Salve ragazzi mi auguro possiate darmi una mano, ho il pc della mia ragazza in balia di malware(rootkit e non so che) con l'aggravante che combofix manda il pc in crash, idem gmer.

Un mese fa abbiamo beccato un virus da megavideo che si presentava sottoforma di falso antivirus che faceva una falsa scansione...ho tolto il tutto con malwarebyte e combofix.
Sembrava che tutto fosse tornato alla normalità ed invece all'avvio lo schermo appariva a volte nero e spuntavano virus.
<ho quindi cercato in questo forum, ed ho visto che sta girando un rootkit che colpisce il master boot record.
<ho seguito i passaggi indicati den post dedicato a questo rootkit ed ho eliminato un paio di cose.
Adesso ho dei problemi ...
A)Non riesco più ad accedere a windows, perchè nel momento in cui appare il controllo utente con password il pc va in crash ed appare la schermara blu....posso operare quindi soltanto da modalità provvisoioria con rete.
B)ho notato che adesso se lancio prevx mi dice che un certo file CLEANUP non ha la licenza e devo attivarla....se clicco non appare nulla ma continua ad apparire il messaggio di CLEANUP.
C) Ho eliminato tantissime volte PREVX ma riappare sempre, idem malwarebytes e temo che siano questi ad andare in conflitto all'avvio di windows e mandare il prc in crash...nella mod provvisoria non accade.
Ho tentato diverse strade per eliminarli ma nulla.


Adesso sono riuscito a terminare la scansione con GMER e mi ha evidenxiato in rosso questi valori..

ho windows vista basic


questo è il log di gmer
ecco il link da cui scaricarlo
Edit

i valori infetti sono questi

nel frattempo vediamo se riesco ad avviare combofix

grazie

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt deve essere hostato su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

scusate se ho sbagliato ad inserire.
qui ho messo nuovamente il log di logmain.
Combofix mi richiede i permessi d'amministratore:cry: :cry:
non mi era mai capitato prima di questi giorni...
http://www.filedropper.com/gmer

scusate se ho sbagliato ad inserire.
qui ho messo nuovamente il log di logmain.
Combofix mi richiede i permessi d'amministratore:cry: :cry:
non mi era mai capitato prima di questi giorni...
http://www.filedropper.com/gmer

System32\drivers\pxkbf.sys
System32\drivers\pxrts.sys
System32\drivers\pxscan.sys

appartengono a Prevx

quindi cosa devo fare?
come mai il pc va in crash quando si avvia'?
come dovrei disinstallare totalmente prevx, ho tentato tantissime strade senza successo...

Credo che qualcosa di infetto ci sia, sia gmer che comfix ed ora ho notato anche findkill vanno in crash:confused:

quindi cosa devo fare?
come mai il pc va in crash quando si avvia'?
come dovrei disinstallare totalmente prevx, ho tentato tantissime strade senza successo...

Credo che qualcosa di infetto ci sia, sia gmer che comfix ed ora ho notato anche findkill vanno in crash:confused:

Segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737 ed allega i log per il controllo vediamo di capire, ma prima controlla nel Registro eventi che cosa crasha.

grazie, leggo la guida, anche se comunque avevo già seguito tutti i passi.(rifaccio tutto da capo)
ho tentato di aprire il registro eventi ma non posso farlo in quanto se clicco nelle varie voci mi appare il seguente messaggio "impossibile aprire il registro eventi...verificare che il servizio registro eventi sia in esecuzione"

ho tentato invece con il download di kaspersky ma un errore mi avverte che non può essere scaricato per via del computer infetto, quindi st aprocedendo a scaricare un utility di kaspersky, vediamo un pò...

