non so se puo' servirti ma ho notato che se attacco il mouse....e non uso il touchpad non si blocca e il sistema và...ma non posso usare tstiera....non mi spiego il perkè bah

non so se puo' servirti ma ho notato che se attacco il mouse....e non uso il touchpad non si blocca e il sistema và...ma non posso usare tstiera....non mi spiego il perkè bah

Come già detto qui siamo OT, chiedi in Sezione dedicata http://www.hwupgrade.it/forum/forumdisplay.php?f=126

Ho Win 2000 SP4.
E' da ieri che riesco solo a partire in modalità provvisoria o di debug. Se faccio l'avvio normale ho la schermata blu
STOP: 0x0000001E (0xC0000005, 0x804610D8, 0x00000000, 0x000870B6)
KMODE_EXCEPTION_NOT_HADLED
Address 804610d8 base at 80400000, Datestamp 45ec3c8f - ntoskrnl.exe

Pensavo fosse un problema di driver, ma ho trovato che potrebbe anche essere un rootkit.

Comunque dopo varie disinstallazioni, ora capita + raramente, ma ad ogni avvio ho il seguente errore:
NTVDM ha rilevato un errore di sistema

e leggendo l'articolo su http://unpodimondo.wordpress.com/2009/05/12/ntvdm-ha-rilevato-un-errore-di-sistema/ (che mi ha portato qua) ho letto che potrebbe essere un rootkit.

Allora ne ho provati diversi (RootkitRevealer, Fsecure, sarsfx, Prevx), ma nessuno trova niente ... pero' se uso gmer dopo un po' che fa la scansione (sempre sia in modalità provvisoria che normale) mi va in schermata blu

STOP: 0x00000044 (0xF8244D88, 0x00000D39, 0x00000000, 0x00000000)
MULTIPLE_IRP_COMPLETE_REQUEST

e un'altra volta

STOP: 0x00000044 (0xF95e4348, 0x00000D39, 0x00000000, 0x00000000)
MULTIPLE_IRP_COMPLETE_REQUEST

Secondo voi è un rootkit???

Ciao e benvenuto!

L'errore sembra legato ad un driver ti suggerisco di chiedere in sezione idonea http://www.hwupgrade.it/forum/forumdisplay.php?f=33

... mi sono dimenticato di precisare un'altra cosa.
Il controllo antivirus del bios (anche se ovviamente non è un antivirus) mi segnala la presenza di un virus (credo che si accorga che la traccia MBR è stata modificata) ... ho provato anche sostituendo gli HD, e me lo fa solo con 1 (se non sbaglio ci dovrebbero essere 2 copie della MBR, ed evidentemente non sono uguali) ;)

... mi sono dimenticato di precisare un'altra cosa.
Il controllo antivirus del bios (anche se ovviamente non è un antivirus) mi segnala la presenza di un virus (credo che si accorga che la traccia MBR è stata modificata) ... ho provato anche sostituendo gli HD, e me lo fa solo con 1 (se non sbaglio ci dovrebbero essere 2 copie della MBR, ed evidentemente non sono uguali) ;)

Ribadisco l'errore presumo sia legato ad un driver, il fatto che Gmer crasha non è indicativo, gli altri tool antirootkit non hanno rievato nulla, sarebbe interessante sapere qual'è la segnalazione che ricevi :)

ti ringrazio per le risposte

quando gmer crasha mi ha dato il seguente errore

STOP: 0x00000044 (0xF8244D88, 0x00000D39, 0x00000000, 0x00000000)
MULTIPLE_IRP_COMPLETE_REQUEST

e un'altra volta

STOP: 0x00000044 (0xF95e4348, 0x00000D39, 0x00000000, 0x00000000)
MULTIPLE_IRP_COMPLETE_REQUEST

ti ringrazio per le risposte

quando gmer crasha mi ha dato il seguente errore

STOP: 0x00000044 (0xF8244D88, 0x00000D39, 0x00000000, 0x00000000)
MULTIPLE_IRP_COMPLETE_REQUEST

e un'altra volta

STOP: 0x00000044 (0xF95e4348, 0x00000D39, 0x00000000, 0x00000000)
MULTIPLE_IRP_COMPLETE_REQUEST

A volte Gmer può dare problemi, nel casi lo si accantona e si utilizza un altro tool, ma il problema non è questo chiedi come indicato in Sezione corretta http://www.hwupgrade.it/forum/forumdisplay.php?f=33

ragazzi se allego i log di prevx 3.0 e di gmer c'è ancora qualcuno che fa assistenza e mi può dare indicazioni se continuare oppure no ? grazie

ragazzi se allego i log di prevx 3.0 e di gmer c'è ancora qualcuno che fa assistenza e mi può dare indicazioni se continuare oppure no ? grazie

Allega i log :)

allora ragazzi ho iniziato ora :
-questo è il log di prevx 3.0 con licenza pagata :

http://www.fileqube.com/file/ihVbBGGT204498

-questo è il log di gmer(la spunta è solo su "ADS" e nn su "show all") : http://www.fileqube.com/file/tZEUTZum204499

aiutatemi
mi hanno detto ke ho un virus nell'mbr ma ho provato a formattare e altri metodi ma nulla,ho provato il tool della formattazione a basso livello della hitachi(il mio hd)ma non parte neanke quello.

allora ragazzi ho iniziato ora :
-questo è il log di prevx 3.0 con licenza pagata :

http://www.fileqube.com/file/ihVbBGGT204498

-questo è il log di gmer(la spunta è solo su "ADS" e nn su "show all") : http://www.fileqube.com/file/tZEUTZum204499

aiutatemi
mi hanno detto ke ho un virus nell'mbr ma ho provato a formattare e altri metodi ma nulla,ho provato il tool della formattazione a basso livello della hitachi(il mio hd)ma non parte neanke quello.

Dai log non risulta nulla e dubito che Prevx 3.0 se lo lascerebbe scappare :)

Dai log non risulta nulla e dubito che Prevx 3.0 se lo lascerebbe scappare :)

quindi nn continuo con la disinfezione ? secondo te allora xkè nod mi si ferma in una cartella in utenti ?

quindi nn continuo con la disinfezione ? secondo te allora xkè nod mi si ferma in una cartella in utenti ?

Il problema non è inerente il MBR Rootkit, il perchè Nod si pianta non lo posso sapere, non ho info sufficienti, chiedi nel 3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=1401728

Il problema non è inerente il MBR Rootkit, il perchè Nod si pianta non lo posso sapere, non ho info sufficienti, chiedi nel 3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=1401728

già ho kiesto e jedy mi aveva detto ke era un virus nell'mbr. quindi nn continuo ?

già ho kiesto e jedy mi aveva detto ke era un virus nell'mbr. quindi nn continuo ?

Direi di no :)

Direi di no :)

grazie mille per il consiglio . cmq vorrei formattare a basso livello come faccio?il tool originale dell'hitachi nn mi funziona....

grazie mille per il consiglio . cmq vorrei formattare a basso livello come faccio?il tool originale dell'hitachi nn mi funziona....

Mi sembra esagerato formattare a basso livello per questo problema, comunque il tools distribuito dall'Hitachi è scaricabile da qui http://www.hitachigst.com/hdd/support/download.htm

Se il problema è solo ed esclusivamente il Nod io proverei a disinstallarlo correttamente, successivmanete lo sostituirei con un altro AV.

Mi sembra esagerato formattare a basso livello per questo problema, comunque il tools distribuito dall'Hitachi è scaricabile da qui http://www.hitachigst.com/hdd/support/download.htm

Se il problema è solo ed esclusivamente il Nod io proverei a disinstallarlo correttamente, successivmanete lo sostituirei con un altro AV.

il problema è ke io l'ho scaricato da li ho fatto tutto e quando dice ke sta avviando il programma rimane fermo...

il problema è ke io l'ho scaricato da li ho fatto tutto e quando dice ke sta avviando il programma rimane fermo...

Qui siamo OT, eventualmente la sezione corretta è la seguente http://www.hwupgrade.it/forum/forumdisplay.php?f=126, io personalmente come detto sopra percorrerei strade alternative.

Ciao, sono stato ridiretto qui da Bozzato, che ha risposto al mio http://www.hwupgrade.it/forum/showthread.php?t=2011135 .
In breve, il mio Avira AntiVir Personal trova BOO/Sinowal.E nel Master boot sector HD0.
Leggendo le istruzioni qui però mi sono bloccato immediatamente, perché il virus/malware mi blocca l'accesso a Internet. Ho fatto girare l'Avira in modalità provvisoria proprio perché la connessione creata dal CD del modem D-Link non era più utilizzabile e il tool d'installazione si blocca.
In definitiva, non posso fare girare il Prevx 3.0. Posso procedere con gli altri passi, oppure c'è un metodo alternativo?
Grazie.

Ciao, sono stato ridiretto qui da Bozzato, che ha risposto al mio http://www.hwupgrade.it/forum/showthread.php?t=2011135 .
In breve, il mio Avira AntiVir Personal trova BOO/Sinowal.E nel Master boot sector HD0.
Leggendo le istruzioni qui però mi sono bloccato immediatamente, perché il virus/malware mi blocca l'accesso a Internet. Ho fatto girare l'Avira in modalità provvisoria proprio perché la connessione creata dal CD del modem D-Link non era più utilizzabile e il tool d'installazione si blocca.
In definitiva, non posso fare girare il Prevx 3.0. Posso procedere con gli altri passi, oppure c'è un metodo alternativo?
Grazie.
ciao

comincia a caricare il log di gmer

ciao

comincia a caricare il log di gmer

Entrambi i log Gmer e Prevx 3.0 esattamente come indicato in Guida :)

Allego il log di Gmer.
Entrambi i log Gmer e Prevx 3.0 esattamente come indicato in Guida :)
Prevx 3.0 non l'ho potuto eseguire perché il virus mi disabilita le connessioni a Internet.
Grazie in anticipo.

Allego il log di Gmer.

Prevx 3.0 non l'ho potuto eseguire perché il virus mi disabilita le connessioni a Internet.
Grazie in anticipo.

Il log mi sembra corto, spunta tutte le caselle nel pannello di destra esattamente come indicato in Guida.

NB: configura Avira Antivir come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 ripeti scansione completa ed allega il log

Il log mi sembra corto, spunta tutte le caselle nel pannello di destra esattamente come indicato in Guida.

NB: configura Avira Antivir come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 ripeti scansione completa ed allega il log

Le caselle erano tutte spuntate. Può essere che sia corto perché l'ho fatto girare in modalità provvisoria? boh?! comunque allego il log dell'esecuzione in modalità normale.

Allego anche i log delle due scansioni con Avira: la prima in modalità normale dove non viene rilevato nulla, la seconda in modalità provvisoria dove invece viene segnalato il virus (meglio chiamarlo rootkit?).

Le caselle erano tutte spuntate. Può essere che sia corto perché l'ho fatto girare in modalità provvisoria? boh?! comunque allego il log dell'esecuzione in modalità normale.

Allego anche i log delle due scansioni con Avira: la prima in modalità normale dove non viene rilevato nulla, la seconda in modalità provvisoria dove invece viene segnalato il virus (meglio chiamarlo rootkit?).

Log non compressi, grazie.

gmer_log.txt (http://wikisend.com/download/464694/gmer_log.txt)
AVSCAN-20090706-103408-5B51D0A6.LOG (http://wikisend.com/download/585054/AVSCAN-20090706-103408-5B51D0A6.LOG)
AVSCAN-20090706-112709-CADD9D60_SM.txt (http://wikisend.com/download/593618/AVSCAN-20090706-112709-CADD9D60_SM.txt)

prego

gmer_log.txt (http://wikisend.com/download/464694/gmer_log.txt)
AVSCAN-20090706-103408-5B51D0A6.LOG (http://wikisend.com/download/585054/AVSCAN-20090706-103408-5B51D0A6.LOG)
AVSCAN-20090706-112709-CADD9D60_SM.txt (http://wikisend.com/download/593618/AVSCAN-20090706-112709-CADD9D60_SM.txt)

prego

Il log di Gmer è pulito, vedo inoltre che le definizioni di Avira sono aggiornate, non vedo il motivo per cui non riesci a produrre il log di Prevx 3.0. Comunque vediamo di capirre il perchè Avira segnala la presenza del Virus solo in save Mode :)

ciao a tutti.
sono nuovo del forum e mi sa che sono nella discussione giusta! sigh!
le mie scarse competenze si fermano al punto che ora vi racconto.
vi ringrazio se vorrete dedicare un pò di tempo al mio problema.

non so se approfondiremo poi le fasi di rilevamento del rootkit, ora ve le tralascio per brevità.
la bestiaccia dovrebbe essere il SINOWALMBR ROOTKIT
dico solo che prevx non ha trovato nulla come tanti tool che ho provato e lo stesso mio antivirus (trend micro), gmer mi ha dato indicazioni benchè non segnalandolo con una riga di colore rosso, e segnalazione di presenza mi ha dato pure il norman sinowal cleaner.

Usati senza esiti di infezione i tool stand alone: Avenger, AVG antirootkit, doctor Web, f-secure blacklight, malwarebyte, mcafee stinger.

Non sono riuscito a far partire o installare (forse a causa del rootkit): Avira, rootkit revealer, Trendmicro rootkitbuster

prevx
http://www.fileqube.com/shared/jahYZ1483628

gmer
http://www.fileqube.com/shared/RTxKvpg1483626

norman
http://www.fileqube.com/shared/cWhtqJzE1483671

ho proceduto con mbr con il pc in modalità provvisoria
http://www.fileqube.com/shared/OPvReFND1483798

quindi mbr -f
ma il log è identico. il codice è sempre lì
http://www.fileqube.com/shared/cvIqRqp1483801

ora non so cosa fare. aiuto!
:muro:
cosa posso provare?
è opportuno (se esistono) provare altri eseguibili che risistemano l'mbr?
ciao
grazie

ciao a tutti.
sono nuovo del forum e mi sa che sono nella discussione giusta! sigh!
le mie scarse competenze si fermano al punto che ora vi racconto.
vi ringrazio se vorrete dedicare un pò di tempo al mio problema.

non so se approfondiremo poi le fasi di rilevamento del rootkit, ora ve le tralascio per brevità.
la bestiaccia dovrebbe essere il SINOWALMBR ROOTKIT
dico solo che prevx non ha trovato nulla come tanti tool che ho provato e lo stesso mio antivirus (trend micro), gmer mi ha dato indicazioni benchè non segnalandolo con una riga di colore rosso, e segnalazione di presenza mi ha dato pure il norman sinowal cleaner.

Usati senza esiti di infezione i tool stand alone: Avenger, AVG antirootkit, doctor Web, f-secure blacklight, malwarebyte, mcafee stinger.

Non sono riuscito a far partire o installare (forse a causa del rootkit): Avira, rootkit revealer, Trendmicro rootkitbuster

prevx
http://www.fileqube.com/shared/jahYZ1483628

gmer
http://www.fileqube.com/shared/RTxKvpg1483626

norman
http://www.fileqube.com/shared/cWhtqJzE1483671

ho proceduto con mbr con il pc in modalità provvisoria
http://www.fileqube.com/shared/OPvReFND1483798

quindi mbr -f
ma il log è identico. il codice è sempre lì
http://www.fileqube.com/shared/cvIqRqp1483801

ora non so cosa fare. aiuto!
:muro:
cosa posso provare?
è opportuno (se esistono) provare altri eseguibili che risistemano l'mbr?
ciao
grazie

Ciao e benvenuto, il solo Gmer segnala Disk \Device\Harddisk0\DR0 sector 00: MBR rootkit code detected


ma ciò non vuol dire che sei infetto, mi indichi la tua configurazione di sicurezza :)

Ciao e benvenuto, il solo Gmer segnala

ma ciò non vuol dire che sei infetto, mi indichi la tua configurazione di sicurezza :)

ciao e grazie...

configurazione di sicurezza? :confused:
spero di aver capito.

ho vista home premium service pack 1 aggiornato con tutte le patch di sicurezza uscite finora. ho dovuto disinstallare il service pack 2 perchè crea problemi con la mia scheda di rete (ogni volta dovevo riconfigurarla per potermi connettere).
trend micro internet security 2009
internet explorer 8 - protezione internet medio-alta / privacy medio /
firefox 3.5

ma forse mi chiedevi qualcos'altro?

ciao e grazie...

configurazione di sicurezza? :confused:
spero di aver capito.

ho vista home premium service pack 1 aggiornato con tutte le patch di sicurezza uscite finora. ho dovuto disinstallare il service pack 2 perchè crea problemi con la mia scheda di rete (ogni volta dovevo riconfigurarla per potermi connettere).
trend micro internet security 2009
internet explorer 8 - protezione internet medio-alta / privacy medio /
firefox 3.5

ma forse mi chiedevi qualcos'altro?

