Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT - Pagina 142

lalloghin · 03-05-2010, 18:43

Il magrissimo log di gmer:
http://wikisend.com/download/447024/gmerlog.txt
E' possibile?(circa 30 minuti di analisi con tutto col segno di spunta)

ho sempre il problema tdsskiller che sembra sia attivo seppur non apparendo tra i processi. Sia il file .exe che il .zip (?) si rifiutano di farsi copiare segnalando il programma in attività. Che faccio li cancello (ci riesco?)

**Chill-Out** · 03-05-2010, 18:44

Quote:

Originariamente inviato da mooceleste

up

Come indicato in Guida

Quote:

Dopo aver terminato la scansione allegare il log per il controllo che trovate in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb

**Chill-Out** · 03-05-2010, 18:45

Quote:

Originariamente inviato da lalloghin

Il magrissimo log di gmer:
http://wikisend.com/download/447024/gmerlog.txt
E' possibile?(circa 30 minuti di analisi con tutto col segno di spunta)

ho sempre il problema tdsskiller che sembra sia attivo seppur non apparendo tra i processi. Sia il file .exe che il .zip (?) si rifiutano di farsi copiare segnalando il programma in attività. Che faccio li cancello (ci riesco?)

Il log di Gmer è ok, per quanto concerne TDSSKiller basta cestinare il tool.

lalloghin · 03-05-2010, 20:05

Grazie!!
Eliminati i tdsskiller.
Però mentre ero a cenare mi si è riavviato da solo (sigh!).
allora ho guardato i processi attivi e per pochi secondi era attivo: wmlprvse.exe
che da google pare un trojan ...
mi resta il dubbio che fosse wmiprvse.exe (ma è sparito subito e non ho avuto il tempo di controllare)
Ho cercato il file con la funzione cerca ma nulla....
Che faccio, ignoro?

**Chill-Out** · 04-05-2010, 09:19

Quote:

Originariamente inviato da lalloghin

Grazie!!
Eliminati i tdsskiller.
Però mentre ero a cenare mi si è riavviato da solo (sigh!).
allora ho guardato i processi attivi e per pochi secondi era attivo: wmlprvse.exe
che da google pare un trojan ...
mi resta il dubbio che fosse wmiprvse.exe (ma è sparito subito e non ho avuto il tempo di controllare)
Ho cercato il file con la funzione cerca ma nulla....
Che faccio, ignoro?

Come faccio a saperlo?

Inizia con l'aggiornare il SO al SP3

lalloghin · 04-05-2010, 09:34

Ho lanciato siw e guardato i processi attivi. In parallelo con il task manager.
Sono apparse due copie di wmiprvse.exe su siw mentre in quel momento (?) solo una era appena apparsa sul task manager (mi vien da pensare provocate dall'avvio di siw stesso). Poi in breve sono scomparse.
Morale avevo visto male io... non era wml.....
In autorun SIW mi segnala una chiave di Hitman.pro è possibile eliminarla?

**Chill-Out** · 04-05-2010, 09:43

Quote:

Originariamente inviato da lalloghin

In autorun SIW mi segnala una chiave di Hitman.pro è possibile eliminarla?

Non c'è motivo, come detto in precedenza aggiorna il SO al SP3 e segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

ciberbob · 04-05-2010, 11:21

Ciao Chill-Out senti sono ancora io scusami se mi faccio sentire ora ma ho avuto da fare in questi giorni ti ricapitolo il mio problema alle volte quando apro internet explore la cpu mi va al max e la navigazione risulta lenta ti ho gia allegato il loh di hij ma te lo rimetto

hijackthis.log

mi dicesti di inserire anche i log di gmer eccolo

Gmer -log.txt

e di prevx solo che di questo sono riuscito a creare solo il log pre-infezione infatt mi ha trovato un file dannoso Mirc.exe ma è un noto programma di chat irc bo non saprei cmq il log post infezione non sono riuscito a crearlo perche prevx mi chiede la licenza per pulire questo file poi sinceramente mi sono fermato perche non sapevo cosa fare fammi sapere e ti ringrazio in anticipio per una tua risposta

prevx-pre infezione.log

lalloghin · 04-05-2010, 11:30

Quote:

Originariamente inviato da Chill-Out

Non c'è motivo, come detto in precedenza aggiorna il SO al SP3 e segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ottimo grazie.

