Salve a tutti, sono nuovo del forum. Ieri il NOD32 mi ha segnalato un problema e diceva di sssere riuscito a togliere l'infezione. Allora ho fatto una scansione completa e mi ha rilevato 5 virus, è riuscito però a cancellarne solo 4. Putroppo non ho più il log di quella scansione, riguardava un certo admon.exe. Poi d'improvviso il computer si è spento (chiudendosi regolarmente,come se lo avessi spento io) e si è riavviato,al riavvio mi è apparsa una schermata del bios che non mi era mai apparsa dove una scritta in inglese diceva che ho preso un virus nell'hard disk e dovevo introdurre un floppy disk per tentare di toglierlo. Io naturalmente ho ignorato le sue istruzioni e ho continuato il boot normalmente. Le successive scansioni con NOD32 e SpyBot anche in modalità provvisoria non hanno riscontrato nulla. Il pc non dà particolari problemi anche se ho preferito non connetterlo ad internet avendo paura che l'infezioe facesse altri danni. Ho cominciato a seguire questa guida facendo la scansione con Gmer, ho bisogno di qualcuno che mi controlli i file di log, come indicato alla fine della Fase 1.
Ringrazio tutti in anticipo e scusate per la lunghezza del post!

ciao

comincia a caricare i log secordo le modalità previste

Salve a tutti, sono nuovo del forum. Ieri il NOD32 mi ha segnalato un problema e diceva di sssere riuscito a togliere l'infezione. Allora ho fatto una scansione completa e mi ha rilevato 5 virus, è riuscito però a cancellarne solo 4. Putroppo non ho più il log di quella scansione, riguardava un certo admon.exe. Poi d'improvviso il computer si è spento (chiudendosi regolarmente,come se lo avessi spento io) e si è riavviato,al riavvio mi è apparsa una schermata del bios che non mi era mai apparsa dove una scritta in inglese diceva che ho preso un virus nell'hard disk e dovevo introdurre un floppy disk per tentare di toglierlo. Io naturalmente ho ignorato le sue istruzioni e ho continuato il boot normalmente. Le successive scansioni con NOD32 e SpyBot anche in modalità provvisoria non hanno riscontrato nulla. Il pc non dà particolari problemi anche se ho preferito non connetterlo ad internet avendo paura che l'infezioe facesse altri danni. Ho cominciato a seguire questa guida facendo la scansione con Gmer, ho bisogno di qualcuno che mi controlli i file di log, come indicato alla fine della Fase 1.
Ringrazio tutti in anticipo e scusate per la lunghezza del post!

ciao

comincia a caricare i log secondo le modalità previste

salve, da stamattina ho un problema con windows live messenger.
praticamente OGNI VOLTA che provo ad avviare il programma mi esce una finestra di errore con scritto "Si è verificato un errore in Windows Live Communications Platform. L'applicazione verrà chiusa." e nei dati contenuti nella segnalazione

AppName: wlcomm.exe AppVer: 14.0.8064.206 ModName: ntdll.dll
ModVer: 5.1.2600.3520 Offset: 00036f9b

la cosa succede solo con live messenger, e all'inizio mi facva almeno connettere e dopo qualche minuti crashava. poi ha cominciato a crashare solo al tentativo di connessione.

ora io pensavo fosse una cosa risolvibile con la reinstallazione del programma. però prima di provare a reinstallare tutto sono andato ad informarmi un pò su internet, e ne esce fuori che probabilmente potrei essere infettato da sto MBR rootkit. intanto che faccio le scansioni e tutte le procedure descritte nella discussione, pensate che, ad occhio e croce, sia possibile una cosa del genere? :D

appena finiscono le scansioni vi posto anche i vari log.

Per recuperare i file di log ho doovuto spegnere il computer in quanto Prevx mi diceva che per rimuovere definitivamente l'infezione aveva bisogno di simulare un crash del sistema(l'ha chiamato bluescreen o qualcosa del genere). Ho cliccato su ok ed è sembrato che il computer si riavviasse ma si è fermato su una schermata blu appunto che diceva che windows era stato arrestato per un problema ad un driver che aveva sovraccaricato la memoria,e che se era la prima volta che ci trovavamo davanti a questa schermata potevamo riavviare, il fatto che era completamente bloccato quindi ho dovuto spegnerlo. Alla riaccensione prevx ha attivato una nuova scansione, inserisco questa come log di post disinfezione?

Ho provato a caricare i file di log direttamente dal computer infetto dopo che prevx indicava cleanup completata con successo, ma mentre cercavo di collegarmi al forum il sistema è andato nuovamente in schermata blu ma questa volta diceva IRQL_NOT_LESS_OR_EQUAL e poi le solite cose,naturalmente era bloccato e quindi ho dovuto rispegnere il computer. All'accensione il rootkit si è rifatto vivo con la solita modalità prima dell'avvio di windows, virus sull'hard disk, inserisci il floppy ecc. Ho ignorato e trasferito i file di log su un altro computer, ecco il link log gmer prevx.zip (http://wikisend.com/download/933082/log gmer prevx.zip)
In questo zip sono racchiusi il log di gmer e quelli di prevx pre e post disinfezione. Grazie

Ho provato a caricare i file di log direttamente dal computer infetto dopo che prevx indicava cleanup completata con successo, ma mentre cercavo di collegarmi al forum il sistema è andato nuovamente in schermata blu ma questa volta diceva IRQL_NOT_LESS_OR_EQUAL e poi le solite cose,naturalmente era bloccato e quindi ho dovuto rispegnere il computer. All'accensione il rootkit si è rifatto vivo con la solita modalità prima dell'avvio di windows, virus sull'hard disk, inserisci il floppy ecc. Ho ignorato e trasferito i file di log su un altro computer, ecco il link log gmer prevx.zip (http://wikisend.com/download/933082/log gmer prevx.zip)
In questo zip sono racchiusi il log di gmer e quelli di prevx pre e post disinfezione. Grazie

non zippati, grazie

Scusami li avevo zippati solo perchè altrimenti dovevo darti tre link, in quanto l'archiviazione di file multipli non mi è riuscita. Il file di log di gmer è in allegato al post gli altri due link sono per prevx pre-disinfezione:
log prevx pre-disinfezione.log (http://wikisend.com/download/545862/log prevx pre-disinfezione.log)
e per prevx post-disinfezione:
log prevx post-disinfezione.log (http://wikisend.com/download/621654/log prevx post-disinfezione.log)
Grazie

Scusami li avevo zippati solo perchè altrimenti dovevo darti tre link, in quanto l'archiviazione di file multipli non mi è riuscita. Il file di log di gmer è in allegato al post gli altri due link sono per prevx pre-disinfezione:
log prevx pre-disinfezione.log (http://wikisend.com/download/545862/log prevx pre-disinfezione.log)
e per prevx post-disinfezione:
log prevx post-disinfezione.log (http://wikisend.com/download/621654/log prevx post-disinfezione.log)
Grazie

fai una nuova scansione con prevx e carica un nuovo log

Ho fatto di nuovo la scansione, ecco il link del log
log prevx2.log (http://wikisend.com/download/461352/log prevx2.log)
Grazie per l'aiuto

Ho fatto di nuovo la scansione, ecco il link del log
log prevx2.log (http://wikisend.com/download/461352/log prevx2.log)
Grazie per l'aiuto
procedi con la fase successiva

Ho eseguito mbr.exe in modalità provvisoria, si vede per un istante una finestra del prompt dei comandi con scritto qualcosa e poi niente,da dove recupero il file di log?

Ho trovato un file che sembrava di log in c: ovvero mbr.log ma ho provato a caricarlo sul forum e mi dice invalid file ora provo con wikisend.
Poi ho trovato anche un file .DAT che non allego, fammi sapere se può servire.

mbr.log (http://wikisend.com/download/505386/mbr.log)
ecco il link per mbr.log

http://www.mediafire.com/file/uwn2jmjyig4/gmer.txt
http://www.mediafire.com/file/k3mhyqkyk1l/Immagine.JPG
http://www.mediafire.com/file/w2yutztmytt/prevx- pre rimozione.log
http://www.mediafire.com/file/yimzznziy1j/prevx- post rimozione.log

ho seguito la prima parte per rimuovere sto maledetto virus e questi sono i risultati.

ditemi voi se devo procedere oltre.

p.s. ho anche un altro virus a quanto pare che però non ho potuto eliminare con prevx e quindi devo vedere come fare :\

http://www.mediafire.com/file/uwn2jmjyig4/gmer.txt
http://www.mediafire.com/file/k3mhyqkyk1l/Immagine.JPG
http://www.mediafire.com/file/w2yutztmytt/prevx- pre rimozione.log
http://www.mediafire.com/file/yimzznziy1j/prevx- post rimozione.log

ho seguito la prima parte per rimuovere sto maledetto virus e questi sono i risultati.

ditemi voi se devo procedere oltre.

p.s. ho anche un altro virus a quanto pare che però non ho potuto eliminare con prevx e quindi devo vedere come fare :\

Procedi con la fase successiva

Ho eseguito mbr.exe in modalità provvisoria, si vede per un istante una finestra del prompt dei comandi con scritto qualcosa e poi niente,da dove recupero il file di log?

Ho trovato un file che sembrava di log in c: ovvero mbr.log ma ho provato a caricarlo sul forum e mi dice invalid file ora provo con wikisend.
Poi ho trovato anche un file .DAT che non allego, fammi sapere se può servire.

mbr.log (http://wikisend.com/download/505386/mbr.log)
ecco il link per mbr.log

La Seconda Fase prevede anche il log di Norman SinowalMBR Cleaner, producilo dopodichè attendi pazientemente che qualcuno che presta assistenza risponda, grazie.

Ecco il log di Normal_Sinowal
NFix_2009-11-23_18-28-53.log (http://wikisend.com/download/465534/NFix_2009-11-23_18-28-53.log)
intanto io sto procedendo sempre in modalità provvisoria, avvisatemi se devo passare a quella consueta. Grazie ancora

Ecco il log di Normal_Sinowal
NFix_2009-11-23_18-28-53.log (http://wikisend.com/download/465534/NFix_2009-11-23_18-28-53.log)
intanto io sto procedendo sempre in modalità provvisoria, avvisatemi se devo passare a quella consueta. Grazie ancora

passa alla 3° fase

log AVIRA

AVSCAN-20091123-111228-AD23DD61.txt (http://wikisend.com/download/440760/AVSCAN-20091123-111228-AD23DD61.txt)

LOG norman sinowalmbr cleaner
NFix_2009-11-05_20-36-44.log (http://wikisend.com/download/960834/NFix_2009-11-05_20-36-44.log)

http://www.mediafire.com/file/mnymxytruz2/mbr.log
http://www.mediafire.com/file/jeziunoz5tx/NFix.log

questi i log della seconda fase.

a proposito: ma la scansione con norman sinowal dovevo farla sempre in modalità provvisoria?
xke mentre quella con mbr l'ho fatto in modalità provvisoria, la seconda l'ho fatta in modalità normale.

Salve a tutti.
Purtroppo il mio NOD 32 ha rilevato il famigerato mebroot.mbr.
Premetto che è la prima volta che mi trovo in una situazione simile.
Ho scaricato tutti i files che sono indicati nella guida.
Devo dire che però il GMEr per la rilevazione non mi funziona.
Allora ho scansionato con Prevx il quale ha rilevato 8 files infetti, ma non li ho eliminati (DI SEGUITO RIPORTO I LOGS).
Poi in modalità provvisoria ho eseguito il comando C.\mbr.exe -f, ma non mi sembra abbia fatto nulla. Idem per il Norman SinowalMBR Cleaner.
Tant'è che con il CUREIT mi si rileva un file che sembra avere a che fare con il virus troiano mbr (di seguito allego anche il log di CUREIT).

Devo dire che prime di giungere al vostro forum ho fatto prove con altre operazioni; in particolare volevo segnalare che il tool FixMebroot.exe che ho visto suggerito su altro forum non mi rileva alcun mbr trojan.

Ad ogni modo volevo chiedere una cosa: Il DR WEB CUREIT mi sembra l'unico programma che rileva effettivamente qualcosa. Posso fargli curare il file infetto(tramite riavvio, come pretende il programma) senza spostarlo prima in quarantena?
Ed inoltre: che significa qualdo mi dice che dovrà scrivere il file di boot???

Aspetto speranzoso vostre risposte.
Intanto però per esigenze devo stare on line: è pericoloso? Il pc sembra andare come sempre: da che ci si accorge che il trojan sta avendo effetto???
Ciao e a presto.

Ecco i rispettivi logs

Scusate se ho impiegato tanto tempo ma la scansione completa con Dr. web è davvero onerosa, questo è il file di log filtratro
cureit filtrato.txt (http://wikisend.com/download/494660/cureit filtrato.txt)
Grazie ancora

Scusate se ho impiegato tanto tempo ma la scansione completa con Dr. web è davvero onerosa, questo è il file di log filtratro
cureit filtrato.txt (http://wikisend.com/download/494660/cureit filtrato.txt)
Grazie ancora

dei file segnalati da cureit sembra abbia fatto giusto
il file di office andava lasciato mentre i restanti erano le quarantene di spybot e node quindi era indifferente la scelta

passa ai consigli finali

Ecco i rispettivi logs

mbr.log (http://wikisend.com/download/447736/mbr.log)

log di Prevx.log (http://wikisend.com/download/524066/log di Prevx.log)


CureIt.log (http://wikisend.com/download/475522/CureIt.log)

ci posti su www.imageshack.com la schemata di cureit di quando ti propone la rimozione

fai controllare i files segnalati da prevx su www.virustotal.com e su http://virscan.org/

Una volta sui siti clicca su sfoglia -> cerca il file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollali nella discussione
Se ti verrà segnalato che il file è già stato controllato, fallo analizzare comunque perchè le firme virali dei vari motori di scansione potrebbero essere stati aggiornati.

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema (http://www.hwupgrade.it/forum/showpost.php?p=25063497&postcount=39)

a proposito: ma la scansione con norman sinowal dovevo farla sempre in modalità provvisoria?


No, modalità normale, non c'è scritto di farla in provvisoria, passa alla fase successiva.

log AVIRA

AVSCAN-20091123-111228-AD23DD61.txt (http://wikisend.com/download/440760/AVSCAN-20091123-111228-AD23DD61.txt)

LOG norman sinowalmbr cleaner
NFix_2009-11-05_20-36-44.log (http://wikisend.com/download/960834/NFix_2009-11-05_20-36-44.log)

Non hai disabilitato il Ripristino configurazione sistema così come indicato in Guida e dal momento che non riesci ad accedere alla modalità provvisoria e CureIt sembra non funzionarere, l'unica soluzione è la seguente:

* Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS
* Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY
* Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive
* A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows
* Premi F10 per confermare ed uscire
* Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
* Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
* Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, 1) X:\Windows quindi premere 1 e confermare con OK
* Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.
* Al prompt dei comandi digita FIXMBR e clicca su Y per confermare
* Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows

Ad ogni modo volevo chiedere una cosa: Il DR WEB CUREIT mi sembra l'unico programma che rileva effettivamente qualcosa. Posso fargli curare il file infetto(tramite riavvio, come pretende il programma) senza spostarlo prima in quarantena?
Ed inoltre: che significa qualdo mi dice che dovrà scrivere il file di boot???



Dire che c'è poco da scegliere, ripeti scansione completa con DrWeb CureIt selezionando sposta incurabile e rispondendo SI alla seguente domanda:

Settore di avvio infetto - riscrivo settore di avvio standard al riavvio

Ripristino configurazione di sistema l'ho disattivata ma poi si è riattivata!

Faccio come da guida che hai postato. Grazie per l'aiuto!!!

Il comando completo nel promt dei comandi è C:\FIXMBR?

Il comando completo nel promt dei comandi è C:\FIXMBR?

Al prompt dei comandi digita FIXMBR e clicca su Y per confermare

Salve a tutti, scrivo qua per porvi il mio problema; all'avvio del computer mi appare questa scritta "Trend chip away virus has detected a boot virus on your hard disk! Press <enter> for more information (raccomanded) or <C> to continue booting.

Girando per la rete ho trovato la guida che è nella prima pagina di questa discussione e ho scaricato tutti i programmi che servivano e ho iniziato il lavoro seguendo pari passo la fase preliminare e la prima fase; ora allego qua i link con i log che ho creato dopo l'utilizzo dei programmi:

Log di Gmer:
http://wikisend.com/download/448798/Log gmer.txt

Log di PrevX pre-rimozione:
http://wikisend.com/download/935594/Log PrevX 3.0 pre-rimozione.txt

Log di PrevX post-rimozione:
http://wikisend.com/download/616694/Log PrevX 3.0 post-rimozione.txt

Ci tengo a sottolineare che dopo la rimozione con PrevX 3.0 la schermata non si è piu presentata! Cosa devo fare a questo punto? devo andare avanti con la seconda fase oppure no? Aspetto risposte e spero di risolvere questo problema!

