti suggerisco caldamente di seguire passo passo la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) Dopo aver prodotto tutti i log, apri una nuova discussione in Sezione Aiuto sono infetto (http://www.hwupgrade.it/forum/forumdisplay.php?f=125) descrivendo brevemente il tuo problema ed allegando secondo le modalità i log.

Grazie per il benvenuto :)
Quindi procedo con la seconda e terza fase della guida.

Vi terrò aggiornati

Si, attendiamo i log per il controllo ;)

ciao a tutti. ringrazio in anticipo per l'attenzione e premetto che non sono un mostro con il pc.
ieri sera il computer si è riavviato da solo e una volta riacceso è uscito un messaggio che faceva tipo "trend chipavirus has deteected a boot virus on your hard disk" io ho continuato e all'accensione conpleta avast mi ha trovato un rootkit:mbr physicaldrive
ho seguito le istruzioni della prima fase della guida ora vi posto i link

http://wikisend.com/download/448098/prevx.log prevx
http://wikisend.com/download/479334/gmer.txt

grazie

ciao a tutti. ringrazio in anticipo per l'attenzione e premetto che non sono un mostro con il pc.
ieri sera il computer si è riavviato da solo e una volta riacceso è uscito un messaggio che faceva tipo "trend chipavirus has deteected a boot virus on your hard disk" io ho continuato e all'accensione conpleta avast mi ha trovato un rootkit:mbr physicaldrive
ho seguito le istruzioni della prima fase della guida ora vi posto i link

http://wikisend.com/download/448098/prevx.log prevx
http://wikisend.com/download/479334/gmer.txt

grazie

Ciao e benvenuto sul Forum procedi pure con la fase successiva ovvero :: SECONDA FASE ::

seconda fase eseguita
purtroppo ho fatto un po' di casini e ho i link solo degli ultimi due log

http://wikisend.com/download/558960/mbr3.log
http://wikisend.com/download/498288/FixMebroot.log

i primi due quelli in modalità provvisoria erano però come quelli nella guida

volevo chiedereun'altra cosa
dopo aver fatto partire fixmebroot.exe il computer mi si è riavviato...è la normale procedura?


grazie

seconda fase eseguita
purtroppo ho fatto un po' di casini e ho i link solo degli ultimi due log

http://wikisend.com/download/558960/mbr3.log
http://wikisend.com/download/498288/FixMebroot.log

i primi due quelli in modalità provvisoria erano però come quelli nella guida

volevo chiedereun'altra cosa
dopo aver fatto partire fixmebroot.exe il computer mi si è riavviato...è la normale procedura?


grazie
procedi con la terza fase, quindi carica il log di prevx e quello della scansione completa di cureit, filtrato come punto 4 delle modalità in firma

scuasate un'ulteriore domanda...il file infetto potrebbe torvarsi su un hard disk esterno?perchè io utilizzo un hard disk esterno di quelli slim per salvare quasi tutto poichè quello interno è piccolo...ieri spento il computer lo avevo staccato quindi non ha subito i controlli fatti oggi.l'ho riattaccato ora prima dell'analisi con dr.web cureit.alla scansione iniziale mi ha trovato un file "master boot record HDD2" infetto.
comunque adesso appena finita la scansione completa posto i log

scuasate un'ulteriore domanda...il file infetto potrebbe torvarsi su un hard disk esterno?perchè io utilizzo un hard disk esterno di quelli slim per salvare quasi tutto poichè quello interno è piccolo...ieri spento il computer lo avevo staccato quindi non ha subito i controlli fatti oggi.l'ho riattaccato ora prima dell'analisi con dr.web cureit.alla scansione iniziale mi ha trovato un file "master boot record HDD2" infetto.
comunque adesso appena finita la scansione completa posto i log

Hai eseguito la procedura correttamente attediamo i log di Prevx CSI - Gmer - CureIt del supporto removibile ci occupiamo poi ;)

Ecco il log di Gmer. Penso che il mio MBR sia infetto cosa dite?


Process C:\WINDOWS\Fonts\wmsncs.exe (*** hidden *** ) 1632
Process C:\WINDOWS\wmssvc.exe (*** hidden *** ) 1856

Ecco il log di Gmer. Penso che il mio MBR sia infetto cosa dite?


Process C:\WINDOWS\Fonts\wmsncs.exe (*** hidden *** ) 1632
Process C:\WINDOWS\wmssvc.exe (*** hidden *** ) 1856

ciao

il log va caricato tutto e secondo le modalità
quello non è comunque sintomo di mbr infetto ma di probabile rootkit

dopo 8 e rotte ore di scansione con dr.web ecco i log della terza fase

http://wikisend.com/download/505386/prevx3.log
http://wikisend.com/download/526110/gmer3.txt
http://wikisend.com/download/493866/cureit filtrato.txt

grazie

dopo 8 e rotte ore di scansione con dr.web ecco i log della terza fase

http://wikisend.com/download/505386/prevx3.log
http://wikisend.com/download/526110/gmer3.txt
http://wikisend.com/download/493866/cureit filtrato.txt

grazie

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

sta mattina il computer si è avviato tranquillamente. si è aperta una finestra di microsoft windows con scritto "il sistema è stato ripristinato in seguito a un grave errore". avast non mi ha segnalato più nessun file infetto.

grazie mille per l'aiuto!!!

sta mattina il computer si è avviato tranquillamente. si è aperta una finestra di microsoft windows con scritto "il sistema è stato ripristinato in seguito a un grave errore". avast non mi ha segnalato più nessun file infetto.

grazie mille per l'aiuto!!!

Bene, mi raccomando segui la Guida indicata sopra dall'utente wjmat, e non dimenticare di controllare l'HDD esterno tenendo premuto il tasto SHIFT onde evitare l'esecuzione in AutoPlay.

Salve sono alle prese con qesto simpatico rootkit, un amico mi ha portato il pc perche non riusciva ad effettuare il ripristino con i cd di ripristino della casa ed io ho pensato ci fosse un problema nell'mbr visto che riavviava sempre windos normalmente, l'ho fixato con mbrfix non conoscendo l'esistenza del malefico in questione ed ho efettuato il ripristino,ora che ne sono venuto a conoscenza ho effettuato una scansione com gmer e Prevx CSI , gmer mi dice che mbr è infetto mentre prev csi non trova nulla di strano, ho provato a passare direttamente alla fase 2 ma quando lancio mbr.exe -f non mi ripristina l'mbr..... A questo punto la domanda sorge spontanea...come fare??? ora non posso inviarvi i log se riesco domani li invio se avete qualche idea in merito sul come procedere fatemi sapere ciaoo e grazie

Salve sono alle prese con qesto simpatico rootkit, un amico mi ha portato il pc perche non riusciva ad effettuare il ripristino con i cd di ripristino della casa ed io ho pensato ci fosse un problema nell'mbr visto che riavviava sempre windos normalmente, l'ho fixato con mbrfix non conoscendo l'esistenza del malefico in questione ed ho efettuato il ripristino,ora che ne sono venuto a conoscenza ho effettuato una scansione com gmer e Prevx CSI , gmer mi dice che mbr è infetto mentre prev csi non trova nulla di strano, ho provato a passare direttamente alla fase 2 ma quando lancio mbr.exe -f non mi ripristina l'mbr..... A questo punto la domanda sorge spontanea...come fare??? ora non posso inviarvi i log se riesco domani li invio se avete qualche idea in merito sul come procedere fatemi sapere ciaoo e grazie

Ciao allega come indicato in Guida i log di Prevx CSI e Gmer :)

ok provo ad inviare i log

http://wikisend.com/download/204564/prevcsilog.txt
http://wikisend.com/download/475786/gmer.txt


ciao e grazie

ok provo ad inviare i log

http://wikisend.com/download/204564/prevcsilog.txt
http://wikisend.com/download/475786/gmer.txt


ciao e grazie

procedi con la seconda fase

ecco i log della seconda fase

http://wikisend.com/download/564606/mbr1.log
http://wikisend.com/download/916340/mbr2.log
http://wikisend.com/download/963192/mbr3.log
http://wikisend.com/download/522320/FixMebroot.log

ciao e grazie

ecco i log della seconda fase

http://wikisend.com/download/564606/mbr1.log
http://wikisend.com/download/916340/mbr2.log
http://wikisend.com/download/963192/mbr3.log
http://wikisend.com/download/522320/FixMebroot.log

ciao e grazie

procedi con la terza

ed ecco i nuovi log

http://wikisend.com/download/473918/prevcsi.log
http://wikisend.com/download/547902/CureIt.log

ciao

ed ecco i nuovi log

http://wikisend.com/download/473918/prevcsi.log
http://wikisend.com/download/547902/CureIt.log

ciao

Ciao Juan sei OK per quanto concerne il log di Gmer

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0xba50e41 size 0x1a8
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

non preoccuparti :)

ok ma da cosa e dovuto quel messaggio???

va be forse chiedo troppo

comunque grazie di tutto.
a presto

ok ma da cosa e dovuto quel messaggio???

va be forse chiedo troppo

comunque grazie di tutto.
a presto

Significa che c'è del codice appeso in quel settore ma non sei infetto :)

Salve a tutti..purtroppo dopo anni di tranquillità anche il mio PC si è infettato.E' cominciato tutto con un avvio senza icone e barra applicazioni (solo task manager) e da qui il calvario.ffettuando scansioni come indicato nella guida ho trovato i seguenti:(spyware doct e prevx)
-rld52.tmp
-wuauclt.exe
-twex.exe
I primi 2 eliminati manualmente, twex invece no.
Any tips?
Grazie in anticipo.

Log rimossi leggere le Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598), grazie.

Salve a tutti..purtroppo dopo anni di tranquillità anche il mio PC si è infettato.E' cominciato tutto con un avvio senza icone e barra applicazioni (solo task manager) e da qui il calvario.ffettuando scansioni come indicato nella guida ho trovato i seguenti:(spyware doct e prevx)

ciao

i prossimi log secondo le modalità, grazie

apri qui (http://www.hwupgrade.it/forum/forumdisplay.php?s=&daysprune=&f=125) una discussione, spieghi brevemente il problema e poi segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post, e secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

Salve,continuo qui la mia discussione iniziata in
http://www.hwupgrade.it/forum/showthread.php?t=1914371

I 2 log di cure it e prevxi entrambi in provvisoria?