Intendevo proprio quello che mi hai indicato :)

Il log di Gmer è pulito, vedo inoltre che le definizioni di Avira sono aggiornate, non vedo il motivo per cui non riesci a produrre il log di Prevx 3.0
Prevx 3.0 non ho neanche tentato di farlo girare, perché se non erro ci vuole la connessione ad Internet, e sto rootkit mi blocca tutte le connessioni e ora non mi permette neanche di crearne una nuova.

Comunque vediamo di capirre il perchè Avira segnala la presenza del Virus solo in save Mode :)
Mizzica se non lo sai manco tu mi sa che non ho speranze!

Da Avira non trovano meglio che ripristinare il master boot record con Fixmbr. Tu che ne pensi?

Prevx 3.0 non ho neanche tentato di farlo girare, perché se non erro ci vuole la connessione ad Internet, e sto rootkit mi blocca tutte le connessioni e ora non mi permette neanche di crearne una nuova.


Mizzica se non lo sai manco tu mi sa che non ho speranze!

Da Avira non trovano meglio che ripristinare il master boot record con Fixmbr. Tu che ne pensi?

Si però vedo che le difinizioni di Avira sono aggiornate quindi la connessione è attiva e funzionante.

Stò cercando capire, comunque se desidieri dare il Fix del MBR si può fare basta il Cd di installazione di WIN.

Per il momento ti suggerisco di fare una scansione in modalità provvisoria con DrWeb CureIt vedi la Guida in prima pagina.

Si però vedo che le difinizioni di Avira sono aggiornate quindi la connessione è attiva e funzionante.

no, le ho aggiornate manualmente

Intendevo proprio quello che mi hai indicato :)

ciao,
nella prima risposta mi hai fatto capire che occorre procedere a più approfondite verifiche per chiarire la natura della segnalazione gmer.
tra l'altro ti devo dire che non riesco a fare una scansione completa con gmer nè in modalità normale nè provvisoria (va in crash con schermo blu. ho letto che potrebbe essere un bug del programma ma anche brutto segno!)
il log che avevo allegato è quello relativo alla scansione di avvio di gmer.
quindi non visualizzo la classica riga rossa tra i risultati che riporta un processo o servizio "hidden"
ma...
il log di norman che riporta: "Scanning bootsectors...Unable to scan for SinowalMBR hooks" non è preoccupante abbastanza?

Finora non ho ancora descritto se e quali sono i sintomi:
effettivamente non ne ho riscontrati: non ho avuto finestre pop-up, non reindirizzamenti ad altre pagine, gli antivirus non sono stati disabilitati e le pagine internet di tutti gli antivirus, anche le scansioni on line non danno problemi
il sistema è stabile.
però:
comportamenti sospetti: una o due volte il computer si è avviato autonomamente (ma occorre considerare che finora lo tenevo sempre in sospensione e solo raramente in ibernazione)
una volta la pagina di avvio di explorer è stata modificata dalla predefinita "gmail" ma mi sono trovato sul sito microsoft (anche qui non ricordo se fosse in seguito all'aggiornamente a explorer 8)

ho eseguito nuovamente un pò di scansioni (per lo più in modalità provvisoria, ma alcuni girano solo in "normale")

AVENGER (che ora, per w vista fa pure la scansione riavviando il pc e fornendo il log)
http://www.fileqube.com/shared/DFUlLk1485014

AVG antirootkit e F-SECURE BLACKLIGHT: non ho trovato nulla (non hanno log.txt finale. oppure sono io imbranato)

AVAST VIRUS CLEANER
http://www.fileqube.com/shared/EUvJFT1485024

SYMANTEC FIXMEBROOT
http://www.fileqube.com/shared/BosYklND1485025

MCAFEE ROOTKITDETECTIVE
(22Mb)
http://www.fileqube.com/shared/VtpRzYg1485059

MCAFEE STINGER
http://www.fileqube.com/shared/MSRkgzB1485092

AVIRA BOOTREPAIR
(questo è un pò strano. mi sa che non è riuscito ad entrare nel settore da analizzare. risponde: "master boot record of drive HD 80h could not be read")

ciao

p.s. dò una lontanissima impressione di capirne qualcosa, ma invece non capisco nulla! :confused:
ho solo seguito le istruzioni di questa utilissima discussione con qualche ricerca ulteriore su google.
come devo fare a togliermi questo dubbio. c'è o non c'è? :help: :cry:

@ac_

Gmer su Vista a volte può dare problemi ma questo non sottointende nulla, per scrupolo fai una scansione completa con Drweb CureIt come indicato in Guida.

@ac_

Gmer su Vista a volte può dare problemi ma questo non sottointende nulla, per scrupolo fai una scansione completa con Drweb CureIt come indicato in Guida.

buongiorno,
Ho letto, non so più se in questa discussione o in altre guide, che una delle prove per accertarsi della presenza del sinowalMBR rootkit è cercare tramite il "Trova" di Windows files con nome "ibm000*.*".
Io ci ho provato e non ne ho trovato.
Ma questa cosa è vera? qualcuno l'ha verificato?
ciao

buongiorno,
Ho letto, non so più se in questa discussione o in altre guide, che una delle prove per accertarsi della presenza del sinowalMBR rootkit è cercare tramite il "Trova" di Windows files con nome "ibm000*.*".
Io ci ho provato e non ne ho trovato.
Ma questa cosa è vera? qualcuno l'ha verificato?
ciao

Quello è solo uno dei tanti file che da il via all'infezione, fai scansione con CureIt come indicato :)

Per il momento ti suggerisco di fare una scansione in modalità provvisoria con DrWeb CureIt vedi la Guida in prima pagina.

Ce l'ho fatta: allego il log di CureIt "dimagrito".
Ho fatto due scansioni, la prima di default, la seconda completa e ho preso il log solo alla fine della seconda ... spero di non avere sbagliato.
Durante la prima scansione è stato trovato il rootkit nel mbr e ho consentito l'eliminazione.
Alla fine della seconda scansione è stato rilevato vnc, potrei anche toglierlo visto che non lo utilizzo un granchè.
Pensi che il problema si sia risolto?

Ce l'ho fatta: allego il log di CureIt "dimagrito".
Ho fatto due scansioni, la prima di default, la seconda completa e ho preso il log solo alla fine della seconda ... spero di non avere sbagliato.
Durante la prima scansione è stato trovato il rootkit nel mbr e ho consentito l'eliminazione.
Alla fine della seconda scansione è stato rilevato vnc, potrei anche toglierlo visto che non lo utilizzo un granchè.
Pensi che il problema si sia risolto?

Dov'è il log? :)

cureit filtrato.txt (http://wikisend.com/download/442620/cureit filtrato.txt)
sono fuso, scusa!

cureit filtrato.txt (http://wikisend.com/download/442620/cureit filtrato.txt)
sono fuso, scusa!

Per VNC decitu tu, ma dal momento che non lo usi lo puoi tranquillamente disinstallare. Adesso come riscontro fai una scansione completa con Avira in provvisoria :)

@ac_

Gmer su Vista a volte può dare problemi ma questo non sottointende nulla, per scrupolo fai una scansione completa con Drweb CureIt come indicato in Guida.

Chill,
Ma ogni tanto ti ringrazio oppure sono troppo preso dall'angoscia di risolvere il problema da essere maleducato? :D

Grazie per la disponibilità e la professionalità.
:ave::ave::ave::ave::ave:
La community è la più attiva e qualificata.
e quando non sai dove sbattere la testa è utile avere interlocutori competenti.

e mò non mi dire che sono OT... :)

p.s. devo ancora inviare log di dr web, ma è lungo e non sono riuscito a tornare al mio pc.
i log dell'ultimo messaggio hanno risolto posto nuovi dubbi o sono inutili?

Chill,
Ma ogni tanto ti ringrazio oppure sono troppo preso dall'angoscia di risolvere il problema da essere maleducato? :D

Grazie per la disponibilità e la professionalità.
:ave::ave::ave::ave::ave:
La community è la più attiva e qualificata.
e quando non sai dove sbattere la testa è utile avere interlocutori competenti.

e mò non mi dire che sono OT... :)

p.s. devo ancora inviare log di dr web, ma è lungo e non sono riuscito a tornare al mio pc.
i log dell'ultimo messaggio hanno risolto posto nuovi dubbi o sono inutili?

Grazie, cerchiamo di fare sempre del nostro meglio ;)

Il log sarebbe meglio allegarlo qui trovi le info su come snellirlo http://hwupgrade.blogspot.com/2008/11/il-parser-per-log-un-utilissimo.html

il log drweb lo potrò postare solo questo pomeriggio perchè da dove mi trovo non posso accedere a siti di condivisione file come fileqube o altri.
comunque il risultato della scansione rapida e di quella completa pare ok.

ho fatto anche scansione on line tramite "a-squared Web Malware Scanner (http://www.emsisoft.it/it/software/ax/)" . mi restituisce due valori sospetti nelle chiavi di registro:
Value: HKEY_CLASSES_ROOT\Media Type\Extensions\.avi --> Source Filter detected: Trace.Registry.DivoCodec!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Media Type\Extensions\.avi --> Source Filter detected: Trace.Registry.DivoCodec!A2

qui ho trovato informazioni su questo presunto rischio: link (http://www.emsisoft.com/en/malware/?Trace.Registry.DivoCodec!A2)
CANCELLO le chiavi? :help:

fatta scansione con cachme di gmer:
ecco il log (l'allegato forse è grande e per questo non lo carica):

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, Rootkit scan 2009-07-08 23:55:43
Windows 6.0.6001 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

attendo lumi! ciao

ecco il risultato della scansione con drweb.
a proposito, eseguendo l'aggiornamento di CureIt è stato scaricato un nuovo eseguibile di nome "launch" (precedentemente era denominato "CureIt") di dimensioni pressochè identiche. e con quello ho eseguito la scansione.
link a log snellito (http://www.fileqube.com/shared/DHWMILTB1486355)

p.s. se puoi dai un'occhiata anche al mio messaggio precedente (intorno alle h.14). grazie

ecco il risultato della scansione con drweb.
a proposito, eseguendo l'aggiornamento di CureIt è stato scaricato un nuovo eseguibile di nome "launch" (precedentemente era denominato "CureIt") di dimensioni pressochè identiche. e con quello ho eseguito la scansione.
link a log snellito (http://www.fileqube.com/shared/DHWMILTB1486355)

p.s. se puoi dai un'occhiata anche al mio messaggio precedente (intorno alle h.14). grazie

Le chiavi rilevate da A2 le passi in quarantena, per il probema del MBR Rootkit anche DrWeb restitusice un log pulito, direi che siamo ok :)

Le chiavi rilevate da A2 le passi in quarantena, per il probema del MBR Rootkit anche DrWeb restitusice un log pulito, direi che siamo ok :)

scusa il ritardo. sempre grazie.
allego anche l'ultima scansione con prevx (http://www.fileqube.com/shared/jahYZ1483628).
tutto parrebbe ok.
ma confesso che proprio tranquillo non mi sento.
sarà paranoia, ma perchè dovrei trovarmi del "codice appeso" rilevabile da gmer (e pure norman dice "unable to scan for sinowal rootkit") se non ricordo di aver mai dovuto disinfettare alcune infezione seria ma solo cookies di navigazione?
boh! :confused:

scusa il ritardo. sempre grazie.
allego anche l'ultima scansione con prevx (http://www.fileqube.com/shared/jahYZ1483628).
tutto parrebbe ok.
ma confesso che proprio tranquillo non mi sento.
sarà paranoia, ma perchè dovrei trovarmi del "codice appeso" rilevabile da gmer (e pure norman dice "unable to scan for sinowal rootkit") se non ricordo di aver mai dovuto disinfettare alcune infezione seria ma solo cookies di navigazione?
boh! :confused:

Sei ok, leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1726383 troverai indicazioni utili su come proteggere il tuo PC

Adesso come riscontro fai una scansione completa con Avira in provvisoria :)

Ok, tutto regolare. Avira non rileva più niente. Grazie mille.

Ok, tutto regolare. Avira non rileva più niente. Grazie mille.

Perfetto, ciao :)

Sei ok, leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1726383 troverai indicazioni utili su come proteggere il tuo PC

ok. grazie di tutto.
speriamo bene.
pensavo di utilizzare il pc come utente d'ora in avanti.
pensi che avendo i service pack e gli update regolari, trend micro internet security, trend micro web protection add on, prevx e malwarebyte sia necessario?
ciao

ok. grazie di tutto.
speriamo bene.
pensavo di utilizzare il pc come utente d'ora in avanti.
pensi che avendo i service pack e gli update regolari, trend micro internet security, trend micro web protection add on, prevx e malwarebyte sia necessario?
ciao

Come indicato in precedenza qui http://www.hwupgrade.it/forum/showthread.php?t=1726383 trovi tutte le info necessarie, ciao e buon proseguimento ;)

Ragazzi, ho un problema che sembra irrisolvibile...

Ho un pc con WinXp, l'ho formattato dato che aveva problemi di disinstallazioni fatte male...e ho reinstallato Windows da capo.
Una volta reinstallato Win, ho installato anche Avira 9 ma...durante l'installazione, il pc si riavvia di punto in bianco :stordita:
Riavviato il pc vedo che avira non è attivo, il processo sul task manager non c'è e se provo ad avviarlo non mi compare l'ombrellino rosso sulla traybar...

Chiedo aiuto sul thread di Avira e mi dicono che molto probabilmente è infetto l'mbr dell'hd...

Detto questo, seguo questa guida per la disinfezione e...facendo le due scansioni con Prevx e Gmer, il pc non sembra infetto per niente...:stordita:

Vi allego i due log così almeno mi saprete dire voi...:stordita:

P.S. se non fossi infetto, quale problema potrebbe essere del riavvio così spontaneo? E' già la 2° volta che mi fa questo lacchezzo :fagiano:

http://www.fileqube.com/file/fzbmUvfD206198 <------ Prevx

http://www.fileqube.com/file/TmShSmCR206199 <----- Gmer

Grazie ;)

Ragazzi, ho un problema che sembra irrisolvibile...

Ho un pc con WinXp, l'ho formattato dato che aveva problemi di disinstallazioni fatte male...e ho reinstallato Windows da capo.
Una volta reinstallato Win, ho installato anche Avira 9 ma...durante l'installazione, il pc si riavvia di punto in bianco :stordita:
Riavviato il pc vedo che avira non è attivo, il processo sul task manager non c'è e se provo ad avviarlo non mi compare l'ombrellino rosso sulla traybar...

Chiedo aiuto sul thread di Avira e mi dicono che molto probabilmente è infetto l'mbr dell'hd...

Detto questo, seguo questa guida per la disinfezione e...facendo le due scansioni con Prevx e Gmer, il pc non sembra infetto per niente...:stordita:

Vi allego i due log così almeno mi saprete dire voi...:stordita:

P.S. se non fossi infetto, quale problema potrebbe essere del riavvio così spontaneo? E' già la 2° volta che mi fa questo lacchezzo :fagiano:

http://www.fileqube.com/file/fzbmUvfD206198 <------ Prevx

http://www.fileqube.com/file/TmShSmCR206199 <----- Gmer

Grazie ;)

ciao

mbr rootkit non è presente
il problema che hai è solo con avira? se si direi di proseguire nel suo 3d ufficiale, magari provando a reinstallare se già non lo hai fatto

ciao

mbr rootkit non è presente
il problema che hai è solo con avira? se si direi di proseguire nel suo 3d ufficiale, magari provando a reinstallare se già non lo hai fatto

Grazie per la risposta ;)

Beh il problema si presenta con Avira 9, ma non ho provato con altri antivirus dato che io a casa ho quello, gli altri pc di quella casa usan quello...e mi scoccerebbe installarne un'altro, diverso da tutti (diciamo che gli utilizzatori dei pc non sono esperti, anzi...) e far reimparare ad usarlo :)

Ho formattato il pc, reinstallato winxp e durante l'installazione di avira, si riavvia di colpo il pc...
Stessa cosa oggi, dopo la 2° formattazione....non riesco proprio a capire il perchè :fagiano:

Ma ho letto un pò in giro...non può essere il settore mbr danneggiato...o cosa? :stordita:

Come anticipato nel 3D dedicato ad Avira il problema non è questo.

