| Precedente :: Successivo |
| Autore |
Messaggio |
pisiattu
Eroe
Registrato: 31/05/10 19:16
Messaggi: 66
|
 Inviato: 04 Feb 2012 11:29 Oggetto: blocchi insoliti pc |
 |
|
ciao 
mi trovo in una situazione ingarbugliata.
il mio computer si è bloccato due volte senza che potessi far altro che spegnerlo in modo anomalo col tasto di accensione.
malwarebytes mi ha trovato un infezione: tale backdoor.bot
invece superantispyware: Trojan.Agent/Gen-Koobface; PotentiallyUnwanted. piu alcuni tracking cookie
wikisend non funziona, mi potresti consigliare un sicuro sito di hosting cosi posso caricarti i logs? |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 04 Feb 2012 15:07 Oggetto: |
|
|
Ciao.
| Citazione: | | mi potresti consigliare un sicuro sito di hosting cosi posso caricarti i logs? |
Quali log?
Perchè a me servirebbero questi:
Scarica TDSSKiller.zip sul desktop:
link
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.
Scarica MBRCheck, e e salvalo sul desktop.
link
Chiudi tutti i programmi.
Doppio click su MBRCheck, che hai scaricato sul desktop, ed eseguilo.
Attendi la fine della scansione.
Finita la scansione (dura pochissimo) posta il log che troverai sul desktop
Segui le istruzioni di questo topic per usare Combofix: (usa Internet Explorer, e ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Fai questa scansione con OTL.
http://forum.zeusnews.com/viewtopic.php?t=51382
Ovviamente anche quello di Malwarebytes.
Per postare i log:
link
link
link |
|
| Top |
|
|
pisiattu
Eroe
Registrato: 31/05/10 19:16
Messaggi: 66
|
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 04 Feb 2012 22:40 Oggetto: |
|
|
Ciao.
Scarica ListParts :
link
Esegui lo strumento, fai clic su Scan e allega il log (Result.txt).
C'è l'MBR infetto.
Possiedi il CD d'installazione originale?
Se sì segui le indicazioni di questo link:
http://forum.zeusnews.com/viewtopic.php?t=43689
I comandi da eseguire sono:
fixmbr (e poi Invio)
fixboot (e poi Invio)
E poi digitare exit (e poi Invio) per uscire dalla Console.
Ricorda di togliere il cd subito dopo avere digitato exit e poi Invio
Ripeti la scansione con MBRCheck.
Posta il log. |
|
| Top |
|
|
pisiattu
Eroe
Registrato: 31/05/10 19:16
Messaggi: 66
|
| Inviato: 05 Feb 2012 12:57 Oggetto: |
|
|
nel link che mi hai indicato una parte del punto iniziale è per me oscuro:
"Assicurati che il bios sia impostato per leggere il cd prima del disco"
come faccio a impostare il bios in tale maniera?
ho anche un'altro dubbio; ho i due dischi che hanno la seguente dicitura:
A) rev1.0 recovery dvd
microsoft windows xp
B) rev2.0 system cd
nella custodia c'è anche un mini opuscoletto che mi dice che se il kit di ripristino è formato da piu dischi devo utilizzare per primo il "disco di sistema acer"
mi potresti chiarire come devo agire? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 05 Feb 2012 13:19 Oggetto: |
|
|
Ho chiesto una scansione con ListParts, e relativo log.
| Citazione: | ho anche un'altro dubbio; ho i due dischi che hanno la seguente dicitura:
A) rev1.0 recovery dvd
microsoft windows xp |
Quello non è il CD d'installazione che comprende la Console di ripristino.
Quel Cd serve per reistallare XP alle impostazioni di fabbrica.
Proviamo a sistemare l'MBR con un tool:
Scarica aswMBR.exe sul desktop.
link
Fai doppio clic aswMBR.exe per eseguirlo
Clicca sul pulsante Scan per avviare la scansione
Al termine della scansione clicca su Save log,e salvalo sul desktop.
Postalo qui. |
|
| Top |
|
|
pisiattu
Eroe
Registrato: 31/05/10 19:16
Messaggi: 66
|
| Inviato: 05 Feb 2012 17:21 Oggetto: |
|
|
scusami per il lapsus su list parts.
eccolo ora:
link
nel corso della scansione di aswmbr la protezione in real time di avira mi segnala questo rilevamento:
link
la scansione di aswmbr inoltre si blocca sempre come in quest'immagine che ti posto:
link
il log "parziale" di aswmbr è questo:
link |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 05 Feb 2012 17:33 Oggetto: |
|
|
A parte il primo log, gli altri non li visualizzo.
