Torna indietro   Hardware Upgrade Forum > Software > Microsoft Windows > Microsoft Windows 95,98,ME,NT,2000,XP,2003
Ricarica la Pagina Formattazione impossibile tramite partizione nascosta

Recensione Samsung Galaxy Z Fold7: un grande salto generazionale
Recensione Samsung Galaxy Z Fold7: un grande salto generazionale
Abbiamo provato per molti giorni il nuovo Z Fold7 di Samsung, un prodotto davvero interessante e costruito nei minimi dettagli. Rispetto al predecessore, cambiano parecchie cose, facendo un salto generazionale importante. Sarà lui il pieghevole di riferimento? Ecco la nostra recensione completa.
The Edge of Fate è Destiny 2.5. E questo è un problema
The Edge of Fate è Destiny 2.5. E questo è un problema
Bungie riesce a costruire una delle campagne più coinvolgenti della serie e introduce cambiamenti profondi al sistema di gioco, tra nuove stat e tier dell’equipaggiamento. Ma con risorse limitate e scelte discutibili, il vero salto evolutivo resta solo un’occasione mancata
Ryzen Threadripper 9980X e 9970X alla prova: AMD Zen 5 al massimo livello
Ryzen Threadripper 9980X e 9970X alla prova: AMD Zen 5 al massimo livello
AMD ha aggiornato l'offerta di CPU HEDT con i Ryzen Threadripper 9000 basati su architettura Zen 5. In questo articolo vediamo come si comportano i modelli con 64 e 32 core 9980X e 9970X. Venduti allo stesso prezzo dei predecessori e compatibili con il medesimo socket, le nuove proposte si candidano a essere ottimi compagni per chi è in cerca di potenza dei calcolo e tante linee PCI Express per workstation grafiche e destinate all'AI.
Caos ChatGPT: le chat private degli utenti sono finite su Google
Tornano le scorte dei 2 portatili Lenovo più venduti: Intel Core i5, 16GB/512GB a 419€, 24GB/1TB a soli 499€
Il telescopio spaziale James Webb ha catturato una nuova immagine dell'Hubble Ultra Deep Field
Amazon scatenata nel weekend: sconti sugli sconti, è il momento degli acquisti intelligenti
Pulizia per 45 giorni senza pensieri: il robot ECOVACS N20 Plus con svuotamento automatico ora al prezzo record di 249€
Apple taglia il prezzo degli AirPods Pro 2: audio top, cancellazione del rumore e ricarica USB-C
Tutti i MacBook Air M4 2025 da 13 pollici sono scontati di 250€: 16GB o 24GB di RAM, 256GB di SSD o 512GB, ecco i colori disponibili
Roborock QV 35A a 429€ o Dreame L40 Ultra a 649€? Sono prezzi bassissimi, ecco come scegliere fra i 2
SpaceX Starship: Ship 37 ha eseguito due static fire, il decimo lancio previsto per metà agosto
Sharkoon punta sui case a basso costo, ma pieni di LED, con VK4 ARGB
La tua rete Wi-Fi fa pena? Questi FRITZ!Box e ripetitori ora costano la metà e cambiano tutto
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 28-12-2010, 17:19   #1
Salt Tank
Member
 
Iscritto dal: Sep 2007
Messaggi: 93
Formattazione impossibile tramite partizione nascosta
Ho un portatile Acer sotto trojan, volendo riformattarlo (l'ho già fatto 1 settimana fa) tramite partizione nascosta (non ho cd di ripristino) essa non parte al riavvio del pc.

Apro Erecovery e seleziono impostazioni di fabbrica, lui mi avvisa che verrà tutto sovrascritto, io clicco avanti e il pc si riavvia.

Ma al riavvio il pc si carica normalmente, non esegue nessuna formattazione. Ho provato a premere anche alt f10 ma non succede nulla..

Come posso risolvere il problema? E' possibile che il virus sia entrato persino nella partizione nascosta e che l'abbia addirittura cancellata?

