salve, ho un paio di domande

cosa fa esattamente questo virus?

ho letto che modifica il kernel-on-the -fly non appena viene letto dall'hard disk.
ma in parole povere?

il mio pc mostra il messaggio ''trend chipawayvirus on boot'' all'avvio, quindi sono sicuro di essere infetto. volevo sapere se, il fatto che dopo 5 minuti di lavoro dall'accensione il mio pc non risponde piu ai comandi (diventa lentissimo quasi inchiodato), è un sintomo di questo virus, oppure sono presenti altri virus.

e seconda domanda

se formatto risolvo il problema alla radice?

Ciao leggi attentamente la guida in prima pagina ed allega i log indicati nella PRIMA FASE, thx.

eccomi qua..allora..cosa molto strana..io avevo gia Prevx..ma stamattina (preso dal nervoso e volendo formattare) l avevo disinstallato..pero fino a stamane mi trovava i file nocivi..ora l ho rimesso..e niente..nn trova niente..questo e il file log

revx Scan Log - Version v3.0.5.6
Log Generated: 6/11/2009 16:12, Type: 0,1
Windows XP Professional Service Pack 2 (Build 2600) 32bit|1040
Hostname: beppe-7ad967c71
Some non-malicious files are not included in this log.
Heuristics Settings: Age: 1, Pop: 1, Heu: 2 (Dir: 1)
Last Scan: Fri 2009-11-06 16:12:11 ora solare Europa occidentale. Number of Scans: 1. Last Scan Duration: 6 minutes 17 seconds.

salve, ho un paio di domande

cosa fa esattamente questo virus?

ho letto che modifica il kernel-on-the -fly non appena viene letto dall'hard disk.
ma in parole povere?

E' tutto scritto in prima con relativi approfondimenti, ti chiedo la cortesia di leggere

il mio pc mostra il messaggio ''trend chipawayvirus on boot'' all'avvio, quindi sono sicuro di essere infetto. volevo sapere se, il fatto che dopo 5 minuti di lavoro dall'accensione il mio pc non risponde piu ai comandi (diventa lentissimo quasi inchiodato), è un sintomo di questo virus, oppure sono presenti altri virus.

Potrebbero essere presenti altri virus

e seconda domanda

se formatto risolvo il problema alla radice?

Se formatti a basso livello

eccomi qua..allora..cosa molto strana..io avevo gia Prevx..ma stamattina (preso dal nervoso e volendo formattare) l avevo disinstallato..pero fino a stamane mi trovava i file nocivi..ora l ho rimesso..e niente..nn trova niente..questo e il file log

revx Scan Log - Version v3.0.5.6
Log Generated: 6/11/2009 16:12, Type: 0,1
Windows XP Professional Service Pack 2 (Build 2600) 32bit|1040
Hostname: beppe-7ad967c71
Some non-malicious files are not included in this log.
Heuristics Settings: Age: 1, Pop: 1, Heu: 2 (Dir: 1)
Last Scan: Fri 2009-11-06 16:12:11 ora solare Europa occidentale. Number of Scans: 1. Last Scan Duration: 6 minutes 17 seconds.

Cortesemente allega i log completi sui Server Remoti esattamente come indicato in Guida.

non ho skippato la prima parte, ho letto la definizione del mbr e del mbr rootkit,
mi scuso per la mia ignoranza, ma ci sono termini troppo tecnici per la mia cultura in merito, per questo chiedevo una spiegazione in soldoni.

grazie per le altre risposte

Cortesemente allega i log completi sui Server Remoti esattamente come indicato in Guida.


mi risulta un po difficile..xke se copio quella sfilza di roba qui nei post mi crasha tutto..sia mozzilla ke explorer..t interessano tutte le scritte?

non si incollano, grazie :)

eccolo :D

mi risulta un po difficile..xke se copio quella sfilza di roba qui nei post mi crasha tutto..sia mozzilla ke explorer..t interessano tutte le scritte?

Si, sono necessari.

a me nn me lo fa allegare..lo creato col blocco note..ma è 220 kb..

a me nn me lo fa allegare..lo creato col blocco note..ma è 220 kb..

NOTA BENE:
1 - AL FINE DI MANTENERE IL THREAD ORDINATO E FRUIBILE HOSTATE I LOG SOLO ED ESCLUSIVAMENTE IN FORMATO .TXT SU http://fileqube.com/ in alternativa su http://wikisend.com/ PUBBLICANDO PER OGNI LOG IL LINK CHE VERRA' RILASCIATO PER IL DOWNLOAD
2 - E' OPPORTUNO LEGGERE ATTENTAMENTE TUTTA LA GUIDA

Per scrupolo fai scansione con Cureit ed allega il log, mentre per HelpAssistant procedi così:

Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer

Utenti - tasto dx del mouse su HelpAssistant e disabilitalo

Fatto girare Cureit, ecco il log:
http://wikisend.com/download/619090/CureIt.log

Curioso come abbia trovato un solo file sospetto (messo in quarantena), che altri non è che l'install del Prevx...
:D
Come mai questa cosa?

Per la cartella HelpAssistant, ho seguito le tue parole e sono arrivato a Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer - Utenti e gruppi locali - users.
Ora c'è HelpAssistant, ma ho un dubbio: se vado col tasto destro devo fare ELIMINA oppure andare su PROPRIETA' e spuntare la casellina ACCOUNT DISABILITATO?
Sarà un dubbio stupido, forse... ma tu hai scritto di disabilitarlo, non eliminarlo.
Devo fare ELIMINA?

Grazie!:)

NOTA BENE:
1 - AL FINE DI MANTENERE IL THREAD ORDINATO E FRUIBILE HOSTATE I LOG SOLO ED ESCLUSIVAMENTE IN FORMATO .TXT SU http://fileqube.com/ in alternativa su http://wikisend.com/ PUBBLICANDO PER OGNI LOG IL LINK CHE VERRA' RILASCIATO PER IL DOWNLOAD
2 - E' OPPORTUNO LEGGERE ATTENTAMENTE TUTTA LA GUIDA


http://wikisend.com/download/491006/Prevx1.log

http://wikisend.com/download/491006/Prevx1.log

e quest altro è il log di Gmer..finita ora la scansione..

http://wikisend.com/download/456000/Gmer

dagli un occhiata e poi dimmi ke devo fare..qui è difficle pure comunicare con voi sul web..dato i crash e rallentamenti

Fatto girare Cureit, ecco il log:
http://wikisend.com/download/619090/CureIt.log

Curioso come abbia trovato un solo file sospetto (messo in quarantena), che altri non è che l'install del Prevx...
:D
Come mai questa cosa?

CureIt vede un'infezione che non c'è

Per la cartella HelpAssistant, ho seguito le tue parole e sono arrivato a Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer - Utenti e gruppi locali - users.
Ora c'è HelpAssistant, ma ho un dubbio: se vado col tasto destro devo fare ELIMINA oppure andare su PROPRIETA' e spuntare la casellina ACCOUNT DISABILITATO?
Sarà un dubbio stupido, forse... ma tu hai scritto di disabilitarlo, non eliminarlo.
Devo fare ELIMINA?

Grazie!:)

Disabilita

Disabilita

Fatto (tasto destro-proprietà-messo spunta a: account disabilitato).
Ma quindi i 650 mega della cartella HelpAssistant mi restano sul pc?
Speravo di poterli cancellare...
:confused:

Chill-Out hai dato un occhiata ai miei file?
qui la situazione è critica! :muro:

Fatto (tasto destro-proprietà-messo spunta a: account disabilitato).
Ma quindi i 650 mega della cartella HelpAssistant mi restano sul pc?
Speravo di poterli cancellare...
:confused:

Hai riavviato il PC dopo aver disabilitato HelpAssistant?

Chill-Out hai dato un occhiata ai miei file?
qui la situazione è critica! :muro:

Dai log non emergono tracce del Rootkit

Dai log non emergono tracce del Rootkit

e quindi cosa caspita sta succedendo al mio pc? ti spiego..se apro MSN nn entra..mi da un errore..se vado sulla specifica dice :

AppName: wlcomm.exe AppVer: 14.0.8064.206 ModName: ntdll.dll
ModVer: 5.1.2600.2180 Offset: 00031c6b

se apro emule invece mi parte..ma dopo 40 secondi errore..
inoltre..xke fino a ieri prevx mi trovare un certo mhkj nella cartella help assistant? la quale se provo a cancellarla ricompare..
mmm..molto strano.. sul web sembra ke ho questo malware..e invece dalle scansioni niente..
cosa posso fare? magari disinstallo tutto (msn e emule) =?

e quindi cosa caspita sta succedendo al mio pc? ti spiego..se apro MSN nn entra..mi da un errore..se vado sulla specifica dice :

AppName: wlcomm.exe AppVer: 14.0.8064.206 ModName: ntdll.dll
ModVer: 5.1.2600.2180 Offset: 00031c6b

se apro emule invece mi parte..ma dopo 40 secondi errore..
inoltre..xke fino a ieri prevx mi trovare un certo mhkj nella cartella help assistant? la quale se provo a cancellarla ricompare..
mmm..molto strano.. sul web sembra ke ho questo malware..e invece dalle scansioni niente..
cosa posso fare? magari disinstallo tutto (msn e emule) =?

Hai salvato il log di Prevx inerente questo mhkj

Hai salvato il log di Prevx inerente questo mhkj

no purtroppo nn ce l ho piu..pero mi sembra strano ke prima lo rileva e poi no..
ieri me lo rilevava..oggi l ho disinstallato..reinstallato..e nn lo trovo piu..mi sa ke questi programmi non sono granche..
cmq se dovesse ritrovarlo salvo il log..pero intanto nn so ke fare..

no purtroppo nn ce l ho piu..pero mi sembra strano ke prima lo rileva e poi no..
ieri me lo rilevava..oggi l ho disinstallato..reinstallato..e nn lo trovo piu..mi sa ke questi programmi non sono granche..
cmq se dovesse ritrovarlo salvo il log..pero intanto nn so ke fare..

Per poter approfondire abbiamo bisogno di vedere il log della Seconda Fase

Per poter approfondire abbiamo bisogno di vedere il log della Seconda Fase

ovvero? ke devo fare?
ora sto facendo la scansione eset online

Hai riavviato il PC dopo aver disabilitato HelpAssistant?

Sì, e la cartella HelpAssistant c'è ancora...

Sì, e la cartella HelpAssistant c'è ancora...

Sempre da Gestione computer - tasto dx del mouse su Proprietà - Membro di - se HelpAssistant è all'interno del box bianco selezionalo e rimuovilo cliccando sul tasto Rimuovi

Riavvia il PC e fammi sapere

ovvero? ke devo fare?
ora sto facendo la scansione eset online

La Guida da seguire è questa http://www.hwupgrade.it/forum/showpost.php?p=21854177&postcount=1

Sempre da Gestione computer - tasto dx del mouse su Proprietà - Membro di - se HelpAssistant è all'interno del box bianco selezionalo e rimuovilo cliccando sul tasto Rimuovi

Riavvia il PC e fammi sapere

Scusa se magari sono ridondante, ma non vorrei combinare casini. :)

Se da Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer - Utenti e gruppi locali - users - HelpAssistant - faccio tasto destro - Proprietà - Membro di
all'interno del box bianco ho Administrators
E' questo Administrators all'interno del box bianco che devo selezionare e rimuovere clickando su Rimuovi, giusto?
Perchè in pratica questo HelpAssistant, seppur disabilitato, continua a essere membro di Administrators... ho capito bene?

ciao

prevx ha fatto il suo dovere per la parte inerente a mbr
passa alla terza fase e vediamo se cureit trova infette le altre voci rilevate da prevx

ecco il log filtrato di CureIt
cureit filtrato.txt (http://wikisend.com/download/487690/cureit filtrato.txt)

questa invece è la schermata
CureIt.png (http://wikisend.com/download/471990/CureIt.png)

L'estensione di Thuderbird "OpenAllLinks"...è da considerarsi davvero infetta?
La posso disinstallare.

PdfMachine invece secondo me è a posto...!
Manon mi faceva continuare se non lo spostavo!!
Come posso recuperarlo?

Poi: per eliminare la cartella HelpAssistant devo procedere come avete spiegato ad albys nei messaggi precedenti?
Io però in Pannello di controllo --> Strumenti di amministrazione --> Gestione computer NON ho una voce che si chiama Utenti.... :-(
GestioneUtenti.png (http://wikisend.com/download/556006/GestioneUtenti.png)

Grazie mille, anzi un milione! :ave: :ave: :ave:

Scusa se magari sono ridondante, ma non vorrei combinare casini. :)

Se da Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer - Utenti e gruppi locali - users - HelpAssistant - faccio tasto destro - Proprietà - Membro di
all'interno del box bianco ho Administrators
E' questo Administrators all'interno del box bianco che devo selezionare e rimuovere clickando su Rimuovi, giusto?
Perchè in pratica questo HelpAssistant, seppur disabilitato, continua a essere membro di Administrators... ho capito bene?

Si

ecco il log filtrato di CureIt
cureit filtrato.txt (http://wikisend.com/download/487690/cureit filtrato.txt)

questa invece è la schermata
CureIt.png (http://wikisend.com/download/471990/CureIt.png)

L'estensione di Thuderbird "OpenAllLinks"...è da considerarsi davvero infetta?
La posso disinstallare.

PdfMachine invece secondo me è a posto...!
Manon mi faceva continuare se non lo spostavo!!
Come posso recuperarlo?

Poi: per eliminare la cartella HelpAssistant devo procedere come avete spiegato ad albys nei messaggi precedenti?
Io però in Pannello di controllo --> Strumenti di amministrazione --> Gestione computer NON ho una voce che si chiama Utenti.... :-(
GestioneUtenti.png (http://wikisend.com/download/556006/GestioneUtenti.png)

Grazie mille, anzi un milione! :ave: :ave: :ave:

Ciao, allega un nuovo log di Prevx, dopo affrontiamo il discorso HelpAssistant

Chill-Out, ho fatto come mi hai detto e ho riavviato il pc.
Purtroppo la cartella HelpAssistant c'è ancora.
Andando col solito percorso nelle sue proprietà ora non c'è più Administrators nel quadrante bianco; non c'è nulla. e l'utente risulta ancora disabilitato.
Però sta accidenti di cartella non se ne vuole andare...

Devo rimuoverla manualmente o fare altro?

Chill-Out, ho fatto come mi hai detto e ho riavviato il pc.
Purtroppo la cartella HelpAssistant c'è ancora.
Andando col solito percorso nelle sue proprietà ora non c'è più Administrators nel quadrante bianco; non c'è nulla. e l'utente risulta ancora disabilitato.
Però sta accidenti di cartella non se ne vuole andare...

Devo rimuoverla manualmente o fare altro?

Mi alleghi uno screenshot, utilizzando http://www.imageshack.us/

Mi alleghi uno screenshot, utilizzando http://www.imageshack.us/

Certo, ecco tutto nel dettaglio:
http://img52.imageshack.us/img52/2440/helpassistant1.th.jpg (http://img52.imageshack.us/i/helpassistant1.jpg/)http://img200.imageshack.us/img200/661/helpassistant2.th.jpg (http://img200.imageshack.us/i/helpassistant2.jpg/)http://img35.imageshack.us/img35/8855/helpassistant3.th.jpg (http://img35.imageshack.us/i/helpassistant3.jpg/)

Certo, ecco tutto nel dettaglio:
http://img52.imageshack.us/img52/2440/helpassistant1.th.jpg (http://img52.imageshack.us/i/helpassistant1.jpg/)http://img200.imageshack.us/img200/661/helpassistant2.th.jpg (http://img200.imageshack.us/i/helpassistant2.jpg/)http://img35.imageshack.us/img35/8855/helpassistant3.th.jpg (http://img35.imageshack.us/i/helpassistant3.jpg/)

Ok, mi indichi il peso della cartella Helpassistant in Documents and Settings

Cartella HelpAssistant:
Dimensioni: 547 MB
Dimensioni su disco : 615 MB
Contenuto: 27515 files, 1395 cartelle

(la cartella del mio profilo personale è 10 giga)

Cartella HelpAssistant:
Dimensioni: 547 MB
Dimensioni su disco : 615 MB
Contenuto: 27515 files, 1395 cartelle

(la cartella del mio profilo personale è 10 giga)

Dire che possiamo eliminarla, riavvia il Pc e vediamo se ricrea (non dovrebbe) se succede evidentemente c'è un problema.

