| Autore |
 Discussione  |
|
Danser
Junior Member
.jpg)
55 Messaggi |
 Inserito il - 09/05/2010 : 13:59:34
|
Buongiorno a tutti,mi sono iscritto oggi al forum  .Non sono solito chiedere aiuto nei forum,ma questa volta non so proprio come uscirne.
Facendo il test con il programma "Stealth MBR rootkit detector" risulta questo messaggio:
"copy of MBR has been found in sector 0x01D1C06C0
malicious code  sector 0x01D1C06C3 !
PE file found in sector at 0x01D1C06D9 !"
Ho prima fatto diverse scansioni con noti antivirus e ho seguito le istruzioni date da shang,presenti in questa discussione htt*://[www].notrace.it/Forum2/topic.asp?TOPIC_ID=14281&whichpage=1 (dove l'utente mariarosa85 ha un problema simile al mio,anzi a prima vista uguale)ma non ho risolto
Con l'istruzione C:/mbr -f riappare lo stesso messaggio sopra anche in modalità provvisoria
Successivamente ho usato i comandi fixmbr e fixboot dalla consolle di ripristino e formattato l'HD ma niente.
Ho provato anche le istruzioni FDISK /mbr ma inutile.
Ho due HD (non due partizioni,proprio due Hard disk fisici) uno (unità C) che uso per il Sistema operativo e i file d'uso comune,l'altro come Archivio/Magazzino (l'unico a non aver ancora formattato).
Come posso fare a risolvere il problema? Per me si può formattare/ripristinare qualsiasi cosa.Certo se fosse possibile evitare di formattare l'unità Archivio/Magazzino sarebbe meglio visti i tanti Gb da dover passare su DVD (ancora infatti non l'ho formattato per questo).
Allego il log Hijack This (ho appena reinstallato win XP).
htt*://wikisend[.com]/download/539986/hijackthis.log
|
Modificato da - Danser in Data 09/05/2010 14:03:26
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 09/05/2010 : 15:18:00
|
ciao e benvenuto nel forum
hai fatto anche la scansione con combofix? se si puoi postarmi il rapporto?
caricalo qui
|
 |
|
|
Danser
Junior Member
55 Messaggi |
Inserito il - 09/05/2010 : 15:55:52
|
ecco qui,scusa il ritardo ma ero a pranzo
htt*://[www].wikisend[.com]/download/497192/combofix_log.txt |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 09/05/2010 : 15:57:39
|
| Danser devi postare il log completo, questa e' solo una parte |
|
|
|
Danser
Junior Member
55 Messaggi |
Inserito il - 09/05/2010 : 16:05:42
|
| Ecco htt*://wikisend[.com]/download/493844/ComboFix.txt questo è quello presente in C:/ è giusto? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
 Inserito il - 09/05/2010 : 16:16:05
|
sembra un po' troppo corto ....
disinstalla Java e reinstallalo pulito da qui
apri un file di testo (dal blocco note di windows), al suo interno incollaci il seguente script:
file::
c:\windows\system32\CF7867.exe
c:\windows\system32\CF7084.exe
c:\windows\system32\CF7051.exe
FCopy::
c:\windows\ServicePackFiles\i386\d3d9.dll |c:\windows\system32\d3d9.dll
salva il file nella stessa cartella dove hai messo combofix chiamandolo obbligatoriamente CFScript.txt
Fatto ciò, con il puntatore del mouse, trascina il file sull'icona di combofix. Il programma avvierà una nuova scansione, come la precedente. Non fare e non muovere nulla. Al termine di essa, se non si riavvierà automaticamente il computer, fallo tu. Allega il nuovo file c:\combofix.txt prodotto dalla scansione. |
|
|
|
Danser
Junior Member
55 Messaggi |
Inserito il - 09/05/2010 : 16:31:13
|
Credo sia corto perchè ho reinstallato XP stamattina.
Comunque JAVA reinstallato.
Ho fatto il documento come hai detto,l'ho trascinato ed mi ha eseguito una nuova scansione,il riavvio lo ha fatto da se.