Non so più cosa fare..
Salt Tank è offline   Rispondi citando il messaggio o parte di esso
Old 28-12-2010, 18:20   #2
Salt Tank
Member
 
Iscritto dal: Sep 2007
Messaggi: 93
Sono riuscito a far partire erecovery dal boot ma mi dice che il file kdcom.dll è mancante e quindi non può continuare. Intanto il sistema non installa più hardware via usb, nero si blocca durante l'avvio di creazione dvd e quindi non posso fare il backup di nulla..
Salt Tank è offline   Rispondi citando il messaggio o parte di esso
Old 28-12-2010, 20:16   #3
AMIGASYSTEM
Senior Member
 
L'Avatar di AMIGASYSTEM
 
Iscritto dal: Nov 2008
Città: Brindisi
Messaggi: 4048
Non credo che il virus sia entrato nella partizione nascosta,se l'avesse fatto,ora non avevi più la possibilità di avviarlo.Intanto se non trova la dll,può essere che sia corrotta questa partizione,anche se poco probabile.Sospetto qualche problema alla memoria che non riesce ascompattare qualche cab,prova a cambiarla o provarne una per volta se ne hai 2.Se il sistema ti parte ancora fai una scansione con Malwarebytes e ComboFix,così escudiamo l'infezione da virus.
__________________
Dove l'ho sentita questa canzone ? www.plagimusicali.net

AROS One Home Site amiganews.it eab.abime.net Aros-Exec Arosworld
AMIGASYSTEM è offline   Rispondi citando il messaggio o parte di esso
Old 28-12-2010, 21:01   #4
Salt Tank
Member
 
Iscritto dal: Sep 2007
Messaggi: 93
Grazie!
Purtroppo è un portatile Acer quindi non ci posso metter mano..
Il virus è cosa certa, credo sia un rootkit da quel che ho letto, mi apre anche 300 connessioni su firefox (osservando Comodo) e le pagine ricercate con google vengono reindirizzate.. E visto che la rimozione di questi virus è piuttosto complessa pensavo..
Se inserisco la dll mancante nel suo percorso originario (chissà quale è) e tento di riavviare il recovery può funzionare?
Malwarebytes così come Avira non rileva nulla
Ultima modifica di Salt Tank : 28-12-2010 alle 21:40.
Salt Tank è offline   Rispondi citando il messaggio o parte di esso
Old 28-12-2010, 22:44   #5
AMIGASYSTEM
Senior Member
 
L'Avatar di AMIGASYSTEM
 
Iscritto dal: Nov 2008
Città: Brindisi
Messaggi: 4048
Strano perchè un sistema infettato con rootkit,quasi sempre non permette l'uso di Malwarebytes,visto che ti fa lavorare,usa ComboFix,che dovrebbe debbellarlo.Probabilmente il tuo rootkit ha corrotto o sostituito la libreria kdcom.dll,prova a sostituirla con una presa da un'altro PC,dovresti avere comunque due o più kdcom.dll sul tuo sistema,in questi percorsi li trovi sicuro:

C:\WINDOWS\system32\kdcom.dll (qui c'è quella infetta)
C:\WINDOWS\system32\dllcache\kdcom.dll (qui speriamo che non lo sia)

Confronta la grandezza e la data delle tue kdcom.dll,quella buona dovrebbe essere intorno ai 7 KB.Parti con un Live CD,oppure se non te lo permette,usa Unlocker dal sistema che ti parte e spostala sul desktop,se quella in dllcache è quella buona,al riavvio sarà copiata al suo posto,sperando che il furbo non abbia una seconda copia da qualche parte.
__________________
Dove l'ho sentita questa canzone ? www.plagimusicali.net

AROS One Home Site amiganews.it eab.abime.net Aros-Exec Arosworld
AMIGASYSTEM è offline   Rispondi citando il messaggio o parte di esso
Old 29-12-2010, 12:30   #6
Salt Tank
Member
 
Iscritto dal: Sep 2007
Messaggi: 93
Rieccomi..
Per kdcom.dll mi trova entrambi i file, entrambi di poco meno di 7 kb entrambi creati e modificati nel 2004.

