Copy of MBR. Per prevx no, per gmer si.

BioShock3|) · 06-02-2009, 15:01

Salve a tutti,

seguendo la guida ho scansionato il pc con PrevxCSI. Tutto OK. Anche per KIS2009 e Malwarebytes tutto a posto (scansione completa + rootkit).

Provando con Gmer, mi segnala nei settori dall'1 al 63 'Copy of MBR' oppure Malicious code at _ _ _ etc etc più altri file con nomi tipo a7tcer14.SYS o a2zxgypf.SYS.

Sto diventando parecchio paranoico. Forse anche senza motivo dato che di Kaspersky mi fido e non mi segnala nulla.. Dovrei passare al punto 2 della guida? Cioè utilizzare mbr.exe? Grazie mille a tutti per ogni eventuale risposta.

Allego sotto il codice SPOILER il log di Gmer. Comunque il log in modalità provvisoria ne segna parecchi dal settore 1 al settore 63. Copy of MBR: rootkit-like behaviour.

LINK GMER LOG

PS: 2 giorni, il pc non rispondeva. Freeze e riavvio forzato. Al riavvio log di DrWatson. Ecco le prime righe:

Exception dell'applicazione:
App: C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st.exe (pid=3740)
Ora: 01/02/2009 @ 20:54:10.359
Numero exception: c0000005 (access violation)

*----> System Information <----*
Nome computer:
Nome utente: ŸŸ
Id sessione terminal: 0
Numero processori: 1
Versione di Windows: 5.1

*----> Elenco Task <----*
0 System Process
4 System
1724 smss.exe
1852 csrss.exe
1876 winlogon.exe
1944 services.exe
1956 lsass.exe
280 svchost.exe
324 svchost.exe
628 svchost.exe
660 svchost.exe
772 svchost.exe
572 srvany.exe
656 nTuneService.exe
716 WanMiniport1st_srv.exe
988 IoctlSvc.exe
3360 alg.exe
3968 logonui.exe
3740 WanMiniport1st.exe
1536 drwtsn32.exe

Domanda 1: Perchè non c'è il mio nome utente ma simboli strani?

Domanda 2: Perchè WanMiniport1st.exe è diventato WanMiniport1st_srv.exe (che tra l'altro è collocato nella medesima cartella e rimanda allo stesso file, cioè WanMiniport1st.exe)???

Scusate la paranoia e grazie ancora per ogni eventuale risposta.

wjmat · 06-02-2009, 15:11

ciao

questo 3d verrà chiuso, posta qui nella guida per la rimozione di MBR rootkit anche il log di prevx

**Chill-Out** · 06-02-2009, 15:44

Closed

06-02-2009, 15:01	#1
BioShock3\|) Senior Member Iscritto dal: Aug 2007 Messaggi: 1093	Copy of MBR. Per prevx no, per gmer si. Salve a tutti, seguendo la guida ho scansionato il pc con PrevxCSI. Tutto OK. Anche per KIS2009 e Malwarebytes tutto a posto (scansione completa + rootkit). Provando con Gmer, mi segnala nei settori dall'1 al 63 'Copy of MBR' oppure Malicious code at _ _ _ etc etc più altri file con nomi tipo a7tcer14.SYS o a2zxgypf.SYS. Sto diventando parecchio paranoico. Forse anche senza motivo dato che di Kaspersky mi fido e non mi segnala nulla.. Dovrei passare al punto 2 della guida? Cioè utilizzare mbr.exe? Grazie mille a tutti per ogni eventuale risposta. Allego sotto il codice SPOILER il log di Gmer. Comunque il log in modalità provvisoria ne segna parecchi dal settore 1 al settore 63. Copy of MBR: rootkit-like behaviour. LINK GMER LOG PS: 2 giorni, il pc non rispondeva. Freeze e riavvio forzato. Al riavvio log di DrWatson. Ecco le prime righe: Exception dell'applicazione: App: C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st.exe (pid=3740) Ora: 01/02/2009 @ 20:54:10.359 Numero exception: c0000005 (access violation) ----> System Information <---- Nome computer: Nome utente: ŸŸ Id sessione terminal: 0 Numero processori: 1 Versione di Windows: 5.1 ----> Elenco Task <---- 0 System Process 4 System 1724 smss.exe 1852 csrss.exe 1876 winlogon.exe 1944 services.exe 1956 lsass.exe 280 svchost.exe 324 svchost.exe 628 svchost.exe 660 svchost.exe 772 svchost.exe 572 srvany.exe 656 nTuneService.exe 716 WanMiniport1st_srv.exe 988 IoctlSvc.exe 3360 alg.exe 3968 logonui.exe 3740 WanMiniport1st.exe 1536 drwtsn32.exe Domanda 1: Perchè non c'è il mio nome utente ma simboli strani? Domanda 2: Perchè WanMiniport1st.exe è diventato WanMiniport1st_srv.exe (che tra l'altro è collocato nella medesima cartella e rimanda allo stesso file, cioè WanMiniport1st.exe)??? Scusate la paranoia e grazie ancora per ogni eventuale risposta. __________________ / CM 690 \| X4 920 @ 3,6GHz / CM V8 \| M3A78-EM \| 4Gb DDR2-800 \| HD5870 vTweak \| EPS750W \| Win7 64bit \ Ultima modifica di BioShock3\|) : 06-02-2009 alle 15:05.

06-02-2009, 15:11	#2
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	ciao questo 3d verrà chiuso, posta qui nella guida per la rimozione di MBR rootkit anche il log di prevx __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

06-02-2009, 15:44	#3
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Closed __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

Strumenti
Mostra una versione stampabile Invia questa pagina per email