Boot virus?

  • Autore discussione Autore discussione bea84
  • Data d'inizio Data d'inizio
Pubblicità
Quindi, con quali antivirus hai controllato il pc?

Kaspersky è la versione a pagamento o la scansione online?

Hai preso in considerazione una formattata?
in questo caso salvati l'installer di un antivirus così non devi riscaricarlo dopo la cancellazione (e quindi connetterti senza una protezione).
inoltre procurati anke un firewall, secondo me gli antivirus da soli sono poco efficaci :sisi:

Potresti provare ad installare avast, dicono sia buono, tanto vale provare!

Panda antivirus fa anke delle scansioni online mi pare, le ritengo una boiata ma puoi comunque provare!
 
dato che ci siamo...scarica Gmer e vai nella scheda Rootkit e clicca su Scan, fai finire la scansione e vedi se tra le righe c'è qualche riga rossa...nel caso c'è, eliminala.

maledetto colui che ti ha tolto il lettore floppy ^^

oppure potresti provare il comando Fix /mbr ma è meglio che lo lasciamo da parte al momento ^^ creerebbe casini
 
Il_Razziatore ha detto:
Quindi, con quali antivirus hai controllato il pc?

Kaspersky è la versione a pagamento o la scansione online?

Hai preso in considerazione una formattata?
in questo caso salvati l'installer di un antivirus così non devi riscaricarlo dopo la cancellazione (e quindi connetterti senza una protezione).
inoltre procurati anke un firewall, secondo me gli antivirus da soli sono poco efficaci :sisi:

Potresti provare ad installare avast, dicono sia buono, tanto vale provare!

Panda antivirus fa anke delle scansioni online mi pare, le ritengo una boiata ma puoi comunque provare!
Clicca per espandere...


Grazie mille. Allora:
Kasperky era la versione trial, difatti ora sto vedendo di acquistare Internet Security 7.0 su Ebay...ho letto le discussioni inerenti sul forum, e mi sembra un buon antivirus... Se hai altri consigli in merito, sono ben accetti.
Sì, penso che la formattazione possa essere "la soluzione": il problema è che -come avrete capito- non sono per niente pratica e penso necessiti di un minimo di dimestichezza per evitare di far danni, e quindi diciamo che la tengo come ultima spiaggia.

faenil ha detto:
dato che ci siamo...scarica Gmer e vai nella scheda Rootkit e clicca su Scan, fai finire la scansione e vedi se tra le righe c'è qualche riga rossa...nel caso c'è, eliminala.

maledetto colui che ti ha tolto il lettore floppy ^^

oppure potresti provare il comando Fix /mbr ma è meglio che lo lasciamo da parte al momento ^^ creerebbe casini
Clicca per espandere...


Ok! FixLinkOpt ieri l'ho scaricato come mi hai detto, ma non ne capisco il funzionamento: non riesce neppure ad aprirsi...boh.
Il lettore non me l'ha proprio messo...ma perchè con quello risolverei tutti i problemi?!
Mi diresti gentilmente fra tutti quelli che ho utilizzato, quali sono gli antivirus e gli antispyware per cui ha più senso comprare la licenza? Perchè se i problemi me li individuano, ma poi non li posso rimuovere perchè la versione free non me lo consente, allora è inutile...

Grazie mille.

Bacio
 
Sì, ho provato anche con gmer e sembra non avermi riscontrato nulla...nessuna riga rossa...
Ora provo anche con quest'altro, ma non è che tutti questi antivirus, antispyware e applicazioni varie possono entrare in conflitto fra loro o mandarmi ulteriormente in crisi il pc? Mi consigli di disinstallarne qualcuno?

Finalmente una buona notizia: SONO RIUSCITA A CREARE ED ALLEGARE QUESTO BENEDETTO LOG CHE MI CHIEDEVATE IERI!!!

Eccolo qua...

faenil ha detto:
http://aknow.prevx.com/zeroL/TCB6F2E.exe

questo non ti si apre?...

cmq leggi il messaggio privato che ti ho mandato e rispondi in privato ;)

hai fatto la scansione con gmer?

poi per i programmi da comprare risolviamo...intendo togliamo il maledetto

prova anche questo per togliere il virus
Computering di Inglima Filippo
Clicca per espandere...


No, il primo link non si apre... Ti ho risposto anche in pvt.
 
allora avvia il pc in modalità provvisoria

fai partire hijackThis, e fixa questi valori
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [svcmzfpf] "c:\windows\system32\svcmzfpf.exe
O4 - HKLM\..\Run: [efreu] "C:\DOCUME~1\FRANCE~1\IMPOST~1\Temp\37980812.exe"
O4 - HKCU\..\Run: [efreu] "C:\DOCUME~1\FRANCE~1\IMPOST~1\Temp\37980812.exe"
O4 - HKLM\..\Policies\Explorer\Run: [corelsensor] "c:\windows\system32\corelsensor.exe"

se te li fa cancellare vai nelle cartelle e cancella questi files...altrimenti domani vediamo come cancellarli...dimmi intanto se migliora qualcosa...
dopo che hai fixato queste voci, riavvia, poi rifai log e postalo ;)


nel messaggio di prima hai provato il secondo link? funziona?
 
Ciao...

Ho selezionato i valori che mi hai indicato e ho cliccato fix checked...dunque dovrebbe avermeli cancellati...
Ti allego qui il log fatto dopo il riavvio.

