[win XP] Probabile virus nel Bios !

[xcdegasp]

Quote:

Originariamente inviato da tinos

effetivamente è un'operazione che non ho mai fatto, anche perchè pensavo che fosse sufficente terminare gli altri programmi che potessero creare dei conflitti, ma di escludere le cartelle....potrei anche sbagliarmi, però non mi sembra una buona idea.
un'eventuale virus-trojan non potrebbe nascondersi anche li ?

grazie

ciao

è più facile che chi trova lì sia la quarantena del programma o se entrambi stanno in real-time senza esclusione è possibile che mentre uno scansiona un file infetto e che stia per segnalarlo l'altro intervenga prendendone meriti... (o anche meglio descritto con "glielo strappa di mano")

sono due situazioni da evitare perchè questo è l'inizio di un conflitto e non sempre rimane così lieve, potrebbe anche succedere che un file infetto che entrambi individuerebbero passasse inosservato perchè appunto i due bisticciano

[tinos]

Quote:

Originariamente inviato da Max Biaggi

Lo sai che mi puzza tanto di pagliacciata e di presa x il s3d3re da parte di microsoft???

Non ho mai sentito parlare in 12 anni di lavoro coi pc di "Virus nel Bios" (sopratutto ultimamente poi)...può darsi che risieda nell'MBR dell'HDD al massimo........

cavolo!!!
avevi ragione guarda quì:
http://www.p2pforum.it/forum/showthread.php?t=266197

sai esattamente come fare ? Per rimuovere il rootkit è sufficiente utilizzare il comando "fixmbr" da Console di Ripristino.
non vorrei fare danni...

intanto, l'altro ieri ho formattato e installato xp pro sp2, su un pc di un mio amico e pensate un pò che cosa ho trovato nel visualizzatore eventi appena è terminata l'installazione ?
gli stessi provider che figuravano nel mio visualizzatore eventi, con gli stessi messaggi di errore

ciao

[tinos]

Quote:

Originariamente inviato da tinos

sai esattamente come fare ? Per rimuovere il rootkit è sufficiente utilizzare il comando "fixmbr" da Console di Ripristino.
non vorrei fare danni...

ciao

la console di ripristino sono riuscito a installarla, ora il mio dubbio è questo:
il comando "fixmbr" da dove lo faccio partire da,
c:\ oppure da c:\windows\ ?

grazie

ciao

[GOLDRAKES]

Ciao ho letto tutta la discussione, e mi e sorto un dubbio, hai detto che hai installato win xp sp2 su un pc di un tuo amico, ed è successa la stessa cosa, non è che il tuo sistema operativo è .....

[tinos]

Quote:

Originariamente inviato da GOLDRAKES

Ciao ho letto tutta la discussione, e mi e sorto un dubbio, hai detto che hai installato win xp sp2 su un pc di un tuo amico, ed è successa la stessa cosa, non è che il tuo sistema operativo è .....

è originale.

[xcdegasp]

e il cd è masterizzato o originale?

[GOLDRAKES]

Quote:

Originariamente inviato da tinos

è originale.

ok non ti ho detto quello per malafede
allora fai cosi' perchè non formatti tutto e metti vista cosi' realmente possiamo capire il tuo problema se ti dà i stessi problemi anche con vista allora è un virus di boot

[tinos]

Quote:

Originariamente inviato da GOLDRAKES

ok non ti ho detto quello per malafede
allora fai cosi' perchè non formatti tutto e metti vista cosi' realmente possiamo capire il tuo problema se ti dà i stessi problemi anche con vista allora è un virus di boot

