il problema è che sul pc originale non cammina, si blocca ogni 5 sec. sta fermo tipo 30 sec, funziona regolare 5 sec, e riparte la tiritella... ecco perchè intendevo fare in quel modo......


nessun altro consiglio ?

Fai una scansione con Norman Sinowal Cleaner che trovi qui (http://download.norman.no/public/Norman_Sinowal_Cleaner.exe)
Lancialo -> Accetta le condizioni
Sotto scan area aggiungi il disco esterno
Clicca su Start scan e attendi la scansione
In caso trovi l'infezione riavvia il pc se richiesto
Al termine allega il log NFix_xxxxxx.txt che trovi sul desktop secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

il alternativa lo rimonti e esegui il fixmbr da console di ripristino

scusate...ma a me mi avete lasciato appeso così...senza una risposta finale...

ho fatto tutti gli scan che mi avete chiesto...ho postato tutti i log e mi avete detto che il mio note è "pulito" ma ancora eset mi rileva il virus tsr.boot...

...come mai la procedura che mi avete suggerito non si è rivelata efficace??quale può essere il mio problema???

tutti quegli scan e non ho risolto nulla :mc:

Mi sembra di averti già risposto.

Mi sembra di averti già risposto.

in seguito al mio ultimo log postato,dopo l'ennesima scansione che mi avete consigliato) la tua risposta è stata:

Log pulito, dimmi se rientri in questa casistica:

- sul tuo Pc c'è una partizione nascosta per il Recovery del Pc
- non sei loggato come amministratore
- hai un lettore di Card al momento non inserito
- è collegato un supporto removile USB esterno
[/QUOTE]

ed ecco io cosa ti ho detto:


e qui mi manifesto nella mia pericolosa ignoranza:

dovrei avere solo due partizioni, una per vista e una solo dati...ma non so come verificare l'esistenza di eventuali partizioni nascoste

ho un unico account sul mio notebook e quindi credo di essere loggato per forza come amministratore...anche se molte operazioni mi chiede la conferma da amministratore

il lettore di card è interno al notebook

gli unici supporti usb che uso stabilmente sono una tastiera e un mouse



ps: adesso mi si è messo pure a fluttuare la luminosità dello schermo sotto alimentazione a batteria, cosa che non avviene se lo attacco alla rete

(tralascia pure il ps che magari è dovuto ad un'altra cosa)

poi mi hai risposto:


Trattandosi di un Note la partizione di ripristino è presente, ripeti scansione col Nod (aggiornato) ed allega il log.

ho fatto la scansione di nuovo anche con nod...e come ti ho anticipato in un messaggio mio successivo ti ho detto che non mi trova nulla:


prevedo già che eset nod32 non segnali nulla, l'ho fatta 2 giorni fa....cmq adesso la ripeto, ma già ti chiedo cosa fare in caso che ancora una volta non segnali nulla?

ps: il prossimo mese mi scade la licenza per eset, visto che devo scegliere se rinnovare l'abbonamento tu cosa mi consigli: tengo questo o me ne suggerisci un altro?

pps:con quale tool io sono sicuro di trovare qualunque tipo di infezione?anche se è un tool che poi non effettua cure...ma mi serve almeno uno che mi assicura di quello che ho e , soprattutto, se ce l'ho!

grazie
e mi avrebbe fatto piacere che mi avessi risposto soprattutto a quest'ultima cosa

e poi in un messaggio successivo aggiungo una info ad una domanda che mi avevi chiesto circa l'esistenza di una partizione nascosta ci sistema, a cui aggiungevo il log di eset:


effettivamente quando ad esempio faccio il defrag mi rileva una terza partizione "NVCACHE" (le altre due sono Vista e una di solo dati)

cmq ecco il log di eset

http://wikisend.com/download/463734/eset log.txt


rispondendo di fatto ad una domanda che mi facevi ma che cmq non hai più calcolato

di qui poi soltanto una tua risposta in pvt in cui ti avevo chiesto se continuare a scegliere nod32 e tu mi hai detto di si (ma cmq non ci azzecca nulla col mio problema di cui stiamo parlando ... e infine una ultima risposta sul forum



Log pulito

peraltro inutile poikè già lo immaginavo da solo

risultato:

ho ancora il virus che nod mi segnala con un avviso ma che in scansione approfondita invece non mi rileva...

ho risposto ad una domanda che mi hai fatto, quella sulla partizione, ma non mi hai continuato a dire perchè me lo hai chiesto e come eventualemte questa info può essermi utile

:mc: :mc: :mc: :mc:

in seguito al mio ultimo log postato,dopo l'ennesima scansione che mi avete consigliato) la tua risposta è stata:




ed ecco io cosa ti ho detto:




(tralascia pure il ps che magari è dovuto ad un'altra cosa)

poi mi hai risposto:




ho fatto la scansione di nuovo anche con nod...e come ti ho anticipato in un messaggio mio successivo ti ho detto che non mi trova nulla:



e mi avrebbe fatto piacere che mi avessi risposto soprattutto a quest'ultima cosa

e poi in un messaggio successivo aggiungo una info ad una domanda che mi avevi chiesto circa l'esistenza di una partizione nascosta ci sistema, a cui aggiungevo il log di eset:





rispondendo di fatto ad una domanda che mi facevi ma che cmq non hai più calcolato

di qui poi soltanto una tua risposta in pvt in cui ti avevo chiesto se continuare a scegliere nod32 e tu mi hai detto di si (ma cmq non ci azzecca nulla col mio problema di cui stiamo parlando ... e infine una ultima risposta sul forum





peraltro inutile poikè già lo immaginavo da solo

risultato:

ho ancora il virus che nod mi segnala con un avviso ma che in scansione approfondita invece non mi rileva...

ho risposto ad una domanda che mi hai fatto, quella sulla partizione, ma non mi hai continuato a dire perchè me lo hai chiesto e come eventualemte questa info può essermi utile

:mc: :mc: :mc: :mc:

Nonostante mi sia prodigato per risolvere il tuo problema, vedo che il tuo desiderio è quello di polemizzare con chi dedica il suo tempo gratuitamente ad aiutare gli utenti in difficoltà. Ed il tuo reply ne è la dismostrazione palese


peraltro inutile poikè già lo immaginavo da solo


visto che citi il PVT segui quanto consigliato, parentesi chiusa definitivamente.

avira mi ha trovato un virus (BOO/Sinowal.E) nel Record master di avvio dell'Hard Disk 0

ho eseguito la procedura indicata in prima pagina e questo è il log:

lor prevx3.log (http://wikisend.com/download/535284/lor prevx3.log)

il log gmer non l'ho potuto creare poichè alla fine della scansione (che dura almeno 3 ore) mi si blocca il pc...evidentemente ho poca autonomia in termini di tempo.

devo procedere con la parte 2?

Prevx 3.0 ha rilevato Rootkit $mbr.0 in c:\ Posto i due log ,e cerco aiuto.

http://wikisend.com/download/470382/prevx log.log
http://wikisend.com/download/501472/GMER LOG.log

Grazie

avira mi ha trovato un virus (BOO/Sinowal.E) nel Record master di avvio dell'Hard Disk 0

ho eseguito la procedura indicata in prima pagina e questo è il log:

lor prevx3.log (http://wikisend.com/download/535284/lor prevx3.log)

il log gmer non l'ho potuto creare poichè alla fine della scansione (che dura almeno 3 ore) mi si blocca il pc...evidentemente ho poca autonomia in termini di tempo.

devo procedere con la parte 2?

Prevx 3.0 ha rilevato Rootkit $mbr.0 in c:\ Posto i due log ,e cerco aiuto.

http://wikisend.com/download/470382/prevx log.log
http://wikisend.com/download/501472/GMER LOG.log

Grazie

Ripetete entrambi scansione con Prevx, terminata la stessa allegate su http://imageshack.us/ lo Screenshot della finestra di Prevx.

chill-out putroppo non riesco più nemmeno a terminare la scansione cn Prevx che mi si blocca il pc (poco fa si è anche riavviato da solo).
Tra l'altro avevo anche provato a portarmi avanti con il lavoro iniziando le scansioni con Stealth MBR rootkit detector nella fase 2 e il programma non mi parte nemmeno in modalità provvisoria..quindi ho deciso di fare un format.

ma se formatto risolvo il problema,vero?

chill-out putroppo non riesco più nemmeno a terminare la scansione cn Prevx che mi si blocca il pc (poco fa si è anche riavviato da solo).
Tra l'altro avevo anche provato a portarmi avanti con il lavoro iniziando le scansioni con Stealth MBR rootkit detector nella fase 2 e il programma non mi parte nemmeno in modalità provvisoria..quindi ho deciso di fare un format.

ma se formatto risolvo il problema,vero?

Se formatti a basso livello.

Ripetete entrambi scansione con Prevx, terminata la stessa allegate su http://imageshack.us/ lo Screenshot della finestra di Prevx.
http://img18.imageshack.us/i/virus2b.png/ http://img43.imageshack.us/i/virusf.png/

http://wikisend.com/download/501182/log 2.log

http://i37.tinypic.com/2entc1d.jpg
http://i35.tinypic.com/xbjs50.jpg
vedi se e' questo?
Ciao

ciao, ho avuto lo stesso problema di ''ade'' con il virus BOO/Sinowal.E, ho provato entrambi i programmi che consiglia ''avira'' lanciandoli dal bios ma non ho ottenuto nessun risultato.
Inizialmente avevo provato a formattare, ma dopo il ripristino i virus sono sopravvissuti.

Ho seguito poi la guida, scaricando i due programmi che consiglia ( prevx e gmer ) e ho sistemato tutto; Prevx me ne ha eliminato uno e gmer gli altri due, senza bisogno di passare alla fase successiva.
Ora avira non segnala più nulla e finalmente il windows non si blocca ( prima mi costringeva a riavviare utilizzando il tasto)

chill-out putroppo non riesco più nemmeno a terminare la scansione cn Prevx che mi si blocca il pc (poco fa si è anche riavviato da solo).
Tra l'altro avevo anche provato a portarmi avanti con il lavoro iniziando le scansioni con Stealth MBR rootkit detector nella fase 2 e il programma non mi parte nemmeno in modalità provvisoria..quindi ho deciso di fare un format.

ma se formatto risolvo il problema,vero?
visto che il pc è intrattabile e forse c'è dell'altro puoi operare in altro modo

per eliminare MBR
accedi la console di ripristino di Windows (http://www.hwupgrade.it/forum/showpost.php?p=26119983&postcount=58)
digita FIXMBR batti invio e premi Y per confermare
digita EXIT per uscire

se poi il pc è ancora intrattabile

prova con un rescue cd, effettuerai una scansione antivirus partendo direttamente dal cd indifferentemente dallo stato del tuo sistema operativo

scarica l'immagine l'ISO del cd o l'eseguibile che permette di creare l'ISO o masterizzare direttamente
masterizza l'immagine iso (http://www.hwupgrade.it/forum/showpost.php?p=25116651&postcount=40) su un cd e lascialo inserito al termine
riavvia il pc e batti un tasto per avviare dal cd, se non lo fa imposta il boot da cd (http://www.hwupgrade.it/forum/showpost.php?p=25117067&postcount=42)
attendi il caricamento ed effettua una scansione completa rimuovendo ogni file infetto trovato come indicato in guida

guida e link al rescue cd di avira (http://www.hwupgrade.it/forum/showthread.php?t=1689812)
guida e link al rescue cd di kaspersky (http://www.hwupgrade.it/forum/showthread.php?t=1878747)

successivamente log di prevx

ciao, ho avuto lo stesso problema di ''ade'' con il virus BOO/Sinowal.E, ho provato entrambi i programmi che consiglia ''avira'' lanciandoli dal bios ma non ho ottenuto nessun risultato.
Inizialmente avevo provato a formattare, ma dopo il ripristino i virus sono sopravvissuti.

Ho seguito poi la guida, scaricando i due programmi che consiglia ( prevx e gmer ) e ho sistemato tutto; Prevx me ne ha eliminato uno e gmer gli altri due, senza bisogno di passare alla fase successiva.
Ora avira non segnala più nulla e finalmente il windows non si blocca ( prima mi costringeva a riavviare utilizzando il tasto)

ciao

se vuoi caricarci i log per controllo

vedi se e' questo?
Ciao

Come immaginavo, al termine della scansione Prevx ti propone la rimozione gratuita F = Free to cleanup, ripeti scansione ed al temrine clicca su Cleanup Now

Salve,
ho il problema che mi si blocca il pc...ad ogni avvio mi compare la finestra con scritto NTVDM HA RILEVATO UN ERRORE DI SISTEMA C0H etc...cosa puo essere...qui ci sono i log
http://wikisend.com/download/466342/prevx.log
http://wikisend.com/download/482532/gmer.log
Aiuto prima di passare alla fase 2!
grazie!

aiutatemi mi dice ntvdm ha rilevato un errore di sistema, ecco i log:
http://wikisend.com/download/954820/prevx.log
http://wikisend.com/download/140878/gmer.log

non so come fare si blocca dopo 2 minuti il pc...

Salve,
ho il problema che mi si blocca il pc...ad ogni avvio mi compare la finestra con scritto NTVDM HA RILEVATO UN ERRORE DI SISTEMA C0H etc...cosa puo essere...qui ci sono i log
http://wikisend.com/download/466342/prevx.log
http://wikisend.com/download/482532/gmer.log
Aiuto prima di passare alla fase 2!
grazie!
ciao

dopo la scansione con prevx ti compare questa possibilità?
http://www.hwupgrade.it/forum/showpost.php?p=29396622&postcount=1515

ciao

dopo la scansione con prevx ti compare questa possibilità?
http://www.hwupgrade.it/forum/showpost.php?p=29396622&postcount=1515

Si, mi rilevava un file infetto, gli ho fatto fare la pulizia e ora al riavvio rifacendo la scansione non mi trova più nessun file infetto...ora che devo fare?
Grazie per la risposta!!!:) :)

Si, mi rilevava un file infetto, gli ho fatto fare la pulizia e ora al riavvio rifacendo la scansione non mi trova più nessun file infetto...ora che devo fare?
Grazie per la risposta!!!:) :)

carica un nuovo log di prevx

carica un nuovo log di prevx

Ecco qi il log prev....

http://wikisend.com/download/597646/prev.log

Ecco qi il log prev....

http://wikisend.com/download/597646/prev.log

il log di gmer era già ok
ora anche quello di prevx

ti consiglio il trattamento in firma per consigli vari su come proteggere meglio il pc

wow, quindi è tutto gia a posto...infatti non tallenta più e all'inizio non mi esce piu l errore di sistema...beh siete grandi complimenti!

Ciao,
innanzitutto grazie per la guida!

Ho eseguito la prima fase con Prevx e Gmer. Il primo me ne rileva uno e lo elimina correttamente ma il secondo continua a trovarmene un altro.

Posto i log confidando nel vostro aiuto:

http://wikisend.com/download/616584/Prevx.txt

http://wikisend.com/download/476388/Gmer.txt

Grazie in anticipo!

Ciao,
innanzitutto grazie per la guida!

Ho eseguito la prima fase con Prevx e Gmer. Il primo me ne rileva uno e lo elimina correttamente ma il secondo continua a trovarmene un altro.

Posto i log confidando nel vostro aiuto:

http://wikisend.com/download/616584/Prevx.txt

http://wikisend.com/download/476388/Gmer.txt

Grazie in anticipo!

mbr rootkit è sparito

apri un nuovo 3d per l'altro problema e fai girare e carica il log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

avira ha rilevato questo rootkit, sto provando as eseguire la procedura, ma quando premo f8 e clicco su modalità provvisoria, mi ritorna alla scelta della modalità di avvio, quindi credo che non si possibile avviare in modalità provvisoria.

cosa potrei fare?

grazie

Posto qui solo per poter eventualmente essere utile a qualcuno che ha il virus MBR boo sinowal.
Io ho seguito le istruzioni qui, molto più semplici perchè non occorre alcun software aggiuntivo:
http://forum.avira.com/wbb/index.php?page=Thread&threadID=85505

poi segnalo che usando fixmbr ho sputtanato la tabella delle partizioni ed avevo il msg "Invalid partition table" . Credevo di essere perso... invece poi ho usato il comando fixboot e si è rimesso a posto.