Ciao, Avira mi ha trovato sul record master di avvio il seguente virus BOO/SINOWAL.E
ho seguito le istruzioni qui riportate ed allego i report avuti dopo la prima fase:

http://wikisend.com/download/590852/report gmer.txt
http://wikisend.com/download/445740/prevx pre-rimozione.log
http://wikisend.com/download/950506/prevx post-rimozione.log

sembra che il virus sia stato rimosso ed ho fatto una nuova scansione con Avira che non mi ha più trovato il virus.
Devo procedere comunque con la seconda fase?
Grazie per il vostro supporto

Ciao, Avira mi ha trovato sul record master di avvio il seguente virus BOO/SINOWAL.E
ho seguito le istruzioni qui riportate ed allego i report avuti dopo la prima fase:

http://wikisend.com/download/590852/report gmer.txt
http://wikisend.com/download/445740/prevx pre-rimozione.log
http://wikisend.com/download/950506/prevx post-rimozione.log

sembra che il virus sia stato rimosso ed ho fatto una nuova scansione con Avira che non mi ha più trovato il virus.
Devo procedere comunque con la seconda fase?
Grazie per il vostro supporto

direi di saltare alla terza fase, meglio una scansione in più per confermare la pulizia ;)

Dire che possiamo eliminarla, riavvia il Pc e vediamo se ricrea (non dovrebbe) se succede evidentemente c'è un problema.

Fatto, riavviato e... SPARITA! :) :cool: :)

Grazie davvero per tutto, Chill-Out!

Mi sembra tutto ok.
Mi ha dato solo questi risultati sospetti:

C:\WINDOWS\system32\PxSecure.dll probabile infezione da BACKDOOR.Trojan
e
>c:\programmi\prevx\prevx.exe/data003 probabile infezione da BACKDOOR.Trojan (che però è il programma usato per la rilevazione del virus e quindi presumo sia un falso positivo)

Sono da eliminare?

Mi sembra tutto ok.
Mi ha dato solo questi risultati sospetti:

C:\WINDOWS\system32\PxSecure.dll probabile infezione da BACKDOOR.Trojan
e
>c:\programmi\prevx\prevx.exe/data003 probabile infezione da BACKDOOR.Trojan (che però è il programma usato per la rilevazione del virus e quindi presumo sia un falso positivo)

Sono da eliminare?
tranquillo sono falsi allarmi:
http://www.hrppw.com.cn/report/0693c6f5ab58a4c9c9619ee613561abf.html

magari se riesci a segnalarlo a dr.web come falso positivo sarebbe ottimo ma non mi rircordo se lo potevi fare direttamente dalla finestra del programma..

salve a tutti..ciao chill out..ieri non vi avevo piu risposto..in quanto mi ero molto incazzato! :muro:
non andava piu niente..e quindi ho formattato..§(non a basso livello)..
da oggi il pc sembra tornato in forma..va alla grande..
è solo una cosa temporanea o sono salvo?
pero ancora nn ho reinstallato msn...

salve a tutti..ciao chill out..ieri non vi avevo piu risposto..in quanto mi ero molto incazzato! :muro:
non andava piu niente..e quindi ho formattato..§(non a basso livello)..
da oggi il pc sembra tornato in forma..va alla grande..
è solo una cosa temporanea o sono salvo?
pero ancora nn ho reinstallato msn...

devi migliorare il muro difensivo rispetto a prima altrimenti è solo questione di tempo.

Fatto, riavviato e... SPARITA! :) :cool: :)

Grazie davvero per tutto, Chill-Out!

Ottimo, felice di essere stato di aiuto ;)

ciao ti illustro il problema che poi è lo stesso di molti altri;
mi collego ad msn (windows live msn 2009) e dopo un po mi compare la scritta con l errore relativo del conflitto e mi fa chiudere l applicazione;
quindi ho dei rallentamenti al pc e al browser di internet explore (ho ancora la versione 6);invece con firefox tutto ok.(inoltre trovo la cartella incriminata)
ho eseguito i tuoi passaggi e ho riscontarto dei problemi:
1) installo e faccio partire Gmer ma il sistema di chrashia e mi da un errore con schermata bluMULTIPLR_IRP:COMPLETE_REQUEST
2) installo e faccio partire prevx 3.0 e mi da il log che ti invio fra poco in allegato
in cui non mi sembra in apparenza che ci siano errori (l ho nominato prevx_logfile);

dimmi tu quando posso passare alla seconda fase di rimozione eventuali malware se necessario

allora per ovviare al problema con il gmer sto effettuando la scansione passo dopo passo (non so se è la cosa corretta però in questi casi ) nella speranza che il pc non vada in crash; appena finito ti posto i log relativi; ti dico subito che quando scansiono il section mi da due errori o pseudo tali secondo me

AttachedDevice \Driver\Tcpip \Device\Tcp pxrts.sys (Prevx Realtime Security/Prevx)

srescan.sys Impossibile trovare il file specificato. !

e allora eseguendo le prove ad una ad una ho visto che il componente che mi manda in errore è in device; almeno stando finora quindi ti posto i log dei singoli componenti in modo da vedere se ne puoi capire qualcosa in più di me;
MA COME FACCIO AD INVIARTI I LOg???
IO VADO SUL SITO WIKISEND MI sn registrato vado su upload inserisco il file e dopo non mi da il codice da inserire per fartelo scaricare?? che succede?

senti sto impazzendo:
allora il file prevx non me lo fa allegare; in più l opzione del clean dello stesso programma mi richiede una licenza che è a pagamento;
sono andato avanti con la tua guida;
ti posto ora i file di mbr edi normal cleaner

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
copy of MBR has been found in sector 0x012A14C00
malicious code @ sector 0x012A14C03 !
PE file found in sector at 0x012A14C19 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.


Norman SinowalMBR Cleaner
Copyright © 1990 - 2008, Norman ASA. Built 2008/05/13 16:21:18

Norman Scanner Engine Version: 5.92.04
Nvcbin.def Version: 5.92.00, Date: 2008/05/13 16:21:18, Variants: 0

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Home 5.1.2600 Service Pack 3
Logged on user: PC-NICO\nico


Scan started: 07/11/2009 16:42:07

Scanning bootsectors...

No SinowalMBR hooks found

Number of sectors found: 1
Number of sectors scanned: 1
Number of sectors not scanned: 0
Number of infections found: 0
Number of infections removed: 0
Total scanning time: 1s 422ms


Scanning running processes and process memory...

Number of processes/threads found: 1803
Number of processes/threads scanned: 1803
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 33s


Scanning file system...

Scanning: C:\*.*

C:\Documents and Settings\HelpAssistant\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\ikutpm6l.default\Cache\8B615746d01/unknown0 (Error whilst scanning file: I/O Error)

C:\Documents and Settings\HelpAssistant\Impostazioni locali\Temporary Internet Files\Content.IE5\9S1ON17J\ivdf_fusebundle_nt_en[1].zip/aebb.dll (Error whilst scanning file: I/O Error)


Running post-scan cleanup routine:

Number of files found: 78740
Number of archives unpacked: 493
Number of files scanned: 78611
Number of files not scanned: 129
Number of files skipped due to exclude list: 0
Number of infected files found: 0
Number of infected files repaired/deleted: 0
Number of infections removed: 0
Total scanning time: 31m 58s

avevo provato anche a fare l ultimo programma il cureit doctor ma niente da fare mi fa riavviare il pc;adesso sono nelle tue mani;
NB: mi scuso per non aver allegato ma mi sa o che sono totalmente incapace o mi è impazzito il pc; dopo 10 tentativi non me li fa inviare

http://www.mediafire.com/logrichiesti

Ciao, allega un nuovo log di Prevx, dopo affrontiamo il discorso HelpAssistant

ok!
ecco qui il log.....i malware sembrano aumentare.... :(
prevx_3.txt (http://wikisend.com/download/118140/prevx_3.txt)

Ho usato anche Spybot S&D e Malware Bytes, ma non hanno trovato nulla!
Rispetto all'altra volta mi semrba che i file infetti siano altri!!
grazie ancora per il supporto!!!!!!!!

sotto segnalazione di gabryflash lo posto anche qui:

Mi è capitato un problema un po strano. Ultimamente ho visto un paio di pc con il rootkit MBR "helpassistant" ..... e quando ho visto questo, pensavo fosse la solita solfa.... invece no.
Questo pc non si avvia, si blocca immediatamente dopo il bios boot, schermo nero e pc freezato.

Ho provato ad accedere in consolle di ripristino, e ho tentato di fixare l'MBR. E' stata trovata corrotta, come nel caso del rootkit di cui sopra. Provo a riavviare, rientro in consolle e faccio un chkdsk. Penso che è fatta, riavvio la macchina... e il caricamento di windows si ferma lamentando l'assenza di qualche file dentro la cartella di sistema.

Torno in consolle.... faccio per digitare cd windows... e ottengo accesso negato.

Ho tentato il comando SET (allowallpath) ... ma è impostato su FALSE e non riesco a impostarlo TRUE ... (per farlo dovrei, da windows, abilitare lo snap-in ecc ecc bla bla bla..... ma come faccio se non si avvia windows?)

Segnalo inoltre che tutte le volte che sono entrato in consolle di ripristino da questa macchina.... non mi è MAI stato chiesto a quale installazione di win volessi accedere.

Idee?

grazie

ps... collegare il disco ad un altro pc e da windows riassegnare i permessi?

sotto segnalazione di gabryflash lo posto anche qui:

Mi è capitato un problema un po strano. Ultimamente ho visto un paio di pc con il rootkit MBR "helpassistant" ..... e quando ho visto questo, pensavo fosse la solita solfa.... invece no.
Questo pc non si avvia, si blocca immediatamente dopo il bios boot, schermo nero e pc freezato.

Ho provato ad accedere in consolle di ripristino, e ho tentato di fixare l'MBR. E' stata trovata corrotta, come nel caso del rootkit di cui sopra. Provo a riavviare, rientro in consolle e faccio un chkdsk. Penso che è fatta, riavvio la macchina... e il caricamento di windows si ferma lamentando l'assenza di qualche file dentro la cartella di sistema.

Torno in consolle.... faccio per digitare cd windows... e ottengo accesso negato.

Ho tentato il comando SET (allowallpath) ... ma è impostato su FALSE e non riesco a impostarlo TRUE ... (per farlo dovrei, da windows, abilitare lo snap-in ecc ecc bla bla bla..... ma come faccio se non si avvia windows?)

Segnalo inoltre che tutte le volte che sono entrato in consolle di ripristino da questa macchina.... non mi è MAI stato chiesto a quale installazione di win volessi accedere.

Idee?

grazie

ps... collegare il disco ad un altro pc e da windows riassegnare i permessi?

In questo caso credo sia più opportuno chidere in Sezione Microsoft Windows (http://www.hwupgrade.it/forum/forumdisplay.php?f=126)

ok!
ecco qui il log.....i malware sembrano aumentare.... :(
prevx_3.txt (http://wikisend.com/download/118140/prevx_3.txt)

Ho usato anche Spybot S&D e Malware Bytes, ma non hanno trovato nulla!
Rispetto all'altra volta mi semrba che i file infetti siano altri!!
grazie ancora per il supporto!!!!!!!!

1 Abilita la visualizzazione dei files nascosti

Clicca su una cartella qualsiasi Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta su Visualizza cartelle e file nascosti - Togli la spunta da nascondi files protetti di sistema - Applica - OK

e controlla su http://virscan.org/ e http://www.virustotal.com/it/ il seguenti file:

ntcmd_int.dll che trovi in c:\windows\system32\

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione

2 Disinstalla i seguenti software:

boilsoft video splitter
error repair professional
fontviewer


Al termine allega nuovo log di Prevx

senti sto impazzendo:
allora il file prevx non me lo fa allegare; in più l opzione del clean dello stesso programma mi richiede una licenza che è a pagamento;
sono andato avanti con la tua guida;
ti posto ora i file di mbr edi normal cleaner

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
copy of MBR has been found in sector 0x012A14C00
malicious code @ sector 0x012A14C03 !
PE file found in sector at 0x012A14C19 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.


Norman SinowalMBR Cleaner
Copyright © 1990 - 2008, Norman ASA. Built 2008/05/13 16:21:18

Norman Scanner Engine Version: 5.92.04
Nvcbin.def Version: 5.92.00, Date: 2008/05/13 16:21:18, Variants: 0

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Home 5.1.2600 Service Pack 3
Logged on user: PC-NICO\nico


Scan started: 07/11/2009 16:42:07

Scanning bootsectors...

No SinowalMBR hooks found

Number of sectors found: 1
Number of sectors scanned: 1
Number of sectors not scanned: 0
Number of infections found: 0
Number of infections removed: 0
Total scanning time: 1s 422ms


Scanning running processes and process memory...

Number of processes/threads found: 1803
Number of processes/threads scanned: 1803
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 33s


Scanning file system...

Scanning: C:\*.*

C:\Documents and Settings\HelpAssistant\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\ikutpm6l.default\Cache\8B615746d01/unknown0 (Error whilst scanning file: I/O Error)

C:\Documents and Settings\HelpAssistant\Impostazioni locali\Temporary Internet Files\Content.IE5\9S1ON17J\ivdf_fusebundle_nt_en[1].zip/aebb.dll (Error whilst scanning file: I/O Error)


Running post-scan cleanup routine:

Number of files found: 78740
Number of archives unpacked: 493
Number of files scanned: 78611
Number of files not scanned: 129
Number of files skipped due to exclude list: 0
Number of infected files found: 0
Number of infected files repaired/deleted: 0
Number of infections removed: 0
Total scanning time: 31m 58s

avevo provato anche a fare l ultimo programma il cureit doctor ma niente da fare mi fa riavviare il pc;adesso sono nelle tue mani;
NB: mi scuso per non aver allegato ma mi sa o che sono totalmente incapace o mi è impazzito il pc; dopo 10 tentativi non me li fa inviare

http://www.mediafire.com/logrichiesti

L'hai fatto questo passaggio

Stealth MBR rootkit detector
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
Scaricate MBR:EXE sul DeskTop e mettetelo direttamente nella Directory C:\
Riavviate il Pc in modalità provvisoria F8
Da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
Salvate il log prodotto come MBR ed allegatelo per il controllo

In questo caso credo sia più opportuno chidere in Sezione Microsoft Windows (http://www.hwupgrade.it/forum/forumdisplay.php?f=126)

ma che vengo rimbalzato a destra e a sinistra? :)

http://www.hwupgrade.it/forum/showthread.php?p=29609758#post29609758

facciamo così, formatto a basso livello, e risolvo il problema. Grazie lo stesso...

ma che vengo rimbalzato a destra e a sinistra? :)

facciamo così, formatto a basso livello, e risolvo il problema. Grazie lo stesso...

No, non vieni rimbalzato nel tuo caso non ha senso seguire la Guida per la rimozione del MBR Rootkit, non sappiamo se si tratta del Rootkit in questione e non riesci ad accedere al SO.

L'hai fatto questo passaggio


Quote:
Stealth MBR rootkit detector
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
Scaricate MBR:EXE sul DeskTop e mettetelo direttamente nella Directory C:\
Riavviate il Pc in modalità provvisoria F8
Da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
Salvate il log prodotto come MBR ed allegatelo per il controllo

si ho seguito la guida ho scaricato mbr sul desktop;
poi l ho inserito in c e in modalità provvisoria l ho fatto eseguire; ho messo il log qui in allegato;

L'hai fatto questo passaggio


Quote:
Stealth MBR rootkit detector
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
Scaricate MBR:EXE sul DeskTop e mettetelo direttamente nella Directory C:\
Riavviate il Pc in modalità provvisoria F8
Da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
Salvate il log prodotto come MBR ed allegatelo per il controllo

si ho seguito la guida ho scaricato mbr sul desktop;
poi l ho inserito in c e in modalità provvisoria l ho fatto eseguire; ho messo il log qui in allegato;

Gentilmente ripeti il passaggio ed allega il log, il comando è il seguente:

Da Start - Esegui - digitate C:\mbr.exe -f

ok ti ringrazio tanto per la pasienza che hai con me....
e mi scuso per il disturbo..
ho messo mbr in c:
avviato in modalità provvisoria e da start esegui ho fatto la scansione richiesta....
ora ti invio il log
http://www.mediafire.com/file/mtndi5mwlw0/mbr.log
NB: quando ho fatto l eseguibile è partito ed in una frazione di secondo si è concluso e mi ha dato il log che adesso ti invio; è crretta la procedura?

ok ti ringrazio tanto per la pasienza che hai con me....
e mi scuso per il disturbo..
ho messo mbr in c:
avviato in modalità provvisoria e da start esegui ho fatto la scansione richiesta....
ora ti invio il log
http://www.mediafire.com/file/mtndi5mwlw0/mbr.log
NB: quando ho fatto l eseguibile è partito ed in una frazione di secondo si è concluso e mi ha dato il log che adesso ti invio; è crretta la procedura?