Ho fatto un pò di scansioni:

- ho fatto un tentativo con tdss killer e mi ha trovato il rootkit win32.tdss.tdl4 che sembra essere una bella bestia, al riavvio pare me l abbia rimosso visto che non lo trova più.
Le periferiche usb hanno ricominciato a funzionare con nuovi dispositivi

-malware bytes niente

- rootkit detective mi sembra ci sia il vaiolo nel mio pc:

McAfee(R) Rootkit Detective 1.1 scan report
On 29-12-2010 at 12:03:26
OS-Version 5.1.2600
Service Pack 3.0
====================================

Object-Type: SSDT-hook
Object-Name: ZwAdjustPrivilegesToken
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwConnectPort
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateFile
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateKey
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwCreatePort
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateSection
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateSymbolicLinkObject
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateThread
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwDeleteKey
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwDeleteValueKey
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwDuplicateObject
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwEnumerateKey
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwEnumerateValueKey
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwLoadDriver
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwLoadKey2
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwMakeTemporaryObject
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenFile
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenKey
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenProcess
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwOpenSection
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenThread
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwQueryKey
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwQueryMultipleValueKey
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwQueryValueKey
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwRenameKey
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwReplaceKey
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwRequestWaitReplyPort
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwRestoreKey
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwSecureConnectPort
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwSetSecurityObject
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwSetSystemInformation
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwSetValueKey
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwShutdownSystem
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwSystemDebugControl
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwTerminateProcess
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwTerminateThread
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: Registry-key
Object-Name: 0014a4fde349ystem32\drivers\cmdGuard.sys
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\0014a4fde349
Status: Hidden

Object-Type: Registry-key
Object-Name: 0014a4fde349olSet001\Services\BTHPORT\Parameters\Keys\0014a4fde349
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0014a4fde349
Status: Hidden

Object-Type: Registry-key
Object-Name: 0014a4fde349olSet002\Services\BTHPORT\Parameters\Keys\0014a4fde349
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\0014a4fde349
Status: Hidden

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : ntdll.dll!ZwOpenFile => C:\WINDOWS\system32\guard32.dll:1002CDA0
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : ntdll.dll!ZwDeleteFile => C:\WINDOWS\system32\guard32.dll:1002CE20
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : ntdll.dll!NtOpenFile => C:\WINDOWS\system32\guard32.dll:1002CDA0
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : ntdll.dll!NtDeleteFile => C:\WINDOWS\system32\guard32.dll:1002CE20
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : kernel32.dll!LoadLibraryW => C:\WINDOWS\system32\guard32.dll:1002CA60
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : kernel32.dll!LoadLibraryA => C:\WINDOWS\system32\guard32.dll:1002CA80
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : kernel32.dll!DeleteFileW => C:\WINDOWS\system32\guard32.dll:1002CAE0
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : kernel32.dll!DeleteFileA => C:\WINDOWS\system32\guard32.dll:1002CB00
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : ADVAPI32.dll!OpenServiceW => C:\WINDOWS\system32\guard32.dll:1002D830
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : ADVAPI32.dll!OpenServiceA => C:\WINDOWS\system32\guard32.dll:1002D590
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : ADVAPI32.dll!CreateServiceW => C:\WINDOWS\system32\guard32.dll:1002DAA0
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : ADVAPI32.dll!CreateServiceA => C:\WINDOWS\system32\guard32.dll:1002DD80
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : WININET.dll!InternetConnectW => C:\WINDOWS\system32\guard32.dll:1002C960
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : WININET.dll!InternetConnectA => C:\WINDOWS\system32\guard32.dll:1002C980
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: Process
Object-Name: System Idle Process
Pid: 0
Object-Path:
Status: Visible

Object-Type: Process
Object-Name: ADMSERV.EXE
Pid: 620
Object-Path: C:\Acer\Empowering Technology\admServ.exe
Status: Visible

Object-Type: Process
Object-Name: MCRDSVC.EXE
Pid: 2760
Object-Path: C:\WINDOWS\ehome\mcrdsvc.exe
Status: Visible

Object-Type: Process
Object-Name: dllhost.exe
Pid: 3536
Object-Path: C:\WINDOWS\system32\dllhost.exe
Status: Visible

Object-Type: Process
Object-Name: CSRSS.EXE
Pid: 592
Object-Path: C:\WINDOWS\system32\csrss.exe
Status: Visible

Object-Type: Process
Object-Name: System
Pid: 4
Object-Path:
Status: Visible

Object-Type: Process
Object-Name: EHRECVR.EXE
Pid: 872
Object-Path: C:\WINDOWS\eHome\ehRecvr.exe
Status: Visible

