| Autore |
 Discussione  |
|
Viatripoli
Junior Member
51 Messaggi |
 Inserito il - 22/08/2010 : 18:19:16
|
Ciao a tutti,me da titolo mi sono imbattuto in questo virus.
Per farla breve (ci provo almeno), da cica 6-7 mesi il mio notebook (Acer Aspire 1692WLMi con Windows XP) ha cominciato a dare segnali "strani".
Ogni tanto si riavviava da solo, per non parlare delle miriadi di finestre pop-up che si aprivano a caso.
Per questi e un'altra serie di problemi (cambiando casa e mettendo Fastweb, appena provavo a collegarmi a internet, dopo un pò si bloccava il sistema con una schermata blu dicendomi in soldoni che si era creato una sorta di conflitto hardware), ho formattato il notebook per ben 2 volte negli ultimi 3 mesi. Il problema di connessione l'ho risolto attaccando un semplice rooter.
Adesso però alcuni problemi persistono, e negli ultimi 5-6 giorni capitano sempre più frequentemente:
1) il sistema mi si rallentava a palla dicendomi che la memoria virtuale era insufficiente (controllando con task manager vedevo che l'utilizzo file paging saliva a palla). Qui ho fatto il secondo format e ho poi sostituito uno dei 2 blocchi ram da 256mb con uno da 1gb).
2) quando uso firefox e cerco qualcosa con google, resta la schermata bianca per una ventina di secondi prima di visualizzare i risultati.
3)quando da Google effettuavo una qualsiasi ricerca e cliccavo su una delle delle risposte venivo deviato all'indirizzo htt*:// adwords.myonlinesecure [.com] al posto che sul link giusto. (Ho messo gli spazi per evitare che qualcuno ci clicchi e venga linkato per errore alla pagina)
Cercando un pò in rete ho trovato vari siti (tra cui il vostro forum) che spiegavano come risolvere il problema, e tra le soluzioni c'era anche l'utilizzo di gmer.exe
Non ci ho capito granché però nel log che mi è uscito.
Ve lo allego sperando di risolvere finalmente una volta per tutte.
p.s. solitamente tengo attaccato anche un hd esterno da 500gb il drive f:, ho fatto la scansione di C: D: ed F:
P.P.S. Sono alquanto noob per quanto riguarda virus e antivirus, quindi vi pregherei di spiegarmi proprio passo passo come eliminare questa piaga 
grazie.
htt ://[www].freefilehosting.net/drxTNByu
|
Modificato da - in Data
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 22/08/2010 : 18:44:46
|
Buona sera e benvenuto su Notrace, vediamo di eseguire una scansione con un tool apposito, segui le istruzioni:
scarica sul desktop ComboFix
Riavvia il computer in modalità provvisoria (segui lo specchietto)
Citazione:
Windows XP e Windows 2003
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows XP o Windows 2003.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
Se hai delle icone di collegamento a programmi sul desktop, crea una cartella apposita e spostale al suo interno
Doppio click su combofix.exe e segui le istruzioni passo a passo, ricordati di dare invio se richiesto dopo i vari passaggi
Quando avrà finito creerà il log C:\combofix.txt salvalo e postalo come gli altri report.
Nota bene : durante la scansione verranno creati dei file sul desktop e scompariranno le icone, potrebbe succedere che qualche programma ti chiede cosa fare per la rimozione dei drivers, in questo caso accossenti, si tratta probabilmente di drivers infetti.
Posta il report come hai fatto per il precedente.
Il programma creerà la cartella C:\QooBox ed all'interno della stessa verrà posizionato un backup dei files rimossi ed un file di backup del registro di windows chiamato Hiv-backup.
Disattiva l'antivirus e i programmi anti-spyware
Disconnetti il pc da internet |
 |
|
|
Viatripoli
Junior Member
51 Messaggi |
Inserito il - 22/08/2010 : 22:44:28
|
Citazione:
Messaggio inserito da death
Disattiva l'antivirus e i programmi anti-spyware
Disconnetti il pc da internet
Ciao, ho provato in vari modi, ma non riesco evidentemente a disattivare del tutto il mio antivirus (ho Avira AntiVir).
Innanzitutto per la modalità provvisoria con F8 a me non va, ho dovuto fare da comandi-> msconfig.exe, ho spuntato /SAFEBOOT e ho riavviato (riavviando così in modalità provvisoria).
Ho provato a eliminare l'avvio automatico di Avira (sempre con msconfig) e riavviare nuovamente provando poi a far partire ComboFix sia da Amministratore sia col mio account windows (sempre in modalità provvisoria ovviamente).
Però ogni volta mi da ugualmente l'avviso
Citazione:
ComboFix ha rilevato che il seguente scanner(s) in real time è attivo:
antivirus: AntiVir Desktop
La prima volta ho provato a fregarmene, pure al secondo avviso ho fatto finta di nulla, e poi si è riavviato da solo (a questo punto le volte successive non ho osato più oltre il secondo avvertimento).
