[WinXP] - Che diavolo avrà dentro? Pc e Internte lento. - Pagina 3

ThePretender · 04-06-2010, 13:46

Ciao Chill-Out,
alla fine mi sono armato di coraggio e ho fatto una piccola prova... (ti prego non ti arrabbiare se ho fatto un po' di testa mia senza consultarti prima).

Insomma ho messo mbr.exe (quello che mi avevi fatto scaricare) in C: e ho riavviato in modalità provvisioria. Sono entrato e ho digitato c:\mbr.exe -f e premuto ok (ho seguito la guida che c'è su questo sito).
Poi ho cancellato la cartella HelpAssistant che si era creata in Documents and Settings.

Adesso ho riavviato e ho visto che firefox funziona bene (non c'è più quel gap tra quando scrivevo una parola e google mi restituiva i risultati) e la CPU non mi sembra più impazzita.

Ho subito iniziato a fare i controlli prima di cantare vittoria.
Avviato Dr.Web Scanner e non ha trovato niente.
Ecco il suo LOG.
http://www.filedropper.com/cureitfiltrato

La cartella HelpAssistant non si è ricreata.
Adesso lancio GMER e poi ti posto il LOG.

Come ti sembra? Grazie per tutto.

ThePretender · 04-06-2010, 14:05

GMER LOG
http://www.filedropper.com/gmerlog_1

Adesso lancio PrevX che per la prima volta da giorni funziona (prima si chiudeva da solo).

Mi sembra ok.
http://img229.imageshack.us/img229/3...vaimmagine.jpg

UPDATE2
Fino adesso mi sembra che tutto proceda per il meglio, ma aspetto una tua valutazione/conferma.

F-Secure BlackLight standalone rootkit scanner
Non ha trovato niente

Ho lanciato anche Norman SinowalMBR Cleaner
Ecco il suo log
http://www.filedropper.com/nfix2010-06-0414-50-55

**Chill-Out** · 04-06-2010, 15:26

Quote:

Originariamente inviato da ThePretender

Ciao Chill-Out,
alla fine mi sono armato di coraggio e ho fatto una piccola prova... (ti prego non ti arrabbiare se ho fatto un po' di testa mia senza consultarti prima).

Il coraggio è la virtù dei forti

ed in ogni caso hai seguito alla lettere le indicazioni della guida, allegami il log di Stealth MBR rootkit detector + il log di una scansione completa di DrWeb CureIt.

ThePretender · 04-06-2010, 15:46

Aglia non mi sembre che vada bene (il pc però mi funziona bene adesso)

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x04A891C1
malicious code @ sector 0x04A891C4 !
PE file found in sector at 0x04A891DA !

Lanciata scansione di Dr.Web completa.
Piccola domanda, basta che rispondi SI o NO. Ma quel virus che ho preso può aver danneggiato/infettato anche i file .doc .txt .mp3 ecc che ad es. ho sul disco?

ThePretender · 04-06-2010, 15:55

Sto facendo la scansione COMPLETA mi ha rilevato 2 cosette (forse di poco conto?

)

Ti allego l'immagine.
http://img375.imageshack.us/img375/4920/dimmagine.jpg

Ho premuto SI (adesso funziona questa operazione) e me li ha spostati.

ThePretender · 05-06-2010, 10:17

Buongiorno Chill-Out,

tra ieri pomeriggio e ieri sera ho fatto ore e ore di scansioni e tranne quello che DrWeb mi aveva rilevato nel pomeriggio all'inizio della scansione completa (e che ti avevo segnalato) e messo in quarantena (su questa cosa ci ritorno tra poco) non ho trovato più nulla né con PrevX, né con Malwarebytes e soprattutto rilanciando DrWeb che nel mio caso si è dimostrato l'unico programma efficace nel rilevare il rootkit.
Ho lanciato DrWeb più volte (sia in modalità scansione rapida che completa) e non trova più niente.

Ecco i log aggiornati.
LOG GMER (fatto ieri sera prima di spegnere il pc)
http://www.filedropper.com/gmer

LOG MBR.EXE (fatto adesso)
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x04A891C1
malicious code @ sector 0x04A891C4 !
PE file found in sector at 0x04A891DA !

LOG Dr.WEB
http://www.filedropper.com/cureitfiltrato_1
(fatto adesso, modalità personalizzata su C che come profondità ho visto è uguale alla completa solo che non va nell'unità D... ieri ci ha messo circa 6 ore a fare tutto il PC (C e D), adesso circa 2 ore dicendogli solo C, con la rapida invece 40 min ma ho visto che è meno profonda).

