Salve!

in un PC che sto sistemando e' infetto da una rootkit maledetta che non riesco a togliere.
non riesco ad allegare nulla, ne log ne nulla.
non mi fa andare neanche il comando regedit

non funge combofix, non funge sdfix (non me li apre) prevxcsi segnala che c'e' una chiave di registro infetta che crea un file nei temp che rimuovo ma dopo 1 secondo si ripresenta.

kaspersky non segnala nulla di infetto.

avete qualche suggerimento?

la rootkit mi chiude quasi tutte le pagine internet che navigo

non ha bagle la macchina, le utility antibagle non rilevano nulla.

Ciao allo stato attuale delle cose utilizzerei 1 dei 2 Rescue Disk

http://www.hwupgrade.it/forum/showthread.php?t=1878747

http://www.hwupgrade.it/forum/showthread.php?t=1689812

dal momento che l'unico software funzionante è Prevx CSI sarebbe utile capire per esteso che cosa rileva anche senza allegare il log visti i grossi problemi ;)

domani vedo di nuovo il pc e ti dico cosa segnala Prevxcsi

domani vedo di nuovo il pc e ti dico cosa segnala Prevxcsi

Ok, fai girare anche 1 dei 2 Rescue sopra indicati ;)

come faccio a impostare la scansione sul disco C dall CD rescue di Avira, faccio "start scan" ma mi dice "finished" gia' prima di iniziare :D

come faccio a impostare la scansione sul disco C dall CD rescue di Avira, faccio "start scan" ma mi dice "finished" gia' prima di iniziare :D

http://www.picoodle.com/view.php?img=/3/12/18/f_Cattura3m_e696c9d.jpg&srv=img03

si, e' impostato cosi', ma non parte la scansione.

il cd di rescue va fatto da una macchina pulita immagino, ed e' quello che ho fatto, giusto?

si, e' impostato cosi', ma non parte la scansione.

il cd di rescue va fatto da una macchina pulita immagino, ed e' quello che ho fatto, giusto?

Si assolutamente consigliato farlo su macchina pulita, eventualmente prova anche col Kaspersky Rescue Disk

Provato Avira, non rileva nulla :(

da 13 warnings, ma sono file zip che io conosco e che lui non riesce ad aprire.

altra cosa se puo' aiutare.

a random il PC si mette a suonare tipo ambulanza (dall'altoparlante del PC) non dalle casse.

altra cosa se puo' aiutare.

a random il PC si mette a suonare tipo ambulanza (dall'altoparlante del PC) non dalle casse.

Di solito i suoni provenienti dall'altoparlante integrato del PC sono segnalazioni della MoBo, secondo me ci sono problemi di temperartura troppo alta

puo' essere, cmq sono convinto che ci sia anche una rootkit,

non fa aprire determinate pagine internet, non fa eseguire utility specifiche, non apre regedit.

eccetera.

puo' essere, cmq sono convinto che ci sia anche una rootkit,

non fa aprire determinate pagine internet, non fa eseguire utility specifiche, non apre regedit.

eccetera.

Fai girare anche il Rescue Disk del Kaspersky e dimmi qual'è il file rilevato da Prevx CSI

ok, ormai ci sentiamo stasera perche' ora devo andare via.

cmq grazie!

Allora ho seguito la tua discussione e da quanto ho capito hai il computer bloccato nel senso che non puoi rimuovere niente. Girando su internet ho trovato uno script che permette l'accesso al registro di sistema, basta che ci clicchi e riavvii il pc. Per quanto riguarda il virus hai detto che si trova nella cartella dei file temporanei quindi protresti utilizzare ATF Cleaner efficace programma che elimina i file temporanei di windows & altro. Quindi ricapitolando la situazione:

1) Clicca due volte sullo script in formato .vbs che ti allegherò. In caso comparisse qualche finestra clicca su SI.

2) Riavvia il pc e disabilita il ripristino configurazione del sistema seguendo questa guida:

su Windows Xp: info microsoft
Click destro sull’icona Risorse del Computer sul desktop (oppure fai clic su Start → Impostazioni → Pannello di controllo → Sistema) → Ripristino configurazione di sistema → Seleziona "Disattiva Ripristino configurazione di sistema" oppure "Disattiva Ripristino configurazione di sistema su tutte le unità" → Fare clic su Applica → Conferma alla richiesta di eliminazione di tutti i punti di ripristino → verifica che tutti i dichi/partizioni mostrino "disattivata" nella colonna stato

in caso di problemi leggi più sotto

su Windows Vista: info microsoft
Pannello di controllo → Sistema Oppure click destro sull’icona Computer sul desktop
→ Protezione sistema → togli le spunte da tutti i dischi → Click su Disattiva ripristino configurazione di sistema

3) Disattivato il ripristino, lancia il programma ATF Cleaner del quale trovi il link e la guida all'utilizzo su questo sito: http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2

4) A questo punto puoi iniziare la scansione con i programmi usati da te precedentemente.

Se seguirai questa guida fammi sapere come è andata. Ciaooo

Prima di lanciare Script trovati in Rete, fai girare il Kaspersky Rescue Disk e come già detto indica ciò che segnala Prevx CSI unica traccia disponibile sulla quale ragionare, senza tralasciare i possibili problemi alla MoBo

nuula, non trova nulla con nessuno dei 2 rescuedisk, pero' almeno quando scansionavano non si e' messo a suonare in modalita' ambulanza.

non funziona neanche il file vbs che mi ha dato breaker27, non da' nessun effetto.

l'unica cosa che posso dire e' cio' che rileva PrevXCsi:

2 voci:

1) \registry\machine\software\Microsoft\WindowsNt\CurrentVersion\Drivers32
da' Infected Entry: [AUX}

2) c:\doc and set\clientpiii\impostazioni locali\temp\...\cbqrj.wqg da' High Risk Cloacked Malware.

tutto cio' che vi posso dire e' questo.

