Olimpo Informatico

levatore · Eroe Registrato: 21/09/06 17:41 Messaggi: 45

ciao a tutti, una recente scansione di Virit ha trovato un' infezione e l' ha eliminata.

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\Documents and Settings\superutente\Impostazioni locali\Temp\ResetDevice.exe Infetto da Trojan.Win32.Generic.BSXH
* * * RIMOSSO * * *

Da quel momento in poi, pero', nelle scansioni successive, nella stringa del master boot record si e' aggiunto questo "PhysicalDrive0" che non so cosa sia.

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD (\\.\PhysicalDrive0): OK
BOOT SECTOR: OK

Inoltre Online Armor ha aperto una finestra avvisando che il registro programmi in esecuzione automatica
e' stato modificato, e che quello attuale e' : "C:\WINDOWS\SYSTEM32\BROWSERCHOICHE.EXE"
Ho cercato di venirne a capo ed ho fatto una scansione con "gmer", ma il log per me e' indecifrabile.
Secondo il vostro parere e' il caso di indagare oltre o e' normale tutto cio' ?

Ho "XP home", "Service Pack 3", "Avira antivir free", "Superantispyware", "Virit", "Online Armor".
Mi connetto con chiavetta "3" e navigo con "Opera usb".
Se servissero, posto i log di "HijackThis" + "gmer"
Grazie in anticipo a chi volesse aiutarmi !!! Very Happy

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao levatore.
Virit ti segnala che ci dovrebbe essere, un problema al MBR (Master Boot Record)
Segui queste indicazioni:
Scarica MBR.EXE direttamente nella Directory C:\ (è importante che venga scaricato in C:\ )
link
Clicca Start

Clicca Esegui...

Digita: cmd e poi ok.

si apre la finestra DOS, digita: CD \

premi invio

digita: mbr -f (fai il copia-incolla)

premi invio

Poi digita: exit

premi invio

Riavvia il pc

Posta qui il contenuto del log C:\mbr.log

levatore · Eroe Registrato: 21/09/06 17:41 Messaggi: 45

Ciao R1, felice di leggerti!!!! Ciao

Purtroppo in C mi nega il salvataggio(non avrei le autorizzazioni !!) Shocked

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Scaricalo con account di Amministratore.

levatore · Eroe Registrato: 21/09/06 17:41 Messaggi: 45

Perdona l' ignoranza R1. In Start/Pannello di controllo/Account utente trovo un "Guest" non attivato e un "superutente" che e' amministratore del computer (almeno cosi' c' e' scritto accanto all' immagine). Non so come scaricare con "Account di amministratore". Porta pazienza!!!

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.
Clicca su questo "superutente" (ma lo hai creato tu, oppure appartiene a qualcun altro? Perchè in questo caso, devi rivolgerti al "proprietario" del pc.) e vedi se riesci a scaricare quel tool.
Altrimenti posta un log di HiJackThis
Segui le istruzioni di questo topic per postare il log di HiJackThis:
http://forum.zeusnews.com/viewtopic.php?t=23440

JeanGrey · Inviato: 15 Mar 2010 21:14 Oggetto:

Ciao levatore, ciao R1.

@R1
Si potrebbe provare con Prevx, che ne dici?

Download Prevx
Installa il programma ed segui una scansione.
Allega il risultato.

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

levatore · Eroe Registrato: 21/09/06 17:41 Messaggi: 45

........ciao anche a te JeanGrey, Ciao

.
La cosa sorprendente e' che sono appena riuscito a scaricare "MBR.EXE" in C: ( collegatomi da poco ho provato

con "Explorer" e poi con "Opera usb", ed entrambi me l' hanno permesso).
@ R1 Questo pomeriggio non permetteva il salvataggio in "C:", ma negli altri settori si(e dietro tua

indicazione non ho avviato la procedura).
Ho scaricato "Hijackthis" ma stranamente sia "wikisend" che "wikifortio" non permettono di uploadare il file con il

"log_zeus.txt" salvato in "C:\HijackThis" (il pulsante "Upload file" dei siti risulta disattivo).
Accidenti......., proprio mentre scrivo (ho appena scaricato ed avviato "PREVX") "Virit" segnala che il registro dei

programmi in esecuzione automatica e' stato modificato al posto di

"C:\PROGRAMMI\PREVX\PREVX.EXE"/SERVICE.
Inoltre, l' invio dopo "mbr -f" restituisce:
_ Stealth MBR rootKit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://ww.gmer.net
_device: opened successfully
_user: error reading MBR
_Kernel: MBR read successfully

.............e va avanti all' infinito !!

s.o.s.

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.
Tagliamo la testa al toro, e vedi se riesci a fare questa scansione:
Segui le istruzioni di questo topic per usare Combofix:
http://forum.zeusnews.com/viewtopic.php?t=45224

levatore · Eroe Registrato: 21/09/06 17:41 Messaggi: 45

Eccomi R1, sono riuscito a caricare su Wikisend il log (Combofix ha impiegato solo qualche minuto a fare il suo lavoro, sara' che su 149 giga di hard disk ne ho occupati solo 7 )!!!

