| Autore |
 Discussione  |
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
 Inserito il - 26/05/2010 : 17:19:53
|
scarica MBR:EXE direttamente in C:\
vai in provvisoria
Da Start - Esegui - digita C:\mbr.exe e clicca su OK
Posta il log che troverai in C:\ come mbr.log
|
 |
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 26/05/2010 : 18:21:10
|
senza che ti posto log. te lo copio. è cortissimo. sicuro che me lo abbia fatto?
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, htt*://[www].gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A14C00
malicious code  sector 0x012A14C03 !
PE file found in sector at 0x012A14C19 !
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 26/05/2010 : 18:37:07
|
elimina il log che hai postato
sempre da provvisoria
Start>> Esegui e digita mbr.exe -f (fai copia incolla)
dai ok - vai in C:\ e posta il nuovo log |
|
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 26/05/2010 : 20:33:49
|
da sempre lo stesso risultato. come faccio a fare copia incolla da modalità normale a quella provvisoria?
ealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, htt*://[www].gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A14C00
malicious code sector 0x012A14C03 !
PE file found in sector at 0x012A14C19 !
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 26/05/2010 : 20:48:48
|
hai l'MBR infetto
adesso segui questi passaggi vediamo di togliere l'infezione
apri blocco note e copia questo testo in rosso punto e virgola compresi
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"hsfe8owijfisjhgs7ye39gjsoighsd7y3eu"=-
"hsfg9w8gujsokgahi8gysgnsdgefshyjy"=-
"cbssreg"=-
;
salvala sul desktop come fix.reg
eseguila
accetta le modifiche al registro
poi
abilita la visualizzazione dei file nascosti (apri una cartella qualsiasi, vai su Strumenti--> Opzioni cartella--> Visualizzazione e spunta Visualizza file e cartelle nascosti
cerca ed elimina le cartelle segnate in rosso
c:\documents and settings\HelpAssistant\Contacts
c:\documents and settings\HelpAssistant\.realsoft
c:\documents and settings\HelpAssistant\.jbidwatcher
c:\documents and settings\HelpAssistant
c:\documents and settings\HelpAssistant\Impostazioni locali
c:\documents and settings\HelpAssistant\Modelli
c:\documents and settings\HelpAssistant\Dati applicazioni
Dal Pannello di Controllo vai in Strumenti di Amministrazione ed apri Gestione Computer.
Espandi(clicca sul +) la visualizzazione di Utenti e gruppi locali.
Clicca una volta, sopra la cartellina Users,e sulla destra della pagina,trovi l'account HelpAssistant.
Clicca con il tasto destro del mouse, sull'account HelpAssistant.
clicca su: Proprietà.
Nella finestra di dialogo Proprietà metti la spunta, a l'opzione: Account disabilitato.
Poi, clicca nuovamente su: Proprietà, clicca sulla tabella in alto: "Membro di" e se nel box appare Amministratore, selezionalo, e premi il tasto "Rimuovi" |
|
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 26/05/2010 : 21:08:18
|
allora. l ho rinminato,lo eseguo e mi chiede se voglio aggiungere i dati contenuti c:\document and setting\.......al regiastro. gli dico di si e mi dice:
impossibile importare c:\ecc..... il file specificato non è uno script del registro di sitema.
è possibile importare solo file di sistema binari dell editordel registro di sitema |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 26/05/2010 : 21:14:59
|
prova a scaricarlo da qui
salvalo sul desktop e cliccaci su
se tutto va bene accetta le modifiche e riavvia i pc |
|
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 26/05/2010 : 21:59:07
|
stavolta ha funzionato. ho tolto le cartelle che erano contenuto all interno di c:\documents and settings\HelpAssistant
tu mi dici però di eliminare anche la stessa c:\documents and settings\HelpAssistant
quindi tutta la cartella?
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 26/05/2010 : 22:07:25
|
devi eliminare TUTTE le cartelle sono frutto dell'infezione che hai nel'MBR
esegui anche il secondo passaggio per l'account HelpAssistant |
|
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 26/05/2010 : 22:11:40
|
cioè? cosa intendi per secondo passaggio?
il file che mi hai mandato l ho inserito e ho riavviato. poi ho eliminato tutte le voci che mi hai detto all infuori di c:\documents and settings\HelpAssistant ( penso sia tutta la cartella) |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 26/05/2010 : 23:05:58
|
le cartelle che ho citato devi eliminarle
DA START\ESEGUI DIGITA control userpasswords2 e dimmi quali utenti vedi |
|
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 26/05/2010 : 23:14:09
|
| 3: administrator,gnacche guest |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 26/05/2010 : 23:23:50
|
Dal Pannello di Controllo vai in Strumenti di Amministrazione ed apri Gestione Computer.
Espandi(clicca sul +) la visualizzazione di Utenti e gruppi locali.
Clicca una volta, sopra la cartellina Users,e sulla destra della paginadovresti avere l'account HelpAssistant
guarda se agisce come amministratore |
Modificato da - shang in data 26/05/2010 23:24:43 |
|
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 26/05/2010 : 23:32:51
|
| ma non c è la voce gruppi locali.in gestione computer vedo solo utilità di sistema, archiviazione e servizi e applicazioni |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 26/05/2010 : 23:36:28
|
sistema operativo? xp home o professional?
oppure vista? |
|
|
|
Discussione |
|
antispyware soft
Forum Bloccato
