Olimpo Informatico

[simoer65]

Ciao a tutti ! ,
Da qualche giorno ho trovato un rootkit nell' MBR effettuando una scansione tramite GMER.Premetto di avere Windows 7 con antivirus/firewall Gdata.Ho fatto la scansione dopo aver scoperto che avevano rubato la password della mia posta elettronica ed avevano inviato e-mail di SPAM a tutti i miei contatti anche dopo aver cambiato la password.La scansione con Gmer non sono riuscito a terminarla: infatti mentre stava effettuando la scansione mi è comparsa la schermata blu con conseguente riavvio del computer.Ho anche riprovato ottenendo lo stesso risultato.
Posto il file log della scansione preliminare :
link
Per eliminare il virus ho provato mbr.exe ma in modalità provvisoria non si apriva.... poi ho scaricato dr.web e dopo una scansione di 4 ore e mezza non ha trovato niente .Inoltre ho provato con prevx ma anche lui non ha trovato niente e infine con TDSSkiller ma ha trovato solo un file sospetto :

link
Insomma non so più che fare

[R16]

Ciao.
Scarica MBRCheck, e e salvalo sul desktop.
link
Chiudi tutti i programmi.
Doppio click su MBRCheck, che hai scaricato sul desktop, ed eseguilo.
Attendi la fine della scansione.
Finita la scansione (dura pochissimo) posta il log che troverai sul desktop

Domanda:
Posssiedi il CD-DVD d'installazione di Windows 7?

[simoer65]

Ciao,
il cd d'installazione di Windows 7 ce l'ho.
Inoltre ho eseguito MBRcheck ecco il log :

link

[R16]

Ciao.
Non hai l'MBR infetto.
Che problemi riscontri?

[simoer65]

Veramente l'unico problema per adesso riscontrato è il fatto che qualcuno ha avuto accesso alla mia posta elettronica con conseguente invio di SPAM.Dopo questo ho cambiato la password(ovviamente scegliendone una elaborata)ma dopo circa una settimana entro nella posta ed hotmail mi avvisa che qualcuno ha nuovamente avuto accesso al mio account.Da lì mi è venuto il sospetto che ci fosse qualche virus e ho effettuato la scansione preliminare con GMER che diceva che avevo un virus nell'MBR.

[R16]

Prova a fare un'ulteriore controllo con:
Scarica aswMBR.exe sul desktop.
link
Fai doppio clic aswMBR.exe per eseguirlo
Clicca sul pulsante Scan per avviare la scansione
Al termine della scansione clicca su Save log,e salvalo sul desktop.
Postalo qui.

[simoer65]

Ciao,
ti posto qui il log :

link

[R16]

Ciao.
A grandi linee, sembra che l'MBR sia a posto.
Però 2 tool (aswMBR e GMER) che dicono che hai un settore infetto, (MBRoot code @ sector 312576708 !) può preoccupare.

Con il CD d'installazione di Windows 7 segui queste indicazioni:
link
Leggilo bene.
Dopo aver aperto il "Promp dei comandi" devi digitare:
bootrec / fixmbr e premere INVIO

Attenzione: dopo bootrec devi creare uno spazio.

Digita exit e poi INVIO per uscire.

Leva il Cd quando hai premuto INVIO.

[simoer65]

Ciao,
Ho eseguito tutti i passaggi e dopo aver inserito il comando mi è apparso "operation completed succesfully".Una volta effettuata la scansione con aswMBR mi ha trovato nuovamente il rootkit ed anche con Gmer ho ottenuto lo stesso risultato
Ti posto il log di aswMBR prima e dopo l'operazione :

link

[R16]

Ciao.
Segui le istruzioni di questo topic per usare Combofix: (usa Internet Explorer, e ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log.

[simoer65]

Ciao,
ho effettuato la scansione(anche se GDATA nonostante l'abbia disabilitato ha bloccato più volte il processo di combofix)
ecco il log :

link

[R16]

Ciao.
Combofix ha ripristinato un file di sistema molto importante. (Userinit)

Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

[simoer65]

Ciao,
ecco il log :

link

[R16]

Combofix continua a ripristinare Userinit.....

Prova a fare una scansione con GMER per vedere se rileva ancora qualcosa.
Posta il log.

Fai anche questa scansione con OTL.
http://forum.zeusnews.com/viewtopic.php?t=51382
Posta i log.

[simoer65]

Ho provato ad effettuare la scansione con GMER ma dopo un pò mi è comparso il bluescreen con conseguente riavvio ti posto il log della scansione preliminare :

link

Ho fatto anche la scansione con OTL ecco i log :

link

link

[R16]

Sinceramente, a parte qualche rimasuglio di poca importanza, non vedo infezioni.

Scarica ListParts :
link
Esegui lo strumento, fai clic su Scan e allega il log (Result.txt).

[simoer65]

Ecco il log :

link

[R16]

Mi sembra tutto a posto.
Si sono verificati ancora i problemi iniziali?

[simoer65]

Per adesso no....

[R16]

Per il momento, visto che non saprei dove mettere le mani, puoi eseguire delle operazioni di pulizia:
Disattiva il Ripristino configurazione sistema:
link

Apri OTL e clicca su CleanUP.
Si disistallerà Combofix , OTL e TDSSKiller.

Vai in "Programmi e funzionalità" (da Pannello di controllo) e disistalla TUTTE le versioni Java che trovi.

Fai una pulizia con CCleaner. (registro compreso)

Installa l'ultima versione di Java:

link

Riavvia il pc.

Riattiva il Ripristino configurazione sistema.

P.S:
Se noti malfunzionamenti del pc, torna qui.