Come anticipato nel 3D dedicato ad Avira il problema non è questo.

E cosa può essere? :stordita:

Anche io mi sono preso una bella infezione!

ecco il report di prevx: http://www.fileqube.com/file/lrWlKdQj206796

La scansione con gmer l'ho fatta ma non ho salvato il report... ora la sto rifacendo, ma per la prima scansione ci ha messo circa 3 ore!! ..

come sto messo? che devo fare? passo alla seconda fase? Per ora sto usando solamente la modalità provvisoria, adesso anche con la rete, non mi azzardo a avviare il pc normalmente.. le ultime volte che l'ho fatto si è bloccato -_- ..

edit: dopo il primo passaggio della fase due, il log è questo:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A18AC1
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA !

Il secondo passaggio della fase2, quello nel quale bisogna dare l'esegui C:\mbr.exe -f , non mi dà l'opportunità di salvarlo, si chiude da solo dopo pochi secondi.. fra poco vi posto anche quello che dice avira.. Dimenticavo, ho XP!

Avira ha trovato il virus BOO/Sinowal.E ! Potesse essere utile, vi allego anche il report di avira:
http://www.fileqube.com/file/qONyTU206797

Grazie per l'attenzione!

Anche io mi sono preso una bella infezione!

ecco il report di prevx: http://www.fileqube.com/file/lrWlKdQj206796

La scansione con gmer l'ho fatta ma non ho salvato il report... ora la sto rifacendo, ma per la prima scansione ci ha messo circa 3 ore!! ..

come sto messo? che devo fare? passo alla seconda fase? Per ora sto usando solamente la modalità provvisoria, adesso anche con la rete, non mi azzardo a avviare il pc normalmente.. le ultime volte che l'ho fatto si è bloccato -_- ..

edit: dopo il primo passaggio della fase due, il log è questo:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A18AC1
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA !

Il secondo passaggio della fase2, quello nel quale bisogna dare l'esegui C:\mbr.exe -f , non mi dà l'opportunità di salvarlo, si chiude da solo dopo pochi secondi.. fra poco vi posto anche quello che dice avira.. Dimenticavo, ho XP!

Avira ha trovato il virus BOO/Sinowal.E ! Potesse essere utile, vi allego anche il report di avira:
http://www.fileqube.com/file/qONyTU206797

Grazie per l'attenzione!

ciao

prova a ripetere la fase2

Scansione finita con gmer: http://www.fileqube.com/file/bozMHRFW206905

Ora passo alla fase 2, edito con i prossimi log.

edit: fase2,
primo passaggio: http://www.fileqube.com/file/aGaFgVC206914

secondo passaggio (qualcosa va storto.. Il log è uguale al primo!) http://www.fileqube.com/file/mlpNsF206915

cosa sbaglio? ..cambia qualcosa se ho due hard disk?

edit: HEY, Avira mi segna come virus il symatec removal tool, il 4 passaggio della seconda fase!!! E' normale o il file è corrotto??

... certo non dovreste consigliarli programmi come prenvx che si attaccano come mosche sul miele ai pc... Sto smanettando da 2 ore tentando di cancellarlo... :mc:

... certo non dovreste consigliarli programmi come prenvx che si attaccano come mosche sul miele ai pc... Sto smanettando da 2 ore tentando di cancellarlo... :mc:

Si disinstalla come un qualsiasi altro programma :)

si eh??? :) Prova a disinstallarlo, poi mi racconti!

si eh??? :) Prova a disinstallarlo, poi mi racconti!

http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14

si eh??? :) Prova a disinstallarlo, poi mi racconti!

Prevx viene utilizzato nella presente Guida da Aprile 2008, inoltre è parte integrante della Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) in rilievo, nessuno ha mai riscontrato problemi durante la disinstallazione, quindi come raccontato in precedenza si disinstalla come un qualsiasi altro programma.

Se ci palesi il problema possiamo provare a fornirti il suggerimento per la risoluzione dello stesso.

http://wikisend.com/download/614776/GMER 1.0.15.15020 [gmer.exe].log http://wikisend.com/download/529404/logfile prevx3.log

http://wikisend.com/download/614776/GMER 1.0.15.15020 [gmer.exe].loghttp://wikisend.com/download/529404/logfile prevx3.log

Ripeti la scansione con Gmer avendo cura di spuntare sul pannello di destra tutte le caselle, oltre al nuovo log di Gmer allega anche uno screenshot di Prevx 3.0

Esempio http://img245.imageshack.us/i/prevx30.jpg/ utilizzando lo stesso servizio di hosting http://imageshack.us/

Salve a tutti.
Da un paio di giorni sto lottando con diversi virus,rilevati da Antivir:
TR/Rootkit.Gen
TR/Trash.Gen
TR/Dldr.FraudLo.sxm
che vanno ad infettare diversi file:
wisdstr.exe
braviax.exe
[]\install[1] (2,3 etc etc).exe


All'inizio avevo trovato guida su un altra pagina,ho fatto quindi scansioni con combofix, in seguito ccleaner, e poi malwarebytes, il tutto tenendo il pc offline dato che l'infezione si era diffusa e se entravo online dopo poco si riavviava il pc.
A seguito di un'ultima scansione con malwarebytes, in cui non ha trovato nulla, ho ricollegato il cavo di rete e dopo poco antrivir ha ripreso a segnalare la presenza di virus.

Quindi ho trovato la guida di questa sezione, e mi sono deciso a sguirla, per cui ho disattivato il ripristino e scansionato con prevx e gmer, al momento sono ancora online, e nonostante avira segnali i vius, il pc non si riavvia più da solo.
Ecco i log, spero possiate aiutarmi
prevxlog.log (http://wikisend.com/download/872582/prevxlog.log)
gmerlog.log (http://wikisend.com/download/557520/gmerlog.log)

Windows xp, sp2
Antivir
Google Chrome

Edit: allego anche clip di prex dopo la scansione:
http://i26.tinypic.com/2rh0od4.jpg

Ciao questa Guida è dedicata alla rimozione del MBR Rootkit, nel tuo caso è opportuno seguire esattamente nell'ordine indicato la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post in una nuova discussione che andrai ad prire qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125

Ciao questa Guida è dedicata alla rimozione del MBR Rootkit, nel tuo caso è opportuno seguire esattamente nell'ordine indicato la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post in una nuova discussione che andrai ad prire qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125

:muro: Mi sono fatto trarre in inganno dal nome "rootkit" del virus, grazie comunque, provvederò a seguire la guida per infetti.

:cry:
Ciao a tutti, sono mancato per un po' per la salute, ma la salute del pc dice ancora NO.
Sto cercando di rimuovere un " Mebroot.k. " ID: BOO/Sinowal.C.
Lo vedono soltanto Eset, Alwil ed Avira.
Ho provato con la formattazione ma mi sa che dovrò riparare il settore.
Ali ingegneri più esperti, mi sapreste indicare come posso fare ? Devo agira a freddo dall'esterno ? Ci sta un programma ?
L'altro giorno ho scaricato un tool che non posso usare perchè mi chiede di inserire un CD nell'unità, ma non so che vuole.
Sapete non ricordo beno dove ma ho letto anche che questi maledetti Trojan sono presenti sui computer server, cioè nei dischi Fisici.
In sostanza sono delle restrizioni !
Cosa mi dite ?
Un salutone.

:cry:
Ciao a tutti, sono mancato per un po' per la salute, ma la salute del pc dice ancora NO.
Sto cercando di rimuovere un " Mebroot.k. " ID: BOO/Sinowal.C.
Lo vedono soltanto Eset, Alwil ed Avira.
Ho provato con la formattazione ma mi sa che dovrò riparare il settore.
Ali ingegneri più esperti, mi sapreste indicare come posso fare ? Devo agira a freddo dall'esterno ? Ci sta un programma ?
L'altro giorno ho scaricato un tool che non posso usare perchè mi chiede di inserire un CD nell'unità, ma non so che vuole.
Sapete non ricordo beno dove ma ho letto anche che questi maledetti Trojan sono presenti sui computer server, cioè nei dischi Fisici.
In sostanza sono delle restrizioni !
Cosa mi dite ?
Un salutone.

Ciao, segui passo passo la Guida in prima pagina :)

salve a tutti, ho un problema, quando faccio la scansione con avira mi segnala che ho 2 Boo/sinowal.a, ma seguendo la guida e facendo la scansione con Prevx e gmer non risulta esserci niente; invece provando con Dr.Web CureIt me li segnala. cosa devo fare? grazie in anticipo per la risposta

salve a tutti, ho un problema, quando faccio la scansione con avira mi segnala che ho 2 Boo/sinowal.a, ma seguendo la guida e facendo la scansione con Prevx e gmer non risulta esserci niente; invece provando con Dr.Web CureIt me li segnala. cosa devo fare? grazie in anticipo per la risposta

ciao

comincia a caricare i log richiesti nella prima fase

ecoo i log:
prevx http://www.mediafire.com/file/tmmkfmmntnm
gmer http://www.mediafire.com/file/anh3mont4mu

ecoo i log:
prevx http://www.mediafire.com/file/tmmkfmmntnm
gmer http://www.mediafire.com/file/anh3mont4mu


Fai girare questo tool http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni: http://www.norman.com/Virus/Virus_removal_tools/52382/it

successivamente come indicato in Guida fai girare DrWeb CureIt ed allega entrambi i log.

allora ho fatto un mezzo casino, ho scansionato con norman in modalità normale ed ho stoppato e questo è il log
http://www.mediafire.com/file/hzmyanmydmk
poi ho scansionato in modalità provvisoria
log http://www.mediafire.com/file/mxe2e5orqrn
con il log di dr.web ho usato parserlog come dice la guida, ma quel che ne risulta è una pagina bianca, ho sbagliato ad usare parserlog?
cmq il log di dr.web è questo http://www.mediafire.com/file/dmynmjnzmqz

Mi sono appena iscritto. Mi date una mano a rimuovere MASTER BOOT RECORD ROOTKIT Grazie.

Ho seguito queste indicazioni ma ho ancora qualche problema Edit

questi sono i risultati.

1a fase) prevx.log (http://wikisend.com/download/380342/prevx.log)
Gmer si blocca sia in modalità normale che provvisoria, ma nel precedente tentavo era uscito

Disk \Device\Harddisk0\DR0 sector 60: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 61: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR




2a fase) mbr1.log (http://wikisend.com/download/511392/mbr1.log)
mbr2.log (http://wikisend.com/download/605366/mbr2.log)
mbr3.log (http://wikisend.com/download/571570/mbr3.log)

FixMebroot.log (http://wikisend.com/download/525232/FixMebroot.log)

3a fase prevx2.log (http://wikisend.com/download/480938/prevx2.log)

CureIt.log (http://wikisend.com/download/897444/CureIt.log)


ComboFix.txt (http://wikisend.com/download/437070/ComboFix.txt)

allora ho fatto un mezzo casino, ho scansionato con norman in modalità normale ed ho stoppato e questo è il log
http://www.mediafire.com/file/hzmyanmydmk
poi ho scansionato in modalità provvisoria
log http://www.mediafire.com/file/mxe2e5orqrn
con il log di dr.web ho usato parserlog come dice la guida, ma quel che ne risulta è una pagina bianca, ho sbagliato ad usare parserlog?
cmq il log di dr.web è questo http://www.mediafire.com/file/dmynmjnzmqz

Dal log di DrWeb CureIt non sembra tu abbia fatto scasione completa, potresti inoltre allegare il log di Avira, thx.

Mi sono appena iscritto. Mi date una mano a rimuovere MASTER BOOT RECORD ROOTKIT Grazie.

Ho seguito queste indicazioni ma ho ancora qualche problema Edit

questi sono i risultati.

1a fase) prevx.log (http://wikisend.com/download/380342/prevx.log)
Gmer si blocca sia in modalità normale che provvisoria, ma nel precedente tentavo era uscito

Disk \Device\Harddisk0\DR0 sector 60: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 61: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR




2a fase) mbr1.log (http://wikisend.com/download/511392/mbr1.log)
mbr2.log (http://wikisend.com/download/605366/mbr2.log)
mbr3.log (http://wikisend.com/download/571570/mbr3.log)

FixMebroot.log (http://wikisend.com/download/525232/FixMebroot.log)

3a fase prevx2.log (http://wikisend.com/download/480938/prevx2.log)

CureIt.log (http://wikisend.com/download/897444/CureIt.log)


ComboFix.txt (http://wikisend.com/download/437070/ComboFix.txt)

Gentilmente snellisci il log di CureIt come indicato in Guida http://hwupgrade.blogspot.com/2008/11/il-parser-per-log-un-utilissimo.html se possibile sarrebbe necessario vedere un log completo di Gmer.

cureit filtrato.txt (http://wikisend.com/download/443056/cureit filtrato.txt)

questo sopra è il cureit filtrato.
Purtroppo una scansione completa con Gmer non riesco a farla: o si spegne il pc o mi segnala un errore, chiudendomi poi il programma

cureit filtrato.txt (http://wikisend.com/download/443056/cureit filtrato.txt)

questo sopra è il cureit filtrato.
Purtroppo una scansione completa con Gmer non riesco a farla: o si spegne il pc o mi segnala un errore, chiudendomi poi il programma

Da log di CureIt non emerge nulla, come detto sopra sarebbe importante vedere un log di Gmer completo, potendo visionare solo questa parte

Disk \Device\Harddisk0\DR0 sector 60: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 61: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR

dalla quale si evince che qualcosa ha scritto in quel settore, ma non ci sono tracce del Rootkit.

come mai non riesco a fare la scansione? ho disattivato pure nod32, magari un conflitto... comunque questa è il poco che gmer mi comunica:

GMER 1.0.15.15077 [gmer.exe] - http://www.gmer.net
Rootkit quick scan 2009-09-02 15:12:35
Windows 5.1.2600 Service Pack 3


---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x98a412b size 0x1a8
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys

---- EOF - GMER 1.0.15 ----

Come detto sopra non ci sono tracce del Rootkit, per quanto concerne Gmer a volte può crashare.

Buongiorno a tutti sperando di aver postato nel posto giusto.

All'avvio di una scansione NOD32 mi segnala che:

"Il settore MBR di 1. Disco fisico contiene cavallo di troia Win32/mebroot.CA", quindi penso di aver preso un Rootkit.
Premetto che il Pc, su cui è installato Xp Sp3 completo di aggiornamenti, non ha dato alcun segno di instabilità
o di malfunzionamenti, comunque seguendo le indicazioni della guida ho proceduto nel modo seguente:.

- Dopo aver disattivato il ripristino configurazione di sistema ho eseguito le scansioni con: Malwarebytes Anti-Malware,
A-Squared Free, di cui allego i log.

http://www.mediafire.com/file/t0no5ztawrz/mbam-log-2009-09-04 (11-57-31).txt
http://www.mediafire.com/file/lwmnonkmmt3/a2scan_090904-140057.txt

- Eseguito una scanzione con Prevx non ha evidenziato niente, allego il file di log.

http://www.mediafire.com/file/zdze4wm0jnh/Prevx.log

- Fatto una scansione con Gmer di cui allego il log
http://www.mediafire.com/file/vukhjnmntqy/Gmer.log

- Fatto scansione con SysInspector Tool di cui allego il log
http://www.mediafire.com/file/t3vlwzylj54/SysInspector-ALDO-090904-1941.xml

- Riavviato in modalità provvisoria e da C:\ ho lanciato un controllo con MBR rootkit detector di cui allego il file log "MBR1.log."
Ho poi eseguito il comando C:\mbr.exe -f e salvato il file di log "MBR2.log".
Ho poi riavviato normalmente e rieseguito e da start eseguito C:\mbr.exe il cui file di log è "MBR3.log".

I tre files di log di MBR sono perfettamente identici

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x025429800
PE file found in sector at 0x025429819 !

non viene segnalata la presenza di rootkit ma, nella mia ignoranza le ultime due righe non mi convincono e mi fanno pensare che
il settore di boot sia danneggiato.

