Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

r16 : ho ancora mbr infetto??? log di Combofix Opzioni
dario-vr
Inviato: Monday, November 16, 2009 10:42:00 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
ciao r16, ho un sospetto, spero infondato, di avere ancora il rootkit nel mio mbr, dimmi di no ti prego:

log di combo fix
ComboFix.txt
Sponsor
Inviato: Monday, November 16, 2009 10:42:00 PM

 
r16
Inviato: Monday, November 16, 2009 11:21:48 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Scarica MBR.EXE direttamente nella Directory C:\ (è importante che venga scaricato in C:\ )
http://www2.gmer.net/mbr/mbr.exe
Clicca Start

Clicca Esegui...

Digita: cmd

si apre la finestra DOS, digita: CD \

premi invio

digita: mbr -f (fai il copia-incolla)

premi invio

Poi digita: exit

premi invio

Riavvia il pc

Posta qui il contenuto del log C:\mbr.log
dario-vr
Inviato: Monday, November 16, 2009 11:43:44 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x022EEAD41
malicious code @ sector 0x022EEAD44 !
PE file found in sector at 0x022EEAD5A !


secondo me non lo abbiamo mai debellato :-(
r16
Inviato: Tuesday, November 17, 2009 12:17:29 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
secondo me non lo abbiamo mai debellato

Non è vero.
Perchè la scansione successiva con Systemscan, lo dava legittimo.
Prova a fare una scansione con Systemscan:
scaricalo sul desktop
http://www.suspectfile.com/systemscan
Aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now"
Finita la scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file.
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.

NB:
la durata della scansione può risultare lunga, potrebbe addirittura sembrare che il programma non stia lavorando, non preoccuparti non è così.
SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.
dario-vr
Inviato: Tuesday, November 17, 2009 7:34:06 AM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Ciao r16
Niente il computer è andato tutta la notte ma Systemscan si è impiantato!
Ha rilasciato comunque una parte di report dove ho potuto vedere che mbr sembra a posto.
Non lo ho inviato perchè poi ieri sul molto tardi non riuscivo più ad entrare nel sito non so se a causa mia o per problemi al sito stesso.
Stasera lo riscarico e riprovo.

Ho trovato il cd di windows ma non parte.
I cd di Avira e di Acronis partono regolarmente da boot ma quello di windows no, non so perchè.
Forse qualche comando di windows alterato?
Non c'è un modo di farlo diversamente? per esempio caricandolo con un comando da dos con cd di windows nel lettore?
vorrei provare il comando fix.mbr

Questo programma, che però non conosco, nè l'inglese è il mio forte, potrebbe fare al caso mio?

http://www.ambience.sk/fdisk-master-boot-record-windows-linux-lilo-fixmbr.php

e avrei trovato questo:
http://forum.html.it/forum/showthread/t-1213531.html

Il computer è sempre quello di casa, che mio figlio usa per scuola.
Non vorrei che fosse stato ricontagiato dal portatile di mio nipote con il quale ogni tanto si connette via ethernet per giocare
Ho provato a far girare Systemscan anche sul portatile di mio nipote, S.O. Vista home.
Ma anche qui Systemscan si impalla.
Allora ho selezionato solo il controllo dell'mbr e mi ha dato mbr ok.


r16 forse è diventata una mia mania!
Il fatto è che mbr.exe mi da sempre quel messaggio allarmante.
Stamattina però avira premiun si è aggiornato regolarmente mentre ieri no, forse a causa dei problemi dei loro server ed io mi son fatto prendere dal panico.
Forse è meglio che io riprovi a lanciare systemscan prima di avventurarmi in tanti tentativi cosa dici?


r16
Inviato: Tuesday, November 17, 2009 3:01:26 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Il Rootkit MBR, lo si può prendere 2 volte alla settimana, come 2 volte in 10 anni.

Crea un punto di Ripristino configurazione sistema.