Salve,continuo qui la mia discussione iniziata in
http://www.hwupgrade.it/forum/showthread.php?t=1914371

I 2 log di cure it e prevxi entrambi in provvisoria?

solo cureit se non riesci in mod. normale
prevx da normale dato che richiede la connessione al web

ok prevx csi
http://wikisend.com/download/564594/
cure it da provvisoria.
http://wikisend.com/download/558960/
RICORDO CHE HO ENTRAMBI i dischi infetti che faccio? la stessa cosa per l'altro?

ok prevx csi
http://wikisend.com/download/564594/
cure it da provvisoria.
http://wikisend.com/download/558960/
RICORDO CHE HO ENTRAMBI i dischi infetti che faccio? la stessa cosa per l'altro?

potresti caricarmi il log di cureit filtrato come da punto 4 delle modalità in firma, grazie

scusa non ho capito, cosa dovrei fare?Filtrato?Io ho fatto lo scan da provvisoria ed ho incluso entrambi i dischi e fatto scansione completa.

scusa non ho capito, cosa dovrei fare?Filtrato?Io ho fatto lo scan da provvisoria ed ho incluso entrambi i dischi e fatto scansione completa.

Sia il log di CureIt che Prevx CSI risultano puliti, per quanto concerne il log di Gmer non ti devi preoccupare, quali problemi riscontri?

Allora ho avuto 3 schermate blu

STOP:0x0000008E (0x0000005, 0x804E13D0, 0xF69FBC4, 0x00000000)

STOP:0x0000008E (0xC00000005, 0x804E13D0, 0xAB320BC4, 0X00000000)

STOP:0x0000008E (0xC00000005, 0x804E13D0, 0xA85B8ACC, 0X00000000)

Errore generico difficile risalire al problema

ciao a tutti,
frequento da vario tempo il vostro forum e vi ringrazio perche mi è spesso stato utile per risolvere dei problemi col mio pc.
stavolta ho un problema che apparentemente nn da problemi, ma da quanto ho capito non è per niente da trascurare.
vi allego quindi il log della prima scansione effettuata con prevx (http://wikisend.com/download/958684/prevx.log) e poi una prima immagine (http://wikisend.com/download/869122/gmer.JPG)che mi è apparsa dopo aver avviato la scansione con gmer, che poi ha prodotto questo log (http://wikisend.com/download/504606/gmer.txt). spero sia tutto chiaro e di risolvere presto grazie al vostro prezioso aiuto. grazie!:D

ciao a tutti,
frequento da vario tempo il vostro forum e vi ringrazio perche mi è spesso stato utile per risolvere dei problemi col mio pc.
stavolta ho un problema che apparentemente nn da problemi, ma da quanto ho capito non è per niente da trascurare.
vi allego quindi il log della prima scansione effettuata con prevx (http://wikisend.com/download/958684/prevx.log) e poi una prima immagine (http://wikisend.com/download/869122/gmer.JPG)che mi è apparsa dopo aver avviato la scansione con gmer, che poi ha prodotto questo log (http://wikisend.com/download/504606/gmer.txt). spero sia tutto chiaro e di risolvere presto grazie al vostro prezioso aiuto. grazie!:D

Ciao e benvenuto segui esattamente quanto indicato in Guida ovvero:

:: FASE PRELIMINARE ::
:: SECONDA FASE ::

attendiamo i log per il controllo ;)

eccomi...mi ero fermato alla prima fase come indicato alla fine della stessa......
ora ti posto anche i log degli altri programmi

prevx (http://wikisend.com/download/958684/prevx.log)
schermata (http://wikisend.com/download/869122/gmer.JPG)all'inizio della scansione con gmer
gmer (http://wikisend.com/download/504606/gmer.txt)
mbr1 (http://wikisend.com/download/470796/mbr1.log)
mbr2 (http://wikisend.com/download/543736/mbr2.log)
mbr3 (http://wikisend.com/download/515888/mbr3.log)
fixmebroot (http://wikisend.com/download/476050/FixMebroot.log)

grazieeeeeeeee!!!!!!!!!:cool:


detto cio una sola domanda vorrei aggiungere: quale programma consigliate per tenere il piu sicuro possibile il pc? io ho nod32 e avrei disponibile anche il symantec norton; va bene uno di questi 2, tutti e 2 insieme o avevte altro da suggerire?
grazieee ancora!


mi sono andato a rivedere i log...pare che il mebroot non ci sia piu! i log sono il risultato di una ripetizione della seconda fase, in quanto dopo la prima volta avevo dimenticato i log che si sono sovrascritti credo......ora provando una nuova scansione con NOD la prima cosa che mi dice è "Si è verificato un errrore durante il controllo del settore MBR di 3.Disco fisico. Errore nella lettura del settore"....abbiamo ulteriori problemi?

eccomi...mi ero fermato alla prima fase come indicato alla fine della stessa......
ora ti posto anche i log degli altri programmi

prevx (http://wikisend.com/download/958684/prevx.log)
schermata (http://wikisend.com/download/869122/gmer.JPG)all'inizio della scansione con gmer
gmer (http://wikisend.com/download/504606/gmer.txt)
mbr1 (http://wikisend.com/download/470796/mbr1.log)
mbr2 (http://wikisend.com/download/543736/mbr2.log)
mbr3 (http://wikisend.com/download/515888/mbr3.log)
fixmebroot (http://wikisend.com/download/476050/FixMebroot.log)

grazieeeeeeeee!!!!!!!!!:cool:

procedi con la terza fase
il log di cure it caricalo seguendo il punto 4 delle modalità in firma

avevo editato il mio mess forse proprio mentre mi rispondevi, ci avevo scritto questo:

detto cio una sola domanda vorrei aggiungere: quale programma consigliate per tenere il piu sicuro possibile il pc? io ho nod32 e avrei disponibile anche il symantec norton; va bene uno di questi 2, tutti e 2 insieme o avevte altro da suggerire?
grazieee ancora!


mi sono andato a rivedere i log...pare che il mebroot non ci sia piu! i log sono il risultato di una ripetizione della seconda fase, in quanto dopo la prima volta avevo dimenticato i log che si sono sovrascritti credo......ora provando una nuova scansione con NOD la prima cosa che mi dice è "Si è verificato un errrore durante il controllo del settore MBR di 3.Disco fisico. Errore nella lettura del settore"....abbiamo ulteriori problemi?

Allega il log del Nod

noi aspettiamo comunque i log della terza fase
per tutto il resto c'è il trattamento post in firma

ma il log di nod in formato testo dove lo trovo? nod ha finito, a cureIt manca un 20% circa....

ma il log di nod in formato testo dove lo trovo? nod ha finito, a cureIt manca un 20% circa....

Dovresti trovarlo in Strumenti - File di rapporto o qualcosa del genere

non lo trovo...ho trovato un nod32.log dentro la cartella dove sta installato il programma ma c'è il resoconto della scansione precedente. probabilmente dovrei chiudere questa scansione e il log nuovo si sovrascrive al vecchio, ma ho paura che nn sia cosi! :confused:

non lo trovo...ho trovato un nod32.log dentro la cartella dove sta installato il programma ma c'è il resoconto della scansione precedente. probabilmente dovrei chiudere questa scansione e il log nuovo si sovrascrive al vecchio, ma ho paura che nn sia cosi! :confused:

Il log lo trovi nel Pannelo di Amministrazione del tuo Nod se non dovessi trovarlo riporta per esteso parola per parola la dicitura relativa al MBR

comunque nel frattempo ecco il log filtrato (http://wikisend.com/download/601088/cureit filtrato.txt) di cureIt

comunque nel frattempo ecco il log filtrato (http://wikisend.com/download/601088/cureit filtrato.txt) di cureIt

Il log non è filtrato correttamente non vedo il Repot finale se hai problema caricalo su Wikisend senza filtrarlo

comunque nel frattempo ecco il log filtrato (http://wikisend.com/download/601088/cureit filtrato.txt) di cureIt

manca il pezzo più importatnte alla fine, prova a rifiltrarlo ;)

il file l'ho rinominato cosi come mi veniva chiesto, pero nella finestra del .bat mi appare per 4 volte "impossibile trovare il file"...ora lo carico zippato,
intanto ecco il log della nuova scansione (http://wikisend.com/download/542070/PrevxCSI2.log) con prevx csi

grazie per la pazienza ;)

ecco il log zippato (http://wikisend.com/download/618382/cureit.zip)

Il log lo trovi nel Pannelo di Amministrazione del tuo Nod se non dovessi trovarlo riporta per esteso parola per parola la dicitura relativa al MBR




parola per parola ve lo avevo riportato prima tra virgolette....."Si è verificato un errore durante il controllo del settore MBR di 3.Disco fisico. Errore nella lettura del settore"

No log zippati

Edit: il log del Nod si trova in Setup - Strumenti - File di rapporto

io l'ho messo zippato solo perche cosi dice la guida Se non dovessi riuscire a effetturare questa operazione, carica il log zippato o normalmente su uno dei server remoti indicati come nel punto 2 se è il log di cureit,

altrimenti sarebbe da piu di 50 mega! ditemi voi, lo metto in formato txt?

trovato il log di nod32.
eccolo (http://wikisend.com/download/558970/nod32.log)!

io l'ho messo zippato solo perche cosi dice la guida

altrimenti sarebbe da piu di 50 mega! ditemi voi, lo metto in formato txt?

Le Regole di sezione non prevedono log zippati e l'utente wjmat dovrebbe saperlo, se non riesci a filtrarlo caricalo così com'è

Le Regole di sezione non prevedono log zippati e l'utente wjmat dovrebbe saperlo, se non riesci a filtrarlo caricalo così com'è

ok sono d'accordo, lo sto uploadando ma ci vorra un po :(

Vi consiglio di far modificare la guida (http://www.hwupgrade.it/forum/showthread.php?t=1779308)4) Se devi caricare un log di kaspersky o cureit che pesano decine di MB devi usare un un file .bat per filtrare solo le righe che ci interessano per l'analisi.

scarica questo file zippato

se non visualizzi l'estensione del log abilita la visualizzazione delle estensioni dei tipi di file conosciuti

* Apri Risorse Computer -> Strumenti -> Opzioni Cartella... -> Visualizzazione
* scendi e togli la spunta a "Nascondi le estensioni per i tipi di file conosciuti" -> OK


x cureit

* estrailo e metti il file "x log cureit.bat" nella cartella dove hai il log di cureit
* rinomina il log di cureit esattamente in cureit.txt
* lancia x log cureit.bat e segui le info
* poi carica il log "cureit filtrato.txt" che verrà creato nella stessa cartella


x kaspersky

* estrailo e metti il file "x log kasp.bat" nella cartella dove hai il log di kaspersky
* rinomina il log di kaspersky esattamente in kasp.txt
* lancia x log kasp.bat e segui le info
* poi carica il log "kasp filtrato.txt" che verrà creato nella stessa cartella



Se non dovessi riuscire a effetturare questa operazione, carica il log zippato o normalmente su uno dei server remoti indicati come nel punto 2 se è il log di cureit, altrimenti per il log kaspersky estrai a mano le righe che ci interessano come indicato nel post successivo.