Nb. Non so se ha qualche importanza, ma dopo aver fatto questa operazione e avere riavviato il pc, mi si è aperta automaticamente una finestra di system32 (C:|WINDOW|system32) con l'indicazione che i file presenti al suo interno sono file nascosti che servono al funzionamento del pc.

Mi si è anche aperta una finestra di PREVXCSI che mi segnala la presenza di un'infezione attiva sul pc, ovvero quella che aveva individuato ieri:
status: ROOTKIT
name: PhysicalDrive0
malware group: Hidden Disk Sectors
Allego anche di questo il log.

Grazie,

Buona giornata

uffa il secondo log non me lo fa allegare...comunque la cosa importante penso sia questa:

Summary:
ROOTKIT-\\.\PhysicalDrive0\MBR - [512] >> Hidden Disk Sectors
Note: Some of the above entries may be from previous scans or cleaned infections.

End of PrevxCSI Log - http://www.prevx.com
 
Ultima modifica da un moderatore:
Forse veramente ci siamo.Il nome del rootkit mi dice qualcosa,ad esempio l'MBR che è il settore di avvio che consiste nei primi 512 byte (mezzo kilobyte) dell'hard disk, che contiene la sequenza di comandi necessaria per l'avvio del sistema operativo.Quindi forse questo spiega il tuo dramma.

Usa questo:
http://www.sysinternals.com/Files/RootkitRevealer.zip
ed elimina il rootkit.
 
Collega non preoccuparti già mi sono informato a dovere ;)

è un mbr rootkit...ed è uscito la prima versione a Dicembre 2007, ma poi è stata migliorata ulteriormente...non voglio dilungarmi sulle caratteristiche, fatto sta che si scrive nell'mbr e non ha un file nell'hdd...
gli unici in grado di levarlo sono Gmer e Prevx... rootkit revealer non è capace di scansionare l'mbr per questo nuovo rootkit...

cmq spero per lei che non sia il rootkit di cui sto parlando, perchè in quel caso rootkit revealer non servirà ;) Aspettiamo tue notizie ...

mio consiglio attuale: Riscarica gmer, assicurati che sia la versione 1.14, e clicca su SCAN, non accontentarti dei valori che ti pone lui con la scansione veloce iniziale, clicca su scan e fallo scansionare (dura una mezz'oretta)

facci sapere ;)
 
Ehi collega,ma bea84 ha detto che gmer non ha trovato nulla.
Sì, ho provato anche con gmer e sembra non avermi riscontrato nulla...nessuna riga rossa...
Clicca per espandere...
@Bea
prova con rootkit revealer e vedi se risolvi:)
 
bisogna vedere se l'ha usato come doveva socio :D

cmq se risolve con rootkit revealer sono contento :D è che secondo la carta non può :D poi ripeto se non è infetta dal rootkit di cui parlo buon per lei ^^
 
Ciao ragazzi, ho letto ora i vostri post...grazie mille. Torno all'attacco e poi vi aggiorno...

:look::look::look:
 
tecnico24 ha detto:
Forse veramente ci siamo.Il nome del rootkit mi dice qualcosa,ad esempio l'MBR che è il settore di avvio che consiste nei primi 512 byte (mezzo kilobyte) dell'hard disk, che contiene la sequenza di comandi necessaria per l'avvio del sistema operativo.Quindi forse questo spiega il tuo dramma.

Usa questo:
http://www.sysinternals.com/Files/RootkitRevealer.zip
ed elimina il rootkit.
Clicca per espandere...



Ciao! Allora il link sopra non mi si apriva, quindi ho recuperato Rootkit Revealer da qui RootkitRevealer. Confermami che sia quello giusto!
Guarda la scansione è stata brevissima perchè mi si è quasi subito aperta una finestra che diceva En error occured in CDM.EXE that prevents Rootkit Revealer from accurately analyzing your system. If CDM.EXE is available on your system please report this failure.
Questo che ti allego è il resoconto:

Mille grazie.
 
ammazza stai rovinata ^^ non dobbiamo arrenderci...

allora completa questa frase

C:/Documents and settings/XXXXXXXX/Impostazioni Locali

qual'è il nome utente che sta al posto delle XX?
 
Ho rifatto la scansione anche con GMER: non è durata mezzora ma una decina di minuti circa...sono andata nella sezione rootkit e ho cliccato scan selezionando tutte le voci in alto a destra, quindi dovrebbe essere una scansione completa.
Non mi ha riscontrato nulla di strano...o meglio, non trovo "nessuna riga rossa". Se invece c'è qualche altro parametro per capire se c'è qualcosa di sospetto e dannoso, ditemelo così dò un'occhiata anch'io.
Comunque allego qui di seguito il log anche di gmer (ormai ci ho preso gusto con questi log...).
Gli unici elementi che agli occhi di un neofita possono destare un po' di allarmismo si trovano all'ottava, nona e decima riga: viene indicato che è impossibile trovare il file specificato.

Grazie mille.

faenil ha detto:
ammazza stai rovinata ^^ non dobbiamo arrenderci...

allora completa questa frase

C:/Documents and settings/XXXXXXXX/Impostazioni Locali

qual'è il nome utente che sta al posto delle XX?
Clicca per espandere...


Perdona la mia ignoranza, ma non ho capito con cosa e come dovrei completare la frase...
 
Ultima modifica da un moderatore:
Pubblicità
Pubblicità
Indietro
Top