ComboFix.txt.
Pochi minuti fa' e' comparsa nuovamente la finestra di Virit che riporta:

Il registro programmi in esecuzione automatica e' stato modificato. Il seguente programma e' in esecuzione automatica:
C:\WINDOWS\SYSTEM32\SVCHOST.EXE -K NETSVCS
(C:\WINDOWS\SYSTEM32\CRYPTSVC.DLL)

Se hai bisogno di altri log sono a disposizione.
Grazie Very Happy

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.

levatore · Eroe Registrato: 21/09/06 17:41 Messaggi: 45

Ho appena scansionato con Prevx 3.0 ed ha trovato un malware.

name: nv4_disp.dll in C:\WINDOWS\SYSTEM32
threat identified: Malware Component

Pero' ci risiamo...... wikisend e wikifortio non funzionano per cui non posso mandarti il log(riprovero' piu' tardi).

Flashincrypt_demo e' una utility(quella che ho nel pc avra' almeno qualche anno) che serve a ricostruire il sorgente (files con estensione ".fla")di un file realizzato con macromedia flash a partire dall' swf

Cosa dici, R1, riprovo piu' tardi a spedire il log di prevx ?

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.
Ma per wikisend e wikifortio , non riesci a collegarti al sito, o ci sono altri problemi.
Comunque appena puoi mandamelo.

levatore · Eroe Registrato: 21/09/06 17:41 Messaggi: 45

R1, perdona l'assenza ma non mi e' stato possibile risponderti prima !!
Martedi' sera dietro tua indicazione ho avviato """". Dopo cena avrei voluto spedirti il log, ma all' accensione il pc mostrava la classica schermata blu ma senza la barra delle applicazioni e le icone presenti normalmente sul desktop. Ho spento col pulsantone di avvio, ho scollegato e ricollegato i cavi e ho riprovato, ma niente da fare.
Ieri mattina l' ho acceso in modalita' provvisoria ed ho tentato di avviarlo con la Console di ripristino di emergenza, ma dopo molti tentativi, non avendo la piu' pallida idea su come procedere, a malincuore ho dovuto reinstallato xp. Quindi ho acquistato una penna usb, ci ho salvato Avira, Superantispyware e Virit, scaricati da un altro pc. Li ho installati sul mio, mi sono collegato ad internet ed ho aggiornato i programmi(con Avira sono riuscito solo stamattina perche' ieri non me li faceva scaricare!!).
La cosa curiosa e' che dei 4 giga di spazio della chiavetta comperata ieri, 500 mega sono occupati da alcune cartelle gia' presenti al suo interno. Aprendone alcune, ho trovato programmi come OpenOffice, Firefox ed altri che non conosco(sembrerebbero versioni portatili). Ho la scansionato la usb con Virit e Superantispyware, i quali hanno rilevato delle minacce che stando al percorso puntano proprio in alcune di queste cartelle.
Cosa ne pensi ? sono falsi positivi o conviene fare scansioni con altri programmi ? Devo mandarti il log di Virit ?(dove tra l' altro e' ricomparso quel "\\.\PhysicalDrive0")
Per rispondere alla tua domanda sul sito "wikisend", quando dicevo che non funzionava, intendevo che dire che le pagine venivano caricate, e riuscivo anche a inserire il percorso con il tasto sfoglia, ma quando cercavo di cliccare il pulsante upload, questo era disattivo(il cursore non diventava manina) e quindi non mi era possibile inviare.
Al momento sono collegato, e per scrupolo ho riprovato a upladare un log con "wikisend", ma si e' di nuovo verificato il problema del pulsante upload. Pero' a questo punto penso che si tratti di un' anomalia di "wikisend" che a volte fa i capricci, visto che martedi' un log sono riuscito a caricarlo.
Ho anche provato a scaricare su "C:" un file a caso dal sito Html.it (ricordi che non me lo permetteva?) riuscendoci senza problemi !!!!!
Il nome account che ho scelto durante l' installazione del S.O. e'"master", e guardando nel pannello "Account utente" risulto amministratore del computer, proprio come con il vecchio account "superutente". Pero' prima non riuscivo a salvare in C:. Questo significa che problemi non ce ne sono piu' ?

Ciao e grazie !!!!!!!

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.
Per vedere se è tutto a posto, mi serve questa scansione:
Segui le istruzioni di questo topic per usare Systemscan:
http://forum.zeusnews.com/viewtopic.php?p=210548#210548
Per il log, prova wikifortio, o wikisend.
Prova quello che vuoi, purchè mi arrivi il log. Very Happy

levatore · Eroe Registrato: 21/09/06 17:41 Messaggi: 45

Wikifortio e' stato magnanimo !!!!!! Very Happy

Ecco il log, R1.

report.txt

A piu' tardi !!!!!!!!!!

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.
Il log non presenta infezioni attive.
Ti consiglio di disistallare Virit (a meno che, non sia a pagamento) e in stalla re Avira.
Per disistallare Virit,fai :
Start\Tutti Programmi, e trovi il suo Unistall.
Se vuoi scaricare Avira:
Guida e installazione di Avira:
http://forum.zeusnews.com/viewtopic.php?t=42228
Se segui il mio consiglio, fai una scansione completa, e posta il log.
Altrimenti, amici come prima. Razz

levatore · Eroe Registrato: 21/09/06 17:41 Messaggi: 45

Allora R1, ho disinstallato Virit, installato Avira e scansionato in modalita' provvisoria.

log : AVSCAN-20100320-191818-ACEAE92B.LOG

Ho riavviato, Luke Filewalker si e' attivato da solo e dopo veloce scansione ha rilevato TR/Spy.376832.63 !!!!

Ma possibile ????

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.
Non vorrei sbagliarmi, ma forse ha rilevato Systemscan come un virus.
Elimina Systemscan, e vedi se lo rileva ancora.
Altrimenti fai una scansione con Superantispyware .