Adesso è ok, produci log relativo alla scansione con CureIt.

ok...ho fatto la scandsione con cureit....allora ha trovato un virus infetto in
hutck8.dll che ho spostato in quarantena come diceva la guida tua.....adesso ti allego il file
http://www.mediafire.com/file/m02ohjjyz2e/CureIt.log
aspetto tue notizie...
nb: ma invece scusami le domande ...
ma il resto dei log degli altri programmi come andava??

ok...ho fatto la scandsione con cureit....allora ha trovato un virus infetto in
hutck8.dll che ho spostato in quarantena come diceva la guida tua.....adesso ti allego il file
http://www.mediafire.com/file/m02ohjjyz2e/CureIt.log
aspetto tue notizie...
nb: ma invece scusami le domande ...
ma il resto dei log degli altri programmi come andava??

Estratto dal lo di CureIt

C:\hutck8.dll infettato da Trojan.Packed.680 - cura negata dall'utente

il file va spostato in quarantena esattamente come Guida, ripeti scansione completa ed allega il log.

1 Abilita la visualizzazione dei files nascosti



e controlla su http://virscan.org/ e http://www.virustotal.com/it/ il seguenti file:

ntcmd_int.dll che trovi in c:\windows\system32\

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione

2 Disinstalla i seguenti software:

boilsoft video splitter
error repair professional
fontviewer


Al termine allega nuovo log di Prevx


Vado ed eseguo!!
Nel frattempo ho fatto una scansione anche con A-squared....
Questa è la schermata:
asquared.png (http://wikisend.com/download/467322/asquared.png)

- BsPlayer è noto per essere segnalato da molto anti-adware come adware (appunto), ma non è vero.
- olectr_int.dll provo a fixarlo, ma mi dice che non può cancellarlo
- c:\windows\installer\msic.tmp dovrebbe essere un adware, stando al sito della emisoft...
- AoA_audio_extractor avrà un malware? Chissà....magari è come BsPlayer...
- il file nella cartella Helpassistant è chiaramente da eliminare insieme alla cartella, ma più tardi
- Error Repair lo disinstallo, come mi hai suggerito prima
- c:\windows\system32\drivers\Oreans.sys : cercando su Google,dice che è un file legato a Oxygen Phone manager, e che se è un malware si trova in altre cartelle....ma ti chiedo comunque un parere
- gli ultimi due li ho messi in quarantena senza indugi!

Appena riesco, posto il risultato delle analisi dei file!

Un saluto a tutti, sono un nuovo utente, appena registrata. Purtroppo, mi presento con un problema per me grandissimo, visto che non sono particolarmente esperta, anzi diciamo che sono a digiuno di informatica, solo qualche nozione di base per usufruire del computer.
Vengo al dunque. Venerdì scorso, mio marito ha acceso il computer ed è apparsa una schermata nera con la seguente dicitura:
""""Trend ChipAwayVirus has detected a boot virus on your hard disk!
Press (Enter) for more information (recomended)
(C) to continue booting
"Complete Virus Protection for the Enterprise"
Trend Micro - http://www.antivirus.com""""

Panico! non sapevo dove mettere le mani, poi ho continuato come suggerito per continuare il booting e ho cominciato una serie di operazioni; prima di tutto ho scansionato il computer con l'antivirus Avira; poi ho continuato con Malwarebytes; infine ho usato HiJackThis. Nessun riscontro, nessun virus, e la schermata si presenta ad ogni accensione.
Premetto che ho XP Professional regolare, con WGA, regolarmente aggiornato con Windows Update e, considerato che uso le normali precauzioni (non aprire allegati mail, non visitare siti sconosciuti ecc.) mi sentivo al sicuro, ma, purtroppo, il pc viene usato anche dai miei figli e da mio marito; vero è che da un mese ho notato uno strano comportamento di Avira, come difficoltà nell'autoaggiornamento, errore nel Registro Eventi, Crypt 32, tanto è che ho disinstallato l'antivirus pensando a un malfunzionamento: con molta preoccupazione mi sono resa conto che, togliendo Avira, non appariva lo scudetto rosso che avrebbe dovuto avvertirmi che il Pc poteva essere sottoposto a minacce. Sono andata a controllare il centro sicurezza Pc e ho notato che, secondo lui, il computer pur essendo sprovvisto dell' antivirus normale era protetto da un altro antivirus: ma quale:mbe: ?
In conclusione ho girato per google fino a quando mi sono imbattuta nel vostro forum, senza registrarmi però; ho scaricato Gmer e Prevxt e ho eseguito la scansione, però, non potendo loggare il report, a me è sembrato che non ci fosse nulla di sospetto, quindi non ho continuato. Ora mi chiedo se la scansione andasse fatta in modalità provvisoria, tenendo conto che la scansione veniva fatta su C\ e non sulla partizione nascosta del disco. Comunque ne capisco poco, ho preferito chiedere aiuto a qualcun altro che mi ha convinto che il disco si è infettato con il virus MBR.Rootkit. Vi chiede se devo eseguire alla lettera la guida, la procedura del primo post di questo thread, se devo eseguire i programmi Gmer e Prevxt in modalità provvisoria e se, una volta fatta la scansione, devo riavviare il pc. Un'altra cosa: come posso postare gli eventuali log, i report dei programmi?
Scusate, sono stata prolissa, ma vi chiedo la cortesia di rispondere come si farebbe a un bambino delle elementari:lamer: .

ciao annairene..dunque per essere sicura cosa tu abbia devi seguire questa guida che trovi qui

http://www.hwupgrade.it/forum/showthread.php?t=1599737

mentre per i log devi seguire questa

http://www.hwupgrade.it/forum/showthread.php?t=1751598


se hai bisogno chiedi pure ..ti consiglio di seguire la guida alla lettera e di postare i log in sequenza richiesta dopodichè i medici esperti del forum ti diranno se sei effettivamente affetta da mbr rootkit...armati di pazienza e non disperare che risolviamo tutto :)

@annairene

Ciao segui la Guida in prima pagina, ovvero http://www.hwupgrade.it/forum/showthread.php?t=1715546

Ciao ragazzi, vi spiego velocemente il mio problema perchè ho qualche difficoltà ad usare la guida in prima pagina.
Devo sistemare il pc dei miei (sto usando teamviewer come remote control) da un'infezione che c'è stata ieri rilevata da KIS internet security 2010 come backdoor.win32.sinowal.br. Provando a disinfettare nulla è riuscito e gli ho fatto selezionare l'unica opzione = ignora! Poi riavviato e rifatto le scansioni e non spunta più nulla da tutto ok! Sul pc c'è vista home basic 64 bit col service pack 1.
Oggi mi sono collegato con teamviewer per cercare di capire che cavolo è successo e perchè non la rileva più rifacendo la scansione completa! Però qui sorge il problema A-squared e KIS non trovano più nulla, ho installato prevx 3.0 e mi da tutto ok ma non riesco a far fare la scansione nè a Gmer nè al tool norman. Gmer mi fa scansionare solo le ultime 3 caselle (services, registry e files) non lasciando scansionare le altre che sono grigie mentre norman salta la scansione del boot dicendo che il tentativo è fallito! Ora provo malware byte e Cure.it ma sono seriamente preoccupato perchè non vorrei lasciare che i miei tornino ad usare il pc per fare le comuni operazione di home banking e vedere sparire i risparmi!Vi prego se potete darmi una mano ve ne sarei molto grato. ditemi se vi serve qualche altra info. Ciao

Estratto dal lo di CureIt



il file va spostato in quarantena esattamente come Guida, ripeti scansione completa ed allega il log.

guarda io penso di aver seguito le istruzioni..aveva trovato il file infetto..
mi chiedeva che fare io ho messo nega cure e poi come azione sposta in quarantena...

nel log che ti avevo inviato prima è vero che diceva
[Scan path] C:\hutck8.dll
C:\hutck8.dll infettato da Trojan.Packed.680 - cura negata dall'utente

ma io me lo ritrovo messo tra i file in quarantena comunque
ho rifatto la scansione sia in modalità express che completa...
il file non me l ha trovato (essendo gia in quarantena)
adesso ti posto il log completo ...
sempre grazie per i tuoi interventi comunque...
http://www.mediafire.com/file/vn1dnml2mkm/CureIt.log

e qui ti posto quello ridotto col procedimento (ho tentato di seguire le istruzioni penso che siano corrette)
http://www.mediafire.com/file/mizmm3emnym/cureit filtrato.txt

aspetto tue notizie...

Ciao ragazzi, vi spiego velocemente il mio problema perchè ho qualche difficoltà ad usare la guida in prima pagina.
Devo sistemare il pc dei miei (sto usando teamviewer come remote control) da un'infezione che c'è stata ieri rilevata da KIS internet security 2010 come backdoor.win32.sinowal.br. Provando a disinfettare nulla è riuscito e gli ho fatto selezionare l'unica opzione = ignora! Poi riavviato e rifatto le scansioni e non spunta più nulla da tutto ok! Sul pc c'è vista home basic 64 bit col service pack 1.
Oggi mi sono collegato con teamviewer per cercare di capire che cavolo è successo e perchè non la rileva più rifacendo la scansione completa! Però qui sorge il problema A-squared e KIS non trovano più nulla, ho installato prevx 3.0 e mi da tutto ok ma non riesco a far fare la scansione nè a Gmer nè al tool norman. Gmer mi fa scansionare solo le ultime 3 caselle (services, registry e files) non lasciando scansionare le altre che sono grigie mentre norman salta la scansione del boot dicendo che il tentativo è fallito! Ora provo malware byte e Cure.it ma sono seriamente preoccupato perchè non vorrei lasciare che i miei tornino ad usare il pc per fare le comuni operazione di home banking e vedere sparire i risparmi!Vi prego se potete darmi una mano ve ne sarei molto grato. ditemi se vi serve qualche altra info. Ciao
ciao

fai la scansione con cureit
e poi carica tutti i log in tuo possesso

guarda io penso di aver seguito le istruzioni..aveva trovato il file infetto..
mi chiedeva che fare io ho messo nega cure e poi come azione sposta in quarantena...

nel log che ti avevo inviato prima è vero che diceva
[Scan path] C:\hutck8.dll
C:\hutck8.dll infettato da Trojan.Packed.680 - cura negata dall'utente

ma io me lo ritrovo messo tra i file in quarantena comunque
ho rifatto la scansione sia in modalità express che completa...
il file non me l ha trovato (essendo gia in quarantena)
adesso ti posto il log completo ...
sempre grazie per i tuoi interventi comunque...
http://www.mediafire.com/file/vn1dnml2mkm/CureIt.log

e qui ti posto quello ridotto col procedimento (ho tentato di seguire le istruzioni penso che siano corrette)
http://www.mediafire.com/file/mizmm3emnym/cureit filtrato.txt

aspetto tue notizie...

Dovremmo essere a posto.

Anche io ho lo stesso problema.
Sia Firefox che Explorer dopo pochi minuti (a volte anche secondi) iniziano a ciucciare memoria a go-go ed inoltre la memoria allocata è sempre MOLTO maggiore rispetto al totale dei processi.
Facendo una scansione con AntiVir in modalità provvisoria (perchè normalmente non mi scansiva nulla) mi nota boo\sinowal.e nel record master di avvio dell'hard disk 0 ed in ogni altro drive.
Ho provato ComboFix e mi ha eliminato solo alcuni problemi. (altri trojan credo).
Ho provato Gmer, e questo è il log
http://wikisend.com/download/898466/gmer.txt

Prevx mi trova 4 infezioni, ma per il log post-disinfezione mi chiede la licenza...
Il log PRE-disinfezione è questo
http://wikisend.com/download/437072/prevx pre.log

In precedenza avevo usato mbr.exe (come indicato, in modalità provvisoria e non), e mi trovava sia malicious code che PE file in due settori distinti, ma non mi diceva che aveva ripristinato correttamente l'MBR.

Come procedo?

Anche io ho lo stesso problema.
Sia Firefox che Explorer dopo pochi minuti (a volte anche secondi) iniziano a ciucciare memoria a go-go ed inoltre la memoria allocata è sempre MOLTO maggiore rispetto al totale dei processi.
Facendo una scansione con AntiVir in modalità provvisoria (perchè normalmente non mi scansiva nulla) mi nota boo\sinowal.e nel record master di avvio dell'hard disk 0 ed in ogni altro drive.
Ho provato ComboFix e mi ha eliminato solo alcuni problemi. (altri trojan credo).
Ho provato Gmer, e questo è il log
http://wikisend.com/download/898466/gmer.txt

Prevx mi trova 4 infezioni, ma per il log post-disinfezione mi chiede la licenza...
Il log PRE-disinfezione è questo
http://wikisend.com/download/437072/prevx pre.log

In precedenza avevo usato mbr.exe (come indicato, in modalità provvisoria e non), e mi trovava sia malicious code che PE file in due settori distinti, ma non mi diceva che aveva ripristinato correttamente l'MBR.

Come procedo?

Allega i log della SECONDA FASE + il log di Comfofix che trovi in C:\Combofix.txt

Allega i log della SECONDA FASE + il log di Comfofix che trovi in C:\Combofix.txt

http://wikisend.com/download/564692/mbr.log
http://wikisend.com/download/595414/NFix_2009-11-10_18-28-02.log
http://wikisend.com/download/600130/ComboFix.txt

Dovremmo essere a posto.
....ok ti ringrazio mille per l'aiuto....
:) grazie...
un ultima cosa :
1)il file serscan che mi dice impossibile trovarlo a che serve?
2) di tutti questi programmi che ho scaricato che devo farne? io nel mio pc ho l antivirus avira che ho configurato seguendo la guida, in più ho uno zone alarm e il cleaner ; per rendere il mio pc piu sicuro come mi devo comprtare? c è il rischio che si creino conflitti fra l antivrus e cureit o fra zone alarm e previx e normal cleaner?

ciao Chill-Out,
anch'io infestato da questo MBR ROOTKIT.
Ho fatto la prima fase e ti allego link dei log:

http://wikisend.com/download/439882/log_GMER.txt

http://wikisend.com/download/490408/log_prevx3_pre.txt

http://wikisend.com/download/556436/log_prevx3_post.txt

Ora cosa devo fare? aspetto tua risposta?
Il secondo scan di prevx 3.0 mi dice che MBR non c'è più.
Posso star tranquillo?

Grazie mille,

http://wikisend.com/download/564692/mbr.log
http://wikisend.com/download/595414/NFix_2009-11-10_18-28-02.log
http://wikisend.com/download/600130/ComboFix.txt

Ok, produci il log di DrWeb CureIt (scansione completa)

....ok ti ringrazio mille per l'aiuto....
:) grazie...
un ultima cosa :
1)il file serscan che mi dice impossibile trovarlo a che serve?
2) di tutti questi programmi che ho scaricato che devo farne? io nel mio pc ho l antivirus avira che ho configurato seguendo la guida, in più ho uno zone alarm e il cleaner ; per rendere il mio pc piu sicuro come mi devo comprtare? c è il rischio che si creino conflitti fra l antivrus e cureit o fra zone alarm e previx e normal cleaner?

Potresti essere più dettagliato a propostito di serscan ? Il problema si presenta all'inserimento di una periferica ? Per il resto leggi la guida in prima pagina alla voce ==>> Suggerimenti

ciao Chill-Out,
anch'io infestato da questo MBR ROOTKIT.
Ho fatto la prima fase e ti allego link dei log:

http://wikisend.com/download/439882/log_GMER.txt

http://wikisend.com/download/490408/log_prevx3_pre.txt

http://wikisend.com/download/556436/log_prevx3_post.txt

Ora cosa devo fare? aspetto tua risposta?
Il secondo scan di prevx 3.0 mi dice che MBR non c'è più.
Posso star tranquillo?

Grazie mille,

Ciao, il log di Gmer è vuoto (0 B) in ogni caso passa alla Terza Fase ed allega il log di CureIt.

