| Autore |
 Discussione  |
|
Polymario
New Member
Città: San Lucido (CS)
49 Messaggi |
 Inserito il - 24/11/2008 : 08:36:39
|
Ciao a tutti, sono un tipo che si è sempre "divertito" a risolvere i problemi del suo desktop con le proprie mani, ma adesso mi serve un consiglio esperto.
In seguito ad un "non meglio specificato problema" (c'era la mia consorte alla tastiera in quel momento) il computer si è bloccato.
E' stato riavviato di prepotenza e adesso uno dei miei HD si ritrova RAW anziche NTFS. normalmente farei un bel formattone generale e chi si è visto si è visto, ma i dati contenuti in quel HD sono importanti e non posso recuperarli a memoria, (nulla di irreparabile, ma mi occorreranno 3 mesi come minimo per rielaborare solo i fogli di calcolo!!).
Queste sono le informazioni rilevanti che vi posso dare :
1) al riavvio CHKDSK esegue un controllo di coerenza su D:, si interrompe e riporta il messaggio "file master corrupt"
2) l'antivurs Avast (instllato da 2 mesi circa) è sparito dalla circolazione (non compare in esecuzione nè in Task Manager, nè sulla barra strumenti)
3) Windows Xp SP3 non mi fa accedere all'"installazione applicazioni"
4) non mi sembra rilevante postare la mia configurazione hardware, anche perchè, in seguito ad un rapido controllo benchmark, tutti i risultati sono positivi, compreso L'HD guasto (nessun settore o cluster danneggiato).
Formattone? (vi prego datemi una chance).
|
Modificato da - death in Data 24/11/2008 12:23:52
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
 Inserito il - 24/11/2008 : 09:17:00
|
Buon giorno e benvenuto su Notrace, vediamo se per caso è un infezione che ti ha fatto il danno, se il pc è pulito proviamo con un'altra soluzione, segui le istruzioni:
scarica Hijackthis
1) crea una cartella dedicata e scompattalo al suo interno
2) lancia il programma
3) nel menu' di destra clicca su "do a system scan and save a log file"
4) il programma ti rilascerà un file di report in formato txt, salvalo e postalo sul forum secondo il regolamento
poi
scarica Malwarebytes
1) lo installi
2) lo aggiorni
3) fai una scansione scegliendo la modalità completa
4) NON eliminare le eventuali minacce che rileva
5) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum
per postare i report segui questa scaletta:
1) andare sul sito htt*://[www].savefile[.com]/
2) clicca su Upload My file
3) clicca su upload oppure registrarsi per avere più opzioni
4) clicca su browser e scegli il file di log, txt ecc dal tuo computer
5) compila i restanti campi e clicca su Upload File
6) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file: ]
oppure utilizza questo servizio: htt*://[www].wikisend[.com]
Ti lascio due link di un programma per il recupero delle partizioni sugli hard disk dopo danni vari, per ora NON usarli mi raccomando
htt*://[www].cgsecurity.org/wiki/TestDisk
htt*://[www].citynewsonline.org/modules/article/view.article.php?c11/229
|
 |
|
|
Polymario
New Member
Città: San Lucido (CS)
49 Messaggi |
Inserito il - 24/11/2008 : 10:26:12
|
purtroppo hjackthis mi da errore "è una applicazione win32 non valida"
il link del malwarebytes log è questo:
htt*://[www].savefile[.com]/files/1901504
la minaccia del formattone incombe . |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 24/11/2008 : 10:36:17
|
Sei poco fiducioso  ..nessun formattone in vista..ti ho fatto fare la scansione apposta visto che il virus bagle si diverte con questi scherzetti, rifai la scansione con malewarebytes, rimuovi tutto, riavvia il pc, poi segui questa procedura:
scarica elibagla
disconnetti il pc da intenet, disattiva momentaneamente il tuo antivirus lancia il programma e spunta '' ELIMINAR FICHEROS AUTOMATICAMENTE'' poi clicca sul tasto "Explorar" quando avrà finito genererà il report in file di testo C:\InfoSat.txt. che posterai qui nel forum
Ti avviso che ne avremo per un momentino a ripulire il pc.