Apri un file di testo sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

Code:
File::
c:\programmi\serial.tde
c:\windows\winstart.bat

RegLock::
[HKEY_USERS\S-1-5-21-1960408961-1284227242-839522115-1003\RemoteAccess\Profile\x    *]


e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix.
Ti serve questo Programma? ThreatFire

Dimmi che problemi riscontri.
dario-vr
Inviato: Tuesday, November 17, 2009 3:18:41 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Ok poi quando sono a casa seguo le tue istruzioni e ti faccio sapere.
Poi in attesa che tu mi legga, se sei d’accordo riprovo e rilancio Systemscan
Threatfire è della Pctools, se mi serve? Beh mi sembrava di avert cosa buona mettendo anche un controllo Hips, ma se mi dici che è meglio toglierlo lo faccio senza pensarci un attimo.


Quanto ai problemi che riscontro, all’apparenza nulla ma in realtà sento il computer lavorare molto e se vado in task manager la cpu è al 100% per qualche decimo di secondo e poi scende a valori vicino allo zero.
Jqs.exe all’avvio lavora molto e già pensavo di inibire questa funzione di Java.
r16
Inviato: Tuesday, November 17, 2009 3:28:28 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Non conosco a fondo quel programma. (ThreatFire)
Sò che si può affiancarlo ad un antivirus, senza che entri in conflitto, ma non sò altro.
Mi raccomando, di creare un punto di ripristino.
Le operazioni che farai sono contrastanti, per cui è meglio pararsi il sedere, in caso che qualcosa non funzioni.
Elimina il Systemscan che hai scaricato, fai una pulizia con CCleaner, e riavvia il pc.
Scarica questa versione di Systemscan:
http://www.suspectfile.com/systemscan
Ma prima di fare la scansione, devo vedere il log di Combofix, e sapere se il pc ha problemi.
dario-vr
Inviato: Tuesday, November 17, 2009 4:23:21 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Penso di poterti inviare il log poco dopo le 17

Senti ma serial.tde è una vita che ce lo ho nel computer anche se no cosa sia né mai ho approffondito, cosa è???

A proposito ieri, nonostante guard webguard e mailguard di Avira fossero disattivati combofix continuava a vederli attivi! Come devo fare???

dario-vr
Inviato: Tuesday, November 17, 2009 5:20:40 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
r16 ha scritto:


Apri un file di testo sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

Code:
File::
c:\programmi\serial.tde
c:\windows\winstart.bat

RegLock::
[HKEY_USERS\S-1-5-21-1960408961-1284227242-839522115-1003\RemoteAccess\Profile\x    *]


e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix.[/u]

Dimmi che problemi riscontri.


niente da fare mi da questo errore:
errore data: 2009-11-17
Controlla le tue impostazioni


Danni lo script non ne ha fatti, nemmeno ha iniziato a lavorare Combofix.

Sono passato al passaggio successivo:
report.txt
il report completo di Systemscan

E poi ho passato Gmer e qui c'è il log: vorrei tu notassi questi tre particolare nel System
TXT BAFD2402
TXT BAFD23D0
TXT BAFD240C
il report di Gmer:
Log Gmer.txt

Volevo aggiungerti che apparentemente almeno il computer funziona bene, i programmi di sisurezza girano e si aggiornano regolarmente.
Per cui non so che fare o cosa pensare!
Aspetto istruzioni
r16
Inviato: Tuesday, November 17, 2009 10:24:43 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Prova a eliminarli a mano:
c:\programmi\serial.tde
c:\windows\winstart.bat
Sono file che dovrebbero appartenere solo in Win95-98.
Se si trovano in altri S.O, vengono usati da virus.
Per l'Mbr, non sò che dirti.
Se hai trovato il cd d'installazione di Windows, sei sicuro di averlo fatto partire da boot come prima unità ?
dario-vr
Inviato: Wednesday, November 18, 2009 7:32:50 AM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Ciao.
Quei due programmi (serial.tde e winstart.bat) ho provato a cercarli con la funzione trova ma non li ho trovati!

Non sono sicuro e non mi ricordo più come si fa ad entrare nel bios.
Ma come mai allora sia il cd rescue di Avira che quello di Acronis partono correttamente?
Tempo fa avevo un errore del file boot.ini poi ho seguito le istruzioni trovae qui in rete e l'ho ripristinato manualmente creando un file .txt posizionato in C:\
Se vuoi te lo riporto qui stasera.

Se provassi in questo modo a ripristinare mbr?
ma mi dovresti aiutare perchè non so cosa sia...:

http://www.geekissimo.com/2008/01/21/come-riparare-il-mbr-di-windows-utilizzando-ubuntu/


questo mi sembra interessante, per favore, sei una grande esperto, dacci un'occhiata perchè mi pare di aver capito (il mio inglese non è il massimo) che questo possa riscrivere correttamente l'mbr con il comando fixmbr:

http://download.cnet.com/MbrFix/3000-2094_4-10485990.html


questo addirittura sembrerebbe molto semplice:

http://www.ilbloggatore.com/2009/02/26/ripristinare-il-boot-loader-di-windows-xp/

Grazie.
r16
Inviato: Wednesday, November 18, 2009 2:44:34 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Per entrare nel Bios,di solito si preme ripetutamente, il tasto "Canc" alla prima schermata che appare all'accensione del pc.
Ma non sempre funziona, in quanto, dipende dalla marca del pc.
Ti posto un link, che forse ti aiuta:
http://www.elettroaffari.it/informatica/775/come-entrare-nel-bios-dei-computer-di-ogni-marca/

Comunque, prima, vediamo se esegui correttamente queste azioni:
Inserisci il CD di installazione di Windows nel lettore.
Spegni il pc.
Avvia il pc.
Se, il CD non parte, significa che devi entrare nel Bios, e impostarlo come prima unità, della sequenza di boot.
I link che hai postato servono sopratutto, quando si ha più di un S.O installato.
La migliore cosa, e la più semplice, è ripristinarlo con il CD di Windows.
Magari, prima di inserirlo nel lettore, puliscilo delicatamente con un panno.
dario-vr
Inviato: Wednesday, November 18, 2009 3:05:10 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Quali rischi corro in questa operazione?
Sai non sono molto pratico.
r16
Inviato: Wednesday, November 18, 2009 3:26:01 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
dario-vr ha scritto:
Quali rischi corro in questa operazione?
Sai non sono molto pratico.

Quale operazione?
dario-vr
Inviato: Wednesday, November 18, 2009 3:33:18 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633

Sì scusa hai ragione! per me era scontato, non per te giustamente.
Per operazione intendevo il ripristino con cd di windows, ma intanto non parte!
Ho provato e riprovato.
Credo sia danneggiato, ora provo a masterizzarlo su un cd nuovo.
Speriamo!
dario-vr
Inviato: Wednesday, November 18, 2009 5:05:45 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Niente! Non parte neppure con il cd masterizzato!

Cosa faccio???
r16
Inviato: Wednesday, November 18, 2009 5:20:19 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
dario-vr ha scritto:

Cosa faccio???

Procurati un CD di installazione, da un parente o un amico.
Funziona lo stesso.
P.S:
Non il CD di Vista, o di Windows 7.
Ma un CD con il SP2 o SP3.
Voglio dire: che abbia il tuo stesso S.O.
dario-vr
Inviato: Wednesday, November 18, 2009 7:04:43 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Allora mi sono portato un Cd di XP dall'ufficio.
Ho lanciato la procedura della consolle di ripristino con il comando R

poi fixmbr

ma a questo punto mi è usicto un messaggio che più o meno diceva che il settore di avvio è sconosciuto o qualcosa del genere e mi consigliava di non proseguire pena il rischio di danneggiamenti alle partizioni con conseguente non regolare avvio di Windows

io ho digitato più volte Y
e più volte mi veniva chiesto continuare fino a quando invece ho messo N e sono ritornato alla consolle uscendo poi con il comando exit

insomma sono come prima! ???
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.