Olimpo Informatico

[kostello79]

ciao,

stasera ho acceso il pc e mi sono arrivati 3 avvisi da parte di avira di una infezione nel settore di boot.

nel computer sono installati sia Avira che Panda.

sto cercando in internet possibili soluzioni al problema, ma non sono riuscito a trovare niente purtroppo. In compenso viene descritto come una minaccia piuttosto seria, il che mi fa preoccupare sinceramente.

come browser utilizzo chrome per la navigazione "normale" ed opera per accedere al mio conto bancario on line e per i siti di ecommerce.

come da oggetto il virus si chiama BOO/Whistler.A.

il computer è un portatile toshiba (satellite T110) e non ha ne un lettore dvd ne ovviamente floppy.... le uniche soluzioni che avevo trovato ne richiedevano almeno uno dei due.

c'è qualcuno che abbia idea di come risolvere oppure dare un consiglio su che cosa fare?

[menatwork]

ciao

tanto per cominciare dovresti togliere uno dei due antivirus, crei solo problemi al sistema

hai provato a fare una scansione con avira per cercare di ripulire l'infezione?

scarica mbr direttamente in C:\

Riavvia il computer in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8. Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^

Ora Da Start - Esegui - digita C:\mbr.exe e clicca su OK

Posta il log che troverai in C:\ come mbr.log

[kostello79]

ciao ho tolto panda.

si avevo già effettuato vari tentativi di scansione e riparazione con avira ma senza successo purtroppo.

ho eseguito mbr, ma nn credo che abbia funzionato, qui ti incollo il log che ha creato:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7601

device: opened successfully
user: error reading MBR
error: Read The handle is invalid.
kernel: error reading MBR

[menatwork]

sempre da provvisoria

Start>> Esegui e digita mbr.exe -f ( fai copia incolla)

posta il log

[kostello79]

ciao,

grazie per la risposta.

adesso sto eseguendo una scansione con malwarebites, appena ha terminato riavvio in modalità provvisoria e riprovo con mbr.exe -f così giusto?

[menatwork]

non capisco perche' non segui le mie indicazioni

mah....

[R16]

Sarebbe interessante il S.O che è in uso.


@kostello79:
Chiariamo subito, che tu sei libero di rivolgerti dove vuoi, per cercare di risolvere il tuo problema.
E' un tuo diritto.
Ma, personalmente, eviterei di postare il problema in vari forum.
Questo crea confusione, con le varie tecniche di bonifica, sia per te, che per chi ti segue.
Le tecniche di bonifica, sono varie, e tutte possono essere valide , ma ognuno segue la propria, per cui ti consiglio di seguire la bonifica in un solo forum.
Quale forum lo sceglierai tu stesso, ma l'importante è che tu segua alla lettera, le indicazioni di un solo forum.
Questo, eviterà discussioni inutili, e ci sarà meno confusione.
Grazie.

[kostello79]

@R16

si hai perfettamente ragione, il fatto è che sono decisamente preoccupato, soprattutto per i dati di banca e carte. Prima di postare ho fatto delle ricerche su questo tipo di infezione ma come detto nel primo post nn ho trovato nessuno che avesse risolto quindi ho pensato che avere piu voci potesse essere utile.

Il sistema operativo è 7 home premium.

ad ogni avvio avira manda 3 pop up che indicano presenza di malware nei settori di boot di C, D e HDD0 (zero... ???)

@menatwork

ho riprovato con il nuovo comando, il risultato è stato lo stesso.
forse perchè il SO è in lingua inglese?

ps il pc è stato comprato in UK, dove peraltro mi trovo.

[R16]

Scarica aswMBR.exe sul desktop.
link

Fai doppio clic aswMBR.exe per eseguirlo

Clicca sul pulsante Scan per avviare la scansione

Al termine della scansione clicca su Save log,e salvalo sul desktop.
Postalo qui.

Per postare il log:
Collegati ad internet e vai alla pagina WikiSend: link
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

[kostello79]

ciao ecco il log

aswMBR.txt - 2 Kb

da filevo, da wikisend non so perchè non me lo caricava. grazie per l'aiuto!

[R16]

Scarica TDSSKiller.zip sul desktop:
link
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.
Il log lo posti con le modalità precedenti.

[kostello79]

Ciao R16

ho eseguito tsskiller che ha rilevato 2 minacce:

una BOO/WHistler.A di livello High (impostazione predefinata "Cure") ed un processo SPTD di livello medio (impostazione predefinata "Skip"). Questo processo/servizio è lo stesso che era stato rilevato prima da aswMBR.

Al riavvio Avira non ha più rilevato BOO/WHistler.A, ma avverte della presenza di un oggetto nascosto.

Un'altra scansione con TSSK non ha più rivelato la presenza di BOO/WHistler.A, ma c'è ancora il processo SPTD.

Qui il link alla log. Si tratta del log successivo al riavvio richiesto per la cura dopo la prima passata.

TSSK Report.txt - 40 Kb

[menatwork]

quel driver e' legittimo, lascialo

esegui una scansione con combofix come descritto in questa guida

allega il log come i precedenti

[kostello79]

come dicevo BOO/Whistler.A non c'è più, ma è rimasto solo SPTD.

prima di andare con combofix vorrei aspettare il parere di R16.

[menatwork]

come ti ho gia' detto il processo sptd e' legittimo appartiene a DaemonTools.
Se vuoi aspettare r16 fai pure, vedo che la fiducia non e' il tuo forte

[kostello79]

R16 mi ha fatto fare lo scan con TSSKiller che tra gli altri è specifico per infezioni di tipo Whistler.

Infatti dopo la scansione e la cura non ho più avuto avvisi da avira, quindi per me è risolta così aspettavo solo il parere di R16

CIT: ComboFix è specifico per la rimozione dei seguenti malware:
SurfSideKick, QooLogic, Look2Me, BAGLE (alcune varianti), VUNDO (alcune varianti) o combinazioni di questo gruppo.

Non ho nessuna di queste infezioni, inoltre è una utility molto potente con relativi rischi..... quindi che c'entra col mio caso?

@menatwork Non si tratta di sfiducia si tratta di logica.

[menatwork]

questo lo hai scritto tu

[kostello79]

non capisco il tuo atteggiamento polemico.... ciao e buon lavoro

[R16]

Ciao a tutti.
Gradirei che la polemica, finisse qui.
Senza ulteriori commenti, nè da una parte, nè dall'altra.

@kostello79:

[kostello79]

ciao R16

grazie della spiegazione.

Adesso devo andare a lavoro, domani appena posso mi rileggo per bene la guida di combofix e valuto se sono in grado di non fare minchiate.

il pc ha sempre funzionato bene (dopo aver disintallato panda ancora meglio) ma in ogni caso non voglio avere paranoie ad usare le carte ed il conto online.

grazie per l'aiuto!