inizio a metter il link di hijachtis, ho notato che evidenzia un certo cleanup(che era quello che si avviava con prevx dicendomi di aggiornare....che sia sia infettato pure prevx?:confused: )

http://www.filedropper.com/hijackthis_3


edit, CLEANUP, su virustotal è identificato come trojan

Dunque, ho eliminato qualsiasi voce di prevx(anche nel registro di sistema) ma al successivo riavvio qui file compaiono nuovamente in GMER e se tento di cancellarli da GMER non posso farlo.
in System32 non vi è traccia:mc: ..

ho reinstallato prevx ma quando faccio la scansione appare immediatamente questo avviso di CLEANUP che va a scaricare un file CLEANUP.exe che virustotal da come infetto..


http://img577.imageshack.us/img577/1476/cleanup.th.jpg (http://img577.imageshack.us/i/cleanup.jpg/)


a questo punto credo che quei file derivino da prevx ma sono infetti...
non so come venirne a capo....kaspersky non si installa poichè mi avvisa che il sistema è infetto...

Dunque, ho eliminato qualsiasi voce di prevx(anche nel registro di sistema) ma al successivo riavvio qui file compaiono nuovamente in GMER e se tento di cancellarli da GMER non posso farlo.
in System32 non vi è traccia:mc: ..

ho reinstallato prevx ma quando faccio la scansione appare immediatamente questo avviso di CLEANUP che va a scaricare un file CLEANUP.exe che virustotal da come infetto..


http://img577.imageshack.us/img577/1476/cleanup.th.jpg (http://img577.imageshack.us/i/cleanup.jpg/)


a questo punto credo che quei file derivino da prevx ma sono infetti...
non so come venirne a capo....kaspersky non si installa poichè mi avvisa che il sistema è infetto...

Allegami il log di Prevx

non effetta nessuna scansione, poichè quando nego di acquistare la licenza a CLEANUP, si interrompe la scansione :mc: :confused:


Gmer intanto ha rilevato altro file,quello evidenziato ....io li ho disabilitati

C:\Windows\System32\drivers\pxkbf.sys (*** hidden *** ) [DISABLED] pxkbf <-- ROOTKIT !!!
Service C:\Windows\System32\drivers\pxrts.sys (*** hidden *** ) [DISABLED] pxrts <-- ROOTKIT !!!
Service C:\Windows\System32\drivers\pxscan.sys (*** hidden *** ) [DISABLED] pxscan <-- ROOTKIT !!!
Service System32\drivers\pxsec.sys (*** hidden *** ) [DISABLED] pxsec

<ho fatto scansione con malware e non mi ha trovato nulla
<con <free online virus scanner non ho avuto buona sorte, aveva trovato 9 spyware dopo di che la scansione si blocca e mi avvisa che non ho i requisiti d'amministratore validi:muro: :muro:
adesso la sto rifacendo...

vediamo pure cosa mi da emsisoft

Se proprio non ne vuole sapere, io proverei con una scansione dal boot, se hai la possibilità di masterizzare su cd una iso di Avira Rescue System, da un altro pc funzionante:
link (http://www.avira.com/it/support-download-avira-antivir-rescue-system)

non effetta nessuna scansione, poichè quando nego di acquistare la licenza a CLEANUP, si interrompe la scansione :mc: :confused:


Gmer intanto ha rilevato altro file,quello evidenziato ....io li ho disabilitati

C:\Windows\System32\drivers\pxkbf.sys (*** hidden *** ) [DISABLED] pxkbf <-- ROOTKIT !!!
Service C:\Windows\System32\drivers\pxrts.sys (*** hidden *** ) [DISABLED] pxrts <-- ROOTKIT !!!
Service C:\Windows\System32\drivers\pxscan.sys (*** hidden *** ) [DISABLED] pxscan <-- ROOTKIT !!!
Service System32\drivers\pxsec.sys (*** hidden *** ) [DISABLED] pxsec

Come già detto sono files innoqui, appartengono a Prevx ed è assolutamente normale che Gmer li rilevi hidden, pertanto disisnstalla Prevx e pace :)