Ecco il report.
htt*://wikisend[.com]/download/508598/ComboFix.txt |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 09/05/2010 : 16:42:48
|
ma hai eseguito tutto lo script? lo hai copiato per intero?
per ora facciamo un altro controllo, dopo recuperiamo il file mancante
collegati qui e fai una scansione completa del sistema
per farla devi usare necessariamente il browser I.E. |
|
|
|
Danser
Junior Member
55 Messaggi |
Inserito il - 09/05/2010 : 17:33:17
|
Citazione:
Messaggio inserito da shang
ma hai eseguito tutto lo script? lo hai copiato per intero?
sisi ho copiato tutta la parte scritta in rosso
Ho eseguito la scansione con Bitdefender lasciando le impostazioni originali che ho trovato.
Ecco qui il file report che ho salvato
htt*://[www].wikisend[.com]/download/952904/scan_report_bitdefender.html |
Modificato da - Danser in data 09/05/2010 17:33:38 |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 09/05/2010 : 19:40:12
|
| Danser le scansioni effettuate non denotano nessuna infezione da rootkit....mi dici quali sono i problemi che riscontri al momento? lentezza? vorrei una descrizione piu' precisa |
|
|
|
Danser
Junior Member
55 Messaggi |
Inserito il - 09/05/2010 : 19:50:10
|
| Il test che effettuo con l'mbr.exe (Stealth MBR rootkit detector) mi rileva la presenza di un file malevolo nell'MBR.Ho scoperto la presenza di questo effettuando una scansione con Microsoft One Care poichè notavo che mentre navigavo in internet mi si aprivano pop-up anche se stavo fermo nella pagina di google.Vorrei eliminare questo virus dall'MBR proprio per evitare che tra un pò mi si creino altri problemi,come è già successo (in sostanza levo un virus e al riavvio se ne crea un altro).Quindi se non prima levo il virus dall'MBR non sto tranquillo. |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 09/05/2010 : 20:03:09
|
mbr.exe a volte continua a segnalare l'infezione anche se non e' piu' presente...adesso facciamo un ulteriore controllo
vai in C:\ ed elimina i file di testo della precedente scansione da te effettuata, li trovi come mbr.log
esegui nuovamente la scansione da modalita' provvisoria direttamente col comando di eliminazione
Start>> Esegui e digita mbr.exe -f (fai copia\incolla) e posta il nuovo log che trovi in C:
poi
scarica Norman SinowalMBR Cleaner sempre in modalità provvisoria.
Doppio click sull'icona di Norman SinowalMBR Cleaner.exe
Clicca su Accept >>> poi su start scan
Al termine della scansione, viene generato un log sul desktop chiamandolo NFix_2008-MM-GG_hh-mm-ss.log
|
|
|
|
Danser
Junior Member
55 Messaggi |
Inserito il - 09/05/2010 : 20:28:26
|
Ecco qui tutti e due i LOG. Per fare le scansioni sono entrato in modalità provvisoria come Amministratore.
MBR:
htt*://wikisend[.com]/download/616598/mbr.log
Norman SInowalMBR
htt*://wikisend[.com]/download/506030/NFix_2010-05-09_20-12-51.log
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 09/05/2010 : 20:41:50
|
scarica ed esegui KASPERSKY VIRUS REMOVAL TOOL
verrà creata una apposta cartella sul Desktop
Avvia il pc in modalità provvisoria
Vai alla cartella creata da Kaspersky
all’interno della cartella è presente la classica icona (una K) di Kaspersky
clicca sull’icona per lanciare il tool
imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default)
al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
salva il log che verrà rilasciato |
|
|
|
Danser
Junior Member
55 Messaggi |
Inserito il - 09/05/2010 : 21:14:06
|
 non mi fa entrare in questa pagina né in quelle microsoft o di altri antivirus tipo avira.
Provo a sistemare questa cosa e poi ti faccio sapere come è andata la scansione con Kaspersky,probabilmente domani.
Grazie mille per l'aiuto dato oggi in ogni caso  |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 09/05/2010 : 21:17:08
|
aspetta Danser
vuoi forse dire che non riesci ad aprire la pagina della microsoft?
prova a connetterti qui |
|
|
|
Discussione |
|
Virus nell'MBR:Fixmbr,Formattazione e Fdisk inutil
Forum Bloccato