Spero che così possa dare una mano a qualcuno che ha questo bastardissimo virus. E maledetti quelli che li inventano, questi virus!

avira ha rilevato questo rootkit, sto provando as eseguire la procedura, ma quando premo f8 e clicco su modalità provvisoria, mi ritorna alla scelta della modalità di avvio, quindi credo che non si possibile avviare in modalità provvisoria.

cosa potrei fare?

grazie
ciao
comincia a caricare i log della prima fase
prevx dovrebbe anche proporti la rimozione di mbr

Posto qui solo per poter eventualmente essere utile a qualcuno che ha il virus MBR boo sinowal.
Io ho seguito le istruzioni qui, molto più semplici perchè non occorre alcun software aggiuntivo:
http://forum.avira.com/wbb/index.php?page=Thread&threadID=85505

poi segnalo che usando fixmbr ho sputtanato la tabella delle partizioni ed avevo il msg "Invalid partition table" . Credevo di essere perso... invece poi ho usato il comando fixboot e si è rimesso a posto.

Spero che così possa dare una mano a qualcuno che ha questo bastardissimo virus. E maledetti quelli che li inventano, questi virus!

ciao

il più semplice è sempre relativo alla conoscenza dell'inglese ed alla disponibiltà del cd di windows in questo caso

il comando fixmbr viene comunque utilizzato anche qui nei casi più ostici

Salve avrei bisogno dell'aiuto di qualche anima gentile, ho rilevato con antivir il virus BOO/sinowal. E, ho fatto la scansione con prevx, ho cliccato per la riparazione di uno dei due virus trovati, quella possibile free ed ho salvato il log, sto aspettando la fine della scansione di gmer. Detto questo passo alla fase per me più umiliante, dato che sono sufficentemente ignorante con l'uso del pc volevo chiedere dove incollare i log e come fare, grazie.

Salve avrei bisogno dell'aiuto di qualche anima gentile, ho rilevato con antivir il virus BOO/sinowal. E, ho fatto la scansione con prevx, ho cliccato per la riparazione di uno dei due virus trovati, quella possibile free ed ho salvato il log, sto aspettando la fine della scansione di gmer. Detto questo passo alla fase per me più umiliante, dato che sono sufficentemente ignorante con l'uso del pc volevo chiedere dove incollare i log e come fare, grazie.

ciao nelle regole di sezione è indicato tutto chiaramente

Grazie, aspetto di avre i log di gmer per richiedervi aiuto.

http://wikisend.com/download/893812/log di prev.log
http://wikisend.com/download/441796/log gmer.txt
questi sono i due log, vi ringrazio anticipatamente per l'attenzione

ragazzi, non so se vi sia connessione... qualche giorno fa per verificare la presenza di questo malware ho installato gmer...

la sola operazione eseguita sul SO ha riguardato l'utilizzo di un applicativo di verifica driver appartenente ad xp...

non so cosa abbia causato il problema, ma inizialmente è rallentato l'intero so, sichcè ciascun singolo dispositivo pareva non funzionare + bene....


ora dopo aver eseguito la formattazione ho perso anche la possibilità di accedere all'hard disk esterno...

tra le varie ipotesi che son sovvenute vi è anche quella che gmer sia un malware...

qualcuno ha avuto per caso problemi simili?

questo è il log di gmer, per l'altro ci sto provando.
http://wikisend.com/download/928370/gmer.log

Posto qui solo per poter eventualmente essere utile a qualcuno che ha il virus MBR boo sinowal.
Io ho seguito le istruzioni qui, molto più semplici perchè non occorre alcun software aggiuntivo:
http://forum.avira.com/wbb/index.php?page=Thread&threadID=85505

poi segnalo che usando fixmbr ho sputtanato la tabella delle partizioni ed avevo il msg "Invalid partition table" . Credevo di essere perso... invece poi ho usato il comando fixboot e si è rimesso a posto.

Spero che così possa dare una mano a qualcuno che ha questo bastardissimo virus. E maledetti quelli che li inventano, questi virus!

A volte basta una semplice scansione con Prevx 3.0 che dura normalmente un paio di minuti :)

http://wikisend.com/download/893812/log di prev.log
http://wikisend.com/download/441796/log gmer.txt
questi sono i due log, vi ringrazio anticipatamente per l'attenzione

Log puliti, non emergono tracce del Rootkit :)

questo è il log di gmer, per l'altro ci sto provando.
http://wikisend.com/download/928370/gmer.log

Segui esattamente nell'ordine indicato la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

NB: i log andranno allegati in una nuova discussione che andrai ad aprire qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125

ragazzi, non so se vi sia connessione... qualche giorno fa per verificare la presenza di questo malware ho installato gmer...

la sola operazione eseguita sul SO ha riguardato l'utilizzo di un applicativo di verifica driver appartenente ad xp...

non so cosa abbia causato il problema, ma inizialmente è rallentato l'intero so, sichcè ciascun singolo dispositivo pareva non funzionare + bene....


ora dopo aver eseguito la formattazione ho perso anche la possibilità di accedere all'hard disk esterno...

tra le varie ipotesi che son sovvenute vi è anche quella che gmer sia un malware...

qualcuno ha avuto per caso problemi simili?

Se Gmer è stato scaricato dal sito dello sviluppatore, lo escludo categoricamente.

Se Gmer è stato scaricato dal sito dello sviluppatore, lo escludo categoricamente.

bene, debbo valutare la possibilità che la causa delproblema si imputabile ad altra circostanza... ma non capisco cosa in specifico...


per poter utilizzare l'hard disk esterno ho dovuto formattarlo... :(

Salve.
Credo di avere un problema con un boot virus ed è abbastanza rognoso.
Ho provato di tutto ma non riesco a venirne a capo. Anzitutto il pc non parte in modalità provvisoria, nemmeno con msconfig. Inoltre avevo tentato anche con il disco avira rescue, ma niente il programma a un certo punto si blocca.
Posto i log di prevx e gmer sperando che possiate darmi una mano.
grazie per la risposta



http://wikisend.com/download/617424/log Prevx.log
http://wikisend.com/download/679786/log Gmer.txt

Salve.
Credo di avere un problema con un boot virus ed è abbastanza rognoso.
Ho provato di tutto ma non riesco a venirne a capo. Anzitutto il pc non parte in modalità provvisoria, nemmeno con msconfig. Inoltre avevo tentato anche con il disco avira rescue, ma niente il programma a un certo punto si blocca.
Posto i log di prevx e gmer sperando che possiate darmi una mano.
grazie per la risposta



http://wikisend.com/download/617424/log Prevx.log
http://wikisend.com/download/679786/log Gmer.txt

Log puliti, se desideri fare un controllo approfondito segui esattamente nell'ordine indicato la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

NB: i log andranno allegati in una nuova discussione che andrai ad aprire qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125

credo che sia stato attaccato da qualche virus .
vi posto qualche log

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x06FC3DBF
malicious code @ sector 0x06FC3DC2 !
PE file found in sector at 0x06FC3DD8 !

che mi consigliate di fare?

credo che sia stato attaccato da qualche virus .
vi posto qualche log

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x06FC3DBF
malicious code @ sector 0x06FC3DC2 !
PE file found in sector at 0x06FC3DD8 !

che mi consigliate di fare?

ciao

seguire la guida del 1° post
eventualmente prevx dovrebbe proporti la rimozione manuale di mbr

avira mi ha trovato un virus (BOO/Sinowal.E) nel Record master di avvio dell'Hard Disk 0

ho eseguito la procedura indicata in prima pagina e questo è il log di prevx PREVX_log.log (http://wikisend.com/download/613736/PREVX_log.log), e questo quello di gmer.log (http://wikisend.com/download/931164/gmer.log)
che dite ho eliminato il virus ? ovviamente avira non mi trova più niente ....



ciao e grazie

Ciao,

anch'io ho lo stesso problema....prima di proseguire con la "seconda fase" allego i file di log di prevx e gmer nella speranza che possiate aiutarmi....

http://wikisend.com/download/606484/file%20di%20log%20di%20prevx.log
http://wikisend.com/download/122620/file%20di%20log%20di%20gmer.txt

Grazie
Ciao

avira mi ha trovato un virus (BOO/Sinowal.E) nel Record master di avvio dell'Hard Disk 0

ho eseguito la procedura indicata in prima pagina e questo è il log di prevx PREVX_log.log (http://wikisend.com/download/613736/PREVX_log.log), e questo quello di gmer.log (http://wikisend.com/download/931164/gmer.log)
che dite ho eliminato il virus ? ovviamente avira non mi trova più niente ....



ciao e grazie

ciao

se l'hai eliminato con prevx ha fatto il suo dovere
ti consiglio il trattamento in firma per consigli vari tra cui aggiornare xp al sp3

Ciao,

anch'io ho lo stesso problema....prima di proseguire con la "seconda fase" allego i file di log di prevx e gmer nella speranza che possiate aiutarmi....

http://wikisend.com/download/606484/file%20di%20log%20di%20prevx.log
http://wikisend.com/download/122620/file%20di%20log%20di%20gmer.txt

Grazie
Ciao

ciao

prevx dovrebbe proporti la rimozione di mbr alla fine della scansione

Salve a tutti, ho bisogno di una mano: siccome credo di avere anche io un boot virus (me lo segna Trend ChipAway Virus nel bios), ho effettuato le scansioni con Prevx e Gmer. Non ho trovato però le stringhe esatte riportate nel primo post della guida, ma Prevx mi segnala la presenza di un Rootkit chiamato $mbr.0 (ecco uno screenshot (http://img136.imageshack.us/img136/8536/prevxrootkit.jpg)). Potrebbe essere questo? Come devo procedere?

log di Prevx: http://wikisend.com/download/150000/prevxlog.log

log di Gmer: http://wikisend.com/download/881800/gmerlog.txt

Salve a tutti, ho bisogno di una mano: siccome credo di avere anche io un boot virus (me lo segna Trend ChipAway Virus nel bios), ho effettuato le scansioni con Prevx e Gmer. Non ho trovato però le stringhe esatte riportate nel primo post della guida, ma Prevx mi segnala la presenza di un Rootkit chiamato $mbr.0 (ecco uno screenshot (http://img136.imageshack.us/img136/8536/prevxrootkit.jpg)). Potrebbe essere questo? Come devo procedere?

log di Prevx: http://wikisend.com/download/150000/prevxlog.log

log di Gmer: http://wikisend.com/download/881800/gmerlog.txt

Ripeti scansione con Prevx e procedi cona la rimozione gratuita F = Free to cleanup :)

NB: se mi rialleghi lo screenshot di prex mi fai una cortesia utilizza la preview di http://www.imageshack.us/

Salve a tutti, ho bisogno di una mano: siccome credo di avere anche io un boot virus (me lo segna Trend ChipAway Virus nel bios), ho effettuato le scansioni con Prevx e Gmer. Non ho trovato però le stringhe esatte riportate nel primo post della guida, ma Prevx mi segnala la presenza di un Rootkit chiamato $mbr.0 (ecco uno screenshot (http://img136.imageshack.us/img136/8536/prevxrootkit.jpg)). Potrebbe essere questo? Come devo procedere?

log di Prevx: http://wikisend.com/download/150000/prevxlog.log

log di Gmer: http://wikisend.com/download/881800/gmerlog.txt

ciao

riesegui la scansione con prevx e clicca su clean up, dovrebbe rimuovertelo gratuitamente
di seguito nuovo log

Ripeti scansione con Prevx e procedi cona la rimozione gratuita F = Free to cleanup :)

NB: se mi rialleghi lo screenshot di prex mi fai una cortesia utilizza la preview di http://www.imageshack.us/

Ho provato a fare la rimozione gratuita: Prevx mi dice che deve simulare la schermata blu di Windows per poterlo rimuovere. Ora il sistema è rimasto su questa schermata blu, devo aspettare che si riavvii da solo o devo forzarne io lo spegnimento?
Comunque rieccoti lo screenshot:

http://img9.imageshack.us/img9/8536/prevxrootkit.th.jpg (http://img9.imageshack.us/i/prevxrootkit.jpg/)

Ho provato a fare la rimozione gratuita: Prevx mi dice che deve simulare la schermata blu di Windows per poterlo rimuovere. Ora il sistema è rimasto su questa schermata blu, devo aspettare che si riavvii da solo o devo forzarne io lo spegnimento?
Comunque rieccoti lo screenshot:

http://img9.imageshack.us/img9/8536/prevxrootkit.th.jpg (http://img9.imageshack.us/i/prevxrootkit.jpg/)
da quanto dura la schermata blu?
le lucine del disco stanno lavorando?
dovrebbe essere un operazione veloce questa, se passano i dieci minuti spegni tenendo premuto power (no reset), sempre che non riesca nel modo classico

da quanto dura la schermata blu?
le lucine del disco stanno lavorando?
dovrebbe essere un operazione veloce questa, se passano i dieci minuti spegni tenendo premuto power (no reset), sempre che non riesca nel modo classico

Si, saranno sicuramente passati 10 minuti: la luce dell'HDD lampeggia rapidissimamente circa una volta al secondo, ma non sento il classico rumore che fa quando "lavora". Cosa devo fare, lo spengo tenendo premuto Power?

Si, saranno sicuramente passati 10 minuti: la luce dell'HDD lampeggia rapidissimamente circa una volta al secondo, ma non sento il classico rumore che fa quando "lavora". Cosa devo fare, lo spengo tenendo premuto Power?

No attendi almeno altri 10'

No attendi almeno altri 10'

Niente, è dalle 11:50 che è fermo sulla schermata blu...

Niente, è dalle 11:50 che è fermo sulla schermata blu...

mi sembra troppo...
riavvia e vediamo che succede

mi sembra troppo...
riavvia e vediamo che succede

Ho riavviato, ma il messaggio di Trend ChipAway Virus è riapparso, quindi immagino che il problema non sia stato risolto.
Adesso è ripartita la scansione di Prevx.

Adesso la schermata blu mi è apparsa mentre faceva la scansione, come procedo?

Adesso la schermata blu mi è apparsa mentre faceva la scansione, come procedo?

riavvia e segui la seconda fase della guida

Log puliti, se desideri fare un controllo approfondito segui esattamente nell'ordine indicato la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

NB: i log andranno allegati in una nuova discussione che andrai ad aprire qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125

Avevo aperto la nuova discussione con i log di mbr.exe, ma sembra che sia stata cancellata. Ho seguito alla lettera la seconda parte della guida, cosa ho sbagliato? scusate ma devo riuscire a togliere questo maledetto virus!

Avevo aperto la nuova discussione con i log di mbr.exe, ma sembra che sia stata cancellata. Ho seguito alla lettera la seconda parte della guida, cosa ho sbagliato? scusate ma devo riuscire a togliere questo maledetto virus!

Segui la Guida alla disinfezione ed allega i log nella discussione da te aperta, ovvero http://www.hwupgrade.it/forum/showthread.php?t=2074533

Segui la Guida alla disinfezione ed allega i log nella discussione da te aperta, ovvero http://www.hwupgrade.it/forum/showthread.php?t=2074533

log allegati nella discussione. Speriamo di risolvere!

riavvia e segui la seconda fase della guida

Fatto, posto i log:

http://wikisend.com/download/477664/MBR1.log
http://wikisend.com/download/518876/MBR2.log
http://wikisend.com/download/595414/MBR3.log
http://wikisend.com/download/564692/FixMebroot.log

In ogni caso non credo di aver risolto, addirittura Symantec Trojan.Mebroot Removal Tool mi dice di non aver trovato nessun Trojan.Mebroot nel sistema...

Attendo altre istruzioni.

Procedi con la TERZA FASE

Procedi con la TERZA FASE

Non riesco a capire perchè, ma Cureit non si avvia: clicco, appare la clessidra, e dopo pochi secondi scompare.
Comunque con la seconda scansione di Prevx è apparso lo stesso rootkit $mbr.0, altre soluzioni?

