|
|
Rank: AiutAmico
Iscritto dal : 3/28/2007
Posts: 633
|
ciao r16, ho un sospetto, spero infondato, di avere ancora il rootkit nel mio mbr, dimmi di no ti prego: log di combo fix ComboFix.txt
|
|
|
|
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Scarica MBR.EXE direttamente nella Directory C:\ (è importante che venga scaricato in C:\ ) http://www2.gmer.net/mbr/mbr.exeClicca Start Clicca Esegui... Digita: cmdsi apre la finestra DOS, digita: CD \premi invio digita: mbr -f (fai il copia-incolla) premi invio Poi digita: exitpremi invio Riavvia il pc Posta qui il contenuto del log C:\mbr.log
|
|
Rank: AiutAmico
Iscritto dal : 3/28/2007
Posts: 633
|
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.netdevice: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK copy of MBR has been found in sector 0x022EEAD41 malicious code @ sector 0x022EEAD44 ! PE file found in sector at 0x022EEAD5A ! secondo me non lo abbiamo mai debellato :-(
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Commenta:secondo me non lo abbiamo mai debellato Non è vero. Perchè la scansione successiva con Systemscan, lo dava legittimo. Prova a fare una scansione con Systemscan: scaricalo sul desktop http://www.suspectfile.com/systemscanAprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" Finita la scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/ Clicca sul bottone "Sfoglia" Seleziona il file appena salvato Clicca su Upload file Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati: Download Link / Forum Link Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum. Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata. NB: la durata della scansione può risultare lunga, potrebbe addirittura sembrare che il programma non stia lavorando, non preoccuparti non è così. SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.
|
|
Rank: AiutAmico
Iscritto dal : 3/28/2007
Posts: 633
|
Ciao r16 Niente il computer è andato tutta la notte ma Systemscan si è impiantato! Ha rilasciato comunque una parte di report dove ho potuto vedere che mbr sembra a posto. Non lo ho inviato perchè poi ieri sul molto tardi non riuscivo più ad entrare nel sito non so se a causa mia o per problemi al sito stesso. Stasera lo riscarico e riprovo. Ho trovato il cd di windows ma non parte. I cd di Avira e di Acronis partono regolarmente da boot ma quello di windows no, non so perchè. Forse qualche comando di windows alterato? Non c'è un modo di farlo diversamente? per esempio caricandolo con un comando da dos con cd di windows nel lettore? vorrei provare il comando fix.mbr Questo programma, che però non conosco, nè l'inglese è il mio forte, potrebbe fare al caso mio? http://www.ambience.sk/fdisk-master-boot-record-windows-linux-lilo-fixmbr.phpe avrei trovato questo: http://forum.html.it/forum/showthread/t-1213531.htmlIl computer è sempre quello di casa, che mio figlio usa per scuola. Non vorrei che fosse stato ricontagiato dal portatile di mio nipote con il quale ogni tanto si connette via ethernet per giocare Ho provato a far girare Systemscan anche sul portatile di mio nipote, S.O. Vista home. Ma anche qui Systemscan si impalla. Allora ho selezionato solo il controllo dell'mbr e mi ha dato mbr ok. r16 forse è diventata una mia mania!
Il fatto è che mbr.exe mi da sempre quel messaggio allarmante.
Stamattina però avira premiun si è aggiornato regolarmente mentre ieri no, forse a causa dei problemi dei loro server ed io mi son fatto prendere dal panico.
Forse è meglio che io riprovi a lanciare systemscan prima di avventurarmi in tanti tentativi cosa dici?