Quindi avvio il Pc da cd di XP in console di ripristino di emergenza per eseguire FIXMBR ma mi esce il messaggio che il settore di
boot non è standard e che una sua riscrittura potrebbe danneggiare la partizione, ecc., quindi mi sono fermato.

Lancio FixMebroot il cui log è:
Symantec Trojan.Mebroot Removal Tool 1.0.1
Found drive \\.\PhysicalDrive0, analyzing MBR...
Found drive \\.\PhysicalDrive1, analyzing MBR...
Found drive \\.\PhysicalDrive2, analyzing MBR...
Creating FixMebroot service driver
Running driver...
Trojan.Mebroot has not been found active on your computer.
Delete service driver
Delete driver file
End

A questo punto faccio una scansione con Dr.Web CureIT e viene evidenziato che:

il file " c:\windows\winsxs\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.2600.5581_x-ww_dfbc4fc4\gdiplus.dll
è infettato da virus "BackDoor.MaosBoot" che ha danneggiato MBR di HDD1.
Quando viene chiesto dal programma se curare il file rispondo di si ma alla successiva domanda se riscrivere "il settore di boot standard"
rispondo di no per quanto già successo in precedenza nell'esecuzione di FIXMBR da console di ripristino di emergenza.
Non mi sono fidato a far riscrivere il settore di boot per non correre il rischio di ritrovarmi con un HD inutilizzabile.

Il log di Cureit: http://www.mediafire.com/file/mgmmhud3zhy/cureit filtrato.txt

Cosa mi consigliate di fare? Posso procedere con la cura di Dr.Web CureIT o con FIXMBR, oppure no?

Allega il log del Nod, grazie.

Ecco il log del NOD

http://www.mediafire.com/file/wfm5mc5j4e2/NOD32_log.jpg

Dire che c'è poco da scegliere io ripeterei scansione completa con DrWeb CureIt rispondendo SI alla seguente domanda:

Settore di avvio infetto - riscrivo settore di avvio standard al riavvio

Grazie,
l'unico dubbio che mi rimane è se prima di riscrivere il settore di boot standard non sarebbe meglio fare un'immagine completa di C:\ in modo che se qualcosa andasse storto si possa ripristinare.
Però dato che su C:\ non ci sono partizioni e c'è solo un sistema operativo installato non dovrebbero esserci sorprese. Cosa ne pensi.
Grazie.

Grazie,
l'unico dubbio che mi rimane è se prima di riscrivere il settore di boot standard non sarebbe meglio fare un'immagine completa di C:\ in modo che se qualcosa andasse storto si possa ripristinare.
Però dato che su C:\ non ci sono partizioni e c'è solo un sistema operativo installato non dovrebbero esserci sorprese. Cosa ne pensi.
Grazie.

Concordo

Aiuto, sono infetto.
Nod32 mi dice:

Settore MBR del disco fisico 2 - Win32/Mebroot.CA trojan horse - errore nell'azione di pulizia; operazione non disponibile per questo tipo di oggetto

Ho seguito la guida:

prima fase:
http://wikisend.com/download/471016/prevx.log
http://wikisend.com/download/584978/gmer.log

seconda fase:
http://wikisend.com/download/544280/mbr1.log
http://wikisend.com/download/603636/mbr2.log
http://wikisend.com/download/514762/mbr3.log
http://wikisend.com/download/528748/FixMebroot.log

fixmebroot non vede nulla, e ovviamente neanche prevx e dr. web..

che faccio?
grazie mille

Aiuto, sono infetto.
Nod32 mi dice:

Settore MBR del disco fisico 2 - Win32/Mebroot.CA trojan horse - errore nell'azione di pulizia; operazione non disponibile per questo tipo di oggetto

Ho seguito la guida:

prima fase:
http://wikisend.com/download/471016/prevx.log
http://wikisend.com/download/584978/gmer.log

seconda fase:
http://wikisend.com/download/544280/mbr1.log
http://wikisend.com/download/603636/mbr2.log
http://wikisend.com/download/514762/mbr3.log
http://wikisend.com/download/528748/FixMebroot.log

fixmebroot non vede nulla, e ovviamente neanche prevx e dr. web..

che faccio?
grazie mille
ciao

carica un log di gmer completo, sembra tu non abbia cliccato su scan

Avevi ragione, non ho fatto lo scan,
allego qua:

http://wikisend.com/download/887108/gmer.log

grazie tante

Avevi ragione, non ho fatto lo scan,
allego qua:

http://wikisend.com/download/887108/gmer.log

grazie tante

Allega anche il log del Nod, in quanto dal log di Gmer non emerge nulla.

ho copiato/incollato le info nella finestra dei rapporti:

http://wikisend.com/download/593326/Nod.log

non ho trovato altri modi di ottenere un log..

il gmer l'ho lanciato in modalità normale, non è che dovevo lanciarlo in provvisoria?

ho copiato/incollato le info nella finestra dei rapporti:

http://wikisend.com/download/593326/Nod.log

non ho trovato altri modi di ottenere un log..

il gmer l'ho lanciato in modalità normale, non è che dovevo lanciarlo in provvisoria?

Fai girare questo tool http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni: http://www.norman.com/Virus/Virus_removal_tools/52382/it

successivamente come indicato in Guida fai girare DrWeb CureIt ed allega entrambi i log.

fatto:
http://wikisend.com/download/583452/Norman.log

dr.Web Cureit:
http://wikisend.com/download/601880/cureit filtrato.txt

questo lo avevo mandato venerdì.. è necessario rifarlo?

Grazie

dr.Web Cureit:
http://wikisend.com/download/601880/cureit filtrato.txt

questo lo avevo mandato venerdì.. è necessario rifarlo?

Grazie

Sarebbe meglio, riscaricando la versione aggiornata ad oggi ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

Sarebbe meglio, riscaricando la versione aggiornata ad oggi ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

fatto, sembra non veda niente, eppure il Nod continua a mandarmi segnalazioni del Mebroot.ca..

http://wikisend.com/download/522674/cureit_aggiornato_filtrato.txt

fatto, sembra non veda niente, eppure il Nod continua a mandarmi segnalazioni del Mebroot.ca..

http://wikisend.com/download/522674/cureit_aggiornato_filtrato.txt

Log pulito, comunque il problema dovrebbe essere relativo a:

- sul tuo Pc c'è una partizione nascosta per il Recovery del Pc
- non sei loggato come amministratore
- hai un lettore di Card al momento non inserito
- si tratta di un supporto removile USB esterno

Log pulito, comunque il problema dovrebbe essere relativo a:

- sul tuo Pc c'è una partizione nascosta per il Recovery del Pc
- non sei loggato come amministratore
- hai un lettore di Card al momento non inserito
- si tratta di un supporto removile USB esterno

mai usato il Recovery, non ho creato partizioni nascoste e non ne ho attualmente, sono amministratore e non ho lettori Card,
a questo punto non saprei, mi sembra strano un supporto USB.. ho un Hd esterno che uso solo come archivio dati e ogni tanto attacco l'iPhone,
prima di trovare la vostra guida avevo provato ad intuito con Fixmbr.exe, può essere questo?

e comunque, Grazie!

mai usato il Recovery, non ho creato partizioni nascoste e non ne ho attualmente, sono amministratore e non ho lettori Card,
a questo punto non saprei, mi sembra strano un supporto USB.. ho un Hd esterno che uso solo come archivio dati e ogni tanto attacco l'iPhone,
prima di trovare la vostra guida avevo provato ad intuito con Fixmbr.exe, può essere questo?

e comunque, Grazie!

Scollega l'hdd esterno e affini e ripeti scansione completa col Nod

Una domanda:

su windows vista/7 x64 non dovrebbe essere possibile installare rootkit nel mbr giusto?
Dovrebbe intervenire il "patchguard"...

Ad esempio se lancio il file mbr.exe (quello di Gmer) non riesce a leggere o scrivere il MBR.

Diciamo di si nello specifico, ma è stato dimostrato che il PatchGuard può essere bypassato.

Io non riesco neanche a partire.

Già nella Fase Preliminare, cercando di disattivare il Ripristino configurazione di sistema, mi compare sempre questo avviso con conseguente impossibilità di disattivare.

Ripristino configurazione di sistema ha riscontrato un errore durante il tentativo di attivare/disattivare una o più unità.
Riavviare il computer, quindi riprovare

Cosa devo fare?

GRAZIE!

Io non riesco neanche a partire.

Già nella Fase Preliminare, cercando di disattivare il Ripristino configurazione di sistema, mi compare sempre questo avviso con conseguente impossibilità di disattivare.

Ripristino configurazione di sistema ha riscontrato un errore durante il tentativo di attivare/disattivare una o più unità.
Riavviare il computer, quindi riprovare

Cosa devo fare?

GRAZIE!

Tralascia e passa ai punti successivi, successivamente vediamo di capire il perchè.

Tralascia e passa ai punti successivi, successivamente vediamo di capire il perchè.

Grazie.

Completata la Prima Fase

http://wikisend.com/download/453918/Prevx CSI.log

http://wikisend.com/download/926486/Gmer.log

Com'è la situazione?

Proseguo con la Seconda Fase?

Grazie.

Completata la Prima Fase

http://wikisend.com/download/453918/Prevx CSI.log

http://wikisend.com/download/926486/Gmer.log

Com'è la situazione?

Proseguo con la Seconda Fase?

Fai girare questo tool http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni: http://www.norman.com/Virus/Virus_removal_tools/52382/it

successivamente come indicato in Guida fai girare DrWeb CureIt ed allega entrambi i log.

Fai girare questo tool http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni: http://www.norman.com/Virus/Virus_removal_tools/52382/it

successivamente come indicato in Guida fai girare DrWeb CureIt ed allega entrambi i log.


http://wikisend.com/download/470348/NFix_2009-09-20_20-57-09.log

http://wikisend.com/download/212064/cureit filtrato.txt

http://wikisend.com/download/470348/NFix_2009-09-20_20-57-09.log

http://wikisend.com/download/212064/cureit filtrato.txt

Allega nuovo log di Gmer, ma secondo me sei ok.

Allega nuovo log di Gmer, ma secondo me sei ok.

http://wikisend.com/download/466386/gmer.txt

Nel nuovo Log di Gmer ci sono questi avvisi:

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0xdf937c1 size 0x194
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

Io non so se siano importanti o no, ma il problema è che quando provo a fare un Backup completo con Comodo Backup (si accettano consigli su altri programmi di Backup) alla fine Avast me lo blocca ed elimina perché infetto da WIN32:MBROOT-(RTK)

Avast, poi, mi mette sempre nel suo Cestino queste DLL: wsock32.dll – winsock.dll – kernel32.dll
Inutile dire che se anche svuoto il cestino di Avast, al successivo riavvio me le ritrovo lì

In più, seguendo la Guida, ho scoperto che il Ripristino Configurazione di Sistema non funziona più.

Infine, Dr.Web CureIt! Mi ha trovato il Malware JSCRIPT5.CHM che ora è nella quarantena (come faccio ad eliminarlo definitivamente?)

Dottore, sono grave?

(p.s. per Chill-Out: GRAZIE MILLE PER L’AIUTO!!!)

http://wikisend.com/download/466386/gmer.txt

Nel nuovo Log di Gmer ci sono questi avvisi:

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0xdf937c1 size 0x194
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

Questo non vuol dire che sei infetto

Io non so se siano importanti o no, ma il problema è che quando provo a fare un Backup completo con Comodo Backup (si accettano consigli su altri programmi di Backup) alla fine Avast me lo blocca ed elimina perché infetto da WIN32:MBROOT-(RTK)

Adesso comprendo il motivo della segnalazione, ovviamente quando quando fai il Backup devi disabilitare Avast onde evitare la segnalzione stessa.

Avast, poi, mi mette sempre nel suo Cestino queste DLL: wsock32.dll – winsock.dll – kernel32.dll
Inutile dire che se anche svuoto il cestino di Avast, al successivo riavvio me le ritrovo lì

Avast fa una copia di quel file e la posiziona nel Cestino serve nel caso in cui venga compromesso.

In più, seguendo la Guida, ho scoperto che il Ripristino Configurazione di Sistema non funziona più.

http://hwupgrade.blogspot.com/2008/11/forzare-la-chiusura-del-rispristino-di.html

Infine, Dr.Web CureIt! Mi ha trovato il Malware JSCRIPT5.CHM che ora è nella quarantena (come faccio ad eliminarlo definitivamente?)

Lo puoi ripristinare, ovvero lo riposizioni nel medesimo percorso.

http://hwupgrade.blogspot.com/2008/11/forzare-la-chiusura-del-rispristino-di.html




Quindi, alla fine, per il Rootkit, ero un "malato immaginario".
Per fortuna, Chill-Out, c'eri tu a fare una diagnosi seria ed approfondita!

Per la storia del Ripristino, invece, pur avendo seguito alla lettera le istruzioni, mi continua a dire:

Ripristino configurazione di sistema ha riscontrato un errore durante il tentativo di attivare/disattivare una o più unità.
Riavviare il computer, quindi riprovare

Forse è perchè, quando faccio clicca su start –> esegui–> digita:
regsvr32 jscript.dll OK
e
clicca su start –> esegui –> digita:
regsvr32 vbscript.dll OK
salta fuori la scritta:
LoadLibrary("OK")non riuscito. Impossibile trovare modulo specificato?

Scarica questo file sul Desktop http://wikisend.com/download/488108/fix.reg

tasto dx del mouse e clicca su unisci, accetta le modifiche, riavvia il PC, successivamente

Poi clicca su start –> esegui–> digita:
regsvr32 jscript.dll OK

Poi clicca su start –> esegui –> digita:
regsvr32 vbscript.dll OK

Scarica questo file sul Desktop http://wikisend.com/download/488108/fix.reg

tasto dx del mouse e clicca su unisci, accetta le modifiche, riavvia il PC, successivamente

Nel menù del mio tasto destro la voce "unisci" non c'è.

http://wikisend.com/download/605670/0001.JPG

Forse ho solo capito male, ma che devo gare?

Grazie.

Nel menù del mio tasto destro la voce "unisci" non c'è.

http://wikisend.com/download/605670/0001.JPG

Forse ho solo capito male, ma che devo gare?

Grazie.

Doppio click

Doppio click

L'ho fatto ma salta sempre fuori "LoadLibrary("OK")non riuscito. Impossibile trovare modulo specificato"

L'ho fatto ma salta sempre fuori "LoadLibrary("OK")non riuscito. Impossibile trovare modulo specificato"

Verifica se è possibile attivare/disattivare il ripristino conf.sistema.

Verifica se è possibile attivare/disattivare il ripristino conf.sistema.

No, non è possibile

No, non è possibile

Scarica questo Fix http://go.microsoft.com/?linkid=9644976 ed attieniti alla procedura guidata.

Scarica questo Fix http://go.microsoft.com/?linkid=9644976 ed attieniti alla procedura guidata.

Fatto, ma tutto come prima

Fatto, ma tutto come prima

Stranissimo, ma hai riavviato la macchina.

Stranissimo, ma hai riavviato la macchina.

Sì

Sì

Nessuna idea?

Grazie

Ciao, con una scansione di Avira è venuto fuori che sono infettato da BOO/sinowal.c

Ho eseguito quindi la fase preliminare e la prima fase ed ottenuto i log, ma non riesco a caricarli su nessuno dei due siti. Fileqube dopo un pò che elabora porta ad una pagina di errore e wikisend idem, con questo errore:

We are sorry, but an error has occured while uploading.

You can return to the start page and try again.

Ho provato più volte anche con browser diversi ma non funziona

Nessuna idea?

Grazie

Al momento no :boh:

Ciao, con una scansione di Avira è venuto fuori che sono infettato da BOO/sinowal.c

Ho eseguito quindi la fase preliminare e la prima fase ed ottenuto i log, ma non riesco a caricarli su nessuno dei due siti. Fileqube dopo un pò che elabora porta ad una pagina di errore e wikisend idem, con questo errore:

We are sorry, but an error has occured while uploading.

You can return to the start page and try again.

Ho provato più volte anche con browser diversi ma non funziona

Ciao, nelle Regole di sezione in firma, trovi l'elenco dei Server Remoti alternativi.

