Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

computer infetto da Win32:Confi [Wrm] cosa fare? Opzioni
r16
Inviato: Wednesday, April 15, 2009 5:55:00 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
draco
Inviato: Wednesday, April 15, 2009 8:39:07 PM

Rank: AiutAmico

Iscritto dal : 5/4/2008
Posts: 225
lo ha scaricato nel dekstop.....basta solo che lo sposto in disco locale ci adesso e poi lo avvio in modalità provvisoria?
r16
Inviato: Wednesday, April 15, 2009 9:20:33 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
draco ha scritto:
lo ha scaricato nel dekstop.....basta solo che lo sposto in disco locale ci adesso e poi lo avvio in modalità provvisoria?

Si, lo trascini in Disco locale C:\ e entri in Modalità provvisoria.
quando sei in modalità provvisoria, fai:
Start\Esegui\ copia-incolla : C:\mbr.exe e clicca OK.
La scansione, dura pochi secondi.
Posta il il log , che si trova dove hai scaricato l'MBR.EXE e cioè in C:\.
draco
Inviato: Wednesday, April 15, 2009 9:50:31 PM

Rank: AiutAmico

Iscritto dal : 5/4/2008
Posts: 225
ecco il log del programma che mi hai dato in modalità provvisoria
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.1 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x98a412b size 0x1e8 !
PE file found in sector at 0x098A412B !
r16
Inviato: Wednesday, April 15, 2009 9:56:48 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ok.
Entra di nuovo in Modalità Provvisoria.
Fai:
Start\Esegui\ copia-incolla questa stringa: C:\mbr.exe -f e clicca su OK.
Posta il log.
Fai attenzione a non confonderlo con il primo log, al limite postali tutti e 2.
draco
Inviato: Wednesday, April 15, 2009 10:48:41 PM

Rank: AiutAmico

Iscritto dal : 5/4/2008
Posts: 225
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.1 by Gmer, http://www.gmer.net

sono sicuro che questo è il log della seconda scansione perchè il primo l'ho cancellato
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x98a412b size 0x1e8 !
PE file found in sector at 0x098A412B !
r16
Inviato: Wednesday, April 15, 2009 10:57:49 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Male.
Hai MBR, con all'interno dei file infetti.
Hai il CD originale di Windows?
draco
Inviato: Wednesday, April 15, 2009 11:29:49 PM

Rank: AiutAmico

Iscritto dal : 5/4/2008
Posts: 225
si perchè? cosa vuol dire che ho dei file infetti in mbr?
r16
Inviato: Wednesday, April 15, 2009 11:40:45 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
draco ha scritto:
si perchè? cosa vuol dire che ho dei file infetti in mbr?


malicious code @ sector 0x98a412b size 0x1e8 !
PE file found in sector at 0x098A412B !
In pratica Draco, hai dei file infetti nel settore 0x098A412B del MBR.
*********************************************************************************
Voglio fare un'altro tentativo :
Scarica Norman SinowalMBR Cleaner e salvalo sul desktop

http://download.norman.no/public/Norman_Sinowal_Cleaner.exe

Avvia il pc in modalità provvisoria.

Doppio click sull'icona di Norman SinowalMBR Cleaner.exe che hai salvato sul desktop
Comparirà una schermata:
Clicca su Accept
Altra schermata:
Clicca su Start Scan
Al termine della scansione, viene generato un log sul desktop chiamandolo NFix_2008-MM-GG_hh-mm-ss.log
POSTALO QUI.
RIOLOTERME
Inviato: Thursday, April 16, 2009 12:00:12 AM
Rank: AiutAmico

Iscritto dal : 7/26/2007
Posts: 1,016
r16 non si arrende maiApplause Applause Applause Applause
r16
Inviato: Thursday, April 16, 2009 12:16:04 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
RIOLOTERME ha scritto:
r16 non si arrende maiApplause Applause Applause Applause

Qui Rio ci vuole un miracolo, spero lo compia quel Tool.
RIOLOTERME
Inviato: Thursday, April 16, 2009 12:19:23 AM
Rank: AiutAmico

Iscritto dal : 7/26/2007
Posts: 1,016
r16 ha scritto:
RIOLOTERME ha scritto:
r16 non si arrende maiApplause Applause Applause Applause

Qui Rio ci vuole un miracolo, spero lo compia quel Tool.
io mi vado a letto e' troppo che sono davanti al portatile...ciao r16
draco
Inviato: Thursday, April 16, 2009 5:00:37 PM

Rank: AiutAmico

Iscritto dal : 5/4/2008
Posts: 225
ok adesso lo faccio
draco
Inviato: Thursday, April 16, 2009 8:34:18 PM

Rank: AiutAmico

Iscritto dal : 5/4/2008
Posts: 225
Norman SinowalMBR Cleaner
Copyright © 1990 - 2008, Norman ASA. Built 2008/05/13 16:21:18

Norman Scanner Engine Version: 5.92.04
Nvcbin.def Version: 5.92.00, Date: 2008/05/13 16:21:18, Variants: 0

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Professional 5.1.2600(Safe mode) Service Pack 2
Logged on user: MARCO-2A1809358\marco

Removed registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTools = 0x00000000

Scan started: 16/04/2009 17:04:07

Scanning bootsectors...