ciao, non ti preoccupare l'avevo capito che non eri in malafede .
ti ringrazio, ma vista al momento non è nei miei obbiettivi, piuttosto mi sto allenando con ubuntu, che ho installato su un'altro HD insieme ad un'altra installazione di xp, questo HD lo collego alternativamente ha quello diciamo "principale", che sarebbe quello sul quale ho avuto tutti questi problemi.
comunque credo che il problema sia proprio nell' MBR.
Ieri e fino ad oggi pomeriggio ho lavorato sull'altro HD dove ho installato ubuntu, oggi pomeriggio scollego dalla mobo l'HD di ubuntu e collego il mio solito HD con xp, appena carica il sistema operativo, mi ritrovo con una doppia connessione lan.
file temporanei un po strani e dire che di solito prima di spegnere passo ccleaner...
avvio ccleaner, il quale si aggiorna, lo installo , durante la sua installazione il defender del firewall Comodo, mi segnala dei file sospetti che modificano il file di registro, li blocco, disabilito il ripristino di conf. e faccio partire una scansione di Avira questo è ciò che ha rilevato:
[DETECTION] Is the Trojan horse TR/Agent.61693
[INFO] A backup was created as '47fe950b.qua' ( QUARANTINE )
[INFO] The file was deleted!
D:\System Volume Information\_restore{DFA2C35C-0FC9-48D4-951D-5722DCC5748D}\RP17\A0006652.exe
[DETECTION] Is the Trojan horse TR/Agent.61693
[INFO] A backup was created as '47bf98f9.qua' ( QUARANTINE )
[INFO] The file was deleted!

poi con HijackThis v2.0.2 fixo questa voce:
O4 - HKLM\..\RunOnce: [OVCOMSReg] OVComS.exe /RegServer

nel visualizzatore eventi sotto la voce sistema ho trovato diversi avvisi di errore come questo:
Tipo evento: Errore
Origine evento: W32Time
Categoria evento: Nessuno
ID evento: 17
Data: 17/01/2008
Ora: 17.29.54
Utente: N/D
Computer: ABITQUADGT6600
Descrizione:
Time providerNtpClient: si è verificato un errore durante la ricerca DNS del peer configurato manualmente 'time.windows.com,0x1'. NtpClient ritenterà la ricerca DNS fra 15 minuti. Errore Tentativo di operazione del socket verso un host non raggiungibile. (0x80072751)


ho fatto una scansione online con panda il quale non ha trovato nulla.
ho installato il tool di rimozione della prevx ma si chiude in modo anomalo subito dopo il riavvio.
per fortuna ora la doppia connessione lan è sparita.
e comunque non sono ancora riuscito a fare qualcosa, perchè ho passato tutto il tempo a fare scansioni

vorrei provare a sovrascrivere l'MBR, in rete ho trovato queste informazioni per farlo:
fare il boot dal cd d'installazione di xp, andare nella console di ripristino e su "c:"
inserire "bootcfg/rebuild" ( per la ricostruzione automatica del file boot.ini )
inserire "fixboot" ( per fixare l'mbr)

che ne pensate posso procedere ?

grazie

ciao

[GOLDRAKES]

Quote:

Originariamente inviato da tinos

ciao, non ti preoccupare l'avevo capito che non eri in malafede .
ti ringrazio, ma vista al momento non è nei miei obbiettivi, piuttosto mi sto allenando con ubuntu, che ho installato su un'altro HD insieme ad un'altra installazione di xp, questo HD lo collego alternativamente ha quello diciamo "principale", che sarebbe quello sul quale ho avuto tutti questi problemi.
comunque credo che il problema sia proprio nell' MBR.
Ieri e fino ad oggi pomeriggio ho lavorato sull'altro HD dove ho installato ubuntu, oggi pomeriggio scollego dalla mobo l'HD di ubuntu e collego il mio solito HD con xp, appena carica il sistema operativo, mi ritrovo con una doppia connessione lan.
file temporanei un po strani e dire che di solito prima di spegnere passo ccleaner...
avvio ccleaner, il quale si aggiorna, lo installo , durante la sua installazione il defender del firewall Comodo, mi segnala dei file sospetti che modificano il file di registro, li blocco, disabilito il ripristino di conf. e faccio partire una scansione di Avira questo è ciò che ha rilevato:
[DETECTION] Is the Trojan horse TR/Agent.61693
[INFO] A backup was created as '47fe950b.qua' ( QUARANTINE )
[INFO] The file was deleted!
D:\System Volume Information\_restore{DFA2C35C-0FC9-48D4-951D-5722DCC5748D}\RP17\A0006652.exe
[DETECTION] Is the Trojan horse TR/Agent.61693
[INFO] A backup was created as '47bf98f9.qua' ( QUARANTINE )
[INFO] The file was deleted!