Grazie! Ecco i log:

Prevx (http://www.mediafire.com/?sharekey=14bf1381bb056350af924764f9977b1de04e75f6e8ebb871)


Gmer (http://www.mediafire.com/?sharekey=14bf1381bb056350af924764f9977b1de04e75f6e8ebb871)

Al momento no :boh:


Chill-Out, grazie comunque!

Chill-Out, grazie comunque!

Prego, facciamo un tentativo, ma prima fai una scansione completa col tool indicato al Punto 2 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

Dimmi se sul Pc sono collegati supporti removibili USB, per chiarezza potresti postare un screenshot inerente il problema del ripristino, mi è venuto un dubbio, puoi utilizzare http://imageshack.us/

Grazie! Ecco i log:

Prevx (http://www.mediafire.com/?sharekey=14bf1381bb056350af924764f9977b1de04e75f6e8ebb871)


Gmer (http://www.mediafire.com/?sharekey=14bf1381bb056350af924764f9977b1de04e75f6e8ebb871)

Fai girare questo tool http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni: http://www.norman.com/Virus/Virus_removal_tools/52382/it

successivamente come indicato in Guida fai girare DrWeb CureIt.

Riepilogo log da allegare:
Norman Sinowal Cleaner
CureIt
Nuovo log Prevx
Nuovo log Gmer -> impostalo esattamente cone indicato nella Guida in prima pagina

Prego, facciamo un tentativo, ma prima fai una scansione completa col tool indicato al Punto 2 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

Dimmi se sul Pc sono collegati supporti removibili USB, per chiarezza potresti postare un screenshot inerente il problema del ripristino, mi è venuto un dubbio, puoi utilizzare http://imageshack.us/

Al Pc è collegato via USB un disco fisso esterno. Nient'altro, se non calcoliamo le chiavette o il lettore di memory card che attacco e stacco.

Nel file Forum.zip ho messo il Log di Malwarebytes' Anti-Malware e gli screenshots di cosa mi succede quando provo a disattivare il ripristino dalle Proprietà delle Risorse del Computer (Immagine0001) e di quando provo a forzarne la chiusura seguendo questa guida http://hwupgrade.blogspot.com/2008/11/forzare-la-chiusura-del-rispristino-di.html (Immagine0002 ed Immagine0003)

http://wikisend.com/download/940344/Forum.zip

Al Pc è collegato via USB un disco fisso esterno. Nient'altro, se non calcoliamo le chiavette o il lettore di memory card che attacco e stacco.

Nel file Forum.zip ho messo il Log di Malwarebytes' Anti-Malware e gli screenshots di cosa mi succede quando provo a disattivare il ripristino dalle Proprietà delle Risorse del Computer (Immagine0001) e di quando provo a forzarne la chiusura seguendo questa guida http://hwupgrade.blogspot.com/2008/11/forzare-la-chiusura-del-rispristino-di.html

http://wikisend.com/download/940344/Forum.zip

No file compressi, grazie per la collaborazione.

No file compressi, grazie per la collaborazione.

Non sapevo, chiedo scusa.

http://wikisend.com/download/503906/mbam-log-2009-09-30 (19-35-07).txt

http://wikisend.com/download/932202/Immagine0001.JPG

http://wikisend.com/download/484488/Immagine0002.JPG

http://wikisend.com/download/223366/Immagine0003.JPG

Non sapevo, chiedo scusa.

http://wikisend.com/download/503906/mbam-log-2009-09-30 (19-35-07).txt

http://wikisend.com/download/932202/Immagine0001.JPG

http://wikisend.com/download/484488/Immagine0002.JPG

http://wikisend.com/download/223366/Immagine0003.JPG

Ok, facciamo 2 tentativi, il primo consiste nel disattivare/attivare il ripristino solo dopo aver staccato l'HDD esterno (scollegalo prima di avviare il PC), attendo tuo riscontro.

Ok, facciamo 2 tentativi, il primo consiste nel disattivare/attivare il ripristino solo dopo aver staccato l'HDD esterno (scollegalo prima di avviare il PC), attendo tuo riscontro.

Fatto, ma nessun cambiamento

Fatto, ma nessun cambiamento

Secondo tentativo, fai girare questo tool

http://downloads.zonapc.it/g_dwl/download.php?zpc=System%20Restore%20Repair

Secondo tentativo, fai girare questo tool

http://downloads.zonapc.it/g_dwl/download.php?zpc=System%20Restore%20Repair

La procedura normale non ha portato risultati

La forzatura ha eliminato dalle Proprietà delle Risorse del Computer la scheda Ripristino ecc.

http://wikisend.com/download/486290/Immagine0.JPG

http://wikisend.com/download/447654/Immagine1.png

Mentre se cerco di far partire il Ripristino da Start > Programmi il problema rimane (anche dopo il consigliato riavvio)

http://wikisend.com/download/534452/Immagine2.JPG

http://wikisend.com/download/457990/Immagine3.JPG

Si ma adesso riesci ad attivare e disattivare.

http://wikisend.com/download/447654/Immagine1.png

Si ma adesso riesci ad attivare e disattivare.

http://wikisend.com/download/447654/Immagine1.png

No, non riesco.

L'immagine del mio computer è

http://wikisend.com/download/486290/Immagine0.JPG

Mentre quella

http://wikisend.com/download/447654/Immagine1.png

l'ho presa da

http://hwupgrade.blogspot.com/2008/11/forzare-la-chiusura-del-rispristino-di.html

per farti vedere che mi era sparita la scheda Ripristino

Ok, partendo dal presupposto che io non sono amante del Ripristino conf.sistema attivato, ma al momento ho esaurito le idee.

Ok, partendo dal presupposto che io non sono amante del Ripristino conf.sistema attivato, ma al momento ho esaurito le idee.

Noi (ma soprattutto tu!) ci abbiamo provato.
Vorrè dire che lo terrò attivo, ma non funzionante.
Non credo che ciò sia un dramma.

Per il resto.....GRAZIE MILLE COMUNQUE!!!

Salve a tutti,

Oggi stavo navigando quando ad un certo punto Avir mi avevrte che ha trovato un virus nei file temporanei di internet, gli dico di eliminarlo e sembra tutto ok, quando dopo pochi minuti mi si riavvia il pc.

La cosa mi puzza subito e riavvio immediatamente in modalità provvisoria e faccio una scansione del sistema con Avir, che mi trova il rootkit BOO/Sinowal.E.

Ho cercato un pò in rete ed ho trovato un pò di gente che ne è stata affetta ed ho seguito i consigli dati (tra i quali ci sono anche i vostri) ma qualcosa non mi torna.

Premetto che ho in dual boot Windows XP e Ubuntu, ovviamente quando ho preso il virus stavo su windows!

Ecco cosa ho fatto:

Ho scaricato Prevx, Gmer, MBR.exe e Norman_Sinowal_cleaner.

Questo è il log della scansione completa fatta con GMER:


GMER 1.0.15.15077 [gmer.exe] - http://www.gmer.net
Rootkit scan 2009-10-01 23:31:31
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT pxsec.sys (Prevx Realtime Analysis/Prevx) ZwTerminateProcess [0xF7659680]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\Explorer.EXE[912] ADVAPI32.dll!CryptDestroyKey 77F59EBC 7 Bytes JMP 00BE28E0
.text C:\WINDOWS\Explorer.EXE[912] ADVAPI32.dll!CryptDecrypt 77F5A129 7 Bytes JMP 00BE2890
.text C:\WINDOWS\Explorer.EXE[912] ADVAPI32.dll!CryptEncrypt 77F5E360 7 Bytes JMP 00BE2854
.text C:\WINDOWS\Explorer.EXE[912] WS2_32.dll!closesocket 71A33E2B 5 Bytes JMP 00BE2839
.text C:\WINDOWS\Explorer.EXE[912] WS2_32.dll!send 71A34C27 5 Bytes JMP 00BE26C5
.text C:\WINDOWS\Explorer.EXE[912] WS2_32.dll!WSARecv 71A34CB5 5 Bytes JMP 00BE27B7
.text C:\WINDOWS\Explorer.EXE[912] WS2_32.dll!recv 71A3676F 5 Bytes JMP 00BE26FD
.text C:\WINDOWS\Explorer.EXE[912] WS2_32.dll!WSASend 71A368FA 5 Bytes JMP 00BE2735
.text C:\Programmi\Internet Explorer\iexplore.exe[1412] ADVAPI32.dll!CryptDestroyKey 77F59EBC 7 Bytes JMP 010728E0
.text C:\Programmi\Internet Explorer\iexplore.exe[1412] ADVAPI32.dll!CryptDecrypt 77F5A129 7 Bytes JMP 01072890
.text C:\Programmi\Internet Explorer\iexplore.exe[1412] ADVAPI32.dll!CryptEncrypt 77F5E360 7 Bytes JMP 01072854
.text C:\Programmi\Internet Explorer\iexplore.exe[1412] USER32.dll!DialogBoxParamW 7E3A47AB 5 Bytes JMP 402B51FD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1412] USER32.dll!CreateWindowExW 7E3AD0A3 5 Bytes JMP 4038D3AC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1412] USER32.dll!DialogBoxIndirectParamW 7E3B2072 5 Bytes JMP 40483C10 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1412] USER32.dll!MessageBoxIndirectA 7E3BA082 5 Bytes JMP 40483B42 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1412] USER32.dll!DialogBoxParamA 7E3BB144 5 Bytes JMP 40483BAD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1412] USER32.dll!MessageBoxExW 7E3D0838 5 Bytes JMP 40483A13 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1412] USER32.dll!MessageBoxExA 7E3D085C 5 Bytes JMP 40483A75 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1412] USER32.dll!DialogBoxIndirectParamA 7E3D6D7D 5 Bytes JMP 40483C73 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1412] USER32.dll!MessageBoxIndirectW 7E3E64D5 5 Bytes JMP 40483AD7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1412] WININET.dll!InternetReadFile 3F9E654B 5 Bytes JMP 01072DE8
.text C:\Programmi\Internet Explorer\iexplore.exe[1412] WININET.dll!InternetCloseHandle 3F9E9088 5 Bytes JMP 01072E42
.text C:\Programmi\Internet Explorer\iexplore.exe[1412] WININET.dll!HttpOpenRequestA 3F9ED508 5 Bytes JMP 01072B35
.text C:\Programmi\Internet Explorer\iexplore.exe[1412] WININET.dll!InternetConnectA 3F9EDEAE 5 Bytes JMP 010728FB
.text C:\Programmi\Internet Explorer\iexplore.exe[1412] WININET.dll!HttpSendRequestW 3F9EFABE 5 Bytes JMP 01073742
.text C:\Programmi\Internet Explorer\iexplore.exe[1412] WININET.dll!HttpSendRequestA 3F9FEE81 5 Bytes JMP 01072CA1
.text C:\Programmi\Internet Explorer\iexplore.exe[1412] CRYPT32.dll!CertGetCertificateChain 77A62F67 5 Bytes JMP 0107331C
.text C:\Programmi\Internet Explorer\iexplore.exe[1412] CRYPT32.dll!CertVerifyCertificateChainPolicy 77A6B76F 5 Bytes JMP 01073325
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] ADVAPI32.dll!CryptDestroyKey 77F59EBC 7 Bytes JMP 010828E0
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] ADVAPI32.dll!CryptDecrypt 77F5A129 7 Bytes JMP 01082890
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] ADVAPI32.dll!CryptEncrypt 77F5E360 7 Bytes JMP 01082854
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] USER32.dll!DialogBoxParamW 7E3A47AB 5 Bytes JMP 402B51FD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] USER32.dll!SetWindowsHookExW 7E3A820F 5 Bytes JMP 40389521 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] USER32.dll!CallNextHookEx 7E3AB3C6 5 Bytes JMP 4037CB69 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] USER32.dll!CreateWindowExW 7E3AD0A3 5 Bytes JMP 4038D3AC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] USER32.dll!UnhookWindowsHookEx 7E3AD5F3 5 Bytes JMP 402F43F6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] USER32.dll!DialogBoxIndirectParamW 7E3B2072 5 Bytes JMP 40483C10 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] USER32.dll!MessageBoxIndirectA 7E3BA082 5 Bytes JMP 40483B42 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] USER32.dll!DialogBoxParamA 7E3BB144 5 Bytes JMP 40483BAD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] USER32.dll!MessageBoxExW 7E3D0838 5 Bytes JMP 40483A13 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] USER32.dll!MessageBoxExA 7E3D085C 5 Bytes JMP 40483A75 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] USER32.dll!DialogBoxIndirectParamA 7E3D6D7D 5 Bytes JMP 40483C73 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] USER32.dll!MessageBoxIndirectW 7E3E64D5 5 Bytes JMP 40483AD7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 4038D408 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] ole32.dll!OleLoadFromStream 774F9C85 5 Bytes JMP 40483F78 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] WININET.dll!InternetReadFile 3F9E654B 5 Bytes JMP 01082DE8
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] WININET.dll!InternetCloseHandle 3F9E9088 5 Bytes JMP 01082E42
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] WININET.dll!HttpOpenRequestA 3F9ED508 5 Bytes JMP 01082B35
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] WININET.dll!InternetConnectA 3F9EDEAE 5 Bytes JMP 010828FB
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] WININET.dll!HttpSendRequestW 3F9EFABE 5 Bytes JMP 01083742
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] WININET.dll!HttpSendRequestA 3F9FEE81 5 Bytes JMP 01082CA1
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] CRYPT32.dll!CertGetCertificateChain 77A62F67 5 Bytes JMP 0108331C
.text C:\Programmi\Internet Explorer\iexplore.exe[1940] CRYPT32.dll!CertVerifyCertificateChainPolicy 77A6B76F 5 Bytes JMP 01083325

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Programmi\Internet Explorer\iexplore.exe[1940] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [451F1ACB] C:\Programmi\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device \Driver\Cdrom \Device\CdRom0 89D46428
Device \Driver\Cdrom \Device\CdRom1 89D46428
Device \Driver\iaStor \Device\Ide\iaStor0 8951ABD0
Device \Driver\atapi \Device\Ide\IdePort0 89D468D8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 89D468D8
Device \Driver\atapi \Device\Ide\IdePort1 89D468D8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 89D468D8
Device \Driver\iaStor \Device\Ide\IAAStorageDevice-0 8951ABD0
Device \Driver\sojuscsi \Device\Scsi\sojuscsi1Port3Path0Target0Lun0 89D09F00
Device \Driver\sojuscsi \Device\Scsi\sojuscsi1 89D09F00

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Modules - GMER 1.0.15 ----

Module _________ F747B000-F7493000 (98304 bytes)

---- EOF - GMER 1.0.15 ----


a prima vista mi sembrerebbe pulita.
Poi ho fatto partire Prevx, il quale fa subito la scansione di eventuali rootkit prima del file system e nel bootsector non trova nulla, ho quindi abolito la restante scansione.

Con Norman_Sinowal_cleaner il risultato è leggermente diverso, questo è il log iniziale:


Norman SinowalMBR Cleaner
Copyright © 1990 - 2008, Norman ASA. Built 2008/05/13 16:21:18

Norman Scanner Engine Version: 5.92.04
Nvcbin.def Version: 5.92.00, Date: 2008/05/13 16:21:18, Variants: 0

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Professional 5.1.2600(Safe mode with network) Service Pack 3
Logged on user: POMPOCOMPUTER\Pompolus


Scan started: 01/10/2009 23:50:09

Scanning bootsectors...

Unable to scan for SinowalMBR hooks

Number of sectors found: 0
Number of sectors scanned: 0
Number of sectors not scanned: 0
Number of infections found: 0
Number of infections removed: 0
Total scanning time: 0s 16ms

Dice "Unable to scan for SinowalMBR hooks", che diavolo vuol dire? Non riesce a leggere su hard disk?

Comunque provo anche con MBR.exe e ottengo quetso risultato:


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x89d468d8
\Driver\iaStor -> 0x8951abd0
NDIS: Realtek RTL8168C(P)/8111C(P) PCI-E Gigabit Ethernet NIC -> SendCompleteHandler -> 0x89556df0
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !almeno questo


mi dice "Warning: possible MBR rootkit infection !", così provo ad eseguire "C:\mbr.exe -f" ma il log che mi riporta è lo stesso identico.


