Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Boot.Tidserv.B come rimuoverlo??

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Boot.Tidserv.B come rimuoverlo??

Messaggioda andrea 555 » mar gen 18, 2011 5:17 pm

Norton mi ha trovatro questo: "Boot.Tidserv.B"
ma non riesce a rimuoverlo... come posso fare??? [cry]
Avatar utente
andrea 555
Senior Member
Senior Member
 
Messaggi: 153
Iscritto il: mar mar 22, 2005 2:03 pm

Re: Boot.Tidserv.B come rimuoverlo??

Messaggioda Ale2695 » mar gen 18, 2011 5:38 pm

Scarica Malwarebytes, installalo, aggiornalo, fagli fare una scansione completa e posta il log qui sul forum col tag MEMO, così vediamo cos'hai sul pc [;)]
http://www.chimerarevo.com/
Avatar utente
Ale2695
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5927
Iscritto il: dom gen 18, 2009 10:39 am
Località: Novara

Re: Boot.Tidserv.B come rimuoverlo??

Messaggioda crazy.cat » mar gen 18, 2011 7:56 pm

andrea 555 ha scritto:ma non riesce a rimuoverlo... come posso fare??? [cry]

Dove lo trova?
In quale file?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Re: Boot.Tidserv.B come rimuoverlo??

Messaggioda Berga95 » mar gen 18, 2011 7:58 pm

Passiamo direttamente a Stealth MBR rootkit detector...

Salvalo in C:\, poi vai su Start -> Esegui -> cmd (oppure Start -> scrivi cmd sulla barra di ricerca) e scrivi nella finestra nera che comparirà

Codice: Seleziona tutto
C:\mbr.exe -f


Alla fine della scansione (che durerà pochissimo) si creerà un log in C:\, aprilo, copia il contenuto e scrivicelo usando il tag MEMO [^]

P.S: Da quanto ho trovato in rete, il virus è recente... potresti dirmi da dove l'hai scaricato, anche tramite PM? [grazie]
EDIT: Allega anche il log di Norton [^]
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm
Località: C:\Python27 | C:\Dev-Cpp | Treviso

Re: Boot.Tidserv.B come rimuoverlo??

Messaggioda andrea 555 » mer gen 19, 2011 11:21 am

Questo è il risultato della scansione con Malwarebytes

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Versione database: 5547

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18/01/2011 19.42.17
mbam-log-2011-01-18 (19-42-17).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 379610
Tempo trascorso: 1 ore, 44 minuti, 4 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)


Ora provo con Stealth MBR rootkit detector...

Non so dirvi dove l'ho preso, non stavo scaricando nulla... [boh]
Avatar utente
andrea 555
Senior Member
Senior Member
 
Messaggi: 153
Iscritto il: mar mar 22, 2005 2:03 pm

Re: Boot.Tidserv.B come rimuoverlo??

Messaggioda andrea 555 » mer gen 19, 2011 11:27 am

Ecco il log di Stealth MBR rootkit detector

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: WDC_WD2000JS-60NCB1 rev.10.02E02 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-7

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Avatar utente
andrea 555
Senior Member
Senior Member
 
Messaggi: 153
Iscritto il: mar mar 22, 2005 2:03 pm

Re: Boot.Tidserv.B come rimuoverlo??

Messaggioda Ale2695 » mer gen 19, 2011 2:53 pm

Malwarebytes non ha rilevato nulla e l'MBR è pulito...
crazy.cat ha scritto:Dove lo trova?
In quale file?
http://www.chimerarevo.com/
Avatar utente
Ale2695
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5927
Iscritto il: dom gen 18, 2009 10:39 am
Località: Novara

Re: Boot.Tidserv.B come rimuoverlo??

Messaggioda Berga95 » mer gen 19, 2011 2:59 pm

Ale2695 ha scritto:Malwarebytes non ha rilevato nulla e l'MBR è pulito...
crazy.cat ha scritto:Dove lo trova?
In quale file?

Molto probabilmente nell'MBR... http://www.symantec.com/security_respon ... 01-4700-99
Quei 434 bytes mi fanno dedurre questo... [;)]
Se a qualcuno può servire, ho trovato anche questo, ma causa febbre non riesco a ragionare bene...
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm
Località: C:\Python27 | C:\Dev-Cpp | Treviso

Re: Boot.Tidserv.B come rimuoverlo??