ciberbob · 04-05-2010, 14:44

Quote:

Originariamente inviato da ciberbob

Ciao Chill-Out senti sono ancora io scusami se mi faccio sentire ora ma ho avuto da fare in questi giorni ti ricapitolo il mio problema alle volte quando apro internet explore la cpu mi va al max e la navigazione risulta lenta ti ho gia allegato il loh di hij ma te lo rimetto

hijackthis.log

mi dicesti di inserire anche i log di gmer eccolo

Gmer -log.txt

e di prevx solo che di questo sono riuscito a creare solo il log pre-infezione infatt mi ha trovato un file dannoso Mirc.exe ma è un noto programma di chat irc bo non saprei cmq il log post infezione non sono riuscito a crearlo perche prevx mi chiede la licenza per pulire questo file poi sinceramente mi sono fermato perche non sapevo cosa fare fammi sapere e ti ringrazio in anticipio per una tua risposta

prevx-pre infezione.log

ci 6?

**Chill-Out** · 04-05-2010, 15:38

Quote:

Originariamente inviato da ciberbob

ci 6?

Il mio reply è datato 26.04, alleghi i log richiesti il 04.05 un pochino di pazienza è gradita.

Ripeti scansione con gmer prestando attenzione alle istruzioni in prima pagina

ciberbob · 04-05-2010, 15:54

Quote:

Originariamente inviato da Chill-Out

Il mio reply è datato 26.04, alleghi i log richiesti il 04.05 un pochino di pazienza è gradita.

Ripeti scansione con gmer prestando attenzione alle istruzioni in prima pagina

ho fatto i log come c'e' scritto in prima pagina e sono quelli che ho inserito

**Chill-Out** · 04-05-2010, 16:06

Quote:

Originariamente inviato da ciberbob

ho fatto i log come c'e' scritto in prima pagina e sono quelli che ho inserito

Ok, dai log non memrge nulla.

ciberbob · 04-05-2010, 16:12

Quote:

Originariamente inviato da Chill-Out

Ok, dai log non memrge nulla.

quindi tutto ok nessun virus?

**Chill-Out** · 04-05-2010, 16:33

Quote:

Originariamente inviato da ciberbob

quindi tutto ok nessun virus?

Esatto, dai log non emerge nulla.

ciberbob · 04-05-2010, 16:44

Quote:

Originariamente inviato da Chill-Out

Esatto, dai log non emerge nulla.

ok grazie

**Chill-Out** · 04-05-2010, 17:37

Quote:

Originariamente inviato da ciberbob

ok grazie

Prego

lollos · 04-05-2010, 20:40

chiedo anticipatamente scusa per questo post appena ho conferma di infezione parto dal primo post e seguo la guida passo passo.
stavo seguendo la guida alla disinfezione e sono al passo per la scansione di malwarbyte e mi ha rilevato 2 rootkit (almeno credo)

i 2 file rilevati (delete on reboot) non me li rimuove (fatto reboot e risconsionato) in piu al reboot mi si apre una finestra che mi dice che sono in modalita di recupero (o simile) e mi apre la finestra si msconfig e' normale?
ps prometto di essere piu preciso

Log rimosso non conforme alle Regole di sezione

**Chill-Out** · 04-05-2010, 22:00

Quote:

Originariamente inviato da lollos

chiedo anticipatamente scusa per questo post appena ho conferma di infezione parto dal primo post e seguo la guida passo passo.
stavo seguendo la guida alla disinfezione e sono al passo per la scansione di malwarbyte e mi ha rilevato 2 rootkit (almeno credo)

i 2 file rilevati (delete on reboot) non me li rimuove (fatto reboot e risconsionato) in piu al reboot mi si apre una finestra che mi dice che sono in modalita di recupero (o simile) e mi apre la finestra si msconfig e' normale?
ps prometto di essere piu preciso

Log rimosso non conforme alle Regole di sezione

Quote:

Originariamente inviato da xcdegasp

in sostanza hai tracce di un adaware che sfrutta il browser per uscire su internet, io fossi in te abbandonerei IE per preferire Firefox, disinstallerei sunbelt per preferire singoli prodotti che sono decisamente più efficaci quindi Avira Free e un firewall a scelta tra Comodo-Firewall o OnlineArmor-free, e poi segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti

ovviamente in un nuovo thread

Come indicato dal collega il nuovo Thread lo devi aprire in Sezione idonea http://www.hwupgrade.it/forum/forumdisplay.php?f=125 qui sei OT.