Potresti essere più dettagliato a propostito di serscan ? Il problema si presenta all'inserimento di una periferica ? Per il resto leggi la guida in prima pagina alla voce ==>> Suggerimenti
l ho letto nel file log gmer che ti AVEVO INVIATO...
nella sezione del log denominata kernel mi dava questa dicitura-...
? srescan.sys Impossibile trovare il file specificato. !
volevo sapere che significava..
ti riinvio il log per completezza...
http://www.mediafire.com/?zjhwizoyzoz
si la guida la sto leggendo molto interessannte grazie mille di nuovo...:)

l ho letto nel file log gmer che ti AVEVO INVIATO...
nella sezione del log denominata kernel mi dava questa dicitura-...
? srescan.sys Impossibile trovare il file specificato. !
volevo sapere che significava..
ti riinvio il log per completezza...
http://www.mediafire.com/?zjhwizoyzoz
si la guida la sto leggendo molto interessannte grazie mille di nuovo...:)

Allora fai riferimento a srescan.sys non a serscan

.
1)il file serscan che mi dice impossibile trovarlo a che serve?


è relativo a ZoneAlarm

ciao a tutti

anche dopa aver formattato il programma mrb mi presenta problemi sull'mbr, ho gia eseguito tutte le scansioni consigliate ma il problema non si risolve

log

gmer.txt (http://wikisend.com/download/411244/gmer.txt)
prevx.txt (http://wikisend.com/download/511042/prevx.txt)
mbr.txt (http://wikisend.com/download/484484/mbr.txt)
Norman.txt (http://wikisend.com/download/478592/Norman.txt)
CureIt.txt (http://wikisend.com/download/563558/CureIt.txt)

grazie a chi mi aiuterà

Ciao a tutti, ho beccato pure io il rootkit Help Assistant, ho utilizzato mbr per la pulizia e MrWeb cure it per la scansione che mi ha trovato il troyan packed.680 e un altra infezione in Office.
Il log di mbr non mi dà piu' l'infezione da rootkit ( o sbaglio?)

http://www.mediafire.com/download.php?nuhdtnml3wn

mentre GMER me la dà ancora:

http://www.mediafire.com/download.php?wnziz2ntgng

qualcuno può aiutarmi?? Grazie!

Ciao a tutti, ho beccato pure io il rootkit Help Assistant, ho utilizzato mbr per la pulizia e MrWeb cure it per la scansione che mi ha trovato il troyan packed.680 e un altra infezione in Office.
Il log di mbr non mi dà piu' l'infezione da rootkit ( o sbaglio?)

http://www.mediafire.com/download.php?nuhdtnml3wn

mentre GMER me la dà ancora:

http://www.mediafire.com/download.php?wnziz2ntgng

qualcuno può aiutarmi?? Grazie!
ciao

carica anche quello di prevx e cureit

Allora fai riferimento a srescan.sys non a serscan



è relativo a ZoneAlarm
ok grazie mille..ancora...
un ultima cosa mi ha rilevato con prevx un file spyw<ARE AD ALTO RISCHIO nel mio hd esterno; che devo fare? il problema è che il file in questione è il file click me che mi permette di entrare nel mio hd pacward bell; èensi che lo posso eliminare? ho rifatto la scansione con avira e non mi ha rilevato nulla; adesso rifaccio la scansione con previx 3.0 e ti posto il log; poi se vuoi rifaccio con cureit e ti invio anche quella; ciao

ok grazie mille..ancora...
un ultima cosa mi ha rilevato con prevx un file spyw<ARE AD ALTO RISCHIO nel mio hd esterno; che devo fare? il problema è che il file in questione è il file click me che mi permette di entrare nel mio hd pacward bell; èensi che lo posso eliminare? ho rifatto la scansione con avira e non mi ha rilevato nulla; adesso rifaccio la scansione con previx 3.0 e ti posto il log; poi se vuoi rifaccio con cureit e ti invio anche quella; ciao

Fai controllare il file in questione su VirusTotal (www.virustotal.com/it/)

Per visualizzare è sufficiente riportare ne prossimo post l'URL rilasciata da VT a fine scansione.

ciao a tutti

anche dopa aver formattato il programma mrb mi presenta problemi sull'mbr, ho gia eseguito tutte le scansioni consigliate ma il problema non si risolve

log

gmer.txt (http://wikisend.com/download/411244/gmer.txt)
prevx.txt (http://wikisend.com/download/511042/prevx.txt)
mbr.txt (http://wikisend.com/download/484484/mbr.txt)
Norman.txt (http://wikisend.com/download/478592/Norman.txt)
CureIt.txt (http://wikisend.com/download/563558/CureIt.txt)

grazie a chi mi aiuterà

Con CureIt è necessario fare scansione completa, comunque dai log non emerge nulla, a quale problema ti riferisci?

Mi riferisco al log di mbr

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x04A85300
malicious code @ sector 0x04A85303 !
PE file found in sector at 0x04A85319 !


come posso eliminare il codice maligno?

Mi riferisco al log di mbr

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x04A85300
malicious code @ sector 0x04A85303 !
PE file found in sector at 0x04A85319 !


come posso eliminare il codice maligno?

Indipendente da ciò non vuol dire che sei infetto, il log può rimanere "sporco"

ciao a tutti
ho sicuramente il malware, con gli antivirus non ho risolto niente e allora mi sono addentrato su internet alla ricerca di soluzioni fino a giungere qui; ho un log di systemscan, posto il link? puo' servire a qualcosa? oppure passo gia' ad altre azioni?
vi ringrazio in anticipoper l'aiuto che mi darete

Fai controllare il file in questione su VirusTotal (www.virustotal.com/it/)

Per visualizzare è sufficiente riportare ne prossimo post l'URL rilasciata da VT a fine scansione.
ti allega per completezza il log di cureit fatto solo sul disco esterno..vedi se ci sono anomalie...in ogni caso l ho postato sul sito che mi hai dato tu;ti faccio sapere che dice grazie...
http://www.mediafire.com/?mlqzkmmjzan
io intanto i file sospetti li ho messi in quarantena...
qui c è il link c on i risultati..ma non so decifrare....
http://www.virustotal.com/it/analisis/de049bc91fa22ac23251f634f6cbf1c75c654b0a985f691f86028d3ed0a07601-1257955932

ti faccio sapere che dice grazie...


Chi il disco? :D

Dire che siamo ok, manca il report di VT

ciao a tutti
ho sicuramente il malware, con gli antivirus non ho risolto niente e allora mi sono addentrato su internet alla ricerca di soluzioni fino a giungere qui; ho un log di systemscan, posto il link? puo' servire a qualcosa? oppure passo gia' ad altre azioni?
vi ringrazio in anticipoper l'aiuto che mi darete

Ciao, segui la Guida in prima pagina, nell'ordine Fase Preliminare e Prima Fase

Salve a tutti,
Mi presento mi chiamo Danilo,scrivo perchè ho bisogno di aiuto e ho visto che ci sono persone competenti in questo forum.
Purtroppo ho preso una bella infezione nel MBR.
Ho fatto tutto quello che avete scritto nella pagina iniziale ora vi allego i log
di gmer,prvex e combofix.

Vi ringrazio in anticipo,sperando nel vostro aiuto.

Ciao

http://wikisend.com/download/455514/gmer.txt
http://wikisend.com/download/484350/prevx2.log
http://wikisend.com/download/456946/ComboFix.txt

Salve a tutti,
Mi presento mi chiamo Danilo,scrivo perchè ho bisogno di aiuto e ho visto che ci sono persone competenti in questo forum.
Purtroppo ho preso una bella infezione nel MBR.
Ho fatto tutto quello che avete scritto nella pagina iniziale ora vi allego i log
di gmer,prvex e combofix.

Vi ringrazio in anticipo,sperando nel vostro aiuto.

Ciao

http://wikisend.com/download/455514/gmer.txt
http://wikisend.com/download/484350/prevx2.log
http://wikisend.com/download/456946/ComboFix.txt

Ciao, Prevx ti ha proposto la rimozione del MBR Rootkit?

ciao

carica anche quello di prevx e cureit

Ecco quello di Prevx:

http://www.mediafire.com/download.php?zuztyydqjny

Nel log di cure.it ci sono nomi di files contenuti nella cartella "Documenti "di cui vorrei mantenere la privacy, si può filtrare la scansione?? Scusa l'ignoranza, comunque il programma non mi ha dato presenza di virus o altro.
grazie

Ecco quello di Prevx:

http://www.mediafire.com/download.php?zuztyydqjny

Nel log di cure.it ci sono nomi di files contenuti nella cartella "Documenti "di cui vorrei mantenere la privacy, si può filtrare la scansione?? Scusa l'ignoranza, comunque il programma non mi ha dato presenza di virus o altro.
grazie

controlla il link di prevx che non porta a nulla
cureit va già di suo filtrato, non basta?

controlla il link di prevx che non porta a nulla
cureit va già di suo filtrato, non basta?

ecco il link di prevx, scusa:
http://www.mediafire.com/download.php?y3jjzmmch2g

aprendo il log di cure.it mi compaiono i nomi di documenti di lavoro di cui voglio mantenere la privacy, non capisco perchè.

Ciao, Prevx ti ha proposto la rimozione del MBR Rootkit?

No,devo farlo manualmente?

No,devo farlo manualmente?

Produci i log della Seconda Fase

controlla il link di prevx che non porta a nulla
cureit va già di suo filtrato, non basta?

Scusa, ma non sono riuscito a filtrare cureit, sarò io che non ci riesco, c'è un metodo per farlo?

Ti mando per riepilogo e per facilitarti il lavoro tutti i report fatti dopo la disinfestazione,
MBR:
http://www.mediafire.com/download.php?31mazwdormm

GMER:
http://www.mediafire.com/download.php?uzuumyytrm2

Prevx:
http://www.mediafire.com/download.php?y3jjzmmch2g

Norman Sinowal Cleaner:
http://www.mediafire.com/download.php?gkyhgjmzlzm

Ciao, segui la Guida in prima pagina, nell'ordine Fase Preliminare e Prima Fase

ciao
non riesco a terminare la sansione con gmer perche' dopo un po(dopo un bel po) che sta scansionando mi da un'errore: si apre una finestra con un conto alla rovescia di un minuto e mi dice che in un minuto il computer s riavviera' ed in effetti alla scadenza del minuto si riavvia, mi e' capitato gia' 2 volte, dipende dal malware? cosa posso fare?

grazie

http://img4.imageshack.us/img4/6818/errorey.th.png (http://img4.imageshack.us/i/errorey.png/)

ciao
non riesco a terminare la sansione con gmer perche' dopo un po(dopo un bel po) che sta scansionando mi da un'errore: si apre una finestra con un conto alla rovescia di un minuto e mi dice che in un minuto il computer s riavviera' ed in effetti alla scadenza del minuto si riavvia, mi e' capitato gia' 2 volte, dipende dal malware? cosa posso fare?

grazie

http://img4.imageshack.us/img4/6818/errorey.th.png (http://img4.imageshack.us/i/errorey.png/)

Allega il solo log di Prevx

Produci i log della Seconda Fase

ecco i log della seconda fase

http://wikisend.com/download/473738/mbr.log
http://wikisend.com/download/223366/NFix_2009-11-11_21-45-26.log

attendo notizie,grazie

ecco i log della seconda fase

http://wikisend.com/download/473738/mbr.log
http://wikisend.com/download/223366/NFix_2009-11-11_21-45-26.log

attendo notizie,grazie

Il log di Stealth MBR rootkit/Mebroot/Sinowal detector è confortante

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

attendo il log di CureIt (scansione completa)

Il log di Stealth MBR rootkit/Mebroot/Sinowal detector è confortante



attendo il log di CureIt (scansione completa)

eccolo

http://wikisend.com/download/576794/cureit%20filtrato.txt

eccolo

http://wikisend.com/download/576794/cureit%20filtrato.txt

Dovremmo essere ok, attendo tuo riscontro :)

Dovremmo essere ok, attendo tuo riscontro :)

Continuo ad avere sempre problemi,ora mi esce anche un errore di applicazione svchost.exe e non si connette più ad internet,devo solo riavviare il pc per connettermi.

Continuo ad avere sempre problemi,ora mi esce anche un errore di applicazione svchost.exe e non si connette più ad internet,devo solo riavviare il pc per connettermi.

Controllo nel Registro eventi e riporta nel prossimo post l'errore per esteso.

Chi il disco? :D

Dire che siamo ok, manca il report di VT
non me lo ha fornito il report..che faccio? dove lo trovo?

ok grazie mille..ancora...
un ultima cosa mi ha rilevato con prevx un file spyw<ARE AD ALTO RISCHIO nel mio hd esterno; che devo fare? il problema è che il file in questione è il file click me che mi permette di entrare nel mio hd pacward bell; èensi che lo posso eliminare? ho rifatto la scansione con avira e non mi ha rilevato nulla; adesso rifaccio la scansione con previx 3.0 e ti posto il log; poi se vuoi rifaccio con cureit e ti invio anche quella; ciao

non me lo ha fornito il report..che faccio? dove lo trovo?

Devi controllare su VT il file che Prevx rileva come infetto.

Devi controllare su VT il file che Prevx rileva come infetto.
ok ecco fatto qui c è il file di scansione........
http://www.mediafire.com/?jtktmgmnmml
e di seguito ecco la pagina di virus total
http://www.virustotal.com/it/analisis/6d76e0cb0abf6327adb1d2ab07f46e49d3ad1b33f48d71e35cfa9fc5d69b21e1-1258008621
che mi condsigli di fare con questo file?io l ho spostato manualmente (copia-incolla)in quarantena.....lo elimino?

ok ecco fatto qui c è il file di scansione........
http://www.mediafire.com/?jtktmgmnmml
e di seguito ecco la pagina di virus total
http://www.virustotal.com/it/analisis/6d76e0cb0abf6327adb1d2ab07f46e49d3ad1b33f48d71e35cfa9fc5d69b21e1-1258008621
che mi condsigli di fare con questo file?io l ho spostato manualmente (copia-incolla)in quarantena.....lo elimino?

Il file in questione ovvero c:\documents and settings\nico\doctorweb\quarantine\clickme.exe è nella quarantena di DrWeb Cureit quindi sei a posto.

controlla il link di prevx che non porta a nulla
cureit va già di suo filtrato, non basta?

Scusa se insisto, ieri avevo postato nella pagina precedente tutti i report riguardante il mio problema tranne quello di cure it che non riesco a produrlo filtrato, (li trovi nella pagina precedente), mi puoi dare un aiutino per favore??

Grazie e ciao.

Allega il solo log di Prevx

ho fatto la scansone con prevx ma non posso fare il cleanup, perce' i threats che mi ha trovato hanno la L vicino: license required to cleanup

cmq questo e' i log


log prevx.log (http://wikisend.com/download/461148/log prevx.log)

Il file in questione ovvero c:\documents and settings\nico\doctorweb\quarantine\clickme.exe è nella quarantena di DrWeb Cureit quindi sei a posto.
ok che dirti grazie mille ancora:)

Controllo nel Registro eventi e riporta nel prossimo post l'errore per esteso.

Il mio problema è che il pc ad un certo punto si blocca e devo solo farlo ripartire.
Al riavvio però il monitor mi dice assenza di segnale ma il pc è in funzione,devo passare alla modalità provvisoria e farlo ripartire normale.
Ora ti allego il log di hijackthis magari può aiutarti ha trovare il problema.

grazie

http://wikisend.com/download/440108/hijackthis.log

Ok, produci il log di DrWeb CureIt (scansione completa)

http://wikisend.com/download/939418/cureit filtrato.txt

alcune note:
1) nel cureit.log originale (non filtrato) mi dice "Totale virus records: 772776" dopo aver scansito la cartella Temp
2) mi si è riavviato in automatico il pc durante la prima scansione con CureIt, quindi il log originale (dimmi se serve) ha una parte ripetuta due volte
3) Avevo letto online che questo tipo di virus creava una periferica visibile nel pannello di controllo con nome UAC+caratteri random, periferica che io non ho. In compenso, Prevx mi trova un driver chiamat tcpip.sys , con relative entry nel registro.
4) Non ho ancora ri-provato, ma Antivir in modalità provvisoria mi trovava un virus nell'MBR, cosa che invece nessun altro tool mi ha trovato. Il virus è ancora lì?
5) Già da ora le prestazioni sono migliorate tantissimo
6) Ho ancora la cartella Help Assistant tra i profili, ma non c'è nei profili di Windows (non c'è mai stato lì, a dire il vero)

1 Abilita la visualizzazione dei files nascosti



e controlla su http://virscan.org/ e http://www.virustotal.com/it/ il seguenti file:

ntcmd_int.dll che trovi in c:\windows\system32\

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione

2 Disinstalla i seguenti software:

boilsoft video splitter
error repair professional
fontviewer


Al termine allega nuovo log di Prevx

Allora.....ho disinstallato i programmi ;)

il file ntcmd_int.dll mi è stato trovato ed eliminato da A-squared, nella versione usb portable di emergenza.
Quindi non posso allegare l'analisi... :(

Ora Prevx non rileva altri file infetti...finalmente!!!