P.S. il computer infettato non è quello in firma ma bensi questo:
CPU: Intel pentium 4 2.60Ghz
Scheda Madre: Asus P4PE-X/TE
RAM: Kingstone 512Mb 200Mhz
Scheda video: Ati Radeon 9000 Series 128Mb

Ci tengo a sottolineare che dopo la rimozione con PrevX 3.0 la schermata non si è piu presentata! Cosa devo fare a questo punto? devo andare avanti con la seconda fase oppure no? Aspetto risposte e spero di risolvere questo problema!


Ciao, procedi con la fase successiva.

ho settato il bios come da guida, quando cerco di avviare il cd di windows viene il messaggio NTLDR mancante press ctrl+alt+canc per riavviare.

ragazzi....purtroppo sono di nuovo infetta da mbr!!
L'ho riconoscuto subito dalla cartella HelpAssistant presenti tra gli Utenti del sistema....!!
Da quando avevo affattuato l'ultima pulizia, ho navigato solo in 3 siti: quello dell tim e due forum (uno di fotorgafia digitale e uno sul matrimonio).
Non uso progammi di chat, e non mi "procuro file multimediali protetti da copyright" (non con questo pc :D )

E' possibile che il rootkit venga da uno dei siti visitati?
Come faccio a scorprilo, per evitarlo in seguito??
Cosa devo installare oltre a Firewall e antivirus, per non "beccare" questi maledetti rootkit???

Il mio problema è che ora non riesco più ad avviare la connessione internet...cioè quando utilizzo l'icona della connessione di alice non mi appare più la finestra che mi chiede user e password.
Succede sia con l'icona in "pannello di controllo --> connessioni di rete" che con l'icona che ho sul desktop, che con quella in Start-->programmi
Prevx quindi è fuori uso, a meno che non si risca ad avviare la connessione di Alice da riga di comando...... (voi sapete come fare?)

Adesso scarico Gmer aggiornato, e posto il log!
Che nervoso! Avevo appena debellato l'altro....!

ho settato il bios come da guida, quando cerco di avviare il cd di windows viene il messaggio NTLDR mancante press ctrl+alt+canc per riavviare.

Devi accedere alla console di riprsitino esattamente come indicato.

http://www.mediafire.com/file/mjgyighi2mt/cureit filtrato.txt
questo è il log di cure it filtrato (terza sezione)

http://www.mediafire.com/file/d5iaj5xym3m/Immagine.JPG
e questa un'immagine sempre della scansione di cure it (per ogni evenienza insomma)

i file infetti che mi ha trovato e che potete vedere anche dall'immagine, non me li ha fatti cancellare, solo spostare non so dove.

vi ricordo poi che prevx mi aveva anche trovato un altro file infetto chiamato "vfind.exe" che non è stato capace di eliminare perchè diceva che era necessaria la licenza (e che tra l'altro invece cure it non ha trovato, mi pare)

quindi ricapitolando, ero partito con un infezione da mbr rootkit (che sono riuscito a risolvere dopo la scansione con prevx che lo ha eliminato), e mi ritrovo con queste altre infezioni. come procedo?

grazia per gli aiuti.

http://www.mediafire.com/file/mjgyighi2mt/cureit filtrato.txt
questo è il log di cure it filtrato (terza sezione)

http://www.mediafire.com/file/d5iaj5xym3m/Immagine.JPG
e questa un'immagine sempre della scansione di cure it (per ogni evenienza insomma)

i file infetti che mi ha trovato e che potete vedere anche dall'immagine, non me li ha fatti cancellare, solo spostare non so dove.

vi ricordo poi che prevx mi aveva anche trovato un altro file infetto chiamato "vfind.exe" che non è stato capace di eliminare perchè diceva che era necessaria la licenza (e che tra l'altro invece cure it non ha trovato, mi pare)

quindi ricapitolando, ero partito con un infezione da mbr rootkit (che sono riuscito a risolvere dopo la scansione con prevx che lo ha eliminato), e mi ritrovo con queste altre infezioni. come procedo?

grazia per gli aiuti.

Trattasi di file infetti all'interno della quarantena del Nod32, non ho capito perchè ne hai spostati solo 2, comunque ha poca importanza.

Allega nuovo log di Prevx

Trattasi di file infetti all'interno della quarantena del Nod32, non ho capito perchè ne hai spostati solo 2, comunque ha poca importanza.

Allega nuovo log di Prevx

ne ho spostati solo due perchè solo a due durante la scansine mi è uscita la finestra per dirmi di doverli spostare. gli altri invece non mi ha dato possibilità di fare altro, ne durante ne dopo la scansione, come si vede anche dalle foto.

questo è il log di prevx e la foto
http://www.mediafire.com/file/ytmokbck0ew/prevx.log
http://www.mediafire.com/file/nqjg3hdjwkn/Immagine.JPG

tra l'altro andando a cercare su internet per informarmi sulla natura di questo elemento riportato dalla scansione di prevx, non trovo nulla a riguardo di possibili virus o maleware...che sia un falso positivo?

ne ho spostati solo due perchè solo a due durante la scansine mi è uscita la finestra per dirmi di doverli spostare. gli altri invece non mi ha dato possibilità di fare altro, ne durante ne dopo la scansione, come si vede anche dalle foto.

questo è il log di prevx e la foto
http://www.mediafire.com/file/ytmokbck0ew/prevx.log
http://www.mediafire.com/file/nqjg3hdjwkn/Immagine.JPG

tra l'altro andando a cercare su internet per informarmi sulla natura di questo elemento riportato dalla scansione di prevx, non trovo nulla a riguardo di possibili virus o maleware...che sia un falso positivo?

Abilita la visualizzazione dei files nascosti

Clicca su una cartella qualsiasi Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta su Visualizza cartelle e file nascosti - Togli la spunta da nascondi files protetti di sistema - Applica - OK

e controlla su http://virscan.org/ e http://www.virustotal.com/it/ il seguenti file:

vfind.exe che trovi in c:\windows\

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione

Abilita la visualizzazione dei files nascosti

e controlla su http://virscan.org/ e http://www.virustotal.com/it/ il seguenti file:

vfind.exe che trovi in c:\windows\

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione

http://virscan.org/report/e8541b64f8b1bb1cbd8e955aa9dfd4d2.html

http://www.virustotal.com/it/analisis/6dedb5cb8ac3cd11f1822849c036743617703c8d57e0597503bdefe541bca871-1257472408

erano questi due link ke ti servivano giusto?

http://virscan.org/report/e8541b64f8b1bb1cbd8e955aa9dfd4d2.html

http://www.virustotal.com/it/analisis/6dedb5cb8ac3cd11f1822849c036743617703c8d57e0597503bdefe541bca871-1257472408

erano questi due link ke ti servivano giusto?

In parte, qui http://virscan.org/report/e8541b64f8b1bb1cbd8e955aa9dfd4d2.html

che cosa hai analizzato File Name : 1.html

Sono entrato nella console di ripristino
Mi apre
1:d:\Windows
Quale installazione di Windows si vuole accedere? (premere invio per annullare)

premo 1 o metto C:\windows ?

d: mia unità cdrom in cui ho messo il cd di xp
c: mio hard disk in cui è installato windows

In parte, qui http://virscan.org/report/e8541b64f8b1bb1cbd8e955aa9dfd4d2.html

che cosa hai analizzato File Name : 1.html

sempre vfind.exe che stava nella cartella c:\windows
non so perchè lo ha poi chiamato 1.html. qual'è il problema?

sempre vfind.exe che stava nella cartella c:\windows
non so perchè lo ha poi chiamato 1.html. qual'è il problema?

Direi proprio di no.

questa guida mi farà molto comodo...grazie .)

Sono entrato nella console di ripristino
Mi apre
1:d:\Windows
Quale installazione di Windows si vuole accedere? (premere invio per annullare)

premo 1 o metto C:\windows ?

d: mia unità cdrom in cui ho messo il cd di xp
c: mio hard disk in cui è installato windows
Mi sapete aiutare?

Ho usato i tool come mi chiedi sulla guida e il rootkit che mi riavvia il ripristino configurazione di sistema. Sono al punto che solo mbr lo vede:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01314FFD8
malicious code @ sector 0x01314FFDB !
PE file found in sector at 0x01314FFF1 !
Prevx non lo vedeva più.. ma dopo aver usato fixboot è tornato a vederlo.. e chiede soldi per la licenza per toglierlo... C'è qualche altro tool che posso usare...????
Se uso fixmbr puo funzionare senza rischiare le partizioni del disco...???? Grazie mille... per i consigli.

Mi sapete aiutare?

C:\

C:\
Ok, grazie!!! Volevo essere sicuro.

Ho usato i tool come mi chiedi sulla guida e il rootkit che mi riavvia il ripristino configurazione di sistema. Sono al punto che solo mbr lo vede:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01314FFD8
malicious code @ sector 0x01314FFDB !
PE file found in sector at 0x01314FFF1 !
Prevx non lo vedeva più.. ma dopo aver usato fixboot è tornato a vederlo.. e chiede soldi per la licenza per toglierlo... C'è qualche altro tool che posso usare...????
Se uso fixmbr puo funzionare senza rischiare le partizioni del disco...???? Grazie mille... per i consigli.

http://www.hwupgrade.it/forum/showpost.php?p=29772650&postcount=1970

diversamente tiriamo ad indovinare.

Direi proprio di no.

scusami ma cosa ci guadagnerei a fare la scansione di due file diversi? :D
a meno che non sia diventato analfabeta, il nome di un file lo riesco ancora a leggere.

poi non so. non ci sono altri file con lo stesso nome nella cartella e il file che ho scansionato col primo sito che mi hai dato è esattamente lo stesso del secondo. ho anche ricontrollato.
riprovo.

ho rifatto la scansione del file, come tu stesso puoi vedere è sempre vfind.exe
http://www.mediafire.com/file/5z20j2maz3d/Immagine1.JPG
http://www.mediafire.com/file/r2mzrzygziq/Immagine.JPG

e questo è il risultato:
http://virscan.org/report/e8541b64f8b1bb1cbd8e955aa9dfd4d2.html

Questi sono tutti i log di cui dispongo con relativi link.
Dalla prima infezione ad oggi...!!!!

Prima infezione
gmer1.txt (http://wikisend.com/download/502816/gmer1.txt)
gmer2.txt (http://wikisend.com/download/632008/gmer2.txt)
prevx.txt (http://wikisend.com/download/566970/prevx.txt)
mbr1.txt (http://wikisend.com/download/552234/mbr1.txt)
mbr2.txt (http://wikisend.com/download/198708/mbr2.txt)
NormanSinowal.txt (http://wikisend.com/download/551224/NormanSinowal.txt)
Seconda Infezione
gmer.txt (http://wikisend.com/download/514426/gmer.txt)
prex.txt (http://wikisend.com/download/463426/prex.txt)
mbr.txt (http://wikisend.com/download/485386/mbr.txt)
NFix.txt (http://wikisend.com/download/908414/NFix.txt)
CureIt.txt (http://wikisend.com/download/565266/CureIt.txt)
Terza Infezione
gmer.txt (http://wikisend.com/download/494504/gmer.txt)
prevx.txt (http://wikisend.com/download/563348/prevx.txt)
prevx2.txt (http://wikisend.com/download/885274/prevx2.txt)
mbr.txt (http://wikisend.com/download/578846/mbr.txt)
mbr2.txt (http://wikisend.com/download/490798/mbr2.txt)
NFix_2009.txt (http://wikisend.com/download/595188/NFix_2009.txt)

Rimane valido quello precedente detto:
Il sistema spesso avvia da solo il repristino configurazione di sistema. Ed ha creato in cartella Doc_Sett cartella HelpAssistant.

P.s. Non considerare mirc.exe credo falso positivo
P.s. Ho cancellato Corso montaggio senza problemi

Spero che tu possa gentilmente tirare fuori qualcosa dal lavoro forse non accurato di uno che sa leggere.
Grazie

scusami ma cosa ci guadagnerei a fare la scansione di due file diversi? :D
a meno che non sia diventato analfabeta, il nome di un file lo riesco ancora a leggere.

poi non so. non ci sono altri file con lo stesso nome nella cartella e il file che ho scansionato col primo sito che mi hai dato è esattamente lo stesso del secondo. ho anche ricontrollato.
riprovo.

ho rifatto la scansione del file, come tu stesso puoi vedere è sempre vfind.exe
http://www.mediafire.com/file/5z20j2maz3d/Immagine1.JPG
http://www.mediafire.com/file/r2mzrzygziq/Immagine.JPG

e questo è il risultato:
http://virscan.org/report/e8541b64f8b1bb1cbd8e955aa9dfd4d2.html

Io non ci guadagno nulla, ma neppure tu, il link inerente la scansione di Virscan è palesemente sbagliato, il nome del file è diverso, la dimensione è diversa, l'MD5 non corrisponde inoltre il link fa riferimento ad scansione di Giugno 2005

Scanner results : 79% Scanner(s) (30/38) found malware!
Time : 2009/06/05 06:31:50 (CEST)

non so come ma hai copiato il link sbagliato, adesso ti è più chiaro?

Comunque trattasi di Falso Positivo.

Questi sono tutti i log di cui dispongo con relativi link.
Dalla prima infezione ad oggi...!!!!

Spero che tu possa gentilmente tirare fuori qualcosa dal lavoro forse non accurato di uno che sa leggere.
Grazie

Se ti sei registrato sul Forum è assai probabile che tu sappia leggere, cortesemente snellisci il log di CureIt come indicato in Guida.

Ecco i log di Cureit filtrati..!!! Sono della stessa data perche ovviamente li ho filtrati ora, ma fanno riferimento alla seconda e terza infezione rispettivamente come numerazione.

cureit filtrato2.txt (http://wikisend.com/download/456180/cureit filtrato2.txt)

cureit filtrato3.txt (http://wikisend.com/download/502780/cureit filtrato3.txt)

Grazie

P.s. Fammi sapere su eventuali tool e su fixmbr...????

Ecco i log di Cureit filtrati..!!! Sono della stessa data perche ovviamente li ho filtrati ora, ma fanno riferimento alla seconda e terza infezione rispettivamente come numerazione.

cureit filtrato2.txt (http://wikisend.com/download/456180/cureit filtrato2.txt)

cureit filtrato3.txt (http://wikisend.com/download/502780/cureit filtrato3.txt)

Grazie

P.s. Fammi sapere su eventuali tool e su fixmbr...????

Attualmente dai log non risulta nulla, a parte Stealth MBR rootkit detector che può rimanere "sporco"

Lo avevo capito anch'io....da solo...!!!!
Ma da come ho già detto dopo aver usato mbrboot Prevx che scansione in tempo reale mi rileva il rootkit sul settore fisico \driver\disk0, e mi chiede i soldi per la licenza
non credo si solo mbr sporco ma penso che il verme si sia adattato a prevx andando più a basso livello...!!!
Provo fixmbr....?????????????

Grazie

Io non ci guadagno nulla, ma neppure tu, il link inerente la scansione di Virscan è palesemente sbagliato, il nome del file è diverso, la dimensione è diversa, l'MD5 non corrisponde inoltre il link fa riferimento ad scansione di Giugno 2005



non so come ma hai copiato il link sbagliato, adesso ti è più chiaro?

Comunque trattasi di Falso Positivo.

io ho scritto "cosa ci guadagneREI (IO) a mandarti la scansione di un file diverso" (visto che il mio scopo e permetterti di risolvere il mio problema), e non cosa ci guadagneRESTI (TU). che il link sia sbagliato, le dimensioni diverse e tutto il resto, io purtroppo non so cosa dirti, magari potresti dirmi tu come mai piuttosto. le foto te le ho allegate apposta per renderti chiaro cosa ho fatto, due volte consecutivamente. se ci hai dato un'occhiata te ne sei sicuramente accorto.
c'è poco da sbagliare, un semplice copia-incolla lo so fare anche io, così come leggere il nome di un file.

ti ringrazio dell'aiuto che mi hai dato e che mi dai, ma non c'è bisogno di aggredirmi (coi toni ovviamente)...adesso ti è più chiaro?

io ho scritto "cosa ci guadagneREI (IO) a mandarti la scansione di un file diverso" (visto che il mio scopo e permetterti di risolvere il mio problema), e non cosa ci guadagneRESTI (TU). che il link sia sbagliato, le dimensioni diverse e tutto il resto, io purtroppo non so cosa dirti, magari potresti dirmi tu come mai piuttosto.

Infatti te l'ho spiegato


ti ringrazio dell'aiuto che mi hai dato e che mi dai, ma non c'è bisogno di aggredirmi (coi toni ovviamente)...adesso ti è più chiaro?

