Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Problemi con virus RootKit

Problemi con virus RootKit Opzioni
Topic Precedente · Topic Sucessivo
pippus123
Inviato: Tuesday, December 30, 2008 6:12:21 PM
Rank: Member

Iscritto dal : 6/16/2007
Posts: 1
Questa mattina mi è apparsa una brutta schermata di Avast che dice :

"E' stato identificato un oggetto nascosto sospetto (rootkit) nel vostro sistema.Potrebbe essere un'infezione virus.Si consiglia di rimuovere immediatamente l'oggetto.

Nome del file : MBR:\\.\PHYSICALDRIVE0
Tipo : Rootkit: settore boot nascosto "

Ho provato a rimuoverlo con Avast senza successo.

Navigando su Internet avrei trovato la procedura per rimuoverlo però dovrei entrare in modalità provvisoria.
Il problema è che quando premo il tasto F8 il virus non mi permette l'avvio in Modalità provvisoria; infatti quando premo F8, mi appaiono le varie opzioni tra cui la Modalità Provvisoria, ma se la seleziono, si riavvia il sistema e ritorno nuovamente nella schermata Modalità provvisoria - Modalità normale ecc..

L'unico modo consentito è quello di avviarlo in Modalità normale.Però in questo caso non riesco a rimuovere il virus.

Ero tentato di attivare la Modalita' provvisoria da Start->Esegui>msconfig>BOOT.INI poi spuntare l'opzione /SAFEBOOT

però ho paura che al riavvio il PC entri in Loop cioè che non si possa più riavviare in alcun modo.

Aiutoo, non so + cosa fare!

Grazie anticiapatamente.

P.S. S.O. Windows XP HOME
Torna in alto
 
Sponsor
Inviato: Tuesday, December 30, 2008 6:12:21 PM

 
Torna in alto
 
r16
Inviato: Tuesday, December 30, 2008 6:40:13 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Prova un altro tipo di "modalità provvisoria".
Per esempio Modalità provvisoria con rete".
Torna in alto
 
pidue
Inviato: Tuesday, December 30, 2008 8:04:12 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Se non riesci a entrare in provvisoria con F8, vai su Start >> Esegui e digita (o copia e incolla) la stringa msconfig >> Ok . Nella finestra successiva clicca sul tab BOOT.INI e poi metti la spunta sulla voce /SAFEBOOT, Applica, Ok. Riavvia il computer. Per ritornare in mod normale, dovrai ovviamente togliere la spunta.


Torna in alto
 
pippus123
Inviato: Tuesday, December 30, 2008 8:47:03 PM
Rank: Member

Iscritto dal : 6/16/2007
Posts: 1
pidue ha scritto:
Se non riesci a entrare in provvisoria con F8, vai su Start >> Esegui e digita (o copia e incolla) la stringa msconfig >> Ok . Nella finestra successiva clicca sul tab BOOT.INI e poi metti la spunta sulla voce /SAFEBOOT, Applica, Ok. Riavvia il computer. Per ritornare in mod normale, dovrai ovviamente togliere la spunta.


Questa opzione l'avevo contemplata, il problema è che essendo probabilmente infetto il boot iniziale, non vorrei che poi al riavvio entrasse il loop cioè che continuasse a riavviarsi senza più avere la possibilità di avviare il sistema almeno in modo normale.

per r16 : non riesco ad avviare anche nelle modalità, funziona solo la modalità normale

Ciao
Torna in alto
 
r16
Inviato: Tuesday, December 30, 2008 8:53:51 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Prova questo tooll, senza farti tante illusioni.Drool
Norman SinowalMBR Cleaner è un programma utilizzato per la rimozione del virus MBR Rootkit.
Scarica Norman SinowalMBR Cleaner e salvalo sul desktop :
http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Avvia il pc in modalità provvisoria. (ovviamente lascia perdere questa dicitura)

Doppio click sull'icona di Norman SinowalMBR Cleaner.exe che hai salvato sul desktop
Comparirà una schermata:
Clicca su Accept
Altra schermata:
Clicca su Start Scan
Al termine della scansione, viene generato un log sul desktop chiamandolo NFix_2008-MM-GG_hh-mm-ss.log
POSTALO QUI.
Torna in alto
 
shapiro
Inviato: Tuesday, December 30, 2008 10:08:40 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
scusate l'intrusione....


pippus123 conosci questa discussione?

http://www.pc-facile.com/forum/viewtopic.php?f=7&t=77489
Torna in alto
 
pippus123
Inviato: Tuesday, December 30, 2008 10:28:23 PM
Rank: Member

Iscritto dal : 6/16/2007
Posts: 1
shapiro ha scritto:
scusate l'intrusione....


pippus123 conosci questa discussione?

http://www.pc-facile.com/forum/viewtopic.php?f=7&t=77489


Si è la mia d'oh!