poi con HijackThis v2.0.2 fixo questa voce:
O4 - HKLM\..\RunOnce: [OVCOMSReg] OVComS.exe /RegServer

nel visualizzatore eventi sotto la voce sistema ho trovato diversi avvisi di errore come questo:
Tipo evento: Errore
Origine evento: W32Time
Categoria evento: Nessuno
ID evento: 17
Data: 17/01/2008
Ora: 17.29.54
Utente: N/D
Computer: ABITQUADGT6600
Descrizione:
Time providerNtpClient: si è verificato un errore durante la ricerca DNS del peer configurato manualmente 'time.windows.com,0x1'. NtpClient ritenterà la ricerca DNS fra 15 minuti. Errore Tentativo di operazione del socket verso un host non raggiungibile. (0x80072751)


ho fatto una scansione online con panda il quale non ha trovato nulla.
ho installato il tool di rimozione della prevx ma si chiude in modo anomalo subito dopo il riavvio.
per fortuna ora la doppia connessione lan è sparita.
e comunque non sono ancora riuscito a fare qualcosa, perchè ho passato tutto il tempo a fare scansioni

vorrei provare a sovrascrivere l'MBR, in rete ho trovato queste informazioni per farlo:
fare il boot dal cd d'installazione di xp, andare nella console di ripristino e su "c:"
inserire "bootcfg/rebuild" ( per la ricostruzione automatica del file boot.ini )
inserire "fixboot" ( per fixare l'mbr)

che ne pensate posso procedere ?

grazie

ciao

Ciao fai cosi' per eliminare il virus di boot c'è bisogno di una formattazione a basso livello dell'hd ogni hd in commercio ha un suo programma specifico in questo caso dovresti andare sul sito della western digital e scaricare il l'ultility gratuita premetto che non ho mai trattato questo prodotto quindi non saprei dirti con certezza il nome dell'utility dovrebbe essere data lifeguard tools
http://support.wdc.com/download/inde...pid=17&swid=36

[tinos]

Quote:

Originariamente inviato da GOLDRAKES

Ciao fai cosi' per eliminare il virus di boot c'è bisogno di una formattazione a basso livello dell'hd ogni hd in commercio ha un suo programma specifico in questo caso dovresti andare sul sito della western digital e scaricare il l'ultility gratuita premetto che non ho mai trattato questo prodotto quindi non saprei dirti con certezza il nome dell'utility dovrebbe essere data lifeguard tools
http://support.wdc.com/download/inde...pid=17&swid=36

grazie Goldrakes, ora me la scarico, intanto ho applicato la procedura di ripristino del boot e dell'MBR, sull'altro hd dove ho ubuntu e xp, dato che dopo aver fatto tutti gli aggiornamenti, xp non riusciva più ad avviarsi....un macello, meno male che lo uso come alternativa e per provare altri os.
in pratica dopo aver fatto il boot da cd d'installazione , ho premuto "R" per il ripristino , poi da console, ho dato il comando "fixmbr" e ho proseguito con il ripristino, (praticamente si è reinstallato), adesso, all'avvio, arriva fino alla barra di caricamento poi accenna una schermata blu e si riavvia in loop.
voglio provare a seguire il tuo consiglio applicandolo per primo su questo hd, poi successivamente anche sul western digital dove ho installato solo xp, per il momento, non ho grossi problemi su questo disco, a parte i virus che ogni tanto saltano fuori, però devo dire che a parità di programmi installati, in questultimo hd non ho fatto neanche un'aggiornamento di xp, seguendo il consiglio di un'amico e devo constatare che ha avuto ragione, infatti questo che non è aggiornato è ancora funzionante.
il virus del boot in questi ultimi mesi è venuto alla ribalta, c'era stato anche un'articolo nelle news, della settimana scorsa se non sbaglio.
finchè non trovano una soluzione e se non da problemi, forse conviene lasciarlo lì dov'è, tanto lo riprenderesti comunque in un'attimo senza accorgertene poichè pare che non esista difesa o sistema operativo che sia immune a questo tipo di virus.

grazie di tutto

ciao