|
|||||||
|
|
|
 |
|
|
Strumenti |
07-06-2008, 12:04
|
#321 | ||
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
Quote:
__________________
Try again and you will be luckier.
|
||
|
|
|
07-06-2008, 12:27
|
#322 | |
|
Junior Member
Iscritto dal: Jun 2008
Messaggi: 5
|
Quote:
grazie... ...beckuppo i dati (cosa che faccio periodicamente - ora approfitto della situazione..) e procedo... |
|
|
|
|
|
07-06-2008, 13:03
|
#323 | |
|
Senior Member
Iscritto dal: Jan 2003
Messaggi: 630
|
Quote:
http://wikisend.com/download/345590/log3.txt
__________________
ENERMAX Uber Chakra Big Tower/Asus P5Q3 P45/Q9400 Quad-Core2/ 4GIGA OCZ DDR3(1600MHz)Gold series/ Barracuda 500GB/SAPPHIRE HD4850/OCZ 700W/ASUS DRW-2014S 20X/Alice adsl 7mb |
|
|
|
|
|
07-06-2008, 22:02
|
#324 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
Ultima modifica di Chill-Out : 07-06-2008 alle 22:18. |
|
|
|
|
|
08-06-2008, 18:20
|
#325 |
|
Member
Iscritto dal: Jun 2006
Città: Mezzago
Messaggi: 86
|
Ebbene eccomi qui' anch'io
 Perdonatemi se non sono particolarmente felice di partecipare a questa discussione, date le circostanze  Come indicato dal thread starter allego i file log rispettivamente di PREvxCSI PREvxCSI.txt e GMER GMERlog.txt Riporto il summary di PREvxCSI tanto per comodita' "ROOTKIT-\\.\PhysicalDrive0\MBR - [512] >> Hidden Disk Sectors C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe - [b] >> Malicious Software End of PrevxCSI Log - http://www.prevx.com" e di GMER "---- Disk sectors - GMER 1.0.14 ---- Disk \Device\Harddisk0\DR0 sector 00: rootkit-like behavior; MBR rootkit code detected <-- ROOTKIT !!! Disk \Device\Harddisk0\DR0 sector 10: rootkit-like behavior; Disk \Device\Harddisk0\DR0 sector 60: rootkit-like behavior; Disk \Device\Harddisk0\DR0 sector 61: rootkit-like behavior; malicious code @ sector 0x1d1c06c0 size 0x1a8 Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR ---- EOF - GMER 1.0.14 ----" Da entrambe, nella breve esperienza che mi sono fatto negli ultimi due giorni, emerge che mi sono beccato quel fantastico Rootkit ed il bello é che andavo girando per siti Web aprendo guide online di software per la modifica di sottotitoli per DVD e non sto' scherzando. Comunque, me ne sono accorto perché scorrendo il menu' relativo alle proprieta' della cartella, oltre ad essere completamente differente rispetto a prima, adesso non ho piu' la voce "mostra file nascosti". Infine, chicca delle chicce, Explorer é completamente danneggiato. Impossibile la navigazione, a meno di impallare l'intero PC. La cosa strana é che, tutto il resto funziona perfettamente. Non ho rallentamenti del sistema, l'elenco dei processi attivi mi sembra normalissimo (nessun processo anomalo), posso comunque navigare in piena liberta' adoperando Firefox, la posta Elettronica funziona. Insomma, solo Explorer é compromesso tutte le altre applicazioni lavorano regolarmente. Avrei voluto fare tutto da solo ma ho preferito affidarmi a presone piu' competenti tenendo conto che stavolta non si parla di un classico Virus ma di qualcosa che s'é annidato nel Master Boot Sector ed ho una paura fottuta di dare Clean Up a qualsivoglia Tool di rimozione, rischiando al successivo restart, di dover comunque formattare tutto. Per fortuna C: contiene solo il S.O.  Ringrazio anticipatamente Chill-out per l'eventuale supporto EDIT: Ah dimenticavo, l'utilita' punto di ripristino é disattivata dalla prima installazione del S.O. Ultima modifica di CliveSt : 08-06-2008 alle 20:54. |
|
|
|
|
08-06-2008, 21:01
|
#326 | |
|
Senior Member
Iscritto dal: Jan 2003
Messaggi: 630
|
Quote:
__________________
ENERMAX Uber Chakra Big Tower/Asus P5Q3 P45/Q9400 Quad-Core2/ 4GIGA OCZ DDR3(1600MHz)Gold series/ Barracuda 500GB/SAPPHIRE HD4850/OCZ 700W/ASUS DRW-2014S 20X/Alice adsl 7mb |
|
|
|
|
|
08-06-2008, 21:09
|
#327 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
Ciao
__________________
Try again and you will be luckier.