Vi avevo già avvisato della mia niubbaggine per quanto riguarda gli antivirus 
Però sono alquanto disperato, è un periodo che lotto contro l'impulso irrefrenabile di far volare il notebook giù dalla finestra...  |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 23/08/2010 : 07:48:06
|
Buon giorno, l'operazione Citazione:
msconfig.exe, ho spuntato /SAFEBOOT e ho riavviato
NON è mai da eseguire, per disattivare Avira in modalità normale - tasto destro del mouse - sull'ombrello nella barra dell'orologio e togli il flag da attiva antivir guard, è la prima riga se per caso hai il programma in lingua inglese, poi esegui combofix anche in modalità normale, se ha riavviato il pc la prima volta è probabile che abbia trovato dei rootkit come immaginavo. |
Modificato da - death in data 23/08/2010 07:48:25 |
|
|
|
Viatripoli
Junior Member
51 Messaggi |
Inserito il - 23/08/2010 : 17:13:04
|
Ciao Death, ho eseguito ComboFix da modalità normale, e come sospettavi mi ha dapprima aperto una finestra dicendomi che la Master Boot Record è infetta, poi mi ha detto che è stato rilevato un rootkit ed era necessario riavviare.
Qui ti allego i log di ComboFix (ovviamente messaggi runici criptati per me)
htt ://[www].freefilehosting.net/8rbwwEA2 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 24/08/2010 : 07:59:02
|
| Buon giorno, la vedo un poco ostica, sembra il virus mebroot con qualche variante, scarica questo tool htt*://[www]2.gmer.net/mbr/mbr.exe in c:\ poi da start >> esegui >> digita C:\mbr.exe -f dai ok, partirà il tool, lascialo lavorare qualche secondo e poi posta il report rilasciato, fai copia e incolla qui sul forum visto che non è così grande. |
Modificato da - death in data 24/08/2010 07:59:51 |
|
|
|
Viatripoli
Junior Member
51 Messaggi |
Inserito il - 24/08/2010 : 20:15:10
|
ecco qui il log di mbr
Citazione:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, htt*://[www].gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950E4C1
malicious code  sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/08/2010 : 08:20:26
|
| Buon giorno, vediamo se riusciamo a ripulire mbr con qualche tool, scarica questo htt*://[www].free-av[.com]/it/prodotti/4/avira_antirootkit_tool.html sul desktop e lancialo, qui vedi la videata principale htt*://[www].pcself[.com]/programmi-gratis/programma.asp?id=221&cat=2 assicurati che ci siano i segni di spunta o flag sulle caselline come indicato nell'immagine sulla sinistra, metti in quarantena o elimina le infezioni che trova, poi ripeti il comando C:\mbr.exe da start esegui, senza l'opzione -f e posta il report, posta anche il report del tool di Avira. |
|
|
|
Viatripoli
Junior Member
51 Messaggi |
Inserito il - 25/08/2010 : 19:36:11
|
Ciao Death, dunque, appena faccio partire Avira AntiRootkit Tool, mi appare il seguente messaggio:
Citazione:
The integrity check of one component cannot be checked. The application will exit.
e il programma si chiude.
Ho provato anche a staccare la connessione e disabilitare lo scan di Avira, ma nada, ogni volta che provo a far partire l'AntiRootkit appare sempre lo stesso messaggio. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 26/08/2010 : 08:07:38
|
| Buon giorno, vediamo una cosa, apri Avira Anti virus (doppio click sull'icona) poi clicca su "configurazione" , metti la spunta o flag sulla casellina "modalità esperto" nella stessa videata assicurati che sia spuntata l'opzione "scansiona settori di avvio dei drive" poi verifica che ci sia la spunta su "scansione rootkit all'avvio" se sono assenti, flagga le caselle, dai applica e risegui una scansione del pc con Avira anti virus e posta il report. |
Modificato da - death in data 26/08/2010 08:14:23 |
|
|
|
Viatripoli
Junior Member
51 Messaggi |
Inserito il - 26/08/2010 : 22:12:57
|
Buona Sera Death.
Ho seguito le tue istruzioni e ti allego il log di Avira Antivir
aveva trovato 1 file nascosto e 5 file infetti, che come unica opzione mi dava da mettere in quarantena.
htt ://[www].freefilehosting.net/dCHRgOw5 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 27/08/2010 : 12:23:49
|
| Buon giorno, carica il report qui per cortesia htt*://[www].wikisend[.com] su freefile ho problemi a scaricarlo. |
|
|
|
Viatripoli
Junior Member
51 Messaggi |
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 27/08/2010 : 19:24:21
|
| Buona sera, mi riesegui in modalità normale combofix e mi posti il report per cortesia. |
|
|
|
Viatripoli
Junior Member
51 Messaggi |
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 28/08/2010 : 12:59:41
|
|
Buon giorno, rimuovi da pannello di controllo > programmi installati la AskToolbar, riavvia il pc, poi rieseguimi start >> esegui >> digita C:\mbr.exe e postami il report, riesegui anche un nuovo combofix così vedo se restano chiavi di registro della asktoolbar. |
|
|
|
Discussione |
|
adwords myonlinesecure com Virus
Forum Bloccato