Quando ieri ti avevo segnalato che mi aveva trovato 2 cose (eccoli in foto)
http://img375.imageshack.us/img375/4920/dimmagine.jpg
adesso questi due file sono nella cartella DoctorWeb Quarantine.
Li devo cestinare a mano o vanno lasciati lì?

---

Piccola domanda ot, basta che rispondi SI o NO se possibile. Ma quel virus che ho preso può aver danneggiato/infettato anche i file .doc .txt .mp3 video ecc che ad es. ho sul disco?

Ti comunico che a me il PC da ieri funziona perfettamente, però è ovvio che aspetto il tuo giudizio tecnico

e rimango a disposizione nel fare ulteriori controlli.

GRAZIE

di cuore per la disponibilità e l'aiuto.

**Chill-Out** · 05-06-2010, 10:51

Quote:

Originariamente inviato da ThePretender

Buongiorno Chill-Out,

Piccola domanda ot, basta che rispondi SI o NO se possibile. Ma quel virus che ho preso può aver danneggiato/infettato anche i file .doc .txt .mp3 video ecc che ad es. ho sul disco?

Ti comunico che a me il PC da ieri funziona perfettamente, però è ovvio che aspetto il tuo giudizio tecnico

e rimango a disposizione nel fare ulteriori controlli.

GRAZIE

di cuore per la disponibilità e l'aiuto.

Buongiorno, la risposta alla tua domanda è no, direi che siamo ok, come controllo finale allegami un log di HijackThis.

ThePretender · 05-06-2010, 11:12

Ecco qui il log:
http://www.filedropper.com/hijackthis_3

Grazie ancora!

PS: cosa faccio con quei 2 file in QUARANTENA? Li cestino?

**Chill-Out** · 05-06-2010, 12:14

Quote:

Originariamente inviato da ThePretender

Ecco qui il log:
http://www.filedropper.com/hijackthis_3

Grazie ancora!

PS: cosa faccio con quei 2 file in QUARANTENA? Li cestino?

A posto, aggiorna IE alla versione 8 ed i software complementari (utilizzi una versione di Java obsoleta quindi vulnerabile) segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

ThePretender · 05-06-2010, 12:35

Ok, lo faccio! Scusa di quei due file in quarantena con DrWeb che faccio, li cestino o li lascio lì?

Grazie di TUTTO, hai veramente salvato il mio pc

**Chill-Out** · 05-06-2010, 12:47

Quote:

Originariamente inviato da ThePretender

Ok, lo faccio! Scusa di quei due file in quarantena con DrWeb che faccio, li cestino o li lascio lì?

Grazie di TUTTO, hai veramente salvato il mio pc

Prego, le info anche riguardo a DrWeb le trovi al Punto 16 delle Guida che ti ho linkato, buon proseguimento.

Comunque li puoi eliminare in tranquillità.

04-06-2010, 14:05	#42
ThePretender Member Iscritto dal: Apr 2007 Messaggi: 64	GMER LOG http://www.filedropper.com/gmerlog_1 Adesso lancio PrevX che per la prima volta da giorni funziona (prima si chiudeva da solo). Mi sembra ok. http://img229.imageshack.us/img229/3...vaimmagine.jpg UPDATE2 Fino adesso mi sembra che tutto proceda per il meglio, ma aspetto una tua valutazione/conferma. F-Secure BlackLight standalone rootkit scanner Non ha trovato niente Ho lanciato anche Norman SinowalMBR Cleaner Ecco il suo log http://www.filedropper.com/nfix2010-06-0414-50-55 Ultima modifica di ThePretender : 04-06-2010 alle 15:13.

04-06-2010, 15:46	#44
ThePretender Member Iscritto dal: Apr 2007 Messaggi: 64	Aglia non mi sembre che vada bene (il pc però mi funziona bene adesso) Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK copy of MBR has been found in sector 0x04A891C1 malicious code @ sector 0x04A891C4 ! PE file found in sector at 0x04A891DA ! Lanciata scansione di Dr.Web completa. Piccola domanda, basta che rispondi SI o NO. Ma quel virus che ho preso può aver danneggiato/infettato anche i file .doc .txt .mp3 ecc che ad es. ho sul disco? Ultima modifica di ThePretender : 04-06-2010 alle 15:51.