Se proprio non ne vuole sapere, io proverei con una scansione dal boot, se hai la possibilità di masterizzare su cd una iso di Avira Rescue System, da un altro pc funzionante:
link (http://www.avira.com/it/support-download-avira-antivir-rescue-system)
grazie sto facendo questo

Come già detto sono files innoqui, appartengono a Prevx ed è assolutamente normale che Gmer li rilevi hidden, pertanto disisnstalla Prevx e pace :)

<chill, ho disinstallato in tutte le salse prevx ma al successivo riavvio riappare sempre.
kaspersky non posso istallarlo perchè mi dice che ho il pc infetto.
Inoltre se digito su google quei file, mi escono delle pagine(fra cui anche prevx )che mi avvertono che sono malware e causano instabilità del sistema(vedesi crash)
NOn so più cosa fare..provo il suggerimento skbirkoff

grazie sto facendo questo



<chill, ho disinstallato in tutte le salse prevx ma al successivo riavvio riappare sempre.

Impossibile


Inoltre se digito su google quei file, mi escono delle pagine(fra cui anche prevx )che mi avvertono che sono malware e causano instabilità del sistema(vedesi crash)

Non so + come spiegartelo :)

Chill è così....

Ho prima disintallato manualmente
poi reinstallato e tolto con l'utility rilasciata da prevx
dopo di che non avendo risultati ho provato con un utility a pagamento per disinstallare il programma.
Ho pure deselezionato prevx all'avvio del sistema ma riappare nuovamente...


Ps sto facendo scansione da live cd dopo di che vedo di formattare.
Volevo delle info.

Per passare da windovs vista ad Xp sono semplici i passaggi od è complicato?
come fare un backuo online?

Scusa ma se hai già deciso di formattare (addirittura!), che la fai a fare la scansione? :D
La formattazione è solo per casi estremi, io ci penserei su prima di fare sto passo, poi cmq la decisione è tua.

Scusa ma se hai già deciso di formattare (addirittura!), che la fai a fare la scansione? :D
La formattazione è solo per casi estremi, io ci penserei su prima di fare sto passo, poi cmq la decisione è tua.

Ovvio che no, prima voglio tentare di ripristinare.
Ma non so come fare...
Kaspersky rescue non mi ha rilevato nulla, adesso ho avira rescue system sul portatile e mi ha devidenziato 11 avvisi, ma di File sospetti o Rilevamenti zero...:mc: :mc: :mc:

A prposito Ho messo prevx in un altro computer e fatto scansione con Log main....
Bene, non mi ha segnato nessuno di quei file che invece sul portatile infetto mi rileva in rosso....cosa significa questo?


per quanto riguarda la schermata BLU ho disattivato il comando che fa riavviare il pc in caso d'errore, ed ho quindi visualizzato quantos critto...di errori non se ne parla...solo alla fine c'erano scritti dei numeri...

questo è l'errore che appare all'avvio di windows..
appare solo un codice alfa numerico senza specificare altro:mc:


***stop : 0x0000008E (0xc0000005, 0x8223E157, 0X8C06E91C, 0X00000000)

Mah mi pare abbastanza incasinata sta situazione, magari prova con un ripristino di sistema dal prompt dei comandi, scegliendo un giorno tra quelli disponibili in cui sei sicuro che il pc funzionava. Qui è spiegato come fare: link (http://support.microsoft.com/kb/304449/it)
(nota: %systemroot% è in genere c:\windows)

Ho installato spyboot
mi ha trovato una sacco di virus e li ho eliminati,(tranne alcune chiavi di registro che nonriesce ad eliminare) nel frattempo mi dice in real time che programmi(tipo CLEANUP.exe)tentano importanti modifiche al regsitro di sistema:mc: :mc:

Il problema è che al successivo riavvio si ripresentano:cry: :cry: :cry:
:cry:

http://www.filedropper.com/spybotsdresults


questo è invece l'ìesito di mbr rootkit
h MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: Hitachi_HTS543216L9A300 rev.FB2OC40C -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 9 !