Prova a vedere anche tu. |
|
| Top |
|
|
pisiattu
Eroe
Registrato: 31/05/10 19:16
Messaggi: 66
|
| Inviato: 05 Feb 2012 19:16 Oggetto: |
|
|
si riesco a aprirli.
li carico comunque anche su wikisend;
messaggio avira: aviraa.jpg
punto in cui si blocca la scansione di aswmbr: aswmbr si blocca.jpg
log aswmbr: aswMBR.txt |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 05 Feb 2012 22:25 Oggetto: |
|
|
| Citazione: | punto in cui si blocca la scansione di aswmbr: aswmbr si blocca.jpg
|
Ma non è bloccato.
Ha finito la scansione.
Ripeti la scansione.
Finita la scansione clicca su "FixMBR".
Quando ti esce questo messaggio:
| Citazione: | WARNING!!!
Writing a new master boot record to your system partition could damage your partition tables and cause your partitions to become inaccessible. This appliction writes standard Windows MBR code.
Are you sure you want to fix the MBR? |
Conferma l'iscrizione di un nuovo MBR.
Riavvia il pc.
Poi, rifai la scansione con aswmbr e posta il log.
Ripeti la scansione con MBRCheck.
E posta il log. |
|
| Top |
|
|
pisiattu
Eroe
Registrato: 31/05/10 19:16
Messaggi: 66
|
| Inviato: 06 Feb 2012 11:12 Oggetto: |
|
|
pensavo si fosse bloccato perchè a in corrispondenza di ral/upgrade si fermava e poi non mi dava nessun messagio di avviso "di fine scansione"
e per quanto riguarda quella rilevazione di avira? |
|
| Top |
|
|
pisiattu
Eroe
Registrato: 31/05/10 19:16
Messaggi: 66
|
| Inviato: 06 Feb 2012 11:57 Oggetto: |
|
|
| Citazione: | WARNING!!!
Writing a new master boot record to your system partition could damage your partition tables and cause your partitions to become inaccessible. This appliction writes standard Windows MBR code.
Are you sure you want to fix the MBR?
|
ho un dubbio su questo punto: l'operazione potrebbe andare davvero male? cosa rischio? |
|
| Top |
|
|
pisiattu
Eroe
Registrato: 31/05/10 19:16
Messaggi: 66
|
| Inviato: 06 Feb 2012 19:59 Oggetto: |
|
|
non ho ancora eseguito le operazioni che mi hai indicato.
però rifacendo la scansione con aswmbr e lasciando il programma aperto tutto il giorno ho notato che questa volta (a differenza di ieri) mi compare l'avviso di fine scansione, e mi segnala anche tre voci in rosso.
ti posto immagine e nuovo log:
aswmbr last.jpg
log di aswMBR.txt |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 06 Feb 2012 20:25 Oggetto: |
|
|
| Citazione: | ho un dubbio su questo punto: l'operazione potrebbe andare davvero male? cosa rischio?
|
Con il MBR infetto, tutte le operazioni potrebbero andare male.
Persino (se l'avessi), anche con la Console di ripristino.
Per cui, visto che l'infezione si stà allargando, o segui le indicazioni, oppure ti tieni ben stretto il virus. |
|
| Top |
|
|
pisiattu
Eroe
Registrato: 31/05/10 19:16
Messaggi: 66
|
| Inviato: 07 Feb 2012 11:01 Oggetto: |
|
|
ho fatto le operazioni che mi hai indicato.
dopo fixMbr riavvio il pc e mi da subito per 2 secondi una schemata blu, poi come il pc si riavvia mi appare un messaggio che mi dice che il sistema è stato ripristinato in seguito a un errore grave.
dopo tutto ciò rifaccio le due scansioni e nel corso di quella di aswmbr mi riappare questo avviso di avira:
messaggio avira.jpg
vado a vedere nella scheda eventi e noto che la real time protection ha bloccato questo virus più e più volte nel corso di questa scansione:
piu rilevamenti in sequenza di.jpg
MBRCheck_02.07.12_09.59.42.txt
aswMBR.txt |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 07 Feb 2012 15:08 Oggetto: |
|
|
Ciao.
Buone notizie.
L'MBR è stato riscritto correttamente.
