c:\resycled\boot.com

[Chill-Out]

Quote:

Originariamente inviato da Unax

bastava usare un floppy/cd con dentro 4 file (prendendoli da un xp funzionante)

boot.ini
Bootfont.bin
NTDETECT.COM
ntldr

fare il boot con il floppy inserito e poi copiare il file boot.ini mancante

se il problema è solo il file boot.ini si dovrebbe riuscire ad accedere al sistema in questa maniera

Eventualmente anche da Console di ripristino

[crazyboy92]

Quote:

Originariamente inviato da Chill-Out

Eventualmente anche da Console di ripristino

Acere eRecovery non ho fatto il CD di ripristino, a meno che non sai dove posso rimediarlo:
Acer eRecovery per windows XP Pack 2

[Chill-Out]

Quote:

Originariamente inviato da crazyboy92

Acere eRecovery non ho fatto il CD di ripristino, a meno che non sai dove posso rimediarlo:
Acer eRecovery per windows XP Pack 2

Per la Console serve il CD di installazione di Win

[crazyboy92]

Quote:

Originariamente inviato da Chill-Out

Per la Console serve il CD di installazione di Win

L' originale non ce l ho, ne ho un altro che è sempre XP pack 2, non cè eRecovery, va bene lo stesso?

[Chill-Out]

Quote:

Originariamente inviato da crazyboy92

L' originale non ce l ho, ne ho un altro che è sempre XP pack 2, non cè eRecovery, va bene lo stesso?

No tu hai usato il Recovery che ripristina il Pc alle condizioni iniziali

[Unax]

il suo problema è di recuperare i dati più che di accedere al sistema

crazyboy racconta tutto per favore se no i consigli che ti diamo servono a niente, ci parliamo solo adosso

[Chill-Out]

Quote:

Originariamente inviato da Unax

il suo problema è di recuperare i dati più che di accedere al sistema

crazyboy racconta tutto per favore se no i consigli che ti diamo servono a niente, ci parliamo solo adosso

http://www.hwupgrade.it/forum/showpo...1&postcount=92

[Theshark03]

Ecco tutte le scansioni fatte secondo la guida. (c'ho messo tutt'oggi per farle spero che qualcuno mi possa aiutare... )

Malwarebytes:

mbam-log-2009-01-04 (13-48-11).txt

A-Squared Free
a2scan_090104-135557.txt

Dr.Web CureIT
CureIt.log

ESET SysInspector
SysInspector-FRANCESC-4A0DDA-090104-1715.xml

HiJackThis
hijackthis.log

Gmer
gmerlog.log

scritte in rosso: gmer.JPG

Prevx
prevx.JPG


Ditemi per piacere cosa devo fare.
Grazie in anticipo.

[crazyboy92]

Quote:

Originariamente inviato da Chill-Out

http://www.hwupgrade.it/forum/showpo...1&postcount=92

Ok, allora, io non ho formattato,ora ho un altro Hard Disk (nuovo) con un altro XP. il mio vecchio Hard Disk sta dentro il mio cassetto, non è stato ancora formattato (prima ho detto cosy perche x me è solo da formattare e aspetto il momento giusto) ma quando provo ad accendere il pc con quello di disco mi dice "file boot.ini mancante impossibile avviare windows".

scusate x quando ho detto di averlo formattato, ma non credevo che si potesse recuperare in qualche modo.
ancora scusa

[Chill-Out]

Quote:

Originariamente inviato da Theshark03

Ecco tutte le scansioni fatte secondo la guida. (c'ho messo tutt'oggi per farle spero che qualcuno mi possa aiutare... )

Malwarebytes:

mbam-log-2009-01-04 (13-48-11).txt

A-Squared Free
a2scan_090104-135557.txt

Dr.Web CureIT
CureIt.log

ESET SysInspector
SysInspector-FRANCESC-4A0DDA-090104-1715.xml

HiJackThis
hijackthis.log

Gmer
gmerlog.log

scritte in rosso: gmer.JPG

Prevx
prevx.JPG


Ditemi per piacere cosa devo fare.
Grazie in anticipo.

Ciao purtroppo non ha eseguito correttamente la Guida per cui:

1 Ripeti la scansione con MBAM ed elimina gli elementi infetti

Quote:

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2bf41072-b2b1-21c1-b5c1-0305f4155515} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\videosoft (Trojan.DNSChanger) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
C:\resycled (Trojan.DNSChanger) -> No action taken.

File infetti:
C:\Programmi\Mozilla Firefox\components\iamfamous.dll (Spyware.Passwords) -> No action taken.
C:\WINDOWS\system32\msqpdxscmqlydv.dll (Trojan.TDSS) -> No action taken.
C:\resycled\boot.com (Trojan.DNSChanger) -> No action taken.
C:\WINDOWS\system32\drivers\msqpdxrdltavho.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\msqpdxserv.sys (Trojan.Agent) -> No action taken.