Prestarti assistenza, vuol dire aggredire? Temo tu stia sbagliando, le parole sono importanti e bene prestare attenzione a ciò che si scrive, ti invito pertanto a cambiare tono, chiusa parentesi definitivamente.

Lo avevo capito anch'io....da solo...!!!!

Quindi?


Ma da come ho già detto dopo aver usato mbrboot Prevx che scansione in tempo reale mi rileva il rootkit sul settore fisico \driver\disk0, e mi chiede i soldi per la licenza
non credo si solo mbr sporco ma penso che il verme si sia adattato a prevx andando più a basso livello...!!!
Provo fixmbr....?????????????

Grazie

Il log di Prevx risulta pulito, che cosa rileva in tempo reale? Allegami su http://imageshack.us/ uno screenshot di Prevx che rileva il rootkit.

PS: no non è possibile che il rootkit si sia adattato a Prevx

Io non ci guadagno nulla, ma neppure tu, il link inerente la scansione di Virscan è palesemente sbagliato, il nome del file è diverso, la dimensione è diversa, l'MD5 non corrisponde inoltre il link fa riferimento ad scansione di Giugno 2005

non so come ma hai copiato il link sbagliato, adesso ti è più chiaro?

Comunque trattasi di Falso Positivo.

la prima frase in neretto sinceramente non l'ho capita, mi sembrava tanto non avessi letto bene ciò che avevo scritto, fraintentendo. se non è stato così, meglio. io avevo fatto solo tutto quello che mi hai detto tu, parola-per-parola.
e comunque non sono visionario, il tono che intendevo era riferito proprio a quell' "adesso ti è più chiaro" che era PROBABILMENTE, dal mio punto di vista (inutile forse), evitabile.

ma non voglio spiegazioni. ne creare polemiche. la difesa però in Italia, anche se forse non in egual modo per tutti, esiste ancora. chiusa parentesi.

se ti fa ancora piacere, a tempo perso, quando non hai da fare visto che non ti pagano per prestarmi assistenza, dai un'occhiata a questa foto
http://www.mediafire.com/file/5yjhrewn02z/Immagine.JPG

magari sveliamo l'arcano :)

altrimenti, grazie ancora di tutto e buonanotte.

Salve di nuovo, ragazzi.
Dunque vorrei tornare a parlarvi della soluzione che ho adotatto per questo MEBROOT.MBR.
Devo ribadire che l'unico programma che sembra aver fatto qualcosa di concreto è il Dr WEB CureIT: dopo una scansione rapida ho cercato di farne una completa, ma d'improvviso il pc si è riavviato (sapete dire il perché???); dunque ho proceduto nuovamente con una scansione rapida e da questa (come altre volte precedenti) viene rilevato il file mebroot che sembra causare l'allarme del mio nod32.
Pertanto impartisco il comando di cura e il programma mi dice grosso modo che andrà a riscrivere il settore di boot (è giusto?). Il problema dunque secondo cureit è "curato".
Fatto ciò dopo un riavvio del sistema faccio una nuova scansione con NOD e il problema sembra essere risolto:IL MEBROOT.MBR NON VIENE PIù SEGNALATO DAL NOD!!!.
Per precauzione procedo con un'altra scansione rapida del cureit ed il programma mi dice che non ci sono virus.
Ora però mi chiedo: il problema è REALMENTE RISOLTO???
Si può stare tranquilli???
Io non noto alcun comportamento anomalo del pc.
Da cosa dovrei accorgermi che il problema sarebbe ancora attivo???
ASPETTO VOSTRE RISPOSTE.Ciao gentilissimi!!!

P.S. Purtroppo il mio pc non sembra riuscire a portare a termine una scansione completa del CureIt, perché troppo pesante pèer la memoria virtuale (forse). Ad ogni modo si blocca.

P.P.S.: A proposito del PrevX, questo programma mi rileva alcuni files infetti tra cui un monheini.exe che sembra ad alto rischio. Che fare? A me pare che non mi faccia fare il free cleanup. Ditemi in proposito che ne pensate.

Salve di nuovo, ragazzi.
Dunque vorrei tornare a parlarvi della soluzione che ho adotatto per questo MEBROOT.MBR.
Devo ribadire che l'unico programma che sembra aver fatto qualcosa di concreto è il Dr WEB CureIT: dopo una scansione rapida ho cercato di farne una completa, ma d'improvviso il pc si è riavviato (sapete dire il perché???); dunque ho proceduto nuovamente con una scansione rapida e da questa (come altre volte precedenti) viene rilevato il file mebroot che sembra causare l'allarme del mio nod32.
Pertanto impartisco il comando di cura e il programma mi dice grosso modo che andrà a riscrivere il settore di boot (è giusto?). Il problema dunque secondo cureit è "curato".
Fatto ciò dopo un riavvio del sistema faccio una nuova scansione con NOD e il problema sembra essere risolto:IL MEBROOT.MBR NON VIENE PIù SEGNALATO DAL NOD!!!.
Per precauzione procedo con un'altra scansione rapida del cureit ed il programma mi dice che non ci sono virus.
Ora però mi chiedo: il problema è REALMENTE RISOLTO???
Si può stare tranquilli???
Io non noto alcun comportamento anomalo del pc. E' pericoloso ora come ora stare on line???
Da cosa dovrei accorgermi che il problema sarebbe ancora attivo???
ASPETTO VOSTRE RISPOSTE.Ciao gentilissimi!!!




P.S. Purtroppo il mio pc non sembra riuscire a portare a termine una scansione completa del CureIt, perché troppo pesante pèer la memoria virtuale (forse). Ad ogni modo si blocca.

P.P.S.: A proposito del PrevX, questo programma mi rileva alcuni files infetti tra cui un monheini.exe che sembra ad alto rischio. Che fare? A me pare che non mi faccia fare il free cleanup. Ditemi in proposito che ne pensate.
Ecco il link alla schermata di scan:http://www.mediafire.com/file/zu42zzindni/PrevX%20Scan.jpg

e comunque non sono visionario, il tono che intendevo era riferito proprio a quell' "adesso ti è più chiaro" che era PROBABILMENTE, dal mio punto di vista (inutile forse), evitabile.


Che sta a significare, mi sono spiegato meglio? Adesso ti è più chiaro dove hai sbagliato?



ma non voglio spiegazioni. ne creare polemiche. la difesa però in Italia, anche se forse non in egual modo per tutti, esiste ancora. chiusa parentesi.

Questo è un Forum non un aula di tribunale, se desideri ulteriori spiegazioni esistono i PVT come da Regolamento :)


se ti fa ancora piacere, a tempo perso, quando non hai da fare visto che non ti pagano per prestarmi assistenza, dai un'occhiata a questa foto
http://www.mediafire.com/file/5yjhrewn02z/Immagine.JPG

magari sveliamo l'arcano :)


Come detto precedentemente


non so come ma hai copiato il link sbagliato
Comunque trattasi di Falso Positivo.

Salve di nuovo, ragazzi.
Dunque vorrei tornare a parlarvi della soluzione che ho adotatto per questo MEBROOT.MBR.
Devo ribadire che l'unico programma che sembra aver fatto qualcosa di concreto è il Dr WEB CureIT: dopo una scansione rapida ho cercato di farne una completa, ma d'improvviso il pc si è riavviato (sapete dire il perché???); dunque ho proceduto nuovamente con una scansione rapida e da questa (come altre volte precedenti) viene rilevato il file mebroot che sembra causare l'allarme del mio nod32.
Pertanto impartisco il comando di cura e il programma mi dice grosso modo che andrà a riscrivere il settore di boot (è giusto?). Il problema dunque secondo cureit è "curato".
Fatto ciò dopo un riavvio del sistema faccio una nuova scansione con NOD e il problema sembra essere risolto:IL MEBROOT.MBR NON VIENE PIù SEGNALATO DAL NOD!!!.
Per precauzione procedo con un'altra scansione rapida del cureit ed il programma mi dice che non ci sono virus.
Ora però mi chiedo: il problema è REALMENTE RISOLTO???
Si può stare tranquilli???
Io non noto alcun comportamento anomalo del pc. E' pericoloso ora come ora stare on line???
Da cosa dovrei accorgermi che il problema sarebbe ancora attivo???
ASPETTO VOSTRE RISPOSTE.Ciao gentilissimi!!!

Se CureIt e Nod32 non rilevano più nulla direi che si può stare tranquilli


P.P.S.: A proposito del PrevX, questo programma mi rileva alcuni files infetti tra cui un monheini.exe che sembra ad alto rischio. Che fare? A me pare che non mi faccia fare il free cleanup. Ditemi in proposito che ne pensate.


Allega il log di Prevx

Gentilissimo Chill Out!!!

Eccoti il link alla schermata di scan del PrevX http://www.mediafire.com/file/zu42zzindni/PrevX%20Scan.jpg

Comunque il PrevX mi sembra un programma "ipersensibile": mi rileva roba che semplicemente costituisce programma di condivisione (vedi MIRC); sono falsi positivi???

Inoltre mi chiedevo: se il CureIt risolve il problema, come mai nella guida postate tutti gli altri programmi: il CureIt scasiona e risolve, non basta lui?

Gentilissimo Chill Out!!!

Eccoti il link alla schermata di scan del PrevX http://www.mediafire.com/file/zu42zzindni/PrevX%20Scan.jpg

Il log, grazie.

Eccolo: http://wikisend.com/download/497918/log di Prevx.log


Puoi gentilmente rispondere anche alle domande del mio post precedente?

;)

Eccolo: http://wikisend.com/download/497918/log di Prevx.log


Puoi gentilmente rispondere anche alle domande del mio post precedente?

;)

Ho riassunto dicendoti che per quanto concerne il MBR Rootkit puoi stare tranquillo

Abilita la visualizzazione dei files nascosti

Clicca su una cartella qualsiasi Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta su Visualizza cartelle e file nascosti - Togli la spunta da nascondi files protetti di sistema - Applica - OK

e controlla su http://virscan.org/ e http://www.virustotal.com/it/ il seguenti file:

monheini.exe che trovi in c:\windows\system32\

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione

OK appena lo faccio ci risentiamo.

Nel frattempo sei stato davvero molto gentile e paziente;)
A presto!!!

Questo è un Forum non un aula di tribunale, se desideri ulteriori spiegazioni esistono i PVT come da Regolamento :)


hai perfettamente ragione, errore mio.
comunque, assodato che è un falso positivo, se non ti secca avrei qualche altra domanda:
1- il vfind.exe posso quindi lasciarlo li dov'è senza problemi, essendo un falso positivo?
2- i file nella cartella della quarantena di nod32 che mi sono stati rilevati durante le precedenti scansioni, devo\posso eliminarli oppure è meglio che restino dove sono?
3- da un altro moderatore mi era stato detto che il firewall di windows non basta, però io mi connetto tramite router, che se non sbaglio, da ignorante quale sono, dovrebbe avere un firewall interno. è giusto? e se così fosse, è sufficiente o devo installarmi un firewall alternativo?

grazie, e scusa l'ora tarda.

hai perfettamente ragione, errore mio.
comunque, assodato che è un falso positivo, se non ti secca avrei qualche altra domanda:
1- il vfind.exe posso quindi lasciarlo li dov'è senza problemi, essendo un falso positivo?
2- i file nella cartella della quarantena di nod32 che mi sono stati rilevati durante le precedenti scansioni, devo\posso eliminarli oppure è meglio che restino dove sono?
3- da un altro moderatore mi era stato detto che il firewall di windows non basta, però io mi connetto tramite router, che se non sbaglio, da ignorante quale sono, dovrebbe avere un firewall interno. è giusto? e se così fosse, è sufficiente o devo installarmi un firewall alternativo?

grazie, e scusa l'ora tarda.

1 si

2 i file in quarantena non possono nuocere, puoi lasciarli dove sono

3 nella guida in prima pagina alla voce Suggerimenti trovi tutte le info che ti necessitano, ok per il router al quale affiancherei un FW software come Comodo - OnlineArmor o PcTools

Ciao

Salve a tutti, scrivo qua per porvi il mio problema; all'avvio del computer mi appare questa scritta "Trend chip away virus has detected a boot virus on your hard disk! Press <enter> for more information (raccomanded) or <C> to continue booting.

Girando per la rete ho trovato la guida che è nella prima pagina di questa discussione e ho scaricato tutti i programmi che servivano e ho iniziato il lavoro seguendo pari passo la fase preliminare e la prima fase; ora allego qua i link con i log che ho creato dopo l'utilizzo dei programmi:

Log di Gmer:
http://wikisend.com/download/448798/Log gmer.txt

Log di PrevX pre-rimozione:
http://wikisend.com/download/935594/Log PrevX 3.0 pre-rimozione.txt

Log di PrevX post-rimozione:
http://wikisend.com/download/616694/Log PrevX 3.0 post-rimozione.txt

Ci tengo a sottolineare che dopo la rimozione con PrevX 3.0 la schermata non si è piu presentata! Cosa devo fare a questo punto? devo andare avanti con la seconda fase oppure no? Aspetto risposte e spero di risolvere questo problema!

P.S. il computer infettato non è quello in firma ma bensi questo:
CPU: Intel pentium 4 2.60Ghz
Scheda Madre: Asus P4PE-X/TE
RAM: Kingstone 512Mb 200Mhz
Scheda video: Ati Radeon 9000 Series 128Mb


Ciao, procedi con la fase successiva.

Salve di nuovo, ho seguito il tuo consiglio e sono andato avanti con la seconda e terza fase e alla fine ho riattivato il Ripristino Configurazione Sistema; Ora posto qua i log degli altri programmi:

Questo è il Log di MBR:
http://wikisend.com/download/456946/mbr.log

Questo è il log di Norman Sinowal cleaner:
http://wikisend.com/download/577416/NFix_2009-11-25_16-36-04.log

Questo è il log di cure it!:
http://wikisend.com/download/447870/CureIt.log

Ci tengo a sottolineare due cose, la prima è che come avevo detto in precedenza la schermata non mi si era ripresentata, ma in realtà è riapparsa dopo diversi riavvii? qualcuno sa perchè? seconda cosa Cure It! non mi ha rilevato nessuna anomalia, è normale? Spero che consultiate presto i miei risultati e mi sappiate dare risposte! grazie a tutti!

Salve di nuovo, ho seguito il tuo consiglio e sono andato avanti con la seconda e terza fase e alla fine ho riattivato il Ripristino Configurazione Sistema; Ora posto qua i log degli altri programmi:

Ci tengo a sottolineare due cose, la prima è che come avevo detto in precedenza la schermata non mi si era ripresentata, ma in realtà è riapparsa dopo diversi riavvii? qualcuno sa perchè? seconda cosa Cure It! non mi ha rilevato nessuna anomalia, è normale? Spero che consultiate presto i miei risultati e mi sappiate dare risposte! grazie a tutti!

Dovremmo essere ok, allega per scrupolo un log di Prevx.

Ciao Chill...
Nel fra tempo che faccio cio che mi hai chiesto posso cancellare la cartella HELPASSISTANT contenuto in DocumentendSetting senza arrecare danni....?????
Se non puoi garantire rispondi ugualmente....!!!!
Grazie per l'impegno...!!!

Ciao Chill...
Ti posto i link della schermata di Prevx seguente all'utilizzo di fixboot.. credo di aver capito che si tratta dell'analizzatore Euristico che non sempre si attiva.
Ti posto anche il log prevx che non so perche in questo caso mi ha permesso di effettuare la scansione nonostante io non possieda licenza...!!!!

Grazie...

Ciao Chill...
Ti posto i link della schermata di Prevx seguente all'utilizzo di fixboot.. credo di aver capito che si tratta dell'analizzatore Euristico che non sempre si attiva.
Ti posto anche il log prevx che non so perche in questo caso mi ha permesso di effettuare la scansione nonostante io non possieda licenza...!!!!

prevx4.txt (http://wikisend.com/download/882912/prevx4.txt)
http://img21.imageshack.us/img21/5670/schermoprevx.png


Grazie.....!!!!

Salve Chill,

ho cercato di far scasionare on line il file monheini.exe rilevato da PrevX tramite virscan e virustotal, ma non mi è possibile caricare il file.
Difatti questo file non si riesce nè a copiare nè a tagliare poichè dice che "è in uso da un programma o dal sistema".
Che fare?

Frattanto ho googlato per reperire notizie sul monheini, ma esso risulta solo nel sito del PrevX come nuova minaccia "che gli altri software non rilevano" (tradotto dall'inglese).

Aspetto tue notizie.
Ti saluto.