Sia aswmbr, che MBRCheck lo rilevano pulito.
| Citazione: | | dopo tutto ciò rifaccio le due scansioni e nel corso di quella di aswmbr mi riappare questo avviso di avira: |
Non ti preoccupare.
E' un falso positivo di Avira.
Avira, rileva aswmbr come un virus.
E non potrebbe essere diversamente visto che tale tool và a scansionare un'area molto sensibile del S.O.
In più, ho commesso anch'io un errore:dovevo dirti di disattivare il Guard di Avira prima della riparazione del MBR fatta con aswmbr.
Scusami.
Elimina sia MBRCheck che aswmbr.
Fai una pulizia con CCleaner. (registro compreso)
Riavvia il pc.
Segui le istruzioni di questo topic per usare MBAM: (ricorda di aggiornarlo prima della scansione)
http://forum.zeusnews.com/viewtopic.php?p=297823#297823
Esegui una scansione completa.
Elimina gli eventuali file infetti trovati.
Posta il log.
Poi dimmi quali problemi riscontri ancora, e specificatamente se ci sono ancora blocchi. |
|
| Top |
|
|
pisiattu
Eroe
Registrato: 31/05/10 19:16
Messaggi: 66
|
| Inviato: 07 Feb 2012 19:22 Oggetto: |
|
|
ho fatto tutto, eliminato mbrcheck e aswmbr, pulito con cc cleaner e riavviato.
mbam-log-2012-02-07 (15-02-27).txt
ho un dubbio forte su 3 rilevamenti di aswmbr; questo dava queste tre segnalazioni in rosso:
02:03:39.062 File: C:\Documents and Settings\All Users\Dati applicazioni\Adobe\ARM\Reader_10.1.1\11933\AcrobatUpdater.exe **INFECTED** Win32:Trojan-gen
02:03:40.218 File: C:\Documents and Settings\All Users\Dati applicazioni\Adobe\ARM\Reader_10.1.1\11933\AdobeARMHelper.exe **INFECTED** Win32:Trojan-gen
02:03:40.796 File: C:\Documents and Settings\All Users\Dati applicazioni\Adobe\ARM\Reader_10.1.1\11933\ReaderUpdater.exe **INFECTED** Win32:Trojan-gen
visto che scriveva anche "INFECTED" e "trojan-gen" come devo agire su questi?
Inoltre il real time protection di avira continua come prima a rilevarmi a oltranza:
Nel file 'C:\Documents and Settings\Utente\Impostazioni locali\temp\av4109D.tmp'
è stato rilevato un virus o programma indesiderato 'TR/Crypt.XPACK.Gen' [trojan]. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 07 Feb 2012 21:18 Oggetto: |
|
|
Segui il percorso ed elimina manualmente il file in rosso:
C:\Documents and Settings\Utente\Impostazioni locali\temp\av4109D.tmp
Svuota il cestino.
Pulisci con CCleaner.
| Citazione: | | ho un dubbio forte su 3 rilevamenti di aswmbr |
Leviamoci il dubbio.
Segui il precorso ed elimina le cartelle in rosso: (sono 2)
C:\Documents and Settings\All Users\Dati applicazioni\Adobe\ARM\Reader_10.1.1\11933\AcrobatUpdater.exe
Male che vada, se Adobe non funziona , lo eliminiamo completamente e lo reistalliamo nuovo di pallino. |
|
| Top |
|
|
pisiattu
Eroe
Registrato: 31/05/10 19:16
Messaggi: 66
|
| Inviato: 08 Feb 2012 00:39 Oggetto: |
|
|
Ciao R16,
ho eliminato adobe senza problemi, con C:\Documents and Settings\Utente\Impostazioni locali\temp\av4109D.tmp ho avuto problemi:
messaggio errore.jpg |
|
| Top |
|
|
pisiattu
Eroe
Registrato: 31/05/10 19:16
Messaggi: 66
|
| Inviato: 08 Feb 2012 12:19 Oggetto: |
 |
|
ho riprovato a eliminare C:\Documents and Settings\Utente\Impostazioni locali\temp\av4109D.tmp
ma non fa e continua a darmi il messaggio che ti ho indicato nel post precedente.
inoltre contollando i processi attivi su task manager ho trovato "ApMsgFwd.exe"
vado a vedere in che cartella è e ne trovo due:
C:\Programmi\Apoint2K
C:\WINDOWS\system32\DRVSTORE\apfiltr_B1F300029B86236E36F6C8C7F56988D12FE3B961
c'è anche qua un'anomalia? |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