No action taken - significa che non ha eliminato nulla

2 Ripeti la scansione con A-Squared e metti in quarantena gli elementi infetti

3 Ripeti la scansione con CureIt hai fatto la scansione veloce denominata Express scan devi fare scansione completa

4 Manca la scansione indicata al Punto 4 della Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

5 Terminata la scansione con Prevx CSI per ottenere il log clicca su Impostazioni - Salva file di log

Forza e coraggio

[win_67]

Ciao a tutti,
nn riesco ad aprire la partizione D fatta su C, perchè mi esce la scritta di resycled\boot.
Ho già provato ad eliminarli con la procedura veloce di inizio post e ci sono riuscito ma il problema persiste.
Allego i file di log delle scansioni.
Spero di aver seguito la procedura giusta.
Grazie a chi mi voglia aiutare.

http://www.fileqube.com/file/UYPAwzr174102

http://www.fileqube.com/file/umcCvLfU174103

http://www.fileqube.com/file/GmaAYxPk174104

http://www.fileqube.com/file/AzCImD174105

http://www.fileqube.com/file/rUzlNC174106

http://www.fileqube.com/file/msyFfjWOf174108

Spero di aver fatto tutto bene nn essendo un'aquila in materia di computer

Grazie ancora

[wjmat]

Quote:

Originariamente inviato da win_67

Ciao a tutti,
nn riesco ad aprire la partizione D fatta su C, perchè mi esce la scritta di resycled\boot.
Ho già provato ad eliminarli con la procedura veloce di inizio post e ci sono riuscito ma il problema persiste.
Allego i file di log delle scansioni.
Spero di aver seguito la procedura giusta.
Grazie a chi mi voglia aiutare.

http://www.fileqube.com/file/UYPAwzr174102

http://www.fileqube.com/file/umcCvLfU174103

http://www.fileqube.com/file/GmaAYxPk174104

http://www.fileqube.com/file/AzCImD174105

http://www.fileqube.com/file/rUzlNC174106

http://www.fileqube.com/file/msyFfjWOf174108

Spero di aver fatto tutto bene nn essendo un'aquila in materia di computer

Grazie ancora

ciao

con asquared non mi pare tu abbia eliminato tutto
manca il log di prevx
a fianco dei link se ci metti la descrizione della scansione ci fai un favore


Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Codice:

R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programmi\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programmi\File comuni\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O15 - Trusted Zone: http://www.sismanagmentfilm.com
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-j c.cab?e=1232679963866&h=ac13eed2816c90af5e5a93e212e0cc7b/&filename=jinstall-6u11 -windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

fai girare e carica il log di Combofix (leggi bene le info)

[win_67]

http://www.fileqube.com/file/RuuGOwE174169 hijackthis.log

http://www.fileqube.com/file/rXTFtEDUY174170 a2scan

http://www.fileqube.com/file/tXKGIKwhO174171 log combofix

Ok problema risolto

Grazie mille wjmat!!

Se hai bisogno di qualche info, per quel che posso chiedi pure.
Grazie ancora
Win

[win_67]

http://www.fileqube.com/file/RuuGOwE174169 hijackthis.log

http://www.fileqube.com/file/rXTFtEDUY174170 a2scan

http://www.fileqube.com/file/tXKGIKwhO174171 log combofix

http://www.fileqube.com/file/CiWvtsy174175 Logprevx

http://www.fileqube.com/file/pOLywG174176 Schermata prevx
Ok problema risolto

Grazie mille wjmat!!

Se hai bisogno di qualche info, per quel che posso chiedi pure.
Grazie ancora
Win

[wjmat]

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide


ciao

[Gemma]

Mio figlio mi ha impestato il pc
Ho trovato anche io la sorpresa del resycle e boot.com stasera, ovviamente la prima domanda è stata "cosa hai fatto col pc??????".

Indovinate un po'?
Un link da MSN

Ora con calma e pazienza mi metto a ripulire secondo la guida, con ordine...

MBAM running, ci vorrà una vita...

Intanto ho seguito il consiglio di Vince86, solo che ora purtroppo nel tentare di aprire la partizione dei programmi mi dice "il file non è associato a nessun programma per l'esecuzione dell'operazione"

[Gemma]

Finora sono riuscita a fare solo due test

Ma ho una domanda: avevo da poco fatto un'immagine della partizione primaria (C).
Se io cancello la cartella resycle e il file boot.com.inf dalle altre unità e faccio un ripristino dall'immagine che ho creato (non un ripristino di windows!) mi libererei del virus?

[Chill-Out]

Quote:

Originariamente inviato da Gemma

Finora sono riuscita a fare solo due test

Ma ho una domanda: avevo da poco fatto un'immagine della partizione primaria (C).
Se io cancello la cartella resycle e il file boot.com.inf dalle altre unità e faccio un ripristino dall'immagine che ho creato (non un ripristino di windows!) mi libererei del virus?

Se hai fatto l'immagine prima di contrarre l'infezione risolvi il problema, altrimenti è opportuno seguire la Guida alla disinfezione.

[Gemma]

Quote:

Originariamente inviato da Chill-Out

Se hai fatto l'immagine prima di contrarre l'infezione risolvi il problema, altrimenti è opportuno seguire la Guida alla disinfezione.

Si, decisamente prima

Il punto di domanda è se poi questo mi risolva il problema sull'apertura dell'unità B: ora mi dice "impossibile trovare applicazione....etc. etc."

[Chill-Out]

Quote:

Originariamente inviato da Gemma

Si, decisamente prima

Il punto di domanda è se poi questo mi risolva il problema sull'apertura dell'unità B: ora mi dice "impossibile trovare applicazione....etc. etc."

In teoria si, in pratica dopo aver fatto il ripristino