La cartella HelpAssistant, però,è ancora in Documents And Settings --> Users :muro:
Come posso eliminarla?

Chill-Out :ave::ave::ave::ave::ave: GRAZIE MILLE per l'appoggio!

Il mio problema è che il pc ad un certo punto si blocca e devo solo farlo ripartire.
Al riavvio però il monitor mi dice assenza di segnale ma il pc è in funzione,devo passare alla modalità provvisoria e farlo ripartire normale.
Ora ti allego il log di hijackthis magari può aiutarti ha trovare il problema.

grazie

http://wikisend.com/download/440108/hijackthis.log

Danilo non ti ho chiesto il log di HJT per il quale esiste un 3D dedicato.

http://wikisend.com/download/939418/cureit filtrato.txt

alcune note:
1) nel cureit.log originale (non filtrato) mi dice "Totale virus records: 772776" dopo aver scansito la cartella Temp
2) mi si è riavviato in automatico il pc durante la prima scansione con CureIt, quindi il log originale (dimmi se serve) ha una parte ripetuta due volte
3) Avevo letto online che questo tipo di virus creava una periferica visibile nel pannello di controllo con nome UAC+caratteri random, periferica che io non ho. In compenso, Prevx mi trova un driver chiamat tcpip.sys , con relative entry nel registro.
4) Non ho ancora ri-provato, ma Antivir in modalità provvisoria mi trovava un virus nell'MBR, cosa che invece nessun altro tool mi ha trovato. Il virus è ancora lì?
5) Già da ora le prestazioni sono migliorate tantissimo
6) Ho ancora la cartella Help Assistant tra i profili, ma non c'è nei profili di Windows (non c'è mai stato lì, a dire il vero)

Allega il log di una scansione completa fatta con Antivir

Allora.....ho disinstallato i programmi ;)

il file ntcmd_int.dll mi è stato trovato ed eliminato da A-squared, nella versione usb portable di emergenza.
Quindi non posso allegare l'analisi... :(

Ora Prevx non rileva altri file infetti...finalmente!!!

La cartella HelpAssistant, però,è ancora in Documents And Settings --> Users :muro:
Come posso eliminarla?

Chill-Out :ave::ave::ave::ave::ave: GRAZIE MILLE per l'appoggio!

Fai le seguenti verifiche:

1 Start - Pannello di controllo - Account utente -> controlla se presente un'Account denominato HelpAssistant

2 Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer - Utenti e gruppi locali -> controlla se presente un'Account denominato HelpAssistant

Allega il log di una scansione completa fatta con Antivir

in modalità provvisoria?
ed ignoro le segnalazioni di infeziobne dell'mbr?

Un saluto a tutti, sono un nuovo utente, appena registrata. Purtroppo, mi presento con un problema per me grandissimo, visto che non sono particolarmente esperta, anzi diciamo che sono a digiuno di informatica, solo qualche nozione di base per usufruire del computer.
Vengo al dunque. Venerdì scorso, mio marito ha acceso il computer ed è apparsa una schermata nera con la seguente dicitura:
""""Trend ChipAwayVirus has detected a boot virus on your hard disk!
Press (Enter) for more information (recomended)
(C) to continue booting
"Complete Virus Protection for the Enterprise"
Trend Micro - http://www.antivirus.com""""

Panico! non sapevo dove mettere le mani, poi ho continuato come suggerito per continuare il booting e ho cominciato una serie di operazioni; prima di tutto ho scansionato il computer con l'antivirus Avira; poi ho continuato con Malwarebytes; infine ho usato HiJackThis. Nessun riscontro, nessun virus, e la schermata si presenta ad ogni accensione.
Premetto che ho XP Professional regolare, con WGA, regolarmente aggiornato con Windows Update e, considerato che uso le normali precauzioni (non aprire allegati mail, non visitare siti sconosciuti ecc.) mi sentivo al sicuro, ma, purtroppo, il pc viene usato anche dai miei figli e da mio marito; vero è che da un mese ho notato uno strano comportamento di Avira, come difficoltà nell'autoaggiornamento, errore nel Registro Eventi, Crypt 32, tanto è che ho disinstallato l'antivirus pensando a un malfunzionamento: con molta preoccupazione mi sono resa conto che, togliendo Avira, non appariva lo scudetto rosso che avrebbe dovuto avvertirmi che il Pc poteva essere sottoposto a minacce. Sono andata a controllare il centro sicurezza Pc e ho notato che, secondo lui, il computer pur essendo sprovvisto dell' antivirus normale era protetto da un altro antivirus: ma quale:mbe: ?
In conclusione ho girato per google fino a quando mi sono imbattuta nel vostro forum, senza registrarmi però; ho scaricato Gmer e Prevxt e ho eseguito la scansione, però, non potendo loggare il report, a me è sembrato che non ci fosse nulla di sospetto, quindi non ho continuato. Ora mi chiedo se la scansione andasse fatta in modalità provvisoria, tenendo conto che la scansione veniva fatta su C\ e non sulla partizione nascosta del disco. Comunque ne capisco poco, ho preferito chiedere aiuto a qualcun altro che mi ha convinto che il disco si è infettato con il virus MBR.Rootkit. Vi chiede se devo eseguire alla lettera la guida, la procedura del primo post di questo thread, se devo eseguire i programmi Gmer e Prevxt in modalità provvisoria e se, una volta fatta la scansione, devo riavviare il pc. Un'altra cosa: come posso postare gli eventuali log, i report dei programmi?
Scusate, sono stata prolissa, ma vi chiedo la cortesia di rispondere come si farebbe a un bambino delle elementari:lamer: .

Grazie, ce l'ho fatta!! ho eliminato il Rootkit e, cosa eccezionale, a parte il Rootkit.mbr non ho trovato altre infezioni.
Volevo chiedervi solo un chiarimento su una stranezza: ho notato che, dopo tutta la pulizia, l'orologio sulla barra segna l'ora in inglese, cioè, adesso, 11:36, anche se io ho impostato 23:36. Da che dipende?

in modalità provvisoria?
ed ignoro le segnalazioni di infeziobne dell'mbr?

Da mod. normale, in che senso ignori le segnalazione del Sinowal?

Capisco che siete presi di impegni sia nel forum che per i fatti vostri, due giorni fa avevo chiesto gentilmente un parere, ma mi avete solo parzialmente risposto.
Se non potete farlo vi ringrazio lo stesso per il tempo dedicatomi.

Scusa, ma non sono riuscito a filtrare cureit, sarò io che non ci riesco, c'è un metodo per farlo?

Ti mando per riepilogo e per facilitarti il lavoro tutti i report fatti dopo la disinfestazione,
MBR:
http://www.mediafire.com/download.php?31mazwdormm

GMER:
http://www.mediafire.com/download.php?uzuumyytrm2

Prevx:
http://www.mediafire.com/download.php?y3jjzmmch2g

Norman Sinowal Cleaner:
http://www.mediafire.com/download.php?gkyhgjmzlzm
hai per caso problemi a collegarti con siti di antivirus e microsoft?
mbr sembra non ci sia ma si vede dell'altro

hai per caso problemi a collegarti con siti di antivirus e microsoft?
mbr sembra non ci sia ma si vede dell'altro

Con quali siti dovrei collegarmi??? E dove si vede che c'è qualcosa che non va?

Con quali siti dovrei collegarmi??? E dove si vede che c'è qualcosa che non va?

prova ad eseguire i test di questa guida (http://www.hwupgrade.it/forum/showthread.php?t=1984665)
nel log di gmer si vede la robaccia

prova ad eseguire i test di questa guida (http://www.hwupgrade.it/forum/showthread.php?t=1984665)
nel log di gmer si vede la robaccia

Ora sono al lavoro, quando torno a casa seguirò il tuo consiglio e ti farò sapere.
Ti faccio due domande:

1)Mi potresti fare capire (sono ignorantissimo in materia) dov'è la robaccia nel log di GMER?

2) GMER mi indica in rosso il rootkit:
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] qeikyqm

e mi da la possibiltà di cancellarlo. Sono un ignorante in materia ma capisco che è un file di sistema e quindi potrebbere sorgere problemi a cancellarlo, che ne pensi??

Grazie per il tuo gentilissimo aiuto.

Con quali siti dovrei collegarmi??? E dove si vede che c'è qualcosa che non va?

prova ad eseguire i test di questa guida (http://www.hwupgrade.it/forum/showthread.php?t=1984665)
nel log di gmer si vede la robaccia

Segui la Guida indicata da wjmat, attendiamo il log per il controllo nel 3D indicato.

Segui la Guida indicata da wjmat, attendiamo il log per il controllo nel 3D indicato.

ok, grazie!!

Ora sono al lavoro, quando torno a casa seguirò il tuo consiglio e ti farò sapere.
Ti faccio due domande:

2) GMER mi indica in rosso il rootkit:
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] qeikyqm

e mi da la possibiltà di cancellarlo. Sono un ignorante in materia ma capisco che è un file di sistema e quindi potrebbere sorgere problemi a cancellarlo, che ne pensi??

Grazie per il tuo gentilissimo aiuto.

ok, grazie!!

No, per il momento non eliminare nulla.

Allora
ricomincio da capo, speriamo che qualcuno riesca ad aiutarmi, altrimenti credo proprio che dovro' formattare. Dunque, credo proprio di essere infetto da questo maledetto malware, il sistema e' lentissimo, ho un giga di memoria allocata senza motivo, mozilla e IE ciucciano memoria a tonnellate, msn(anzi windows live platform crasha di continuo) e ho la cartella help assistant, mi sembrano tutti sitomi indicativi. HO usato un po tutti i programmi della guida pero' alla rinfusa perche' ho incontrato un po di problemi:

1) Non riesco a terminare la scansione con Gmer perche' mi da degli errori, le prime 2 volte si e' aperta una finestra con un conto alla rovescia di 1 minuto al termine del quale il pc si e' riavviato, la terza volta schermata blu, percio' non ho il log di Gmer

2) Sono passato a Prevx, ho fatto la scansione e mi ha trovato dei threats tutti relativi ad un programma che ho disinstallato, ora la scansione non rileva nulla, questo e' il log: log prevx.log (http://wikisend.com/download/908686/log prevx.log)

Per ora mi fermo qui in attesa di un consiglio

grazie

Fai le seguenti verifiche:

1 Start - Pannello di controllo - Account utente -> controlla se presente un'Account denominato HelpAssistant

2 Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer - Utenti e gruppi locali -> controlla se presente un'Account denominato HelpAssistant

vediamo:
1) no, non c'è un utente chiamato HelpAssistant. Ci sono solo il mio utente e "Guest", che però è disabilitato
2) non ho una voce chiamata Utenti e gruppi locali in quella finestra.... :(
allego schermata
2009-11-14_000108.png (http://wikisend.com/download/437868/2009-11-14_000108.png)

Da mod. normale, in che senso ignori le segnalazione del Sinowal?

nel senso che l'unica opzione possibile che mi dà l'antivirus è quella di eliminare il file, ma trattandosi dell'MBR credo non debba cancellarlo...

--------------------------------------------------------------------------------

Salve a tutti!
Dunque ho un problema con un personal computer di un mio cliente.
Nel suo computer è presente un virus mbr.
Facendo una scansione con prev csi me lo rileva, lo toglie (dice che deve simulare un bsod per farlo) si riavvia e il virus è sempre presente.
Facendo una scansione con mbr.exe lo rileva, faccio allora mbr.exe -f come da vostra guida ma il virus non sembra togliersi.
Provo a ripristinare il master boot record con fix mbr su console di ripristinio ma idem, il virus rimane.
Allego il log di mbr

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0DF937C1
malicious code @ sector 0x0DF937C4 !
PE file found in sector at 0x0DF937DA !

Come lo tolgo?

Nemmno con mbr.exe -f si toglie

--------------------------------------------------------------------------------

Salve a tutti!
Dunque ho un problema con un personal computer di un mio cliente.
Nel suo computer è presente un virus mbr.
Facendo una scansione con prev csi me lo rileva, lo toglie (dice che deve simulare un bsod per farlo) si riavvia e il virus è sempre presente.
Facendo una scansione con mbr.exe lo rileva, faccio allora mbr.exe -f come da vostra guida ma il virus non sembra togliersi.
Provo a ripristinare il master boot record con fix mbr su console di ripristinio ma idem, il virus rimane.
Allego il log di mbr

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0DF937C1
malicious code @ sector 0x0DF937C4 !
PE file found in sector at 0x0DF937DA !

Come lo tolgo?

Nemmno con mbr.exe -f si toglie
riciao

carica anche gli altri log su un server remoto

riciao

carica anche gli altri log su un server remoto

ecco il log di prevx csi

lui dice che lo ha tolto ma mbr.exe me lo individua sempre

Heuristics Settings: Age: 1, Pop: 1, Heu: 2 (Dir: 1)
Last Scan: Fri 2009-11-13 10:10:47 ora solare Europa occidentale. Number of Scans: 1. Last Scan Duration: 5 minutes 25 seconds.

Previously Detected Files:
[B<00200000>] c:\$mbr.0 [PX5: 2B882DE300DC9207019100C03094A6001C87981C] Malware Group: Rootkit.MBR


Prevx v3.0.5.10 Cleanup Log for 13/11/2009 10:11

Cleanup Complete
=====================================

Heuristics Settings: Age: 1, Pop: 1, Heu: 2 (Dir: 1)
Last Scan: Fri 2009-11-13 10:25:18 ora solare Europa occidentale. Number of Scans: 2. Last Scan Duration: 9 minutes 47 seconds.

Previously Detected Files:
[B<00200000>] c:\$mbr.0 [PX5: 2B882DE300DC9207019100C03094A6001C87981C] Malware Group: Rootkit.MBR


Prevx v3.0.5.10 Cleanup Log for 13/11/2009 10:26

Cleanup Complete
=====================================

Gmer non lo vede! mi dice che è tutto a posto!
forse mbr.exe si sbaglia?
Ho avira come antivirus

ecco il log di prevx csi

lui dice che lo ha tolto ma mbr.exe me lo individua sempre

Heuristics Settings: Age: 1, Pop: 1, Heu: 2 (Dir: 1)
Last Scan: Fri 2009-11-13 10:10:47 ora solare Europa occidentale. Number of Scans: 1. Last Scan Duration: 5 minutes 25 seconds.

Previously Detected Files:
[B<00200000>] c:\$mbr.0 [PX5: 2B882DE300DC9207019100C03094A6001C87981C] Malware Group: Rootkit.MBR


Prevx v3.0.5.10 Cleanup Log for 13/11/2009 10:11

Cleanup Complete
=====================================

Heuristics Settings: Age: 1, Pop: 1, Heu: 2 (Dir: 1)
Last Scan: Fri 2009-11-13 10:25:18 ora solare Europa occidentale. Number of Scans: 2. Last Scan Duration: 9 minutes 47 seconds.

Previously Detected Files:
[B<00200000>] c:\$mbr.0 [PX5: 2B882DE300DC9207019100C03094A6001C87981C] Malware Group: Rootkit.MBR


Prevx v3.0.5.10 Cleanup Log for 13/11/2009 10:26

Cleanup Complete
=====================================
caricalo completo, grazie

cosa devo fare per caricarlo completo?

cosa devo fare per caricarlo completo?

caricali su uno dei server remoti previsti nelle regole di sezione
www.wikisend.com o www.fileqube.com per esempio

si ma dove lo trovo il log completo?
che procedure devo fare?
aspetta sono in provvisoria...

Ecco il log di gmer

gmer.log (http://wikisend.com/download/137046/gmer.log)

tra poco il log di sinowal mbr remove tool (che per ora non ha trovato nulla!)

si ma dove lo trovo il log completo?
che procedure devo fare?
aspetta sono in provvisoria...

