| Autore |
 Discussione  |
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
 Inserito il - 03/07/2010 : 10:47:43
|
sei sicuro di non riconoscere quelle cartelle? alcune sono zippate.....eliminale tutte poi riesegui HelpAsst_mebroot_fix come prima dopo aver eliminato il vecchio log e postami quello che rilascia adesso
mi raccomando non confonderli |
 |
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 03/07/2010 : 13:57:27
|
riconoscere in che senso?
all interno della cartella helpassistant ci sono finiti dei file in uso. ad esempio c è la cartella desktop (foto,collegamenti,ecc...).
non me l ha tolte da Gnacche/desktop ma ne ha fatto una copia non identica
|
Modificato da - gnacche in data 03/07/2010 15:44:04 |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 03/07/2010 : 19:02:21
|
Citazione:
non me l ha tolte da Gnacche/desktop ma ne ha fatto una copia non identica
l'infezione del rootkit crea delle cartelle duplicate ed e' proprio quello il trucchetto...[.com]unque se sono da eliminare ci pensera' il programmino che ti ho consigliato di rieseguire nel precedente post |
|
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 04/07/2010 : 17:47:36
|
appena rieseguito ma le cartelle sono ancora li!
[URL=htt*://wikisend[.com]/download/556584/HelpAsstfatto-oggi.txt]HelpAsstfatto-oggi.txt[/URL]
da quello che dice il log, sembra che non ci siano ma io le vedo
No HelpAssistant account in User list |
Modificato da - gnacche in data 04/07/2010 17:51:56 |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 04/07/2010 : 19:25:53
|
il programma non le rileva ma se non le conosci eliminale
poi scarica FixMebroot
clicca su Start e segui le istruzioni a video
Una volta conclusa la scansione verrà generato sul desktop il log dal nome FixMebroot.log
finita la scansione avvia bootkit_remover
e salvalo sul desktop, poi estrai remover.exe sul desktop. Dopo averlo lanciato, vai su Start>Esegui> e copia/incolla questo comando:
"%userprofile%\Desktop\remover.exe" fix \\.\PhysicalDrive0
riavvia il pc
appena eseguite queste operazioni prova nuovamente il comando di prima
da modalita' provvisoria
vai su Start>> Esegui e digita mbr.exe -f
Fatto ciò postami qui il contenuto del log creato che troverai in c:\mbr.log (controlla bene, deve esserci) |
|
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 05/07/2010 : 08:25:14
|
niente da fare. ho rifatto tutto 2 volte ma sto benedetto log di mbr non vuol venire fuori.
ho provato a cliccare direttamente sull icona di mbr che si trova in C:/ (mi avevi detto di metterla li) e un log viene fuori ma non è il log che cerchi. l altra volta, lo stesso log, era sbagliato.
[URL=htt*://wikisend[.com]/download/434472/mbr.log]mbr.log[/URL] |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 05/07/2010 : 11:19:11
|
| questa volta invece nel log c'e' il risultato e l'infezione e' ancora nel' mbr.....mi esegui quei due programmi che ti ho indicato nel precedente post? |
|
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 05/07/2010 : 11:50:47
|
me l ha ridato il log ma non nella maniera indicata da te, ma cliccando direttamente sull icona mbr. va bene ugualemnte?
con FixMebroot esce questo messaggio: Trojan.Mebroot has not been found active on your computer e dandogli ok lo riavvia.
mentre con bootkit_remover appena lo avvio compare la finestra superiore della foto che ti allego. quando gli do il comando in esegui compare quella sotto. ecco la foto
[URL=htt*://wikisend[.com]/download/958106/bootkit-remover.rar]bootkit-remover.rar[/URL] |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 05/07/2010 : 11:56:31
|
il comando lo hai digitato come e' scritto? riprova a farlo col copia incolla e vedi se esce ancora quella finestra
una domanda: il pc adesso risponde bene o lo vedi ''impallato'' ?
se hai 5 minuti vorrei fare una prova per vedere se effettivamente quel settore del disco e' effettivamente infetto |
|
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 05/07/2010 : 12:48:51
|
per quanto riguarda il comando ho creato un file di testo ed ho incollato quello che mi hai scritto "mbr.exe -f"
cosi me lo ritrovo in modalità provvisoria.
se ti riferisci a bootkit_remover ho copiato il comando comprese le virgolette iniziali
il pc ci mette un sacco di tempo per avviarsi ( anche se con reg cleaner ho ridotto di molto la lista di start-up) e ogni tanto firefox si inceppa ma nell insieme va bene
per quanto riguarda i 5 minuti cosa intendi? assistenza remota?
se cosi fosse mi faresti un gran piacere cosi guardi il tutto. |
Modificato da - gnacche in data 05/07/2010 12:51:31 |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 05/07/2010 : 16:50:27
|
per ora ripeti il comando di prima, vediamo se e' stato pulito
da modalita' provvisoria
vai su Start>> Esegui e digita mbr.exe -f
attento a non confonderlo con il log di prima altrimenti non si capisce piu' niente
elimina il vecchio log e postami il nuovo dopo aver digitato quel comando |
|
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 05/07/2010 : 17:22:46
|
altro che storia infinita...........
non c è nessun problema che mi sbagli..........non lo crea
dopo aver digitato in esegui mbr.exe -f, ho provato anche in mod. provvisoria a cliccare direttamente sopra l icona mbr e anche li rilascia lo stesso log. te lo copio direttamente
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, htt*://[www].gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A14C00
malicious code  sector 0x012A14C03 !
PE file found in sector at 0x012A14C19 !
ma come mai secondo te non riesce a generarlo?
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 05/07/2010 : 17:35:01
|
Gnacche ora vorrei fare il controllo di cui prima ti parlavo
fai queste operazioni senza sbagliare
scarica HxD e segui attentamente queste indicazioni |
|
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 05/07/2010 : 19:28:50
|
spero che sia giusta l immagine. il disco dovrebbe essere l' uno. se li mette in sequenza come il bios non dovrei essermi sbagliato. il 200, come dice la guida c è1
[URL=htt*://wikisend[.com]/download/592664/Immagine HxD.rar]Immagine HxD.rar[/URL] |
Modificato da - gnacche in data 05/07/2010 19:41:16 |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 05/07/2010 : 19:46:49
|
Gnacche gia' che ci sei controlla anche i settori dallo 0 al 63, da 1 a 62 dovrebbero essere vuoti (ovvero tutto 0)
controlla anche nell'ultimo, oltre la partizione |
|
|
|
Discussione |
|
antispyware soft
Forum Bloccato