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Il Rootkit MBR, lo si può prendere 2 volte alla settimana, come 2 volte in 10 anni. Crea un punto di Ripristino configurazione sistema. Apri un file di testo sul Desktop Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt Code:File::
c:\programmi\serial.tde
c:\windows\winstart.bat
RegLock::
[HKEY_USERS\S-1-5-21-1960408961-1284227242-839522115-1003\RemoteAccess\Profile\x� *] e trascinalo sull'icona di ComboFix. Attendi la fine dei lavori, senza toccare tastiera, mouse o altro. Posta il log aggiornato di combofix. Ti serve questo Programma? ThreatFireDimmi che problemi riscontri.
|
|
Rank: AiutAmico
Iscritto dal : 3/28/2007
Posts: 633
|
Ok poi quando sono a casa seguo le tue istruzioni e ti faccio sapere.
Poi in attesa che tu mi legga, se sei d’accordo riprovo e rilancio Systemscan
Threatfire è della Pctools, se mi serve? Beh mi sembrava di avert cosa buona mettendo anche un controllo Hips, ma se mi dici che è meglio toglierlo lo faccio senza pensarci un attimo.
Quanto ai problemi che riscontro, all’apparenza nulla ma in realtà sento il computer lavorare molto e se vado in task manager la cpu è al 100% per qualche decimo di secondo e poi scende a valori vicino allo zero.
Jqs.exe all’avvio lavora molto e già pensavo di inibire questa funzione di Java.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Non conosco a fondo quel programma. (ThreatFire) Sò che si può affiancarlo ad un antivirus, senza che entri in conflitto, ma non sò altro. Mi raccomando, di creare un punto di ripristino. Le operazioni che farai sono contrastanti, per cui è meglio pararsi il sedere, in caso che qualcosa non funzioni. Elimina il Systemscan che hai scaricato, fai una pulizia con CCleaner, e riavvia il pc. Scarica questa versione di Systemscan: http://www.suspectfile.com/systemscanMa prima di fare la scansione, devo vedere il log di Combofix, e sapere se il pc ha problemi.
|
|
Rank: AiutAmico
Iscritto dal : 3/28/2007
Posts: 633
|
Penso di poterti inviare il log poco dopo le 17
Senti ma serial.tde è una vita che ce lo ho nel computer anche se no cosa sia né mai ho approffondito, cosa è???
A proposito ieri, nonostante guard webguard e mailguard di Avira fossero disattivati combofix continuava a vederli attivi! Come devo fare???
|
|
Rank: AiutAmico
Iscritto dal : 3/28/2007
Posts: 633
|
r16 ha scritto:Apri un file di testo sul Desktop Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt Code:File::
c:\programmi\serial.tde
c:\windows\winstart.bat
RegLock::
[HKEY_USERS\S-1-5-21-1960408961-1284227242-839522115-1003\RemoteAccess\Profile\x� *] e trascinalo sull'icona di ComboFix. Attendi la fine dei lavori, senza toccare tastiera, mouse o altro. Posta il log aggiornato di combofix.[/u] Dimmi che problemi riscontri. niente da fare mi da questo errore:errore data: 2009-11-17
Controlla le tue impostazioniDanni lo script non ne ha fatti, nemmeno ha iniziato a lavorare Combofix. Sono passato al passaggio successivo: report.txtil report completo di Systemscan E poi ho passato Gmer e qui c'è il log: vorrei tu notassi questi tre particolare nel System TXT BAFD2402 TXT BAFD23D0 TXT BAFD240C il report di Gmer: Log Gmer.txtVolevo aggiungerti che apparentemente almeno il computer funziona bene, i programmi di sisurezza girano e si aggiornano regolarmente. Per cui non so che fare o cosa pensare! Aspetto istruzioni
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Prova a eliminarli a mano:
c:\programmi\serial.tde
c:\windows\winstart.bat
Sono file che dovrebbero appartenere solo in Win95-98.
Se si trovano in altri S.O, vengono usati da virus.
Per l'Mbr, non sò che dirti.