05-06-2010, 11:12	#48
ThePretender Member Iscritto dal: Apr 2007 Messaggi: 64	Ecco qui il log: http://www.filedropper.com/hijackthis_3 Grazie ancora! PS: cosa faccio con quei 2 file in QUARANTENA? Li cestino? Ultima modifica di ThePretender : 05-06-2010 alle 11:59.

04-06-2010, 13:46	#41
ThePretender Member Iscritto dal: Apr 2007 Messaggi: 64	Ciao Chill-Out, alla fine mi sono armato di coraggio e ho fatto una piccola prova... (ti prego non ti arrabbiare se ho fatto un po' di testa mia senza consultarti prima). Insomma ho messo mbr.exe (quello che mi avevi fatto scaricare) in C: e ho riavviato in modalità provvisioria. Sono entrato e ho digitato c:\mbr.exe -f e premuto ok (ho seguito la guida che c'è su questo sito). Poi ho cancellato la cartella HelpAssistant che si era creata in Documents and Settings. Adesso ho riavviato e ho visto che firefox funziona bene (non c'è più quel gap tra quando scrivevo una parola e google mi restituiva i risultati) e la CPU non mi sembra più impazzita. Ho subito iniziato a fare i controlli prima di cantare vittoria. Avviato Dr.Web Scanner e non ha trovato niente. Ecco il suo LOG. http://www.filedropper.com/cureitfiltrato La cartella HelpAssistant non si è ricreata. Adesso lancio GMER e poi ti posto il LOG. Come ti sembra? Grazie per tutto.

04-06-2010, 15:55	#45
ThePretender Member Iscritto dal: Apr 2007 Messaggi: 64	Sto facendo la scansione COMPLETA mi ha rilevato 2 cosette (forse di poco conto? ) Ti allego l'immagine. http://img375.imageshack.us/img375/4920/dimmagine.jpg Ho premuto SI (adesso funziona questa operazione) e me li ha spostati.

05-06-2010, 10:17	#46
ThePretender Member Iscritto dal: Apr 2007 Messaggi: 64	Buongiorno Chill-Out, tra ieri pomeriggio e ieri sera ho fatto ore e ore di scansioni e tranne quello che DrWeb mi aveva rilevato nel pomeriggio all'inizio della scansione completa (e che ti avevo segnalato) e messo in quarantena (su questa cosa ci ritorno tra poco) non ho trovato più nulla né con PrevX, né con Malwarebytes e soprattutto rilanciando DrWeb che nel mio caso si è dimostrato l'unico programma efficace nel rilevare il rootkit. Ho lanciato DrWeb più volte (sia in modalità scansione rapida che completa) e non trova più niente. Ecco i log aggiornati. LOG GMER (fatto ieri sera prima di spegnere il pc) http://www.filedropper.com/gmer LOG MBR.EXE (fatto adesso) Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK copy of MBR has been found in sector 0x04A891C1 malicious code @ sector 0x04A891C4 ! PE file found in sector at 0x04A891DA ! LOG Dr.WEB http://www.filedropper.com/cureitfiltrato_1 (fatto adesso, modalità personalizzata su C che come profondità ho visto è uguale alla completa solo che non va nell'unità D... ieri ci ha messo circa 6 ore a fare tutto il PC (C e D), adesso circa 2 ore dicendogli solo C, con la rapida invece 40 min ma ho visto che è meno profonda). Quando ieri ti avevo segnalato che mi aveva trovato 2 cose (eccoli in foto) http://img375.imageshack.us/img375/4920/dimmagine.jpg adesso questi due file sono nella cartella DoctorWeb Quarantine. Li devo cestinare a mano o vanno lasciati lì? --- Piccola domanda ot, basta che rispondi SI o NO se possibile. Ma quel virus che ho preso può aver danneggiato/infettato anche i file .doc .txt .mp3 video ecc che ad es. ho sul disco? Ti comunico che a me il PC da ieri funziona perfettamente, però è ovvio che aspetto il tuo giudizio tecnico e rimango a disposizione nel fare ulteriori controlli. GRAZIE di cuore per la disponibilità e l'aiuto.

05-06-2010, 12:35	#50
ThePretender Member Iscritto dal: Apr 2007 Messaggi: 64	Ok, lo faccio! Scusa di quei due file in quarantena con DrWeb che faccio, li cestino o li lascio lì? Grazie di TUTTO, hai veramente salvato il mio pc

Strumenti
Mostra una versione stampabile Invia questa pagina per email