XP Pro non mi fa avviare in Mod provvisoria

[aldoj59]

Salve a tutti!
di solito, leggo il forum ma non posto niente, non sono uno smanettone o un programmer ma un utente forse un pò utonte.
Ma, è gia la terza volta che trovo nella posta un avviso che il mio messaggio (di tipo spam) è stato respinto al mittente (cioè a me).
Problema, non ho mai mandato messaggi , non conosco queste persone, e non stavo al computer a quest'instante.

La scansione con MacAfee Viruscan aggiornato mi da 0 problemi.

Ho voluto fare una scansione in modalità provisoria con prompt dei commandi, mi appare la mia schermata di avvio di XP Pro chiedendomi di fare il logon sul mio account o su Amministratore e visto che password non ce ne sono, premo Invio e mi appare il messaggino che chiede se ho dimenticato la password.
In modalità normale, non mi chiede niente, non appaiono nessun account e vado direttamente sul mio desktop, senza intopi.

Non uso password visto che non ci sono altri account eccetto il mio, Guest non è attivato, e Amministratore non esiste in PAnello di controllo/ gestione Account.

Ho provato in gestione Account di creare un password simplicissimo, poi tornando in mod provv, provato a digitare questo password, sempre messaggino "hai dimenticato la password?". Ho creato un'altro Account Admin, stesso e identico risultato.
Ho utilizzato un programino per distruggere le password nella cartella SAM.
Il mio Account e Amministratore hanno il privileggio Admin ed sono stati azzerato (blank). Continua a chiedermi una password che non dovrebbe più esistere.

Ho cercato con Antivir rescue CD di fare una scansione fuori di XP: non me la fa fare, non c'è abbastanza RAm!!! Visto che REscue CD richiede 64 MB e che ne ho 256MB, dovrebbe andare e pure non va.

Non so più che cosa inventare!!! Sono stato zombizzato o no? il mio conto in banca non è stato vuotato ma perchè mi chiede una password per l'accesso alla modalità provvisoria con o senza prompt dei commandi

Se un mago del computer voleva tirar fuori la bacchetta magica....

Windows XP Pro SP3 aggiornato / MacAfee VirusScan plus aggiornato/ Athlon 800 MHz / 256 MB.

[wjmat]

Ciao benvenuto nel pronto soccorso di HU.

Fai un check-up veloce (15 minuti circa) e vediamo se possiamo escudere infezioni visibili.

scansione rapida con Malwarebytes' Anti-Malware
log classico con HiJackThis
scansione con Prevx (richiesta connessione ad internet)

poi carica secondo le modalità tutti log
se dai log vediamo robaccia dovrai seguire la guida alla disinfezione per infetti per una pulizia completa

[xcdegasp]

aggiungerei gmer e dr.web cureit

[aldoj59]

SAlve, chiedo scusa per il ritardo, ma ho un sacco di lavoro e non posso collegarmi spesso.
In più,con questa patacca di computer, le scansione durano ore (MBAM 7 ore)


http://www.fileqube.com/file/yTdJkUyVU136901

Non ho potuto aggiungere il log di McAfee VirusScan, comunque non c'era secondo loro, nessun file infetto.

Oggi, provedero a scaricare e eseguire Gmer e Cureit.

A stasera, grazie di dedicarmi un pò del vostro tempo.

[wjmat]

con mbam non si capisce se hai eliminato le infezioni
aspettiamo i restanti log

[aldoj59]

Quote:

Originariamente inviato da wjmat

con mbam non si capisce se hai eliminato le infezioni
aspettiamo i restanti log

Non ho toccato nulla, ho giusto fatto il scan. Quando avro finito tutte le scansioni, allora farò come volete voi.

Intanto, allego il link per il log di Gmer. Interessante l'ultima riga che dice che in settore 62 c'é una coppia di MBR. Di solito, non è cosi che funzione un certo tipo di rootkit?

http://www.fileqube.com/file/hfwDVInH136910

ADesso, procedo con cureit.
Ciao, buongiorno.

[wjmat]

dovresti cortesementi ricaricare tutti i log messi su fileqube (che ha problemi) su www.mediafire.com o www.wikisend.com

[xcdegasp]

Quote:

Originariamente inviato da wjmat

dovresti cortesementi ricareicare tutti i log messi su fileqube (che ha problemi) su www.mediafire.com o www.wikisend.com

purtroppo i log risultano inacessibili per dei problemi tecnici di fileqube.com o attendiamo che risolvano o li devi ricaricare altrove.