|
|
|
|
Polymario
New Member
Città: San Lucido (CS)
49 Messaggi |
Inserito il - 24/11/2008 : 11:55:48
|
resoconto dettagliato della battaglia:
accedo al sito elibagla, mi accorgo che è in spagnolo, poco male, secondo una teoria che mi sono appena inventato l'italiano e lo spagnolo sono la stessa cosa. (il formattone ridacchia)
scarico il file elibagla ma con mio profondo orrore scopro che la sua estensione è jsjxc o roba simile, non mi scoraggio, lo rinomino .exe e lo avvio...sembra un successo, ma... il computer si riavvia da solo. (il formattone è in preda ai singulti)
la luce illumina i miei neuroni, la voce del maestro diceva disconnetti internet prima di avviare elibagla...
chiudo l'immondo strumento e riavvio elibagla...successo totale, (il formattone non ride più).
link elibagla log:
htt*://[www].savefile[.com]/files/1901620
e la battaglia continua... |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 24/11/2008 : 12:17:03
|
Sto sorridendo..non so cosa hai scaricato..in fondo alla pagina c'era il pulsante per il download ed il file è un exe, ma fa lo stesso basta che abbia funzionato, vediamo se c'e' qualche servizio da rimuovere:
scarica Avenger
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
Files to delete:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\m\svrlist.oct
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.XXX
%SystemDrive%\WINDOWS\system32\mdelk.exe.XXX
%SystemDrive%\WINDOWS\system32\wintems.exe.XXX
%SystemDrive%\WINDOWS\system32\1.exe
Folders to delete:
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m\shared
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drv_st_key
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Drivers to disable:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
|
Modificato da - death in data 24/11/2008 12:17:33 |
|
|
|
Polymario
New Member
Città: San Lucido (CS)
49 Messaggi |
Inserito il - 24/11/2008 : 12:38:58
|
avenger è titubante, mi chiede conferma delle sue azioni ad ogni passo, io confermo ogni suo dubbio e il computer si riavvia per l'ennesima volta in poche ore, ma questa volta il formattone appare corrucciato... e dico...corrucciato.
link avenger log:
htt*://[www].savefile[.com]/files/1901662 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 24/11/2008 : 12:46:13
|
Avenger è andato a buon fine, avevi una sola chiave di registro infetta, e questi che ti ho segnato in eliminazione sono gli ultimi files noti creati dall'infezione, ora, riesegui una scansione con malewarebytes, elimina tutto e posta il report, poi verifica se vedi i files nascosti
Citazione:
Windows XP
Tasto destro su Start–>Esplora–>Menù Strumenti–>Opzioni Cartella–>Visualizzazione
-Mettere la spunta a ‘Visualizza tutti i files’ o “Visualizza cartelle e files nascosti”
-Togliere la spunta a ‘Non visualizzare cartelle e files di sistema’ o “Nascondi i files protetti di sistema”
poi verifica se accedi in modalità provvisoria
Citazione:
Windows XP e Windows 2003
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows XP o Windows 2003.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
poi fatto questo esegui questa scansione
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop.
|
|
|
|
Polymario
New Member
Città: San Lucido (CS)
49 Messaggi |
Inserito il - 24/11/2008 : 16:27:40
|
visualizzo i file nascosti, e accedo in modalità provvisoria
eseguo punto per punto le istruzioni
malware report:
htt*://[www].savefile[.com]/files/1901978
systemscan report:
htt*://[www].savefile[.com]/files/1901979
ma il mio amico formattone mi fa notare che l'HD D: è sempre RAW.