Messaggioda andrea 555 » mer gen 19, 2011 3:54 pm

Ecco l'avviso di norton.
Non mi dice dov'é sto file però ...
[img][IMG=http://img560.imageshack.us/img560/8158/norton1.th.png][/img]

Uploaded with ImageShack.us[/img]
Avatar utente
andrea 555
Senior Member
Senior Member
 
Messaggi: 153
Iscritto il: mar mar 22, 2005 2:03 pm

Re: Boot.Tidserv.B come rimuoverlo??

Messaggioda Berga95 » mer gen 19, 2011 4:00 pm

Su "Risultati dettagliati"?
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm
Località: C:\Python27 | C:\Dev-Cpp | Treviso

Re: Boot.Tidserv.B come rimuoverlo??

Messaggioda Uomo_Senza_Sonno » mer gen 19, 2011 10:01 pm

perché non provare da console di ripristino il comando fixboot e fixmbr? Dal log non si evincono infezioni di tipo rootkit, e forse questa minaccia viene rimossa sovrascrivendo il bootsector.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Boot.Tidserv.B come rimuoverlo??

Messaggioda andrea 555 » gio gen 20, 2011 11:30 am

Oggi è riuscito a rimuoverlo... [boh] [boh] [boh] [boh] [boh] [boh] [boh] [boh]

Immagine
Ultima modifica di The Doctor il gio gen 20, 2011 5:18 pm, modificato 1 volta in totale.
Motivazione: corretto link immagine
Avatar utente
andrea 555
Senior Member
Senior Member
 
Messaggi: 153
Iscritto il: mar mar 22, 2005 2:03 pm

Re: Boot.Tidserv.B come rimuoverlo??

Messaggioda Berga95 » gio gen 20, 2011 1:29 pm

[mandibol]
Meglio così... noti qualche altro problema sul computer?
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm
Località: C:\Python27 | C:\Dev-Cpp | Treviso

Re: Boot.Tidserv.B come rimuoverlo??

Messaggioda andrea 555 » ven gen 21, 2011 8:34 am

Allora, mi spiego meglio:
Il virus se l'è preso preso il portatile (con installato vista).
Ho tolto l'HD e l'ho collegato al pc fisso per cercare di toglierlo, sembrava che il virus fosse passato anche sul fisso... e invece no.
Di seguito riporto i risultati della scansione norton dell'HD portatile:

Minacce risolte:
Non è stato eliminato alcun rischio

Minacce non risolte:
Boot.Tidserv.B
Tipo: Record di avvio principale
Rischio: Alto (Alto Stealth, Alto Rimozione, Alto Prestazioni, Alto Privacy)
Categorie: Virus
Stato: Rimozione non riuscita
-----------
1 azione di sistema
Unità 0x86 - Infetto


e i risultati di Malwarebytes sempre dell'HD portatile

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20/01/2011 17.10.30
mbam-log-2011-01-20 (17-10-30).txt

Tipo di scansione: Scansione completa (E:\|L:\|)
Elementi esaminati: 380670
Tempo trascorso: 2 ore, 16 minuti, 13 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 16