Object-Type: Process
Object-Name: alg.exe
Pid: 2608
Object-Path: C:\WINDOWS\System32\alg.exe
Status: Visible

Object-Type: Process
Object-Name: CMDAGENT.EXE
Pid: 1276
Object-Path: C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
Status: Visible

Object-Type: Process
Object-Name: AVSHADOW.EXE
Pid: 688
Object-Path: C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 1156
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 784
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: SCHED.EXE
Pid: 196
Object-Path: C:\Programmi\Avira\AntiVir Desktop\sched.exe
Status: Visible

Object-Type: Process
Object-Name: REGSRVC.EXE
Pid: 1684
Object-Path: C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 2304
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: SERVICES.EXE
Pid: 972
Object-Path: C:\WINDOWS\system32\services.exe
Status: Visible

Object-Type: Process
Object-Name: EXPLORER.EXE
Pid: 600
Object-Path: C:\WINDOWS\Explorer.EXE
Status: Visible

Object-Type: Process
Object-Name: wmiprvse.exe
Pid: 1592
Object-Path: C:\WINDOWS\system32\wbem\wmiprvse.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 1624
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: SMSS.EXE
Pid: 540
Object-Path: C:\WINDOWS\System32\smss.exe
Status: Visible

Object-Type: Process
Object-Name: AVGNT.EXE
Pid: 2648
Object-Path: C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
Status: Visible

Object-Type: Process
Object-Name: wmiprvse.exe
Pid: 3176
Object-Path: C:\WINDOWS\system32\wbem\wmiprvse.exe
Status: Visible

Object-Type: Process
Object-Name: MONITOR.EXE
Pid: 2868
Object-Path: C:\Acer\Empowering Technology\eRecovery\Monitor.exe
Status: Visible

Object-Type: Process
Object-Name: AVGUARD.EXE
Pid: 576
Object-Path: C:\Programmi\Avira\AntiVir Desktop\avguard.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 236
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: LSSRVC.EXE
Pid: 1476
Object-Path: C:\Programmi\File comuni\LightScribe\LSSrvc.exe
Status: Visible

Object-Type: Process
Object-Name: Rootkit_Detecti
Pid: 2592
Object-Path: D:\Setups\Rootkit_Detective.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 1508
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: SPOOLSV.EXE
Pid: 2004
Object-Path: C:\WINDOWS\system32\spoolsv.exe
Status: Visible

Object-Type: Process
Object-Name: LSASS.EXE
Pid: 984
Object-Path: C:\WINDOWS\system32\lsass.exe
Status: Visible

Object-Type: Process
Object-Name: EHSCHED.EXE
Pid: 1108
Object-Path: C:\WINDOWS\eHome\ehSched.exe
Status: Visible

Object-Type: Process
Object-Name: EVTENG.EXE
Pid: 1388
Object-Path: C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
Status: Visible

Object-Type: Process
Object-Name: NVSVC32.EXE
Pid: 1668
Object-Path: C:\WINDOWS\system32\nvsvc32.exe
Status: Visible

Object-Type: Process
Object-Name: S24EVMON.EXE
Pid: 1452
Object-Path: C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 2072
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: firefox.exe
Pid: 1948
Object-Path: C:\Programmi\Mozilla Firefox\firefox.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 1236
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: LVPRCSRV.EXE
Pid: 152
Object-Path: c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
Status: Visible

Object-Type: Process
Object-Name: CFP.EXE
Pid: 2756
Object-Path: C:\Programmi\COMODO\COMODO Internet Security\cfp.exe
Status: Visible

Object-Type: Process
Object-Name: unsecapp.exe
Pid: 3128
Object-Path: C:\WINDOWS\system32\wbem\unsecapp.exe
Status: Visible

Object-Type: Process
Object-Name: WINLOGON.EXE
Pid: 928
Object-Path: C:\WINDOWS\system32\winlogon.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 1300
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: EPOWER_DMC.EXE
Pid: 2540
Object-Path: C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
Status: Visible

Scan complete. Hidden registry keys/values: 3

- gmer: GMER 1.0.15.15227 - http://www.gmer.net
Rootkit quick scan 2010-12-29 12:59:11
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\Marco\IMPOST~1\Temp\kfgorpob.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwEnumerateKey [0xB6E6F768]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwEnumerateValueKey [0xB6E6F9BE]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies)
AttachedDevice \Driver\Tcpip \Device\Ip cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Tcpip \Device\Tcp cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Tcpip \Device\Udp cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Tcpip \Device\RawIp cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- EOF - GMER 1.0.15 ----