@ wjmat:
cerca di essere meno sintetico che appari poco gentile, una spiegazione la si può dare all'utente

[aldoj59]

Quote:

Originariamente inviato da wjmat

dovresti cortesementi ricaricare tutti i log messi su fileqube (che ha problemi) su www.mediafire.com o www.wikisend.com

Ho finito le scansione e questi 5 logs sono su mediafire.
Chiedo scusa per la grandezza di Gmer log ma il parser non ha voluto prenderlo!

http://www.mediafire.com/?sharekey=c...db6fb9a8902bda

Mi sono accorto adesso che non ho disattivato il ripristino di sistema!!

Che devo fare? ricominciare da capo le scansioni? o va bene cosi?

A parte con Dr Web, non ho cancellato o spostato nessun file infetti.

Cercherò di riscaricare questo parser per snellire questi logs se è necessario.

Aspetto instruzioni. Che devo fare adesso?

Grazie di nuovo per dedicarmi un pò del vostro tempo.

[aldoj59]

Buongiorno,

come suggerito da wjmat, mi sono occupato del rogue.installer e delle 2 chiave di registro trovate da MBAM.

IL rogue.installer è una rimanenza di un programma di Symantec cancellato appena installato perche non funzionava.
Le chiave di registro sono cancellate. Ma mi sembravano innocue.

Non ho fatto altro per adesso, aspetto il vostro parere per il log di GMER:

---- Disk sectors - GMER 1.0.14 ----

Disk \DeviceHarddisk0\DR0 sector 62: copy of MBR

Mi ricordo che da un bel pò di tempo, ci sono settori del C: che non sono deframmentabili. Pensavo che si trattasse di file di Windows tipo ripristino o altra roba simile.

Penso che, forse, queste 2 cose sono collegate. Ho ragione?

Devo rifare le scansione togliendo il ripristino per vedere se qualcosa è cambiato?

Ciao, buona giornata!

[xcdegasp]

Quote:

Originariamente inviato da aldoj59

Ho finito le scansione e questi 5 logs sono su mediafire.
Chiedo scusa per la grandezza di Gmer log ma il parser non ha voluto prenderlo!

http://www.mediafire.com/?sharekey=c...db6fb9a8902bda

Mi sono accorto adesso che non ho disattivato il ripristino di sistema!!

Che devo fare? ricominciare da capo le scansioni? o va bene cosi?

A parte con Dr Web, non ho cancellato o spostato nessun file infetti.

Cercherò di riscaricare questo parser per snellire questi logs se è necessario.

Aspetto instruzioni. Che devo fare adesso?

Grazie di nuovo per dedicarmi un pò del vostro tempo.

e a che serve fare le scansioni se poi gli oggetti non vengono messi in quarantena o cancellati?

salva il log di dr.web come csv così non dovresti avere il problema di klog troppo grande

[aldoj59]

Quote:

Originariamente inviato da xcdegasp

e a che serve fare le scansioni se poi gli oggetti non vengono messi in quarantena o cancellati?

salva il log di dr.web come csv così non dovresti avere il problema di klog troppo grande

Ciao,il log di Dr Web si è salvato in csv, ho cancellato o curato o spostato tutto quello che ho trovato nei log di MBAM, Dr Web ieri sera.
Per ScanPrevX, GMER, Hijackthis, non ho trovato nulla, o piutosto, non ho individuato niente.
Se ho chiesto aiuto, è giustamente perche non ci capisco niente in questi logs kilometrici.
Come dicevo, in un post precedente, l'unica cosa che ho rilevato è alla fine del log di GMER, questa storia di "DR0 sector 62: copia di MBR."

Avevo anche segnalato che mi sono dimenticato di disattivare il ripristino di sistema, chiedendo se dovevo rifare o no.

Ricordati che per te, è una cosa basica, da principiante, per me è terra incognita! SE pago McAfee VirusSCan plus, è giostamente perche conosco i miei limiti

A stasera.

[aldoj59]

Da ieri, non c'è più un suggerimento, un aiutino.

Dai, ragazzi, non mi lasciate cosi in mezzo al nulla!

[xcdegasp]

ok:

Codice:

MCCWrapper.dll;C:\Programmi\Common Files\Motive;Probabile DLOADER.Trojan;Incurabile.Spostato.

Alcohol_120%_v1965529.exe;G:\Alcohol 120 v1.9.6.5529 RETAIL\Alcohol 120 v1.9.6.5529 RETAIL\Alcohol 120% v1.9.6.5529 RETAIL;Trojan.MulDrop.15890;Cancellato.

A0097215.EXE;G:\System Volume Information\_restore{1D945640-9D5F-472A-B439-1266A18150BA}\RP68;Adware.Ezula;Incurabile.Cancellato.

A0000308.exe;G:\System Volume Information\_restore{44442C08-11E3-4B6E-99B6-171EE872BF32}\RP2;Trojan.MulDrop.15890;Cancellato.

ora rifai le altre scansioni visto che non avevi cancellato/messo in quarantena con gli altri programmi

[aldoj59]

Scusate, ma il mio Pc ha avuto un bel crash (ho rimosso le autorizzazioni a un account Administrator, creato da non so chi e che volevo stroncare. ho dovuto ripartire da un backup di 8 mesi fa e ricaricare aggiornamenti, SP3, drivers..... perché,arrivando alla finestra di Logon invece di proseguire, si fermava la e aspettava qualcosa, invece di andare oltre al Logon normale.

Il link verso i diversi logs, mi sono permesso di aggiungere questo "catchme" di Gmer.
http://www.mediafire.com/?sharekey=f...db6fb9a8902bda

Questa volta, ho disattivato il ripristino sistema, ho selezionato pulire e eliminare, ma non c'era niente!!!

In sostanza, non si trova niente a parte questa storia di Disk\Device\Harddisk0\DR0 sector 62: copy of MBR sul log di Gmer.

2 anni fa, mi ricordo che avevo utilizzato un programma anti Gromozon, cosi per sicurezza.

Confermo che c'è sempre un Account Administrator (01F4) in HKLM/SECURITY/SAM/Domains/Account/Users, che non ho creato io!!! (mentre il mio è 03E8, non prioritario!).
Inoltre, ho cercato di riavviare in Mod Provv con prompt dei commandi, per lanciare Stealth MBR rootkit Detector e appariscono di nuovo, 2 Accounts sulla finestra di Logon, Administrator e il mio, e come prima del crash, mi chiede un password che non dovrebbe esistere.

Possibile che non si può levare di turno questo fake MBR , rimettere l'originale che mi aspetta in sector 62, e cancellare questa chiave "Administrator" di M......
Sto impazzendo con questa storia di rootkit che non c'è ma che rompe lo stesso

Riformattare tutto mi sembra la storia della dynamita per aprire le noci, ma ho altra scelta????

[xcdegasp]

per farlo c'è una guida apposita ma nessuno è veggente quindis e te fai quello che ti gira per la testa poi non ti attendere la soluzione senza porgere la domanda
sopratutto quando basta solamente cercare:
http://www.hwupgrade.it/forum/showthread.php?t=1715546

[aldoj59]

Quote:

Originariamente inviato da xcdegasp

per farlo c'è una guida apposita ma nessuno è veggente quindi e te fai quello che ti gira per la testa poi non ti attendere la soluzione senza porgere la domanda
sopratutto quando basta solamente cercare:
http://www.hwupgrade.it/forum/showthread.php?t=1715546

Ciao, xcdegasp!

Guarda che l'ho letto quel thread! e prima di contattarvi, l'ho anche stampato!

La "PRIMA FASE" l'ho fatto 3 volte, senza risultato!
LA "SECONDA FASE":
Visto che non posso varcare la soglia del Logon, Stealth MBR rootkit detector non si può avviare.
Oggi, ho provato Symantec Trojan.Mebroot REmoval Tool: si avvia, poi mi dice che Mebroot non c'è sul PC. L'unica cosa che ha fatto è rimuovere la mia immagine di Logon per ridarmi la classica WinXP blu, ma la Mod Provv mi è sempre vietata.

L'ho detto dal primo post: Non posso loggarmi in modalità provvisoria.

Nel mio post del 21/10; 9:40:"Intanto, allego il link per il log di Gmer. Interessante l'ultima riga che dice che in settore 62 c'é una coppia di MBR. Di solito, non è cosi che funzione un certo tipo di rootkit?"

Come vedi," te fai quello che ti gira per la testa poi non ti attendere la soluzione senza porgere la domanda", non ti sembra che la tirata d'orecchio non sono l'unico a meritarla?

Questa discussione mi ricorda un'altra con un technical support californiano, avevo chiesto un parere perchè una macchina non si avviava, e come risposta tipo: "L'interrutore generale della macchina è inserita?"

Senza volere offendere nessuno, per carità!!!

Ciao, Ciao!!!! Aspetto notizie

[aldoj59]

Aspettando suggerimenti da persone più competente di me, ho fatto una verifica delle partizioni dei HD.
Mi sono reso conto che sul disco fisico 1, oltre alla partizione C: c'era un unallocated space di 7,844 MB.
Ho verificato col disc Editor, e ho trovato senza sorpresa che il famoso settore 62 che, secondo GMER, contiene la copia del MBR è giustamente in questa "zona franca".

La, ormai sono arrivato alla fine della strada. Non vedo più che cosa fare!! Se qualcuna ha un idea per risolvere questo casino........

[aldoj59]

Ciao, mi sento solo!
Sono l'unico a leggere il mio post?
Dove siete tutti?
BEH, in questo caso, i mods possono pure chiudere il thread!

[xcdegasp]

a questo punto puoi eliminare quella partizione e fare l'estensione di quella attuale...