NoTrace Security Forum

NoTrace Security Forum
Home | Discussioni Attive | Discussioni Recenti | Segnalibro | Msg privati | Utenti | Download | cerca | faq | RSS | Security Chat
Nome Utente:
 Password:
Salva Password
Password Dimenticata?

 Tutti i Forum
 Virus
 Computer Virus
 problemi pc - probabile rootkit. Help!!!		  Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
I seguenti utenti stanno leggendo questo Forum Qui c':
Pagina Successiva
Autore Discussione Precedente Discussione Discussione Successiva
Pagina: di 2

xena
Average Member



73 Messaggi

Inserito il - 29/01/2010 : 15:00:09  Mostra Profilo
Ciao a tutti!
Da qualche giorno il mio pc sta impazzendo: si rallentato notevolmente (sembra sia sempre a caricare non so che...) ogni tanto si riavvia sa solo oppure si blocca ed emette un bip continuo.
Ho provato inizialmente in modalita normale a fare una scansione cn dr.web ma appena l'ho avviato si riavviato il pc.. allora ho fatto una scansione in modalita provvisoria con Antivir ma non ha rilevato nulla. cercando info qua e la i miei sembrerebbero sintomi di un rootkit cosi ho scaricato mbr.exe che mi ha dato il seguente risultato:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR ok
copy of MBR has been found in sector 0x03A380D80
malicious code sector 0x03A380D83!
PE file found in sector at 0x03A380D99!
Poi ho provato ad avviare Gmer (sempre in mod. provvisoria) per provare ad eliminare possibili infezioni ma dopo un po che ho avviato la scansione il pc di nuovo si riavvia...
Help cosa devo fare????
Modificato da - in Data

shang
Advanced Member

Citt: Roma


4879 Messaggi
Inserito il - 29/01/2010 : 15:02:57  Mostra Profilo
ciao e benvenuta nel forum

puoi postare il log di gmer? hai un'infezione nel' MBR

nel frattempo fai una scansione con Combofix
htt*://download.bleepingcomputer[.com]/sUBs/ComboFix.exe
(non installare la recovery console)
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.

non usare il pc durante la scansione, nemmeno il mouse!
Modificato da - shang in data 29/01/2010 15:41:22
Torna all'inizio della Pagina

xena
Average Member



73 Messaggi
Inserito il - 29/01/2010 : 16:43:14  Mostra Profilo
qui si trova il file combofix.txt
htt*://[www].mediafire[.com]/file/qy3zmjwnadq/ComboFix.txt
purtroppo il log di gmer non sono riuscita a farlo perk il pc si riavviava.
Momentaneamente , non so se puo servire, mando il link del file di log di hijackthis
htt*://[www].mediafire[.com]/file/kwimm4jmmnn/hijackthis.log

Intanto ora ho riavviato GMER e sembra che stia funzionando... attendo ke finisce.
Grazie!
Torna all'inizio della Pagina

shang
Advanced Member

Citt: Roma


4879 Messaggi
Inserito il - 29/01/2010 : 16:52:15  Mostra Profilo
XENA ti chiedo una cosa subito

nel tuo log ci sono voci stranissime, non capisco se hai copiato male il log o sono realmente li'

apri hijackthis, clicca su Do a scan only e se sono realmente nel log fixale subito


O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporatio2Dc5[kń$ּ8b_zwh\ˁ37tF n 'c_ p0 lQ];8xJ_댳?^5f


l(< JQ=/ͮ>S ߶nz~p!$
Torna all'inizio della Pagina

xena
Average Member



73 Messaggi
Inserito il - 29/01/2010 : 17:04:51  Mostra Profilo
Scusami! in effetti la memort pen ha copiato male...
ecco il nuovo link
htt*://[www].mediafire[.com]/file/nym2qyjoegt/hijackthis.log
Torna all'inizio della Pagina

shang
Advanced Member

Citt: Roma


4879 Messaggi
Inserito il - 29/01/2010 : 17:09:42  Mostra Profilo
bene, adesso va meglio....ho sudato freddo per te

Riavvia il Pc in modalit provvisoria

clicca su start => esegui => digita: c:\mbr.exe -f
attenzione!: c' uno spazio prima di -f