è scritto tutto in guida

log di sinowal

NFix_2009-11-13_10-32-30.log (http://wikisend.com/download/519990/NFix_2009-11-13_10-32-30.log)

Per ora l'unico che rileva qualcosa è mbr.exe

che sia un falso positivo?

il pc va bene!

log di prevx

prevx.log (http://wikisend.com/download/208826/prevx.log)


mbr.exe vede minaccie, gli altri no...

il pc va benissimo

log di sinowal

NFix_2009-11-13_10-32-30.log (http://wikisend.com/download/519990/NFix_2009-11-13_10-32-30.log)

Per ora l'unico che rileva qualcosa è mbr.exe

che sia un falso positivo?

il pc va bene!

tutti i log, grazie

alcuni ti segnaleranno infetto anche se non lo sei più

I log ci sono tutti!
scorri in alto!
grazie cmq dell'aiuto

Ciao a tutti.
Probabilmente avrò un problema già trattato diffusamente, però purtroppo ho il pc davvero instabile e non ho il tempo di leggere tutte le discussioni, in caso spero potrete indirizzarmi nel topic giusto.
Premetto che ho Windows XP Home Edition, ho scansionato con AVG che ha trovato "solo" alcuni cookies infetti.

Temo di avere un'infezione del rootkit, da qualche giorno al caricamento di Windows mi si apre continuamente la schermata blu di errore nel sistema, con denominazione "BAD_POOL_HEADER" o "PAGE_FAULT_IN NONPAGED_AREA".
Inoltre negli scorsi giorni, la connessione a Explorer andava in crash, spesso con un messaggio che mi avvisava di un qualche Script che doveva essere disattivato perchè causava rallentamenti.
Inoltre mi si aprono messaggi di errore del tipo:
-NTVDM errore sistema (in particolare quando tento di collegare al pc l'hard disk esterno, al quale non riesco ad accedere)
-avgnsx.exe
-Windows Live Communications Platform (che mi blocca MSN)

Ho provato a seguire il procedimento della guida di questo topic, ma appena lancio GMER (anche rinominato), al primo tentativo, è andato tutto in crash e mi è riapparsa la solita schermata blu (PAGE_FAULT_IN NONPAGED_AREA), con altri tentativi mi si blocca subito la scansione con il messaggio "si è verificato un errore in gmer.exe, l'applicazione verrà chiusa". Può essere colpa del rootkit?

Spero possiate aiutarmi, grazie!

ciao per poterti aiutare abbiamo bisogno che tu segua punto per punto la guida a questo indirizzo

http://www.hwupgrade.it/forum/showthread.php?t=1599737


alla fine di tutto questo inserisci i log nei modi e sui server richiesti e ti verrà data la cura per il tuo pc... qui ci son tanti buoni dottori ... :)

Allora
ricomincio da capo, speriamo che qualcuno riesca ad aiutarmi, altrimenti credo proprio che dovro' formattare. Dunque, credo proprio di essere infetto da questo maledetto malware, il sistema e' lentissimo, ho un giga di memoria allocata senza motivo, mozilla e IE ciucciano memoria a tonnellate, msn(anzi windows live platform crasha di continuo) e ho la cartella help assistant, mi sembrano tutti sitomi indicativi. HO usato un po tutti i programmi della guida pero' alla rinfusa perche' ho incontrato un po di problemi:

1) Non riesco a terminare la scansione con Gmer perche' mi da degli errori, le prime 2 volte si e' aperta una finestra con un conto alla rovescia di 1 minuto al termine del quale il pc si e' riavviato, la terza volta schermata blu, percio' non ho il log di Gmer

2) Sono passato a Prevx, ho fatto la scansione e mi ha trovato dei threats tutti relativi ad un programma che ho disinstallato, ora la scansione non rileva nulla, questo e' il log: log prevx.log (http://wikisend.com/download/908686/log prevx.log)

Per ora mi fermo qui in attesa di un consiglio

grazie


ma devo fare qualcosa di particolare per riuscire a farmi dare un piccolo aiuto?

ciao per poterti aiutare abbiamo bisogno che tu segua punto per punto la guida a questo indirizzo

http://www.hwupgrade.it/forum/showthread.php?t=1599737


alla fine di tutto questo inserisci i log nei modi e sui server richiesti e ti verrà data la cura per il tuo pc... qui ci son tanti buoni dottori ... :)

Eccomi. Ho fatto un po' di confusione, seguendo i passi della disinfezione, perchè come dicevo prima, GMER si rifiuta di fare la scansione, A-Squared Free non sono riuscita a scaricarlo (impossibile scaricare uno degli exe di cui è costituito). Quindi purtroppo ciò che ho fatto non è completo, ma quello che è certo è che ho il rootkit, perchè Dr.Web l'ha trovato. Andando perciò con ordine:

-Malawarebytes: 0 file infetti, cmq log: malawarebytes-mbam-log-2009-11-14 (15-27-27).txt (http://wikisend.com/download/208608/malawarebytes-mbam-log-2009-11-14 (15-27-27).txt)
-A-Squared Free: non me lo fa scaricare
-F-Secure Online Scanner: Online Scanner - Scanning Report - Saturday, November 14, 2009 181329.mht (http://wikisend.com/download/506994/Online Scanner - Scanning Report - Saturday, November 14, 2009 181329.mht)
-Dr Web CureIT: cureit filtrato.txt (http://wikisend.com/download/953738/cureit filtrato.txt)
-Eset Sysinspector: SysInspector-WORKING-2084B72-091114-1907.xml (http://wikisend.com/download/571682/SysInspector-WORKING-2084B72-091114-1907.xml)
-Hjackthis: hijackthis.log (http://wikisend.com/download/500368/hijackthis.log)
-Gmer impossibile fare scan
-Prevx: stamp risultato prevx stamp.doc (http://wikisend.com/download/891756/prevx stamp.doc)
Log (non posso fare clean up perchè è tutto a pagamento) log prevx.log (http://wikisend.com/download/206516/log prevx.log)


Spero sia sufficiente, grazie ai dottori che potranno aiutarmi!

ma devo fare qualcosa di particolare per riuscire a farmi dare un piccolo aiuto?

Ciao, allega i log inerenti la Seconda Fase

Eccomi. Ho fatto un po' di confusione, seguendo i passi della disinfezione, perchè come dicevo prima, GMER si rifiuta di fare la scansione, A-Squared Free non sono riuscita a scaricarlo (impossibile scaricare uno degli exe di cui è costituito). Quindi purtroppo ciò che ho fatto non è completo, ma quello che è certo è che ho il rootkit, perchè Dr.Web l'ha trovato. Andando perciò con ordine:

-Malawarebytes: 0 file infetti, cmq log: malawarebytes-mbam-log-2009-11-14 (15-27-27).txt (http://wikisend.com/download/208608/malawarebytes-mbam-log-2009-11-14 (15-27-27).txt)
-A-Squared Free: non me lo fa scaricare
-F-Secure Online Scanner: Online Scanner - Scanning Report - Saturday, November 14, 2009 181329.mht (http://wikisend.com/download/506994/Online Scanner - Scanning Report - Saturday, November 14, 2009 181329.mht)
-Dr Web CureIT: cureit filtrato.txt (http://wikisend.com/download/953738/cureit filtrato.txt)
-Eset Sysinspector: SysInspector-WORKING-2084B72-091114-1907.xml (http://wikisend.com/download/571682/SysInspector-WORKING-2084B72-091114-1907.xml)
-Hjackthis: hijackthis.log (http://wikisend.com/download/500368/hijackthis.log)
-Gmer impossibile fare scan
-Prevx: stamp risultato prevx stamp.doc (http://wikisend.com/download/891756/prevx stamp.doc)
Log (non posso fare clean up perchè è tutto a pagamento) log prevx.log (http://wikisend.com/download/206516/log prevx.log)


Spero sia sufficiente, grazie ai dottori che potranno aiutarmi!

Ciao, la Guida da seguire è quella in prima pagina http://www.hwupgrade.it/forum/showthread.php?t=1715546 attendiamo il log per il controllo (Gmer escluso)

I log ci sono tutti!
scorri in alto!
grazie cmq dell'aiuto

procedi con la scansione di cureit

Ciao, allega i log inerenti la Seconda Fase

ti ringrazio per l'interessamento
allora questo e' il log di mbr:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

mentre questo e' l'altro NFix_2009-11-14_16-10-03.log (http://wikisend.com/download/614838/NFix_2009-11-14_16-10-03.log)

ti ringrazio per l'interessamento
allora questo e' il log di mbr:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

mentre questo e' l'altro NFix_2009-11-14_16-10-03.log (http://wikisend.com/download/614838/NFix_2009-11-14_16-10-03.log)

Ok, il log di Stealth MBR rootkit/Mebroot/Sinowal detector è confortante, adesso produci il log di DrWeb CureIt (scansione completa)

Ok, il log di Stealth MBR rootkit/Mebroot/Sinowal detector è confortante, adesso produci il log di DrWeb CureIt (scansione completa)

qui arriva il problema perche' appena avvio la scansione il computer si riavvia...

cosa mi consigli di fare?

qui arriva il problema perche' appena avvio la scansione il computer si riavvia...

cosa mi consigli di fare?

Hai provato prima o dopo aver eseguito la Seconda Fase?

Hai provato prima o dopo aver eseguito la Seconda Fase?

guarda ho fatto un po un miscuglio: sia prima che dopo credo, si riavvia sempre..
mi consigli di riprovare? in modalita' provvisoria cambia qualcosa?

guarda ho fatto un po un miscuglio: sia prima che dopo credo, si riavvia sempre..
mi consigli di riprovare? in modalita' provvisoria cambia qualcosa?

Prova prima in modalità normale.

Prova prima in modalità normale.
ok ora provo ma credo he l'esito sara' il solito....

asp 1 minuto

ok ora provo ma credo he l'esito sara' il solito....

asp 1 minuto

niente da fare: quando clicco su ok(per avviare la scansione) si riavvia il PC

niente da fare: quando clicco su ok(per avviare la scansione) si riavvia il PC

Prima di provare in provvisoria, produci i log di una scansione completa con il tuo AV residente.

Prima di provare in provvisoria, produci i log di una scansione completa con il tuo AV residente.

ok
pero' ci vorra' un po
cmq l'antivirus non rileva nulla

ok
pero' ci vorra' un po
cmq l'antivirus non rileva nulla

guarda avevo fatto una scansione oggi pomeriggio, ecco il log

AVSCAN-20091114-124052-7F999375.LOG (http://wikisend.com/download/449406/AVSCAN-20091114-124052-7F999375.LOG)

Salve a tutti.
Putroppo avevo preso anche io un virus mbr, che nod32 non era riuscito a togliere. Ho formattato tutto + volte, fatto fix mbr. ora sia cureit, sia prevx, sia nod32, sia live onecare, non trovano nulla, anche gmer pare non trovare nulla, ma a volte trovare un file in temp che non esiste....
Il problema è che anche se con tool per verificare la partizione risulta tutto a posto (active partition table) il tool mbr.exe continua a darmi questo errore.

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01D1C06C0
malicious code @ sector 0x01D1C06C3 !
PE file found in sector at 0x01D1C06D9 !

ho effettuato + volte il tool con -f in modalità provvisoria etc ma nulla da fare. continua a trovare quello. a questo punto anche se tutti gli av non hanno trovato nulla c'è o no un virus?
grazie

Ho lo stesso identico problema.
Su un pc con HD diviso in due partizioni, una con i file per il ripristino del sistema operativo 4 GB circa e l'altra con xp programmi ecc ecc.
Dopo vari tentatitivi fatti con mbr e con drweb, all'ultimo riavvio e salto tutto, da risorse del computer vedo solo la partizione da 4 gb, da strumenti di amministrazione vedo le due partizioni attive ma non posso accedere ne all'una ne all'altra.

guarda avevo fatto una scansione oggi pomeriggio, ecco il log

AVSCAN-20091114-124052-7F999375.LOG (http://wikisend.com/download/449406/AVSCAN-20091114-124052-7F999375.LOG)

Configura Antivir come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 e ripeti scansione completa, comunque direi che siamo a posto e tralasciare CureIt.

Salve a tutti.
Putroppo avevo preso anche io un virus mbr, che nod32 non era riuscito a togliere. Ho formattato tutto + volte, fatto fix mbr. ora sia cureit, sia prevx, sia nod32, sia live onecare, non trovano nulla, anche gmer pare non trovare nulla, ma a volte trovare un file in temp che non esiste....
Il problema è che anche se con tool per verificare la partizione risulta tutto a posto (active partition table) il tool mbr.exe continua a darmi questo errore.

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01D1C06C0
malicious code @ sector 0x01D1C06C3 !
PE file found in sector at 0x01D1C06D9 !

ho effettuato + volte il tool con -f in modalità provvisoria etc ma nulla da fare. continua a trovare quello. a questo punto anche se tutti gli av non hanno trovato nulla c'è o no un virus?
grazie

Come indicato in Guida allega i log della Prima Fase

Da mod. normale, in che senso ignori le segnalazione del Sinowal?
nel senso che l'unica opzione possibile che mi dà l'antivirus è quella di eliminare il file, ma trattandosi dell'MBR credo non debba cancellarlo...

vi siete dimenticati di me :(

Ho lo stesso identico problema.
Su un pc con HD diviso in due partizioni, una con i file per il ripristino del sistema operativo 4 GB circa e l'altra con xp programmi ecc ecc.
Dopo vari tentatitivi fatti con mbr e con drweb, all'ultimo riavvio e salto tutto, da risorse del computer vedo solo la partizione da 4 gb, da strumenti di amministrazione vedo le due partizioni attive ma non posso accedere ne all'una ne all'altra.

Neanche col tasto dx del mouse?

vi siete dimenticati di me :(

Imposta Antivir come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 fai scansione completa in mod.normale ed allega il log.

Configura Antivir come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 e ripeti scansione completa, comunque direi che siamo a posto e tralasciare CureIt.

ok ma il computer a me non pare a posto:cry: :cry: :cry:

ok ma il computer a me non pare a posto:cry: :cry: :cry:

Il problema legato al MBR Rootkit pare risolto.

Il problema legato al MBR Rootkit pare risolto.

e allora cosa cavolo ho?:D

e la presenza della cartella help assistant?

vediamo:
1) no, non c'è un utente chiamato HelpAssistant. Ci sono solo il mio utente e "Guest", che però è disabilitato
2) non ho una voce chiamata Utenti e gruppi locali in quella finestra.... :(
allego schermata
2009-11-14_000108.png (http://wikisend.com/download/437868/2009-11-14_000108.png)

:rolleyes: riporto avanti la mia risposta, che si è persa in mezzo a tutti gli altri messaggi

Ciao, la Guida da seguire è quella in prima pagina http://www.hwupgrade.it/forum/showthread.php?t=1715546 attendiamo il log per il controllo (Gmer escluso)

Mi era stato detto di seguire quest'altra guida, io ho eseguito :D :
ciao per poterti aiutare abbiamo bisogno che tu segua punto per punto la guida a questo indirizzo

http://www.hwupgrade.it/forum/showthread.php?t=1599737

alla fine di tutto questo inserisci i log nei modi e sui server richiesti e ti verrà data la cura per il tuo pc... qui ci son tanti buoni dottori ... :)

Allora, ho seguito la prima fase della guida di questo topic:

-Prevx (solo log pre-infezione, perche non è possibile rimuovere nulla gratuitamente): Log prevx 1fase.log (http://wikisend.com/download/513938/Log prevx 1fase.log)

Grazie!

e allora cosa cavolo ho?:D

e la presenza della cartella help assistant?

Quali sono i problemi?

:rolleyes: riporto avanti la mia risposta, che si è persa in mezzo a tutti gli altri messaggi

Eliminala

Mi era stato detto di seguire quest'altra guida, io ho eseguito :D :


Allora, ho seguito la prima fase della guida di questo topic:

-Prevx (solo log pre-infezione, perche non è possibile rimuovere nulla gratuitamente): Log prevx 1fase.log (http://wikisend.com/download/513938/Log prevx 1fase.log)

Grazie!

Produci i log della Seconda Fase

quali sono i prodromi di questo malware?