|
|
|
|
|
|
08-06-2008, 21:10
|
#328 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
10-06-2008, 11:49
|
#329 |
|
Junior Member
Iscritto dal: Jun 2008
Messaggi: 5
|
allora ho approfittato della mattinata libera per dedicarmici, ho segiuto alla lettera le istruzioni della fase due, ma -ahimè- se ho capito bene l'infezione non è stata debellata.. ..allego i log prodotti... Aggiungo che fixmebroot immediatamente dopo l'avvio della scansione mi dice di riavviare il pc, alla successiva scansione la cosa si ripete, comunque nei credo sia tutto specificato... ...c'è qualche altra cosa che possa fare o devo formattare? Grazie mille...
EDIT: non accetta più di tre allagati, parcheggio qui il log di mebroot: Symantec Trojan.Mebroot Removal Tool 1.0.1 Found drive \\.\PhysicalDrive0, analyzing MBR... Found drive \\.\PhysicalDrive1, analyzing MBR... Creating FixMebroot service driver Running driver... Trojan.Mebroot has not been found active on your computer. Delete service driver Delete driver file End The tool initiated a system reboot. edit bis: ma che mbr non ha funioznato bene... perchè.. i log prodotti sono stati identici, in effetti ad agni digitazione della stringa di comano in strart--->esegui si apriva la maschera tipica di windows "vuoi eseguire il file mbr-exe"... ...quindi il comando mbr.exe -f non ha fatto nulla? Ultima modifica di aboccia69 : 10-06-2008 alle 16:46. Motivo: aggiornamento |
|
|
|
|
10-06-2008, 17:41
|
#330 |
|
Member
Iscritto dal: Jun 2006
Città: Mezzago
Messaggi: 86
|
Ah eehm avrei un problema
 Non mi parte la modalita' provvisoria  Ho provato sia a dare Modalita' Provvisoria che Modalita' Provvisoria con Prompt dei Comandi ma nisba Inizia a caricare i vari driver & Co. dopodiché parte per un nanosecondo la crashata blue e si riavvia EDIT: Ho letto di un utente che é riuscito a rimuovere il Rootkit eseguendo semplicemente il tool Dr. Web, si puo' fare comunque? Ultima modifica di CliveSt : 10-06-2008 alle 18:42. |
|
|
|
|
10-06-2008, 21:36
|
#331 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
Allega un nuovo log di Gmer e Prevx CSI seguente le istruzioni in Guida
__________________
Try again and you will be luckier.
|
|
|
|
|
|
10-06-2008, 21:37
|
#332 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
10-06-2008, 22:31
|
#333 |
|
Junior Member
Iscritto dal: Jun 2008
Messaggi: 5
|
ti ringrazione della diponibilità Chill-Out
allora CSI ---> system clear e gmer come da allegato |
|
|
|
|
10-06-2008, 22:36
|
#334 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
10-06-2008, 23:21
|
#335 |
|
Junior Member
Iscritto dal: Jun 2008
Messaggi: 5
|
aspita... ..sono contento, allora il log di csi+the result scan online è http://csia0.prevx.com/individualcsi...SIPLUS&CMD=LSR mentre invece la scansione concure it dapprima mi ha fatto riavviare, poi alla seconda non ha trovato nulla, anche la fase "completa scansione" è uscito tutto pulito, evito di allegare il log risultante, sia perchè è di oltre due mega, poi per non tediarne alcuno con una lettura di status ok ecc. ecc... ..(comunque se serve sono ovviamente disponibilissimo alla pubblicazione)...
