Problema insolito

Pubblicità
Antonio17

Antonio17

Utente Attivo
Messaggi
567
Reazioni
9
Punteggio
40
Salve a tutti da un paio di giorni senza senso all'accensione del pc vedo il propt dei comandi che si avvia da solo dando qualche strano comando al pc, e mi parte in automatico l'apertura di una pagina web russa , ho fatto la scansione con malware e spybot, niente , così come anche con il mio antivirus panda, ma nulla il problema non si risolve. Avete aiuti da darmi , grazie tante :D
 
malwarebite e spybot erano aggiornati? , e poi la scansione falla in modalità provvisoria

- - - Updated - - -

guarda anche questo ci sono vari tool http://www.tomshw.it/forum/sicurezza/220749-ripulire-un-computer-infetto-leggere-prima-di-postare.html
 
sìsì erano aggiornati , provo a fare la scansione in modalità provvisoria e con qualche altro tool , vi aggiorno Grazie :)

- - - Updated - - -

Niente il problema non se ne va neanche facendo la scansione in modalità provvisoria , qualcuno che mi aiuta a risolvere il problema :(
 
avevi provato con un cd di avira? oppure anche con adware free lavasoft

- - - Updated - - -

provare anche con i tool di gmer antirootkit

- - - Updated - - -

http://www.gmer.net/

- - - Updated - - -

dal link , scarica il file mbr.exe, e salvalo in C:/

casella esegui, digita cmd e invia

copia/incolla questo

cd C:\ E INVIA

e infine questo

start mbr.exe E INVIA vai in C:/ doppio clic sul mbr.log




non sei infetto se è simile a questo

01.Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
02.device: opened successfully
03.user: error reading MBR
04.kernel: MBR read successfully




se invece è simile a questo, allora sei infetto

01.Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
02.device: opened successfully
03.user: MBR read successfully
04.kernel: MBR read successfully
05.malicious code @ sector 0x132c0ab6 size 0x1ce !
06.copy of MBR has been found in sector 62 !


soluzione digita cmd e invia copia/incolla questo

cd C:\ E INVIA

poi questo

start mbr.exe -f E INVIA

ritorna in C:/ apri il mbr.log riscritto e vedi se risulta cosi

01.Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net
02.device: opened successfully
03.user: MBR read successfully
04.kernel: MBR read successfully
05.MBR rootkit infection detected !
06.MBR INT 0x13 hook detected !
07.malicious code @ sector 0x12a14c00 size 0x1ca !
08.copy of MBR has been found in sector 62 !
09.original MBR restored successfully !

in questo caso sei pulito

- - - Updated - - -

oppure se non risolvi, c'è anche MBAM antirootkit , però attenzione perchè è ancora in fase beta test, quindi dovresti fare un backup del registro prima
 
Ultima modifica da un moderatore:
Ciao , allora ho eseguito ciò che mi hai detto e mi viene fuori questo log :
[FONT=&quot]Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, GMER - Rootkit Detector and Remover[/FONT]
[FONT=&quot]Windows 6.1.7601 [/FONT]
[FONT=&quot] [/FONT]
[FONT=&quot]device: opened successfully[/FONT]
[FONT=&quot]user: error reading MBR [/FONT]
[FONT=&quot]error: Read Handle non valido.[/FONT]
[FONT=&quot]kernel: error reading MBR [/FONT]
 
Ho fatto le scansioni con qualunque programma esistente contro malware virus ecc.. ma niente continua ad aprirsi sta pagina russa , come posso togliere il comando ? perchè è il propt dei comandi che si avvia e fa aprire sta stupida pagina ... intuizioni?
 
acolta ...qual' è il tuo antivirus predefinito, assicurati che supera il test eicar

- - - Updated - - -

hai un 64bit?

- - - Updated - - -

avevi riavviato il pc dopo aver disistallato spybot
 
sisi ho riavviato il pc dopo aver tolto spybot, ho un 64bit, l'antivirus è uno a pagamento: Panda internet security
 
sarà un' estensione .COM per quello ti apre il prompt come un comando.....la zona piu' delicata è quella di system volume information
(cartella di sistema nascosta)

- - - Updated - - -

Antonio17 ha detto:
sisi ho riavviato il pc dopo aver tolto spybot, ho un 64bit, l'antivirus è uno a pagamento: Panda internet security
Clicca per espandere...

allora no. lo stelth mbr non legge la strutturra 64, stò ricercando ti faccio sapere
 
prova con hijack e salva/posta il log

- - - Updated - - -

cancella il contenuto della cartella temp che si trova in Windows
 
Ecco il log

- - - Updated - - -

alcuni fil della cartella temp non me li fa cancellare perchè dice che il file è aperto in Internet resident proxy
 

Allegati

Pubblicità
Pubblicità
Indietro
Top