posta il log creato che troverai in c:\mbr.log
Torna all'inizio della Pagina

xena
Average Member



73 Messaggi
Inserito il - 30/01/2010 : 10:24:10  Mostra Profilo
Allora ho eseguito di nuovo mbr ma purtroppo il risultato non cambiato, sempre uguale a ci che ti ho scritto nel primo post...
Intanto ieri ho avviato gmer, solo che dalle tre di pomeriggio l'ho fermato poi io stanotte all'una xk nn aveva ancora finito... non so se sia normale... (era arrivato alla cartella programmmi). Cmq ti posto il log di gmer fino a quel momento.
htt*://[www].mediafire[.com]/file/w2dhxtz2jji/gmer.txt
Torna all'inizio della Pagina

xena
Average Member



73 Messaggi
Inserito il - 30/01/2010 : 11:18:56  Mostra Profilo
cmq, non so se sbaglio, sembra che questo rootkit crei un clone del mio account con il nome di help assistant in c:/documentesetting/ perk ieri mentre davo un'occhiata alla scansione con gmer stava scansionando praticamente di nuovo i miei file solo nella cartella di helpassistant...
Torna all'inizio della Pagina

shang
Advanced Member

Citt: Roma


4879 Messaggi
Inserito il - 30/01/2010 : 11:55:22  Mostra Profilo
abilita la visualizzazione dei file nascosti (apri una cartella qualsiasi, vai su Strumenti--> Opzioni cartella--> Visualizzazione e spunta Visualizza file e cartelle nascosti

controlla in c:\documents and settings le cartelle HelpAssistant
devi seguire il percorso ed eliminarle tutte

c:\documents and settings\HelpAssistant\Phone Browser
c:\documents and settings\HelpAssistant\.chgen
c:\documents and settings\HelpAssistant\Tracing

edit

aggiungi alla ricerca anche questa

c:\documents and settings\HelpAssistant\InstallAnywhere
Modificato da - shang in data 30/01/2010 11:59:18
Torna all'inizio della Pagina

xena
Average Member



73 Messaggi
Inserito il - 30/01/2010 : 14:36:55  Mostra Profilo
Ho cancellato completamente la cartella helpassistant, ho spento e riavviato il pc e fortunatamente non si ripresentata.
cmq forse ho tralasciato una cosa importante ieri... quando mi hai detto nel pomeriggio di avviare mbr (mi sa dopo combofix se non sbaglio... ) all'inizio mi aveva creato questo log:

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
copy of MBR has been found in sector 0x03A380D80
malicious code sector 0x03A380D83 !
PE file found in sector at 0x03A380D99 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

poi l'ho rieseguito (come dice il log stesso) ma tornato il solito:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x03A380D80
malicious code sector 0x03A380D83 !
PE file found in sector at 0x03A380D99 !

Intanto ho provato a fare scansioni con altri tools come Prevx e fixMebRoot ma non hanno trovato nulla....
Torna all'inizio della Pagina

shang
Advanced Member

Citt: Roma


4879 Messaggi
Inserito il - 30/01/2010 : 14:49:21  Mostra Profilo
andiamo con calma Xenia, facciamo quest'altro passaggio

sempre con la visualizzazione dei file nascosti

Dal Pannello di Controllo vai in Strumenti di Amministrazione ed apri Gestione Computer.
Espandi(clicca sul +) la visualizzazione di Utenti e gruppi locali.
Clicca una volta, sopra la cartellina Users,e sulla destra della pagina,trovi l'account HelpAssistant.
Clicca con il tasto destro del mouse, sull'account HelpAssistant.
clicca su: Propriet.
Nella finestra di dialogo Propriet metti la spunta, a l'opzione: Account disabilitato. E confermi con OK.
Poi, clicca nuovamente su: Propriet, clicca sulla tabella in alto: "Membro di" e se nel box appare Amministratore, selezionalo, e premi il tasto "Rimuovi": in questo modo escludiamo l'account HelpAssistant dal gruppo Amministratori.