Intanto io sto online: mi spiace chiedertelo di nuovo, ma... si può starere sicuri di non andare verso altri problemi???:rolleyes:

Ciao Chill...
Ti posto i link della schermata di Prevx seguente all'utilizzo di fixboot.. credo di aver capito che si tratta dell'analizzatore Euristico che non sempre si attiva.
Ti posto anche il log prevx che non so perche in questo caso mi ha permesso di effettuare la scansione nonostante io non possieda licenza...!!!!

prevx4.txt (http://wikisend.com/download/882912/prevx4.txt)
http://img21.imageshack.us/img21/5670/schermoprevx.png


Grazie.....!!!!

Log pulito

Salve Chill,

ho cercato di far scasionare on line il file monheini.exe rilevato da PrevX tramite virscan e virustotal, ma non mi è possibile caricare il file.
Difatti questo file non si riesce nè a copiare nè a tagliare poichè dice che "è in uso da un programma o dal sistema".
Che fare?

Frattanto ho googlato per reperire notizie sul monheini, ma esso risulta solo nel sito del PrevX come nuova minaccia "che gli altri software non rilevano" (tradotto dall'inglese).

Aspetto tue notizie.
Ti saluto.

Intanto io sto online: mi spiace chiedertelo di nuovo, ma... si può starere sicuri di non andare verso altri problemi???:rolleyes:

Come detto precedentemente, per quanto concerne il MBR rootkit siamo a posto, mentre MONHEINI.EXE è la palese dimostrazione che non si può stare tranquilli.

Allega un nuovo log di Gmer :)

Caro Chill,

purtroppo il Gmer non parte: Windows rileva un errore e lo termina.
Infatti io all'inizio la scansione l'ho fatta solo con il PrevX.
Che fare???


Intanto mi chiedevo se avevi notizie su sto monheini, che danni può fare se è veramente preoccupante (perché dici che non si può stare tranquilli???).

Infine, quando ti ho allegato la schermata di scansione del Prevx c'erano altre minacce; di quelle il monheini è l'unica seria? Gli altri sono tutti falsi positivi???

Ciao, a presto!

Caro Chill,

purtroppo il Gmer non parte: Windows rileva un errore e lo termina.
Infatti io all'inizio la scansione l'ho fatta solo con il PrevX.
Che fare???


Intanto mi chiedevo se avevi notizie su sto monheini, che danni può fare se è veramente preoccupante (perché dici che non si può stare tranquilli???).

Infine, quando ti ho allegato la schermata di scansione del Prevx c'erano altre minacce; di quelle il monheini è l'unica seria? Gli altri sono tutti falsi positivi???

Ciao, a presto!

Cortesemente allega un nuovo log di Prevx

Salve a tutti.

Anche io sono infetto da "HelpAssistant".

Su questo pc ho 2 installazioni di Xp presenti su due hard disk diversi entrambe infetti.

Vi posto i log di Gmer e Prevx di entrambi gli Hd:

Hd1:
Gmer.txt (http://wikisend.com/download/464162/Gmer.txt) (Mi è stato impossibile fare scansione con l'ultima versione perchè crashava)
Prevx.log (http://wikisend.com/download/544016/Prevx.log)

H2:
Gmer2.log (http://wikisend.com/download/563642/Gmer2.log)
Prevx2.log (http://wikisend.com/download/437896/Prevx2.log)

Ciao, produci i log della Seconda e Terza fase.

Ecco i log della seconda fase, sono uguali per entrambi gli HD così li posto solo una volta

mbr.log (http://wikisend.com/download/595478/mbr.log)
NFix_2009-11-28_10-01-07.log (http://wikisend.com/download/317640/NFix_2009-11-28_10-01-07.log)

Ogni volta che aprivo DoctorWeb mi si riavviava il pc, ho ovviato al problema rinominando l'eseguibile e aprendolo dalla modalità provvisoria.

Ho fatto prima la scansione sull'Hd "2" che mi ha dato nei restituiti un BackDoor.MaosBoot, curato dal programma. Ripetendo la scansione dell'Hd "1" tutto è risultato liscio e ora non sembrano esserci più problemi nel pc

CureIt1.log (http://wikisend.com/download/201650/CureIt1.log)
CureIt2.log (http://wikisend.com/download/606420/CureIt2.log)

L'unico "dubbio" che rimane riguarda quel sfc_os.dll che Prevx dà come Malware component

Buongiorno a tutti, premetto che sono scarso in materia pc ma ho cercato di seguire ogni passo..allego qui i primi 3 log..

gmer1.txt (http://wikisend.com/download/137046/gmer1.txt)


prevx1.log (http://wikisend.com/download/906862/prevx1.log)


prevx2.log (http://wikisend.com/download/963192/prevx2.log)

Scusate se ho copiato tutti i link ma non sapevo quali si e quali no.
adesso vado avanti con le istruzioni e che dio me la mandi buona...
Grazie


Qui sotto i log della seconda fase

mbr.log (http://wikisend.com/download/942900/mbr.log)

NFix_2009-11-28_13-25-54.log (http://wikisend.com/download/497998/NFix_2009-11-28_13-25-54.log)

vado avanti con la terza...sperem ben...
Silvio

Un saluto a tutti

come da istruzioni allego i relativi log

GMER_Log_FASE1.txt (http://wikisend.com/download/450126/GMER_Log_FASE1.txt)


PREVX_LOG_PRIMA.log (http://wikisend.com/download/563384/PREVX_LOG_PRIMA.log)

PREVX_LOG_DOPO.log (http://wikisend.com/download/881800/PREVX_LOG_DOPO.log)

Ringrazio in anticipo per l'aiuto.

Ciao

Ecco il log della terza ed ultima fase...e mò che faccio?

cureit filtrato.txt (http://wikisend.com/download/438024/cureit filtrato.txt)

Spero di aver fatto tutto come si deve...
grazie grazie

Eccoti il log di Prevx fatto oggi.

http://wikisend.com/download/947682/log di Prevx 28 11 2009.log


Aspetto tue notizie

Eccoti il log di Prevx fatto oggi.

http://wikisend.com/download/947682/log di Prevx 28 11 2009.log


Aspetto tue notizie

Ciao prova con Combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop.

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (comparirà una videata.)
Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.
E' probabile che ti siano inviati messaggi dall'antivirus, tu ignorali.
Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.

Disinstalla combofix in questo modo: (dopo che qualcuno di esperto avrà visto il log)
Start
Esegui
nella finestra di dialogo, copia ed incolla questo comando: Combofix /u e premi Invio poi cancella le cartelle in "C" di Combofix e (qoobox)

Salve Chill,

ho cercato di far scasionare on line il file monheini.exe rilevato da PrevX tramite virscan e virustotal, ma non mi è possibile caricare il file.
Difatti questo file non si riesce nè a copiare nè a tagliare poichè dice che "è in uso da un programma o dal sistema".
Che fare?


Prova a vedere se riesci ad aver risposta qui:

http://www.pcalsicuro.com/main/upload-malware/

Ciao :)

Ecco i log della seconda fase, sono uguali per entrambi gli HD così li posto solo una volta

mbr.log (http://wikisend.com/download/595478/mbr.log)
NFix_2009-11-28_10-01-07.log (http://wikisend.com/download/317640/NFix_2009-11-28_10-01-07.log)

Ogni volta che aprivo DoctorWeb mi si riavviava il pc, ho ovviato al problema rinominando l'eseguibile e aprendolo dalla modalità provvisoria.

Ho fatto prima la scansione sull'Hd "2" che mi ha dato nei restituiti un BackDoor.MaosBoot, curato dal programma. Ripetendo la scansione dell'Hd "1" tutto è risultato liscio e ora non sembrano esserci più problemi nel pc

CureIt1.log (http://wikisend.com/download/201650/CureIt1.log)
CureIt2.log (http://wikisend.com/download/606420/CureIt2.log)

L'unico "dubbio" che rimane riguarda quel sfc_os.dll che Prevx dà come Malware component

Dai log non emerge nulla, per quanto concerne sfc_os.dll è "ok"

Ecco il log della terza ed ultima fase...e mò che faccio?

cureit filtrato.txt (http://wikisend.com/download/438024/cureit filtrato.txt)

Spero di aver fatto tutto come si deve...
grazie grazie

Allega nuovo log di Prevx

Eccoti il log di Prevx fatto oggi.

http://wikisend.com/download/947682/log di Prevx 28 11 2009.log


Aspetto tue notizie

Scarica RootRepeal da qui http://ad13.geekstogo.com/RootRepeal.exe

Doppio click su RootRepeal.exe ed attendi che venga inizializzato
Clicca sul Tab Reports
Clicca su Scan e metti il segno di spunta in tutte le caselle bianche e clicca su OK
Metti il segno di spunta su C:\ e clicca su OK
Attendi pazientemente che finisca la scansione ed allega il log

prima fase:

Gmer --> http://wikisend.com/download/529728/gmer.txt

Prevx --> http://wikisend.com/download/458884/prevx post.log (questo è il log successivo al cleanup di due file )

seconda fase:

Stealth MBR rootkit detector -> http://wikisend.com/download/463050/mbr.log

Aggiungo gli ultimi due log:

Norman --> http://wikisend.com/download/939754/NFix_2009-11-23_18-59-40.log

Cure.it --> http://wikisend.com/download/503806/cureit filtrato.txt


...Grazie in anticipo per il supporto..... spero di aver risoto il problema...attendo un responso.... :)

salve a tutti,Avira mi aveva segnalato il sinowal ed ho provveduto a fare pulizia con mbr
il responso

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0747059C1
malicious code @ sector 0x0747059C4 !
PE file found in sector at 0x0747059DA !

Questo dopo "-f" già eseguito ovviamente.Il pc andava in freeze e adesso sembra non più farlo,come posso però risolvere definitivamente?
Grazie in anticipo

Ecco allegato il log eseguito da Root Repeal

http://wikisend.com/download/442844/RootRepeal report 11-29-09 (17-18-38).txt

Devo precisare che quando inizializzo il programma mi esce Error Invalid PE Image Found; significa qualcosa???

A risentirci.

Un saluto a tutti

come da istruzioni allego i relativi log

GMER_Log_FASE1.txt (http://wikisend.com/download/450126/GMER_Log_FASE1.txt)


PREVX_LOG_PRIMA.log (http://wikisend.com/download/563384/PREVX_LOG_PRIMA.log)

PREVX_LOG_DOPO.log (http://wikisend.com/download/881800/PREVX_LOG_DOPO.log)

Ringrazio in anticipo per l'aiuto.

Ciao

aggiungo gli altri log:

mbr.log (http://wikisend.com/download/899780/mbr.log)

NFix_2009-11-21_06-02-52.log (http://wikisend.com/download/941734/NFix_2009-11-21_06-02-52.log)

cureit filtrato.txt (http://wikisend.com/download/506262/cureit filtrato.txt)

spero che sia andata a buon fine la cosa

ringrazio in anticipo per l'aiuto

linko qui perchè anche a me prevX ha trovato un MBR rootkit

http://www.hwupgrade.it/forum/showthread.php?t=2095159

il problema è che nel riavviare per sistemare, mi ha compromesso l'MBR

ora sto scaricando testdisk per cercare di rimediare, ma avrei bisogno di consigli su come procedere

linko qui perchè anche a me prevX ha trovato un MBR rootkit

http://www.hwupgrade.it/forum/showthread.php?t=2095159

il problema è che nel riavviare per sistemare, mi ha compromesso l'MBR

ora sto scaricando testdisk per cercare di rimediare, ma avrei bisogno di consigli su come procedere

Una discussione mi sembra sufficiente http://www.hwupgrade.it/forum/showthread.php?t=2095159 anche in funzione dei problemi che sonno sorti.

Ecco allegato il log eseguito da Root Repeal

http://wikisend.com/download/442844/RootRepeal report 11-29-09 (17-18-38).txt

Devo precisare che quando inizializzo il programma mi esce Error Invalid PE Image Found; significa qualcosa???

A risentirci.

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Files to delete:
c:\windows\system32\monheini.exe


clicca su Execute, al termine il Pc si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt + nuovo log di Prevx

aggiungo gli altri log:

mbr.log (http://wikisend.com/download/899780/mbr.log)

NFix_2009-11-21_06-02-52.log (http://wikisend.com/download/941734/NFix_2009-11-21_06-02-52.log)

cureit filtrato.txt (http://wikisend.com/download/506262/cureit filtrato.txt)

spero che sia andata a buon fine la cosa

ringrazio in anticipo per l'aiuto

A posto, ti suggerisco di leggere i suggerimenti che trovi sempre nella guida in prima pagina.

Aggiungo gli ultimi due log:

Norman --> http://wikisend.com/download/939754/NFix_2009-11-23_18-59-40.log

Cure.it --> http://wikisend.com/download/503806/cureit filtrato.txt


...Grazie in anticipo per il supporto..... spero di aver risoto il problema...attendo un responso.... :)

Dovremmo essere ok, riallega il log di CureIt in quanto quello allegato è incompleto.

salve a tutti,Avira mi aveva segnalato il sinowal ed ho provveduto a fare pulizia con mbr
il responso

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0747059C1
malicious code @ sector 0x0747059C4 !
PE file found in sector at 0x0747059DA !

Questo dopo "-f" già eseguito ovviamente.Il pc andava in freeze e adesso sembra non più farlo,come posso però risolvere definitivamente?
Grazie in anticipo

Ciao, leggi attentamente la Guida in prima pagina e mettila in pratica, attendiamo i log per il controllo.

per il resto sembra a posto,cosa vogliono dire queste 3 righe?

copy of MBR has been found in sector 0x0747059C1
malicious code @ sector 0x0747059C4 !
PE file found in sector at 0x0747059DA !

devo provare con fixmbr?
Il virus può aver fatto altri danni?

per il resto sembra a posto,cosa vogliono dire queste 3 righe?

copy of MBR has been found in sector 0x0747059C1
malicious code @ sector 0x0747059C4 !
PE file found in sector at 0x0747059DA !


Se non vediamo i log dei tool indicati in Guida, precedenti all'uso di Stealth MBR rootkit/Mebroot/Sinowal detector come facciamo a risponderti?

Ecco un nuovo log fatto con prevx che continua a dirmi che ho dei file infetti..
sempre con speranza..

prevx3.log (http://wikisend.com/download/899838/prevx3.log)

Saluti

Ecco un nuovo log fatto con prevx che continua a dirmi che ho dei file infetti..
sempre con speranza..

prevx3.log (http://wikisend.com/download/899838/prevx3.log)

Saluti

Proprio per questo motivo ti ho chiesto un nuovo log di Prevx, adesso segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446, attendiamo i log per il controllo dove appena indicato.

salve ragazzi credo di essermi imbatutto pure io nel MBR! ma x essere sciur ovi post i log come da guida.

grazie in anticipo x l'aiuto

gmer.txt (http://wikisend.com/download/770096/gmer.txt)

prevx.log (http://wikisend.com/download/464550/prevx.log)

salve ragazzi credo di essermi imbatutto pure io nel MBR!

Sembrerebbe di no

grazie chill :) x essere sicuro devo fare qualche altro controllo? o posso mettere il cuore in pace?

grazie chill :) x essere sicuro devo fare qualche altro controllo? o posso mettere il cuore in pace?

Per scrupolo allega il log di Stealth MBR rootkit detector

devo andare in mod. provvisoria come da guida? o possa farlo anche normalmente?

devo andare in mod. provvisoria come da guida? o possa farlo anche normalmente?

Provvisoria

A posto, ti suggerisco di leggere i suggerimenti che trovi sempre nella guida in prima pagina.

Grazie per l'aiuto

mi metto subito in modalità manutenzione pc!:D

Grazie ancora.

Grazie per l'aiuto

mi metto subito in modalità manutenzione pc!:D

Grazie ancora.

Prego, ciao ;)

Ciao Chill....
Scusa ancora per l'insistenza....!!!!
Dato che non ho più avuto risposte da voi... ho provveduto a formattare la partizione windows ma MBR mi da ancora questo:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x01314FFDB !
PE file found in sector at 0x01314FFF1 !
Cosa devo fare... Secondo te dovevo formattare necessariamente l'intero disco..???? ho devo passare alla formattazione a basso livello..????
Se si... posso con quest'ultima formattare solo una partizione...?????

Grazie di tutto

Ciao Chill....
Scusa ancora per l'insistenza....!!!!
Dato che non ho più avuto risposte da voi... ho provveduto a formattare la partizione windows ma MBR mi da ancora questo:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x01314FFDB !
PE file found in sector at 0x01314FFF1 !
Cosa devo fare... Secondo te dovevo formattare necessariamente l'intero disco..???? ho devo passare alla formattazione a basso livello..????
Se si... posso con quest'ultima formattare solo una partizione...?????