Unable to scan for SinowalMBR hooks

Number of sectors found: 0
Number of sectors scanned: 0
Number of sectors not scanned: 0
Number of infections found: 0
Number of infections removed: 0
Total scanning time: 0s 578ms


Scanning running processes and process memory...

Number of processes/threads found: 466
Number of processes/threads scanned: 466
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 10s


Scanning file system...

Scanning: C:\*.*

Scanning: D:\*.*

D:\COSE NUOVE 2\PSP\giochi psp\[PSP]Dragonball_Evolution[USA][ESPALPSP.com].rar/CMT (Error whilst scanning file: I/O Error)

D:\COSE NUOVE 2\PSP\giochi psp\[PSP]Hellboy.The.Science.Of.Evil[EUR][ESPALPSP.com].rar/CMT (Error whilst scanning file: I/O Error)

D:\COSE NUOVE 2\PSP\giochi psp\[PSP]Need_For_Speed_Undercover[EUR][ESPALPSP.com].rar/CMT (Error whilst scanning file: I/O Error)

D:\COSE NUOVE 2\PSP\giochi psp\[PSP]Patapon_2[EUR][ESPALPSP.com].rar/CMT (Error whilst scanning file: I/O Error)

D:\COSE NUOVE 2\PSP\giochi psp\[PSP]Star_Wars_The_Force_Unleashed[EUR][ESPALPSP.com].rar/CMT (Error whilst scanning file: I/O Error)

D:\COSE NUOVE 2\PSP\giochi psp\[PSP]Warriors_Of_The_Lost_Empire[EUR][ESPALPSP.com].rar/CMT (Error whilst scanning file: I/O Error)

Scanning: E:\*.*


Running post-scan cleanup routine:

Number of files found: 80390
Number of archives unpacked: 423
Number of files scanned: 80364
Number of files not scanned: 26
Number of files skipped due to exclude list: 0
Number of infected files found: 0
Number of infected files repaired/deleted: 0
Number of infections removed: 0
Total scanning time: 2h 2m 51s
r16
Inviato: Thursday, April 16, 2009 9:38:46 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao rifai una scansione con SystemScan:
Scarica SYstem Scan:
scaricalo sul desktop
http://www.suspectfile.com/systemscan
Aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file.
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.

NB:
la durata della scansione può risultare lunga, potrebbe addirittura sembrare che il programma non stia lavorando, non preoccuparti non è così.
SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.
draco
Inviato: Thursday, April 16, 2009 10:53:06 PM

Rank: AiutAmico

Iscritto dal : 5/4/2008
Posts: 225
ecco il link della nuova scansione con il programma consigliato report.txt
r16
Inviato: Thursday, April 16, 2009 11:00:26 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao .
Non ha funzionato Draco.
Come funziona il pc?
Che problemi riscontri?
draco
Inviato: Friday, April 17, 2009 12:04:12 AM

Rank: AiutAmico

Iscritto dal : 5/4/2008
Posts: 225
adesso come adesso nessuno....a me sembra vada tutto allla perfezione...è ormai da una settimana che l'antivirus non mi sengnala niete....il pc va come è sempre andato
r16
Inviato: Friday, April 17, 2009 12:19:27 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Infatti il log di SystemScan non presenta problemi, a parte quella voce sul MBR.
Per eliminare tutti i tool installati fai cosi;
Scarica e installa ToolsCleaner
http://pc-system.fr/TC/ToolsCleaner2.exe
clicca su ricerca (rechercher)
Aspetta la fine della ricerca.
Poi clicca su Suppression.
Poi clicca su Fichier Temp
Infine clicca su "Quitter" e verrà creato un rapporto che troverai anche in C:\ con il nome di TCleaner.txt
*********************************************************************************
Poi:
Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
Poi:
Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO
Se hai domande o dubbi, riferisci senza problemi.
draco
Inviato: Friday, April 17, 2009 9:25:59 PM

Rank: AiutAmico

Iscritto dal : 5/4/2008
Posts: 225
ok procedo...(appena ho tempo) e dopo che ho fatto tutto che faccio?
questo è il rapporto di tcleaner
[ Rapport ToolsCleaner version 2.3.5 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\mbr.exe: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\marco\Desktop\scansitori\ComboFix.exe: trouvé !


--> Suppression:

C:\Documents and Settings\marco\Desktop\scansitori\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\mbr.exe: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !

Fichiers temporaires nettoyés !
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.