Non riesci a scaricare nessuno dei tool indicati in Guida? http://www.hwupgrade.it/forum/showthread.php?t=1599737

Una soluzione c'è: creare una mini distro come BartPe bootable per poi esplorare il registro di windows, cancellare quell'entry infetta e svuotare la cartella dei file temporanei.

appena svuoto la cartella dei temporanei, il file cbqrj.wqg si ricrea dopo 1 secondo circa, compare proprio dal nulla.

nessuna utility mi gira Chillout.

come si fa a creare quel cd di Boot con BartPe e ad esplorare il registry?

appena svuoto la cartella dei temporanei, il file cbqrj.wqg si ricrea dopo 1 secondo circa, compare proprio dal nulla.

nessuna utility mi gira Chillout.

come si fa a creare quel cd di Boot con BartPe e ad esplorare il registry?

Quel file richiama una qualche .dll etc........ è necessario staccare l'HDD dal PC infetto e portarlo su un PC sano e da lì operare

ho a disposizione un PC pulito, posso fare il Cd da quel PC come ho fatto oggi.

ho a disposizione un PC pulito, posso fare il Cd da quel PC come ho fatto oggi.

Si ma non penso possa essere di aiuto

cosa dici di fare?

scansione con qualcosa attaccando come secondario l'hard disk di quel pc?

hai provato a rinominare combofix?

altrimenti lo monti in un altro pc o se vuoi precorrere la strada del live cd, ti consiglio ubcd4win (vedi firma) che magari ti servirà anche in futuro se non avrai un secondo pc con cui operare

con ubcd4win puoi fare scansioni antivirus, antispyware ed eventualmente setacciare il registro

attaccando l'hard disk infetto su un secondo PC dove funge combofix, dovrei riuscire a risolvere?

attaccando l'hard disk infetto su un secondo PC dove funge combofix, dovrei riuscire a risolvere?

Io inizierei a scansionare seguendo la Guida alla disinfezione http://www.hwupgrade.it/forum/showthread.php?t=1599737

Acquistando la licenza di PrevXcsi, visto che questo software la rottkit la segnala, si risolve il problema?

Acquistando la licenza di PrevXcsi, visto che questo software la rottkit la segnala, si risolve il problema?

Presumo di si, ma se sei orientato all'acquisto della licenza ti suggerirei Prevx Edge http://www.hwupgrade.it/forum/showthread.php?t=1923599

Ultimo metodo per accedere al registro:

start -> esegui -> gpedit.msc
Configurazione utente => Modelli amministrativi => Sistema => Impedisci l’accesso agli strumenti di modifica del registro
Se questa opzione è Attivata, Disabilitarla

Intato sto cercando un rescue cd già pronto in grado di accedere al registro (in caso la procedura sopra indicata non funzionasse) e di eliminare i rootkit

ottimo e grazie ad entrambi.

vi faccio sicuramente sapere qualcosa.

Salve!

ho risolto il problema della rootkit con PREVXCSI, che una volta attivato ha rimosso tutto cio' che segnalava.

il pc ora funziona alla perfezione.

Salve!

ho risolto il problema della rootkit con PREVXCSI, che una volta attivato ha rimosso tutto cio' che segnalava.

il pc ora funziona alla perfezione.

questo prevxCSI sembra una roba sensazionale, infatti è l'ultimo controllo nel procedimento di disinfezione.....ora chiedo a chill, wjmat e in genere a chi lo sa.....è un sistema che da solo basta per "curare" tutti i problemi del pc?

è un ottimo programma, che in qualche minuto da un esisto sullo stato del pc
la sua limitazione nella versione free è che non rimuove le infezioni, motivo per il quale lo teniamo a fine guida come controllo
altra cosa da dire è che prevx controlla le cartelle più "significative" del disco quindi se hai dei potenziali virus su un altro disco lui non li vede, inoltre non ha il controllo in realtime, motivo per cui si può installare prevx edge

è un ottimo programma, che in qualche minuto da un esisto sullo stato del pc
la sua limitazione nella versione free è che non rimuove le infezioni, motivo per il quale lo teniamo a fine guida come controllo
altra cosa da dire è che prevx controlla le cartelle più "significative" del disco quindi se hai dei potenziali virus su un altro disco lui non li vede, inoltre non ha il controllo in realtime, motivo per cui si può installare prevx edge

uh! :eek: dunque per avere controlli approfonditi e real time bisogna comprarlo? se davvero ne vale la pena ci farò un pensierino....:D grazie wjmat ;)

uh! :eek: dunque per avere controlli approfonditi e real time bisogna comprarlo? se davvero ne vale la pena ci farò un pensierino....:D grazie wjmat ;)

per eventuali chiarimenti entrambi i programmi della prevx hanno i loro 3d ufficiali

Salve!

ho risolto il problema della rootkit con PREVXCSI, che una volta attivato ha rimosso tutto cio' che segnalava.

il pc ora funziona alla perfezione.

Si alleghi il log eventulamente acnhe in PVT mi fai una grande cortesia :)

intendi il log di prevxcsi?

dove lo trovo?

te lo allego non appena rivedo quel PC (nel fine settimana)

ciao!

intendi il log di prevxcsi?

dove lo trovo?

te lo allego non appena rivedo quel PC (nel fine settimana)

ciao!

Ciao fai una nuova scansione dopodichè Tools - Salva file di log

ok!

faro' come hai detto!

ciao!