Fai una scansione con Norman Sinowal Cleaner che trovi qui (http://download.norman.no/public/Norman_Sinowal_Cleaner.exe)
Lancialo -> Accetta le condizioni
Sotto scan area seleziona C:\*.* e clicca su Remove, idem per altre eventuali lettere, relative ad altre partizioni (ci interessa solo la scansione della MBR)
Clicca su Start scan e attendi la scansione
In caso trovi l'infezione riavvia il pc se richiesto
Al termine allega il log NFix_xxxxxx.txt che trovi sul desktop secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

+ log di prevx, se ancora infetto riprova con il clean di prevx

ciao

prevx dovrebbe proporti la rimozione di mbr alla fine della scansione

premetto che questo virus a me blocca totalmente il pc (un notebook acer) dopo circa 10 min che è acceso (e a volte parte pure una rumorosissima sirena che mi sembra, come dire, "interna" all'hardware)....insomma devo spegnere brutalmente.....

il problema è che se faccio "cleanup now" come mi suggerisci, prevx prima di rimuovere riparte con la scansione.....
questa scansione dovrebbe durare un paio di minuti no? (anche ieri a me è durata effettivamente 2 minuti)

invece per l'appunto ora mi si blocca tutto, anche prima dei "canonici" 10 minuti...il computer è come "freezato" (anche l'orologio di windows è bloccato)

ora sto riprovando ma la vedo dura...al limite passo alla "seconda fase" della procedura?

premetto che questo virus a me blocca totalmente il pc (un notebook acer) dopo circa 10 min che è acceso (e a volte parte pure una rumorosissima sirena che mi sembra, come dire, "interna" all'hardware)....insomma devo spegnere brutalmente.....

il problema è che se faccio "cleanup now" come mi suggerisci, prevx prima di rimuovere riparte con la scansione.....
questa scansione dovrebbe durare un paio di minuti no? (anche ieri a me è durata effettivamente 2 minuti)

invece per l'appunto ora mi si blocca tutto, anche prima dei "canonici" 10 minuti...il computer è come "freezato" (anche l'orologio di windows è bloccato)

ora sto riprovando ma la vedo dura...al limite passo alla "seconda fase" della procedura?

di male in peggio....ora appena si avvia windows vien fuori la schermata blu "della morte" e rimane fissa....anche qui son costretto a spegnere brutalmente no? o c'è un altro modo?

il problema è che sul quel pc non ho ancora salvato mbr.exe e quindi non posso neanche iniziare la seconda fase della procedura dalla modalità provvisoria......

di male in peggio....ora appena si avvia windows vien fuori la schermata blu "della morte" e rimane fissa....anche qui son costretto a spegnere brutalmente no? o c'è un altro modo?

il problema è che sul quel pc non ho ancora salvato mbr.exe e quindi non posso neanche iniziare la seconda fase della procedura dalla modalità provvisoria......

Potresti allegare i log di Gmer e Prevx esattamente come indicato in Guida

riavvia e segui la seconda fase della guida

li avevo già postati ieri....

rieccoli

http://wikisend.com/download/606484/...di%20prevx.log
http://wikisend.com/download/122620/...0di%20gmer.txt

Fai una scansione con Norman Sinowal Cleaner che trovi qui (http://download.norman.no/public/Norman_Sinowal_Cleaner.exe)
Lancialo -> Accetta le condizioni
Sotto scan area seleziona C:\*.* e clicca su Remove, idem per altre eventuali lettere, relative ad altre partizioni (ci interessa solo la scansione della MBR)
Clicca su Start scan e attendi la scansione
In caso trovi l'infezione riavvia il pc se richiesto
Al termine allega il log NFix_xxxxxx.txt che trovi sul desktop secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

+ log di prevx, se ancora infetto riprova con il clean di prevx

Ecco, ho fatto la scansione escludendo entrambi i miei HDD (ne ho due, C: e G:), questo è il log:

http://wikisend.com/download/961696/NFix_2009-10-27_21-23-10.log

Comunque non mi ha trovato nessuna infezione, e Prevx rileva ancora lo stesso rootkit $mbr.0. Come procedo?

li avevo già postati ieri....

rieccoli

http://wikisend.com/download/606484/...di%20prevx.log
http://wikisend.com/download/122620/...0di%20gmer.txt

Intendevo aggiornati, presta attenzione con i quote altrimenti non si capisce più nulla.

Ecco, ho fatto la scansione escludendo entrambi i miei HDD (ne ho due, C: e G:), questo è il log:

http://wikisend.com/download/961696/NFix_2009-10-27_21-23-10.log

Comunque non mi ha trovato nessuna infezione, e Prevx rileva ancora lo stesso rootkit $mbr.0. Come procedo?

E' necessario ripristinare il master boot record del disco di avvio seguendo questa procedura

* Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS
* Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY
* Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive
* A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows
* Premi F10 per confermare ed uscire
* Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
* Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
* Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, 1) X:\Windows quindi premere 1 e confermare con OK
* Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.
* Al prompt dei comandi digita FIXMBR e clicca su Y per confermare
* Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows

scusatemi....ma dato che non partiva nemmeno la modalità provvisoria ho combinato un ulteriore casino e ora sono nel panico....per farla breve non mi si avvia più nulla perchè non trova "hal.dll" (ho fatto casino con BOOT.INI.....)

so che posso recuperare hal.dll dal cd di windows.......solo che non ce l'ho!!!

o meglio....ho un cd di windows xp vecchio, mentre per il computer in questione
ho solo un dvd di ripristino che mi ero creato appena acquistato il pc e che ovviamente ha dentro xp (media center)

....ma se inserisco quest'ultimo (che contiene anche tutte le "configurazioni" acer) non è che parte un bel format e non riesco invece a dargi il comando di avvio della "console di ripristino" che mi serve per recuperare hal.dll?

vi prego, lo so che ho sviato dall'oggetto della discussione, ma sto impazzendo!

scusatemi....ma dato che non partiva nemmeno la modalità provvisoria ho combinato un ulteriore casino e ora sono nel panico....per farla breve non mi si avvia più nulla perchè non trova "hal.dll" (ho fatto casino con BOOT.INI.....)

so che posso recuperare hal.dll dal cd di windows.......solo che non ce l'ho!!!

o meglio....ho un cd di windows xp vecchio, mentre per il computer in questione
ho solo un dvd di ripristino che mi ero creato appena acquistato il pc e che ovviamente ha dentro xp (media center)

....ma se inserisco quest'ultimo (che contiene anche tutte le "configurazioni" acer) non è che parte un bel format e non riesco invece a dargi il comando di avvio della "console di ripristino" che mi serve per recuperare hal.dll?

vi prego, lo so che ho sviato dall'oggetto della discussione, ma sto impazzendo!

Ciao segui questa procedura, mi raccomando prestare attenzione alle istruzioni:


Inserisci il CD di XP e riavvia il PC eseguendo il Boot da Cd
Ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, nel tuo caso 1) C:\Windows quindi premere 1 e confermare con OK
Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO
Digita il comando bootcfg /rebuild
Premere S per accettare la domanda Aggiungere installazione
all'elenco sistemi operativi all'avvio? (Sì/No/Tutti)
Alla domanda Inserire l'identificatore di caricamento scrivi Windows XP 2
Premi Invio alla domanda Inserire l'identificatore di
caricamento
Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare Exit al prompt dei comandi, quindi premere Invio dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows

Adesso abbiamo creato un nuovo sistema operativo nel comando di avvio di boot.ini quindi quando apparirà la schermata per scegliere quale sistema operativo avviare scegli quello appena creato ovvero Windows XP 2, se hai fatto tutto correttamente Windows si dovrebbe finalmente avviare

Una volta avviato Windows clicca con il tasto destro su Risorse del computer ==>> Proprietà ==>> Avanzate ==>> Avvio e ripristino ==>> Impostazion ==>> Modifica dovresti vedere qualcosa del genere:

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=Windows XP 2

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Nome sistema operativo originario" /fastdetect /NoExecute=OptIn /safeboot:minimal

- quindi provvedi ad eliminare la riga contenete il nuovo sistema operativo appena creato, ovvero Windows XP 2
- mentre dalla riga del sistema operativo originale devi cancellare solo /safeboot:minimal
A questo punto chiudere boot.ini, salvare le modifiche e cliccare su Ok

Ora non rimane altro che fare un riavvio, tutto dovrebbe essere ritornato alla normalità.

Salve a tutti,
come ho visto nei post di altre persone avira ha trovato un virus (BOO/Sinowal.E) nel Record master di avvio. Vi incollo parte del report di avira:
Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 1
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[AVVISO] Impossibile riparare il settore di avvio! Per maggiori informazioni consultare il servizio di assistenza.

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!
Record di avvio 'D:\'
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[NOTA] Il record non è stato scritto!
Record di avvio 'E:\'
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[NOTA] Il record non è stato scritto!

Posto i log della prima fase di disinfestazione che ho seguito sulla vostra guida.
Grazie
http://wikisend.com/download/447200/gmerlog.log
http://wikisend.com/download/533912/Prevxlog.log

Procedi pure con la seconda fase

E' necessario ripristinare il master boot record del disco di avvio seguendo questa procedura

Ho ripristinato il MBR tramite la guida che mi hai postato: ora effettivamente non compare più il messaggio di avviso durante il boot, e il sistema non sembra neanche più bloccarsi come prima. E' risolto o devo fare qualche altra cosa?

preso dallo sconforto io ho formattato......

ma non si risolve nemmeno così!!!!!!!! dai, ma è allucinante!!!!!

mi si blocca ancora poco dopo l'accensione (e in virtù di questo non ho "tempo" di scandire con prevx e gmer) e parte ancora una sirena "interna" all'hardware,come fosse di allarme.....

è possibile che a furia di spegnimenti "brutali" del pc, procedure di scandisk saltate al riavvio, e varie operazioni "forzate" in genere io abbia danneggiato definitivamente il disco C: ????

cosa devo fare????? sono in panico!!!

preso dallo sconforto io ho formattato......

ma non si risolve nemmeno così!!!!!!!! dai, ma è allucinante!!!!!

mi si blocca ancora poco dopo l'accensione (e in virtù di questo non ho "tempo" di scandire con prevx e gmer) e parte ancora una sirena "interna" all'hardware,come fosse di allarme.....

è possibile che a furia di spegnimenti "brutali" del pc, procedure di scandisk saltate al riavvio, e varie operazioni "forzate" in genere io abbia danneggiato definitivamente il disco C: ????

cosa devo fare????? sono in panico!!!

windows l'hai reinstallato?

Ho ripristinato il MBR tramite la guida che mi hai postato: ora effettivamente non compare più il messaggio di avviso durante il boot, e il sistema non sembra neanche più bloccarsi come prima. E' risolto o devo fare qualche altra cosa?

Risolto, in ogni caso ti suggerisco la lettura di questo 3D http://www.hwupgrade.it/forum/showthread.php?t=1726383

preso dallo sconforto io ho formattato......

ma non si risolve nemmeno così!!!!!!!! dai, ma è allucinante!!!!!

mi si blocca ancora poco dopo l'accensione (e in virtù di questo non ho "tempo" di scandire con prevx e gmer) e parte ancora una sirena "interna" all'hardware,come fosse di allarme.....

è possibile che a furia di spegnimenti "brutali" del pc, procedure di scandisk saltate al riavvio, e varie operazioni "forzate" in genere io abbia danneggiato definitivamente il disco C: ????

cosa devo fare????? sono in panico!!!

Avresti dovuto formattare a basso livello.

Risolto, in ogni caso ti suggerisco la lettura di questo 3D http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ok. Allora grazie di tutto sia a te che a wjmat, mi avete salvato il pc.

Ok. Allora grazie di tutto sia a te che a wjmat, mi avete salvato il pc.

di nulla
ciao

finito il passo 1, allego i file LOG e attendo una risposta da un gentilissimo esperto.
GRASSIE

gmer.log (http://wikisend.com/download/555878/gmer.log)

prevx.log (http://wikisend.com/download/501640/prevx.log)

finito il passo 1, allego i file LOG e attendo una risposta da un gentilissimo esperto.
GRASSIE

gmer.log (http://wikisend.com/download/555878/gmer.log)

prevx.log (http://wikisend.com/download/501640/prevx.log)

Ripeti scansione con Prevx al termine procedi con la rimozione gratuita, solo dopo aver dosabilitato il tuo AV F = free to cleanup

Ripeti scansione con Prevx al termine procedi con la rimozione gratuita, solo dopo aver dosabilitato il tuo AV F = free to cleanup

fatto, mi ha simulato una schermata blu e sembra che abbia tolto tutto, però non capisco la tua citazione "solo dopo aver dosabilitato il tuo AV F = free to cleanup"

fatto, mi ha simulato una schermata blu e sembra che abbia tolto tutto, però non capisco la tua citazione "solo dopo aver dosabilitato il tuo AV F = free to cleanup"

Dovevi disabilitare l'AV prima di la eseguire la rimozione gratutita F = free to cleanup, allega nuovo log di Prevx

windows l'hai reinstallato?

si, ma anche con windows "nuovo", pulito, il pc mi si blocca dopo pochi minuti.....meno di un paio diciamo....quindi non riesco a farci nulla....

non riesce manco a completare per bene l'installazione di tutti i tool acer (eRecovery, ecc.....) che crea di default dopo una formattazione....

Avresti dovuto formattare a basso livello.

lo so ma non ho mai provato.....
è una cosa complicata?
non sono assolutamente una capra col pc, ma non sono neanche super-esperto.....e ormai in questa situazione ho paura di cadere dalla padella alla brace ogni cosa che faccio...

Salve a tutti,
purtroppo credo di essere vittima del MBR ROOTKIT.

Ho seguito la guida degli "infetti" passo passo, scaricando e inizializzando tool dopo tool, ma praticamente senza che nessuno di questi, o quasi, mi vedesse l'infezione.

Premetto che la mia infezione si manifesta creando cartelle/profili cloni di quella principale, chiamandole HelpAssistant.
Ovvero, in Document & Settings ho copie del mio account a dismisura, ogni riavvio della macchina è una nuova copia "HelpAssistant.NOMEUTENTE1" poi utente2 ecc ec.

Dopo aver passato ogni tipo di tool proposti nella guida del forum (anche quello della symantec specifico) senza riscontrare nulla, l'unico ad accorgersi di qualcosa (a parte me :D) è stato, come dicevo, l'mbr.exe.

Ho provato a fare il fix con lui con mbr.exe -f ma il tool stesso mi ha poi risposto: "Use "Recovery Console" command "fixmbr" to clear infection !"

Bene, ho quindi preso il mio CD di Windows e, grazie alla guida di questo forum, ho ricostruito l'mbr.

Peccato che, dopo il riavvio e un nuovo passaggio di mbr.exe il problema non risulti debellato:
http://wikisend.com/download/476842/mbr.log

Ho provato a ripassare con il Symantec Tools ma continua a non vedere niente, idem il Prevx.

Speravo vivamente di risolvere con il ripristino del mbr ma evidentemente il problema è più grave del previsto :(

Cosa posso fare secondo voi??

Grazie a tutti!

PS: Questi sono i log pre-ripristino mbr di hijackthis e combofix:
- http://wikisend.com/download/468210/hijackthis.log
- http://wikisend.com/download/448712/ComboFix.txt

Salve a tutti,
purtroppo credo di essere vittima del MBR ROOTKIT.

Ho seguito la guida degli "infetti" passo passo, scaricando e inizializzando tool dopo tool, ma praticamente senza che nessuno di questi, o quasi, mi vedesse l'infezione.

Premetto che la mia infezione si manifesta creando cartelle/profili cloni di quella principale, chiamandole HelpAssistant.
Ovvero, in Document & Settings ho copie del mio account a dismisura, ogni riavvio della macchina è una nuova copia "HelpAssistant.NOMEUTENTE1" poi utente2 ecc ec.

Dopo aver passato ogni tipo di tool proposti nella guida del forum (anche quello della symantec specifico) senza riscontrare nulla, l'unico ad accorgersi di qualcosa (a parte me :D) è stato, come dicevo, l'mbr.exe.

Ho provato a fare il fix con lui con mbr.exe -f ma il tool stesso mi ha poi risposto: "Use "Recovery Console" command "fixmbr" to clear infection !"

Bene, ho quindi preso il mio CD di Windows e, grazie alla guida di questo forum, ho ricostruito l'mbr.

Peccato che, dopo il riavvio e un nuovo passaggio di mbr.exe il problema non risulti debellato:
http://wikisend.com/download/476842/mbr.log

Ho provato a ripassare con il Symantec Tools ma continua a non vedere niente, idem il Prevx.

Speravo vivamente di risolvere con il ripristino del mbr ma evidentemente il problema è più grave del previsto :(

Cosa posso fare secondo voi??

Grazie a tutti!