Grazie di tutto

Come detto in precedenza il log può rimanere "sporco", se non desideri vedere il log "sporco" l'unico modo è formattare a basso livello

DISCHI - come formattare (http://www.hwupgrade.it/forum/showthread.php?t=810040)

Provvisoria

ecco

mbr.log (http://wikisend.com/download/613604/mbr.log)

ecco

mbr.log (http://wikisend.com/download/613604/mbr.log)

Prosegui con i passi successivi, male non fa.

Salve Chill,

ho eseguito la procedura con Avenger ed il file monheini.exe sembra essersi cancellato; per la precisione il file è stato messo in C:, nella cartella (autocreatasi) di Avenger e da lì l'ho cancellato mandandolo nel cestino (andava fatto così, vero:eek: ???).
Poi ho avviato la scansione con PrevX il quale non me lo ha rilevato più.

Però c'è una stranezza: io avevo scaricato l'Avenger in una cartella di un drive F: (ottenuto con una partizione) e da lì il file exe di Avenger sembra essersi cancellato assieme alla cartella in cui l'avevo decompresso: è normale:mbe: ?

Comunque allego i rispettivi logs in attesa di tue notizie.
A presto!!!

http://wikisend.com/download/539986/log di Prevx 01 12 2009.log

http://wikisend.com/download/459502/avenger.txt

Mi chiedevo inoltre: per il futuro l'accoppiata "rilevamento tramite PrevX + l'eliminazione tramite Avenger dei files dannosi rilevati" può essere sufficiente o è necessario acquistare la licenza del Prevx per un più preciso CleanUp degli stessi???

Salve Chill,

ho eseguito la procedura con Avenger ed il file monheini.exe sembra essersi cancellato; per la precisione il file è stato messo in C:, nella cartella (autocreatasi) di Avenger e da lì l'ho cancellato mandandolo nel cestino (andava fatto così, vero:eek: ???).
Poi ho avviato la scansione con PrevX il quale non me lo ha rilevato più.

Però c'è una stranezza: io avevo scaricato l'Avenger in una cartella di un drive F: (ottenuto con una partizione) e da lì il file exe di Avenger sembra essersi cancellato assieme alla cartella in cui l'avevo decompresso: è normale:mbe: ?

Comunque allego i rispettivi logs in attesa di tue notizie.
A presto!!!

http://wikisend.com/download/539986/log di Prevx 01 12 2009.log

http://wikisend.com/download/459502/avenger.txt

Siamo a posto

Mi chiedevo inoltre: per il futuro l'accoppiata "rilevamento tramite PrevX + l'eliminazione tramite Avenger dei files dannosi rilevati" può essere sufficiente o è necessario acquistare la licenza del Prevx per un più preciso CleanUp degli stessi???

Io suggerisco l'acquisto della licenza, qui trovi il 3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=1923599

Ti invito inoltre alla lettura dei Suggerimenti che trovi sempre nella Guida in prima pagina

Ciao

Io suggerisco l'acquisto della licenza, qui trovi il 3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=1923599



Ciao, in termini di sicurezza, l'acquisto della licenza di Prevx, è davvero un'ottima scelta.
Condivido in toto.
Magari si può "risparmiare" usando un buon antivirus free (leggi Avira) ed un buon firewall free.


:) ;)

Prosegui con i passi successivi, male non fa.

ecco il log di norman.

NFix_2009-12-01_10-26-24.log (http://wikisend.com/download/538020/NFix_2009-12-01_10-26-24.log)

ecco il log di norman.

NFix_2009-12-01_10-26-24.log (http://wikisend.com/download/538020/NFix_2009-12-01_10-26-24.log)

Procedi pure con CureIt

ok mi pare nn abbia trovato nulla. anche se mi ha chiesto di spostare i file di hosts, ho fatto bene?

CureIt.log (http://wikisend.com/download/532728/CureIt.log)

ok mi pare nn abbia trovato nulla. anche se mi ha chiesto di spostare i file di hosts, ho fatto bene?

CureIt.log (http://wikisend.com/download/532728/CureIt.log)

Sicuro di aver fatto scansione completa?

Controlla il contenuto della quarantena di CureIt che trovi in C:\Documents and Settings\nomeutente\DoctorWeb\Quarantine

ho fatto solo la scansione rapida, dovevo fare pure quella completa?

cmq nella cartella di quarantena c'è:

descript.ion
hosts

Siamo a posto



Io suggerisco l'acquisto della licenza, qui trovi il 3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=1923599

Ti invito inoltre alla lettura dei Suggerimenti che trovi sempre nella Guida in prima pagina

Ciao

OK allora posso tornare in rete più tranquillo, è così?.

Per il futuro allora resto con il mio Nod32 affiancato a Prevx.

Un firewall è proprio indispensabile? Potreste suggerirmene uno free?

Intanto volevo dirvi che ho apprezzato davvero tanto la vostra disponibilità.:)
E' bello sapere che c'è gente come voi su forum del genere.

I miei più cordiali saluti a Chill e Crips.

Ciao!
Anch'io sono vittima di questo virus. Sto cercando di seguira la guida alla rimozione, ma prima di procedere volevo chiedere una cosa...
Allora, premetto che non ho letto tutte le risposte di questo thread (ci metterei un anno XD).

Io sono arrivato alla fine della fase 1. Il mio problema è che DOPO aver eliminato le infezioni con prevx (ne avevo 3), nella scansione prevx mi segnala ancora un'infezione! E' normale o è perché non è riuscito a eliminarla? Provo a eliminarla nuovamente o procedo con la fase 2 anche se l'autore del thread ha consigliato di chiamare un esperto?
Questi sono i link delle scansioni che ho fatto:

http://wikisend.com/download/712724/gmer log prima di rimozione.txt
http://wikisend.com/download/504962/log prevx prima di rimozione.log
http://wikisend.com/download/486524/gmer log dopo di rimozione.txt
http://wikisend.com/download/854132/log prevx dopo di rimozione (ancora 1).log

Vi ringrazio anticipatamente per le risposte e per la pazienza se il mio problema è già capitato ad un altro e ne avete già parlato in questo thread.
Saluti.

ho fatto solo la scansione rapida, dovevo fare pure quella completa?

cmq nella cartella di quarantena c'è:

descript.ion
hosts

Sarebbe meglio fare scansione completa, così come indicatop in Guida, dimmi cosa c'è all'inteno di questa cartella:

C:\WINDOWS\system32\drivers\etc\

OK allora posso tornare in rete più tranquillo, è così?.

Per il futuro allora resto con il mio Nod32 affiancato a Prevx.

Un firewall è proprio indispensabile? Potreste suggerirmene uno free?

Intanto volevo dirvi che ho apprezzato davvero tanto la vostra disponibilità.:)
E' bello sapere che c'è gente come voi su forum del genere.

I miei più cordiali saluti a Chill e Crips.

Ciao, alla voce suggerimenti trovi tutte le info che ti necessitano. ;)

Ciao!
Anch'io sono vittima di questo virus. Sto cercando di seguira la guida alla rimozione, ma prima di procedere volevo chiedere una cosa...
Allora, premetto che non ho letto tutte le risposte di questo thread (ci metterei un anno XD).

Io sono arrivato alla fine della fase 1. Il mio problema è che DOPO aver eliminato le infezioni con prevx (ne avevo 3), nella scansione prevx mi segnala ancora un'infezione! E' normale o è perché non è riuscito a eliminarla? Provo a eliminarla nuovamente o procedo con la fase 2 anche se l'autore del thread ha consigliato di chiamare un esperto?
Questi sono i link delle scansioni che ho fatto:

http://wikisend.com/download/712724/gmer log prima di rimozione.txt
http://wikisend.com/download/504962/log prevx prima di rimozione.log
http://wikisend.com/download/486524/gmer log dopo di rimozione.txt
http://wikisend.com/download/854132/log prevx dopo di rimozione (ancora 1).log

Vi ringrazio anticipatamente per le risposte e per la pazienza se il mio problema è già capitato ad un altro e ne avete già parlato in questo thread.
Saluti.

Ciao, ripeti scansione con Prevx e procedi con il cleanup, successivamente allega i log inerenti la Seconda Fase.

ho fatto da poco la scansione completa ma mi è rimasto il log di ieri uf :(

questa è la foto di cosa c'è in driver ectc

gssgds.JPG (http://wikisend.com/download/614160/gssgds.JPG)

ho fatto da poco la scansione completa ma mi è rimasto il log di ieri uf :(

questa è la foto di cosa c'è in driver ectc

gssgds.JPG (http://wikisend.com/download/614160/gssgds.JPG)


A posto, segui i suggerimenti che trovi sempre nella prima pagina della Guida.

grazie dell'aiuto chill! :)

grazie dell'aiuto chill! :)

Prego :)

Ciao, ripeti scansione con Prevx e procedi con il cleanup, successivamente allega i log inerenti la Seconda Fase.

Fatto.
Ripetuta la scansione mi dava 2 infezioni!!! (e prima una! boh, è preoccupante o può essere?)
Fatto sta che ho rimosso e questa volta non mi ha fatto riavviare il pc.
Poi: l'mbr detector l'ho fatto in modalità provvisioria come hai detto, ma i passi successivi li ho fatti in modalità normale e questi sono i log:

http://wikisend.com/download/697692/mbr.log
http://wikisend.com/download/536772/NFix_2009-12-01_23-44-16.log

Poi ho scaricato anche il cure.it e ha trovato 4 infezioni. Ho scelto "cura", ma non so se sono cancellate definitivamente. Ho salvato il log, ma poi ho notato che ne aveva salvato un altro automaticamente. Siccome ho notato che sono diversi, li linko tutti e 2:

http://wikisend.com/download/445348/DrWeb.csv
http://wikisend.com/download/497860/CureIt.log

A questo punto cosa faccio? Riavvio il pc? Per controllare se sono ancora infetto faccio una scansione con uno di questi programmi o uso il mio avg 8.5?
Le cartelle dell'help assistant le cancello manualmente?

Fatto.
Ripetuta la scansione mi dava 2 infezioni!!! (e prima una! boh, è preoccupante o può essere?)
Fatto sta che ho rimosso e questa volta non mi ha fatto riavviare il pc.
Poi: l'mbr detector l'ho fatto in modalità provvisioria come hai detto, ma i passi successivi li ho fatti in modalità normale e questi sono i log:

http://wikisend.com/download/697692/mbr.log
http://wikisend.com/download/536772/NFix_2009-12-01_23-44-16.log

Poi ho scaricato anche il cure.it e ha trovato 4 infezioni. Ho scelto "cura", ma non so se sono cancellate definitivamente. Ho salvato il log, ma poi ho notato che ne aveva salvato un altro automaticamente. Siccome ho notato che sono diversi, li linko tutti e 2:

http://wikisend.com/download/445348/DrWeb.csv
http://wikisend.com/download/497860/CureIt.log

A questo punto cosa faccio? Riavvio il pc? Per controllare se sono ancora infetto faccio una scansione con uno di questi programmi o uso il mio avg 8.5?
Le cartelle dell'help assistant le cancello manualmente?

Ok, procedi così:

Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer - Utenti e gruppi locali - Users


Tasto dx del mouse su HelpAssistant - Poprietà - metti il segno di spunta su Account disabilitato - apri il TAB Membro di se HelpAssistant è all'interno del box bianco selezionalo e rimuovilo cliccando sul tasto Rimuovi

Applica e OK

Riavvia il PC, elimina la cartella HelpAssistant ed allega nuovo log di Prevx, ciao.

Ciao a tutti scusatemi se ieri ho aperto un'altra discussione anzichè postare qui.

Sintomi: crash del pc, lentezza, crash di firefox, crash di download di pochi mega, schermate blu di windows, crash di scan anti-rootkit anche in modalità provvisoria (prevx, norman sinowal, drweb), creazione cartella HelpAssistant in documents and settings.

Vi allego come da richiesto nella discussione poi chiusa i log di Gmer e Prevx

Gmer.txt (http://wikisend.com/download/574624/Gmer.txt)

Prevx.log (http://wikisend.com/download/368754/Prevx.log)

Grazie a tutti per qualsiasi aiuto :)

Ciao a tutti scusatemi se ieri ho aperto un'altra discussione anzichè postare qui.

Sintomi: crash del pc, lentezza, crash di firefox, crash di download di pochi mega, schermate blu di windows, crash di scan anti-rootkit anche in modalità provvisoria (prevx, norman sinowal, drweb), creazione cartella HelpAssistant in documents and settings.

Vi allego come da richiesto nella discussione poi chiusa i log di Gmer e Prevx

Gmer.txt (http://wikisend.com/download/574624/Gmer.txt)

Prevx.log (http://wikisend.com/download/368754/Prevx.log)

Grazie a tutti per qualsiasi aiuto :)

Procedi pure con la Seconda e Terza fase ed allega i log

Procedi pure con la Seconda e Terza fase ed allega i log

Putroppo non sono più in grado di riavviare il pc in modalità provvisoria (per poter usare Mbr.exe) da quando ho usato combofix perchè ha installato la console di rispristino, come posso fare?

Putroppo non sono più in grado di riavviare il pc in modalità provvisoria (per poter usare Mbr.exe) da quando ho usato combofix perchè ha installato la console di rispristino, come posso fare?

Leggi qui http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19

Procedi pure con la Seconda e Terza fase ed allega i log
Sono riuscito a riavviare in modalità provvisoria ecco i log della seconda fase:

mbr.log (http://wikisend.com/download/923812/mbr.log)

NFix_2009-12-02_17-55-00.log (http://wikisend.com/download/605806/NFix_2009-12-02_17-55-00.log)

Non sono sicuro di riuscire a completare la terza fase perchè finora Dr.Web CureIt! crasha sempre prima di finire la scansione express...sia in modalità normale che provvisoria, comunque ci riprovo :(

Confermo i crash quando avvio dr.web.
Questa volta appena clicco su avvia in modalità sia normale che provvisoria il pc si riavvia!!! :eek:

Confermo i crash quando avvio dr.web.
Questa volta appena clicco su avvia in modalità sia normale che provvisoria il pc si riavvia!!! :eek:

dopo f8 scegli disattiva riavvio automatico in caso d'errore cos' ci puoi riportare il codice d'errore della schemata blu

dopo f8 scegli disattiva riavvio automatico in caso d'errore cos' ci puoi riportare il codice d'errore della schemata blu

Fatto, ma il pc sempre dopo qualche secondo dal click su avvia si comporta come se avessi schiacciato reset sul case...e riparte...nessuna schermata blu, la schermata blu mi appare solo se provo a giocare...(premetto che il pc ha solo 1 anno di vita...sigh)
Ho provato a far partire il file inserendolo in una penna usb sia in modalità normale che provvisoria, ma il risultato è lo stesso...

Sono riuscito a farlo partire solo qualche volta prima di scrivere nel forum, ma non finiva mai la scansione express se volete posto il log di quella scansione...però non è completa...

Ciao visto i problemi con DrWeb perchè non provi con uno scansione con questo programma?
Lo lanci in modalità normale e con connessione internet attiva.
Nella versione free non elimina tutto ma se è hai un rootkit nel MBR dovrebbe aiutarti e ripulirlo.
http://www.prevx.com/homeandfamilyusers.asp?units=1&duration=year&val=free#boxxfree

Qui trovi una guida ben fatta:
http://www.hwupgrade.it/forum/showthread.php?t=1923599

Ciao ;)

Ciao visto i problemi con DrWeb perchè non provi con uno scansione con questo programma?
Lo lanci in modalità normale e con connessione internet attiva.
Nella versione free non elimina tutto ma se è hai un rootkit nel MBR dovrebbe aiutarti e ripulirlo.
http://www.prevx.com/homeandfamilyusers.asp?units=1&duration=year&val=free#boxxfree
Ciao ;)

Ti ringrazio molto, ma prevx l'ho già utilizzato e ho postato il log qualche post fa :) putroppo il problema permane:(

Chill-Out che cosa posso fare?
Si vede qualcosa dai log che ho postato?

Che problemi ha il tuo pc adesso?
Te lo chiedo perchè anche io ho avuto Il settore MBR con il rootkit.
Ho fatto mille e mille scansioni con i più svariati tool, ma l'unico che mi dava ancora infetto il settore MBR era mbr.exe
Il mio computer va bene, ma se eseguo mbr.exe mi da ancora quel messaggio.
Può accadere che rimangano delle traccie nel MBR ma se il computer non ti da problemi potresti essere come hanno definito il sottoscritto: un portatore sano.
;)
Fai alcune scansioni con:
[http://www.softpedia.com/get/Antivirus/Trend-Micro-Rootkit-Buster.shtml
http://www.softpedia.com/get/Antivirus/Kaspersky-Virus-Removal-Tool.shtml
http://www.softpedia.com/get/Antivirus/VirIT-eXplorer-Lite-NT-2K-XP.shtml

e se dopo questi non trovi nulla io credo puoi stare tranquillo.:)

Ah dimenticavo, anche io avevo HelpAssitant
Una procedura semplice ma utila dopo la disfenzione da HelpAssistant si è rivelata essere questa nel mio caso:

Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO


Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan.
Aspetta pazientemente la fine della scansione.
se venissero rilevati ADS, spunta tutte (senza paura) le caselline e clicca su Remove selected

Riavvia il pc.