Come indicato in Guida allega i log della Prima Fase


Come richiesto allego log prevx e gmer.
PrevxLog.txt (http://wikisend.com/download/911174/PrevxLog.txt)

Come richiesto allego log prevx e gmer.
PrevxLog.txt (http://wikisend.com/download/911174/PrevxLog.txt)

Ciao, fai pulizia con ATF Cleaner (http://www.atribune.org/index.php?option=com_content&task=view&id=25&Itemid=25)

chiudi tutte le finestre del browser:
nella finestra che si è aperta contrassegnare "Select All" e premere "Empty Selected", poi clickare sul menù "Firefox" e contrassegnare "Select All" e premere "Empty Selected", procedere quindi nello stesso modo anche nel menù "Opera" e infine premere "Empty Selected";

successivamente produci i log della Seconda Fase

ecco i log 2 fase. Anche se dovrebbero essere uguali visto che avevo provveduto a fare tutto con mbr/prevx eetc e poi ho formattato per il prb di mbr.exe

Prevx 2 fase
Prevx2fase.log (http://wikisend.com/download/456260/Prevx2fase.log)

gmer 2 fase
Gmer2fase.log (http://wikisend.com/download/893752/Gmer2fase.log)

Mbr Log
mbr.txt (http://wikisend.com/download/457026/mbr.txt)

Sinowal LOG
NFix_2009-11-16_11-13-35.log (http://wikisend.com/download/220786/NFix_2009-11-16_11-13-35.log)

Seconda fase:

MBR: mbr.log (http://wikisend.com/download/453918/mbr.log)

Norman SinowalMBR Cleaner: NFix_2009-11-16_09-16-25.log (http://wikisend.com/download/907476/NFix_2009-11-16_09-16-25.log)

ecco i log 2 fase. Anche se dovrebbero essere uguali visto che avevo provveduto a fare tutto con mbr/prevx eetc e poi ho formattato per il prb di mbr.exe

La seconda fase prevede la pubblicazione dei seguenti log:

- Stealth MBR rootkit/Mebroot/Sinowal detector

- Norman SinowalMBR Cleaner

Che cosa significa questo passaggio?

c e poi ho formattato per il prb di mbr.exe

Seconda fase:

MBR: mbr.log (http://wikisend.com/download/453918/mbr.log)

Norman SinowalMBR Cleaner: NFix_2009-11-16_09-16-25.log (http://wikisend.com/download/907476/NFix_2009-11-16_09-16-25.log)

Ok, adesso produci nuovo log di CureIt (scansione completa) in quanto nel precedente si evince:

Master Boot Record HDD2 infettato da BackDoor.MaosBoot

La seconda fase prevede la pubblicazione dei seguenti log:

- Stealth MBR rootkit/Mebroot/Sinowal detector

- Norman SinowalMBR Cleaner

Che cosa significa questo passaggio?
ho aggiunto i log richiesti.
quel passaggio significa che dopo aver riscontrato il prob ho già avviato la procedura da voi descritta.
Dopo di che ho formattato il pc.
Il prb sebbene gmer cureit etc non trovino nulla è di mbr stealth che trova quel messaggio e non "ok .." .
ora come richiesto sto rifacendo tutti i log. Tuttavia anche se da mod provvisoria faccio mbr -f rimane quel messaggio, sebbene come ripetuto altri antivirus non trovino nulla anche nod32 aggiornato non trova nulla.
ora mbr.exe con quel messaggio cosa vuol dire??

ho aggiunto i log richiesti.
quel passaggio significa che dopo aver riscontrato il prob ho già avviato la procedura da voi descritta.
Dopo di che ho formattato il pc.
Il prb sebbene gmer cureit etc non trovino nulla è di mbr stealth che trova quel messaggio e non "ok .." .
ora come richiesto sto rifacendo tutti i log. Tuttavia anche se da mod provvisoria faccio mbr -f rimane quel messaggio, sebbene come ripetuto altri antivirus non trovino nulla anche nod32 aggiornato non trova nulla.
ora mbr.exe con quel messaggio cosa vuol dire??

Indipendente da ciò non vuol dire che sei infetto, il log può rimanere "sporco"

Indipendente da ciò non vuol dire che sei infetto, il log può rimanere "sporco"

ma quindi sono a posto o no?

ma quindi sono a posto o no?

Procedi con la scansione di controllo, ovvero DrWeb CureIt.

Cuerit non trova niente.
non capisco come salvare log di cureit.
ma quindi mbr se rimane sporco anche dopo format, e parlo di format completo con installazione xp e non di format veloce, non bisognerebbe dirlo??
Sono 3 giorni che formatto per quel problema di mbr..........

Cuerit non trova niente.
non capisco come salvare log di cureit.
ma quindi mbr se rimane sporco anche dopo format, e parlo di format completo con installazione xp e non di format veloce, non bisognerebbe dirlo??
Sono 3 giorni che formatto per quel problema di mbr..........

E' scritto in Guida dove trovare il log, come deto in precedenza il log di Stealth MBR rootkit/Mebroot/Sinowal detector può rimanere "sporco".

In questo specifico caso formattare serve solo se lo si fa a basso livello.

Ciao a tutti,

è la prima volta che scrivo in questo forum, ho visto che ci sono delle ottime guide alla rimozione malware e spero possiate togliermi un dubbio che ho da un paio di giorni.
Dunque, dopo circa una settimana e grazie all'aiuto di alcune persone sono riuscito a risolvere il problema con la famosa cartella HelpAssistant, ora che ho disabilitato l'account fasullo e l'ho tolto dal gruppo degli amministratori il pc è tornato pimpante come prima, però io vorrei rimuovere fisicamente la cartella, ma quando vado a fare questa operazione tramite la funzione "cestino" mi arriva l'avviso che la cartella in questione contiene alcuni file importanti per il corretto funzionamento del pc, ad esempio come ntuser.ini ( mai sentito ).
Ora io credo che questi file siano tutti duplicati e che rimuovendoli non accada nulla, ma se potessi avere un'opinione da gente più esperta o che ha già svolto questa operazione di eliminazione mi sentirei più tranquillo nel rimuovere Helpassistant.
Qualcuno mi può aiutare?

Grazie

Ecco il log di Dr.Web CureIT scansione completa, Terza Fase:
cureit filtrato.txt (http://wikisend.com/download/589260/cureit filtrato.txt)

Cosa devo fare con i file che CureIT ha trovato? Devo curarli?
Grazie!

Ecco il cureit log

Ecco il log di Dr.Web CureIT scansione completa, Terza Fase:
cureit filtrato.txt (http://wikisend.com/download/589260/cureit filtrato.txt)

Cosa devo fare con i file che CureIT ha trovato? Devo curarli?
Grazie!

Spostarli, esattamente come scritto in Guida.

Ecco il cureit log

Dovremmo essere ok.

Spostarli, esattamente come scritto in Guida.

Ok, fatto.
Come sono messa? Dovrebbe essere risolta?
Per adesso non si è verificato più nessun strano comportamento, solo una strana lentezza di MSN e blocco delle pagine della posta hotmail, però magari è indipendente, il messaggio di errore della Windows Live Communciations Platform non appare più.

Ringrazio intanto per l'aiuto!

Ok, fatto.
Come sono messa? Dovrebbe essere risolta?
Per adesso non si è verificato più nessun strano comportamento, solo una strana lentezza di MSN e blocco delle pagine della posta hotmail, però magari è indipendente, il messaggio di errore della Windows Live Communciations Platform non appare più.

Ringrazio intanto per l'aiuto!

Si, dovremmo essere ok.

Help
Ho scoperto di avere anche io questo benedetto "mostro" del mbr.
Ho seguito le varie istruzioni tentando di eliminare prima il virus da windows in modalità normale con Cureit e poi con mbr.exe in modalità provvisoria.Dopo avere avuti diversi riavvii durante la scansione con cureit, l'ultimo mi ha portato a non poter più utilizzare il pc.
Riavviando normalmente mi appare la finestra di windows e subito dopo un messaggio "autochk program not found - skipping autoceck" dopo alcuni secondi appare una schermata blu e si riavvia il pc.
Ho pensato di riformattare utilizzando il recovery system ma non è possibile utilizzarlo.
Ho provato allora ad inserire il disco di xp ed ho notato che la partizione dove è installato il sistema operativo c'è sempre, allora ho collegato l'hard disk ad un'altro pc.
Da risorse del computer si vede solo la partizione del recovery system, inve ce da strumenti di amministrazione vedo anche la partizione principale e mi segnala che è attiva.
:mc: :mc: :mc:

Si, dovremmo essere ok.

Però adesso il pc è lentissimo, prima non era mai successo. Ci mette secoli a caricare le pagine Web. Da cosa potrebbe dipendere?

Ok, fatto.
Come sono messa? Dovrebbe essere risolta?
Per adesso non si è verificato più nessun strano comportamento, solo una strana lentezza di MSN e blocco delle pagine della posta hotmail, però magari è indipendente, il messaggio di errore della Windows Live Communciations Platform non appare più.

Ringrazio intanto per l'aiuto!

Però adesso il pc è lentissimo, prima non era mai successo. Ci mette secoli a caricare le pagine Web. Da cosa potrebbe dipendere?

Il problema riguarda solo MSN?

Help
Ho scoperto di avere anche io questo benedetto "mostro" del mbr.
Ho seguito le varie istruzioni tentando di eliminare prima il virus da windows in modalità normale con Cureit e poi con mbr.exe in modalità provvisoria.Dopo avere avuti diversi riavvii durante la scansione con cureit, l'ultimo mi ha portato a non poter più utilizzare il pc.
Riavviando normalmente mi appare la finestra di windows e subito dopo un messaggio "autochk program not found - skipping autoceck" dopo alcuni secondi appare una schermata blu e si riavvia il pc.
Ho pensato di riformattare utilizzando il recovery system ma non è possibile utilizzarlo.
Ho provato allora ad inserire il disco di xp ed ho notato che la partizione dove è installato il sistema operativo c'è sempre, allora ho collegato l'hard disk ad un'altro pc.
Da risorse del computer si vede solo la partizione del recovery system, inve ce da strumenti di amministrazione vedo anche la partizione principale e mi segnala che è attiva.
:mc: :mc: :mc:

Ciao, a questo punto credo sia più opportuno chiedere in sezione Microsoft Windows ad esempio: http://www.hwupgrade.it/forum/showthread.php?t=391191

Il problema riguarda solo MSN?

No, adesso riguarda anche il 70% delle pagine Web che apro. Ci mette molto tempo a caricarle, alcune non le apre proprio. Caso peggiore di tutti, Yahoo Mail, 5 minuti per aprire l'account di posta.

No, adesso riguarda anche il 70% delle pagine Web che apro. Ci mette molto tempo a caricarle, alcune non le apre proprio. Caso peggiore di tutti, Yahoo Mail, 5 minuti per aprire l'account di posta.

Il problema inerente il MBR sembra risolto, stabilire il perchè di questi rallentamenti con gli elementi a disposizione è difficile.

Dovremmo essere ok.

grazie dell'aiuto,ma quindi con mbr- il log può rimanere sporco.
Parlavi di una formattazione a basso livello, una volta esisteva powermax che era comodo per fare ciò ora cosa si potrebbe usare?
grazie ancora.
ciao

grazie dell'aiuto,ma quindi con mbr- il log può rimanere sporco.
Parlavi di una formattazione a basso livello, una volta esisteva powermax che era comodo per fare ciò ora cosa si potrebbe usare?
grazie ancora.
ciao

DISCHI - come formattare (http://www.hwupgrade.it/forum/showthread.php?t=810040)

Ciao a tutti, stavolta spero di essere nella sezione giusta, dunque, visto che mbr ancora mi segnalava qualcosa di strano ho seguito la vostra guida sull'individuazione e rimozione di mbr rootikit facendo così la scansione con gmer e prevx.
Posto i link dei log: gmer (http://www.mediafire.com/?1jme1yidm5w), prevx pre (http://www.mediafire.com/?myhzmcytkmm), prevx post (http://www.mediafire.com/?g3zytjmedty)

Premetto che il computer funziona perfettamente, compresi msn e emule che prima non si aprivano nemmeno, però con questo rootkit sono diventato molto paranoico e spero di risolvere definitivamente.

Grazie,
Francesco

Ciao a tutti, stavolta spero di essere nella sezione giusta, dunque, visto che mbr ancora mi segnalava qualcosa di strano ho seguito la vostra guida sull'individuazione e rimozione di mbr rootikit facendo così la scansione con gmer e prevx.
Posto i link dei log: gmer (http://www.mediafire.com/?1jme1yidm5w), prevx pre (http://www.mediafire.com/?myhzmcytkmm), prevx post (http://www.mediafire.com/?g3zytjmedty)

Premetto che il computer funziona perfettamente, compresi msn e emule che prima non si aprivano nemmeno, però con questo rootkit sono diventato molto paranoico e spero di risolvere definitivamente.

Grazie,
Francesco
ciao

non vedo nulla di particolare, passa alla fase 3

Ciao Chill,
alcuni giorni fa ho scaricato e usato i tools da te consigliati per la rimozione del Rootkit sul Master Boot Record... elenco
Gmer e Prevx + Mbr e Sinowal e DrWeb Cureit
e anche se il Prevx non ha riscontrato nulla con l'Mbr il fetente Rootkit è uscito allo scoperto. Ma credo che solo il DrWeb abbia di fatto intaccato il Master Boot Record, questo l'ho dedotto dal fatto che finita la scansione ho effettuato il ReBoot e Windows all'avvio si è messo ha ripristinare dei file indice di cui non sono riuscito a prendere il nome..... Seguentemente per alcuni giorni tutto bene, sino ad oggi quando di colpo aprendo delle pagine web il browser si è bloccato e si sono ripresentati tutti i sintomi del Rootkit...!!!!!!
Convinto di sconfiggere anche questa volta il fetente mi sono messo al lavoro con i tools anzidetti...
questa volta Prevx mi segnala il Rootkit mi manda in crash il sistema e windows(schermo blu) mi blocca tutto avvisandomi su un sovraccarico per me neofita, inconprensibile. Riavvio manualmente e alla seconda scansione Prevx non trova piu nulla. Continuo lo stesso la procedura usando anche Mbr, Sinowal, e DrWeb ma niente.
Sembrerebbe tutto repristinato e funzionante non fosse altro che MBR continua lo stesso ha segnalarmi la presenza di una copia di codice maligno sul mio Master Boot Record.
Sapete il perche...????? Sapete dirmi cosa usare per difendermi??? Posso ritenere che il mio PC sia attualmente privo di questo tipo di infezioni...???? Grazie per lo splendido lavoro che svolgete...!!!!!!

Ciao Chill,
alcuni giorni fa ho scaricato e usato i tools da te consigliati per la rimozione del Rootkit sul Master Boot Record...
(Gmer e Prevx + Mbr e Sinowal e DrWeb Cureit)
e anche se il Prevx non ha riscontrato nulla con l'Mbr il fetente Rootkit è uscito allo scoperto. Ma credo che solo il DrWeb abbia di fatto intaccato il Master Boot Record, questo l'ho dedotto dal fatto che finita la scansione ho effettuato il ReBoot e Windows all'avvio si è messo ha ripristinare dei file indice di cui non sono riuscito a prendere il nome..... Seguentemente per alcuni giorni tutto bene, sino ad oggi quando di colpo aprendo delle pagine web il browser si è bloccato e si sono ripresentati tutti i sintomi del Rootkit...!!!!!!
Convinto di sconfiggere anche questa volta il fetente mi sono messo al lavoro con i tools anzidetti...
questa volta Prevx mi segnala il Rootkit mi manda in crash il sistema e windows(schermo blu) mi blocca tutto avvisandomi su un sovraccarico per me neofita, inconprensibile. Riavvio manualmente e alla seconda scansione Prevx non trova piu nulla. Continuo lo stesso la procedura usando anche Mbr, Sinowal, e DrWeb ma niente.
Sembrerebbe tutto repristinato e funzionante non fosse altro che MBR continua lo stesso ha segnalarmi la presenza di una copia di codice maligno sul mio Master Boot Record.
Sapete il perche...????? Sapete dirmi cosa usare per difendermi??? Posso ritenere che il mio PC sia attualmente privo di questo tipo di infezioni...???? Grazie per lo splendido lavoro che svolgete...!!!!!!