La fiducia è più che mai viva, e non ti voglio pressare ma, rispondi a questo quesito oh sommo maestro "morte", c'è speranza per il povero D: o comunque vada sarà una bestemmia? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 24/11/2008 : 16:38:45
|
Ho dato uno sguardo veloce a systemscan, complimenti hai l'ultima variante del bagle, infatti ci sono ancora dei files da rimuovere a mano, mi confermi che per ora il tuo hard disk è sempre non accessibile immagino?
Devi solo portare pazienza non ti garantisco che di questa sera riesca a darti la procedura, evita di navigare con quel pc mi raccomando. |
|
|
|
Polymario
New Member
Città: San Lucido (CS)
49 Messaggi |
Inserito il - 24/11/2008 : 16:47:50
|
grazie per i complimenti
si l'hard disk è ancora inaccessibile e uso solo questo PC per internet quindi non posso staccarlo altrimenti per comunicare con te mi rimangono il codice morse e isegnali di fumo,
ambedue sistemi scomodi dato il chilometraggio che occorre tra Pinerolo e San Lucido. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 24/11/2008 : 18:00:51
|
| Buona sera, intendevo evita di navigare in giro, il sito di Notrace è pulito, qui puoi pure dormirci tranquillo, appena riesco finiamo la procedura. |
|
|
|
volley_3
Advanced Member
Nota:
672 Messaggi |
Inserito il - 24/11/2008 : 21:36:16
|
| io avrei un'altra soluzione... scaricare ubuntu live... riavviare il pc... salvare tutti i documenti importanti grazie all'avvio di ubuntu in modalità live... e poi scegliere quello che più si vuole... :) combattere il virus per curarlo... oppure ditruggerlo all'istante... :) non pensate? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 24/11/2008 : 21:55:15
|
Volley, ti ringrazio per il suggerimento, non ci sarei mai arrivato da solo , per ora vorrei capire se la variante recente del bagle gli ha "schiacciato" la partizione o se è stata una concomitanza di eventi, la tua soluzione la applichero' sicuramente nel proseguio della discussione prima di fargli recuperare la radice del disco.
EDIT: passiamo alle cose serie, segui questa procedura:
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
Files to delete:
C:\WINDOWS\system\CmiCnfg.ini
C:\WINDOWS\system32\krx260.dat
C:\WINDOWS\system32\drivers\srosa2.sys
C:\WINDOWS\system32\drivers\winfilse.exe
Drivers to disable:
%SystemDrive%\WINDOWS\system32\drivers\srosa2.sys
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
poi vediamo se si sblocca l'hard disk, ti faccio fare una procedura di controllo del registro, segui queste istruzioni:
scarica SmithfraudFix
riavvia in provvisoria, doppio click su smithfraud.exe , selezionare 2, invio, ti verrà richiesto di pulire il registro, digita y , invio,potrebbe essere richiesto di sostituire dei files,digita y , poi invio, finita la procedura ti verrà chiesto di riavviare, troverai il rapporto in c:\rapport.txt
SmithfraudFix ti verrà riconosciuto come virus, sia quando fai il donwload e lo scarichi sia quando lo utilizzi, è un programma innocuo.
Per riavviare in provvisoria:
Citazione:
Windows XP e Windows 2003
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows XP o Windows 2003.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
|
Modificato da - death in data 24/11/2008 22:12:57 |
|
|
|
Polymario
New Member
Città: San Lucido (CS)
49 Messaggi |
Inserito il - 24/11/2008 : 22:11:30
|
| scusa se non te l'ho detto prima, ma vedo che ti riferisci al mio povero HD come se fosse una partizione, non so se è rilevante per l'analisi che stai facendo (e per la quale credo che non ti ringrazierò mai abbastanza, a prescindere dal risultato), ma non è una partizione è proprio un HD. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 24/11/2008 : 22:17:13
|
|
L'avevo capito che era un hard disk, il termine "schiacciato la partizione" si utilizza sia per gli hard disk puri sia per le partizioni secondarie di un solo disco fisso. |
|
|
|
Discussione |
|
Bagle - disco con file system raw
Forum Bloccato