Se hai trovato il cd d'installazione di Windows, sei sicuro di averlo fatto partire da boot come prima unità ?
|
|
Rank: AiutAmico
Iscritto dal : 3/28/2007
Posts: 633
|
Ciao. Quei due programmi ( serial.tde e winstart.bat) ho provato a cercarli con la funzione trova ma non li ho trovati! Non sono sicuro e non mi ricordo più come si fa ad entrare nel bios. Ma come mai allora sia il cd rescue di Avira che quello di Acronis partono correttamente? Tempo fa avevo un errore del file boot.ini poi ho seguito le istruzioni trovae qui in rete e l'ho ripristinato manualmente creando un file .txt posizionato in C:\ Se vuoi te lo riporto qui stasera. Se provassi in questo modo a ripristinare mbr? ma mi dovresti aiutare perchè non so cosa sia...: http://www.geekissimo.com/2008/01/21/come-riparare-il-mbr-di-windows-utilizzando-ubuntu/questo mi sembra interessante, per favore, sei una grande esperto, dacci un'occhiata perchè mi pare di aver capito (il mio inglese non è il massimo) che questo possa riscrivere correttamente l'mbr con il comando fixmbr:
http://download.cnet.com/MbrFix/3000-2094_4-10485990.htmlquesto addirittura sembrerebbe molto semplice:http://www.ilbloggatore.com/2009/02/26/ripristinare-il-boot-loader-di-windows-xp/Grazie.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Per entrare nel Bios,di solito si preme ripetutamente, il tasto " Canc" alla prima schermata che appare all'accensione del pc. Ma non sempre funziona, in quanto, dipende dalla marca del pc. Ti posto un link, che forse ti aiuta: http://www.elettroaffari.it/informatica/775/come-entrare-nel-bios-dei-computer-di-ogni-marca/Comunque, prima, vediamo se esegui correttamente queste azioni: Inserisci il CD di installazione di Windows nel lettore. Spegni il pc. Avvia il pc. Se, il CD non parte, significa che devi entrare nel Bios, e impostarlo come prima unità, della sequenza di boot. I link che hai postato servono sopratutto, quando si ha più di un S.O installato. La migliore cosa, e la più semplice, è ripristinarlo con il CD di Windows. Magari, prima di inserirlo nel lettore, puliscilo delicatamente con un panno.
|
|
Rank: AiutAmico
Iscritto dal : 3/28/2007
Posts: 633
|
Quali rischi corro in questa operazione?
Sai non sono molto pratico.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
dario-vr ha scritto:Quali rischi corro in questa operazione?
Sai non sono molto pratico. Quale operazione?
|
|
Rank: AiutAmico
Iscritto dal : 3/28/2007
Posts: 633
|
Sì scusa hai ragione! per me era scontato, non per te giustamente.
Per operazione intendevo il ripristino con cd di windows, ma intanto non parte!
Ho provato e riprovato.
Credo sia danneggiato, ora provo a masterizzarlo su un cd nuovo.
Speriamo!
|
|
Rank: AiutAmico
Iscritto dal : 3/28/2007
Posts: 633
|
Niente! Non parte neppure con il cd masterizzato!
Cosa faccio???
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
dario-vr ha scritto:
Cosa faccio???
Procurati un CD di installazione, da un parente o un amico. Funziona lo stesso. P.S: Non il CD di Vista, o di Windows 7. Ma un CD con il SP2 o SP3. Voglio dire: che abbia il tuo stesso S.O.
|
|
Rank: AiutAmico
Iscritto dal : 3/28/2007
Posts: 633
|
Allora mi sono portato un Cd di XP dall'ufficio.
Ho lanciato la procedura della consolle di ripristino con il comando R
poi fixmbr
ma a questo punto mi è usicto un messaggio che più o meno diceva che il settore di avvio è sconosciuto o qualcosa del genere e mi consigliava di non proseguire pena il rischio di danneggiamenti alle partizioni con conseguente non regolare avvio di Windows
io ho digitato più volte Y
e più volte mi veniva chiesto continuare fino a quando invece ho messo N e sono ritornato alla consolle uscendo poi con il comando exit
insomma sono come prima! ???
|
|
|
Guest |