Inutile dire che il pc è rallentato e ogni tanto mi viene la schermatona blu della morte!

Che faccio?

Allega i log dei tool indicati nella prima fase, su uno dei server remoti indicati nelle Regole di sezione ed in prima pagina.

Noi (ma soprattutto tu!) ci abbiamo provato.
Vorrè dire che lo terrò attivo, ma non funzionante.
Non credo che ciò sia un dramma.

Per il resto.....GRAZIE MILLE COMUNQUE!!!

E ci riproviamo :)

Da Start - Esegui - digita INF

all'interno della cartella C:\WINDOWS\inf cerca il file denominato sr

tasto dx del mouse su sr e clicca su installa

Terminata l'installazione riavvia il PC, successivamente da Start - Esegui - digita services.msc e controlla che il servizio denominato Servizio Riprtistino configurazione di sistema sia Avviato - Automatico

E ci riproviamo :)

Da Start - Esegui - digita INF

all'interno della cartella C:\WINDOWS\inf cerca il file denominato sr

tasto dx del mouse su sr e clicca su installa

Terminata l'installazione riavvia il PC, successivamente da Start - Esegui - digita services.msc e controlla che il servizio denominato Servizio Riprtistino configurazione di sistema sia Avviato - Automatico

Fatto tutto, ma ho trovato il servizio non avviato (con però l'avvio automatico)
A quel punto, ho cercato di avviarlo manualmente, ma mi è comparso questo avviso

http://wikisend.com/download/508526/Immagine.JPG

Ecco il log di PRevx:

prevx.log (http://wikisend.com/download/447454/prevx.log)

e quello di Gmer:

Gmer.log (http://wikisend.com/download/106984/Gmer.log)

poi ho eseguito tutte le indicazioni con mbr (in modalità provvisoria prima e dopo con senza -f, in modalità normale, ho messo in C: blabla) ma il log è sempre uguale:

mbr.log (http://wikisend.com/download/959180/mbr.log)

e questo è quello di FixMebRoot:

FixMebroot.log (http://wikisend.com/download/461544/FixMebroot.log)

Sembra che non riescano a trovare il rootkit o che il rootkit stesso impedisca l'accesso a tali programmi.

Fatto tutto, ma ho trovato il servizio non avviato (con però l'avvio automatico)
A quel punto, ho cercato di avviarlo manualmente, ma mi è comparso questo avviso

http://wikisend.com/download/508526/Immagine.JPG

Caro Chill-Out,
un po' scoraggiato dai risultati, mi sono chiesto cos'altro si potesse fare o rifare.
Quindi, non chiedermi perchè, ho deciso di eseguire di nuovo la procedura forzata di System Restore Repair e.......MIRACOLO!!!.....tutto è tornato a funzionare alla perfezione!!!
Posso attivare/disattivare il Ripristino dalla relativa scheda delle Proprietà delle Risorse del Computer e posso, inoltre, farlo partire da Start > Programmi.
Ti scrivo, quindi, per ringraziarti della costante assistenza e del grande aiuto che mi hai dato. Senza di te ed i tuoi suggerimenti non sarei mai venuto a capo di questo inghippo.....GRAZIE!!!
Ora penso che lascerò attivo il Ripristino, ma non lo userò mai più: "mai svegliare il can che dorme"...

Caro Chill-Out,
un po' scoraggiato dai risultati, mi sono chiesto cos'altro si potesse fare o rifare.
Quindi, non chiedermi perchè, ho deciso di eseguire di nuovo la procedura forzata di System Restore Repair e.......MIRACOLO!!!.....tutto è tornato a funzionare alla perfezione!!!
Posso attivare/disattivare il Ripristino dalla relativa scheda delle Proprietà delle Risorse del Computer e posso, inoltre, farlo partire da Start > Programmi.
Ti scrivo, quindi, per ringraziarti della costante assistenza e del grande aiuto che mi hai dato. Senza di te ed i tuoi suggerimenti non sarei mai venuto a capo di questo inghippo.....GRAZIE!!!
Ora penso che lascerò attivo il Ripristino, ma non lo userò mai più: "mai svegliare il can che dorme"...

Perfetto, sono felice tu abbia risolto, il reinstallare il Ripristino da sr ha permesso l'uso di System Restore Repair con esito positivo ;)

Ecco il log di PRevx:

prevx.log (http://wikisend.com/download/447454/prevx.log)

e quello di Gmer:

Gmer.log (http://wikisend.com/download/106984/Gmer.log)

poi ho eseguito tutte le indicazioni con mbr (in modalità provvisoria prima e dopo con senza -f, in modalità normale, ho messo in C: blabla) ma il log è sempre uguale:

mbr.log (http://wikisend.com/download/959180/mbr.log)

e questo è quello di FixMebRoot:

FixMebroot.log (http://wikisend.com/download/461544/FixMebroot.log)

Sembra che non riescano a trovare il rootkit o che il rootkit stesso impedisca l'accesso a tali programmi.

Fai girare DrWeb CureIt esattamente come indicato in Guida

Riepilolog da allegare:
DrWeb CureIt
Nuovo log Prevx

ecco qua:

cureit filtrato.txt (http://wikisend.com/download/886010/cureit filtrato.txt)

e la seconda scansione con prevx

prevx2.log (http://wikisend.com/download/612986/prevx2.log)

ecco qua:

cureit filtrato.txt (http://wikisend.com/download/886010/cureit filtrato.txt)

e la seconda scansione con prevx

prevx2.log (http://wikisend.com/download/612986/prevx2.log)

Dai log non emergono tracce del MBR Rootkit, analizzando quello di Prevx vedo che hai provveduto a contrarre altre infezioni, configura Avira come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 aggiornalo e produci log di una scansione completa. In questo modo verifichiamo l'eventuale segnalazione inerente BOO/Sinowal.E inoltre utilizza questo PC solo per portare a termine la procedura di disinfezione altrimenti non se ne esce più.

Ciao, volevo sapere, questa guida è efficace per rimuovere boo\sinowal.e ?
Ho provato a cercare in tutti i forum boo\sinowal.e e non mi ha dato nessun risultato. Per la parola sinowal invece dà molti risultati, fra cui questo tread ma cercare in 60 pagine è un po' lungo. Inoltre ho notato che c'è differenza fra i vari sinowal.a, sinowal.b etc... Altri tipi non danno segni visibili se non le scansioni antivirus, mentre sinowal.e mi ha completamente mandato in pappa il pc.
Ho cominciato a fare la procedura descritta in questo tread ma è molto lunga, anche perchè il virus mi blocca tutto il computer dopo pochi minuti. Non vorrei fare l'ennesima procedura senza risultati visto che ho già provato innumerevoli anti spyware, antimalware, cd di ripristino di vari antivirus per tentare di togliere il virus "fuori" da windows, ma niente ...
Fra l'altro ho notato una cosa: praticamente tutti quelli che sono stati infettati avevano come antivirus avira. Mi confermate? Perchè l'avira non riesce a porre rimedio a questa cosa? A saperlo mica installavo questo antivirus, per intenderci... Io l'ho preso credo da una pagina che si è aperta automaticamente su un forum, ma che però avira mi aveva bloccato!

Ho cominciato a fare la procedura descritta in questo tread ma è molto lunga, anche perchè il virus mi blocca tutto il computer dopo pochi minuti. Non vorrei fare l'ennesima procedura senza risultati visto che ho già provato innumerevoli anti spyware, antimalware, cd di ripristino di vari antivirus per tentare di togliere il virus "fuori" da windows, ma niente ...

Ciao e benvenuto, l'unico modo per tentare di risolvere il problema è seguire la Guida in prima pagina strutturata in Fasi, al momento procedi con la :: FASE PRELIMINARE :: e :: PRIMA FASE ::

Fra l'altro ho notato una cosa: praticamente tutti quelli che sono stati infettati avevano come antivirus avira. Mi confermate?

No, tuttora Avira è uno dei migliori Av in commercio.

Grazie della risposta. Appena tornato a casa riprenderò per l'appunto la procedura.

Ieri avevo anche mandato una mail al supporto di Prevx 3.0. Loro assicurano che con la versione a pagamento il rootkit si può rimuovere, ma c'è da fidarsi?
Le condizioni di rimborso sono assurde: possibilità per un assistente al supporto di accedere in remoto al pc e verificare che davvero il malware non sia removibile. Praticamente impossibile visto che il pc si impalla per nulla: il gatto che si morde la coda.

Grazie della risposta. Appena tornato a casa riprenderò per l'appunto la procedura.

Ieri avevo anche mandato una mail al supporto di Prevx 3.0. Loro assicurano che con la versione a pagamento il rootkit si può rimuovere, ma c'è da fidarsi?
Le condizioni di rimborso sono assurde: possibilità per un assistente al supporto di accedere in remoto al pc e verificare che davvero il malware non sia removibile. Praticamente impossibile visto che il pc si impalla per nulla: il gatto che si morde la coda.

Prevx è un ottimo software così come il supporto tecnico, ed in versione free rimuove una variante del MBR Rootkit, comunque in Guida utilizziamo la versione free.

Dai log non emergono tracce del MBR Rootkit, analizzando quello di Prevx vedo che hai provveduto a contrarre altre infezioni, configura Avira come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 aggiornalo e produci log di una scansione completa. In questo modo verifichiamo l'eventuale segnalazione inerente BOO/Sinowal.E inoltre utilizza questo PC solo per portare a termine la procedura di disinfezione altrimenti non se ne esce più.

E' quel che dicevo io, i vari softaware non sembrano trovare la minaccia, solo Avir vede questo Sinowal.E.
Tutti i virus che vedi riportati da Prevx e che nella precdente scansione non venivano rilevati, li ho presi semplicemente stando collegato ad internet in modalità provvisoria, ormai questo pclo uso o solo tramite ubuntu oppure tramite modalità provvisoria di Windows con supporto per rete, in modalità normale non ci entro da giorni visto che è inutilizzabile.

Ecco la nuova scansione di Avir, grazie per il tempo che dedicate ^^

AVSCAN.txt (http://wikisend.com/download/563384/AVSCAN.txt)

E' quel che dicevo io, i vari softaware non sembrano trovare la minaccia, solo Avir vede questo Sinowal.E.
Tutti i virus che vedi riportati da Prevx e che nella precdente scansione non venivano rilevati, li ho presi semplicemente stando collegato ad internet in modalità provvisoria, ormai questo pclo uso o solo tramite ubuntu oppure tramite modalità provvisoria di Windows con supporto per rete, in modalità normale non ci entro da giorni visto che è inutilizzabile.

Ecco la nuova scansione di Avir, grazie per il tempo che dedicate ^^

AVSCAN.txt (http://wikisend.com/download/563384/AVSCAN.txt)

Inutilizzabile per quale motivo?

Inutilizzabile per quale motivo?

Perchè è lento, si impalla e internet non va, msn da problemi ed in più è anche uscita una bella schermatona blu della morte.

E tutto questo nelle uniche 2 volte che sono entrato in modalità normale, ovvero la prima dopo che il rootkit ha riavviato il sistema e un'altra in questi giorni per fare la scansione con mbr.exe

Perchè è lento, si impalla e internet non va, msn da problemi ed in più è anche uscita una bella schermatona blu della morte.

E tutto questo nelle uniche 2 volte che sono entrato in modalità normale, ovvero la prima dopo che il rootkit ha riavviato il sistema e un'altra in questi giorni per fare la scansione con mbr.exe

E' necessario ripristinare il master boot record del disco di avvio seguendo questa procedura

* Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS
* Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY
* Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive
* A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows
* Premi F10 per confermare ed uscire
* Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
* Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
* Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, 1) X:\Windows quindi premere 1 e confermare con OK
* Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.
* Al prompt dei comandi digita FIXMBR e clicca su Y per confermare
* Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows


potrebbe essere necessario reinstallare Grub, successivamente bisogna intraprendere una procedura di dinsifezione per rimuovere ciò che si accumulato in questi giorni.

E' necessario ripristinare il master boot record del disco di avvio seguendo questa procedura



fatto, sono entrato nella console di ripristino dal cd di windows xp, ho digitato fixmbr ma sembra non fare niente. Il rootkit è ancora presente e non ho neanche dovuto reinstallare GRUB, cosa che mi sembra alquanto strano visto che appena dai la possibilità a windows di mettere le mani sull' MBR lo sovrascrive completamente...

fatto, sono entrato nella console di ripristino dal cd di windows xp, ho digitato fixmbr ma sembra non fare niente. Il rootkit è ancora presente e non ho neanche dovuto reinstallare GRUB, cosa che mi sembra alquanto strano visto che appena dai la possibilità a windows di mettere le mani sull' MBR lo sovrascrive completamente...

Impossibile :)

Impossibile :)

impossibile cosa?

forse ho sbagliato qualcosa...

riassumo ciò che ho fatto:

ho messo il cd di windows xp professional
ho riavviato
ho selezionato come boot il cd
mi entra nella schermata di installazione di windows
premo r
mi porta sul prompt

mi trovo in questa situazione:

C:\

digito fixmbr

il prompt riconosce il comando (infatti non scrive "command not valid use HELP blablabla").

neanche un secondo di elaborazione e mi torna a

C:\


ho fatto tutto questo 2-3 volte, poi digito exit.


che ho sbagliato?

Ripeti quanto qui http://www.hwupgrade.it/forum/showpost.php?p=29164062&postcount=1415 indicato digitando

fixmbr \Device\HardDisk1

Ripeti quanto qui http://www.hwupgrade.it/forum/showpost.php?p=29164062&postcount=1415 indicato digitando

fixmbr \Device\HardDisk1

fatto,

specificando HardDisk1 succede esattamente quello che ho detto prima, ovvero niente.

l'ho fatto invece con HardDisk0 e sembra aver funzionato, ovvero sono apparse le scritte di avvertimento: "attenzione le partizioni possono fottersi e tante cose brutte blabla", ho confermato la scelta e in output mi è stato comunicato che il record di avvio è stato modificato.

Solo che ancora Grub risulta installato correttamente, sono riandato in modalità provvisoria e dopo 3 secondi di scansione Avir mi ha trovato nuovamente il Sinowal.E come se non fosse successo niente...

fatto,

specificando HardDisk1 succede esattamente quello che ho detto prima, ovvero niente.

l'ho fatto invece con HardDisk0 e sembra aver funzionato, ovvero sono apparse le scritte di avvertimento: "attenzione le partizioni possono fottersi e tante cose brutte blabla", ho confermato la scelta e in output mi è stato comunicato che il record di avvio è stato modificato.

Solo che ancora Grub risulta installato correttamente, sono riandato in modalità provvisoria e dopo 3 secondi di scansione Avir mi ha trovato nuovamente il Sinowal.E come se non fosse successo niente...

Come sopra impossibile :)

Quanti HDD hai quante partizioni e dove è installato Linux?

Come sopra impossibile :)

Quanti HDD hai quante partizioni e dove è installato Linux?

ho 2 hard disk, uno SATA e uno non. Quello non SATA è solo per i dati ed ha un'unica partizione.

L'hard disk SATA è diviso in 3 partizioni, in una è installato windows, in una linux e la terza è solo per i programmi.

ho 2 hard disk, uno SATA e uno non. Quello non SATA è solo per i dati ed ha un'unica partizione.

L'hard disk SATA è diviso in 3 partizioni, in una è installato windows, in una linux e la terza è solo per i programmi.

L'installazione di Linux risale a quando?

L'installazione di Linux risale a quando?

circa un anno fa

circa un anno fa

Allega un nuovo log di:

Stealth MBR rootkit detector
Avira

Allega un nuovo log di:

Stealth MBR rootkit detector
Avira

ecco qua, freschi freschi appena finiti:

mbr4.txt (http://wikisend.com/download/517956/mbr4.txt)

AVSCAN2.txt (http://wikisend.com/download/926644/AVSCAN2.txt)

Help
ecco i 2 log

http://wikisend.com/download/211876/prevx.log

http://wikisend.com/download/571574/gmer.log

ecco qua, freschi freschi appena finiti:

mbr4.txt (http://wikisend.com/download/517956/mbr4.txt)

AVSCAN2.txt (http://wikisend.com/download/926644/AVSCAN2.txt)


Secondo me sei a posto indipendentemente dal log che recita Warning: possible MBR rootkit infection !

Ultima cosa, Win è su C:\ mentre Linux su è E:\ ?

Help
ecco i 2 log

http://wikisend.com/download/211876/prevx.log

http://wikisend.com/download/571574/gmer.log

Ciao, segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446 i log per il controllo andranno allegati dove appena indicato.

Secondo me sei a posto indipendentemente dal log che recita

ma come fai a dire che sono a posto? Avir dice questo:

Record master di avvio dell'Hard Disk 1
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[NOTA] Il settore di avvio non è stato riparato!

Avvio della scansione dei record di avvio:

Record di avvio 'C:\'
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[NOTA] Il settore di avvio non è stato riparato!
Record di avvio 'E:\'
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[NOTA] Il settore di avvio non è stato riparato!




Ultima cosa, Win è su C:\ mentre Linux su è E:\ ?

A questo non so esattamente come risponderti.
In ambiente Windows ho 3 partizioni, 2 su un hard disk e 1 su un altro. Sul primo Hard disk ho C:\ (dove è installato windows) e E:\ (che è solo di dati), nell'altro hard disk ho F:\ (anche questa solo di dati.
Chiedendomi che lettera è linux mi metti in difficoltà visto ch ein ambiente windows non si vede e in ambiente linux non si chiama con lettere

ma come fai a dire che sono a posto? Avir dice questo:

Record master di avvio dell'Hard Disk 1
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[NOTA] Il settore di avvio non è stato riparato!

Avvio della scansione dei record di avvio:

Record di avvio 'C:\'
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[NOTA] Il settore di avvio non è stato riparato!
Record di avvio 'E:\'
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[NOTA] Il settore di avvio non è stato riparato!



Nessuno dei tool rilevava nulla, abbiamo ripristinato il MBR, quindi Antivir sfarlocca :)

Nessuno dei tool rilevava nulla, abbiamo ripristinato il MBR, quindi Antivir sfarlocca :)

Ehm, avir sfarloccherà ma quando ho preso il virus, il pc mi si è riavviato da solo proprio come fanno fare i rootkit. Da quel momento in poi internet non funziona bene, msn da errore, e tutto è rallentato. In più vengono le schermate blu (un'altra è venuta anche in modalità provvisoria durante l'ultima scansione con Avir) ed ho cominciato a prendere virus solo restando collegato.

Insomma, non mi sembra proprio una situazione in cui "tutto è a posto" visto che prima che il pc si riavviasse andava a meraviglia....

E quei tool non hanno mai trovato nulla, quindi manco a dire che ora non lo trovano perchè è stato tolto mentre avir sfarlocca e ancora lo vede...

Ehm, avir sfarloccherà ma quando ho preso il virus, il pc mi si è riavviato da solo proprio come fanno fare i rootkit.

Non funziona proprio così comunque non ha importanza.

Insomma, non mi sembra proprio una situazione in cui "tutto è a posto" visto che prima che il pc si riavviasse andava a meraviglia....

Te l'ho già detto hai contratto altre infezioni http://www.hwupgrade.it/forum/showpost.php?p=29156707&postcount=1407

E quei tool non hanno mai trovato nulla, quindi manco a dire che ora non lo trovano perchè è stato tolto mentre avir sfarlocca e ancora lo vede...

Ci sono 70 pagine di Thread a dimostrazione che i tool qualcosa trovano, suvvia, ricordo inoltre che se i tool falliscono, il ripristino del MBR con fixmbr risolve.

Edit: una cortesia, postresti allegare il Report inerente la rilevazione di Avira che ha dato inizio al problema.

Non funziona proprio così comunque non ha importanza.



Te l'ho già detto hai contratto altre infezioni http://www.hwupgrade.it/forum/showpost.php?p=29156707&postcount=1407



Ci sono 70 pagine di Thread a dimostrazione che i tool qualcosa trovano, suvvia, ricordo inoltre che se i tool falliscono, il ripristino del MBR con fixmbr risolve.

Mi stai quindi dicendo che il computer si è riavviato per caso E sempre per caso esattamente dopo il riavvio avira ha trovato quel rootkit? E che tutti i problemi che ho riscontrato col pc sono avvenuti per i virus che ho contratto DOPO (infatti nelle precedenti scansioni non c'erano)?

Quindi togliendo i virus dovrebbe tornare tutto come prima e devo convivere con questo allarme di questo inesistente BOO/sinowal.E?


Inoltre ho appena rifatto la scansione con PRevx e risulta questo:
[B] c:\windows\system32\hook.dll [PX5: B7DDC9A000A95046805903E5BB17F200A88A142E] Malware Group: High Risk Information Stealer
[B] c:\gmouse20\gmouse.exe [PX5: 2A4236FB00FF44DDC20403EAA2DC8500C6092921] Malware Group: High Risk Worm
[B] c:\windows\system32\cncs32.dll [PX5: 1DA693F800092F06A0CC020743F860002BE80D1A] Malware Group: High Risk Banking Info Stealer

ma Gmouse.exe è un programma che uso da anni e sono sicuro sia pulito, è un bot e viene sempre riconosciuto come viurs.

cncs32.dll mi dice che è un "HIgh Risk Banking Info Stealer" ma leggendo qua e là sulla rete sembra che sia un falso positivo.

Quindi l'unico vero virus che potrei avere (anche se su questo ci sono pareri constrastanti) è questo Hook.dll... Quindi tutto sto casino lo starebbe facendo lui??


EDIT: ho letto solo ora, purtroppo non credo di aver salvato il report della prima scansione in assoluto di Avir, questa è la più vecchia che ho, che risale all'altro ieri però http://wikisend.com/download/563384/AVSCAN.txt

Mi stai quindi dicendo che il computer si è riavviato per caso E sempre per caso esattamente dopo il riavvio avira ha trovato quel rootkit? E che tutti i problemi che ho riscontrato col pc sono avvenuti per i virus che ho contratto DOPO (infatti nelle precedenti scansioni non c'erano)?

No, non ti ho detto questo, ti ho semplicemente detto che successivimente hai contratto altre infezioni.

Edit: non parlo del log, in Panoramica - Report trovi il log generato nel momento in cui si è verificato questo evento

Salve a tutti,

Oggi stavo navigando quando ad un certo punto Avir mi avevrte che ha trovato un virus nei file temporanei di internet, gli dico di eliminarlo e sembra tutto ok, quando dopo pochi minuti mi si riavvia il pc.

No, non ti ho detto questo, ti ho semplicemente detto che successivimente hai contratto altre infezioni.

Edit: non parlo del log, in Panoramica - Report trovi il log generato nel momento in cui si è verificato questo evento

Li ho trovati in Panoramica - eventi, credo tu intenda questi.

Questi sono i primi 3 eventi registrati

Evento1.txt (http://wikisend.com/download/538346/Evento1.txt)
Evento2.txt (http://wikisend.com/download/607222/Evento2.txt)
Evento3.txt (http://wikisend.com/download/211346/Evento3.txt)

dopo 9 minuti il pc si è riavviato e questo è quello che ha trovato immediatamente dopo il riavvio:

Evento4.txt (http://wikisend.com/download/457698/Evento4.txt)
Evento5.txt (http://wikisend.com/download/461446/Evento5.txt)
Evento6.txt (http://wikisend.com/download/525430/Evento6.txt)

Si era quello che desideravo vedere, ribadisco se hai seguito alla lettera le istruzioni lanciando il comando fixmbr il problema se c'è, si risolve.

Si era quello che desideravo vedere, ribadisco se hai seguito alla lettera le istruzioni lanciando il comando fixmbr il problema se c'è, si risolve.

Ok ho capito perchè non si è risolto nulla con fixmbr.

Sono appena rientrato nella console di ripristino e mi sono accorto che le lettere delle partizioni non corrispondono.

Come avevo detto ho 2 hard disk, il SATA su cui è installato XP e UBUNTU, mentre il secondo non SATA su cui sono solo immagazzinati dati vari. Quando entro nella console di ripristino, C:\ non è la partizione in cui è installato windows, bensì la partizione del disco non SATA.
Ho provato ad accedere alle altre partizioni (digitando a: , b:, c: , d:... e così via fino a z:) ma le uniche in cui riesco ad accedere sono C:\, D:\ e A:\, dove la prima è quella che ho appena detto, D:\ è quella del cd di windows e A:\ è il floppy.

Come faccio ad accedere nell'hard disk giusto?

credo di aver capito, il problema è proprio che l'hard disk è SATA e non lo riconosce. Cerco un dischetto con i driver giusti e provo a rifare l'operazione.

Perfetto era quello il problema, ho installato i driver SATA durante il caricamento del cd di installazione di Win xp e la console di ripristino stavolta mi ha riconosciuto la giusta partizione dove è installato xp, ho fatto fixmbr e stavolta sembra esser andato in porto.

Ho fatto una scansione con Avir e non trova più traccia del rootkit, visto che quei Tool non sono poi così precisi, chill? ^_*

Ti ringrazio infinitamente per l'aiuto e per il tempo che hai perso per starmi dietro, anche se stavi per lasciarmi solo con il mio rootkit! :P

Ah, per disinfettare quell'Hook.dll, continuo a postare qui o nell'altra sezione?

Grazie ancora

Ciao a tutti, ho il computer infetto con il virus in oggetto.
Mi viene rilevato da nod32 all'avvio del pc.
Questi sono i report dei progammi che avete richiesto voi ma non mi sembra rilevino dei problemi.

http://wikisend.com/download/868710/prevx.log

http://wikisend.com/download/464106/GMER.txt

Attendo informazioni dagli esperti.
Grazie

Perfetto era quello il problema, ho installato i driver SATA durante il caricamento del cd di installazione di Win xp e la console di ripristino stavolta mi ha riconosciuto la giusta partizione dove è installato xp, ho fatto fixmbr e stavolta sembra esser andato in porto.

Ho fatto una scansione con Avir e non trova più traccia del rootkit, visto che quei Tool non sono poi così precisi, chill? ^_*

Ti ringrazio infinitamente per l'aiuto e per il tempo che hai perso per starmi dietro, anche se stavi per lasciarmi solo con il mio rootkit! :P

Ah, per disinfettare quell'Hook.dll, continuo a postare qui o nell'altra sezione?

Grazie ancora

Allega un nuovo log di:

Stealth MBR rootkit detector
Avira

ovviamente da modalità provvisoria :)

Ciao a tutti, ho il computer infetto con il virus in oggetto.
Mi viene rilevato da nod32 all'avvio del pc.
Questi sono i report dei progammi che avete richiesto voi ma non mi sembra rilevino dei problemi.

http://wikisend.com/download/868710/prevx.log

http://wikisend.com/download/464106/GMER.txt

Attendo informazioni dagli esperti.
Grazie

Ciao ripeti scansione con Gmer avendo cura di spuntare nel Pannello di dx tutte le caselle, esattamente come indicato in Guida. Allega anche un log del Nod32 inerente la rilevazione del Rootkit.

Ciao ripeti scansione con Gmer avendo cura di spuntare nel Pannello di dx tutte le caselle, esattamente come indicato in Guida. Allega anche un log del Nod32 inerente la rilevazione del Rootkit.

log Gmer con tutte spuntate le caselle di destra
http://wikisend.com/download/577678/GMER.txt
per il nod32 è questo
07/10/2009 22.18.52 Avvio Controllo settore di avvio settore MBR del disco fisico 0 Win32/Mebroot.BZ trojan horse

Cosa devo fare?
Grazie mille

log Gmer con tutte spuntate le caselle di destra
http://wikisend.com/download/577678/GMER.txt
per il nod32 è questo
07/10/2009 22.18.52 Avvio Controllo settore di avvio settore MBR del disco fisico 0 Win32/Mebroot.BZ trojan horse

Cosa devo fare?
Grazie mille

Allega il log di Stealth MBR rootkit detector -> :: SECONDA FASE :: Punto 1

Ciao mbr log fase1
http://wikisend.com/download/908026/mbr1.txt
mbr log fase2
http://wikisend.com/download/571608/mbr2.txt
mbr log fase3
http://wikisend.com/download/513938/mbr3.txt
Attendo info.
Grazie

Serviva solo il primo log, comunque è lo stesso, fai girare questo tool http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni: http://www.norman.com/Virus/Virus_removal_tools/52382/it

successivamente come indicato in Guida fai girare DrWeb CureIt.

Serviva solo il primo log, comunque è lo stesso, fai girare questo tool http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Istruzioni: http://www.norman.com/Virus/Virus_removal_tools/52382/it

successivamente come indicato in Guida fai girare DrWeb CureIt.

Ciao e grazie mille per il supporto, un amico mi aveva detto di far girare DrWeb CureIt ed ho appena finito, mi ha torvato una infezione e l'ha eliminata, fatto girare il nod 32 e non trova più il virus. Spero bene di averlo eliminato. Grazie mille per il tuo supporto, se non ci sono persone come te che aiutano noi poveri utenti chissa cosa faremo.
Grazie

Ciao e grazie mille per il supporto, un amico mi aveva detto di far girare DrWeb CureIt ed ho appena finito, mi ha torvato una infezione e l'ha eliminata, fatto girare il nod 32 e non trova più il virus. Spero bene di averlo eliminato. Grazie mille per il tuo supporto, se non ci sono persone come te che aiutano noi poveri utenti chissa cosa faremo.
Grazie

Prego, felice che tu abbia risolto, se possibile allega il log di CureIt, grazie.

Prego, felice che tu abbia risolto, se possibile allega il log di CureIt, grazie.
Ciao, sarà perchè cureit non è registrato ma non mi fa salvare il log.
Grazie

Ciao, sarà perchè cureit non è registrato ma non mi fa salvare il log.
Grazie

In prima pagina è indicato dove reperire il log :)

In prima pagina è indicato dove reperire il log :)
Grazie, ecco il log.
http://wikisend.com/download/447228/CureIt.log
Fammi sapere cosa ti sembra.

Grazie, ecco il log.
http://wikisend.com/download/447228/CureIt.log
Fammi sapere cosa ti sembra.

Questo è il log della scansione fatta in data odierna, sarebbe stato utile il precedente datato 08.10 ;)

in caso di formattazione l'MBR è eliminato ed installato originale dal disco di installazione del SO giusto?

ps: si scrive bootloder o bootloader?

in caso di formattazione l'MBR è eliminato ed installato originale dal disco di installazione del SO giusto?

ps: si scrive bootloder o bootloader?


Se formatti a basso livello

boot loader

Se formatti a basso livello

boot loader

cosa si intende per "basso livello"?

cosa si intende per "basso livello"?

http://www.hwupgrade.it/forum/showthread.php?t=810040

salve!
eset nod32 di tanto in tanto mi segnala il seguente messaggio in allegato, in cui mi rileva la presenza del virus TSR.BOOT

seguendo la guida procedo dapprima con lo scan eseguito da prevx 3.0 ma questo non mi rileva nessuna infezione....che faccio?

salve!
eset nod32 di tanto in tanto mi segnala il seguente messaggio in allegato, in cui mi rileva la presenza del virus TSR.BOOT

seguendo la guida procedo dapprima con lo scan eseguito da prevx 3.0 ma questo non mi rileva nessuna infezione....che faccio?
ciao

carica i log richiesti dalla fase 1

ecco i log

http://wikisend.com/download/458402/prevx log.log

http://wikisend.com/download/122620/log gmer.txt

aspetto vostre dritte, sono esaurito :muro:

ecco i log

http://wikisend.com/download/458402/prevx log.log

http://wikisend.com/download/122620/log gmer.txt

aspetto vostre dritte, sono esaurito :muro:

i log sono puliti
prova a seguire anche la seconda fase
nod è aggiornato?

i log sono puliti
prova a seguire anche la seconda fase
nod è aggiornato?

si nod è aggiornato

procedo con la seconda fase.

ma è possibile che il virus ci sia ancora anche se nè eset nod32, nè Prevx, nè GMER lo trovano? :muro:

si nod è aggiornato

procedo con la seconda fase.

ma è possibile che il virus ci sia ancora anche se nè eset nod32, nè Prevx, nè GMER lo trovano? :muro:

potrebbe essere un falso rilevamento

perdonatemi la domanda stupida:

sono alle seconda fase...ma il quarto passaggio prevede Symantec Trojan.Mebroot Removal Tool che leggo essere compatibile solo con XP, io ho Vista, quindi non devo usarlo e salto il quarto passaggio di questa seconda fase?

perdonatemi la domanda stupida:

sono alle seconda fase...ma il quarto passaggio prevede Symantec Trojan.Mebroot Removal Tool che leggo essere compatibile solo con XP, io ho Vista, quindi non devo usarlo e salto il quarto passaggio di questa seconda fase?

si salta

altro problemino...

quando dalla modalità provvisoria faccio esegui - c:\mbr.exe mi si apre il prompt che segnala l'avvio del processo, ma dopo pochi secondi scompare la finestra e non so se è ancora in esecuzione , e anche se lo fosse non potrei salvarne il log dal momento che non la riesco a visualizzare

attendo istruzioni


ps:grazie intanto per la grande disponibilità ad aiutarmi!

