|
|||||||
|
|
|
 |
|
|
Strumenti |
06-05-2010, 16:56
|
#2841 |
|
Member
Iscritto dal: May 2010
Messaggi: 154
|
Probabile mbr rootkit
CIAO a tutti, sono nuovo, credo di il problema che voi state trattando.Ho seguito la vostra guida ma credo di aver solamente pasticciato. Ho già effettuato la fase seconda di riparazione, ma senza esito e credo complicando la possibilità x voi di aiutarmi. Credo di avere il problema perchè anche se Gmer non lo ha rilevato e Prevx neppure, lo stesso prevx attivo come guardia, ogni tanto mi segnala che ha riscontrato il problema ma quando gli dico di ripararlo mi chiede di fare la scansione completa, acconsento ma non lo rileva più. Inoltre ho usato combofix che dal log mi sembra dica ha riparato quel problema ( ma di fatto c'è ancora). Ho provato a cancellare l'utente Helpassistant e le relative cartelle ma si riformano.
Il sistema operativo è windows media center, service pack 3 installato in c.Vi allego i file attuali con il problema attivo ( utente Helpassistant attivo e pure le relative cartelle.Il pc è lento in internet, x spegnersi ci mette una vita e non mi va in stand-by. Spero possiate aiutarmi, grazie comunque anticipatamente. http://wikisend.com/download/944622/Gmer.txt http://wikisend.com/download/939294/Prevx06-05-2010.txt http://wikisend.com/download/484962/...e_06_06log.txt http://wikisend.com/download/954688/...6_08-58-42.log Scusa ma ho impiegato un pò a capire come allegare Ultima modifica di numatu : 06-05-2010 alle 17:15. Motivo: aggiunta link |
|
|
|
06-05-2010, 17:05
|
#2842 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
07-05-2010, 22:38
|
#2843 |
|
Member
Iscritto dal: May 2010
Messaggi: 154
|
Scusa ho finito ora una scansione con DR. Web può essere utile?
Se devo fare qualcosa dimmi vorrei risolvere il problema, è molto pesante, grazie! Allego il text di Dr.Web ma non mi sembra dir nulla di interessante http://wikisend.com/download/970744/DrWeb.txt Ultima modifica di numatu : 07-05-2010 alle 22:45. |
|
|
|
|
08-05-2010, 09:17
|
#2844 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
08-05-2010, 20:27
|
#2845 |
|
Member
Iscritto dal: May 2010
Messaggi: 154
|
Ciao scusa il ritardo ma il mio computer è diventato una lumaca .
Ti allego i txt delle due scansione x la prima fase, appena completate. http://wikisend.com/download/490408/Gmer 08-05-2010.log http://wikisend.com/download/168966/Prevx 08-05-2010.txt Se puoi vedi se c'è qualcosa da fare, grazie. |
|
|
|
|
09-05-2010, 10:08
|
#2846 |
|
Senior Member
Iscritto dal: Jun 2009
Messaggi: 5561
|
scusate,generalmente dove vengono creare le cartelle dove copia alcuni file che potrebbero essere inviati?
Grazie |
|
|
|
|
09-05-2010, 20:38
|
#2847 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
10-05-2010, 02:32
|
#2848 |
|
Member
Iscritto dal: May 2010
Messaggi: 154
|
Ciao chill, scusa ma vado lento con le scansioni.