- Combofix non funziona, mi dice che non riesce ad accedere alle periferiche, a ie e firefox e poi windows mi dice che ci sono file mancanti


Ora.. Direi che la soluzione più veloce sarebbe formattare, ma appunto non mi trovava il file kdcom.. Cosa faccio, provo a sostituirli entrambi con i 2 file di un altro portatile che ho e riprovo il format oppure procedo con la pulizia del pc?
Salt Tank è offline   Rispondi citando il messaggio o parte di esso
Old 29-12-2010, 16:44   #7
AMIGASYSTEM
Senior Member
 
L'Avatar di AMIGASYSTEM
 
Iscritto dal: Nov 2008
Città: Brindisi
Messaggi: 4048
Combofix è l'arma giusta,devi fare in modo che funzioni,già il fatto che non te lo fa funzionare,ciò dimostra che lo teme.Prova a lanciarlo dalla modalità provvisoria,se non riesci,dovresti tentare di indebbolire l'infezione,cancellando qualche suo file.Devi andare in C:\WINDOWS\system32 e mettere i file in elenco in ordine di data,spostando sul desktop (non puoi cancellarli,perche in uso,al massimo lo fai dopo il riavvio) tutti gli eseguibili che hanno una data vicina alla data dell'infezione,noterai anche dei nomi strani che differiscono da infezione ad infezione.Fatto questo al prossimo riavvio vedrai che l'infezione è meno violenta,permettendoti l'installazione di Combofix e l'aggiornamento di malwarebytes,importante se le infezioni sono più fresche del suo database virus.
__________________
Dove l'ho sentita questa canzone ? www.plagimusicali.net

AROS One Home Site amiganews.it eab.abime.net Aros-Exec Arosworld
AMIGASYSTEM è offline   Rispondi citando il messaggio o parte di esso
Old 30-12-2010, 11:04   #8
Salt Tank
Member
 
Iscritto dal: Sep 2007
Messaggi: 93
Ciao..
Dunque avevo guardando in system32 e non c'erano eseguibili creati dalla data d'infezione, solo qualche dll.
Malwarebytes l'avevo anche aggiornato ma non trovava proprio nulla, e l'avevo usato prima di scovare il rootkit con tdsskiller.

Ma veniamo a Combofix: ha funzionato in modalità provvisoria, mi diceva che c'era il guard di avira attivo ma anche controllando era disabilitato, ho continuato.
Da quel che ho capito mi ha eliminato alcuni files, ho avuto qualche fastidio al riavvio del pc perchè si è inserito comodo e ho dovuto consentire ogni singolo punto di creazione del report, che alla fine è comunque riuscito, lo allego.

Attendo l'indicazione della prossima mossa Capitano :-)
Allegati
File Type: txt ComboFix.txt (22.7 KB, 4 visite)
Salt Tank è offline   Rispondi citando il messaggio o parte di esso
Old 30-12-2010, 12:06   #9
AMIGASYSTEM
Senior Member
 
L'Avatar di AMIGASYSTEM
 
Iscritto dal: Nov 2008
Città: Brindisi
Messaggi: 4048
Si avevo detto eseguibili,ma anche le librerie (.dll) sono una sorta di eseguibili preconfezionate che usane le applicazioni,quindi anche quelle le dovevi spostare altrove.Tieni presente che le infezioni fanno impazzire i programmi soprattutto quelli della sicurezza,quindi prima della pulizia vanno disinstallati,meglio da provvisoria quando è possibile,tutti comodo compreso,anche se è comodo.Altra cosa che devi fare e quella di ripulire tutto con CCleaner,le infezioni si nascondonio anche fra le TEMP.In ultimis molto importante è quello di disattivare il ripristino di Windows,altrimenti i virus Stipati,si rinstallano al primo riavvio.Dopo le pulizie di fine stagione fai una ripassata con il Capitano Combofix e vedi cosa succede,eventualmente riscaricalo perchè è sempre in continuo aggiornamento,ricorda che le versioni vecchie se lanciate,si auto distruggono quando già vetuste.
__________________
Dove l'ho sentita questa canzone ? www.plagimusicali.net

AROS One Home Site amiganews.it eab.abime.net Aros-Exec Arosworld
Ultima modifica di AMIGASYSTEM : 30-12-2010 alle 12:10.
AMIGASYSTEM è offline   Rispondi citando il messaggio o parte di esso
Old 31-12-2010, 15:09   #10
Salt Tank
Member
 
Iscritto dal: Sep 2007
Messaggi: 93
Ciao, sono riuscito a formattare il sistema, quindi dovrei essere a posto spero.. (esistono virus che resistono ad un format?)