Guarda qui c:\mbr.log

Guarda qui c:\mbr.log

e dopo quando tempo, visto che non so se il processo è terminato o è ancora in esecuzione? ... vedo se facendo ctrl +alt+canc il task manager lo rileva in esecuzione?

e dopo quando tempo, visto che non so se il processo è terminato o è ancora in esecuzione? ... vedo se facendo ctrl +alt+canc il task manager lo rileva in esecuzione?

Dove indicato, dovresti semplicemente trovare il log :)

Guarda qui c:\mbr.log

questo per il primo step....

quando poi digito c:\mbr.exe -f per visualizzarne il log faccio sempre c:\mbr.log? l'ho anche già fatto ma esce praticamente lo stesso log del primo step: lo salvo lo stesso come MBR2 anche se identico all'MBR1?

ps: proprio mentre sto scrivendovi mi è ricomparso l'avviso di eset della presenza di questo maledetto tsr.boot nell' mbr

questo per il primo step....

quando poi digito c:\mbr.exe -f per visualizzarne il log faccio sempre c:\mbr.log? l'ho anche già fatto ma esce praticamente lo stesso log del primo step: lo salvo lo stesso come MBR2 anche se identico all'MBR1?

ps: proprio mentre sto scrivendovi mi è ricomparso l'avviso di eset della presenza di questo maledetto tsr.boot nell' mbr

Desidero vedere solo il log che trovi in c:\mbr.log

Desidero vedere solo il log che trovi in c:\mbr.log

ecco l'MBR1 :)

http://wikisend.com/download/554892/mbr1.txt

ecco l'MBR1 :)

http://wikisend.com/download/554892/mbr1.txt

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Il log è OK, fai scansione completa con CureIt esattamente come indicato in Guida, attendiamo il log.

Il log è OK, fai scansione completa con CureIt esattamente come indicato in Guida, attendiamo il log.

ecco il log di cureit:

http://wikisend.com/download/586840/cureit filtrato.txt

attendo vostre info :) ...e,come al solito, ringrazio anticipatamente!!

ecco il log di cureit:

http://wikisend.com/download/586840/cureit filtrato.txt

attendo vostre info :) ...e,come al solito, ringrazio anticipatamente!!

Log pulito, dimmi se rientri in questa casistica:

- sul tuo Pc c'è una partizione nascosta per il Recovery del Pc
- non sei loggato come amministratore
- hai un lettore di Card al momento non inserito
- è collegato un supporto removile USB esterno

Log pulito, dimmi se rientri in questa casistica:

- sul tuo Pc c'è una partizione nascosta per il Recovery del Pc
- non sei loggato come amministratore
- hai un lettore di Card al momento non inserito
- è collegato un supporto removile USB esterno

e qui mi manifesto nella mia pericolosa ignoranza:

dovrei avere solo due partizioni, una per vista e una solo dati...ma non so come verificare l'esistenza di eventuali partizioni nascoste

ho un unico account sul mio notebook e quindi credo di essere loggato per forza come amministratore...anche se molte operazioni mi chiede la conferma da amministratore

il lettore di card è interno al notebook

gli unici supporti usb che uso stabilmente sono una tastiera e un mouse

:cry:

ps: adesso mi si è messo pure a fluttuare la luminosità dello schermo sotto alimentazione a batteria, cosa che non avviene se lo attacco alla rete :cry: :cry:

Non trovo il tasto "tools" in Prevx 3.0. Come faccio a copiare il log?

Comunque, se posso spiegare, la mia situazione è un pò anomala.

Ho avviato mbr.exe (prima ancora di arrivare a questo forum) che ha trovato il virus nel settore mbr. Allora ho eseguito mbr.exe -f ed è andato a buon fine.

Se però faccio ripartire mbr.exe mi dice che c'è ancora lo stesso problema, come se non fosse stato rimosso. Ma se scansiono con NOD32, il quale mi indicava l'infezione a livello del settore mbr, non trova più nulla.

Posso ritenere disinfettato il computer?

Scusate se non ho seguito alla lettera, ma è colpa di prevx 3.0!

Grazie mille

e qui mi manifesto nella mia pericolosa ignoranza:

dovrei avere solo due partizioni, una per vista e una solo dati...ma non so come verificare l'esistenza di eventuali partizioni nascoste

ho un unico account sul mio notebook e quindi credo di essere loggato per forza come amministratore...anche se molte operazioni mi chiede la conferma da amministratore

il lettore di card è interno al notebook

gli unici supporti usb che uso stabilmente sono una tastiera e un mouse

:cry:

ps: adesso mi si è messo pure a fluttuare la luminosità dello schermo sotto alimentazione a batteria, cosa che non avviene se lo attacco alla rete :cry: :cry:

Trattandosi di un Note la partizione di ripristino è presente, ripeti scansione col Nod (aggiornato) ed allega il log.

Non trovo il tasto "tools" in Prevx 3.0. Come faccio a copiare il log?

Comunque, se posso spiegare, la mia situazione è un pò anomala.

Ho avviato mbr.exe (prima ancora di arrivare a questo forum) che ha trovato il virus nel settore mbr. Allora ho eseguito mbr.exe -f ed è andato a buon fine.

Se però faccio ripartire mbr.exe mi dice che c'è ancora lo stesso problema, come se non fosse stato rimosso. Ma se scansiono con NOD32, il quale mi indicava l'infezione a livello del settore mbr, non trova più nulla.

Posso ritenere disinfettato il computer?

Scusate se non ho seguito alla lettera, ma è colpa di prevx 3.0!

Grazie mille

Allega i log inerenti la PRIMA FASE, per quanto concerne Prevx ti allego lo Screenshot

http://img22.imageshack.us/img22/6738/58524584.th.jpg (http://img22.imageshack.us/i/58524584.jpg/)

Trattandosi di un Note la partizione di ripristino è presente, ripeti scansione col Nod (aggiornato) ed allega il log.

prevedo già che eset nod32 non segnali nulla, l'ho fatta 2 giorni fa....cmq adesso la ripeto, ma già ti chiedo cosa fare in caso che ancora una volta non segnali nulla?

ps: il prossimo mese mi scade la licenza per eset, visto che devo scegliere se rinnovare l'abbonamento tu cosa mi consigli: tengo questo o me ne suggerisci un altro?

pps:con quale tool io sono sicuro di trovare qualunque tipo di infezione?anche se è un tool che poi non effettua cure...ma mi serve almeno uno che mi assicura di quello che ho e , soprattutto, se ce l'ho!

grazie

Trattandosi di un Note la partizione di ripristino è presente, ripeti scansione col Nod (aggiornato) ed allega il log.

effettivamente quando ad esempio faccio il defrag mi rileva una terza partizione "NVCACHE" (le altre due sono Vista e una di solo dati)

cmq ecco il log di eset

http://wikisend.com/download/463734/eset log.txt

Allega i log inerenti la PRIMA FASE, per quanto concerne Prevx ti allego lo Screenshot

http://img22.imageshack.us/img22/6738/58524584.th.jpg (http://img22.imageshack.us/i/58524584.jpg/)

Riproverò, ma il tasto tools -non so proprio perché- non c'è! Proverò a reinstallarlo.

Riproverò, ma il tasto tools -non so proprio perché- non c'è! Proverò a reinstallarlo.

Finalmente ci sono riuscito. Allego i due txt.
http://wikisend.com/download/527586/prevx.txt
http://wikisend.com/download/519248/gmer.txt

effettivamente quando ad esempio faccio il defrag mi rileva una terza partizione "NVCACHE" (le altre due sono Vista e una di solo dati)

cmq ecco il log di eset

http://wikisend.com/download/463734/eset log.txt

up ...sorry

avira mi ha trovato un virus (BOO/Sinowal.E) nel Record master di avvio dell'Hard Disk 0

ho eseguito la procedura indicata in prima pagina e questi sono i log:
prevx.log (http://wikisend.com/download/438238/prevx.log)
gmer.log (http://wikisend.com/download/442816/gmer.log)

prevx, dopo la scansione e rilevazione del problema avrebbe effettuato un'operazione di pulizia e recupero del settore che, a quanto sembra dal log della scansione successiva allegata (la prima non me l'ha fatta salvare perché ha fatto la procedura su indicata), dovrebbe aver funzionato

voi che dite?

avira mi ha trovato un virus (BOO/Sinowal.E) nel Record master di avvio dell'Hard Disk 0

ho eseguito la procedura indicata in prima pagina e questi sono i log:
prevx.log (http://wikisend.com/download/438238/prevx.log)
gmer.log (http://wikisend.com/download/442816/gmer.log)

prevx, dopo la scansione e rilevazione del problema avrebbe effettuato un'operazione di pulizia e recupero del settore che, a quanto sembra dal log della scansione successiva allegata (la prima non me l'ha fatta salvare perché ha fatto la procedura su indicata), dovrebbe aver funzionato

voi che dite?

Allega nuovo log di Prevx

Finalmente ci sono riuscito. Allego i due txt.
http://wikisend.com/download/527586/prevx.txt
http://wikisend.com/download/519248/gmer.txt

Non ci sono tracce del MBR Rootkit

Allega i log inerenti la PRIMA FASE, per quanto concerne Prevx ti allego lo Screenshot

http://img22.imageshack.us/img22/6738/58524584.th.jpg (http://img22.imageshack.us/i/58524584.jpg/)

Ho eseguito la prima fase, e sono riuscito a copiare il log di prevx. Allego i due log in formato txt.

http://wikisend.com/download/527586/prevx.txt
http://wikisend.com/download/519248/gmer.txt

Cose ne pensi?
Grazie mille

Ho eseguito la prima fase, e sono riuscito a copiare il log di prevx. Allego i due log in formato txt.

http://wikisend.com/download/527586/prevx.txt
http://wikisend.com/download/519248/gmer.txt

Cose ne pensi?
Grazie mille

http://www.hwupgrade.it/forum/showpost.php?p=29369308&postcount=1487

Allega nuovo log di Prevx
ecco:
prevx2.log (http://wikisend.com/download/556748/prevx2.log)

ecco:
prevx2.log (http://wikisend.com/download/556748/prevx2.log)

Direi che siamo a posto, Prevx ha lavorato egregiamente.

up ...sorry

Log pulito :rolleyes:

http://www.hwupgrade.it/forum/showpost.php?p=29369308&postcount=1487

Grazie davvero per l'aiuto. Tuttavia, preferisco comunque postare il log di mbr.exe, perché a mio modo di vedere è piuttosto ambiguo.

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A18AC1
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA !

Grazie davvero per l'aiuto. Tuttavia, preferisco comunque postare il log di mbr.exe, perché a mio modo di vedere è piuttosto ambiguo.

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A18AC1
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA !

Sei ok, per scrupolo ripeti scansione completa col Nod aggiornato alle ultime definizioni.

ragazzi, ho lo stesso problema, sui 3 HD dellami pc. per tutti avira segnala la presenza di boo/sinowal.e. Ho cercato di effettuare la procedura indicata all'inizio ma prevx non trova nulla e anche gmer che pero mi permette di spuntare, nella tendina malware solo le seguenti voci: services, registry, files; gli hd e la casella ads. per cui non penso effettui una scansione completa.

mbr mi da questo esito:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR

io ho un sistema a xp pro 64bit puo essere questo che influisce sull'esito delle verifiche

ho provaotanche a fare una scansione con avira rescue disk e mi da lo stesso esito. il vrus c'è.

cosa faccio? formatto tutto? serve a qualche cosa?

se trasferisco i file presenti su questi hd infetto anche agli altri non ancora colpiti dal virus. sono files importanti non vorrei perderli. vi prego, datemi una mano. :muro:

ragazzi, ho lo stesso problema, sui 3 HD dellami pc. per tutti avira segnala la presenza di boo/sinowal.e. Ho cercato di effettuare la procedura indicata all'inizio ma prevx non trova nulla e anche gmer che pero mi permette di spuntare, nella tendina malware solo le seguenti voci: services, registry, files; gli hd e la casella ads. per cui non penso effettui una scansione completa.

mbr mi da questo esito:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR

io ho un sistema a xp pro 64bit puo essere questo che influisce sull'esito delle verifiche

ho provaotanche a fare una scansione con avira rescue disk e mi da lo stesso esito. il vrus c'è.

cosa faccio? formatto tutto? serve a qualche cosa?

se trasferisco i file presenti su questi hd infetto anche agli altri non ancora colpiti dal virus. sono files importanti non vorrei perderli. vi prego, datemi una mano. :muro:

Ciao allega i log inerenti la PRIMA FASE + il log di Avira, grazie.

ciao a tutti, anche io mi sono imbattuto nel problema del virus "BOO/Sinowal.E"

da bravo bambino ho tolto il disco di sistema e messo su un box usb.

collegando il disco ad un altro pc dotato di avira mi da come risultato i seguenti messaggi.
( scansione del record di avvio del disco esterno )

1. Trovato un virus o un programma indesiderato 'BOO/Sinowal.E'
nel file 'Record master di avvio dell'Hard Disk 1'[virus].
Azione eseguita:
Contiene il codice del virus del settore di avvio BOO/Sinowal.E.
Impossibile riparare il settore di avvio! Per maggiori informazioni consultare il servizio di assistenza.

2. Scansione conclusa [La scansione è stata completamente eseguita.].
Numero di file: 0
Numero di directory: 0
Numero di malware: 2
Numero di errori: 1

3. Trovato un virus o un programma indesiderato 'BOO/Sinowal.E'
nel file 'Record di avvio 'G:\''[virus].
Azione eseguita:
Contiene il codice del virus del settore di avvio BOO/Sinowal.E.
Il record non è stato scritto!


Come potrei risolvere il problema ? devo seguire la stessa procedura descritta in precedenza o c'è un modo diverso ?

Grazie.

ciao a tutti, anche io mi sono imbattuto nel problema del virus "BOO/Sinowal.E"

da bravo bambino ho tolto il disco di sistema e messo su un box usb.

collegando il disco ad un altro pc dotato di avira mi da come risultato i seguenti messaggi.
( scansione del record di avvio del disco esterno )

1. Trovato un virus o un programma indesiderato 'BOO/Sinowal.E'
nel file 'Record master di avvio dell'Hard Disk 1'[virus].
Azione eseguita:
Contiene il codice del virus del settore di avvio BOO/Sinowal.E.
Impossibile riparare il settore di avvio! Per maggiori informazioni consultare il servizio di assistenza.

2. Scansione conclusa [La scansione è stata completamente eseguita.].
Numero di file: 0
Numero di directory: 0
Numero di malware: 2
Numero di errori: 1

3. Trovato un virus o un programma indesiderato 'BOO/Sinowal.E'
nel file 'Record di avvio 'G:\''[virus].
Azione eseguita:
Contiene il codice del virus del settore di avvio BOO/Sinowal.E.
Il record non è stato scritto!


Come potrei risolvere il problema ? devo seguire la stessa procedura descritta in precedenza o c'è un modo diverso ?

Grazie.

lascialo pure montato al suo posto e segui normalmente la guida

il problema è che sul pc originale non cammina, si blocca ogni 5 sec. sta fermo tipo 30 sec, funziona regolare 5 sec, e riparte la tiritella... ecco perchè intendevo fare in quel modo......


nessun altro consiglio ?

scusate...ma a me mi avete lasciato appeso così...senza una risposta finale...

ho fatto tutti gli scan che mi avete chiesto...ho postato tutti i log e mi avete detto che il mio note è "pulito" ma ancora eset mi rileva il virus tsr.boot...

...come mai la procedura che mi avete suggerito non si è rivelata efficace??quale può essere il mio problema???

tutti quegli scan e non ho risolto nulla :mc: