Riavvio con Findykill obbligatorio

[the voyager]

Eccomi con un problemino nuovo (almeno per me),
Un amico mi ha portato il solito pc piantato da virus e malware(giuro che non sono io e che i miei pc vanno alla grande).
Il problema è che ci si può lavorare per un paio di minuti(e molto lentamente) prima che si pianti.
Il disco corre continuamente(lucetta disco accesa fissa).
cmq ad un certo punto riesco a far girare findykill e dopo il riavvio e conseguente scan il pc funziona.
Ergo:
1 - tolgo i punti di ripristino
2 - faccio andare combofix e malwarebyte
3 - installo aVira, aggiorno e scan.

Ognuno trova varie cose e le ripulisce ma . . .
AL RIAVVIO è TUTTO COME PRIMA.

Ovvero riavviando il pc il disco continua ad andare e in pochi minuti si pianta . . .
insomma non faccio in tempo a copiare i file di log su una chiavetta che si blocca
Allora devo far andare findykill che lo fa andare per un po'.
Ora sto provando la procedura completa di disinfezione del sito . .
http://www.hwupgrade.it/forum/showthread.php?t=1599737

Quindi se qualcuno sa già di che malware o altro si tratta apprezzo ogni consiglio . . nel frattempo continuo con la procedura

[wjmat]

ciao

scansiona prima con il rescue cd di Avira

[the voyager]

Quote:

Originariamente inviato da wjmat

ciao

scansiona prima con il rescue cd di Avira

porc. . .putt .. .
ho combinato un pasticcio!
ho fatto girare PrevXcsi e ha trovato qualcosa nel boot sector(fra le cose riparabili in versione free).
Per riparare ha detto che avrebbe fatto apparire la schermata blu e poi al riavvio una nuova scansione.
Appare prontamente la schermata blu e aspetto a vedere se è in grado di riavviarsi da solo.
Aspetto qualche minuto e riavvio io manualmente.
Finita!!!!!!!!!!!
Compare il cursore in alto e . . . . niente
niente boot niente console di ripristino e niente messaggi . . . NIENTE.
allora provo col rescue cd di avira ma, una volta partito si blocca con 2 pinguini nell'angolo(ci deve essere un kernel linux sotto)
non trovo in casa manco un cd di windows xp

Che faccio????????

[wjmat]

che so avevi installato?
hai il lettore floppy?

[the voyager]

Quote:

Originariamente inviato da wjmat

che so avevi installato?
hai il lettore floppy?

xp con sp3
niente floppy ma posso bootare da disk!

ho appena trovato un disco di xp pro sp3 e quando arrivo all'installazione mi dice che la partizione è sconosciuta
Di conseguenza non mi fa usare la console di ripristino . . .volevo provare con i vari :fixmbr ; fixboot e bootcfg:

adesso non so se riinstallando sopra trovo le cartelle ma tenendo conto che l'installazione chiede la creazione di una partizione la cosa è grave.

Credo che prevX (forse col mio aiuto quando ho riavviato) abbia sputtanato il boot sector o MBR o qualcosa del genere

Spiano o c'è una maniera di riparare il boot sector prima di ripartire da 0??

[wjmat]

prova con parted magic a vedere se c'è ancora la partizione ed eventualmente la ripari con testdisk già integrato, tutte le info in firma

[the voyager]

Grazzzzzie wjmat,
Allora rono riuscito a ripristinare la sessione di windows ma non so se il malware è scomparso.
Cmq spiego brevemente come ho proceduto per chi dovesse mai trovarsi in tale situazione:
1 - creato chiave USB di avvio con HP USB storage tool
2- copiato dentro brutalmente la versione DOS di testdisk da scaricabile qui
3 - avviato la chiavetta USB in boot mode e lanciato il programma.
4 seguito attentamente le istruzioni di wjmat . .leggi
5 riavviato

Una volta riavviato mi sono ritrovato PrevX che scansionava come mi aveva promesso prima che si bloccasse tutto(leggi i messaggi precedenti)
Ora il pc sembra andare e copio tutti i documenti in una capiente chiavetta e poi, forse, procedo a spianare anche se spero di aver tolto il malware(non so ancora quale sia).
L'unica cosa che so è che PrevX ha trovato un malware di medio pericolo in dll di nome 34ptpipe.dll

PS per chi ha un problema con un pc dell attivate la partizione grande senza scritte, perchè io ho attivato la prima ed era un tool di test di dell. la seconda era quella giusta.

pps ho provato anche ms-sys da una live-cd di ubuntu(9.10) ma fdisk -l non mi dava l'informazione di quale fosse la partizione windows.

Ergo la soluzione più veloce è proprio quella di testdisk via disko bootable!!

[wjmat]

con testdisk hai dovuto solo rendere bootabile la partizione o anche riparare la FAT o MFT che sia

fai controllare su www.virustotal.com e su http://virscan.org/

Codice:

34ptpipe.dll

Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollali nella discussione
Se ti verrà segnalato che il file è già stato controllato, fallo analizzare comunque perchè le firme virali dei vari motori di scansione potrebbero essere stati aggiornati.

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema


per mbr rootkit fai le verifiche nel suo 3d dedicato

[the voyager]

ho gia consegnato il pc al sua padrone e così non posso fare lo scan . . .

cmq ho solo reso la partizione bootabie . . niente altro.

Funziona da ieri egregiamente quindi credo sia risolto.
Ho lasciato PrevX e messo Avira.

Ho riconsegnato il pc impartendo serie direttive al mio amico fra le quali:
NON INSTALLARE ROBA SCARICATA CON EMULE ETC.

aveva una cartella incoming con 20GB di porcate . . .

va bhè . . .grazzie e alla prossima

[wjmat]

di nulla