NoTrace Security Forum

NoTrace Security Forum
Home | Discussioni Attive | Discussioni Recenti | Segnalibro | Msg privati | Utenti | Download | cerca | faq | RSS | Security Chat
Nome Utente:
 Password:
Salva Password
Password Dimenticata?

 Tutti i Forum
 Virus
 Computer Virus
 secondo me ho preso qualcosa di grosso		  Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
I seguenti utenti stanno leggendo questo Forum Qui c'č:
Pagina Precedente | Pagina Successiva
Autore Discussione Precedente Discussione Discussione Successiva
Pagina: di 6

shang
Advanced Member

Cittą: Roma


4879 Messaggi

Inserito il - 07/12/2009 : 12:10:03  Mostra Profilo
niente, l'infezione e' ancora li'

proviamo con questo, altrimenti dovremo usare le maniere forti


Scarica Norman SinowalMBR Cleaner

htt*://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Avvia il pc in modalitą provvisoria.

Doppio click sull'icona di Norman SinowalMBR Cleaner.exe

Clicca su Accept >>> poi su start scan

Al termine della scansione, viene generato un log sul desktop chiamandolo NFix_2008-MM-GG_hh-mm-ss.log
Torna all'inizio della Pagina

mariarosaria85
Senior Member

Cittą: POMIGLIANO D'ARCO


179 Messaggi
Inserito il - 07/12/2009 : 14:42:37  Mostra Profilo
Norman SinowalMBR Cleaner
Copyright © 1990 - 2008, Norman ASA. Built 2008/05/13 16:21:18

Norman Scanner Engine Version: 5.92.04
Nvcbin.def Version: 5.92.00, Date: 2008/05/13 16:21:18, Variants: 0

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Professional 5.1.2600(Safe mode with network) Service Pack 2
Logged on user: OEM\Barone

Set registry value: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = "30 05 35 00 30 05 35 00 60 86 5A 80 B4 49 58 80 A5 BC 5A 80 0B 6B 5B 80 25 AA 5B 80 A5 03 66 80 FF 04 66 80 55 DB 56 80 5D 0A 59 80 E3 DF 64 80 EA 4A 5E 80 7B 81 59 80 61 03 64 80 F7 69 59 80 C6 6E 58 80 08 64 5C 80 F0 8B 57 80 F9 C0 57 80 F7 DF 64 80 A4 83 57 80 " -> ""
Removed registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTools = 0x00000000

Scan started: 07/12/2009 12:48:54

Scanning bootsectors...

Unable to scan for SinowalMBR hooks

Number of sectors found: 0
Number of sectors scanned: 0
Number of sectors not scanned: 0
Number of infections found: 0
Number of infections removed: 0
Total scanning time: 0s 344ms


Scanning running processes and process memory...

Number of processes/threads found: 1197
Number of processes/threads scanned: 1197
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 11s


Scanning file system...

Scanning: C:\*.*

C:\Documents and Settings\Barone\Documenti\barone\Autobackup - BARONE\Archive\Desktop\eMule\Incoming\Giochi Per Nokia 5200.rar/CMT (Error whilst scanning file: I/O Error)

C:\Documents and Settings\Barone\Documenti\barone\Autobackup - BARONE\Archive\Desktop\eMule\Incoming\Giochi Per Nokia 5200.rar/RR (Error whilst scanning file: I/O Error)

C:\MATLAB6p5\java\jarext\classes111.jar/oracle/gss/util/NLSCharacter.class (Error whilst scanning file: I/O Error)

C:\MATLAB6p5\toolbox\daq\daq\src\parallel\WinIO\winio.zip/WinIo/Release/WinIo.dll (Error whilst scanning file: I/O Error)
Torna all'inizio della Pagina

shang
Advanced Member

Cittą: Roma


4879 Messaggi
Inserito il - 07/12/2009 : 16:56:53  Mostra Profilo
Maria Rosaria mi riesegui combofix ? voglio fare un controllo

prima di fare la scansione, cestina il vecchio log che mi hai postato
Torna all'inizio della Pagina

mariarosaria85
Senior Member

Cittą: POMIGLIANO D'ARCO


179 Messaggi
Inserito il - 07/12/2009 : 18:54:22  Mostra Profilo
aspetta l'ho rifatto:
Number of processes/threads found: 1033
Number of processes/threads scanned: 1033
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 10s


Scanning file system...

Scanning: C:\*.*

C:\Documents and Settings\Barone\Documenti\barone\Autobackup - BARONE\Archive\Desktop\eMule\Incoming\Giochi Per Nokia 5200.rar/CMT (Error whilst scanning file: I/O Error)

C:\Documents and Settings\Barone\Documenti\barone\Autobackup - BARONE\Archive\Desktop\eMule\Incoming\Giochi Per Nokia 5200.rar/RR (Error whilst scanning file: I/O Error)

C:\MATLAB6p5\java\jarext\classes111.jar/oracle/gss/util/NLSCharacter.class (Error whilst scanning file: I/O Error)

C:\MATLAB6p5\toolbox\daq\daq\src\parallel\WinIO\winio.zip/WinIo/Release/WinIo.dll (Error whilst scanning file: I/O Error)


Running post-scan cleanup routine:

Number of files found: 660520
Number of archives unpacked: 2337
Number of files scanned: 660483
Number of files not scanned: 37
Number of files skipped due to exclude list: 0
Number of infected files found: 0
Number of infected files repaired/deleted: 0
Number of infections removed: 0
Total scanning time: 1h 52m 36s
Torna all'inizio della Pagina

shang
Advanced Member

Cittą: Roma


4879 Messaggi
Inserito il - 07/12/2009 : 19:01:01  Mostra Profilo
no non quella, devi rifare quella con combofix

elimina il vecchio rapporto che mi hai postato nella precedente scansione di combofix e postami quello che farai ora
Torna all'inizio della Pagina

mariarosaria85
Senior Member

Cittą: POMIGLIANO D'ARCO


179 Messaggi
Inserito il - 07/12/2009 : 19:32:34  Mostra Profilo
htt*://wikisend[.com]/download/442828/ComboFix.txt
Torna all'inizio della Pagina

shang
Advanced Member

Cittą: Roma


4879 Messaggi
Inserito il - 07/12/2009 : 19:41:30  Mostra Profilo
forse ci siamo

clicca su start => esegui => questa volta digita: c:\mbr.exe e dai ok

posta il risultato
Torna all'inizio della Pagina

mariarosaria85
Senior Member

Cittą: POMIGLIANO D'ARCO


179 Messaggi
Inserito il - 07/12/2009 : 20:23:29  Mostra Profilo
mbr da solo questo:Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, htt*://[www].gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01D1C06C0
malicious code sector 0x01D1C06C3 !
PE file found in sector at 0x01D1C06D9 !
Modificato da - mariarosaria85 in data 07/12/2009 20:25:53
Torna all'inizio della Pagina

shang
Advanced Member

Cittą: Roma


4879 Messaggi
Inserito il - 07/12/2009 : 20:29:37  Mostra Profilo
vai in C:\ ed elimina l'applicazione MBR che ti ho fatto scaricare e tutti i file di testo mbr.log

fatto questo, Scarica di nuovo MBR:EXE direttamente nella Directory C:\
htt*://[www]2.gmer.net/mbr/mbr.exe

Da Start - Esegui - digita C:\mbr.exe (fai copia\incolla) e clicca su OK
La scansione dura pochi secondi.
Posta il log che troverai in C:\ come mbr.log
Torna all'inizio della Pagina

mariarosaria85
Senior Member

Cittą: POMIGLIANO D'ARCO


179 Messaggi
Inserito il - 07/12/2009 : 21:06:50  Mostra Profilo
da sempre la stessa cosa:Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, htt*://[www].gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01D1C06C0
malicious code sector 0x01D1C06C3 !
PE file found in sector at 0x01D1C06D9 !
Torna all'inizio della Pagina

shang
Advanced Member

Cittą: Roma


4879 Messaggi
Inserito il - 07/12/2009 : 21:13:04  Mostra Profilo
quello che mi sembra strano e' che combofix non lo rileva piu' mentre la scansione con MBR si

vai qui >>> htt*://[www].virustotal[.com]/it/

analizza questo file segnato in rosso e controlla il responso dei 40 antivirus

c:\docume~1\Barone\IMPOST~1\Temp\2050464b.nmc\nse\bin\unhookmbrs.sys
Torna all'inizio della Pagina

mariarosaria85
Senior Member

Cittą: POMIGLIANO D'ARCO


179 Messaggi
Inserito il - 08/12/2009 : 11:53:10  Mostra Profilo
ciao,senti ma qst percorso nn lo trovo e quando lo invio dice 0bytes rilevati
Torna all'inizio della Pagina

shang
Advanced Member

Cittą: Roma


4879 Messaggi
Inserito il - 08/12/2009 : 12:01:56  Mostra Profilo
abilita la visualizzazione dei file nascosti (apri una cartella qualsiasi, vai su Strumenti--> Opzioni cartella--> Visualizzazione e spunta Visualizza file e cartelle nascosti

segui il percorso

c:\docume~1\Barone\IMPOST~1\Temp\2050464b.nmc\nse\bin\unhookmbrs.sys e analizzalo

prima di fare questo, esegui la procedura di prima ma da MODALITA' PROVVISORIA

elimina tutti i file mbr.log e riesegui la scansione, dura pochi secondi

Start\Esegui\ copia-incolla C:\mbr.exe -f e clicca su OK.
Torna all'inizio della Pagina

mariarosaria85
Senior Member

Cittą: POMIGLIANO D'ARCO


179 Messaggi
Inserito il - 08/12/2009 : 14:19:20  Mostra Profilo
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, htt*://[www].gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01D1C06C0
malicious code sector 0x01D1C06C3 !
PE file found in sector at 0x01D1C06D9 !
cmq il percorso nn lo riesco a fare xkč ho slo document e settings
Modificato da - mariarosaria85 in data 08/12/2009 14:28:11
Torna all'inizio della Pagina

shang
Advanced Member

Cittą: Roma


4879 Messaggi
Inserito il - 08/12/2009 : 14:30:56  Mostra Profilo
ora ti faro' eseguire una nuova procedura, speriamo di farcela.....l'infezione che hai e' duretta.....

rispetto alla situazione iniziale il pc adesso come va...
Torna all'inizio della Pagina
Pagina: di 6 Discussione Precedente Discussione Discussione Successiva  
Pagina Precedente | Pagina Successiva

 Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
Vai a:
NoTrace Security Forum
 © Nazzareno Schettino
RSS NEWS 		Torna all'inizio della Pagina
Pagina generata in 0,25 secondi. TargatoNA | SuperDeeJay | Snitz Forums 2000