Ti allego i file richiestimi http://wikisend.com/download/470844/mbr 09-05-2010.log http://wikisend.com/download/574498/...9_23-30-57.log Poi volevo diri che mbr.exe c'è stato una volta che mi ha rilevato il problema, ma non mi ha detto che lo aveva risolto dopo che housato il comando mbr.exe -f. Inoltre quand combofix mi ha detto che era tutto risolto, ho cancellato l'utente e la cartelle, ma poi si sno ripresentati. Ti allego le foto di come si presentano ora: http://wikisend.com/download/632244/Cartella.bmp http://wikisend.com/download/444964/Utente.bmp La riformazione di questi 2 poblemi mi fa pensare che il male non è stato sdradicato o almeno non del tutto. Spero possa iutarmi, grazie sempre. |
|
|
|
|
10-05-2010, 09:18
|
#2849 | ||
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
Quote:
__________________
Try again and you will be luckier.
|
||
|
|
|
|
10-05-2010, 14:38
|
#2850 |
|
Junior Member
Iscritto dal: Oct 2007
Messaggi: 9
|
Maos.35
Un ringraziamento a tutti per il magnifico lavoro che svolgete..
Purtroppo chi capita in questo tread risulta infetto, i famosi software Symantec ect. pagati molto sembra non siano in grado di fare niente, per loro tutto è ok. Bene come per altri allego log, premetto che ho utilizzato anche combofix che ha rimosso una cartella ed un file forse utile (forse incriminato .. legato al programmo installato prima che tutto si bloccase in modo random). http://wikisend.com/download/216844/prevx.log http://wikisend.com/download/529858/gmer.log http://wikisend.com/download/570612/combofixlog.txt Prevx sembra non trovare nulla, ma mbr invece si...?? Attendo gentile risposta. Grazie |
|
|
|
|
10-05-2010, 15:52
|
#2851 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
10-05-2010, 16:45
|
#2852 | |
|
Junior Member
Iscritto dal: Oct 2007
Messaggi: 9
|
Quote:
anche per per non risultava nulla di strano... ma mbr??? http://wikisend.com/download/551660/mbr.log http://wikisend.com/download/909322/...0_15-57-06.log |
|
|
|
|
|
10-05-2010, 18:06
|
#2853 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
10-05-2010, 18:13
|
#2854 | |
|
Junior Member
Iscritto dal: Oct 2007
Messaggi: 9
|
Quote:
http://wikisend.com/download/506946/DrWeb.csv Rileva prevx installato..? |
|
|
|
|
|
11-05-2010, 11:53
|
#2855 | ||
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
Quote:
__________________
Try again and you will be luckier.
|
||
|
|
|
|
11-05-2010, 15:04
|
#2856 |
|
Junior Member
Iscritto dal: Oct 2007
Messaggi: 9
|
[quote=Chill-Out;31930604]Intendo questo
Scusa CO anche io intendevo... copy of MBR has been found in sector 0x02542D6C1 malicious code @ sector 0x02542D6C4 ! PE file found in sector at 0x02542D6DA Il fatto è lo "sporco" non è eliminabile ... in altri termini copia del malicious code rimane comunque nonostante il fix? CureIt completo circa 6 ore rileva i files in quarantena di NIS (Symantec)precedenti + HA rimosso. http://wikisend.com/download/468936/DrWeb all.csv Ritieni quindi che il PC sia pulito? Grazie. |
|
|
|
|
11-05-2010, 15:27
|
#2857 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
11-05-2010, 15:45
|
#2858 | |
|
Junior Member
Iscritto dal: Oct 2007
Messaggi: 9
|
Quote:
Ciao. |
|
|
|
|
|
11-05-2010, 19:14
|
#2859 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
12-05-2010, 18:13
|
#2860 |
|
Member
Iscritto dal: May 2010
Messaggi: 154
|
Ciao Chill, ho rattivato il notebook diverse volte e sembra che l'utente HelpAssistant non si riabiliti, nè tatomeno si riformino le cartelle relative x cui penso che che il rpoblema si sia risolto, x questo dai log non s evince più nulla. Tuttavia il pc mi resta lento nell'avvio e non mi va instand-by, capisco che non è l'argomento di questa guida ma potresti indirizzarmi cmq ad una che mi possa aiutare ?.
Grazie di tutto. P.S. l'utente HelpAssistant devo lascialo disabilitato o posso eliminarlo e nel caso come visto che ho Windows Media center edition (pro ).Grazie di nuovo. |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 12:00.