lollos · 04-05-2010, 22:58

richiedo scusa per l'ot ma avendo durante le procedure segnalate in quel topic (che sto seguendo) ho rilevato un probabile rootkit (olmeno cosi me lo rilevano malwarbyte e Gmer e chiedevo maggiori info su quei 2 file .
riposto in quel topi scusa ancora

04-05-2010, 20:40	#2838
lollos Member Iscritto dal: Oct 2004 Messaggi: 230	chiedo anticipatamente scusa per questo post appena ho conferma di infezione parto dal primo post e seguo la guida passo passo. stavo seguendo la guida alla disinfezione e sono al passo per la scansione di malwarbyte e mi ha rilevato 2 rootkit (almeno credo) i 2 file rilevati (delete on reboot) non me li rimuove (fatto reboot e risconsionato) in piu al reboot mi si apre una finestra che mi dice che sono in modalita di recupero (o simile) e mi apre la finestra si msconfig e' normale? ps prometto di essere piu preciso Log rimosso non conforme alle Regole di sezione Ultima modifica di Chill-Out : 04-05-2010 alle 21:58.

03-05-2010, 18:43	#2821
lalloghin Junior Member Iscritto dal: May 2010 Messaggi: 15	Il magrissimo log di gmer: http://wikisend.com/download/447024/gmerlog.txt E' possibile?(circa 30 minuti di analisi con tutto col segno di spunta) ho sempre il problema tdsskiller che sembra sia attivo seppur non apparendo tra i processi. Sia il file .exe che il .zip (?) si rifiutano di farsi copiare segnalando il programma in attività. Che faccio li cancello (ci riesco?)

03-05-2010, 20:05	#2824
lalloghin Junior Member Iscritto dal: May 2010 Messaggi: 15	Grazie!! Eliminati i tdsskiller. Però mentre ero a cenare mi si è riavviato da solo (sigh!). allora ho guardato i processi attivi e per pochi secondi era attivo: wmlprvse.exe che da google pare un trojan ... mi resta il dubbio che fosse wmiprvse.exe (ma è sparito subito e non ho avuto il tempo di controllare) Ho cercato il file con la funzione cerca ma nulla.... Che faccio, ignoro?

04-05-2010, 09:34	#2826
lalloghin Junior Member Iscritto dal: May 2010 Messaggi: 15	Ho lanciato siw e guardato i processi attivi. In parallelo con il task manager. Sono apparse due copie di wmiprvse.exe su siw mentre in quel momento (?) solo una era appena apparsa sul task manager (mi vien da pensare provocate dall'avvio di siw stesso). Poi in breve sono scomparse. Morale avevo visto male io... non era wml..... In autorun SIW mi segnala una chiave di Hitman.pro è possibile eliminarla?

04-05-2010, 11:21	#2828
ciberbob Member Iscritto dal: Dec 2007 Messaggi: 38	Ciao Chill-Out senti sono ancora io scusami se mi faccio sentire ora ma ho avuto da fare in questi giorni ti ricapitolo il mio problema alle volte quando apro internet explore la cpu mi va al max e la navigazione risulta lenta ti ho gia allegato il loh di hij ma te lo rimetto hijackthis.log mi dicesti di inserire anche i log di gmer eccolo Gmer -log.txt e di prevx solo che di questo sono riuscito a creare solo il log pre-infezione infatt mi ha trovato un file dannoso Mirc.exe ma è un noto programma di chat irc bo non saprei cmq il log post infezione non sono riuscito a crearlo perche prevx mi chiede la licenza per pulire questo file poi sinceramente mi sono fermato perche non sapevo cosa fare fammi sapere e ti ringrazio in anticipio per una tua risposta prevx-pre infezione.log

04-05-2010, 22:58	#2840
lollos Member Iscritto dal: Oct 2004 Messaggi: 230	richiedo scusa per l'ot ma avendo durante le procedure segnalate in quel topic (che sto seguendo) ho rilevato un probabile rootkit (olmeno cosi me lo rilevano malwarbyte e Gmer e chiedevo maggiori info su quei 2 file . riposto in quel topi scusa ancora

Strumenti
Mostra una versione stampabile Invia questa pagina per email