Credo di aver capito quale sia la causa della mancata possibilità si riavvio in Modalità Provvisoria.
Cercando su internet pare sia il file "a347bus.sys" di Alcohol 120%. che crea problemi all'avvio.
Ho letto molti pareri su come risolvere il problema, ma non ho trovato una vera e propria procedura sicura per la risoluzione del problema.

C'è qualcuno che può darmi delle informazioni + dettagliate ?

Grazie.
Torna in alto
 
r16
Inviato: Tuesday, December 30, 2008 10:44:05 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Scusa pippus123 , ma dov'è il problema.......
Disistalla Alcohol 120%.
Dopo aver disistallato Alcohol 120% con la funzione "Cerca" ,vedi dove si trova quel Driver, (penso in C:\Windows\ system 32\drivers ) e lo elimini.
Vedi se entri in M.P.
Poi lo reistalli, cosi continuerai a non entrare in MP, ma forse risolvi l' MBR.
Torna in alto
 
pippus123
Inviato: Wednesday, December 31, 2008 12:08:34 AM
Rank: Member

Iscritto dal : 6/16/2007
Posts: 1
r16 ha scritto:
Scusa pippus123 , ma dov'è il problema.......
Disistalla Alcohol 120%.
Dopo aver disistallato Alcohol 120% con la funzione "Cerca" ,vedi dove si trova quel Driver, (penso in C:\Windows\ system 32\drivers ) e lo elimini.
Vedi se entri in M.P.
Poi lo reistalli, cosi continuerai a non entrare in MP, ma forse risolvi l' MBR.

Fatto tutto come hai scritto, ma continuo a non entrare in Modalità provvisoria.

Ciao
Torna in alto
 
r16
Inviato: Wednesday, December 31, 2008 12:19:19 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
A questo punto prova a fare come ha scritto P2.
Il rootkit non lo elimini in modalità normale.
Comunque se non riesci a entrare in M.P, non dipende da quel Rootkit, ma da qualcosa altro.
Mai risultato che quel tipo di Rootkit agisca sulla M.P.
Prova postare un log di Hjt.
Torna in alto
 
pippus123
Inviato: Wednesday, December 31, 2008 12:44:07 AM
Rank: Member

Iscritto dal : 6/16/2007
Posts: 1
r16 ha scritto:
A questo punto prova a fare come ha scritto P2.
Il rootkit non lo elimini in modalità normale.
Comunque se non riesci a entrare in M.P, non dipende da quel Rootkit, ma da qualcosa altro.
Mai risultato che quel tipo di Rootkit agisca sulla M.P.
Prova postare un log di Hjt.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0.44.44, on 31/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\TomTom HOME 2\HOMERunner.exe
C:\WINDOWS\system\CmSNXeye.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\Belkin\F1U201.401\usbshare.exe
C:\Programmi\MemoRex\MemoRex.exe
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\totalcmd\TOTALCMD.EXE
C:\totalcmd\TOTALCMD.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.digital-sat.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programmi\AVG\AVG8\avgtoolbar.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programmi\AVG\AVG8\avgtoolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [MemoREX] "C:\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\HOMERunner.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: Collegamento a freepopsd.exe.lnk = C:\Programmi\FreePOPs\freepopsd.exe
O4 - Global Startup: F1U201.401.lnk = ?
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.alice.it/download/DownloaderActiveX.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: CSIScanner - Prevx - C:\Programmi\PrevxCSI\prevxcsi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 8284 bytes


Il fatto che non possa avviare in Modalità Provvisoria dipende dal prg Alcohol 120% (che ora ho disintallato) il problema è che non so come risolvere.

Ciao

CIAO
Torna in alto
 
r16
Inviato: Wednesday, December 31, 2008 12:57:04 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao
Comincia intanto a levare un antivirus, 2 sono troppi, e creano più problemi che benefici.
Poi:
Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.malwarebytes.org/
Prima di fare la scansione AGGIORNALO.
Esegui una scansione completa del sistema e, una volta terminata la scansione,posta il log che verrà rilasciato in questa discussione.
Torna in alto
 
pippus123
Inviato: Thursday, January 01, 2009 12:30:09 PM
Rank: Member

Iscritto dal : 6/16/2007
Posts: 1
Ho fatto tutti i tentativi possibili senza successo, alla fine ho deciso di riformattare

Grazie a tutti e Boun Anno
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Problemi con virus RootKit


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.