..ti ringrazio ancora... |
|
|
|
|
10-06-2008, 23:24
|
#336 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
11-06-2008, 13:59
|
#337 | |||||
|
Member
Iscritto dal: Jun 2006
Città: Mezzago
Messaggi: 86
|
Niente sono stato costretto a formattare C: perche' nel tentativo di far partire il sistema in modalita' provvisoria, come un idiota, ho innescato un loop al riavvio per cui come cercava di entrare in safe mode, crashava, restartava, ritentava il safe mode e l'anello ripartiva. Tutto questo perche' con l'msconfig ho spuntato sulla finestra BOOT.INI la modalita' safe mode /minimal. Bella vaccata, lo riconosco.
Una domanda, fermo restando che come torno online (adesso sono sul computer dell'ufficio ) posto immediatamente le scansioni con tutti e due i programmi di diagnostica PREvxCSI e GMER, la formattazione completa all'atto di installare Win XP e' di basso livello? Ovvero, avra' "arato" il Master Boot Sector? Perche' adesso, il menu' di proprieta' delle Cartelle e' regolare, cosi' come Explorer funziona senza crash. C'ho aperto i file di guida di alcuni driver che stavo installando ed e' partito senza alcun problema mentre prima era sufficiente anche solo il doppio-clic sull'icona di Explorer che come si apriva, crashava di brutto EDIT: Allora, ieri ho rifatto la scansione con GMER e mi segnala solo il dannatissimo malicious code @ sector 0x1d1c06c0 size 0x1a8 ! copy of MBR has been found in sector 62 ! Ho potuto finalmente eseguire tutta la procedura FASE DUE e FASE TRE, ed ecco i risultati (chiedo scusa sin da subito ma dal lavoro non posso andare sui siti di Uploading): MBR1 Quote:
Quote:
Quote:
Quote:
Quote:
A me sembra che la parte "attiva" di quel dannato Rootkit, sia stata eliminata con la passata che diedi mediante DrWEB, prima di fare quel casino con la modalita' provvisoria. Adesso i vari tool non vedono piu' l'MBR corrotto ma rivelano un residuo di codice (probabilmente inerte?  ) del Rootkit che se ne sta' li buonino senza creare danni.Puo' essere cosi'? Il punto e' che tutto funziona bene, anche se sono con la configurazione base ovvero WinXP + SP2 appena installato e configurato, driver fondamentali, NO connessione Internet. Chill-out che ne dici? Credo che mi giochero' l'ultima carta. Provero' a fixare l'MBR mediante il ripristino configurazione all'installazione di Windows, non vedo altre possibilita' per togliere quella stringa al settore 62
Ultima modifica di CliveSt : 12-06-2008 alle 06:15. Motivo: inseriti i Log |
|||||
|
|
|
|
11-06-2008, 22:11
|
#338 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
12-06-2008, 01:08
|
#339 |
|
Member
Iscritto dal: Jun 2006
Messaggi: 33
|
Salve a tutti , mi unisco alla discussione contividendo il mio grosso problema e sperando che qualche "dio" tra di voi riesca a salvarmi da questo peccato!!!
dunque, io ho bisogno una grande mano, poiche premetto che di forum e di pc non ne capisco molto, e dico che leggendo le pagine arretrate, non riuscivo a capire che combinavate e non avevo la piu pallida idea di cosa bisogna fare... potete giudarmi passo a passo visto questa mia incompetenza in materia?? Putroppo il danno che ho avuto è molto grave... 1 hdd 80gb sataII 32mb cache infetto, 1 hdd 700gb sataII 32mb cache infetto, 1hdd 320gb ide infetto e per finire 1 hdd 160gb ide infetto... come antivirus monto nod32.. e mi dice che il disco fisico contiene cavallo di troia mebroot.K. ho formattato tutto, ma è ritornato fuori... Help mee!!! 
|
|
|
|
|
12-06-2008, 08:30
|
#340 |
|
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
Ciao benvenuto nel pronto soccorso di HU.
Leggi le regole di sezione e poi segui il primo post di questa discussione.
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 06:45.