Non ho fatto niente di speciale, semplicemente ho eseguito il recovery direttamente da windows e al riavvio è partito senza problemi.

Forse il rootkit semplicemente impediva l'accesso a determinati driver o dll che non mi facevano funzionare periferiche e questo programma.

Comunque ti ringrazio per l'aiuto, sei stato molto gentile, è stata un esperienza anche costruttiva. :-)
Salt Tank è offline   Rispondi citando il messaggio o parte di esso
Old 31-12-2010, 17:02   #11
AMIGASYSTEM
Senior Member
 
L'Avatar di AMIGASYSTEM
 
Iscritto dal: Nov 2008
Città: Brindisi
Messaggi: 4048
Quote:
Originariamente inviato da Salt Tank Guarda i messaggi
Ciao, sono riuscito a formattare il sistema, quindi dovrei essere a posto spero.. (esistono virus che resistono ad un format?)
I virus che stanno sulle partizioni saranno eliminati sicuramente da una formattazione,quelli dell'MBR invece no,ma se si esegue una eliminazione partizione,una volta ricreata e formattata allora anche in questo caso,saranno eliminati senza problemi.Il pericolo invece è un'altro,ed è quello dei dati conservati in altri volumi o periferiche esterne,che al momento del riutilizzo potrebbero infettare nuovamente il sistema.Detto questo prima di travasare i dati,bisogna installare tutti i programmi di sicurezza e scandirli prima della copiatura.Nel tuo caso il ripristino aziendale a riscritto anche la zona nascosta dell'hardisk,quindi ripulito anche l'MBR.
__________________
Dove l'ho sentita questa canzone ? www.plagimusicali.net

AROS One Home Site amiganews.it eab.abime.net Aros-Exec Arosworld
AMIGASYSTEM è offline   Rispondi citando il messaggio o parte di esso
 Rispondi

« Discussione precedente | Discussione successiva »

Recensione Samsung Galaxy Z Fold7: un grande salto generazionale Recensione Samsung Galaxy Z Fold7: un grande sal...
The Edge of Fate è Destiny 2.5. E questo è un problema The Edge of Fate è Destiny 2.5. E questo ...
Ryzen Threadripper 9980X e 9970X alla prova: AMD Zen 5 al massimo livello Ryzen Threadripper 9980X e 9970X alla prova: AMD...
Acer TravelMate P4 14: tanta sostanza per l'utente aziendale Acer TravelMate P4 14: tanta sostanza per l'uten...
Hisense M2 Pro: dove lo metti, sta. Mini proiettore laser 4K per il cinema ovunque Hisense M2 Pro: dove lo metti, sta. Mini proiett...
Caos ChatGPT: le chat private degli uten...
Tornano le scorte dei 2 portatili Lenovo...
Il telescopio spaziale James Webb ha cat...
Amazon scatenata nel weekend: sconti sug...
Pulizia per 45 giorni senza pensieri: il...
Apple taglia il prezzo degli AirPods Pro...
Tutti i MacBook Air M4 2025 da 13 pollic...
Roborock QV 35A a 429€ o Dreame L40 Ultr...
SpaceX Starship: Ship 37 ha eseguito due...
Sharkoon punta sui case a basso costo, m...
La tua rete Wi-Fi fa pena? Questi FRITZ!...
Amazon, un weekend di fuoco per gli scon...
Ancora 3 smartwatch Amazfit in forte sco...
Sharkoon A60 RGB: dissipatore ad aria du...
HONOR 400 Pro a prezzo bomba su Amazon: ...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi
Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 07:53.

Contattaci - Hardware Upgrade - Archivio - Note sulla Privacy - Su

Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Served by www3v