Ciao Chill,
alcuni giorni fa ho scaricato e usato i tools da te consigliati per la rimozione del Rootkit sul Master Boot Record...
(Gmer e Prevx + Mbr e Sinowal e DrWeb Cureit)
e anche se il Prevx non ha riscontrato nulla con l'Mbr il fetente Rootkit è uscito allo scoperto. Ma credo che solo il DrWeb abbia di fatto intaccato il Master Boot Record, questo l'ho dedotto dal fatto che finita la scansione ho effettuato il ReBoot e Windows all'avvio si è messo ha ripristinare dei file indice di cui non sono riuscito a prendere il nome..... Seguentemente per alcuni giorni tutto bene, sino ad oggi quando di colpo aprendo delle pagine web il browser si è bloccato e si sono ripresentati tutti i sintomi del Rootkit...!!!!!!
Convinto di sconfiggere anche questa volta il fetente mi sono messo al lavoro con i tools anzidetti...
questa volta Prevx mi segnala il Rootkit mi manda in crash il sistema e windows(schermo blu) mi blocca tutto avvisandomi su un sovraccarico per me neofita, inconprensibile. Riavvio manualmente e alla seconda scansione Prevx non trova piu nulla. Continuo lo stesso la procedura usando anche Mbr, Sinowal, e DrWeb ma niente.
Sembrerebbe tutto repristinato e funzionante non fosse altro che MBR continua lo stesso ha segnalarmi la presenza di una copia di codice maligno sul mio Master Boot Record.
Sapete il perche...????? Sapete dirmi cosa usare per difendermi??? Posso ritenere che il mio PC sia attualmente privo di questo tipo di infezioni...???? Grazie per lo splendido lavoro che svolgete...!!!!!!

Come possiamo risponderti senza vedere i log?

non vedo nulla di particolare, passa alla fase 3

Ciao, grazie per la risposta, ecco il link (http://www.mediafire.com/?vceyoerq2qj) del log filtrato di Dr.Web cureit

Ciao, grazie per la risposta, ecco il link (http://www.mediafire.com/?vceyoerq2qj) del log filtrato di Dr.Web cureit
disattiva il ripristino configurazione di sistema (http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23) poi riattivalo o lascialo disattivato

poi passa ai suggerimenti finali

Fatto, grazie ancora...mi è rimasto solo un ultimo dubbio, nella vostra guida consigliate di disinstallare i software utilizzati per la pulizia, a me restano da disinstallare combofix e dr.web cureit, però ci sono dei file nelle loro cartelle di quarantena e non sò quali siano i falsi positivi o quelli che si possono eliminare tranquillamente.

Nella cartella quarantena di Combofix:

C:\Qoobox\Quarantine\Registry_backups e all'interno ci sono i file Notify-AntiExtEvent.reg.dat, tcpip.reg e URLSearchHooks--{....}.reg.dat
C:\Qoobox\Quarantine\C\WINDOWS\system32 con all'interno la cartella drivers e altri 12 file con estensione .vir


Allego l'immagine della quarantena di dr.web cureit

Fatto, grazie ancora...mi è rimasto solo un ultimo dubbio, nella vostra guida consigliate di disinstallare i software utilizzati per la pulizia, a me restano da disinstallare combofix e dr.web cureit, però ci sono dei file nelle loro cartelle di quarantena e non sò quali siano i falsi positivi o quelli che si possono eliminare tranquillamente.

Nella cartella quarantena di Combofix:

C:\Qoobox\Quarantine\Registry_backups e all'interno ci sono i file Notify-AntiExtEvent.reg.dat, tcpip.reg e URLSearchHooks--{....}.reg.dat
C:\Qoobox\Quarantine\C\WINDOWS\system32 con all'interno la cartella drivers e altri 12 file con estensione .vir


Allego l'immagine della quarantena di dr.web cureit

cureit ha eliminato sdfix e smit che non ti abbiamo fatto usare noi e altri file presenti nel ripristino configurazione
di combo non vedendo tutto il log non so dirti ma non mi sembra nulla di particolare
rimuovi pure come indicato

no, no, lo sò che non me li avete segnalati voi quei software, li avevo trovati su un'altra guida prima di conoscere il vostro forum..

Ti allego il log della quarantena di combofix, scusa se sono insistente ma quel rootkit è stata un esperienza terrificante...ciao e grazie mille per il supporto:)

no, no, lo sò che non me li avete segnalati voi quei software, li avevo trovati su un'altra guida prima di conoscere il vostro forum..

Ti allego il log della quarantena di combofix, scusa se sono insistente ma quel rootkit è stata un esperienza terrificante...ciao e grazie mille per il supporto:)

rimuovi pure combofix come da info

Ciao Chill ti ho inviato i miei log scusa se non sono perfetti...!!! Grazie sono in attesa...!!!

il link:CureIt.txt (http://wikisend.com/download/913330/CureIt.txt)

Salve a tutti....
anke io nell'accendere il pc mi sono ritrovato lo schermo nero e la scritta:
Trendmicro..... has found a virus in your harddisk.....e così via....
insomma mi si blocca il boot.

Ora sto su un altro pc in ufficio qndi nn posso postarvi i log.
Mi sono scritto però il settore dv gmer mi ha trovato il "malicious code":
copy of mbr has been found in sector 0x04A98CC5
malicious code sector 0x04A98CC8

Poi alla fine mi dice di usare mbr.exe to fix it. Così ho fatto cm avete detto voi...start esegui mbr.exe-f.....
Fatto qsto il pc si avvia normalmente. Ho fatto la scansione cn norman e nn mi ha trovato nnte.

.....Avete qlke altro link di prodotti gratuiti ke possano pulirmi il pc da eventuali trojan o cose del genere???
Nn ho fatto la scansione cn drweb nè cn prevx perchè c'è bisogno del collegamento a internet e nn so se cn qsto mbr rootkit il pc possa poi riempirsi di virus e robba del genere una volta collegato alla rete.....
e nè tanto meno so se qsto rootkit mi abbia portato dei trojan, i quali faranno il loro sporco lavoro dp ke io mi sia collegato a internet.

Capite qllo ke voglio dire??

Grz x aver letto....aspetto risposte.

Ciao Chill ti ho inviato i miei log scusa se non sono perfetti...!!! Grazie sono in attesa...!!!

il link:CureIt.txt (http://wikisend.com/download/913330/CureIt.txt)

Seguire la Guida consiste nel mettere in patica tutti i passaggi descritti in prima pagina, ovvero:

:: FASE PRELIMINARE :: >> non hai disabilitato il Ripristino conf.sistema


:: PRIMA FASE :: >> allega i relativi log

.....Avete qlke altro link di prodotti gratuiti ke possano pulirmi il pc da eventuali trojan o cose del genere???


Segui passo passo la Guida in prima pagina, redatta appositamente per questa infezione.

Segui passo passo la Guida in prima pagina, redatta appositamente per questa infezione.


ok....qndi nn dovrebbero esserci rischi se lo connetto a internet???

Poi ti faccio sapere cm è andata...

Ciao a tutti.

Avira mi rileva che sono infetto dal virus BOO Sinowall.E e non riesco ad eliminarlo. Allego i log delle scansioni.

log NOD32:
Settore MBR del disco fisico 2 - Win32/Mebroot.BZ trojan horse - action selection postponed until scan completion
Settore MBR del disco fisico 2 - Win32/Mebroot.BZ trojan horse - action selection postponed until scan completion
Settore MBR del disco fisico 2 - Win32/Mebroot.BZ trojan horse - action selection postponed until scan completion

log MBR
copy of MBR has been found in sector 0x0DF9F404
malicious code @ sector 0x0DF9F407 !
PE file found in sector at 0x0DF9F41D !

log AVIRA

record master di avvio dell'hard disk 1
Contiene il codice del settore di avvio BOO/SINOWAL.E
Record di avvio 'c:\'

Ciao a tutti.

Avira mi rileva che sono infetto dal virus BOO Sinowall.E e non riesco ad eliminarlo. Allego i log delle scansioni.

log NOD32:
Settore MBR del disco fisico 2 - Win32/Mebroot.BZ trojan horse - action selection postponed until scan completion
Settore MBR del disco fisico 2 - Win32/Mebroot.BZ trojan horse - action selection postponed until scan completion
Settore MBR del disco fisico 2 - Win32/Mebroot.BZ trojan horse - action selection postponed until scan completion

log MBR
copy of MBR has been found in sector 0x0DF9F404
malicious code @ sector 0x0DF9F407 !
PE file found in sector at 0x0DF9F41D !

log AVIRA

record master di avvio dell'hard disk 1
Contiene il codice del settore di avvio BOO/SINOWAL.E
Record di avvio 'c:\'

Segui passo passo la Guida in prima pagina, ed allega i log nel rispetto delle Regole di sezione (no log compressi)

Allego il log di gmer.

Allego il log di gmer.

Seguire la Guida consiste nel mettere in pratica tutti i passaggi descritti in prima pagina, ovvero:

:: FASE PRELIMINARE ::

:: PRIMA FASE :: >> allega i relativi log, prestando attenzione ai passaggi

Come detto in precedenza no log compressi.

non riesco a fare l'upload se non lo comprimo!

non riesco a fare l'upload se non lo comprimo!

NOTA BENE:
1 - AL FINE DI MANTENERE IL THREAD ORDINATO E FRUIBILE HOSTATE I LOG SOLO ED ESCLUSIVAMENTE IN FORMATO .TXT SU http://fileqube.com/ in alternativa su http://wikisend.com/ PUBBLICANDO PER OGNI LOG IL LINK CHE VERRA' RILASCIATO PER IL DOWNLOAD

2 - E' OPPORTUNO LEGGERE ATTENTAMENTE TUTTA LA GUIDA

ciao a tutti
prevx mi rileva questo:

c:\system volume information\_restore{14d0b1bf-683b-4497-bf30-a3b800d687a2}\rp456\a0090602.exe [PX5: 1A832CB0009A39B2E2110D9A4CD8B4008A9BC6DC] Malware Group: Medium Risk Malware

come faccio a trovarlo per eliminarlo manualmente?


grazie

log GMER
gmer log up.txt (http://wikisend.com/download/437070/gmer log up.txt)

log PREVX
prevxup.txt (http://wikisend.com/download/475134/prevxup.txt)

Segui passo passo la Guida in prima pagina, redatta appositamente per questa infezione.


Prevx nn mi ha trovato nnte...invece dr web arrivato ad analizzare il settore c:Windows si blocca e mi blocca il pc....nnte scritte in blu, solo si blocca tutto, il cursore nn si muove, il task manager nn mi esce.....insomma tutto bloccato.

Cm mai???

ciao a tutti
prevx mi rileva questo:

c:\system volume information\_restore{14d0b1bf-683b-4497-bf30-a3b800d687a2}\rp456\a0090602.exe [PX5: 1A832CB0009A39B2E2110D9A4CD8B4008A9BC6DC] Malware Group: Medium Risk Malware

come faccio a trovarlo per eliminarlo manualmente?


grazie

Perchè hai postato qui? Esiste un 3D deidicato a Prevx >> http://www.hwupgrade.it/forum/showthread.php?t=1923599

comunque nel tuo caso è sufficiente disabilitare il Ripristino conf.sistema

Disattivare il Ripristino Configurazione Sistema:

* tasto destro del mouse sull'icona Risorse del Computer
* seleziona la voce Proprietà
* apri la scheda Ripristino configurazione di Sistema
* spunta la voce Disattiva ripristino configurazione di sistema
* conferma, la modifica, con Applica e, poi Ok

log GMER
gmer log up.txt (http://wikisend.com/download/437070/gmer log up.txt)

log PREVX
prevxup.txt (http://wikisend.com/download/475134/prevxup.txt)

Passa alla Seconfa Fase

Prevx nn mi ha trovato nnte...invece dr web arrivato ad analizzare il settore c:Windows si blocca e mi blocca il pc....nnte scritte in blu, solo si blocca tutto, il cursore nn si muove, il task manager nn mi esce.....insomma tutto bloccato.

Cm mai???

Potresti allegare i log della Prima Fase, grazie.

Non riesco ad avviare il computer in modalità provvisoria, digitando il comando C:\mbr.exe -f non succede niente.
Norman SinowalMBR Cleaner non rileva niente.

Quando avvio dr web , si riavvia il computer.

log MBR
copy of MBR has been found in sector 0x0DF9F404
malicious code @ sector 0x0DF9F407 !
PE file found in sector at 0x0DF9F41D !

prima fase:

Gmer --> http://wikisend.com/download/529728/gmer.txt

Prevx --> http://wikisend.com/download/458884/prevx post.log (questo è il log successivo al cleanup di due file )

seconda fase:

Stealth MBR rootkit detector -> http://wikisend.com/download/463050/mbr.log

Perchè hai postato qui? Esiste un 3D deidicato a Prevx >> http://www.hwupgrade.it/forum/showthread.php?t=1923599

comunque nel tuo caso è sufficiente disabilitare il Ripristino conf.sistema

ti ringrazio e scusa

ho seguito indicazioni molto valide per verificare la presenza di questo rootkit:


si scarica mbr.exe
lo si pone nella cartella c
dal prompt di cmd si avvia il file

e si verifica la presenza o meno della minaccia.

penso che questo consiglio sia stato dato, ma non si sa mai :D.

Non riesco ad avviare il computer in modalità provvisoria

Per quale motivo?

prima fase:

Gmer --> http://wikisend.com/download/529728/gmer.txt

Prevx --> http://wikisend.com/download/458884/prevx post.log (questo è il log successivo al cleanup di due file )

seconda fase:

Stealth MBR rootkit detector -> http://wikisend.com/download/463050/mbr.log

Sicuro di aver digitato il seguente comando:

Da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK

quando cerco di avviare la modalità provvisoria mi viene il messaggio di errore Press esc to cancel loading sptd.sys. Premendo esc o no si riavvia di nuovo e non mi fa entrare in modalità provvisoria!

quando cerco di avviare la modalità provvisoria mi viene il messaggio di errore Press esc to cancel loading sptd.sys. Premendo esc o no si riavvia di nuovo e non mi fa entrare in modalità provvisoria!

Fai girare

Norman SinowalMBR Cleaner

ma quanti AV sono installati sul tuo PC?

Ciao a tutti.

Avira mi rileva che sono infetto dal virus BOO Sinowall.E e non riesco ad eliminarlo. Allego i log delle scansioni.

log NOD32:
Settore MBR del disco fisico 2 - Win32/Mebroot.BZ trojan horse - action selection postponed until scan completion
Settore MBR del disco fisico 2 - Win32/Mebroot.BZ trojan horse - action selection postponed until scan completion
Settore MBR del disco fisico 2 - Win32/Mebroot.BZ trojan horse - action selection postponed until scan completion

Sicuro di aver digitato il seguente comando:

Ho riprovato...ma il log mi sembra lo stesso:

--> MBR : http://wikisend.com/download/888500/mbr.log

cosa ha di strano il log??

Ho riprovato...ma il log mi sembra lo stesso:

--> MBR : http://wikisend.com/download/888500/mbr.log

cosa ha di strano il log??

Fondamentalmente nulla in quanto può rimanere "sporco", procedi pure con Norman SinowalMBR Cleaner e DrWeb CureIt

Già fatta la scansione con norman sinowal mbr, non rileva niente.
Antivirus ne ho solo uno installato, l'altro l'ho installato e poi rimosso per vedere se eliminava il virus.

Drweb non riesce a fare la scansione, quando l'avvio riavvia il computer!

Già fatta la scansione con norman sinowal mbr, non rileva niente.
Antivirus ne ho solo uno installato, l'altro l'ho installato e poi rimosso per vedere se eliminava il virus.

Se alleghi il log

Drweb non riesce a fare la scansione, quando l'avvio riavvia il computer!

Ripeti scansione completa con Avira configurato come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 ed allega il log.

già configurato avira come da guida ma il virus non riesco ad eliminarlo!

già configurato avira come da guida ma il virus non riesco ad eliminarlo!

Come già detto ripetutamente abbiamo bisgono di vedere i log, spero di essere stato chiaro ed esaustivo.

Salve a tutti, sono nuovo del forum. Ieri il NOD32 mi ha segnalato un problema e diceva di sssere riuscito a togliere l'infezione. Allora ho fatto una scansione completa e mi ha rilevato 5 virus, è riuscito però a cancellarne solo 4. Putroppo non ho più il log di quella scansione, riguardava un certo admon.exe. Poi d'improvviso il computer si è spento (chiudendosi regolarmente,come se lo avessi spento io) e si è riavviato,al riavvio mi è apparsa una schermata del bios che non mi era mai apparsa dove una scritta in inglese diceva che ho preso un virus nell'hard disk e dovevo introdurre un floppy disk per tentare di toglierlo. Io naturalmente ho ignorato le sue istruzioni e ho continuato il boot normalmente. Le successive scansioni con NOD32 e SpyBot anche in modalità provvisoria non hanno riscontrato nulla. Il pc non dà particolari problemi anche se ho preferito non connetterlo ad internet avendo paura che l'infezioe facesse altri danni. Ho cominciato a seguire questa guida facendo la scansione con Gmer, ho bisogno di qualcuno che mi controlli i file di log, come indicato alla fine della Fase 1.
Ringrazio tutti in anticipo e scusate per la lunghezza del post!