www.MegaLab.it

[andrea 555]

Norton mi ha trovatro questo: "Boot.Tidserv.B"
ma non riesce a rimuoverlo... come posso fare???

[Ale2695]

Scarica Malwarebytes, installalo, aggiornalo, fagli fare una scansione completa e posta il log qui sul forum col tag MEMO, così vediamo cos'hai sul pc

[crazy.cat]

ma non riesce a rimuoverlo... come posso fare???

Dove lo trova?
In quale file?

[Berga95]

Passiamo direttamente a Stealth MBR rootkit detector...

Salvalo in C:\, poi vai su Start -> Esegui -> cmd (oppure Start -> scrivi cmd sulla barra di ricerca) e scrivi nella finestra nera che comparirà

Codice: Seleziona tutto

C:\mbr.exe -f

Alla fine della scansione (che durerà pochissimo) si creerà un log in C:\, aprilo, copia il contenuto e scrivicelo usando il tag MEMO

P.S: Da quanto ho trovato in rete, il virus è recente... potresti dirmi da dove l'hai scaricato, anche tramite PM?
EDIT: Allega anche il log di Norton

[andrea 555]

Questo è il risultato della scansione con Malwarebytes

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Versione database: 5547

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18/01/2011 19.42.17
mbam-log-2011-01-18 (19-42-17).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 379610
Tempo trascorso: 1 ore, 44 minuti, 4 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)

Ora provo con Stealth MBR rootkit detector...

Non so dirvi dove l'ho preso, non stavo scaricando nulla...

[andrea 555]

Ecco il log di Stealth MBR rootkit detector

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: WDC_WD2000JS-60NCB1 rev.10.02E02 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-7

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

[Ale2695]

Malwarebytes non ha rilevato nulla e l'MBR è pulito...

Dove lo trova?
In quale file?

[Berga95]

Malwarebytes non ha rilevato nulla e l'MBR è pulito...

Dove lo trova?
In quale file?

Molto probabilmente nell'MBR... http://www.symantec.com/security_respon ... 01-4700-99
Quei 434 bytes mi fanno dedurre questo...
Se a qualcuno può servire, ho trovato anche questo, ma causa febbre non riesco a ragionare bene...

[andrea 555]

Ecco l'avviso di norton.
Non mi dice dov'é sto file però ...
[img][IMG=http://img560.imageshack.us/img560/8158/norton1.th.png][/img]

Uploaded with ImageShack.us[/img]

[Berga95]

Su "Risultati dettagliati"?

[Uomo_Senza_Sonno]

perché non provare da console di ripristino il comando fixboot e fixmbr? Dal log non si evincono infezioni di tipo rootkit, e forse questa minaccia viene rimossa sovrascrivendo il bootsector.

[andrea 555]

Oggi è riuscito a rimuoverlo...

[Berga95]

Meglio così... noti qualche altro problema sul computer?

[andrea 555]

Allora, mi spiego meglio:
Il virus se l'è preso preso il portatile (con installato vista).
Ho tolto l'HD e l'ho collegato al pc fisso per cercare di toglierlo, sembrava che il virus fosse passato anche sul fisso... e invece no.
Di seguito riporto i risultati della scansione norton dell'HD portatile:

Minacce risolte:
Non è stato eliminato alcun rischio

Minacce non risolte:
Boot.Tidserv.B
Tipo: Record di avvio principale
Rischio: Alto (Alto Stealth, Alto Rimozione, Alto Prestazioni, Alto Privacy)
Categorie: Virus
Stato: Rimozione non riuscita
-----------
1 azione di sistema
Unità 0x86 - Infetto

e i risultati di Malwarebytes sempre dell'HD portatile

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20/01/2011 17.10.30
mbam-log-2011-01-20 (17-10-30).txt

Tipo di scansione: Scansione completa (E:\|L:\|)
Elementi esaminati: 380670
Tempo trascorso: 2 ore, 16 minuti, 13 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 16

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
e:\program files\adparatus\adparatusresources.dll (Adware.Adparatus) -> Quarantined and deleted successfully.
e:\program files\adparatus\uninstall.exe (Adware.Adparatus) -> Quarantined and deleted successfully.
e:\program files\adparatus\FF\2594\components\adparatus2594.dll (Adware.Adparatus) -> Quarantined and deleted successfully.
e:\program files\queryexplorer\uninstall.exe (Adware.QueryExplorer) -> Quarantined and deleted successfully.
e:\program files\shopperreports3\bin\3.0.497.0\BRNstIE.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
e:\program files\shopperreports3\bin\3.0.497.0\CmndFF.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
e:\program files\shopperreports3\bin\3.0.497.0\cntntcntr.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
e:\program files\shopperreports3\bin\3.0.497.0\mozillaps.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
e:\program files\shopperreports3\bin\3.0.497.0\Pltfrm.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
e:\program files\shopperreports3\bin\3.0.497.0\shopperreports.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
e:\program files\shopperreports3\bin\3.0.497.0\shopperreportsuninstaller.exe (Adware.ShopperReports) -> Quarantined and deleted successfully.
e:\program files\shopperreports3\bin\3.0.497.0\firefox\firefoxtoolbar\extensions\components\BRNstFF.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
e:\system volume information\_restore{eb17c91d-6f24-4899-93e1-d643b10b0f84}\rp473\a0175342.dll (Adware.Adparatus) -> Quarantined and deleted successfully.
e:\system volume information\_restore{eb17c91d-6f24-4899-93e1-d643b10b0f84}\rp473\a0175343.exe (Adware.Adparatus) -> Quarantined and deleted successfully.
e:\Users\stefano\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\SL5JPXW4\bundleinstaller[1].htm (Adware.Adparatus) -> Quarantined and deleted successfully.
e:\Users\stefano\AppData\Local\Temp\0.7332042806033776.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Secondo voi è possibile eliminarlo senza formattare???

[Berga95]

Se ho ben capito con che schifezza di malware stiamo lavorando, dubito che una formattazione normale basti...
Comunque procederei con quello che ha proposto Uomo_Senza_Sonno

perché non provare da console di ripristino il comando fixboot e fixmbr? Dal log non si evincono infezioni di tipo rootkit, e forse questa minaccia viene rimossa sovrascrivendo il bootsector.

[Ale2695]

Malwarebytes ha rilevato un adware ed un trojan, mentre Norton ha rilevato un Virus di Boot...
Servirebbe Uomo ora, perché penso sarebbe meglio vedere in che condizioni è l'MBR con HxD...

[Uomo_Senza_Sonno]

Forse prima di utilizzare HxD è meglio provare a dare il comando di fixboot e fixmbr e verificare se il problema si risolve con così poco, poi nel caso proviamo a guardare dentro i settori per vedere cosa non va.

Ad ogni modo, devi seguire questa guida per postare il settore 0 del disco fisico e poi guarda quest'articolo che forse il tool indicato serve a riparare il problema.

[andrea 555]

Questa è la schermata con HxD

Appena posso provo a seguire la procedura dell'articolo che mi hai segnalato.

[andrea 555]

[Uomo_Senza_Sonno]

Caro andrea, nella guida viene indicato di selezionare il disco fisico (hard disk1o quello che è in esame) e non quello logico (la partizione del sistema operativo o quella che prendi in esame). Devi postare il settore 0 del disco fisico, purtroppo le informazioni presenti in questo settore non ci servono a molto.