Fai uno ScanDisk , e una deframmentazione del HD.

Il tuo antivirus riesce ad eseguire gli aggiornamenti?

Che problemi ha il tuo pc adesso?
Te lo chiedo perchè anche io ho avuto Il settore MBR con il rootkit.
Ho fatto mille e mille scansioni con i più svariati tool, ma l'unico che mi dava ancora infetto il settore MBR era mbr.exe
Il mio computer va bene, ma se eseguo mbr.exe mi da ancora quel messaggio.
Può accadere che rimangano delle traccie nel MBR ma se il computer non ti da problemi potresti essere come hanno definito il sottoscritto: un portatore sano.
;)
Fai alcune scansioni con:
[http://www.softpedia.com/get/Antivirus/Trend-Micro-Rootkit-Buster.shtml
http://www.softpedia.com/get/Antivirus/Kaspersky-Virus-Removal-Tool.shtml
http://www.softpedia.com/get/Antivirus/VirIT-eXplorer-Lite-NT-2K-XP.shtml

e se dopo questi non trovi nulla io credo puoi stare tranquillo.:)

Purtoppo il pc continua a bloccarsi in internet, ad essere lento, a crashare dopo qualche minuto dall'avvio di qualche programma...in definitiva dall'oggi al domani è diventato instabile...!:(

Fatto, ma il pc sempre dopo qualche secondo dal click su avvia si comporta come se avessi schiacciato reset sul case...e riparte...nessuna schermata blu, la schermata blu mi appare solo se provo a giocare...(premetto che il pc ha solo 1 anno di vita...sigh)
Ho provato a far partire il file inserendolo in una penna usb sia in modalità normale che provvisoria, ma il risultato è lo stesso...

Sono riuscito a farlo partire solo qualche volta prima di scrivere nel forum, ma non finiva mai la scansione express se volete posto il log di quella scansione...però non è completa...
avevo capito male io in che momento si riavviava
disabilita il riavvio automatico su XP
Pannello di controllo -> Sistema -> Avanzate -> Avvio e ripristino -> Impostazioni
togli il segno di spunta da "riavvia automaticamente in caso di errore"

Che problemi ha il tuo pc adesso?
Te lo chiedo perchè anche io ho avuto Il settore MBR con il rootkit.
Ho fatto mille e mille scansioni con i più svariati tool, ma l'unico che mi dava ancora infetto il settore MBR era mbr.exe
Il mio computer va bene, ma se eseguo mbr.exe mi da ancora quel messaggio.
Può accadere che rimangano delle traccie nel MBR ma se il computer non ti da problemi potresti essere come hanno definito il sottoscritto: un portatore sano.
;)
Fai alcune scansioni con:
[http://www.softpedia.com/get/Antivirus/Trend-Micro-Rootkit-Buster.shtml
http://www.softpedia.com/get/Antivirus/Kaspersky-Virus-Removal-Tool.shtml
http://www.softpedia.com/get/Antivirus/VirIT-eXplorer-Lite-NT-2K-XP.shtml

e se dopo questi non trovi nulla io credo puoi stare tranquillo.:)

Ah dimenticavo, anche io avevo HelpAssitant
Una procedura semplice ma utila dopo la disfenzione da HelpAssistant si è rivelata essere questa nel mio caso:

Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO


Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan.
Aspetta pazientemente la fine della scansione.
se venissero rilevati ADS, spunta tutte (senza paura) le caselline e clicca su Remove selected

Riavvia il pc.



Fai uno ScanDisk , e una deframmentazione del HD.

Il tuo antivirus riesce ad eseguire gli aggiornamenti?

ciao

c'è una guida già ben collaudata, perchè andare a fare altre operazioni inutili per questo specifico problema?

Ciao.
Sì ho letto la guida molto ben fatta come del resto le altre in questo forum.
Cercavo soltanto di aiutare un amico in difficoltà portando la mia diretta esperienza avendo avuto lo stesso suo problema e non è detto che siano operazioni inutili.

Fixmbr non ha avuto successo, l'ha fatto partire ma il trojan è sempre là. Allora significa che c'è qualcos'altro che dà linfa al codice del MBR.
Il MBR (Master Boot Record) è il settore più importante del disco rigido, è il settore 0 (il primo settore), misura 512 byte e al suo interno risiedono il primo stadio del bootloader (446 byte), la tabella di partizione (64 byte), che è la mappatura delle partizioni primarie del disco su cui è fisicamente installato e la signature della tabella di partizione (2 byte, solitamente sempre 55AA per sistemi PC).
Per questo gli ho suggerito intanto di fare una deframmentazione al disco infetto. Dopo la deframmentazione un controllo del disco con scandisk. Il trojan non ha bisogno di filesystem per vivere, e quindi non lo puoi nè vedere nè cancellare. Sembrano stupidate, ma se facciamo lavorare il disco c'è una probabilità che il settore infetto (25 byte di dimensione) venga sovrascritto. Se ho ragione, e i settori infetti vengono sovrascritti, sovrascriverai il rootkit, e tanti saluti. Poi, senza riavviare il sistema rifai fixmbr e mbr.exe -f.

Se così non funziona si potrebbe provare un wiper per ripulire lo spazio non utilizzato da file:
http://www.snapfiles.com/get/ultrawipe.html
Si installa, si apre clic su "Advanced Functions", seleziona il disco in cui sta il rootkit, fai clic su "Wipe free space" e premi OK. Ci starà un po' di tempo ma vediamo quello che succede.:)

avevo capito male io in che momento si riavviava
disabilita il riavvio automatico su XP
Pannello di controllo -> Sistema -> Avanzate -> Avvio e ripristino -> Impostazioni
togli il segno di spunta da "riavvia automaticamente in caso di errore"

ehm...fatto ma si spegne e riparte lo stesso come prima, sempre dopo qualche secondo dopo aver cliccato su avvia del programma dr.web...:(

ehm...fatto ma si spegne e riparte lo stesso come prima, sempre dopo qualche secondo dopo aver cliccato su avvia del programma dr.web...:(
i log di gmer e prevx mi sembravano puliti
chill ti ha consigliato di proseguire sia per prassi che per scrupolo
dal log di mbr si vede qualcosa ma non è detto che mbr sia ancora infetto, potrebbero essere tracce di un infezione passata

i tuoi problemi non possono essere riconducibili a problemi hardware?

Ciao.
Sì ho letto la guida molto ben fatta come del resto le altre in questo forum.
Cercavo soltanto di aiutare un amico in difficoltà portando la mia diretta esperienza avendo avuto lo stesso suo problema e non è detto che siano operazioni inutili.

Fixmbr non ha avuto successo, l'ha fatto partire ma il trojan è sempre là. Allora significa che c'è qualcos'altro che dà linfa al codice del MBR.
Il MBR (Master Boot Record) è il settore più importante del disco rigido, è il settore 0 (il primo settore), misura 512 byte e al suo interno risiedono il primo stadio del bootloader (446 byte), la tabella di partizione (64 byte), che è la mappatura delle partizioni primarie del disco su cui è fisicamente installato e la signature della tabella di partizione (2 byte, solitamente sempre 55AA per sistemi PC).
Per questo gli ho suggerito intanto di fare una deframmentazione al disco infetto. Dopo la deframmentazione un controllo del disco con scandisk. Il trojan non ha bisogno di filesystem per vivere, e quindi non lo puoi nè vedere nè cancellare. Sembrano stupidate, ma se facciamo lavorare il disco c'è una probabilità che il settore infetto (25 byte di dimensione) venga sovrascritto. Se ho ragione, e i settori infetti vengono sovrascritti, sovrascriverai il rootkit, e tanti saluti. Poi, senza riavviare il sistema rifai fixmbr e mbr.exe -f.

Se così non funziona si potrebbe provare un wiper per ripulire lo spazio non utilizzato da file:
http://www.snapfiles.com/get/ultrawipe.html
Si installa, si apre clic su "Advanced Functions", seleziona il disco in cui sta il rootkit, fai clic su "Wipe free space" e premi OK. Ci starà un po' di tempo ma vediamo quello che succede.:)

non so se sei stato curato o sei il "curatore" di megalab
però wipe e deframmentazioni in questo caso non servono a nulla

i tuoi problemi non possono essere riconducibili a problemi hardware?

Non credo proprio anche perchè da un giorno all'altro sono iniziati i problemi...da quando sono entrato in un sito e nod32 mi ha rilevato un virus, ho eseguito la procedura consigliata da nod e poi quando il giorno dopo ho riacceso il pc mi sono trovato tutti questi bei problemi compresa l'incompatibilità con windows messenger live che crashava ad ogni avvio e l'ho dovuto disintallare...è una settimana che combatto con sto problema e non ne vango a capo...avevo pensato di formattare, ma il problema non verrebbe risolto quindi seguo passo passo ciò che gli esperti mi consigliano :)

Curato :)
ma non direttamente soltanto leggendo e mettendo in pratica quello che ho letto.
Il Curatore è molto molto più professionale e bravo :) :D
Guarda che la mia non era una polemica bene inteso, ma soltanto cercavo di aiutare.

Anche perchè mi trovo una carinissima cartella HelpAssistant che continua a ricrearsi dopo che la cancello...:cry:

Curato :)
ma non direttamente soltanto leggendo e mettendo in pratica quello che ho letto.
Il Curatore è molto molto più professionale e bravo :) :D
Guarda che la mia non era una polemica bene inteso, ma soltanto cercavo di aiutare.

ho letto cose interessanti in quel 3d ma anche tanti tentativi "a caso" diciamo
ho capito che non era polemica :)

Anche perchè mi trovo una carinissima cartella HelpAssistant che continua a ricrearsi dopo che la cancello...:cry:

il fix mbr da console non l'hai ancora provato se non sbaglio vero?

il fix mbr da console non l'hai ancora provato se non sbaglio vero?

non ancora...

si esegue da console di ripristino vero?

si esegue da console di ripristino vero?

accedi la console di ripristino di Windows XP (http://www.hwupgrade.it/forum/showpost.php?p=26119983&postcount=58)
digita il comando:
FIXMBR e premi Y per confermare
al termine digita Exit (invio), togli il cd e vediamo come va il seguente riavvio

accedi la console di ripristino di Windows XP (http://www.hwupgrade.it/forum/showpost.php?p=26119983&postcount=58)
digita il comando:
FIXMBR e premi Y per confermare
al termine digita Exit (invio), togli il cd e vediamo come va il seguente riavvio

eccomi qui tutto fatto, sembra un pò più veloce al riavvio, come faccio per sapere se ho risolto?

ho letto cose interessanti in quel 3d ma anche tanti tentativi "a caso" diciamo
ho capito che non era polemica :)

Onestamente non so quali fossero i tentativi a caso e/o quelli interessanti, certamente è una procedura non semplice ma sembra piutttosto efficace sopratutto quando anche fixmbr da cd non funziona.
Grazie per aver capito :)

eccomi qui tutto fatto, sembra un pò più veloce al riavvio, come faccio per sapere se ho risolto?


Io credo che la cosa da fare sia ripetere la scansione che ti dava "malato" e poi tieni d'occhio la cartella C/documents & settings se ti si ricrea l'utente HelpAssistant.

Comunuqe io farei una scansione completa con:

DrWeb se ti funziona
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
e con:
http://www.softpedia.com/get/Antivirus/Kaspersky-Virus-Removal-Tool.shtml

E poi infine cambierei AVG con Avira! :)

Io credo che la cosa da fare sia ripetere la scansione che ti dava "malato" e poi tieni d'occhio la cartella C/documents & settings se ti si ricrea l'utente HelpAssistant.

Comunuqe io farei una scansione completa con:

DrWeb se ti funziona
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
e con:
http://www.softpedia.com/get/Antivirus/Kaspersky-Virus-Removal-Tool.shtml

E poi infine cambierei AVG con Avira! :)

Allora ho provato a far partire dr.web ed è partito questa volta solo che a metà scansione express mi ha dato questo errore : Si è verificato un errore in 7396tXP.exe. L'applicazione verrà chiusa.

Hai provato ad eseguire la scansione in provvisoria?
Non so che sia quell'errore, se vuoi aspetta wjmat

Onestamente non so quali fossero i tentativi a caso e/o quelli interessanti, certamente è una procedura non semplice ma sembra piutttosto efficace sopratutto quando anche fixmbr da cd non funziona.
Grazie per aver capito :)
i tentativi inutili sono la deframmentazione e il wipe
la cosa interessante era l'edit manuale dei settori del disco, se non ho visto male
il fix da cd deve funzionare sempre

eccomi qui tutto fatto, sembra un pò più veloce al riavvio, come faccio per sapere se ho risolto?

nuovi log di gmer, prevx e fixmbr.exe -f

i tentativi inutili sono la deframmentazione e il wipe
la cosa interessante era l'edit manuale dei settori del disco, se non ho visto male
il fix da cd deve funzionare sempre

Dovrebbe ... a me per esempio da errore ancora adesso :)

Dovrebbe ... a me per esempio da errore ancora adesso :)

che errore?

Ciao a tutti, purtroppo credo di essere stato infettato... Ieri stavo navigando e ad un certo punto avira mi ha beccato 2 virus. Niente di problematico, ho fatto elimina e tutto è andato apposto. Dopp 10 minuti però, mentre ero in msn, il pc si è spento.

Al riavvio tutto mi è sembrato molto + lento, soprattutto explorer ed messenger e windows live mail non funzionano più, dandomi un problema al ntdll riscontrato in windows live comunication platform. Ho anche due cartelle help assistant in document and settings, le elimino?

Dopo varie ricerche ho trovato la vostra guida, ho fatto tutto quello che c'è scritto (vi allego i log) ma purtroppo il problema non è risolto.

Ecco il log di gmer: log gmer.txt (http://wikisend.com/download/598940/log gmer.txt)

Log di prevx3 (non segnala anomalie, ma oggi pomeriggio indicava un errore in un file di coreldraw): prevx3.log (http://wikisend.com/download/612986/prevx3.log)

Log mbr stealth rootkit: mbr.txt (http://wikisend.com/download/463882/mbr.txt)

Non so proprio più che fare....

Grazie!

Ciao a tutti, purtroppo credo di essere stato infettato... Ieri stavo navigando e ad un certo punto avira mi ha beccato 2 virus. Niente di problematico, ho fatto elimina e tutto è andato apposto. Dopp 10 minuti però, mentre ero in msn, il pc si è spento.

Al riavvio tutto mi è sembrato molto + lento, soprattutto explorer ed messenger e windows live mail non funzionano più, dandomi un problema al ntdll riscontrato in windows live comunication platform. Ho anche due cartelle help assistant in document and settings, le elimino?

Dopo varie ricerche ho trovato la vostra guida, ho fatto tutto quello che c'è scritto (vi allego i log) ma purtroppo il problema non è risolto.

Ecco il log di gmer: log gmer.txt (http://wikisend.com/download/598940/log gmer.txt)

Log di prevx3 (non segnala anomalie, ma oggi pomeriggio indicava un errore in un file di coreldraw): prevx3.log (http://wikisend.com/download/612986/prevx3.log)

Log mbr stealth rootkit: mbr.txt (http://wikisend.com/download/463882/mbr.txt)

Non so proprio più che fare....

Grazie!
ciao

i log sono puliti
procedi con i restanti punti

se non risolvi segui qui
http://www.hwupgrade.it/forum/showpost.php?p=29937680&postcount=2169

che errore?

quando entro nella consolle di ripristino e digito fixmbr mi da una specie di errore/avviso:

Record di avvio principale non valido o non standard
Procedendo le tabelle di partizione potrebbero essere danneggiate
ciò potrebbe provocare l'inaccessibilità di tutte le partizioni del disco rigido corrente,
Se non si hanno problemi nell'accesso al disco si consiglia di non proseguire

Scrivere un nuovo record di avvio principale? io risp Y
e mi ripone la domanda fino a che non scrivo N
e torna a C:\Windows
exit ed esco dalla consolle:doh:

Ciao visto i problemi con DrWeb perchè non provi con uno scansione con questo programma?
Lo lanci in modalità normale e con connessione internet attiva.
Nella versione free non elimina tutto ma se è hai un rootkit nel MBR dovrebbe aiutarti e ripulirlo.
http://www.prevx.com/homeandfamilyusers.asp?units=1&duration=year&val=free#boxxfree

Qui trovi una guida ben fatta:
http://www.hwupgrade.it/forum/showthread.php?t=1923599

Ciao ;)

L'hai letta la Guida in prima pagina?

Che problemi ha il tuo pc adesso?
Te lo chiedo perchè anche io ho avuto Il settore MBR con il rootkit.
Ho fatto mille e mille scansioni con i più svariati tool, ma l'unico che mi dava ancora infetto il settore MBR era mbr.exe
Il mio computer va bene, ma se eseguo mbr.exe mi da ancora quel messaggio.
Può accadere che rimangano delle traccie nel MBR ma se il computer non ti da problemi potresti essere come hanno definito il sottoscritto: un portatore sano.
;)
Fai alcune scansioni con:
[http://www.softpedia.com/get/Antivirus/Trend-Micro-Rootkit-Buster.shtml
http://www.softpedia.com/get/Antivirus/Kaspersky-Virus-Removal-Tool.shtml
http://www.softpedia.com/get/Antivirus/VirIT-eXplorer-Lite-NT-2K-XP.shtml

e se dopo questi non trovi nulla io credo puoi stare tranquillo.:)

Cortesemente linka solo ed esclusivamente i siti ufficiali, comunque i vari tool indicati servono a nulla

Ah dimenticavo, anche io avevo HelpAssitant
Una procedura semplice ma utila dopo la disfenzione da HelpAssistant si è rivelata essere questa nel mio caso:

Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO


Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan.
Aspetta pazientemente la fine della scansione.
se venissero rilevati ADS, spunta tutte (senza paura) le caselline e clicca su Remove selected

Riavvia il pc.



Fai uno ScanDisk , e una deframmentazione del HD.

Il tuo antivirus riesce ad eseguire gli aggiornamenti?

Questa procedura non risolve il problema legato a HelpAssistant

Ciao, scusa per il disturbo, sono infetto dal rootkit, ho cominciato la prima fase, a breve ti passo i log, grazie in anticipo!!!!

ciao

i log sono puliti
procedi con i restanti punti

se non risolvi segui qui
http://www.hwupgrade.it/forum/showpost.php?p=29937680&postcount=2169

Ecco il log di Norman SinowalMBR Cleaner: NFix_2009-12-03_21-10-07.log (http://wikisend.com/download/949108/NFix_2009-12-03_21-10-07.log)

Anche qui sembra tutto apposto eppure il pc funziona male. Per aprire il browser ho dovuto aspettare 3 minuti. Possibile che non si riesca a rimuovere?

ho fatto i primi 2 passi della prima fase
http://www.mediafire.com/?jyznmlyziwn

http://www.mediafire.com/?vi5jmmwlzym

per quanto rigurda la seconda scansione con prevx, all'avvio, dopo aver disattivato l'antivirus mi si spegne il pc. dopo averlo riacceso mi parte la scansione con prevx in cui rileva di nuovo il rootkit

Ecco il log di Norman SinowalMBR Cleaner: NFix_2009-12-03_21-10-07.log (http://wikisend.com/download/949108/NFix_2009-12-03_21-10-07.log)

Anche qui sembra tutto apposto eppure il pc funziona male. Per aprire il browser ho dovuto aspettare 3 minuti. Possibile che non si riesca a rimuovere?

http://www.hwupgrade.it/forum/showpost.php?p=29937680&postcount=2169

ho fatto i primi 2 passi della prima fase
http://www.mediafire.com/?jyznmlyziwn

http://www.mediafire.com/?vi5jmmwlzym

per quanto rigurda la seconda scansione con prevx, all'avvio, dopo aver disattivato l'antivirus mi si spegne il pc. dopo averlo riacceso mi parte la scansione con prevx in cui rileva di nuovo il rootkit
ciao

prevx dovrebbe proporti la rimozione gratuita, rimuovi e procedi con la guida

nuovi log di gmer, prevx e fixmbr.exe -f

Ecco i log:

Gmer 2.txt (http://wikisend.com/download/956986/Gmer 2.txt)

Prevx 2.log (http://wikisend.com/download/465250/Prevx 2.log)

mbr2.log (http://wikisend.com/download/495322/mbr2.log)

Per quanto riguarda Dr.web ho provato ad installare la versione trial della durata di 30 giorni ed è riuscito a finire la scansione rapida dove non trova mai nulla, però avviando quella completa non riesce a completarla e dopo poco rileva un errore e si chiude sempre allo stesso punto: alcune patch di FCM (fantacalcio manager, assolutamente sicure)...

Il pc ora sembra funzionare normalmente però è rimasta ancora la cartella HelpAssistant...come la cancello? in base ai log sono pulito?

Ecco i log:

Gmer 2.txt (http://wikisend.com/download/956986/Gmer 2.txt)

Prevx 2.log (http://wikisend.com/download/465250/Prevx 2.log)

mbr2.log (http://wikisend.com/download/495322/mbr2.log)

Per quanto riguarda Dr.web ho provato ad installare la versione trial della durata di 30 giorni ed è riuscito a finire la scansione rapida dove non trova mai nulla, però avviando quella completa non riesce a completarla e dopo poco rileva un errore e si chiude sempre allo stesso punto: alcune patch di FCM (fantacalcio manager, assolutamente sicure)...

Il pc ora sembra funzionare normalmente però è rimasta ancora la cartella HelpAssistant...come la cancello? in base ai log sono pulito?
i log sono puliti a parte quello di mbr che rimarrà sporco

Tasto Win + R oppure Start → Esegui → digita o copia/incolla lusrmgr.msc batti invio ed entra nella cartella users poi ripeti con control userpasswords
in entrambe le finestre vedi HelpAssistant?

i log sono puliti a parte quello di mbr che rimarrà sporco

Tasto Win + R oppure Start → Esegui → digita o copia/incolla lusrmgr.msc batti invio ed entra nella cartella users poi ripeti con control userpasswords
in entrambe le finestre vedi HelpAssistant?

il primo comando non funziona, mi appare una schermata dove si dice che per vedere l'utente bisogna andare in pannello di controllo e poi account utente.
nella seconda, che apre il percorso descritto sopra, c'è il mio account e un account guest non attivato...

il primo comando non funziona, mi appare una schermata dove si dice che per vedere l'utente bisogna andare in pannello di controllo e poi account utente.
nella seconda, che apre il percorso descritto sopra, c'è il mio account e un account guest non attivato...

Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer - Utenti e gruppi locali - Users

http://www.hwupgrade.it/forum/showpost.php?p=29937680&postcount=2169

Ho fatto come dici. Dopo essere uscito dalla console di ripristino ha effettuato il controllo del file system.

Sembra funzionare tutto, internet è molto più veloce e messenger e windows live mail non danno + errori. L'accensione è ancora eterne e la cpu lavora ancora al 100% senza motivo (anche se per pochi secondi). Credo che questo però sia un altro discorso, dovuto alla marea di processi attivi, ora risolverò anche questo.

Per ora grazie, speriamo di averlo battuto ;)

Ho anche eliminato le cartelle help assistant e non sono riapparse al riavvio.

Ma in pratica la console di ripristino cosa ha fatto? Ha sostituito il file system?

Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer - Utenti e gruppi locali - Users

Sotto gestione computer non trovo utenti e gruppi locali...scusa l'ignoranza :(

Vedo: utilità di sistema, archiviazione, servizi e applicazioni

questo è il log dopo la rimozione con prevx
http://www.mediafire.com/file/td40t0ynong/prevx2.log

Ho fatto come dici. Dopo essere uscito dalla console di ripristino ha effettuato il controllo del file system.

Sembra funzionare tutto, internet è molto più veloce e messenger e windows live mail non danno + errori. L'accensione è ancora eterne e la cpu lavora ancora al 100% senza motivo (anche se per pochi secondi). Credo che questo però sia un altro discorso, dovuto alla marea di processi attivi, ora risolverò anche questo.

Per ora grazie, speriamo di averlo battuto ;)

Ho anche eliminato le cartelle help assistant e non sono riapparse al riavvio.

Ma in pratica la console di ripristino cosa ha fatto? Ha sostituito il file system?

ottimo

fixmbr va riscrivere solo il MBR

Sotto gestione computer non trovo utenti e gruppi locali...scusa l'ignoranza :(

Vedo: utilità di sistema, archiviazione, servizi e applicazioni

strano

la cartella helpassistant eliminala pure e controlla che non si riformi

questo è il log dopo la rimozione con prevx
http://www.mediafire.com/file/td40t0ynong/prevx2.log

procedi con i restanti punti

strano

la cartella helpassistant eliminala pure e controlla che non si riformi

non posso cancellarla perchè mi dice che il file NTUSER è già in uso da un altro programma e non può essere cancellato.
Ho provato a cliccare con il destro su risorse del computer/proprietà/avanzate/profilo utente/impostazioni e ho trovato 3 profili: admistrator, daniele (il mio) e poi helpassistant però in account utente administrator ed help assistant non ci sono, c'è solo il mio e guest (non attivato)...

Sotto gestione computer non trovo utenti e gruppi locali...scusa l'ignoranza :(

Vedo: utilità di sistema, archiviazione, servizi e applicazioni

Non la trovi perchè il tuo SO è XP Home Edition

non posso cancellarla perchè mi dice che il file NTUSER è già in uso da un altro programma e non può essere cancellato.
Ho provato a cliccare con il destro su risorse del computer/proprietà/avanzate/profilo utente/impostazioni e ho trovato 3 profili: admistrator, daniele (il mio) e poi helpassistant però in account utente administrator ed help assistant non ci sono, c'è solo il mio e guest (non attivato)...

Start - Pannello di controllo - Account utente ed elimina il profilo HelpAssistant dopodichè elimina la cartella.

Non la trovi perchè il tuo SO è XP Home Edition

Esatto :)

Start - Pannello di controllo - Account utente ed elimina il profilo HelpAssistant dopodichè elimina la cartella.

Nel percorso che mi hai indicato ci sono soltanto Daniele (mio account) e Guest (non so cosa sia, ma risulta non essere attivo)...

Esatto :)



Nel percorso che mi hai indicato ci sono soltanto Daniele (mio account) e Guest (non so cosa sia, ma risulta non essere attivo)...

Allegami su http://imageshack.us/ uno screenshot dei Profili utente

Allegami su http://imageshack.us/ uno screenshot dei Profili utente

ecco il link

http://img192.imageshack.us/img192/7086/accountd.jpg

non posso cancellarla perchè mi dice che il file NTUSER è già in uso da un altro programma e non può essere cancellato.
Ho provato a cliccare con il destro su risorse del computer/proprietà/avanzate/profilo utente/impostazioni e ho trovato 3 profili: admistrator, daniele (il mio) e poi helpassistant però in account utente administrator ed help assistant non ci sono, c'è solo il mio e guest (non attivato)...

Intendevo la screenshot della parte in grassetto

Aggiornamento provvisorio della Guida per il problema HelpAssistant

Scusate, nella seconda fase, dopo aver riavviato in modalità provvisoria, eseguo mbr.exe, esce una schermata nera per un secondo, dopodichè scompare. Mi sapete dire cosa è successo??? Ho riprovato più volte ma nnt.....

Aggiornamento provvisorio della Guida per il problema HelpAssistant

ottimo :)

Scusate, nella seconda fase, dopo aver riavviato in modalità provvisoria, eseguo mbr.exe, esce una schermata nera per un secondo, dopodichè scompare. Mi sapete dire cosa è successo??? Ho riprovato più volte ma nnt.....

in c: avrai il log

Intendevo la screenshot della parte in grassetto

Scusami ha capito male, eccoti lo screenshot giusto.

http://img338.imageshack.us/img338/9329/accout2.jpg

Questi sono i log della seconda fase:
http://www.mediafire.com/file/z2dudmjjjmz/mbr.log

http://www.mediafire.com/file/0dgoemd0zj3/NFix_2009-12-04_22-50-23.log


Posso passare alla terza fase???? Grazie...

Questo è il log della terza fase

http://www.mediafire.com/file/0zht4wdznnm/cureit filtrato.txt


Adesso cosa posso fare per capire se l'ho davvero rimosso?????

Scusami ha capito male, eccoti lo screenshot giusto.

http://img338.imageshack.us/img338/9329/accout2.jpg

Elimina il Profilo e cancella la cartella.

Questo è il log della terza fase

http://www.mediafire.com/file/0zht4wdznnm/cureit filtrato.txt


Adesso cosa posso fare per capire se l'ho davvero rimosso?????

Dovremmo essere ok, allega un nuovo log di Prevx.

Elimina il Profilo e cancella la cartella.

Ho eliminato il profilo ed è scomparsa anche la cartella :)

Devo fare un altro scan con qualche programma o posso dirmi pulito?

Ho eliminato il profilo ed è scomparsa anche la cartella :)

Devo fare un altro scan con qualche programma o posso dirmi pulito?

Direi di no, segui i suggerimenti che trovi sempre nella Guida in prima pagina, ciao.

Direi di no, segui i suggerimenti che trovi sempre nella Guida in prima pagina, ciao.

Si lo faccio subito!

Grazie mille di tutto ragazzi senza di voi non ce l'avrei fatta!!!:)

questo è il nuovo log di prevx
http://www.mediafire.com/file/dyzyzmeyjyz/prevx.log

grazie!!!!

Si lo faccio subito!

Grazie mille di tutto ragazzi senza di voi non ce l'avrei fatta!!!:)

Prego ;)

questo è il nuovo log di prevx
http://www.mediafire.com/file/dyzyzmeyjyz/prevx.log

grazie!!!!

Ok, segui i suggerimenti che trovi sempre nella Guida in prima pagina, ciao.

Salve a tutti,

Settimana scorsa andando su internet ho preso un trojan che avast ha provveduto a terminare subito. Subito dopo il pc ha cominiciato a rallentare a crashare ect..
Personalmente ho agito con combofix che mi ha subito segnalato la presenza di rootkit. Finita la scansione combofix mette in quarantena un file atapi.sys.vir.
Il pc ora funziona come prima ma l'mbr rimane intaccato:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x057541440
malicious code @ sector 0x057541443 !
PE file found in sector at 0x057541459 !

Facendo la scansione con tutti i programmi della guida solo prevx mi trova dei file sospetti ma che apparentemente non centrano nulla col mio problema
http://img214.imageshack.us/img214/3161/prevx.png
So per certo che l'exe in questione è un utility della mia stampante
Facendo la scansione del primo file con virscan 2 antivirus lo segnalano come trojan:
nProtect 20091127.01 6396533 2009-11-27
Trojan-Dropper/W32.LJoiner.380928

VBA32 3.12.12.0 20091130.1546 2009-11-30
Trojan-Dropper.Win32.LJoiner.bi

Spero di essere stato abbastanza esaustivo e attendo risposte :) .

allora,avevo postato qualche giorno fa,avevo preso tempo fa questo virus, risolto formattando,dopo instabilità sistema,dopo circa un mese l' ho ripreso.....sui dischi nessun file infetto segnalato al tempo,se non un sinowal in un disco differente da dove c' è il sistema non tolto in tempo.....si possono trasmettere da dischi?dove si prendono in genere questi virus?

attuale responso FixMebroot

Symantec Trojan.Mebroot Removal Tool 1.0.1
Found drive \\.\PhysicalDrive0, analyzing MBR...
Found drive \\.\PhysicalDrive1, analyzing MBR...
Found drive \\.\PhysicalDrive2, analyzing MBR...
Found drive \\.\PhysicalDrive3, analyzing MBR...
Creating FixMebroot service driver
Running driver...
Trojan.Mebroot has not been found active on your computer.
Delete service driver
Delete driver file
End


The system requires a reboot but was not rebooted.
To clean up all remnants of the threat from the system it must be rebooted.


Sono a posto?

Salve a tutti,

Settimana scorsa andando su internet ho preso un trojan che avast ha provveduto a terminare subito. Subito dopo il pc ha cominiciato a rallentare a crashare ect..
Personalmente ho agito con combofix che mi ha subito segnalato la presenza di rootkit. Finita la scansione combofix mette in quarantena un file atapi.sys.vir.
Il pc ora funziona come prima ma l'mbr rimane intaccato:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x057541440
malicious code @ sector 0x057541443 !
PE file found in sector at 0x057541459 !

Facendo la scansione con tutti i programmi della guida solo prevx mi trova dei file sospetti ma che apparentemente non centrano nulla col mio problema
http://img214.imageshack.us/img214/3161/prevx.png
So per certo che l'exe in questione è un utility della mia stampante
Facendo la scansione del primo file con virscan 2 antivirus lo segnalano come trojan:
nProtect 20091127.01 6396533 2009-11-27
Trojan-Dropper/W32.LJoiner.380928

VBA32 3.12.12.0 20091130.1546 2009-11-30
Trojan-Dropper.Win32.LJoiner.bi

Spero di essere stato abbastanza esaustivo e attendo risposte :) .

allora,avevo postato qualche giorno fa,avevo preso tempo fa questo virus, risolto formattando,dopo instabilità sistema,dopo circa un mese l' ho ripreso.....sui dischi nessun file infetto segnalato al tempo,se non un sinowal in un disco differente da dove c' è il sistema non tolto in tempo.....si possono trasmettere da dischi?dove si prendono in genere questi virus?

attuale responso FixMebroot

Symantec Trojan.Mebroot Removal Tool 1.0.1
Found drive \\.\PhysicalDrive0, analyzing MBR...
Found drive \\.\PhysicalDrive1, analyzing MBR...
Found drive \\.\PhysicalDrive2, analyzing MBR...
Found drive \\.\PhysicalDrive3, analyzing MBR...
Creating FixMebroot service driver
Running driver...
Trojan.Mebroot has not been found active on your computer.
Delete service driver
Delete driver file
End


The system requires a reboot but was not rebooted.
To clean up all remnants of the threat from the system it must be rebooted.


Sono a posto?

Ciao, leggete attentamente la Guida in prima pagina e mettete in pratica i suggerimenti.

Ripristino disattivato
Link log di gmer
http://wikisend.com/download/951408/Scan Gmer.txt

Risultati Prevx
http://img214.imageshack.us/img214/3161/prevx.png

link log di gmer :http://wikisend.com/download/631840/scan.txt.txt

link log di prevx :http://wikisend.com/download/476348/scan 2.txt.log

link del log Nfix : http://wikisend.com/download/547464/NFix_2009-12-07_13-43-44.log

ora posso procedere alla terza fase? aspetto una risposta grazie mille per l'aiuto

scusa questo è il primo link della seconda fase quello del log di mbr. : http://wikisend.com/download/555416/mbr.log

adesso posso passare alla terza fase?

ciao a tt..tempo fa scrissi in questa discussione xke ero affetto da questo maledetto MBR.. provai a formattare e ualaaa..il pc era tornato perfetto, anzi meglio di prima..
oggi pero sono andato a fare una scansione con nod32..e mi dice questo:
Il settore MBR di 2 disco fisso contiene cavallo di troia Win32/Mebroot.mbr

ke devo fare? mi dice cosi xke ormai quella sezione è danneggiata? xke il pc nn mi da nessun problema..almeno fino ad oggi..

aggiornamento..ho fatto la scansione con un programma di nome Norman Sinowa Cleaner...e mi dice questo..

Number of infections found: 0
Number of infections removed: 0
Total scanning time: 1s 328ms


Scanning running processes and process memory...

Number of processes/threads found: 2102
Number of processes/threads scanned: 2102
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 1m 32s


Scanning file system...

Scanning: C:\*.*

Scanning: D:\*.*

D:\Incoming\Formattazione\File ricevuti\Programmi\real player v10 gold ita + crack.rar/real_player_10_premium-crack.rar/CMT (Error whilst scanning file: I/O Error)

D:\Incoming\Formattazione\File ricevuti\Programmi\VSO.ConvertXtoDVD.Multilanguage.v2.0.11.WinALL.Cracked-ENGiNE.rar/CMT (Error whilst scanning file: I/O Error)

D:\Incoming\Formattazione\File ricevuti\Programmi\VSO.ConvertXtoDVD.Multilanguage.v2.0.11.WinALL.Cracked-ENGiNE.rar/RR (Error whilst scanning file: I/O Error)


Running post-scan cleanup routine:

Number of files found: 60760
Number of archives unpacked: 287
Number of files scanned: 60730
Number of files not scanned: 30
Number of files skipped due to exclude list: 0
Number of infected files found: 0
Number of infected files repaired/deleted: 0
Number of infections removed: 0
Total scanning time: 21m 8s


Successivamente scarico DRweb..faccio la scansione..ed ecco..

c:\windows\winsxs\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.2600.5581_x-ww_dfbc4fc4\gdiplus.dll

infettato da BackDoor.MaosBoot

faccio la cura..riavvio..riprovo la scansione con nod32..e nn mi dice piu l errore iniziale..

aggiornamento..ho fatto la scansione con un programma di nome Norman Sinowa Cleaner...e mi dice questo..



Successivamente scarico DRweb..faccio la scansione..ed ecco..

c:\windows\winsxs\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.2600.5581_x-ww_dfbc4fc4\gdiplus.dll

infettato da BackDoor.MaosBoot

faccio la cura..riavvio..riprovo la scansione con nod32..e nn mi dice piu l errore iniziale..

Ciao, leggi attentamente la Guida in prima pagina e mettete in pratica i suggerimenti.

Ripristino disattivato
Link log di gmer
http://wikisend.com/download/951408/Scan Gmer.txt

Risultati Prevx
http://img214.imageshack.us/img214/3161/prevx.png

Allega il log di Prevx

scusa questo è il primo link della seconda fase quello del log di mbr. : http://wikisend.com/download/555416/mbr.log

adesso posso passare alla terza fase?

Allega il log di CureIt + nuovo log di Prevx

Allega il log di Prevx

Scusami

Ecco http://wikisend.com/download/469942/Prevx log.log

Scusami

Ecco http://wikisend.com/download/469942/Prevx log.log

Dai log non emergono tracce del Rootkit in questione, per scrupolo procedi con la Seconda e Terza fase, attendiamo i log.

PS: allega anche il log di Combo che hau fatto girare in precedenza lo trovi in C:\Combofix.txt

controllino grazie :) sintomi computer portatile: molto lento

posto qua ma a dire il vero non ho idea se possano esserci problemi in generale

gmer: http://wikisend.com/download/561640/gmer.txt

csi: http://wikisend.com/download/476898/csi.log

controllino grazie :) sintomi computer portatile: molto lento

posto qua ma a dire il vero non ho idea se possano esserci problemi in generale

gmer: http://wikisend.com/download/561640/gmer.txt

csi: http://wikisend.com/download/476898/csi.log

ciao

non c'è nulla inerente a mbr rootkit

ciao

non c'è nulla inerente a mbr rootkit


grazie, meglio così, visto che ho un po di tempo faccio comunque tutti i controlli da capo per la disinfezione e posto i report da qualche parte, ciao

grazie, meglio così, visto che ho un po di tempo faccio comunque tutti i controlli da capo per la disinfezione e posto i report da qualche parte, ciao

di nulla, ciao

Dai log non emergono tracce del Rootkit in questione, per scrupolo procedi con la Seconda e Terza fase, attendiamo i log.

PS: allega anche il log di Combo che hau fatto girare in precedenza lo trovi in C:\Combofix.txt


Il primo log di combofix putroppo non lo possiedo più ma avevo fatto un'altra scansione subito dopo la rimozione di quel file atapi.sys che ti parlavo.

http://wikisend.com/download/929218/ComboFix.txt

http://wikisend.com/download/613200/NFix_2009-12-20_12-02-55.log

http://wikisend.com/download/930032/cureit filtrato.txt

Il primo log di combofix putroppo non lo possiedo più ma avevo fatto un'altra scansione subito dopo la rimozione di quel file atapi.sys che ti parlavo.

http://wikisend.com/download/929218/ComboFix.txt

http://wikisend.com/download/613200/NFix_2009-12-20_12-02-55.log

http://wikisend.com/download/930032/cureit filtrato.txt

E' passato qualche giorno quindi la situazione potrebbe essere mutata, comunque non vedo il log di Stealth MBR rootkit detector inoltre dal log di CureIt si evince che hai fatto scansione rapida, come indicato in Guida è opportuno fare scansione completa.

Ho fatto partire la scansione con Gmer e tempo 10 secondi mi e' comparsa una spaventosa schermata blu dicendomi che il mio pc veniva riavviato per evitare danni peggiori... poi al riavvio il pc presentava i sintomi del qualche sto cercando di liberarmi cioe' cpu bloccata al 100% che mi blocca tutto il pc.. sto notando che quando mi capita se riavvio ho ancora il solito problema,se invece spengo il pc per 5 minuti e poi riaccendo sembra che funzioni.....
Ora riprovo a fare la scansione con gmer... speriamo in bene!!!

Ho fatto partire la scansione con Gmer e tempo 10 secondi mi e' comparsa una spaventosa schermata blu dicendomi che il mio pc veniva riavviato per evitare danni peggiori... poi al riavvio il pc presentava i sintomi del qualche sto cercando di liberarmi cioe' cpu bloccata al 100% che mi blocca tutto il pc.. sto notando che quando mi capita se riavvio ho ancora il solito problema,se invece spengo il pc per 5 minuti e poi riaccendo sembra che funzioni.....
Ora riprovo a fare la scansione con gmer... speriamo in bene!!!

Saltala tanto crasha ancora, passa a Prevx :)

Saltala tanto crasha ancora, passa a Prevx :)

infatti ha craschato di nuovo.... ho fatto intempo ad intravvedere nella schermata blu che faceva riferimento ad un file ma nn ho fatto tempo a segnarmi il nome.. era qualcosa tipo uvlcjob...
se questo file potrebbe essere importante potrei farlo crashare di nuovo per segnarmi il file.

Con Prevx sembra non mi segnala nessuna anomalia...
cmq ho allegato il log.
http://www.mediafire.com/file/zotmwiynjjy/Prevx.txt

infatti ha craschato di nuovo.... ho fatto intempo ad intravvedere nella schermata blu che faceva riferimento ad un file ma nn ho fatto tempo a segnarmi il nome.. era qualcosa tipo uvlcjob...
se questo file potrebbe essere importante potrei farlo crashare di nuovo per segnarmi il file.

Con Prevx sembra non mi segnala nessuna anomalia...
cmq ho allegato il log.
http://www.mediafire.com/file/zotmwiynjjy/Prevx.txt

No non serve, dovrebbe trattarsi del driver caricato da Gmer, mentre per quanto concerne Prevx il log è pulito, quindi il problema non sembra riconducibile ad un virus, più probabilmente ad una incompatibilità a livello software.

No non serve, dovrebbe trattarsi del driver caricato da Gmer, mentre per quanto concerne Prevx il log è pulito, quindi il problema non sembra riconducibile ad un virus, più probabilmente ad una incompatibilità a livello software.

ok grazie mille per l'aiuto!
:)

ok grazie mille per l'aiuto!
:)

Prego

No non serve, dovrebbe trattarsi del driver caricato da Gmer, mentre per quanto concerne Prevx il log è pulito, quindi il problema non sembra riconducibile ad un virus, più probabilmente ad una incompatibilità a livello software.

Oggi non riesco neanche ad accenderlo il pc(sto usando il pc di casa infatti),cioe' parte ma gia mette il doppio del tempo a caricare windows e quindi ha da subito la cpu al 100% e quindi e' inutilizzabile,gli altri giorni dopo qualche riavvio la situazione andava a posto da se... oggi non ne vuole sapere.
Sto iniziando a temere che sia la cpu che mi stia per salutare... potrebbe trattarsi di un problema hardware? qualche consiglio per verificare la condizione della cpu? in alternativa penso che provero' a formattare tutto e magari ci metto su xp anziche vista sperando che la cpu sia salva...

Oggi non riesco neanche ad accenderlo il pc(sto usando il pc di casa infatti),cioe' parte ma gia mette il doppio del tempo a caricare windows e quindi ha da subito la cpu al 100% e quindi e' inutilizzabile,gli altri giorni dopo qualche riavvio la situazione andava a posto da se... oggi non ne vuole sapere.
Sto iniziando a temere che sia la cpu che mi stia per salutare... potrebbe trattarsi di un problema hardware? qualche consiglio per verificare la condizione della cpu? in alternativa penso che provero' a formattare tutto e magari ci metto su xp anziche vista sperando che la cpu sia salva...

http://www.hwupgrade.it/forum/showpost.php?p=30169478&postcount=12139

Oggi non riesco neanche ad accenderlo il pc(sto usando il pc di casa infatti),cioe' parte ma gia mette il doppio del tempo a caricare windows e quindi ha da subito la cpu al 100% e quindi e' inutilizzabile,gli altri giorni dopo qualche riavvio la situazione andava a posto da se... oggi non ne vuole sapere.
Sto iniziando a temere che sia la cpu che mi stia per salutare... potrebbe trattarsi di un problema hardware? qualche consiglio per verificare la condizione della cpu? in alternativa penso che provero' a formattare tutto e magari ci metto su xp anziche vista sperando che la cpu sia salva...

Aggiornamento!!

Alla fine ho formattato e installato Xp al posto di vista.
Tutto abbastanza normale fino a quando non inizio con gli aggiornamenti che mi ci impiegano ore ed ore... poi come faccio andare explorer e poi firefox la cpu inizia ad intasarsi di nuovo come con vista.
ho poi letto sul forum che l'antivirus AVG aveva creato questo tipo di problema di intasamento della cpu a diversi utenti... a quel punto disinstallo AVG che avevo sia su vista che ora su xp e installo la security suit di kasperky 2010 in prova...
risultato non cambia nulla... a differenza di vista che andava era subito fisso al 100% ora con xp la cpu mi vola al 100% appena apro il browser o qualche picola applicazione.

Visto che il mio portatile e' un dell vostro 1500 oggi chiamo in assistenza e per telefono mi fanno fare la diagnostica hardware e da li sembrerebbe che l'hardware e' tutto ok!!!

:help: :muro:

Aggiornamento!!

Alla fine ho formattato e installato Xp al posto di vista.
Tutto abbastanza normale fino a quando non inizio con gli aggiornamenti che mi ci impiegano ore ed ore... poi come faccio andare explorer e poi firefox la cpu inizia ad intasarsi di nuovo come con vista.
ho poi letto sul forum che l'antivirus AVG aveva creato questo tipo di problema di intasamento della cpu a diversi utenti... a quel punto disinstallo AVG che avevo sia su vista che ora su xp e installo la security suit di kasperky 2010 in prova...
risultato non cambia nulla... a differenza di vista che andava era subito fisso al 100% ora con xp la cpu mi vola al 100% appena apro il browser o qualche picola applicazione.

Visto che il mio portatile e' un dell vostro 1500 oggi chiamo in assistenza e per telefono mi fanno fare la diagnostica hardware e da li sembrerebbe che l'hardware e' tutto ok!!!

:help: :muro:
qui ormai siamo OT
prova ad installare antivir come AV residente e poi fare un test alla RAM e avviare in modalità provvisoria

poi posta gli aggiornamenti sulla tua situazione qui
http://www.hwupgrade.it/forum/forumdisplay.php?f=33
oppure nel 3d relativo al tuo portatile, se c'è nella sezione portatili

Anch'io credo di essere vittima del rootkit. Purtroppo prima di trovare questa guida ne ho seguite altre, ho dunque pasticciato un po' con i programmi di analisi e rimozione.

Mia configurazione: windows XP SP3. Ho due hard disk fisici: uno è C con windows, l'altro è partizionato in due (D, E). La cartella documenti di windows l'ho spostata nel drive D.
Ho usato l'ultima versione di tutti i software.
Sintomi: Computer lento, crash improvviso di programmi (soprattutto firefox), ogni tanto spunta un messaggio di windows con sfondo blu con su scritto che per evitare ulteriori danni windows si è bloccato bla bla bla.

Per prima cosa ho disabilitato il ripristino di configurazione di sistema.

Poi ho scaricato GMER, ma mandandolo in esecuzione si chiudeva dopo pochi istanti: sia in modalità normale che provvisoria.

Allora ho scaricato Stealth MBR rootkit detector e avviato in modalità provvisoria con il comando c:\mbr.exe -f. ha generato il log mbr PRIMA

Allora ho scaricato e avviato il software Combofix che ha generato il log ComboFix PRIMA. Notare che nel log c'è scritto original MBR restored successfully !

Facendo di nuovo la scansione con Combofix, il log mi sembra pulito (Combofix.txt)

Poichè Stealth MBR rootkit detector continuava a darmi un log simile (vedi mbr.log) ho deciso di far partire la consolle di ripristino di windows e ho dato il comando Fixmbr. L'operazione è andata a buon fine ma il log di mbr continua a rimanere uguale a mbr.log

Per districarmi in questa situazione ambigua ho fatto la scansione con

Norman_Sinowal_Cleaner.exe che non ha trovato niente (NFix_2009-12-23_09-10-19.log)

Prevx che ha trovato due trojan che non c'entrano niente e che ho rimosso manualmente. Il log è pulito (prevx1.log)

Infine ho scoperto che ora GMER funziona, ma due versioni diverse danno log differenti (non ho fatto la scansione completa ma si tratta di quella veloce all'avvio):
Con la versione 1.1.15.15227 spunta un driver ACPI sospetto (GMER 1.0.15.15227.log)
che con la versione 1.0.15.15281 , quella attuale, non spunta (GMER 1.0.15.15281.log)

Sono parecchio confuso. I programmi non segnalano niente di chiaro e i sintomi continuano.
AIUTO!!!!! :help: :muro:

Ciao, allega i log inerenti la prima fase.