Torna all'inizio della Pagina

xena
Average Member



73 Messaggi
Inserito il - 30/01/2010 : 16:19:00  Mostra Profilo
OK! ho fatto come hai detto. ora bisogna fare qualcos'altro?
Torna all'inizio della Pagina

shang
Advanced Member

Citt: Roma


4879 Messaggi
Inserito il - 30/01/2010 : 17:30:31  Mostra Profilo
intanto vorrei sapere se noti cambiamenti nel pc, a volte l'infezione anche se eliminata lascia sempre un avviso di allerta con mbr.exe

procediamo e vediamo se e' realmente nel pc

vai in C:\ ed elimina tutti i file mbr.log

fatto questo vai in provvisoria e riesegui la scansione con il fix

clicca su start => esegui => digita: c:\mbr.exe -f

(fai copia\incolla)

Fatto ci postami qui il contenuto del log creato che troverai in c:\mbr.log


posta subito il rapporto

se e' positivo, esegui queste scansioni


Scarica Norman SinowalMBR Cleaner

htt*://download.norman.no/public/Norman_Sinowal_Cleaner.exe


Doppio click sull'icona di Norman SinowalMBR Cleaner.exe

Clicca su Accept >>> poi su start scan

Al termine della scansione, viene generato un log sul desktop chiamandolo NFix_2008-MM-GG_hh-mm-ss.log


fai girare anche questo tool e vedi se rileva qualcosa

htt*://support.kaspersky[.com]/downloads/utils/tdsskiller.zip
Torna all'inizio della Pagina

xena
Average Member



73 Messaggi
Inserito il - 01/02/2010 : 12:50:50  Mostra Profilo
Dunque il log di mbr.exe sempre lo stesso :(
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, htt*://[www].gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x03A380D80
malicious code sector 0x03A380D83 !
PE file found in sector at 0x03A380D99 !

Il log di Norman SinowalMBR Cleaner qui:
htt*://[www].mediafire[.com]/file/omt2nmmjze4/NFix_2010-02-01_10-20-53.log
(non sebrano buone notizie visto che dice che in c: non riesce a scansionare i 'bootsectors' boh...)

Il log di tdsskiller qui:
htt*://[www].mediafire[.com]/file/mntoit55tlm/TDSSKiller.2.2.2_01.02.2010_12.41.45_log.txt

Cmq in questi due giorni sto usando il pc e sembra che i problemi di lentezza non ci siano pi e fortunatamente non si pi bloccato.
Torna all'inizio della Pagina

shang
Advanced Member

Citt: Roma


4879 Messaggi
Inserito il - 01/02/2010 : 13:19:31  Mostra Profilo
stavo dando un'occhiata a tds killer, non e' molto chiaro

comunque sembra che sia stato rilevato qualcosa

xena non posso mandarti via cosi', dobbiamo essere certi che il tuo pc sia pulito



Esegui una scansione on-line con kaspersky.
htt*://[www].kaspersky[.com]/service?chapter=161739400
1.Clicca su Kaspersky Online Scanner
2.Scarica un componente ActiveX da Kaspersky, Clicca su "Yes."
3.Attendi la fine del download
4.Clicca su "Next"
5.Clicca su "Scan Settings"
6.Assicurati che siano spuntate le seguenti voci
Scan using the following Anti-Virus database:
Extended
spunta le voci di "Scan options"
Scan Archives
Scan Mail Bases
7.Clicca su "OK"
8.Scegli "My computer"
Attendi la fine della scansione,salva il rapporto cliccando su "Save as Text"
Torna all'inizio della Pagina

xena
Average Member



73 Messaggi
Inserito il - 01/02/2010 : 13:42:57  Mostra Profilo
purtroppo la scansione on line si kaspersky momentaneamente non disponibile:
"The current Kaspersky Online Scanner is unavailable - we apologize for the inconvenience. While you are waiting for the improved Online Scanner, why not try a free trial of Kaspersky Internet Security 2010, which has everything you need to keep your computer safe."
Grazie comunque per il tuo supporto!!!
Torna all'inizio della Pagina
Pagina: di 2 Discussione Precedente Discussione Discussione Successiva  
Pagina Successiva

 Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
Vai a:
NoTrace Security Forum
 © Nazzareno Schettino
RSS NEWS 		Torna all'inizio della Pagina
Pagina generata in 0,25 secondi. TargatoNA | SuperDeeJay | Snitz Forums 2000