PS: Questi sono i log pre-ripristino mbr di hijackthis e combofix:
- http://wikisend.com/download/468210/hijackthis.log
- http://wikisend.com/download/448712/ComboFix.txt

la prima fase prevede di caricare i log di gmer e prevx

i log di gmer e mbr possono rimanere sporchi anche dopo la pulizia

si, ma anche con windows "nuovo", pulito, il pc mi si blocca dopo pochi minuti.....meno di un paio diciamo....quindi non riesco a farci nulla....

non riesce manco a completare per bene l'installazione di tutti i tool acer (eRecovery, ecc.....) che crea di default dopo una formattazione....

la modalità provvisoria funziona meglio?

Dovevi disabilitare l'AV prima di la eseguire la rimozione gratutita F = free to cleanup, allega nuovo log di Prevx

Allora, ho rieseguito prevx e non mi ha trovato nulla. Allego cmq il log.

Ho proseguito con il MBR di cui allego i due log, non mi sembra che abbia pulito qualcosa....

prevx2.log (http://wikisend.com/download/470766/prevx2.log)

mbr1.txt (http://wikisend.com/download/519248/mbr1.txt)

mbr2.txt (http://wikisend.com/download/440042/mbr2.txt)

Allora, ho rieseguito prevx e non mi ha trovato nulla. Allego cmq il log.

Ho proseguito con il MBR di cui allego i due log, non mi sembra che abbia pulito qualcosa....

prevx2.log (http://wikisend.com/download/470766/prevx2.log)

mbr1.txt (http://wikisend.com/download/519248/mbr1.txt)

mbr2.txt (http://wikisend.com/download/440042/mbr2.txt)
prosegui fino in fondo
il log di mbr può rimanere sporco anche se il rootkit non c'è più

prosegui fino in fondo
il log di mbr può rimanere sporco anche se il rootkit non c'è più

ok proseguo.

allego il file log del symantec removal tool che sembra non abbia trovato nulla
FixMebroot.log (http://wikisend.com/download/474776/FixMebroot.log)

THANKS VERY MUCH

la prima fase prevede di caricare i log di gmer e prevx

i log di gmer e mbr possono rimanere sporchi anche dopo la pulizia

Scusami non ho capito quindi, faccio comunque una nuova scansione con Gmer e Prevx considerando che anche prima la pulizia cmq non segnalavano grandi cose?

Anche il fatto che dopo la pulizia i log di mbr possono rimanere sporchi non l'ho capito molto. Cancello il log di mbr e lo ripasso?

Eventualmente potrei vedere se sono ancora infetto semplicemente cancellando le directory clone che mi ha creato e vedere se le ricrea.

Grazie

Procedi pure con la seconda fase

ho allegato un solo file mbr in quanto tutte e tre le prove con mbr.exe (sia modalità provvisoria, sia quella normale) restituivano la medesima schermata.
Posto anche il log filtrato di dr.web
http://wikisend.com/download/758702/cureit filtrato.txt
Alle richieste di dr.web di "curare" le minacce ho dato risposta affermativa, come letto nella guida; spero che tutto sia andato per il verso giusto.
grazie per l'attenzione

ho allegato un solo file mbr in quanto tutte e tre le prove con mbr.exe (sia modalità provvisoria, sia quella normale) restituivano la medesima schermata.
Posto anche il log filtrato di dr.web
http://wikisend.com/download/758702/cureit filtrato.txt
Alle richieste di dr.web di "curare" le minacce ho dato risposta affermativa, come letto nella guida; spero che tutto sia andato per il verso giusto.
grazie per l'attenzione

Aggiorna Antivir, ripeti scansione completa ed allega il log.

Aggiorna Antivir, ripeti scansione completa ed allega il log.

ecco il report di avira
http://wikisend.com/download/538346/AVSCAN-20091028-161147-52413E3B.LOG
mi sembra tutto ok
grazie

ecco il report di avira
http://wikisend.com/download/538346/AVSCAN-20091028-161147-52413E3B.LOG
mi sembra tutto ok
grazie

Tutto ok, ma configura Avira esattamente come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684

Tutto ok, ma configura Avira esattamente come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684

Certo, lo stavo giusto facendo. Grazie e complimenti per la celerità delle risposte, forum utilissimo.

Certo, lo stavo giusto facendo. Grazie e complimenti per la celerità delle risposte, forum utilissimo.

Prego

la prima fase prevede di caricare i log di gmer e prevx

i log di gmer e mbr possono rimanere sporchi anche dopo la pulizia

Ecco il log di gmer (2MB)
(è normale che a fine scansione il pc mi si sia bloccato per mancanza di risorse?)
http://wikisend.com/download/446650/gmer.log

PrevX invece non ha rilevato nessun tipo di errore.

Dopo aver cancellato le dir che il rootkit creava ad ogni avvio, ho riavviato la macchina 2-3 volte e per ora non sta ricreando le cartelle.
E' un buon segno o è del tutto casuale, considerando che mbr.exe continua a dire che sono infetto?

Su un pc di un mio amico (primo HD con due partizioni: la prima con SO XP pro e la seconda con XP 64bit) Avira ha rilevato SinowallA
Abbiamo provato a eliminarlo con il disco di XP pro dal recovery lanciando Fixmbr ma senza successo.
Questi sono i file log che sono stati creati secondo le istruzioni all'inizio del topic

Log rimossi, leggere la Guida in prima pagina.

Grazie per l'assistenza

Salve a tutti, è da stamattina che ho iniziato ad avere problemi sul portatile.

Sono andato su un sito, mi si è aperto il banner a quel punto il pc s'è inchiodato.
Tutto il SO si blocca e nemmeno il taskmanager è più apribile, perciò l'unica è spegnere e riavviare.
Non c'è un tempo regolare in cui si manifesta la cosa, può essere subito o dopo un quarto d'ora, a volte si blocca lanciando un segnale simile a una sirena, in ogni caso il SO è molto rallentato rispetto al solito.

Ho provato a fare checkdisk, defrag, scansione con avast, spybot, controllo memoria, niente.

Alla fine provo a far partire il tool di diagnostica del Toshiba e mi compare il messaggio "ntvdm ha rilevato un errore di sistema"... una ricerca su google e arrivo qua.
Ora, ho provato a fare scansione con Gmer e con Prevx, ma non mi viene rilevato niente di anomalo. :(
Ho provato a mettere anche il Dr Web, ma appena provo a farlo partire il pc si riavvia. :cry:

Ora ho provato pure ad andare nella Console di Ripristino per tentare il fix mbr, ma mi si impalla il pc pure lì. :mc:

Salve a tutti,
innanzitutto ringrazio in anticipo chiunque di voi sia disposto ad aiutarmi :) ho qui un pc su cui antivir ha identificato un malware nel boot sector, il pc mi si impalla dopo 30 secondi che è acceso e posso muovermi esclusivamente in modalità provvisoria

ho svolto la fase preliminare e la prima, ecco i report

gmer.txt (http://wikisend.com/download/458396/gmer.txt)
prevx3.log (http://wikisend.com/download/585614/prevx3.log)

è necessario passare alla seconda fase?

prosegui fino in fondo
il log di mbr può rimanere sporco anche se il rootkit non c'è più

Allego i log delle scansioni finali:

gmer final.log (http://wikisend.com/download/496756/gmer final.log)

prevx final.log (http://wikisend.com/download/438194/prevx final.log)

cureit filtrato.txt (http://wikisend.com/download/467034/cureit filtrato.txt)

sembra che cureit riconosce i file di prevx e spybot come virus..... sbaglio?

Salve a tutti,
innanzitutto ringrazio in anticipo chiunque di voi sia disposto ad aiutarmi :) ho qui un pc su cui antivir ha identificato un malware nel boot sector, il pc mi si impalla dopo 30 secondi che è acceso e posso muovermi esclusivamente in modalità provvisoria

ho svolto la fase preliminare e la prima, ecco i report

gmer.txt (http://wikisend.com/download/458396/gmer.txt)
prevx3.log (http://wikisend.com/download/585614/prevx3.log)

è necessario passare alla seconda fase?

Ripeti scansione con Prevx e procedi con la rimozione gratutita solo dopo aver disabilitato Antivir

F = Free to cleanup

al termine allega nuovo log

Allego i log delle scansioni finali:

gmer final.log (http://wikisend.com/download/496756/gmer final.log)

prevx final.log (http://wikisend.com/download/438194/prevx final.log)

cureit filtrato.txt (http://wikisend.com/download/467034/cureit filtrato.txt)

sembra che cureit riconosce i file di prevx e spybot come virus..... sbaglio?
mi sembra tutto ok
si cureit ha segnalato dei falsi positivi di prevx
proseguigui con il trattamento in firma

Allego i log delle scansioni finali:

gmer final.log (http://wikisend.com/download/496756/gmer final.log)

prevx final.log (http://wikisend.com/download/438194/prevx final.log)

cureit filtrato.txt (http://wikisend.com/download/467034/cureit filtrato.txt)

sembra che cureit riconosce i file di prevx e spybot come virus..... sbaglio?

Si, comunque dovremmo essere ok.

mi sembra tutto ok
si cureit ha segnalato dei falsi positivi di prevx
proseguigui con il trattamento in firma

cos'è il trattamento in firma? scusa la mia ignoranza...

Comunque, non so se ho sbagliato io qualcosa, ma i tempi di scansione di cureit sono assurdi: la mia è finita questa notte con una durata di oltre 8 ore....

adesso sto scansionando tutto con avira, aggiornato a ieri perché oggi non ne vuol sapere, speriamo non trovi nulla....

cos'è il trattamento in firma? scusa la mia ignoranza...

http://www.hwupgrade.it/forum/showthread.php?t=1726383

Comunque, non so se ho sbagliato io qualcosa, ma i tempi di scansione di cureit sono assurdi: la mia è finita questa notte con una durata di oltre 8 ore....

Normale

http://www.hwupgrade.it/forum/showthread.php?t=1726383



Normale


Finita la scansione con AVIRA, 13 rilevamenti, alcuni sono keymaker o keygen in file compattati: ma quando un trojan è in un file compresso può dar problemi?

Allego il log ed attendo notizie
AVSCAN-20091029-085735-2A14A343.LOG (http://wikisend.com/download/459612/AVSCAN-20091029-085735-2A14A343.LOG)

Su un pc di un mio amico (primo HD con due partizioni: la prima con SO XP pro e la seconda con XP 64bit) Avira ha rilevato SinowallA
Abbiamo provato a eliminarlo con il disco di XP pro dal recovery lanciando Fixmbr ma senza successo.
Questi sono i file log che sono stati creati secondo le istruzioni all'inizio del topic

Log rimossi, leggere la Guida in prima pagina.

Grazie per l'assistenza
Ho provato a metterli secondo la guida ma sono più grandi di 27KB e non mi permette di scaricarli.
Come devo fare?
Scusa. MI era sfuggito proprio all'inizio.
Provvedo immediatamente

Finita la scansione con AVIRA, 13 rilevamenti, alcuni sono keymaker o keygen in file compattati: ma quando un trojan è in un file compresso può dar problemi?

Allego il log ed attendo notizie
AVSCAN-20091029-085735-2A14A343.LOG (http://wikisend.com/download/459612/AVSCAN-20091029-085735-2A14A343.LOG)

i keygen vanno eliminati sempre altrimenti l'assistenza finisce qui

ciao a tutti
ho un pc di un amico che dice andava molto lento nonostante l'aveva riformattato da 5 giorni perchè c'eran dei virus...faccio una scansione con avira e mi si blocca tutto il pc quando arriva a trovare un'infezione:
"Record master di avvio dell'Hard Disk 0
Contiene il codice del virus del settore di avvio BOO/Sinowal.E"
io ho seguito questa procedure a questo link per toglierlo: http://www.tomshw.it/forum/sicurezza/125208-virus-nel-record-di-avvio-dellhard-disk-0-a.html

volevo sapere è affidabile come procedura oppure no?
intanto sto facendo una scansione con gmer, seguendo la vostra guida...poi vi posterò i result...ma pensate che posso averlo già tolto con l'altra guida o non c'è speranza?
grazie
ciao

ecco la scansione con gmer...

fatemi sapere

http://wikisend.com/download/226716/gmer.txt

ecco la scansione con gmer...

fatemi sapere

http://wikisend.com/download/226716/gmer.txt

questo è quello di prevx...http://wikisend.com/download/497192/prevx.log

questo è quello di prevx...http://wikisend.com/download/497192/prevx.log
non era il caso fare 3 post consecutivi :)

sei pulito
vedi trattamento in firma per consigli vari

Ciao, ho seguito la vostra guida, vi ringrazio anticipatamente per l'aiuto che vorrete prestarmi. http://wikisend.com/download/966286/gmer.txt http://wikisend.com/download/108426/prevx.log

Ciao, ho seguito la vostra guida, vi ringrazio anticipatamente per l'aiuto che vorrete prestarmi. http://wikisend.com/download/966286/gmer.txt http://wikisend.com/download/108426/prevx.log

ciao

riscansiona con prex
disabilita il tuo antivirus e segui le istruzioni per la rimozione di mbr
carica il nuovo log

Cercando informazioni sul sinowal ho trovato la vostra procedura per la rimozione.
Ho eseguito la prima fase, aspetto un riscontro per procedere con la seconda.
Grazie a chi mi saprà dare indicazioni!

gmer save.log (http://wikisend.com/download/589306/gmer save.log)

prevx save.log (http://wikisend.com/download/555662/prevx save.log)

Cercando informazioni sul sinowal ho trovato la vostra procedura per la rimozione.
Ho eseguito la prima fase, aspetto un riscontro per procedere con la seconda.
Grazie a chi mi saprà dare indicazioni!

gmer save.log (http://wikisend.com/download/589306/gmer save.log)

prevx save.log (http://wikisend.com/download/555662/prevx save.log)

ciao

riscansiona con prex
disabilita il tuo antivirus e segui le istruzioni per la rimozione di mbr
carica il nuovo log
poi fai la scansione con cureit che trovi nella 3 fase
non vogliamo vedere keygen altrimenti l'assistenza viene sospesa, quindi provvedi a rimuovere quella robaccia :)

ciao wjmat, grazie dell'aiuto...spero di aver fatto tutto giusto... http://wikisend.com/download/458214/prevx.log

ciao wjmat, grazie dell'aiuto...spero di aver fatto tutto giusto... http://wikisend.com/download/458214/prevx.log

tutto giusto, il log è pulito
se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

grazie tante wjmat, sembra tutto ok...seguo subito il tuo consiglio...

grazie tante wjmat, sembra tutto ok...seguo subito il tuo consiglio...

di nulla
ciao

Ripeti scansione con Prevx e procedi con la rimozione gratutita solo dopo aver disabilitato Antivir

F = Free to cleanup

al termine allega nuovo log

ecco qui il nuovo log di prevx3 :)
prevx3.log (http://wikisend.com/download/956184/prevx3.log)

Su un pc di un mio amico (primo HD con due partizioni: la prima con SO XP pro e la seconda con XP 64bit) Avira ha rilevato SinowallA
Abbiamo provato a eliminarlo con il disco di XP pro dal recovery lanciando Fixmbr ma senza successo.
Questi sono i file log che sono stati creati secondo le istruzioni all'inizio del topic
http://wikisend.com/download/586352/log_gmer.txt
http://wikisend.com/download/971602/prev_log.txt
Grazie in anticipo per l'aiuto

Su un pc di un mio amico (primo HD con due partizioni: la prima con SO XP pro e la seconda con XP 64bit) Avira ha rilevato SinowallA
Abbiamo provato a eliminarlo con il disco di XP pro dal recovery lanciando Fixmbr ma senza successo.
Questi sono i file log che sono stati creati secondo le istruzioni all'inizio del topic
http://wikisend.com/download/586352/log_gmer.txt
http://wikisend.com/download/971602/prev_log.txt
Grazie in anticipo per l'aiuto

ciao

i log sono puliti
carica il report di avira per un controllo

Ciao,

allego i 4 log per la seconda fase.....

perdonatemi ma i primi 3 (MBR1,MBR2 ed MBR3) non sono mica riuscito a salvarli come file di testo...compariva solo la schermata per un microsecondo e ho salvato l'immagine col tasto "stamp", non sapevo come fare altrimenti...

cmq eccoli

http://wikisend.com/download/470160/MBR1.JPG
http://wikisend.com/download/565136/MBR2.JPG
http://wikisend.com/download/512144/MBR3.JPG
http://wikisend.com/download/442260/FixMebroot.log

posso proseguire con la terza fase?
il pc comunque continua a bloccarsi dopo pochi minuti dall'avvio....mi vedo sempre costretto a spegnere brutalmente....

ciao un mio amico aveva il pc impazzito , ho trovato la vostra guida e fatto
alcuni passaggi
gmer1.txt (http://wikisend.com/download/480366/gmer1.txt)
prevx-1.log (http://wikisend.com/download/949108/prevx-1.log)

prevx mi ha dato la F l'o eseguita ecco i log dopo

gmer2.txt (http://wikisend.com/download/965748/gmer2.txt)

prevx-2.log (http://wikisend.com/download/585680/prevx-2.log)

il pc ora funziona bene pero sara pulito?
grazie a tutti chi mi puo rispondere

ciao un mio amico aveva il pc impazzito , ho trovato la vostra guida e fatto
alcuni passaggi
gmer1.txt (http://wikisend.com/download/480366/gmer1.txt)
prevx-1.log (http://wikisend.com/download/949108/prevx-1.log)

prevx mi ha dato la F l'o eseguita ecco i log dopo

gmer2.txt (http://wikisend.com/download/965748/gmer2.txt)

prevx-2.log (http://wikisend.com/download/585680/prevx-2.log)

il pc ora funziona bene pero sara pulito?
grazie a tutti chi mi puo rispondere

ciao

si il pc ora è pulito
ti consiglio il trattamento in firma per proteggere meglio il pc

Ciao,

allego i 4 log per la seconda fase.....

perdonatemi ma i primi 3 (MBR1,MBR2 ed MBR3) non sono mica riuscito a salvarli come file di testo...compariva solo la schermata per un microsecondo e ho salvato l'immagine col tasto "stamp", non sapevo come fare altrimenti...

cmq eccoli

http://wikisend.com/download/470160/MBR1.JPG
http://wikisend.com/download/565136/MBR2.JPG
http://wikisend.com/download/512144/MBR3.JPG
http://wikisend.com/download/442260/FixMebroot.log

posso proseguire con la terza fase?
il pc comunque continua a bloccarsi dopo pochi minuti dall'avvio....mi vedo sempre costretto a spegnere brutalmente....

carica un nuovo log di prevx

ciao

si il pc ora è pulito
ti consiglio il trattamento in firma per proteggere meglio il pc

grazie wjmat gia fatto alcune cose. la guda mi é stata molto utile
siete molto competenti saluti

grazie wjmat gia fatto alcune cose. la guda mi é stata molto utile
siete molto competenti saluti

grazie, ciao

ciao a tutti volevo per sicurezza controllare anche il mio pc ma quando faccio partire sul mio pc con vista 64 bit gmer non mi da la possibilità di selezionare a destra tutte le caselle ma rimangono selezionate solo le ultime 3, cioè services, registry, files, mentre tutte quelle sopra rimangono in grigio e non sono selezionabili? come mai?

ciao a tutti volevo per sicurezza controllare anche il mio pc ma quando faccio partire sul mio pc con vista 64 bit gmer non mi da la possibilità di selezionare a destra tutte le caselle ma rimangono selezionate solo le ultime 3, cioè services, registry, files, mentre tutte quelle sopra rimangono in grigio e non sono selezionabili? come mai?

probabilmente è in parte incompatibile

probabilmente è in parte incompatibile

quindi non posso verificare oppure ci sono altri programmi?

quindi non posso verificare oppure ci sono altri programmi?

fai la scansione comunque

Guida aggiornata http://www.hwupgrade.it/forum/showpost.php?p=21854177&postcount=1

Guida aggiornata http://www.hwupgrade.it/forum/showpost.php?p=21854177&postcount=1

ottimo :)

carica un nuovo log di prevx

eccolo....

http://wikisend.com/download/593070/prevx_log2.log

sono ancora infetto (anzi è comparso pure un'altro malware)

ora gli ho dato "cleanup now" sempre con prevx....
vien fuori l'avviso che deve simulare la BSOD.....ma ormai ce l'ho fuori fissa da parecchi minuti....cosa dovrebbe succedere, che a un certo punto si riavvia da solo? ma possono passare anche delle ore prima che ciò accada?

eccolo....

http://wikisend.com/download/593070/prevx_log2.log

sono ancora infetto (anzi è comparso pure un'altro malware)

ora gli ho dato "cleanup now" sempre con prevx....
vien fuori l'avviso che deve simulare la BSOD.....ma ormai ce l'ho fuori fissa da parecchi minuti....cosa dovrebbe succedere, che a un certo punto si riavvia da solo? ma possono passare anche delle ore prima che ciò accada?

l'antivirus è disattivato quando fai il clean up

l'antivirus è disattivato quando fai il clean up

sisi ho fatto tutto come indicato....
nel frattempo è ancora qui che va....ormai quasi 2 ore....che faccio lascio andare o spengo brutalmente per l'ennesima volta?

sisi ho fatto tutto come indicato....
nel frattempo è ancora qui che va....ormai quasi 2 ore....che faccio lascio andare o spengo brutalmente per l'ennesima volta?

Passa alla SECONDA FASE

Passa alla SECONDA FASE

dunque.....allego un nuovo log di prevx....

http://wikisend.com/download/881934/prevx_log3.log

ora non mi trova più il rootkit "mbr" solito...il pc sembra anche essersi ripigliato, non si blocca più dopo 2 minuti che lo accendo (incrociando le dita...)

....in ogni caso mi trova questo "medium risk malware" che è ytb.exe

che faccio.....proseguo con CureIt?

dunque.....allego un nuovo log di prevx....

http://wikisend.com/download/881934/prevx_log3.log

ora non mi trova più il rootkit "mbr" solito...il pc sembra anche essersi ripigliato, non si blocca più dopo 2 minuti che lo accendo (incrociando le dita...)

....in ogni caso mi trova questo "medium risk malware" che è ytb.exe

che faccio.....proseguo con CureIt?

allora......ho ripreso la procedura dall'inizio...
tra l'altro ora riesco a scrivervi direttamente dal pc "infetto", non si blocca più.

confermo che non trova più il rootkit mbr, o almeno a me sembra così...purtroppo trova qualche altro trojan (anche avira antivir, che ho nel frattempo reinstallato, mi ha trovato un trojan, che ho bloccato....)

vi allego i log di prevx, gmer, norman e cureit:

http://wikisend.com/download/687402/prevx1.log
http://wikisend.com/download/532204/gmer.txt
http://wikisend.com/download/456230/NFix_2009-10-31_17-50-57.log
http://wikisend.com/download/511168/cureit filtrato.txt

mi sapete dire qualcosa?
grazie mille!!

allora......ho ripreso la procedura dall'inizio...
tra l'altro ora riesco a scrivervi direttamente dal pc "infetto", non si blocca più.

confermo che non trova più il rootkit mbr, o almeno a me sembra così...purtroppo trova qualche altro trojan (anche avira antivir, che ho nel frattempo reinstallato, mi ha trovato un trojan, che ho bloccato....)

vi allego i log di prevx, gmer, norman e cureit:

http://wikisend.com/download/687402/prevx1.log
http://wikisend.com/download/532204/gmer.txt
http://wikisend.com/download/456230/NFix_2009-10-31_17-50-57.log
http://wikisend.com/download/511168/cureit filtrato.txt

mi sapete dire qualcosa?
grazie mille!!

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Files to delete:
c:\windows\ytb.exe


clicca su Execute, al termine il Pc si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt + nuovo log di Prevx

Buondi', dopo aver cambiato HD e averne fatto installare uno nuovo, il tecnico HD mi ha pre-installato Kaspersky, che per due/tre gg non mi ha rilevato nulla. Solleticato dalle recensioni web, ho scaricato ed installato Avira (togliendo K-sky) ed è apparso BOO/Sinowal.E.

Ho seguito quanto riportato all'inizio del thread e allego il log di gmer e quello di prevx. Non sono riuscito a fare una pulizia di quanto trovato da quest'ultimo, perche' richiedeva una licenza. Tuttavia, prevx non mi sembra abbia evidenziato il boo/sinowal beccato da avira.

http://wikisend.com/download/924872/
http://wikisend.com/download/616434/

Rimango in attesa di eventuali suggerimenti sul da farsi
Nel caso, grazie mille
M.

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco



clicca su Execute, al termine il Pc si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt + nuovo log di Prevx

eccoli:

http://wikisend.com/download/437602/avenger.txt
http://wikisend.com/download/490508/prevx_nuovo.log

eccoli:

http://wikisend.com/download/437602/avenger.txt
http://wikisend.com/download/490508/prevx_nuovo.log

Ok, leggi in guida i suggerimenti, ciao :)

Ok, leggi in guida i suggerimenti, ciao :)

quindi mi confermi che dovrei essere riuscito a ripulire il pc?
Grazie mille per l'aiuto!!! Ciao

quindi mi confermi che dovrei essere riuscito a ripulire il pc?
Grazie mille per l'aiuto!!! Ciao

Sei a posto, ciao ;)

ciao

i log sono puliti
carica il report di avira per un controllo
Il mio amico ha installato nel frattempo Kaspersky 2009
Allego il log
Spero che vada bene ugualmente
Grazie di tutto

Il mio amico ha installato nel frattempo Kaspersky 2009
Allego il log
Spero che vada bene ugualmente
Grazie di tutto

mi sembra più il log del modulo realtime che di una scansione completa, ti risulta?

Il log è completo , effettuato normarmente .
Cosa intendevi ?

Il log è completo , effettuato normarmente .
Cosa intendevi ?

vedo eventi che vanno dal 23/10/09 al 30/10/09

Ho capito cosa intendevi, non vorrei che il log tenesse conto anche dei vecchi processi, oggi provo a cancellare i vecchi e rilancio tutto.
Ho fatto girare il norman malware sinowal remove , da provvisoria ,dopo 18 H , non mi ha trovato nessuna infezione ,bho.
Grazie di tutto

ciao

grazie per la guida!

Il mio problema è che si crea ad ogni riavvio una copia della cartella Adminstrator in C/documents and settings. QUesta nuova cartella è chiamata HelpAssistant

Tutto il PC si è molto rallentato, soprattutto sull'esplorazione web. Spesso si blocca completamente e devo forzare lo spegnimento del PC.

Windows Live Messanger lancia un errore dopo 2 minuti dall'avvio

Windows Live Communications Platform.
Si è verificato un errore in Windows Live Communications Platform. L'applicazione verrà chiusa.

Nella segnalazione di invio errore, dice

AppName: wlcomm.exe AppVer: 14.0.8098.930 ModName: ntdll.dll
ModVer: 5.1.2600.3520 Offset: 00036f9b




ho eseguito gmer e prevx.
Quì i log

http://wikisend.com/download/494504/gmer.log

http://wikisend.com/download/585088/PREVX%20primo%20log.log

http://wikisend.com/download/674512/PREVX%20secondo%20log.log

Prevx mi da questo file infetto, alla prima scansione (pre infezione) ma non me lo ridà dopo l'infezione.



http://img9.imageshack.us/img9/8536/prevxrootkit.th.jpg (http://img9.imageshack.us/i/prevxrootkit.jpg/)





Mi consigliate di passare alla fase 2?

grazie

Ho capito cosa intendevi, non vorrei che il log tenesse conto anche dei vecchi processi, oggi provo a cancellare i vecchi e rilancio tutto.
Ho fatto girare il norman malware sinowal remove , da provvisoria ,dopo 18 H , non mi ha trovato nessuna infezione ,bho.
Grazie di tutto

di nulla
ciao

ciao

grazie per la guida!

Il mio problema è che si crea ad ogni riavvio una copia della cartella Adminstrator in C/documents and settings. QUesta nuova cartella è chiamata HelpAssistant

Tutto il PC si è molto rallentato, soprattutto sull'esplorazione web. Spesso si blocca completamente e devo forzare lo spegnimento del PC.

Windows Live Messanger lancia un errore dopo 2 minuti dall'avvio



Nella segnalazione di invio errore, dice






ho eseguito gmer e prevx.
Quì i log

http://wikisend.com/download/494504/gmer.log

http://wikisend.com/download/585088/PREVX%20primo%20log.log

http://wikisend.com/download/674512/PREVX%20secondo%20log.log

Prevx mi da questo file infetto, alla prima scansione (pre infezione) ma non me lo ridà dopo l'infezione.




Mi consigliate di passare alla fase 2?

grazie
ciao

prevx dobrebbe aver rimosso l'infezione
tu riscontri ancora problemi?

ciao

prevx dobrebbe aver rimosso l'infezione
tu riscontri ancora problemi?

dunque, la cartella HelpAssistant l'ho cancellata in modalità provvisoria e non è tornata più.
Anche messanger sembra funzionare. Però a me pare ancora lento.
Ma se uso comunque la fase 2, ci sono effetti collaterali?

dunque, la cartella HelpAssistant l'ho cancellata in modalità provvisoria e non è tornata più.
Anche messanger sembra funzionare. Però a me pare ancora lento.
Ma se uso comunque la fase 2, ci sono effetti collaterali?

seguila pure ma mbr non dobrebbe esserci più
fai anche la scansione con cureit della fase 3 che verifichiamo non ci sia dell'altro

Posto qui il mio dubbio, che è stato chiuso nell'altro post ( http://www.hwupgrade.it/forum/showthread.php?t=2076223 ):

avevo aperto un topic diverso, perchè non chiedevo informazioni su come rimuovere, bensì un chiarimento sulle conseguenze :rolleyes:

ripeto comunque la domanda:
con una partizione Win e una Linux, con Grub nella partizione Linux.....
fixando il rootkit è possibile che vada persa almeno una delle due partizioni?

Grazie a chi risponderà :(

allora,

il log di MBR è questo

http://wikisend.com/download/521138/mbr.log

ma è così breve che lo posso riportare anche quì

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A18AC1
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA

e pare che abbia trovato un malicious code...


quì c'è il Norman SinowalMBR Cleaner, che pare non aver trovato nulla

http://wikisend.com/download/607136/NFix_2009-11-02_17-28-32.log

ed infine il Cure.it

http://wikisend.com/download/958684/CureIt.log

che pare abbia trovato solo file componenti di prevx.

http://img519.imageshack.us/img519/8647/37239608.th.jpg (http://img519.imageshack.us/img519/8647/37239608.jpg/)

e per questo non li ho rimossi. Cosa ne pensate?

allora,

il log di MBR è questo

http://wikisend.com/download/521138/mbr.log

ma è così breve che lo posso riportare anche quì

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A18AC1
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA

e pare che abbia trovato un malicious code...


quì c'è il Norman SinowalMBR Cleaner, che pare non aver trovato nulla

http://wikisend.com/download/607136/NFix_2009-11-02_17-28-32.log

ed infine il Cure.it

http://wikisend.com/download/958684/CureIt.log

che pare abbia trovato solo file componenti di prevx.

http://img519.imageshack.us/img519/8647/37239608.th.jpg (http://img519.imageshack.us/img519/8647/37239608.jpg/)

e per questo non li ho rimossi. Cosa ne pensate?

Sei pulito indipendentemente dal log di Stealth MBR rootkit/Mebroot/Sinowal detector, con CureIt sei sicuro di aver fatto scansione completa.

Sei pulito indipendentemente dal log di Stealth MBR rootkit/Mebroot/Sinowal detector, con CureIt sei sicuro di aver fatto scansione completa.

meno male, grazie mille. :)

Mi chiedo chi e perchè si impegna a creare cose che crano problemi alla gente... ma saranno gli stessi che poi creano i programmi di pulizia?

meno male, grazie mille. :)

Mi chiedo chi e perchè si impegna a creare cose che crano problemi alla gente... ma saranno gli stessi che poi creano i programmi di pulizia?

No ;)

Ciao

Ciao a tutti! Mi chiamo Giusy e credo di aver beccato un rootkit..questo è quello che il mio antivirus (Avira) ha trovato:

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[NOTA] Il settore di avvio non è stato riparato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[NOTA] Il settore di avvio non è stato riparato!
Record di avvio 'F:\'
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[NOTA] Il settore di avvio non è stato riparato!

Facendo delle ricerche su internet sono arrivata a voi, spero che possiate aiutarmi!! Per ora vi posto i log relativi alla prima fase!

LOG Gmer.txt (http://wikisend.com/download/563096/LOG Gmer.txt)
LOG Prevx.log (http://wikisend.com/download/466562/LOG Prevx.log)

Questo è uno screen dell'infezione trovata da Prevx..che purtroppo richiede la licenza! :(

Edit

Ciao a tutti! Mi chiamo Giusy e credo di aver beccato un rootkit..questo è quello che il mio antivirus (Avira) ha trovato:

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[NOTA] Il settore di avvio non è stato riparato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[NOTA] Il settore di avvio non è stato riparato!
Record di avvio 'F:\'
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[NOTA] Il settore di avvio non è stato riparato!

Facendo delle ricerche su internet sono arrivata a voi, spero che possiate aiutarmi!! Per ora vi posto i log relativi alla prima fase!

LOG Gmer.txt (http://wikisend.com/download/563096/LOG Gmer.txt)
LOG Prevx.log (http://wikisend.com/download/466562/LOG Prevx.log)

Questo è uno screen dell'infezione trovata da Prevx..che purtroppo richiede la licenza! :(

http://i34.tinypic.com/2nv5rmp.png

ciao

non mi sembra di vedere mbr rootkit nei log, segui la fase 3 e vediamo se cureit elimina il file segnalato da prevx

ciao

non mi sembra di vedere mbr rootkit nei log, segui la fase 3 e vediamo se cureit elimina il file segnalato da prevx

Ciao, grazie per la risposta!
Ho effettuato una scansione con cureit, questo è il log!

cureit.log (http://wikisend.com/download/664772/cureit.log)

Ciao, grazie per la risposta!
Ho effettuato una scansione con cureit, questo è il log!

cureit.log (http://wikisend.com/download/664772/cureit.log)

non mi sembra tu abbia fatto la scansione completa
il log inoltre sarà più pesante e dovrai filtrarlo come indicato

Sei pulito indipendentemente dal log di Stealth MBR rootkit/Mebroot/Sinowal detector, con CureIt sei sicuro di aver fatto scansione completa.

sto ripulendo il pc di un amico e penso di essere nella stessa situazione di neofito
in attesa che drweb finisca la scansione completa mi preoccupa la voce di mbr rootkit sul codice maligno ancora nel mbr (ho fatto un paio di volte l'mbrfix dalla console di ripristino)

può essere che drweb sia un pelo troppo aggressivo?
possibile che abbia trovato un trojan nell'installer di una vecchia versione di spywareblaster? :mbe:

ma la cosa che mi preoccupa di più e come sto pc si sia infettato in questa maniera... antivir è stato inutile
che dite posso rimuovere da questo pc spybot? a me sembra tanto inutile.. personalmente non m'ha mai aiutato quando c'erano problemi su pc infetti :eh:

ps.
anche qui c'è l'account helpassistant
la devo rimuovere?

Ciao a tutti!
Qualche problemino col pc mi ha portato qui da voi.
Persone diverse accedono a questo pc con profili diversi e volevo capire se la prima fase della guida può essere eseguita da uno qualsiasi di questi profili.

La cartella helpassistant che viene ricreata ogni volta è la copia di uno dei profili esistenti. E' una scelta che viene fatta casualmente o a a che fare con l'utente che si è beccato il problema? Tra l'altro se accedo col mio account il pc si blocca, mentre se prima accedo con un altro e in seguito col mio va tutto liscio.

Comunque ecco i due log...."purtroppo" mi pare che sia tutto pulito (prevx ha trovato un problema che ho rimosso anche se in realtà non credo fosse davvero un worm). Dico purtroppo perchè i sintomi da infezione ci sono tutti.
Cercando di non far apparire la cartella helpassistant giorni fa avevo disabilitato assistenza e desktop remoto dai servizi. La butto lì...può essere per quello che non trova niente?

log gmer http://wikisend.com/download/920632/gmer.txt
log prevx http://wikisend.com/download/496384/prevx.txt

Grazie!

Ciao a tutti!
Qualche problemino col pc mi ha portato qui da voi.
Persone diverse accedono a questo pc con profili diversi e volevo capire se la prima fase della guida può essere eseguita da uno qualsiasi di questi profili.

La cartella helpassistant che viene ricreata ogni volta è la copia di uno dei profili esistenti. E' una scelta che viene fatta casualmente o a a che fare con l'utente che si è beccato il problema? Tra l'altro se accedo col mio account il pc si blocca, mentre se prima accedo con un altro e in seguito col mio va tutto liscio.

Comunque ecco i due log...."purtroppo" mi pare che sia tutto pulito (prevx ha trovato un problema che ho rimosso anche se in realtà non credo fosse davvero un worm). Dico purtroppo perchè i sintomi da infezione ci sono tutti.
Cercando di non far apparire la cartella helpassistant giorni fa avevo disabilitato assistenza e desktop remoto dai servizi. La butto lì...può essere per quello che non trova niente?

log gmer http://wikisend.com/download/920632/gmer.txt
log prevx http://wikisend.com/download/496384/prevx.txt

Grazie!
ciao

non mi sembra di vedere mbr nei log

fai la scansione con cureit che trovi nella 3° fase

fai controllare su www.virustotal.com e su http://virscan.org/
c:\windows\downloaded program files\iphonactrl.dll

Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollali nella discussione
Se ti verrà segnalato che il file è già stato controllato, fallo analizzare comunque perchè le firme virali dei vari motori di scansione potrebbero essere stati aggiornati.

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema (http://www.hwupgrade.it/forum/showpost.php?p=25063497&postcount=39)

sto ripulendo il pc di un amico e penso di essere nella stessa situazione di neofito
in attesa che drweb finisca la scansione completa mi preoccupa la voce di mbr rootkit sul codice maligno ancora nel mbr (ho fatto un paio di volte l'mbrfix dalla console di ripristino)

può essere che drweb sia un pelo troppo aggressivo?
possibile che abbia trovato un trojan nell'installer di una vecchia versione di spywareblaster? :mbe:

ma la cosa che mi preoccupa di più e come sto pc si sia infettato in questa maniera... antivir è stato inutile
che dite posso rimuovere da questo pc spybot? a me sembra tanto inutile.. personalmente non m'ha mai aiutato quando c'erano problemi su pc infetti :eh:

ps.
anche qui c'è l'account helpassistant
la devo rimuovere?

E' necessario vedere il log, esattamente come indicato in Guida.

ciao wjmat,
grazie per il controllo dei log.



fai la scansione con cureit che trovi nella 3° fase

purtroppo quando faccio partire la scansione mi si riavvia il pc. provo a fare la scansione in modalità provvisoria?

fai controllare su www.virustotal.com e su http://virscan.org/
c:\windows\downloaded program files\iphonactrl.dll

l'ho già eliminato. gestiva un applicazione per contattare l'inps mi pare.

come dicevo prima il log è molto simile a neofito

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0BA50E41
malicious code @ sector 0x0BA50E44 !
PE file found in sector at 0x0BA50E5A !

prima che facessi il fixmbr combofix rilevava questo
ora non rileva più niente però

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys >>UNKNOWN [0x823DAB00]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x823dab00
NDIS: WLAN Broadcom 802.11b/g -> SendCompleteHandler -> 0x82417200
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

prevx ha trovato una minaccia che nella versione free non ripuliva
ecco il link (http://www.virustotal.com/it/analisis/3ffa5cf19cd7ed50b2e50afa16992ce0e1c1117e0b940b0a59417f687c835be5-1249048034) virustotal
a me non sembra niente di che (tanto il lightscribe manco sa cos'è il proprietario.. glielo rimuoverei volentieri)

ora riprovo a fare sto benedetto log con gmer che è la terza volta che va in bsod :muro:

ma penso il pc sia pulito... resta solo quella cosina nell'mbr
e il fatto che questo notebook sia stupidamente lento... mai formattato in 5 anni.. ci sta

grazie cmq per l'aiuto (la guida è fenomenale)

Cortesemente, allega su uno dei Server Remoti indicati in Guida il log di Gmer ed il log di Prevx.

Cortesemente, allega su uno dei Server Remoti indicati in Guida il log di Gmer ed il log di Prevx.

scusa se ti rompo
gmer devo fargli anche la scansione dei files?
l'unica volta che lo feci ci mise tanto..tipo 3 ore
e visto che il sistema va in bsod non so se riuscirò a finire sto scan :(
eccolo (http://wikisend.com/download/511042/gmer.txt) (niente schermata blu sto giro :D )
il file che rileva come rootkit è un componente lasciato da prevx o sbaglio?

prevx non mi faceva pulire il file in quanto free edition.. il tasto tools non era disponibile
sul mio pc invece ho potuto salvare il log visto che era pulito e usciva dalla schermata di scansione dove c'era l'opzione per salvare il log

grazie della pazienza
visto che non è crashato ora faccio lo scan di gmer completo

ps. c'è sempre questa cartella account helpassistant di 1.4gb.. molto sospetta
è xp home.. non vedo questo account e contiene doppioni di file dell'account principale (questo forse spiega la continua attività dell'hd quando il mbr era infetto)

ciao wjmat,
grazie per il controllo dei log.



purtroppo quando faccio partire la scansione mi si riavvia il pc. provo a fare la scansione in modalità provvisoria?



l'ho già eliminato. gestiva un applicazione per contattare l'inps mi pare.

prova da mod. provvisoria

i keygen vanno eliminati sempre altrimenti l'assistenza finisce qui

Pulito da tutte le zozzerie! Grazie a tutti per i consigli e complimenti per il forum sempre più aggiornato ed utile. Se vi conoscessi una bella birrozza ve la meritereste!

Da questa esperienza, nata perché il pc aveva la lucina dell'hd ssempre accesa e non mi permetteva alcuna operazione in tempi "normali", ho imparato che non ci si può fidare di un solo antivirus e che non sempre bastano solo quelli!

I tempi per ripulire il computer sono superiori a quelli per formattare tutto e ripartire. La prossima volta ci rifletto sopra su cosa conviene fare.

Inoltre mi restano alcuni problemi, penso dovuti ai vermetti spazzati via:
attaccando penne usb o stampanti o altre periferiche usb, non mi compare più l'icona nella barra delle applicazioni per la rimozione sicura.
E' successo anche a voi?

Pulito da tutte le zozzerie! Grazie a tutti per i consigli e complimenti per il forum sempre più aggiornato ed utile. Se vi conoscessi una bella birrozza ve la meritereste!
di nulla

Da questa esperienza, nata perché il pc aveva la lucina dell'hd ssempre accesa e non mi permetteva alcuna operazione in tempi "normali", ho imparato che non ci si può fidare di un solo antivirus e che non sempre bastano solo quelli!
già

I tempi per ripulire il computer sono superiori a quelli per formattare tutto e ripartire. La prossima volta ci rifletto sopra su cosa conviene fare.
non è detto che sia sempre più lunga la procedura

Inoltre mi restano alcuni problemi, penso dovuti ai vermetti spazzati via:
attaccando penne usb o stampanti o altre periferiche usb, non mi compare più l'icona nella barra delle applicazioni per la rimozione sicura.
E' successo anche a voi?
per questo chiedi nella sezione di windows

salve a tutti....allora io ho riscontrato questo problema!Ho iniziato con la fase 1 e nello scan di prevx sembra ke nn abbia rilevato nulla x sicurezza posto il link
http://wikisend.com/download/476842/pre log.log PREVX

Per quanto riguarda GMER a scansione fatta questo è il log:
http://wikisend.com/download/886010/gmer log.log
in questo caso ce qualkosa ke nn mi convince ma nn so con sicurezza, aspetto vostre notizie su come procedere.Grazie:)

Da questa esperienza, nata perché il pc aveva la lucina dell'hd ssempre accesa e non mi permetteva alcuna operazione in tempi "normali"
una domanda visto che anche il pc che sto controllando io aveva lo stesso problema con l'hd
non è che in document and settings hai una cartella helpassistant?

prova da mod. provvisoria

Niente. Si riavvia appena faccio partire la scansione.
Ti viene in mente qualcos'altro che possa fare?

scusa se ti rompo
gmer devo fargli anche la scansione dei files?
l'unica volta che lo feci ci mise tanto..tipo 3 ore
e visto che il sistema va in bsod non so se riuscirò a finire sto scan :(
eccolo (http://wikisend.com/download/511042/gmer.txt) (niente schermata blu sto giro :D )
il file che rileva come rootkit è un componente lasciato da prevx o sbaglio?

prevx non mi faceva pulire il file in quanto free edition.. il tasto tools non era disponibile
sul mio pc invece ho potuto salvare il log visto che era pulito e usciva dalla schermata di scansione dove c'era l'opzione per salvare il log

grazie della pazienza
visto che non è crashato ora faccio lo scan di gmer completo

ps. c'è sempre questa cartella account helpassistant di 1.4gb.. molto sospetta
è xp home.. non vedo questo account e contiene doppioni di file dell'account principale (questo forse spiega la continua attività dell'hd quando il mbr era infetto)

Attendo sempre i log di Gmer e Prevx, successivamente affrontiamo tutti i problemi

Si, trattasi di Prevx

Library C:\WINDOWS\system32\PxSecure.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1708] 0x00F70000

salve a tutti....allora io ho riscontrato questo problema!Ho iniziato con la fase 1 e nello scan di prevx sembra ke nn abbia rilevato nulla x sicurezza posto il link
http://wikisend.com/download/476842/pre log.log PREVX

Per quanto riguarda GMER a scansione fatta questo è il log:
http://wikisend.com/download/886010/gmer log.log
in questo caso ce qualkosa ke nn mi convince ma nn so con sicurezza, aspetto vostre notizie su come procedere.Grazie:)

Non emergono tracce del MBR Rootkit

Niente. Si riavvia appena faccio partire la scansione.
Ti viene in mente qualcos'altro che possa fare?

carica solo un nuovo log di prevx per il momento

Attendo sempre i log di Gmer e Prevx, successivamente affrontiamo tutti i problemi
ho lasciato gmer a fare lo scan completo... mi sono assentato mezzora (dopo che era 3 ore a scansionare i vari file)
era entrato in standby e non ne usciva più.. spento brutalmente :muro:
niente log completo quindi

in prevx ho fatto la prima scansione e gli ho detto di ignorare la dll del programma di lighscribe
alla scansione successiva ho potuto salvare questo log (http://wikisend.com/download/442816/prevx.log) che mi pare pulito

resta sempre il codice maligno nel mbr secondo Stealth MBR rootkit detector :confused:

il pc penso che glielo formatterò
il mbr viene resettato in caso di format completo giusto?

in ogni caso grazie ;)

ho lasciato gmer a fare lo scan completo... mi sono assentato mezzora (dopo che era 3 ore a scansionare i vari file)
era entrato in standby e non ne usciva più.. spento brutalmente :muro:
niente log completo quindi

in prevx ho fatto la prima scansione e gli ho detto di ignorare la dll del programma di lighscribe
alla scansione successiva ho potuto salvare questo log (http://wikisend.com/download/442816/prevx.log) che mi pare pulito

resta sempre il codice maligno nel mbr secondo Stealth MBR rootkit detector :confused:

il pc penso che glielo formatterò
il mbr viene resettato in caso di format completo giusto?

in ogni caso grazie ;)

Formattando a basso livello, ciao.

carica solo un nuovo log di prevx per il momento

eccolo

http://wikisend.com/download/575998/prevx2.txt

Grazie!

Salve,

innanzitutto complimenti per il servizio utilissimo che date, siete veramente eccezionali :winner:

Circa un mese fa mi accorgo che di punto in bianco il computer (un portatile vaio) da di matto. Non va piu niente, tutto si blocca.
Oramai disperato (stavo per andare a cambiare la scheda madre!) aggiorno Avira che mi da il messaggio del virus rootkit, il famigerato BOO/Sinowal.E.
Trovo questa immensa guida, faccio partire Prevx che immediatamente trova il virus e riesco ad eliminarlo. Il computer si riprende. Esulto.....per poco :muro: .
Il computer in effetti si è ripreso ma a cadenza costante l'hard disk inizia a dare dei tichettii costanti, insomma capisco che qualcosa li dentro duole ancora :cry:.

Riscansione tutto con Avira aggiornato che mi ritrova lo stesso rootkit nell'altra partizione dell'HD principale D: (credo di comprendere dal log) e su entrambe le partizione del secondo HD sempre presente nel portatile H:, I: :)

Prevx, essendo la versione free lavora solo su C: e infatti dal log (che vi allego) non risulta nulla.

Per precisione Avira trova nel "record master di avvio" il virus in Hard Disk 1 (sarebbe?) e poi lo trova nei "record di avvio" in H: e I: avvisandomi che "il record non è stato scritto!"

Come da vostra indiczione sono ripartito con Prevx (che non mi ha trovato niente) e con Gmer (non capisco se ha trovato qualcosa):mc:

Prima di passare all fase 2 vi posto i log.
Ancora Grazie :) :) :)

Avira Log http://wikisend.com/download/485008/

Prevx Log http://wikisend.com/download/556748/

Gmer Log http://wikisend.com/download/933212/

eccolo

http://wikisend.com/download/575998/prevx2.txt

Grazie!

il log è pulito
non so da dove avevi diagnosticato l'infezione...

Non emergono tracce del MBR Rootkit

Ah ho capito e quindi secondo te da cosa potrebbe dipendere il problema?probabilmente già lo sai ma praticamente nn riesco ad entrare su msn xkè mi da l'errore di platform e mi rallenta anke internet...navigando ho riscontrato ke questi problemi erano dovuti al MBR ROOTKIT.
In pratica l'esecuzione del programma va in contrasto con un file chiamato ntdll.dll, e che in base a questo file sono risalito a questo scontro dovuto dal rootkit.Non ci capisco più niente uff...

Salve,

innanzitutto complimenti per il servizio utilissimo che date, siete veramente eccezionali :winner:

Circa un mese fa mi accorgo che di punto in bianco il computer (un portatile vaio) da di matto. Non va piu niente, tutto si blocca.
Oramai disperato (stavo per andare a cambiare la scheda madre!) aggiorno Avira che mi da il messaggio del virus rootkit, il famigerato BOO/Sinowal.E.
Trovo questa immensa guida, faccio partire Prevx che immediatamente trova il virus e riesco ad eliminarlo. Il computer si riprende. Esulto.....per poco :muro: .
Il computer in effetti si è ripreso ma a cadenza costante l'hard disk inizia a dare dei tichettii costanti, insomma capisco che qualcosa li dentro duole ancora :cry:.

Riscansione tutto con Avira aggiornato che mi ritrova lo stesso rootkit nell'altra partizione dell'HD principale D: (credo di comprendere dal log) e su entrambe le partizione del secondo HD sempre presente nel portatile H:, I: :)

Prevx, essendo la versione free lavora solo su C: e infatti dal log (che vi allego) non risulta nulla.

Per precisione Avira trova nel "record master di avvio" il virus in Hard Disk 1 (sarebbe?) e poi lo trova nei "record di avvio" in H: e I: avvisandomi che "il record non è stato scritto!"

Come da vostra indiczione sono ripartito con Prevx (che non mi ha trovato niente) e con Gmer (non capisco se ha trovato qualcosa):mc:

Prima di passare all fase 2 vi posto i log.
Ancora Grazie :) :) :)

Avira Log http://wikisend.com/download/485008/

Prevx Log http://wikisend.com/download/556748/

Gmer Log http://wikisend.com/download/933212/

Gmer e Prevx sono ok, passa alla SECONDA FASE

NB: per quanto concerne Norman aggiungi al controllo tutti i dischi

Ah ho capito e quindi secondo te da cosa potrebbe dipendere il problema?probabilmente già lo sai ma praticamente nn riesco ad entrare su msn xkè mi da l'errore di platform e mi rallenta anke internet...navigando ho riscontrato ke questi problemi erano dovuti al MBR ROOTKIT.
In pratica l'esecuzione del programma va in contrasto con un file chiamato ntdll.dll, e che in base a questo file sono risalito a questo scontro dovuto dal rootkit.Non ci capisco più niente uff...

I problemi che lamenti hanno poca attinenza con il Rootkit in questione, l'impossibilità ad accedere a MSN in merito a questa libreria di sistema ntdll.dll dipendono da altro.

I problemi che lamenti hanno poca attinenza con il Rootkit in questione, l'impossibilità ad accedere a MSN in merito a questa libreria di sistema ntdll.dll dipendono da altro.

va bene grazie comunque x l'aiuto...cercherò di rimediare in altro modo

il log è pulito
non so da dove avevi diagnosticato l'infezione...

evidentemente ho preso un abbaglio. su un sito ho letto che un'errore che ho trovato nel registro eventi (wlcomm.exe con ntdll.dll), oltre al rallentamento del pc e difficoltà nello spegnimento potevano essere dovuti a mbr rootkit.

Sono nella stessa situazione di Arcangelo_88 a cui ha appena risposto Chill-Out.
Idee???
Grazie comunque per l'aiuto!

evidentemente ho preso un abbaglio. su un sito ho letto che un'errore che ho trovato nel registro eventi (wlcomm.exe con ntdll.dll), oltre al rallentamento del pc e difficoltà nello spegnimento potevano essere dovuti a mbr rootkit.

Sono nella stessa situazione di Arcangelo_88 a cui ha appena risposto Chill-Out.
Idee???
Grazie comunque per l'aiuto!

ntdll.dll per esempio è relativa alla scheda video io chiederei nella sezione windows o schede video

eccomi, finalmente riesco a postare i log di Gmer e Prevx, come descritto nel primo passo della guida....

Gmer_log.txt (http://wikisend.com/download/177760/Gmer_log.txt)

Prevx_prima.txt (http://wikisend.com/download/461676/Prevx_prima.txt)
Prevx_dopo.txt (http://wikisend.com/download/876908/Prevx_dopo.txt)

questa è l'ultima schermata di Prevx.....devo comprare una licanza!??! :(
ditemi di no....
Prevx_shot.png (http://wikisend.com/download/712724/Prevx_shot.png)

Grazie per l'aiuto!

Gmer e Prevx sono ok, passa alla SECONDA FASE

NB: per quanto concerne Norman aggiungi al controllo tutti i dischi

Ok seconda fase eseguita, di seguito i log (speriamo bene)

log mbr http://wikisend.com/download/460038/

log Norman http://wikisend.com/download/502476/

Ancora Grazie :ave:

eccomi, finalmente riesco a postare i log di Gmer e Prevx, come descritto nel primo passo della guida....

Gmer_log.txt (http://wikisend.com/download/177760/Gmer_log.txt)

Prevx_prima.txt (http://wikisend.com/download/461676/Prevx_prima.txt)
Prevx_dopo.txt (http://wikisend.com/download/876908/Prevx_dopo.txt)

questa è l'ultima schermata di Prevx.....devo comprare una licanza!??! :(
ditemi di no....
Prevx_shot.png (http://wikisend.com/download/712724/Prevx_shot.png)

Grazie per l'aiuto!
ciao

prevx ha fatto il suo dovere per la parte inerente a mbr
passa alla terza fase e vediamo se cureit trova infette le altre voci rilevate da prevx

eccomi, finalmente riesco a postare i log di Gmer e Prevx, come descritto nel primo passo della guida....

Gmer_log.txt (http://wikisend.com/download/177760/Gmer_log.txt)

Prevx_prima.txt (http://wikisend.com/download/461676/Prevx_prima.txt)
Prevx_dopo.txt (http://wikisend.com/download/876908/Prevx_dopo.txt)

questa è l'ultima schermata di Prevx.....devo comprare una licanza!??! :(
ditemi di no....
Prevx_shot.png (http://wikisend.com/download/712724/Prevx_shot.png)

Grazie per l'aiuto!

ciao

prevx ha fatto il suo dovere per la parte inerente a mbr
passa alla terza fase e vediamo se cureit trova infette le altre voci rilevate da prevx

Segui il suggerimento dato da wjmat, mi raccomando utilizza il PC solo ed esclusivamente per portare a termine la procedura di disinfezione onde evitare di scaricare altro codice nocivo.

Ok seconda fase eseguita, di seguito i log (speriamo bene)

log mbr http://wikisend.com/download/460038/

log Norman http://wikisend.com/download/502476/

Ancora Grazie :ave:

Passa alla Terza Fase, attendiamo il log di CureIt per il controllo.

Ciao a tutti.
Anche i miei pc sono stati infettati, ma mi ritrovo con un problema che non riesco a risolvere. Ho ripulito il portatile seguendo le istruzioni della vostra guida (fantastica, aggiungo), e il processo è andato a buon fine al primo colpo.
Diverso il discorso per il pc fisso (winXP pro con licenza e cd di installazione disponibili)

Alla fase 1 mi ritrovo con gli stessi problemi segnalati al portatile da Gmer, mentre Prevx non trova il rootkit, e invece segnala un altro virus che non mi permette di ripulire:

- log gmer (http://www.mediafire.com/?5mmlnhjzyki)
- log prevx (http://www.mediafire.com/?1ihlogtqnhj)

Ho provato comunque ad eseguire la procedura di pulizia:

- log mbr (http://www.mediafire.com/?xzmzowni2ym)
- log norman cleaner (http://www.mediafire.com/?z1kjztz5mny)

Ma quando ho provato a fare la scansione di controllo, Gmer trova di nuovo il rootkit e CureIt individua altri file potenzialmente infetti, che però sono i file messi in quarantena da Prevx, o almeno così mi pare di capire.

- scansione di controllo gmer (http://www.mediafire.com/?zotuknzkdzq)
- log cureit (http://www.mediafire.com/?2etut25m4hl)

Ergo... che faccio?
Grazie infinite a chiunque mi darà lumi...

Grace

ntdll.dll per esempio è relativa alla scheda video io chiederei nella sezione windows o schede video

per non parlare della cartella helpassistant che riappare ad ogni riavvio anche se ho disabilitato assistenza e desktop remoto!
:muro:

Passa alla Terza Fase, attendiamo il log di CureIt per il controllo.

Allora ho lanciato CureIt, che come vedrai dal log semplificato mi ha trovato il virus nel master boot del secondo HD. Dopo la scansione non ho porvato ad eliminare il virus (con o senza riavvio) come chiesto da CureIt. Che faccio ?
Provo?

Grazie mille.

Log CureIt filtrato http://wikisend.com/download/565618/

domanda: se io ho collegato via USB il disco affetto da virus sul MBR.. in un altro PC

quindi non più a caldo sul portatile o sul pc... cosa devo fare?

domanda: se io ho collegato via USB il disco affetto da virus sul MBR.. in un altro PC

quindi non più a caldo sul portatile o sul pc... cosa devo fare?

ciao
Fai una scansione con Norman Sinowal Cleaner che trovi qui (http://download.norman.no/public/Norman_Sinowal_Cleaner.exe)
Lancialo -> Accetta le condizioni
Sotto scan area seleziona C:\*.* e clicca su Remove, idem per altre eventuali lettere, relative ad altre partizioni (ci interessa solo la scansione della MBR)
Clicca su Start scan e attendi la scansione
In caso trovi l'infezione riavvia il pc se richiesto
Al termine allega il log NFix_xxxxxx.txt che trovi sul desktop secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

ciao
Fai una scansione con Norman Sinowal Cleaner che trovi qui (http://download.norman.no/public/Norman_Sinowal_Cleaner.exe)
Lancialo -> Accetta le condizioni
Sotto scan area seleziona C:\*.* e clicca su Remove, idem per altre eventuali lettere, relative ad altre partizioni (ci interessa solo la scansione della MBR)
Clicca su Start scan e attendi la scansione
In caso trovi l'infezione riavvia il pc se richiesto
Al termine allega il log NFix_xxxxxx.txt che trovi sul desktop secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598)


però.. questo se ho il disco con windows sopra... acceso.



io ho il disco in mano...

Ciao a tutti.
Anche i miei pc sono stati infettati, ma mi ritrovo con un problema che non riesco a risolvere. Ho ripulito il portatile seguendo le istruzioni della vostra guida (fantastica, aggiungo), e il processo è andato a buon fine al primo colpo.
Diverso il discorso per il pc fisso (winXP pro con licenza e cd di installazione disponibili)

Alla fase 1 mi ritrovo con gli stessi problemi segnalati al portatile da Gmer, mentre Prevx non trova il rootkit, e invece segnala un altro virus che non mi permette di ripulire:

- log gmer (http://www.mediafire.com/?5mmlnhjzyki)
- log prevx (http://www.mediafire.com/?1ihlogtqnhj)

Ho provato comunque ad eseguire la procedura di pulizia:

- log mbr (http://www.mediafire.com/?xzmzowni2ym)
- log norman cleaner (http://www.mediafire.com/?z1kjztz5mny)

Ma quando ho provato a fare la scansione di controllo, Gmer trova di nuovo il rootkit e CureIt individua altri file potenzialmente infetti, che però sono i file messi in quarantena da Prevx, o almeno così mi pare di capire.

- scansione di controllo gmer (http://www.mediafire.com/?zotuknzkdzq)
- log cureit (http://www.mediafire.com/?2etut25m4hl)

Ergo... che faccio?
Grazie infinite a chiunque mi darà lumi...

Grace
ciao

se l'infezione è stata precedentemente rimossa il log di gmer rimarrà sempre sporco
cureit segnala solo parti di prevx quindi tutto ok

fai controllare su www.virustotal.com e su http://virscan.org/
il file che ti segnala prevx

Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollali nella discussione
Se ti verrà segnalato che il file è già stato controllato, fallo analizzare comunque perchè le firme virali dei vari motori di scansione potrebbero essere stati aggiornati.

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema (http://www.hwupgrade.it/forum/showpost.php?p=25063497&postcount=39)

però.. questo se ho il disco con windows sopra... acceso.
io ho il disco in mano...
se è esterno aggiungi l'indirizzo dell'unità

se è esterno aggiungi l'indirizzo dell'unità

ottimo..

però leggerà anche l'MBR ??


voglio dire.. se io aggiungo l'unità, si vedranno solo quelle visibili...
Qualche partizione invece può essere invisibile.. e l'MBR? come fa a leggerla....

ciao

se l'infezione è stata precedentemente rimossa il log di gmer rimarrà sempre sporco
cureit segnala solo parti di prevx quindi tutto ok

fai controllare su www.virustotal.com e su http://virscan.org/
il file che ti segnala prevx

Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollali nella discussione
Se ti verrà segnalato che il file è già stato controllato, fallo analizzare comunque perchè le firme virali dei vari motori di scansione potrebbero essere stati aggiornati.

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema (http://www.hwupgrade.it/forum/showpost.php?p=25063497&postcount=39)

Grazie infinite per la dritta.
Virus Total mi dà questo risultato (http://www.virustotal.com/analisis/30ff138913108f4534d7704b70b7d3274ba720bd5bd807c6cef0e9dc6be49e87-1257437779);

Virscan invece quest'altro (http://virscan.org/report/58513ede7842d4221c25c1818fb42e7f.html).

Suggerimenti? (Nel frattempo sto rimuovendo Avast e installando Avira sul portatile. Appena sistemato il fisso lo farò anche su quello).
Grazie ancora!

ma formattando un hd a basso livello della wd con il suo software apposito...e lo uso per clonarci(con ghost 11) dentro l'hd con questo virus helpassistant(su questo hd ho gia' usato combo,malwarebytes)...me lo porto con me l'mbr infettato???

Passa alla Terza Fase, attendiamo il log di CureIt per il controllo.

Allora ho lanciato CureIt, che come vedrai dal log semplificato mi ha trovato il virus nel master boot del secondo HD. Dopo la scansione non ho porvato ad eliminare il virus (con o senza riavvio) come chiesto da CureIt. Che faccio ?
Provo?

Grazie mille.

Log CureIt filtrato http://wikisend.com/download/565618/

Ciao a tutti,

innanzitutto grazie per la guida che sto cercando faticosamente di seguire (si impalla tutto), volevo chiedervi consiglio intanto, perchè temo mi ci vorranno giorni..

Innanzitutto vi elenco i problemi che mi ha dato il pc (portatile):

a) Crash di Mozilla Firefox e Internet Explorer;

b) Spegnimento non regolare (si bloccava su spegnimento in corso)

c) Non andava in stand-by

d) Mi indicava "spazio libero insufficiente" quando invece ci doveva essere almeno 1 Gb.

Andando un po' alla cieca, e cercando info su internet, ho letto che poteva trattarsi di un virus che aveva infettato il rundll32 e così ho disattivato alcune opzioni da msconfi nella sezione dell'avvio. Da quel momento si è spento regolarmente.

Con una scansione con avira antivir mi ha rilevato il virus BOO Sinowall.E e ho seguito una guida simile alla seconda parte della vostra, in cui alla fine mi dicevano di rimuovere il virus col fixMebroot della Symantec. Facendo quelle operazioni il pc è tornato a funzionare regolarmente, anche se il fix non aveva trovato nulla, ma da allora avira non ha detto più nulla..

Tuttavia ieri sera (dopo una settimana di normalità, in cui però non ho spento il pc ma l'ho sempre messo in standby) si sono ripresentati i soliti problemi, anzi, il tutto è iniziato con un riavvio anomalo automatico e da allora:
- Crash di mozilla
- A tratti spazio insufficiente su HD
- Pc parzialmente impallato
Stavolta standby regolare, e avira antivir non ha trovato nulla.

Siccome ho due sistemi operativi (uno XP dove è il problema) e l'altro vista, ho provato ad eseguire la scansione da Vista, ma non ha comunque rilevato nulla. Ho provato a far girare gmer da Vista, ma non ha trovato voci "rosse".

Sono poi riuscito (in verità senza problemi) a far girare gmer una prima volta da Xp senza trovare voci rosse da nessuna parte. Non ho pensato di salvare il log. Quando poi ho seguito la vostra guida però, gmer ci ha messo 3 ore a fare la scansione e al momento di salvare il log si è crashato tutto.

Altra ed ultima cosa: ho provato dapprimare ad usare cureit e per ben due volte crash e riavvio del sistema.

Insomma, mi sa che sono un caso davvero disperato..:(

In questo momento sto provando una scansione con Prevx dopo aver fallito quella con gmer..

Grazie a tutti della disponibilità!

Avira ha fatto giustizia del trojan (più altri dieci o dodici che Cureit, Prevx e gli altri programmi non avevano rilevato).
Grazie per le guide esaustive ed utilissime e un grazie particolare a vjmat per la disponibilità e la gentilezza!

Grace

Allora ho lanciato CureIt, che come vedrai dal log semplificato mi ha trovato il virus nel master boot del secondo HD. Dopo la scansione non ho porvato ad eliminare il virus (con o senza riavvio) come chiesto da CureIt. Che faccio ?
Provo?


Si, dopodichè configura Antivir come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 lo aggiorni, ripeti scansione completa ed alleghi il log.

Avira ha fatto giustizia del trojan (più altri dieci o dodici che Cureit, Prevx e gli altri programmi non avevano rilevato).
Grazie per le guide esaustive ed utilissime e un grazie particolare a vjmat per la disponibilità e la gentilezza!

Grace

Sicura di aver fatto scansione completa con CureIt?

Segui il suggerimento dato da wjmat, mi raccomando utilizza il PC solo ed esclusivamente per portare a termine la procedura di disinfezione onde evitare di scaricare altro codice nocivo.

ok!
grazie a wjmat e anche a te Chill-Out!!

Stasera faccio il controllo con CureIt, e poi vi posto il risultato!!
:ave: grazie per l'aiuto!

Ciao colleghi Rootkittati! :D

Ieri sera ho contratto uno o più virus navigando.
Di colpo ho sentito l'hard disk ravanare di brutto e una improvvisa finestrella di explorer con una fatale scritta "...updating" comparire e subito scomparire.
Poco dopo si è impallato tutto con un suono sinistro dall'hardware e ho dovuto resettare.
Al riavvio non funzionavano più Outlook express e IE, mentre Firefox andava a tratti ma poi si impallava e l'hard disk friggeva di continuo.
Fra un crash e l'altro riesco a scaricare e installare l'antivirus di Microsoft (Security Essential ) visto che ho deciso di mandare a quel paese quel cavolo di AVG che mai mi ha bloccato un virus.
L'antivirus di Microsoft mi trova ed elimina il Trojan Downloader Win32/Matcash.gen!A
Bene, mi dico.
Però il pc ha ancora problemi, outlook express funziona a strappi mentre explorer ancora no.
Inoltre c'è la fatidica cartella HelpAssistant in C:\Documents and settings.

Convinto anche e soprattutto dalle vostre splendide discussioni di avere imbarcato un MBR rootkit, scarico mbr.exe e lo avvio da modalità provvisoria.
Infatti, eccolo lì nel mbr.log (ve lo copio qui perché sono davvero corti, se non dovevo farlo lo stesso mi scuso e non lo farò più! :) ):

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
copy of MBR has been found in sector 0x02542D6C1
malicious code @ sector 0x02542D6C4 !
PE file found in sector at 0x02542D6DA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Eseguo il comando C:\mbr.exe -f sempre da modalità provvisoria e alla fine il log mi dice bene:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
copy of MBR has been found in sector 0x02542D6C1
malicious code @ sector 0x02542D6C4 !
PE file found in sector at 0x02542D6DA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

Riavvio e il pc funziona normalmente, tutto è tornato ad andare regolarmente. Sto facendo girare il Normal SinowalMBR cleaner (da 1 ora) per darvi anche questo suo log.
Ma posso già dirvi che nei bootsectors non ha trovato nulla.

Se anche questo programma non trova nulla posso considerarmi pulito anche se la cartella HelpAssistant è lì ancora in Documents and settings?
Devo comunque eliminarla, vero?
E lo faccio manualmente da modalità provvisoria o anche da windows normale?

Grazie, siete grandi!

Sarebbe opportuno allegare i log della PRIMAFASE su uno dei Server Remoti indicati in Guida

PS: per quanto concerne HelpAssistant verifica prima in Pannello di controllo - Account utente se presente l'account HelpAssistant

Sarebbe opportuno allegare i log della PRIMAFASE su uno dei Server Remoti indicati in Guida

PS: per quanto concerne HelpAssistant verifica prima in Pannello di controllo - Account utente se presente l'account HelpAssistant

In pannello di controllo - account utente ho soltanto il mio normale e poi uno chiamato Guest, con sotto scritto Account Guest non attivato.
Non c'è altro.
Significa che posso quindi cancellare la cartella intera HelpAssistant?


Per quanto riguarda i log della prima fase, purtroppo non li ho perchè Gmer mi crashava durante lo scan, e PrevX3.0 non sono riuscito a scaricarlo perchè non mi funzionava più internet.
Sono quindi dovuto passare direttamente a mbr.exe, che ero riuscito a scaricare.
Ecco i log di Normal SinowalMBR cleaner http://wikisend.com/download/605846/NFix_2009-11-05_20-10-08.txt
e di Prevx 3.0 http://wikisend.com/download/715858/Prevx 3.0.txt
fatti entrambi dopo la disinfestazione.

Posso considerarmi a posto?
(nota: Prevx 3.0 ha trovato come infetto texmod, ma è un falso allarme, è un programmino per modificare textures nei giochi che uso da 1 anno e che è notoriamente rilevato sospetto da molti antiv. ma è sano)
E posso/devo cancellare la cartella HelpAssistant?

Grazie!

Sicura di aver fatto scansione completa con CureIt?

Sì, ho fatto sia la scansione superficiale, sia quella completa, e CureIt non rileva più nulla! E' il caso che faccia qualche altro test o sono a posto?

In pannello di controllo - account utente ho soltanto il mio normale e poi uno chiamato Guest, con sotto scritto Account Guest non attivato.
Non c'è altro.
Significa che posso quindi cancellare la cartella intera HelpAssistant?


Per quanto riguarda i log della prima fase, purtroppo non li ho perchè Gmer mi crashava durante lo scan, e PrevX3.0 non sono riuscito a scaricarlo perchè non mi funzionava più internet.
Sono quindi dovuto passare direttamente a mbr.exe, che ero riuscito a scaricare.
Ecco i log di Normal SinowalMBR cleaner http://wikisend.com/download/605846/NFix_2009-11-05_20-10-08.txt
e di Prevx 3.0 http://wikisend.com/download/715858/Prevx 3.0.txt
fatti entrambi dopo la disinfestazione.

Posso considerarmi a posto?
(nota: Prevx 3.0 ha trovato come infetto texmod, ma è un falso allarme, è un programmino per modificare textures nei giochi che uso da 1 anno e che è notoriamente rilevato sospetto da molti antiv. ma è sano)
E posso/devo cancellare la cartella HelpAssistant?

Grazie!

Per scrupolo fai scansione con Cureit ed allega il log, mentre per HelpAssistant procedi così:

Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer

Utenti - tasto dx del mouse su HelpAssistant e disabilitalo

Sì, ho fatto sia la scansione superficiale, sia quella completa, e CureIt non rileva più nulla! E' il caso che faccia qualche altro test o sono a posto?

Dal log non sembrava, comunque direi che siamo ok :)

C:\>mbr.exe -f
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x85b65b00
NDIS: Intel(R) PRO/100 VE Network Connection -> SendCompleteHandler -> 0x85ba220
0
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

C:\>

ho provato con mbr.exe -f

ma non capisco se è andato a buon fine...

Norman non trova niente...
PrevX trova ma non corregge...

ma formattando un hd a basso livello della wd con il suo software apposito...e lo uso per clonarci(con ghost 11) dentro l'hd con questo virus helpassistant(su questo hd ho gia' usato combo,malwarebytes)...me lo porto con me l'mbr infettato???

ciao

con la formattazione a basso livello mbr sparisce

Avira ha fatto giustizia del trojan (più altri dieci o dodici che Cureit, Prevx e gli altri programmi non avevano rilevato).
Grazie per le guide esaustive ed utilissime e un grazie particolare a vjmat per la disponibilità e la gentilezza!

Grace

di nulla
ciao

C:\>mbr.exe -f
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x85b65b00
NDIS: Intel(R) PRO/100 VE Network Connection -> SendCompleteHandler -> 0x85ba220
0
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

C:\>

ho provato con mbr.exe -f

ma non capisco se è andato a buon fine...

Norman non trova niente...
PrevX trova ma non corregge...

Sembrerebbe di si, allega il log di Gmer e Prevx esattamente come indicato nella PRIMA FASE

C:\>mbr.exe -f
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x85b65b00
NDIS: Intel(R) PRO/100 VE Network Connection -> SendCompleteHandler -> 0x85ba220
0
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

C:\>

ho provato con mbr.exe -f

ma non capisco se è andato a buon fine...

Norman non trova niente...
PrevX trova ma non corregge...
carica tutti i log

Ciao mi chiamo Andrea e sono nuovo, ho seguito le prima fase come hai detto e ti allego i link dei log che ho uplodato su wikisend

GMER
http://wikisend.com/download/496756/log gmer.txt

PREVX
http://wikisend.com/download/564464/log prevx3.log

piccolo intoppo però...in prevx non ho potuto fare il "freecleanup" perchè mi richiedeva sempre la licenza :confused: e in più la stringa estratta per il file MBR non mi compare?! ma io so che è lui il virus del mio computer...se ti può essere d'aiuto qualche giorno fa ho cancellato un'altro virus "della stessa razza" che è il csrcs.exe ...

bho spero mi puoi aiutare che il pc mi sta diventando sempre più lento :help:

Ciao mi chiamo Andrea e sono nuovo, ho seguito le prima fase come hai detto e ti allego i link dei log che ho uplodato su wikisend

GMER
http://wikisend.com/download/496756/log gmer.txt

PREVX
http://wikisend.com/download/564464/log prevx3.log

piccolo intoppo però...in prevx non ho potuto fare il "freecleanup" perchè mi richiedeva sempre la licenza :confused: e in più la stringa estratta per il file MBR non mi compare?! ma io so che è lui il virus del mio computer...se ti può essere d'aiuto qualche giorno fa ho cancellato un'altro virus "della stessa razza" che è il csrcs.exe ...

bho spero mi puoi aiutare che il pc mi sta diventando sempre più lento :help:
ciao

procedi con 2 e 3 fase

Si, dopodichè configura Antivir come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 lo aggiorni, ripeti scansione completa ed alleghi il log.

Ciao,
credo che Cure It abbia davvero risolto il casotto , ti allego il log di avira per scrupolo.

http://wikisend.com/download/594236/


Grazie.

carica tutti i log


gmer

usando mbr.exe,il fixmbr di xp,e altre utility...niente da fare...faccio mbr.exe e mi vede sempre l'mbr infetta...ma helpassistant pare sparito...ho gia' usato combofix,malwarebytes,cureit,sinowalmbr,prevx....il pc pare andare bene...ma l'mbr e' davvero infetta come dice???

gmer

[CODE]GMER 1.0.15.15077 [gmer.exe] - http://www.gmer.net
Rootkit scan 2009-11-06 12:36:47
Windows 5.1.2600 Service Pack 3


non si incollano, grazie :)

usando mbr.exe,il fixmbr di xp,e altre utility...niente da fare...faccio mbr.exe e mi vede sempre l'mbr infetta...ma helpassistant pare sparito...ho gia' usato combofix,malwarebytes,cureit,sinowalmbr,prevx....il pc pare andare bene...ma l'mbr e' davvero infetta come dice???

se non vediamo log secondo te cosa possiamo dirti? :)

Ciao,
credo che Cure It abbia davvero risolto il casotto , ti allego il log di avira per scrupolo.

http://wikisend.com/download/594236/


Grazie.

Dire di si, configura Avira come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 e segui i seguenti suggerimenti indicati a piè Guida http://www.hwupgrade.it/forum/showpost.php?p=21854177&postcount=1

Ciao

salve a tutti..e da 4 giorni ke sono infetto da non so cosa..ma di sicuro è molto resistente!
me ne sono accorto xke all inizio mi dava errore su MSN ..errore ntdll.dll
poi anke emule mi dava errore..insomma piano piano nn va piu niente..e navigo anke molto lentamente..
forse ho questo MBR..ho provato con motli software ma niente..
Nod32 nn mi rileva niente..
Prevx mi trova 2 cose infette..tra cui un certo mhkj nella cartella help assistant..la quale se la cancella si ricrea ogni volta..

ho provato anke con cureit..ma appena avvio la scansione il pc si riavvia..sia in modalita normale ke provvisoria..
inoltre con prevx faccio la scansione e questo e il file log
Prevx Scan Log - Version v3.0.5.6
Log Generated: 6/11/2009 13:21, Type: 0,1
Windows XP Professional Service Pack 2 (Build 2600) 32bit|1040
Hostname: beppe-7ad967c71
Some non-malicious files are not included in this log.
Heuristics Settings: Age: 1, Pop: 1, Heu: 2 (Dir: 1)
Last Scan: Fri 2009-11-06 13:20:34 ora solare Europa occidentale. Number of Scans: 15. Last Scan Duration: 3 minutes.

insomma datemi una mano xke nn so piu ke fare..mi hanno dettto ke formattare nn serve

salve a tutti..e da 4 giorni ke sono infetto da non so cosa..ma di sicuro è molto resistente!
me ne sono accorto xke all inizio mi dava errore su MSN ..errore ntdll.dll
poi anke emule mi dava errore..insomma piano piano nn va piu niente..e navigo anke molto lentamente..
forse ho questo MBR..ho provato con motli software ma niente..
Nod32 nn mi rileva niente..
Prevx mi trova 2 cose infette..tra cui un certo mhkj nella cartella help assistant..la quale se la cancella si ricrea ogni volta..

ho provato anke con cureit..ma appena avvio la scansione il pc si riavvia..sia in modalita normale ke provvisoria..
inoltre con prevx faccio la scansione e questo e il file log
Prevx Scan Log - Version v3.0.5.6
Log Generated: 6/11/2009 13:21, Type: 0,1
Windows XP Professional Service Pack 2 (Build 2600) 32bit|1040
Hostname: beppe-7ad967c71
Some non-malicious files are not included in this log.
Heuristics Settings: Age: 1, Pop: 1, Heu: 2 (Dir: 1)
Last Scan: Fri 2009-11-06 13:20:34 ora solare Europa occidentale. Number of Scans: 15. Last Scan Duration: 3 minutes.

insomma datemi una mano xke nn so piu ke fare..mi hanno dettto ke formattare nn serve

Ciao leggi attentamente la guida in prima pagina ed allega i log indicati nella PRIMA FASE, thx.

una domanda visto che anche il pc che sto controllando io aveva lo stesso problema con l'hd
non è che in document and settings hai una cartella helpassistant?

ce l'avevo prima di effettuare il trattamento, cancellavo i file poi riavviando mi duplicava nuovamente i documenti....

Ciao leggi attentamente la guida in prima pagina ed allega i log indicati nella PRIMA FASE, thx.

ok..ho eseguito la fase preliminare..ora sto facendo la scansione con Gmer..appena finisce allego il file