grazie ancora, ora pero devo lasciare il pc, torno stanotte, se nn trovo nessuno online, intanto grazie e ci sentiamo domani! ;)

ok sono d'accordo, lo sto uploadando ma ci vorra un po :(

Vi consiglio di far modificare la guida (http://www.hwupgrade.it/forum/showthread.php?t=1779308)


grazie ancora, ora pero devo lasciare il pc, torno stanotte, se nn trovo nessuno online, intanto grazie e ci sentiamo domani! ;)

Le Regole alle quali devi fare riferimento sono quello che vedi in firma ;)

questo dovrebbe essere il mio log di gmer...che ne vien fuori ?

ho fatto anche una scansione con prevX ma non è venuto niente fuori,credo

questo dovrebbe essere il mio log di gmer...che ne vien fuori ?

ho fatto anche una scansione con prevX ma non è venuto niente fuori,credo

Clean :)

Clean :)

meno male va :)

grazie :sofico:

meno male va :)

grazie :sofico:

Prego :)

eccomi tornato.....ecco il link per il log di cure it (http://wikisend.com/download/479784/cureit.txt)! speriamo in buone notizie dopo quelle del fantacalcio! :D

eccomi tornato.....ecco il link per il log di cure it (http://wikisend.com/download/479784/cureit.txt)! speriamo in buone notizie dopo quelle del fantacalcio! :D

Ok, nuovo log di Gmer e nel frattempo mi dici cosa sono D:\ e E:\

Ok, nuovo log di Gmer e nel frattempo mi dici cosa sono D:\ e E:\

D:\ è un altro harddisk, mentre E:\ è una partizione di C:\, dove è installato il sistema operativo


ecco il nuovo log di gmer (http://wikisend.com/download/183078/gmer2.txt)

D:\ è un altro harddisk, mentre E:\ è una partizione di C:\, dove è installato il sistema operativo


ecco il nuovo log di gmer (http://wikisend.com/download/183078/gmer2.txt)

Il log è vuoto File size: 0 B :)

sorry, inizia a farsi sentire il sonno.....;)

eccolo (http://wikisend.com/download/592164/gmer2.txt)

sorry, inizia a farsi sentire il sonno.....;)

eccolo (http://wikisend.com/download/592164/gmer2.txt)

Log pulito, ultima verifica scansione col Nod e fammi sapere se stampa ancora questo errore

"Si è verificato un errore durante il controllo del settore MBR di 3.Disco fisico. Errore nella lettura del settore"

Notte :)

del mebroot per quello che vedo anche io nessuna traccia, ma nod mi da ancora quell'errore

del mebroot per quello che vedo anche io nessuna traccia, ma nod mi da ancora quell'errore

Si i log come detto sopra sono puliti, ma D:\ è un'hdd removibile ?

no è dentro il case, messo a slave
ah l'unica particolarita è che l'ho attaccato al posto di un lettore cd, visto che la mia nuova scheda madre ha attacchi sata soltanto per gli hdd

no è dentro il case, messo a slave
ah l'unica particolarita è che l'ho attaccato al posto di un lettore cd, visto che la mia nuova scheda madre ha attacchi sata soltanto per gli hdd

A questo punto si tratta di capire in ordine di tempo quando ha cominciato a darti questa seglazione, comunque il problema dovrebbe essere relativo a:

- sul tuo Pc c'è una partizione nascosta per il Recovery del Pc
- non sei loggato come amministratore
- hai un lettore di Card al momento non inserito

la segnalazione ha cominciato a darla dopo che ho estratto sul pc un exe prelevato dal portatile di mio fratello, al quale nod non ha mai riscontrato problemi; pero a me per primo l'ha rilevato norton.

premetto che ho pero ahime navigato una mezzoretta senza protezione, subito dopo aver formattato!

per quanto riguarda il lettore di memory card....sono tutti esterni, l'unico collegato al momento è quello della stampante(hp 3180), solitamente ci attacco degli adattatori....

partizioni per il recovery non credo che ce ne siano, visto che non so nemmeno cosa siano :stordita:

si, sono loggato come amministratore.

la segnalazione ha cominciato a darla dopo che ho estratto sul pc un exe prelevato dal portatile di mio fratello, al quale nod non ha mai riscontrato problemi; pero a me per primo l'ha rilevato norton.

premetto che ho pero ahime navigato una mezzoretta senza protezione, subito dopo aver formattato!

per quanto riguarda il lettore di memory card....sono tutti esterni, l'unico collegato al momento è quello della stampante(hp 3180), solitamente ci attacco degli adattatori....

partizioni per il recovery non credo che ce ne siano, visto che non so nemmeno cosa siano :stordita:

si, sono loggato come amministratore.


a questo punto? sto apposto cosi?

a questo punto? sto apposto cosi?

Il problema del MBR Rootkit è risolto, per quanto concerne la segnalazione del Nod ti ho indicato le possibili cause :)

Salve,dopo aver consultato il thread sulla disinfezione il pc si è ripreso.
Ma avira mi ha avvertito di un file da system restore che è infetto 2 volte.
Ho dsabilitato il ripristino di sistema e ora faccio scansione con super anti spyware.Un grazie a tutti dell'ottimo lavoro che fate tutti i giorni!

Ho fatto un controllo dopo che un utente mi ha segnalato questa guida: dunque con prevx non ho trovato nessuna infezione,lo stato era pulito
Ho fatto anche la scansione con gmer. a tal proposito posto un immagine del file di log relativa all'ultima voce
http://img145.imageshack.us/img145/9342/senzatitolo1lm6.jpg (http://imageshack.us)
Vorrei un parere.
Aggiungo che personalmente non rilevo problemi di riavvi o cose strane

Ho fatto un controllo dopo che un utente mi ha segnalato questa guida: dunque con prevx non ho trovato nessuna infezione,lo stato era pulito
Ho fatto anche la scansione con gmer. a tal proposito posto un immagine del file di log relativa all'ultima voce

Vorrei un parere.
Aggiungo che personalmente non rilevo problemi di riavvi o cose strane

Per cortesia allega il log, le istruzione sono nella prima pagina della presente Guida.

Ho fatto un controllo dopo che un utente mi ha segnalato questa guida: dunque con prevx non ho trovato nessuna infezione,lo stato era pulito
Ho fatto anche la scansione con gmer. a tal proposito posto un immagine del file di log relativa all'ultima voce

Vorrei un parere.
Aggiungo che personalmente non rilevo problemi di riavvi o cose strane

ciao

il log in formato testuale, secondo le modalità, grazie

anche ad infezione debellata il log di gmer rimarrà "sporco"

Non riesco ad allegare nel post i due file di log,eppure sono in txt!?
cosa posso fare?

Non riesco ad allegare nel post i due file di log,eppure sono in txt!?
cosa posso fare?

modalità in firma

Non riesco ad allegare nel post i due file di log,eppure sono in txt!?
cosa posso fare?

modalità in firma

Le modalità sono nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Vediamo se così va bene

Log prevx
http://www.fileqube.com/file/QQMEXnyQq171295

Log gmer
http://www.fileqube.com/file/xrmpbDbp171296

Salve a tutti,

seguendo la guida ho scansionato il pc con PrevxCSI. Tutto OK. Anche per KIS2009 e Malwarebytes tutto a posto (scansione completa + rootkit).

Provando con Gmer, mi segnala nei settori dall'1 al 63 'Copy of MBR' oppure Malicious code at _ _ _ etc etc più altri file con nomi tipo a7tcer14.SYS o a2zxgypf.SYS.

Sto diventando parecchio paranoico. Forse anche senza motivo dato che di Kaspersky mi fido e non mi segnala nulla.. Dovrei passare al punto 2 della guida? Cioè utilizzare mbr.exe? Grazie mille a tutti per ogni eventuale risposta.

Comunque il log in modalità provvisoria ne segna parecchi dal settore 1 al settore 63. Copy of MBR: rootkit-like behaviour. Penso siano residui di una infenzione al MBR trovata mesi fa da Kaspersky e "risolta" da MBRFIX.

LINK GMER LOG (http://www.fileqube.com/file/XHAVZK171333)

LINK PREVX LOG (http://www.fileqube.com/file/ZXLMpsy171334)

Ricapitolando, programmi provati:

1) Kaspersky Internet Security 2009 (Aggiornato)

2) Malwarebytes Anti-Malware (Aggiornato)

3) PrevXCSI

4) Gmer

5) HijackThis

---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---

PS: 2 giorni, il pc non rispondeva. Freeze e riavvio forzato. Al riavvio log di DrWatson. Ecco le prime righe:

Exception dell'applicazione:
App: C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st.exe (pid=3740)
Ora: 01/02/2009 @ 20:54:10.359
Numero exception: c0000005 (access violation)

*----> System Information <----*
Nome computer:
Nome utente: ŸŸ
Id sessione terminal: 0
Numero processori: 1
Versione di Windows: 5.1

*----> Elenco Task <----*
0 System Process
4 System
1724 smss.exe
1852 csrss.exe
1876 winlogon.exe
1944 services.exe
1956 lsass.exe
280 svchost.exe
324 svchost.exe
628 svchost.exe
660 svchost.exe
772 svchost.exe
572 srvany.exe
656 nTuneService.exe
716 WanMiniport1st_srv.exe
988 IoctlSvc.exe
3360 alg.exe
3968 logonui.exe
3740 WanMiniport1st.exe
1536 drwtsn32.exe

Domanda 1: Perchè non c'è il mio nome utente ma simboli strani?

Domanda 2: Perchè WanMiniport1st.exe è diventato WanMiniport1st_srv.exe (che tra l'altro è collocato nella medesima cartella e rimanda allo stesso file, cioè WanMiniport1st.exe)???

Scusate la paranoia e grazie ancora per ogni eventuale risposta.

@BioShock3|)

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x98a412b size 0x1c8
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

sei ok è corretta la tua interpretazione, per il resto perdonami ma qui siamo OT

Vediamo se così va bene

Log prevx
http://www.fileqube.com/file/QQMEXnyQq171295

Log gmer
http://www.fileqube.com/file/xrmpbDbp171296

Qualcosa ha scritto in quei settori, ma non c'è traccia di infezione.

@BioShock3|)



sei ok è corretta la tua interpretazione, per il resto perdonami ma qui siamo OT

Perdonami, ma non ho capito cosa vuoi dire con 'Sei ok' e 'Qui siamo OT'..Ti riferisci al post-scriptum?

Ho provato con C:\MBR.exe in modalità provvisoria e mi da questo log (scusami se non l'ho uppato su fileqube ma nn riesco ad accedervi):

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x98a412b size 0x1c8 !
copy of MBR has been found in sector 62 !

Se provo con C:\MBR.exe -f, stesso log di prima; nulla di diverso..:rolleyes:

Anche lanciando l'exe in modalità normale tutto uguale. Come devo procedere??

Perdonami, ma non ho capito cosa vuoi dire con 'Sei ok' e 'Qui siamo OT'..Ti riferisci al post-scriptum?

Ho provato con C:\MBR.exe in modalità provvisoria e mi da questo log (scusami se non l'ho uppato su fileqube ma nn riesco ad accedervi):

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x98a412b size 0x1c8 !
copy of MBR has been found in sector 62 !

Se provo con C:\MBR.exe -f, stesso log di prima; nulla di diverso..:rolleyes:

Anche lanciando l'exe in modalità normale tutto uguale. Come devo procedere??

Non sei infetto, l'OT era riferito al PS ;)

Non sei infetto, l'OT era riferito al PS ;)

Ok, grazie mille veramente. E' bello veder smentite le proprie fissazioni. :p

Qualcosa ha scritto in quei settori, ma non c'è traccia di infezione.

Grazie,allora vado tranquillo ;)

vi posto i log:

prevx:
http://www.fileqube.com/file/yglDuwkn177531

gmer:
http://www.fileqube.com/file/NQqRUtk177532

che devo fare?

vi posto i log:

prevx:
http://www.fileqube.com/file/yglDuwkn177531

gmer:
http://www.fileqube.com/file/NQqRUtk177532

che devo fare?

ciao

procedi pure

mbr1:
http://www.fileqube.com/file/kQzolvtZ177543

mbr2:
http://www.fileqube.com/file/IlGfqJZDH177544

mbr3:
http://www.fileqube.com/file/uHEAFkPH177545

fixmebroot:
http://www.fileqube.com/file/dJdhHGVsU177546

mbr1, mbr2 e mbr3 mi sembrano uguali...

aggiornamento1:
addirittura prevcsi ha dato un responso peggiore...
http://www.fileqube.com/file/kviqZNmn177548

aggiornamento2:
cureit non parte neanche....:cry:

una formattazione approfondita può funzionare?

Ciao fab77 il tuo problema non è il MBR Rootkit, ti suggerisco di seguire passo passo la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, in una nuova discussione che andrai ad aprire qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend (http://wikisend.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Salve ho effettuato la prima fase e questi sono i log potreste, cortesemente, analizzarli, grazie:
http://www.fileqube.com/file/rLFiuy177731
http://www.fileqube.com/file/qYxuQyCjT177738

Salve ho effettuato la prima fase e questi sono i log potreste, cortesemente, analizzarli, grazie:
http://www.fileqube.com/file/rLFiuy177731
http://www.fileqube.com/file/qYxuQyCjT177738

Sei Ok

Sei Ok

e questa riga in gmer?

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x1d1c06c0 size 0x1ae
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

e questa riga in gmer?

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x1d1c06c0 size 0x1ae
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

Vuol dire che c'è del codice appeso in quel settore, ma non ce traccia di infezione

Vuol dire che c'è del codice appeso in quel settore, ma non ce traccia di infezione

k grazie gentilissimo:D :D

k grazie gentilissimo:D :D

Prego ;)

Sono stato infettato da questo rootkit sinowal etc.
Ecco i log di Gmer e di PrevxCSI:

log PrevxCSI (http://www.fileqube.com/file/AeHoiaElx177808)

log Gmer (http://www.fileqube.com/file/xifKxxkk177833)

Peraltro, Antivir rileva proprio un BOO/Sinowal.A boot sector virus nella pen drive,
che invece non risulta possibile analizzare con Gmer e PrevxCSI (mi sembra).
Questo è il log di Antivir, dove HD3 corrisponde alla pendrive:

log Antivir (http://www.fileqube.com/file/CxqIdla177809)

D'altra parte, se stacco la pendrive e ripeto il controllo con Antivir,
non è rilevato nessun BOO/Sinowal.A boot sector virus.

Prima Antivir rilevava questo boot virus anche in tutti gli altri hard disk,
ora invece non più dopo che ho seguito le vostre istruzioni per la disinfezione.

Prima di tutto vorrei sapere se tutti gli hard disk sono effetivamente puliti e sicuri.

Se invece rimanessero dubbi sulla pen drive, c'è un modo per ripulirla?

Se non ci fosse un modo sicuro per la pen drive, alla fine sarebbe anche meglio cambiarla.
Considerando il fatto che costa 20 euro e che però potrebbe recare danni per tanti più soldi.

gRAZIE.

Sono stato infettato da questo rootkit sinowal etc.
Ecco i log di Gmer e di PrevxCSI:

log PrevxCSI (http://www.fileqube.com/file/AeHoiaElx177808)

log Gmer (http://www.fileqube.com/file/xifKxxkk177833)

Peraltro, Antivir rileva proprio un BOO/Sinowal.A boot sector virus nella pen drive,
che invece non risulta possibile analizzare con Gmer e PrevxCSI (mi sembra).
Questo è il log di Antivir, dove HD3 corrisponde alla pendrive:

log Antivir (http://www.fileqube.com/file/CxqIdla177809)

D'altra parte, se stacco la pendrive e ripeto il controllo con Antivir,
non è rilevato nessun BOO/Sinowal.A boot sector virus.

Prima Antivir rilevava questo boot virus anche in tutti gli altri hard disk,
ora invece non più dopo che ho seguito le vostre istruzioni per la disinfezione.

Prima di tutto vorrei sapere se tutti gli hard disk sono effetivamente puliti e sicuri.

Se invece rimanessero dubbi sulla pen drive, c'è un modo per ripulirla?

Se non ci fosse un modo sicuro per la pen drive, alla fine sarebbe anche meglio cambiarla.
Considerando il fatto che costa 20 euro e che però potrebbe recare danni per tanti più soldi.

gRAZIE.

Ciao i log sono OK, ti suggerisco di configurare Avira come da Guida http://www.hwupgrade.it/forum/showthread.php?goto=newpost&t=1514684

Per quanto concerne la chiavetta USB formattala utilizzando questa utility http://files.filefront.com/SP27608exe/;9868201;/fileinfo.html

Tutto è iniziato con il fatto di non riuscire a fare lo scandisk in winxp sp3 neanchè in console di ripristino ove mi appare "il volume contiene uno o più errori irreversibili"
Non riesco ad entrare in modalità provvisoria e non riesco a reinstallare il sistema operativo...a parte queste "piccole cose"... il pc sembra funzionare bene :cry:

Ho rilevato con PrevX Csi il terribile mbr rootkit e leggendo l'ottima guida di Chillout ho lanciato mbr della Gmer sotto windows è mi da il seguente msg: "device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
MBR rootkit code detected !
malicious code @ sector 0x2e933e00 size 0x1ac !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix."

ho provato a lanciare in alternativa il tool della symantec ma non ha dato risultato (come in precedenza avevo fatto per tutti gli altri RootkitBuster della Trend, F-secure BlackLight ect..) :mc:

ecco il mio problema è che non riesco ad andare in modalità provvisoria (cioè parte ma il disco fisso lavora per ore con il cursore bianco in alto a lampeggiare!!) per lanciare mbr da lì (come dice la guida di Chill)..per provare quindi l'ultima strada dopo di che :muro: ...faccio volare il pc dal 4 piano!!
un grazie anticipato a chi saprà aiutarmi
ps si accettano biglietti per lourdes :)

Tutto è iniziato con il fatto di non riuscire a fare lo scandisk in winxp sp3 neanchè in console di ripristino ove mi appare "il volume contiene uno o più errori irreversibili"
Non riesco ad entrare in modalità provvisoria e non riesco a reinstallare il sistema operativo...a parte queste "piccole cose"... il pc sembra funzionare bene :cry:

Ho rilevato con PrevX Csi il terribile mbr rootkit e leggendo l'ottima guida di Chillout ho lanciato mbr della Gmer sotto windows è mi da il seguente msg: "device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
MBR rootkit code detected !
malicious code @ sector 0x2e933e00 size 0x1ac !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix."

ho provato a lanciare in alternativa il tool della symantec ma non ha dato risultato (come in precedenza avevo fatto per tutti gli altri RootkitBuster della Trend, F-secure BlackLight ect..) :mc:

ecco il mio problema è che non riesco ad andare in modalità provvisoria (cioè parte ma il disco fisso lavora per ore con il cursore bianco in alto a lampeggiare!!) per lanciare mbr da lì (come dice la guida di Chill)..per provare quindi l'ultima strada dopo di che :muro: ...faccio volare il pc dal 4 piano!!
un grazie anticipato a chi saprà aiutarmi
ps si accettano biglietti per lourdes :)

Ciao allega i log inerenti la :: PRIMA FASE :: ovvero Prevx CSI e Gmer

Ciao allega i log inerenti la :: PRIMA FASE :: ovvero Prevx CSI e Gmer

Eccoli:
log Prevx CSI
http://www.fileqube.com/file/ijBPznwe178312

log Gmer
http://www.fileqube.com/file/MfHnNMmm178313

Attendo trepidante la diagnosi.:help: :help:
Grazie Chill per l'interessamento.:) :) :) :) :)

Eccoli:
log Prevx CSI
http://www.fileqube.com/file/ijBPznwe178312

log Gmer
http://www.fileqube.com/file/MfHnNMmm178313

Attendo trepidante la diagnosi.:help: :help:
Grazie Chill per l'interessamento.:) :) :) :) :)

Per evitare il problema della modalità provvisoria, procedi cosi:

1 - Scarica Stealth MBR rootkit detector -> http://www2.gmer.net/mbr/mbr.exe

mettilo direttamente nella Directory C:\

da DOS digita CD \ e premi invio

ora dovresti vedere C:\> a questo punto digita mbr -f e premi invio

digita exit per uscire

2 - Fai girare questo tool http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni: http://www.norman.com/Virus/Virus_removal_tools/52382/it

3 - Scansione con DrWeb CureIT come indicato in Guida (http://www.hwupgrade.it/forum/showpost.php?p=21854177&postcount=1)

Riepilogo log da allegare:
Norman Sinowal Cleaner
DrWeb CureIt
Nuovo log Gmer
Nuovo log Prevx CSI

3 - Scansione con DrWeb CureIT come indicato in Guida (http://www.hwupgrade.it/forum/showpost.php?p=21854177&postcount=1)



chissà come mai a me nn è mai voluto partire...

chissà come mai a me nn è mai voluto partire...

E' qualche giorno che dà prolemi, non solo a tè

E' qualche giorno che dà prolemi, non solo a tè

ah.... meno male.:stordita:

e' arrivato anche il mio turno :cry:
dopo anni ed anni senza mai beccare un virus, mi ha beccato mebroot
ma come è potuto succedere... aggiorno continuamente l'antivirus e faccio (credevo) una navigazione tranquilla...
cmq non voglio annoiarvi...
...ma postando qui, dopo che avrò letto la guida, c'è speranza che si possa risolvere?
nella ipotesi che con l'aiuto di qualche anima pia si risolva, quali precauzioni prendere?
si potrebbe risalire a come, o meglio, a dove l'ho beccato?
come mai mi segnala all'accensione (il NOD32) la presenza del mebroot, mi dice che non può disinfettarlo, non riesco inizialmente a collegarmi ad internet poi, apparentemente, tutto funziona a dovere?
Illuminatemi, per piacere, non ci sto capendo nulla!!!

e' arrivato anche il mio turno :cry:
dopo anni ed anni senza mai beccare un virus, mi ha beccato mebroot
ma come è potuto succedere... aggiorno continuamente l'antivirus e faccio (credevo) una navigazione tranquilla...
cmq non voglio annoiarvi...
...ma postando qui, dopo che avrò letto la guida, c'è speranza che si possa risolvere?
nella ipotesi che con l'aiuto di qualche anima pia si risolva, quali precauzioni prendere?
si potrebbe risalire a come, o meglio, a dove l'ho beccato?
come mai mi segnala all'accensione (il NOD32) la presenza del mebroot, mi dice che non può disinfettarlo, non riesco inizialmente a collegarmi ad internet poi, apparentemente, tutto funziona a dovere?
Illuminatemi, per piacere, non ci sto capendo nulla!!!

Ciao se desideri intraprendere la procedura di disinfezione, procedi seguendo passo passo la Guida in prima pagina, sarebbe opportuno allegare anche un log del Nod :)

Grazie mio Signore!
Domani intraprendo l'avventura!!!
ma in pratica questo trojan figlio di una grande tr...
cosa fa?
mi spiego può rendere inutilizzabili i files? o il computer?
le copie di backup che tutte le sere generalmente faccio, da adesso che si è manifestato il problema continuo a farle normalmente o le indirizzo ad un'altra cartella?
...ora è tardi e vado a nanna ...
...domani mi attende una lunga giornata...

Buona Domenica a tutti...

1 domanda:
Gmer sta scansionando da almeno 5 ore...è normale?
GRAZIE

Buona Domenica a tutti...

1 domanda:
Gmer sta scansionando da almeno 5 ore...è normale?
GRAZIE

No

Azz!!!
il problema (evidenziato in rosso) me lo ha trovato subito...
sono i files che li sta passando al setaccio uno, per uno...
...dovrebbe essere quasi in fine...
bho???

PRIMA FASE

PRIMA FASE

Ok, allega anche il log di Prevx CSI, dopodichè puoi passare direttamente alla SECONDA FASE

PRIMA FASE
http://www.mediafire.com/?sharekey=caeb8849d725b96f8d78a0e555291609e04e75f6e8ebb871
scusami ma non me lo faceva allegare

SECONDA FASE:
MBR1
http://www.fileqube.com/file/mHSeMj182549

MBR2
http://www.fileqube.com/file/ROILszWNu182547

MBR3
http://www.fileqube.com/file/wMegproVo182546

FixMebroot.log
http://www.fileqube.com/file/GCCCRkL182548

N.B.: il log MBR2 temo non sia valido in quanto nel dubbio che prima del "-f" ci fosse o meno lo spazio, l'ho passato 2 volte
...spero siano indicativi dello status ugualmente...
:ave: :ave: :ave: :ave:

Tutto procede regolarmente passa alla TERZA FASE ;)

TERZA FASE

Prevx CSI.log
http://www.fileqube.com/file/EezLFe182594

cureit filtrato.txt
http://www.fileqube.com/file/ZltPtZPWF182593

Amen!!!

...sorpresina della notte!
adesso le unità oltre il disco "C" mi chiede se voglio formattarle...
...sai o immagini perchè?
...che faccio?
(per ora mi vado a coricare...)

...sorpresina della notte!
adesso le unità oltre il disco "C" mi chiede se voglio formattarle...
...sai o immagini perchè?
...che faccio?
(per ora mi vado a coricare...)

ciao

dovresti aver corrotto la tabellla delle partizioni, un ottimo programma free per questi problemi è testdisk (http://www.cgsecurity.org/wiki/TestDisk)


scaricalo da qui (http://www.cgsecurity.org/testdisk-6.10.win.zip) ed estrai l'archivio in una cartella
apri la cartella estratta e lancia testdisk_win.exe nella cartella win
lascia create e batti (invio) per creare il log alla fine delle operazioni
nella nuova finestra dovresti vedere tutti i dischi collegati riconoscibili dalla marca o dalla dimensione
scegli con le frecce quello contenente le partizioni da riparare e (batti invio)
scegli intel e batti (invio)
scegli Analise e batti (invio) per cercare la tabella delle partizioni andata persa
scegli Quick search e batti (invio)
se le partizioni da cercare sono state create con Vista premi Y nella successiva finestra, altrimenti premi N
dovresti ottenere la segnalazione della partizioni altrimenti premi invio e scegli Deeper search
una volta trovata la partizione persa seleziona Write
esci e riavvia il pc


qui (http://www.hwupgrade.it/forum/showthread.php?t=623886) puoi trovare informazioni più dettegliate ed altri software per il recupero

grazie, grazie, grazie...
sono in un tunnel da 2 giorni...
ora provo

Carissimo e preziosissimo wjmat
HO RISOLTO!
:ave: :ave: :ave: :ave:
Grazie per la disponibilità e la professonalità.
...aspetto ora solo il responso e (gli eventuali) consigli da Chill-Out

questa community, almeno per me, si riconferma come la più qualificata e la più attiva in assoluto.
:sofico:

Carissimo e preziosissimo wjmat
HO RISOLTO!
:ave: :ave: :ave: :ave:
Grazie per la disponibilità e la professonalità.
...aspetto ora solo il responso e (gli eventuali) consigli da Chill-Out

questa community, almeno per me, si riconferma come la più qualificata e la più attiva in assoluto.
:sofico:

Le cose semplici come vedi non ci piacciono, allega un log di Gmer e dimmi come si comprta il Nod

il nod è in scansione su tutti i dischi ...ci vorranno un 4 ore almeno

log Gmer

il nod è in scansione su tutti i dischi ...ci vorranno un 4 ore almeno

log Gmer

Il log di Gmer adesso è OK, attendiamo il responso del Nod per scrupolo ;)

aiuto...
...ma non si finisce mai
il prevxcsi, che si è avviato da solo suppongo, mi segnala come infezione il file gmer.exe
è un falso positivo o mi devo preoccupare?
questo prevxcsi mi conviene disinstallarlo?
GRAZIE

aiuto...
...ma non si finisce mai
il prevxcsi, che si è avviato da solo suppongo, mi segnala come infezione il file gmer.exe
è un falso positivo o mi devo preoccupare?
questo prevxcsi mi conviene disinstallarlo?
GRAZIE

Ti suggerisco di non disinstallarlo ed utilizzarlo ogni tanto per fare scansioni di controllo, tasto dx del mouse e segnala come Falso Positivo

Well

Sembrerebbe tutto OK.
grazie A TUTTI.
un ringraziamento particolare, ovviamente a Chill-Out e wjmat
:sofico: :sofico: :sofico: :sofico:

Sembrerebbe tutto OK.
grazie A TUTTI.
un ringraziamento particolare, ovviamente a Chill-Out e wjmat
:sofico: :sofico: :sofico: :sofico:

Perfetto, ciao ;)

Sembrerebbe tutto OK.
grazie A TUTTI.
un ringraziamento particolare, ovviamente a Chill-Out e wjmat
:sofico: :sofico: :sofico: :sofico:

di nulla ;)

ciao

una piccola domanda. Quando do il comando: mbr -f (sia in modalità normale che provvisoria) non fixa niente. Ottengo sempre:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x1d1c06c0 size 0x1a9 !
copy of MBR has been found in sector 62 !


Sbaglio qualcosa?

una piccola domanda. Quando do il comando: mbr -f (sia in modalità normale che provvisoria) non fixa niente. Ottengo sempre:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x1d1c06c0 size 0x1a9 !
copy of MBR has been found in sector 62 !


Sbaglio qualcosa?
ciao

carica anche i log della fase 1

Non so se vanno bene come log. Ho seguito la guida ma gmer dopo più di 3 ore continuova a scansionare :confused:

Ma Prevx CSI non è free, è shareware? Il suo log non lo riesco a caricare dice che è troppo pesante. Comunque mi pare abbia trovato solo falsi positivi.

Ho provato anche Dr. Web e non trova niente. Stessa cosa con Symantec Trojan.Mebroot Removal Tool

Non so se vanno bene come log. Ho seguito la guida ma gmer dopo più di 3 ore continuova a scansionare :confused:

Ma Prevx CSI non è free, è shareware? Il suo log non lo riesco a caricare dice che è troppo pesante. Comunque mi pare abbia trovato solo falsi positivi.

Ho provato anche Dr. Web e non trova niente. Stessa cosa con Symantec Trojan.Mebroot Removal Tool

i log pesanti secondo le regole di sezione

giustissimo, m'ero dimenticato.
Eccolo:
http://www.mediafire.com/download.php?2y2j2nnmwja (Log di Prevx Csi)

giustissimo, m'ero dimenticato.
Eccolo:
http://www.mediafire.com/download.php?2y2j2nnmwja (Log di Prevx Csi)

Cortesemente non zippati :)

colpia mia. Ero convinto che mediafire non facesse uploadare i txt. Ecco il link:
http://www.mediafire.com/download.php?mryy2zcdukm

colpia mia. Ero convinto che mediafire non facesse uploadare i txt. Ecco il link:
http://www.mediafire.com/download.php?mryy2zcdukm

Ciao segui passo questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446 ed allega i log dove appena indicato

seguito tutto alla lettera e sono pulito.
L'unico problema è dato da mbr. Strano...

seguito tutto alla lettera e sono pulito.
L'unico problema è dato da mbr. Strano...

Dal log di Prevx CSI non risulti pulito, se desideri puoi allegare i log per il controllo dove indicato, per quanto concerne Gmer qualcosa ha scritto in quel settore del disco ma non risulta nessuna infezione relativa al MBR Rootkit.

Ciao a tutti..
All'improvviso mi sono imbattuto in un virus tremendo che mi ha fatto formattare un paio di volte..
Il virus in questione,la prima volta,mi aveva corrotto esclusivamente tutti i file exe del pc. Dopo aver formattato la prima volta il problema si è ripresentato.
Inizialmente utilizzato avg che dopo l'installazione e la macchna pulita mi ripresentava a raffica segnalazioni di virus sui file exe...
Sono riuscito a risalire al tipo di virus win32/virut che ho poi cercato di curare con nod32 e con un paio di fix specifici
Dopo l'ennesimo formattone,tutto è sembrato apposto ma,dopo aver installato nod32 nuovamente,si è presentato il problema con il rootkit mebroot.k.
A sto punto ho seguito il post per ripulire il pc da questo rootkit e di seguito allego i log come indicato.
PRIMA FASE
prevxcsi http://wikisend.com/download/563698/logprevx.txt
log gmer http://wikisend.com/download/572208/loggmer.txt
SECONDA FASE
mbr1 http://wikisend.com/download/434472/mbr1.txt
mbr2 http://wikisend.com/download/545862/mbr2.txt
mbr3 http://wikisend.com/download/434468/mbr3.txt
FixMebroot http://wikisend.com/download/434336/FixMebroot.txt
TERZA FASE
prevxcsi http://wikisend.com/download/479274/logprevx2.txt

La cosa strana è che effettuando le operazioni della seconda fase con l'mbr.exe,pare che nn sia riuscito a correggere l'mbr.
ancor più strano però è che sia prevx che nod non mi danno più il problema.
Al mometo sto effettuando la scansione con cureit che purtroppo ha trovato ancora varie versioni di virut in uno dei 4 HD che ho nel pc.
Spero riusciate a darmi una mano.
Ciao

Ciao cortesemente per allegare i log utilizza i Server Remoti indicati in prima pagina

Ciao cortesemente per allegare i log utilizza i Server Remoti indicati in prima pagina

Fatto..scusa per l'errore.
Spero riusciate ad aiutarmi.
Ciao

Fatto..scusa per l'errore.
Spero riusciate ad aiutarmi.
Ciao

Ciao qualcosa ha scritto in quel settore, ma non ci sono tracce del MBR Rootkit :)

Ciao qualcosa ha scritto in quel settore, ma non ci sono tracce del MBR Rootkit :)

Quindi teoricamente con il fixmbr da console di ripristino dovrei definitivamente risolvere?
Io oramai penso di essere ripulito totalmente..Ho riffato lo scan su tutti i dischi e dopo aver formattato anche un'altro hd (quest'ultimo ormai contaggiato da varie versioni del virus win32/virut)sul quale era installato un ulteriore XP e rifatto lo scan con nod ,cure it e prevx,pare proprio che non ci sia più nulla..
Ciao e grazie

Quindi teoricamente con il fixmbr da console di ripristino dovrei definitivamente risolvere?
Io oramai penso di essere ripulito totalmente..Ho riffato lo scan su tutti i dischi e dopo aver formattato anche un'altro hd (quest'ultimo ormai contaggiato da varie versioni del virus win32/virut)sul quale era installato un ulteriore XP e rifatto lo scan con nod ,cure it e prevx,pare proprio che non ci sia più nulla..
Ciao e grazie

Eventualmente
http://www.hwupgrade.it/forum/showpost.php?p=22282638&postcount=132

gmer dovrebbe contenere un trojan horse...

gmer dovrebbe contenere un trojan horse...

Nel senso che il tuo AV vede Gmer come un Trojan?

Nel senso che il tuo AV vede Gmer come un Trojan?

In cnet download.com ci sono dei commenti ai programmi scaricati, nei commenti negativi un utente indica la presenza di un horse trojan.

Prima di effettuare il download di software ed utility consulto questo sito dove sono riportate le esperienze e la descrizione delle feature del programma di interesse. Noon intendo fare verifiche perchè in altra situazione il mio pc nonostante l'individuazione del malware ha riportato danni almeno apparentemente attribuibili a quel programma indicato come utility per il funzionamento del mio mouse.

Scaricato e controllato adesso su VT

http://www.virustotal.com/it/analisis/3f3a1eece90d113291eff65980aa2fb4

Scaricato e controllato adesso su VT

http://www.virustotal.com/it/analisis/3f3a1eece90d113291eff65980aa2fb4

risultato? Sono sicuro che antivir troverebbe qualcosa... almeno la versione recente.

Cmq ho utilizzato l'antirootkit di trend micro e non ha rilevato nulla, quindi debbo presumere che questo malware (MBR rootkit) sia assente dal mio pc... ho sempre sospettato che java fosse un potenziale ricettacolo di threat.

Se si tratta dell'ultima variante Gmer non lo rivela cosi come TRENDMICRO ROOTKIT BOOSTER, se desideri fare un controllo ti suggerisco PREVX 3.0 qui trovi il 3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=1923599

Se si tratta dell'ultima variante Gmer non lo rivela cosi come TRENDMICRO ROOTKIT BOOSTER, se desideri fare un controllo ti suggerisco PREVX 3.0 qui trovi il 3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=1923599

leggiti i commenti di prevx su download.com... poi fammi sapere cosa ne pensi.

leggiti i commenti di prevx su download.com... poi fammi sapere cosa ne pensi.

Il solo fatto che te lo suggerisca è indice di cosa penso di Prevx :)

Il solo fatto che te lo suggerisca è indice di cosa penso di Prevx :)

Sì ti capisco ma se l'altro programma che hai suggerito dovesse contenere un horse trojan permetterai che diffidi :D.

Sì ti capisco ma se l'altro programma che hai suggerito dovesse contenere un horse trojan permetterai che diffidi :D.

Gmer non contiene nessun Trojan questa è l'analisi odierna di VT

http://www.hwupgrade.it/forum/showpost.php?p=27162437&postcount=1169

Sto effettuando la scansione con prevx... 0 threats, bene allora posso sentirmi sicuro con antivir e con spybot... un programma in meno da utilizzare nella protezione.

in ufficio due pc se lo son cuccati,nè avira,nè prevx nè comodo rilevano intrusioni
nell'ordine
1)mbr modificato
2)creato driver .sys con nome random,a ogni riavvio cambia nome
3)dll nome random generata in system32,se eliminata viene ripristinata con lo stesso nome
4)in uno dei due pc veniva caricato sotto il servizio di windows audio e generava parecchi file temporanei con estensione da presunta immagine,questi ultimi venivano rilevato da avira...l'altro invece non presentava questo comportamento MA non consentiva l'accesso a nessun sito di download antivirus,tool ecc ecc...nemmeno virustotal

dovrebbe trattarsi in entrambi i casi di mebroot?

in ufficio due pc se lo son cuccati,nè avira,nè prevx nè comodo rilevano intrusioni
nell'ordine
1)mbr modificato
2)creato driver .sys con nome random,a ogni riavvio cambia nome
3)dll nome random generata in system32,se eliminata viene ripristinata con lo stesso nome
4)in uno dei due pc veniva caricato sotto il servizio di windows audio e generava parecchi file temporanei con estensione da presunta immagine,questi ultimi venivano rilevato da avira...l'altro invece non presentava questo comportamento MA non consentiva l'accesso a nessun sito di download antivirus,tool ecc ecc...nemmeno virustotal

dovrebbe trattarsi in entrambi i casi di mebroot?

Da cosa deduci l'intrusione del malware, se alcun programma protettivo lo ha rilevato?

gmer segnala codice anomalo sull mbr

alla fine si scoprirà che è gmer a contenerlo... bhà prova empirica richiede che almeno altro programma debba rilevarlo, oppure bisogna conoscere file ed elementi di registro affinchè sia possibile individuare sto dannato malware con le funzioni di ricerca.

Altro poster diceva che prevx era il solo ad individuarlo... io non ci capisco più nulla, sono abbastanza disorientato!

QUALI SONO I RISCONTRI DA CUI DESUMERE LA SUA PRESENZA!?

gmer segnala codice anomalo sull mbr

Potresti allegare il log di Gmer, thx.

vedo se riesco a recuperarlo

vi posto il mio log di gmer...vedete qualcosa di anomalo ?

grazie ragazzi :)

ho usato anche il tool di trendmicro ma non mi ha rilevato nulla

vi posto il mio log di gmer...vedete qualcosa di anomalo ?

grazie ragazzi :)

ho usato anche il tool di trendmicro ma non mi ha rilevato nulla
ciao

log pulito

ciao

log pulito

grazie mille :)

dunque...in almeno uno dei casi si trattava di conficker e non mebroot...anche se non capisco perchè non abbia agito sui dns :boh:
ma sopratutto gmer mi dava chiaro chiaro almeno 30 righe di messaggio con righe di codice anomalo aggiunte sull mbr....lancio il fixer eppure non viene rilevato nulla...e manco gmer ne trova più traccia:mbe:
http://mio.discoremoto.alice.it/juninho85/log.log

dunque...in almeno uno dei casi si trattava di conficker e non mebroot...anche se non capisco perchè non abbia agito sui dns :boh:
ma sopratutto gmer mi dava chiaro chiaro almeno 30 righe di messaggio con righe di codice anomalo aggiunte sull mbr....lancio il fixer eppure non viene rilevato nulla...e manco gmer ne trova più traccia:mbe:
http://mio.discoremoto.alice.it/juninho85/log.log

ciao

questa voce di gmer non mi sembra tanto normale
---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] dmibz <-- ROOTKIT !!!


hai già provato col tasto dx e delete service?

Ma dov'è il log di Gmer?

ciao

questa voce di gmer non mi sembra tanto normale


hai già provato col tasto dx e delete service?

lo so che non è normale :D
comunque si,ho fatto il delete...il problema più che altro risiedeva sulla dll wtryc in system 32...avira non la rilevava in quanto bloccata da svchost.exe
rimosso l'ads,sbloccato il file con unlocker a questo punto avira rilevava e rimuoveva la dll,e PER ORA il servizio non viene rigenerato all'avvio

il log di gmer è nel mio post precedente

lo so che non è normale :D
comunque si,ho fatto il delete...il problema più che altro risiedeva sulla dll wtryc in system 32...avira non la rilevava in quanto bloccata da svchost.exe
rimosso l'ads,sbloccato il file con unlocker a questo punto avira rilevava e rimuoveva la dll,e PER ORA il servizio non viene rigenerato all'avvio

il log di gmer è nel mio post precedente

Verifica che non ci sia nulla di anomalo qui

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

si,la sotto si crea il servizo che provvedo ogni volta ad eliminare.

comunque niente da fare,si rigerano sia la dll che il servizio...ora gli ads vengono creati sia su svchost.exe che su ntkrnlpa.exe...c'è da diventare pazzi :D

si,la sotto si crea il servizo che provvedo ogni volta ad eliminare.

comunque niente da fare,si rigerano sia la dll che il servizio...ora gli ads vengono creati sia su svchost.exe che su ntkrnlpa.exe...c'è da diventare pazzi :D

Ok, eventualmente ci trasferiamo qui http://www.hwupgrade.it/forum/showthread.php?t=1952610

In seguito ad una serie di malfunzionamenti ho seguito le istruzioni del

thread:
http://www.hwupgrade.it/forum/showthread.php?t=1599737
non sono molto pratico ma penso che i miei problemi interessino questi thread


Allegare i log secondo le Regole di sezione, grazie.

.. sto un leggendo il thread su gmer che mi pare l'infezione piu' preoccupante ... altri consigli su come procedere?
Ciao e grazie

In seguito ad una serie di malfunzionamenti ho seguito le istruzioni del

thread:
http://www.hwupgrade.it/forum/showthread.php?t=1599737
non sono molto pratico ma penso che i miei problemi interessino questi thread
.
.
.
.
.
Ciao e grazie

ciao

apri un nuovo 3d dedicato al tuo problema e carica tutti i log secondo le regole di sezione

poi per iniziare potresti a fare clixk dx sulla voce rossa di gmer e selezionare delete service

In seguito a questa mia richiesta di aiuto http://www.hwupgrade.it/forum/showthread.php?p=27345260&posted=1#post27345260
vi posto i miei log della prima fase:
PrevX
http://www.fileqube.com/file/GVABxY194139

Entrambe le scansioni hanno individuato un'infezione!:(

Attendo suggerimenti su come procedere;)

In seguito a questa mia richiesta di aiuto http://www.hwupgrade.it/forum/showthread.php?p=27345260&posted=1#post27345260
vi posto i miei log della prima fase:
PrevX
http://www.fileqube.com/file/GVABxY194139

Entrambe le scansioni hanno individuato un'infezione!:(

Attendo suggerimenti su come procedere;)

Ti ho risposto qui http://www.hwupgrade.it/forum/showthread.php?t=1977598 :)

ciao ho usato il tool di symantec per rimuoverlo ( anche se me lo segnalava infetto ) e sembra sia riuscito a cancellarlo xo poi dopo una settimana si è presentato il solito problema ( ovvero blocco di internet ... p2p etc ) ho provato anche il fix da cmd ma nn va... il comando mbr.exe -f nn fa nulla

che posso fare?

ps:oggi nel taskmanager è apparso un processo dllhost.exe (system) pensate sia annidato qui?
pps:appena finisco la scansione con antivir ve la mostro
ppps: dopo aver riavviato il pc internet funziona di nuovo

70668

dllhost è legittimo

dllhost è legittimo

ma se prima non lo avviava potrebbe essere stato avviato dal virus :confused:

ho aggiunto il log di antivir e ho notato che c'è scritto "Search for rootkits..............: off"

come cambio quest'opzione?

ma se prima non lo avviava potrebbe essere stato avviato dal virus :confused:
potrebbe,ma il file di per sè non è infetto

ma se prima non lo avviava potrebbe essere stato avviato dal virus :confused:

ho aggiunto il log di antivir

antivir non è configurato come da guida che trovi in firma
se vuoi verificare la presenza di mbr rootkit devi allegare i log della prima fase che trovi nel 1° post di questo 3d

antivir non è configurato come da guida
se vuoi verificare la presenza di mbr rootkit devi allegare i log della prima fase che trovi nel 1° post di questo 3d

questo lo so ma molti di quei file della guida antivir me li da come virus

come il tool di symantec se leggi il log e mi chiedevo perchè

solo per questo l'ho aggiunto...

ecco il log di gmer ma come gia affermato so della presenza del virus ma il comando mbr.exe -f nn funziona

70669

questo lo so ma molti di quei file della guida antivir me li da come virus

come il tool di symantec se leggi il log e mi chiedevo perchè

solo per questo l'ho aggiunto...

ecco il log di gmer ma come gia affermato so della presenza del virus ma il comando mbr.exe -f nn funziona

70669

quello di gmer protebbe anche essere sporco da un infezione passata, carica anche quello di prevx

il log di prevx è troppo grande da caricare

il log di prevx è troppo grande da caricare

Nella prima pagina delle presente Guida sono indicati i Server Remoti da utilizzare per allegare i log :)

ecco il log di prevx

prevx.log.txt (http://www.fileqube.com/file/zuMZipLTD196768)

prevx1.log.txt (http://www.fileqube.com/file/LuJnzC196770)

il secondo è il + recente

ecco il log di prevx

prevx.log.txt (http://www.fileqube.com/file/zuMZipLTD196768)

prevx1.log.txt (http://www.fileqube.com/file/LuJnzC196770)

il secondo è il + recente

qui non c'è ma si vede dell'altro, se vuoi ripulire per bene il pc apri qui (http://www.hwupgrade.it/forum/forumdisplay.php?s=&daysprune=&f=125) una discussione, spieghi brevemente il problema e poi segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio) (http://www.hwupgrade.it/forum/showpost.php?p=25836804&postcount=6), e secondo le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

...ci risiamo
non si avvia NOD32 ...
questo è il msg che leggo...
"eset nod32ANTIVIRUS\egui.exe non è un'applicazione di WIN32 valida"
che posso fare? eseguo la scansione con PREVIXCSIFREE.IT?...
poi posso postare il log?
GRAZIE

...ci risiamo
non si avvia NOD32 ...
questo è il msg che leggo...
"eset nod32ANTIVIRUS\egui.exe non è un'applicazione di WIN32 valida"
che posso fare? eseguo la scansione con PREVIXCSIFREE.IT?...
poi posso postare il log?
GRAZIE

La Guida da seguire è la seguente

http://www.hwupgrade.it/forum/showthread.php?t=1933977

grazie!

salve a tutti, ho trovato il rootkit su di un pc.

questo è il log di gmer: http://www.fileqube.com/file/KMACFWG201085
ancora non ha finito di scansionare tutto il disco, ma l'erroe del mbr già è stato segnalato.

Prevx 3.0 non sono riuscito ad istallarlo, il messaggio diceva per colpa di un virus.

ho controllato il pc perchè dava una schermata blu all'avvio di cui non si capiva bene il codice (0x000000D1) e dopo aver fatto un po di tentativi è ripartito (purtroppo in tarda sera non mi sono reso conto di quale operazione abbia funzionato, credo lo smontaggio della ram, ma poi ripristinata la configurazione originale non ha dato cmq il problema). può centrare qualcosa con il rootkit?

posso procedere con la fase 2?

ultima cosa, il virus (credo) ha disabilitato le tryicon di avg e sygate, mentre i processi sono attivi, centra sempre con il rootkit?

ho installato nod32 mi riconosce il virus, ma non può eliminarlo per problemi di permessi credo.

ultimissima cosa, procedo con la fase 2 ossia mbr.exe, visto che non riesco a scaricare fixmeboot oppure posso provare con fixmbr da console di ripristino? (ho visto che se ne è parlato, ma non ho capito se funziona o meno)

grazie in anticipo
davide

PS: configurazione: windows XP pro sp3 su celeron 1,8Mhz, asrock p4i65g, 2x256 ddr, radeon 9200 pro

salve a tutti, ho trovato il rootkit su di un pc.

questo è il log di gmer: http://www.fileqube.com/file/KMACFWG201085
ancora non ha finito di scansionare tutto il disco, ma l'erroe del mbr già è stato segnalato.

Prevx 3.0 non sono riuscito ad istallarlo, il messaggio diceva per colpa di un virus.

ho controllato il pc perchè dava una schermata blu all'avvio di cui non si capiva bene il codice (0x000000D1) e dopo aver fatto un po di tentativi è ripartito (purtroppo in tarda sera non mi sono reso conto di quale operazione abbia funzionato, credo lo smontaggio della ram, ma poi ripristinata la configurazione originale non ha dato cmq il problema). può centrare qualcosa con il rootkit?

posso procedere con la fase 2?

ultima cosa, il virus (credo) ha disabilitato le tryicon di avg e sygate, mentre i processi sono attivi, centra sempre con il rootkit?

ho installato nod32 mi riconosce il virus, ma non può eliminarlo per problemi di permessi credo.

ultimissima cosa, procedo con la fase 2 ossia mbr.exe, visto che non riesco a scaricare fixmeboot oppure posso provare con fixmbr da console di ripristino? (ho visto che se ne è parlato, ma non ho capito se funziona o meno)

grazie in anticipo
davide

PS: configurazione: windows XP pro sp3 su celeron 1,8Mhz, asrock p4i65g, 2x256 ddr, radeon 9200 pro
ciao

procedi pure

tutto andato secondo i piani...

log in modalità provvisoria: http://www.fileqube.com/file/qLTFoiHyu201399
log dopo il riavvio: http://www.fileqube.com/file/tnsFiYHRm201401

ma nod32 mi restitisce sempre la segnalazione del virus sul primo settore del disco...
e avg e sygate pur essendo presenti sul disco non sono presenti tra i programmi disinstallabili ne li avvia correttamente.

come si fa? formatto cmq?

tutto andato secondo i piani...

log in modalità provvisoria: http://www.fileqube.com/file/qLTFoiHyu201399
log dopo il riavvio: http://www.fileqube.com/file/tnsFiYHRm201401

ma nod32 mi restitisce sempre la segnalazione del virus sul primo settore del disco...
e avg e sygate pur essendo presenti sul disco non sono presenti tra i programmi disinstallabili ne li avvia correttamente.

come si fa? formatto cmq?

passa alla 3°fase

ah mi ero perso qualcosa...

nel frattempo ho fatto la scansione con nod e ha trovato circa 30000 file infetti quasi tutti in C:\WIN\Font\'\
cartella alquanto particolare
ecco il log di dr.web: http://www.fileqube.com/file/YkMfxFtd201465

che mi ha fatto nel frattempo riavviare per eliminare i file infetti.

ora vedrò di fare la scansione completa, poichè prima ha fatto solo quella express senza darmi la possibilità di scegliere.

grazie
davide

ah mi ero perso qualcosa...

nel frattempo ho fatto la scansione con nod e ha trovato circa 30000 file infetti quasi tutti in C:\WIN\Font\'\
cartella alquanto particolare
ecco il log di dr.web: http://www.fileqube.com/file/YkMfxFtd201465

che mi ha fatto nel frattempo riavviare per eliminare i file infetti.

ora vedrò di fare la scansione completa, poichè prima ha fatto solo quella express senza darmi la possibilità di scegliere.

grazie
davide

manca il pezzo finele del log, prova a rifiltrarlo

poi apri un nuovo 3d perchè questo problema non è più inerente a MBR

eccolo: http://www.fileqube.com/file/ZGJxZw201556

nuovo log della seconda passata con ricerca completa dei virus altri 8 eliminati, nod non segnala più niente.

per quanto riguarda l'altro problema (avg e sygate senza try icon) volevo solo sapere se è inerente al rootkit, cioè se è colpa sua, altrimenti mi attrezzo per cercare il problema.

grazie dell'aiuto.
davide

modifica: se i riferivi al discorso della cartella apice, ne ho epurato il pc e sinceramente non me ne frega molto del perchè, ma fatto stà che era piena di virus!! ;)

Salve ragazzi, per l'ennesima volta sono infetto... :muro:
Ho letto la guida, ma non mi sono chiari tutti i passaggi... o meglio, la guida è chiara ma non so se va bene per la mia situazione.
Ho un pc con dual boot winxp e ubuntu, xp su C: e ubuntu su D:
Con questa procedura non rischio di recare danni al bootloader grub?

Intanto allego i primi due log delle scansioni

Prevx: http://www.fileqube.com/file/dNtFIwoCf203155
Gmer: http://www.fileqube.com/file/KjYGDrbi203156

Grazie in anticipo.

Salve ragazzi, per l'ennesima volta sono infetto... :muro:
Ho letto la guida, ma non mi sono chiari tutti i passaggi... o meglio, la guida è chiara ma non so se va bene per la mia situazione.
Ho un pc con dual boot winxp e ubuntu, xp su C: e ubuntu su D:
Con questa procedura non rischio di recare danni al bootloader grub?

Intanto allego i primi due log delle scansioni

Prevx: http://www.fileqube.com/file/dNtFIwoCf203155
Gmer: http://www.fileqube.com/file/KjYGDrbi203156

Grazie in anticipo.

Ciao, dimmmi se Grub ti da questa segnalazione:

ChipAwayVirus...etc.....

ciao, grazie mille per la risp!
scusa la mia ignoranza... come faccio a vederlo?! :confused:
nella schermata con la lista degli OS non ho notato nulla di diverso...

ciao, grazie mille per la risp!
scusa la mia ignoranza... come faccio a vederlo?! :confused:
nella schermata con la lista degli OS non ho notato nulla di diverso...

Ok, prima di procedere e bene sottolineare che Grub potrebbe saltare vorrei sapere inoltre qual'è il tuo parco software di sicurezza.

accidenti, se grub mi salta poi nn ho piu l'accesso ad ubuntu e nn saprei come fare con apache-php-mysql... :mc:

per la sicurezza nn sono molto munito, utilizzo CCcleaner per il registro e come antivirus KIS7

accidenti, se grub mi salta poi nn ho piu l'accesso ad ubuntu e nn saprei come fare con apache-php-mysql... :mc:

per la sicurezza nn sono molto munito, utilizzo CCcleaner per il registro e come antivirus KIS7

Il disco di installazione di XP ce l'hai?

si, ma se nn ricordo male è SP1... su pc ho aggiornato a SP2 cambia qualcosa?

si, ma se nn ricordo male è SP1... su pc ho aggiornato a SP2 cambia qualcosa?

Basta il CD, prima di procedere con Gmer fai scansione con DrWeb CureIt come indicato in Guida, ricorda di allegare il log.

accidenti, se grub mi salta poi nn ho piu l'accesso ad ubuntu e nn saprei come fare con apache-php-mysql... :mc:

per la sicurezza nn sono molto munito, utilizzo CCcleaner per il registro e come antivirus KIS7

quello lo possiamo ripristinare
http://wiki.ubuntu-it.org/AmministrazioneSistema/Grub/Ripristino

quello lo possiamo ripristinare
http://wiki.ubuntu-it.org/AmministrazioneSistema/Grub/Ripristino

E' probabile che si debba fare il Fix del MBR poi Grub si reinstalla :)

quindi salto tutta la seconda fase della guida e passo alla terza?

quindi salto tutta la seconda fase della guida e passo alla terza?

Al momento si :)

E' probabile che si debba fare il Fix del MBR poi Grub si reinstalla :)
si il ripristino alla fine
era solo per tranquillizzarlo ;)

Ecco il log di drweb: http://www.fileqube.com/file/rsmPkMqJ203168

Ecco il log di drweb: http://www.fileqube.com/file/rsmPkMqJ203168

Durata scansione: 00:03:58

hai fatta la Express Scan devi fare scansione completa :)

ops... sono un'idiota pardon. :fagiano:

ops... sono un'idiota pardon. :fagiano:

Ti sei semplicmente confuso, tutto qui ;)

troppo gentile tu... :D

ho riavviato il pc ed ora sto procedendo alla scansione completa... noto però che dopo il riavvio kaspersky mi dà un'avviso che fino ad ora non era comparso, ovvero:

"settore disco fisico contiene Trojan program, è possibile procedere alla pulizia"
"\Device\Harddisk1\DR1"
->disinfetta
->salta

lascio perdere?

troppo gentile tu... :D

ho riavviato il pc ed ora sto procedendo alla scansione completa... noto però che dopo il riavvio kaspersky mi dà un'avviso che fino ad ora non era comparso, ovvero:

"settore disco fisico contiene Trojan program, è possibile procedere alla pulizia"
"\Device\Harddisk1\DR1"
->disinfetta
->salta

lascio perdere?

Procedi con la pulizia come suggerito dal KAV, poi fai scansione completa con CureIT

ho fatto pulizia con KIS, ed ora nell'express scan di cureIT nn mi ha trovato nulla... immagino che nn devo illudermi xkè al prox riavvio mi salterà ancora fuori il rootkit, ma la domanda sorge spontanea... come mai fino ad ora KIS non mi aveva dato questo avviso? mi evidenziava solo l'infezione in unistall.exe

ora cmq sto facendo la scansione completa con cureIT... poi allego il log, ma credo ci metterà una vita :(

ho fatto pulizia con KIS, ed ora nell'express scan di cureIT nn mi ha trovato nulla... immagino che nn devo illudermi xkè al prox riavvio mi salterà ancora fuori il rootkit, ma la domanda sorge spontanea... come mai fino ad ora KIS non mi aveva dato questo avviso? mi evidenziava solo l'infezione in unistall.exe

ora cmq sto facendo la scansione completa con cureIT... poi allego il log, ma credo ci metterà una vita :(

Si ci vuole un pò, aspettiamo di vedere il log :)

Ciao a tutti...
Ho usato tutti i programmi possibili ed immaginabili per scansionare il sistema mbr di tutto e di più...Ho eliminato tutte le partizioni formattato ....ma appena rinstallo win xp all'ìimprov tastiera e touchpad del mio portatile saltano... In modalità provv Win parte benissimo è velocissimo e tutto funziona...ma in modalitò normale va lentissimo e spesso mouse e tast non funzionano o si bloccano!
Con GMER ho avuto la segnalazione di alcune stringhe ma non riesco a capire cosa voglia significare. QUalcuno mi aiuta vi prego?! Ho formattato 3 volte nella stessa giornata ma appena installo (da cd originale non è possibile che ci siano virus) si blocca tutto in modalità normale! Ho fatto scansione con ogni tipo di antivirus non vengono riscontrati problemi. grazie di cuore

Questo è il risultato della scansione:

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-06-28 23:08:23
Windows 5.1.2600 Service Pack 2


---- Devices - GMER 1.0.15 ----

Device \FileSystem\Fastfat \Fat ShlDrv51.sys (PandaShield driver/Panda Security, S.L.)

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat pavdrv51.sys (Antivirus Filter Driver for Windows XP/2003 x86/Panda Security, S.L.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- EOF - GMER 1.0.15 ----

Ciao non credo che il tuo problema sia inerente al 3D, tra l'altro quelle stringhe di Gmer non evidenziano nulla di pericoloso, credo che la sezione più consona al tuo problema sia questa http://www.hwupgrade.it/forum/forumdisplay.php?f=126

ti ringrazio per la risposta immediata....ma non credo sia quello il problema...perkè allora non mi spiego del perchè tutto sia superrallentato non riesco neanche ad eseguire un programma nulla, tra l'altro ho appena riavviato. vedo la scheramata ma non si muove mouse e tastiera non mi funziona Bah! sono convinto che c'è qualcosa che non va...ma mi sto scervellando non riesco a capire quale sia il problema!

ti ringrazio per la risposta immediata....ma non credo sia quello il problema...perkè allora non mi spiego del perchè tutto sia superrallentato non riesco neanche ad eseguire un programma nulla, tra l'altro ho appena riavviato. vedo la scheramata ma non si muove mouse e tastiera non mi funziona Bah! sono convinto che c'è qualcosa che non va...ma mi sto scervellando non riesco a capire quale sia il problema!

Facciamo così per scrupolo allega un log completo di Gmer, trovi le modalità per allegare i log nella prima pagina della presente Guida :)

http://www.fileqube.com/file/vMpIqc203739 (questo è il link dove ho messo il log GMER) STRANAMENTO MI DA DUE STRINGHE DOVE DICE KEYBOARD...Ed effettivamente la prima cosa che mi parte anche quando formatto è la tastiera. In modalità normale non si muove nè mouse nè funziona tastiera...niente! Posso solo lavorare in modalità provvisoria. QUando formatto mi funziona tutto mouse e tastiera ma una volta che si sta avviando l'installazione di windows quando arriva alla fase delle configurazioni insorge lo stesso problema e dopo qualche ora dall'installazione di nuovo TUTTO BLOCCATO :s COSA DOVREI FARE?:-( invece nella scansione MBR mi dice tutto ok.....

Il log mi sembra troppo corto :)

Dopo la scansione questo solo mi dà -.-' faccio save as e lo salvo....tra l'altro la scansione la fa in pochissimo tempo e sempre in modalità provvisoria perkè non mi permette di farlo in modalità normale...o meglio in modalità normale non posso proprio usufruire del pc :S riprovo....a fare la scansione..E cmq grazie di cuore per l'aiuto.....ma soprattutto grazie x la celerità :-P io ti copio il log che mi da nella scheramata rootjit/malware...nelle altre sezioni c'è altra roba ma non so come loggartela :-s

il risultato è sempre lo stesso.....

il risultato è sempre lo stesso.....

Come anticipato credo che la Sezione corretta sia questa http://www.hwupgrade.it/forum/forumdisplay.php?f=126

capisco ma dove dovrei vedere? non vedo nulla che parla del miol problema:S

cmq non vorrei contraddirti ma sono straconvinto che il probl sia qlc che parte dal Boot dal bios o non so che....possibile che qlc si codifichi appena reinstallo windows? e si se si come dovrei fare ho usato tremila tools specifici vari antivirus di tutto e di piu ma niente :( oppure...se il problema fosse questo 3d...come dovrei risolverlo? visto che tra l'altro non c'è mai stato?:-S

cmq non vorrei contraddirti ma sono straconvinto che il probl sia qlc che parte dal Boot dal bios o non so che....possibile che qlc si codifichi appena reinstallo windows? e si se si come dovrei fare ho usato tremila tools specifici vari antivirus di tutto e di piu ma niente :( oppure...se il problema fosse questo 3d...come dovrei risolverlo? visto che tra l'altro non c'è mai stato?:-S

Non si tratta di contraddire o meno, il log parla e mi riferisco a ciò che tu hai allegato, non evidenziando nessun problema al MBR, quindi dopo aver formattato non vedo per quale motivo dovremmo ricondurre il problema ad una infezione.