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
e:\program files\adparatus\adparatusresources.dll (Adware.Adparatus) -> Quarantined and deleted successfully.
e:\program files\adparatus\uninstall.exe (Adware.Adparatus) -> Quarantined and deleted successfully.
e:\program files\adparatus\FF\2594\components\adparatus2594.dll (Adware.Adparatus) -> Quarantined and deleted successfully.
e:\program files\queryexplorer\uninstall.exe (Adware.QueryExplorer) -> Quarantined and deleted successfully.
e:\program files\shopperreports3\bin\3.0.497.0\BRNstIE.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
e:\program files\shopperreports3\bin\3.0.497.0\CmndFF.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
e:\program files\shopperreports3\bin\3.0.497.0\cntntcntr.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
e:\program files\shopperreports3\bin\3.0.497.0\mozillaps.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
e:\program files\shopperreports3\bin\3.0.497.0\Pltfrm.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
e:\program files\shopperreports3\bin\3.0.497.0\shopperreports.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
e:\program files\shopperreports3\bin\3.0.497.0\shopperreportsuninstaller.exe (Adware.ShopperReports) -> Quarantined and deleted successfully.
e:\program files\shopperreports3\bin\3.0.497.0\firefox\firefoxtoolbar\extensions\components\BRNstFF.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
e:\system volume information\_restore{eb17c91d-6f24-4899-93e1-d643b10b0f84}\rp473\a0175342.dll (Adware.Adparatus) -> Quarantined and deleted successfully.
e:\system volume information\_restore{eb17c91d-6f24-4899-93e1-d643b10b0f84}\rp473\a0175343.exe (Adware.Adparatus) -> Quarantined and deleted successfully.
e:\Users\stefano\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\SL5JPXW4\bundleinstaller[1].htm (Adware.Adparatus) -> Quarantined and deleted successfully.
e:\Users\stefano\AppData\Local\Temp\0.7332042806033776.exe (Trojan.Agent) -> Quarantined and deleted successfully.


Secondo voi è possibile eliminarlo senza formattare???
Avatar utente
andrea 555
Senior Member
Senior Member
 
Messaggi: 153
Iscritto il: mar mar 22, 2005 2:03 pm

Re: Boot.Tidserv.B come rimuoverlo??

Messaggioda Berga95 » ven gen 21, 2011 1:31 pm

Se ho ben capito con che schifezza di malware stiamo lavorando, dubito che una formattazione normale basti...
Comunque procederei con quello che ha proposto Uomo_Senza_Sonno [^]
Uomo_Senza_Sonno ha scritto:perché non provare da console di ripristino il comando fixboot e fixmbr? Dal log non si evincono infezioni di tipo rootkit, e forse questa minaccia viene rimossa sovrascrivendo il bootsector.
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm
Località: C:\Python27 | C:\Dev-Cpp | Treviso

Re: Boot.Tidserv.B come rimuoverlo??

Messaggioda Ale2695 » ven gen 21, 2011 3:07 pm

Malwarebytes ha rilevato un adware ed un trojan, mentre Norton ha rilevato un Virus di Boot...
Servirebbe Uomo ora, perché penso sarebbe meglio vedere in che condizioni è l'MBR con HxD...
http://www.chimerarevo.com/
Avatar utente
Ale2695
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5927
Iscritto il: dom gen 18, 2009 10:39 am
Località: Novara

Re: Boot.Tidserv.B come rimuoverlo??

Messaggioda Uomo_Senza_Sonno » ven gen 21, 2011 10:54 pm

Forse prima di utilizzare HxD è meglio provare a dare il comando di fixboot e fixmbr e verificare se il problema si risolve con così poco, poi nel caso proviamo a guardare dentro i settori per vedere cosa non va.

Ad ogni modo, devi seguire questa guida per postare il settore 0 del disco fisico e poi guarda quest'articolo che forse il tool indicato serve a riparare il problema.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Boot.Tidserv.B come rimuoverlo??

Messaggioda andrea 555 » mar gen 25, 2011 11:34 am

Questa è la schermata con HxD
Immagine
Appena posso provo a seguire la procedura dell'articolo che mi hai segnalato.
Avatar utente
andrea 555
Senior Member
Senior Member
 
Messaggi: 153
Iscritto il: mar mar 22, 2005 2:03 pm

Re: Boot.Tidserv.B come rimuoverlo??

Messaggioda andrea 555 » mar gen 25, 2011 11:47 am

Immagine
Avatar utente
andrea 555
Senior Member
Senior Member
 
Messaggi: 153
Iscritto il: mar mar 22, 2005 2:03 pm

Re: Boot.Tidserv.B come rimuoverlo??

Messaggioda Uomo_Senza_Sonno » mar gen 25, 2011 10:34 pm

Caro andrea, nella guida viene indicato di selezionare il disco fisico (hard disk1o quello che è in esame) e non quello logico (la partizione del sistema operativo o quella che prendi in esame). Devi postare il settore 0 del disco fisico, purtroppo le informazioni presenti in questo settore non ci servono a molto.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Google [Bot] e 1 ospite

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising