www.MegaLab.it

[Pct]

Tu che versione di IE utilizzi?

Il pc è di mia cugina, usa Internet Explorer 7 .

Io sul mio pc prima usavo firefox (ho anche internet explorer versione 8) ; adesso, esasperato dalla sua lentezza, uso Chrome e per ora mi trovo benissimo.

[Uomo_Senza_Sonno]

A conti fatti, se hai il dvd di vista o qualsiasi altro strumento per ripristinare mbr e bootloader, puoi provare il remover.exe, e verificare se poi tutto funziona correttamente. Nel settore 0 c'è solo la struttura della partizione nascosta, l'mbr di vista è in qualche settore più avanti ma devi scusarmi tanto se non riesco ad identificare il settore. Si potrebbe eseguire una ricerca inserendo nel campo di ricerca ntfs, partendo dal primo settore e attendendo la prima voce che trova, ma ci vorrà del tempo.
Ad ogni modo, se non vogliamo fare troppi giri, vedi un po' che riesce a risolvere remover.exe

Altra curiosità; che browser utilizzi?

Firefox

[Pct]

ok, grazie mille! Appena mi porterò il dvd di Vista allora proverò remover.exe . Non sono molto pratico con queste cose, quindi vado direttamente col remover.exe, sperando che risolva xD.

Altra curiosità; che browser utilizzi?

Firefox

Asd, avrei dovuto immaginarlo dalla firma

[Pct]

Allora : non ha il dvd di vista; ha solo u dvd della Acer contente un programma per connettersi, niente di altro (Acer Dialer).

Procedo? Nel caso non si avviasse più il SO, c'è un modo per salvare i dati?

Per esempio, se facessi il MegalabCd, e avviassi il pc con quello, si potrebbero salvare i dati su un hard disk esterno, oppure non si potrebbe fare?

Cosa mi suggerite?

[crazy.cat]

Per esempio, se facessi il MegalabCd, e avviassi il pc con quello, si potrebbero salvare i dati su un hard disk esterno,

Puoi scaricarti anche un live cd di linux come quello di ubuntu.

Non ho seguito tutta la discussione (e non mi metto neanche a rileggerla) ma se il problema è quello di ricostruire il boot, non basta anche super grub disk?

[Pct]

Ok, grazie!

Super grub disk io non lo conosco

[Pct]

Ho dato da esegui il comando C:\remover.exe fix \\.\PhisicalDrive0 , come scritto nell'articolo, ma questo è il risultato: che significa?

[Uomo_Senza_Sonno]

Sinceramente non saprei dirti il motivo di questo errore. Praticamente dice che non può aprire il disco rigido per la pulizia, forse perché deve essere eseguito come amministratore sotto windows Vista. Ripeti la procedura però avvia remover.exe cliccando con il dx su "esegui come amministratore", e poi da esegui dai nuovamente il comando.

[Pct]

Niente, non ne vuole sapere neanche così .. hai qualche idea?

Tra le altre cose ho anche sbagliato topic

[Uomo_Senza_Sonno]

Tra le altre cose ho anche sbagliato topic

Ho visto...
Per quanto riguarda il problema, possiamo fare questa prova:

Vai in modalità provvisoria;
Salvi remover sul desktop;
Lo esegui come amministratore;
da esegui dai questo comando "%userprofile%\Desktop\remover.exe" fix \\.\PhysicalDrive0

e speriamo che in questo modo riesca a leggere il disco.

A proposito, nel file readme del bootkit remover ci sono riportati alcuni casi in cui non viene rilevato il bootcode, dove viene spiegato che viene impossibilitata la lettura nel caso ci siano partizioni nascoste. L'unico modo per accertarcene è trovare l'mbr con l'editor esadecimale, ma ci vorrà del tempo.

[Pct]

Ok! Allora adesso provo in modalità provvisoria, e poi se non funziona bisogna trovare l'mbr con l'editor ? Come devo fare nel caso?

P.S. Ho provato in modalità provvisoria, ma non ha funzionato neanche così

[Pct]

Ahhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhh!!!!!!!!!!!!!!!!!!!

Heeeeeeeeeeeeelppppppppppppppppppppppppppppppppppppppppp!!!!!!!!!!!!!!!!!!!!!!!!!! (xD xD)

Sta mattina ho provato a eseguire SystemScan ; secondo lui l'MBR era a posto! (tutto read successfully)

Allora ho riprovato con MBR.exe ; il log era cambiato, in quanto da così :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device : opened successfully
user: error reading MBR
kernel: error reading MBR

era diventato così :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device : opened successfully
user: error reading MBR
kernel: MBR read successfully


insomma, ancora infetto ma.. meglio, no? Bootkit remover invece è rimasto sempre uguale,anche secondo lui un boot strano. Poi ho provato prevx, e Nod32, nessuno dei due ha rilevato qualcosa al MBR.

Così ho disinstallato Nod32, ho riprovato Combofix, eh..eh.. :

nel log, in "Altre eliminazioni", c'è scritto :

C:\Windows\System32\wininit.exe...è infetto!!

Grazie tante!!Ma se serviva me lo poteva anche lasciare!!O almeno poteva chiedere!!

Adesso il log di Gmer è :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device : opened successfully
user: MBR read successfully
kernel: MBR read successfully

quindi il problema dovrebbe essere risolto, però.. dopo Combofix, non posso più aprire nulla! niente!

Per aprire i programmi, sono costretto a cliccarci col destro ed eseguirli come amministratore, altrimenti non partono .
(Per esempio: C:\Program Files\Ccleaner\Ccleaner.exe è stata tentata un operazione non consentita su una chiave di registro di sistema segnalata per l'eliminazione )

Cosa Significa? Qualcuno ha qualche idea su come risolvere? Il file wininit c'è ancora nella cartella, eppure il pc fa così.. non è che se riavvio, poi me lo elimina?

Cosa faccio?

[Pct]

Ho riavviato il pc, è ricomparso lo sfondo del desktop , e ora posso di nuovo aprire i programmi senza problemi..in pratica, dovrei aver risolto il problema wininit.exe . peccato però, che il log di Gmer sia di nuovo :


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device : opened successfully
user: error reading MBR
kernel: error reading MBR

uff...

[Uomo_Senza_Sonno]

Ok, andiamo a cercare l'mbr con l'editor esadecimale.

Per cercare il settore giusto esegui la ricerca seguendo questa guda. Invece di inserire manca il sistema operativo o missing operating system, scrivi nel campo di ricerca NTFS partendo dal settore 0. Ci vorrà un po', ma è l'unico modo per accertarci dello stato dell'mbr.

[Pct]

Ciao Uomo_senza_sonno!

Sta mattina mi ha telefonato mia cugina, mi ha detto che viene sta sera a prenderlo e lo porta da un tecnico xD.

Io comunque provo a cercare sto ntfs, dici che si riesce entro sta sera a trovarlo? anche solo per curiosità per vedere cosa avresti fatto, visto che in materia non so praticamente nulla.

P.S. Tra l'altro, prima di chiedere aiuto qua su MegaLab.it, avevo collegato un po' di chiavette a quel pc, e poi ad altri miei pc, ma nessuno di quelli si è infettato ; può succedere oppure le infezioni al MBR infettano per forza tutti i dischi rimovibili?

[Pct]

Ecco fatto, questa è l'immagine :


è quella giusta?

[Uomo_Senza_Sonno]

Sta mattina mi ha telefonato mia cugina, mi ha detto che viene sta sera a prenderlo e lo porta da un tecnico xD.

Speriamo allora che risolva il tecnico

Io comunque provo a cercare sto ntfs, dici che si riesce entro sta sera a trovarlo? anche solo per curiosità per vedere cosa avresti fatto, visto che in materia non so praticamente nulla.

Beh dopo che trovi l'mbr devi vedere se è infetto o meno. Nell'mbr sono segnati gli estremi della partizione e del filesystem, una volta individuati si verificano i settori e si verifica se è presente del codice in questi settori oppure no. Se nei settori esterni al filesystem non è presente nulla, il pc è sano, se è presente qualcosa si deve procedere con la pulizia.

Tra l'altro, prima di chiedere aiuto qua su MegaLab.it, avevo collegato un po' di chiavette a quel pc, e poi ad altri miei pc, ma nessuno di quelli si è infettato ; può succedere oppure le infezioni al MBR infettano per forza tutti i dischi rimovibili?

In genere è sufficiente il collegamento per diffondere l'infezione, evidentemente ci siamo accaniti troppo per escludere l'integrità di questo mbr. A questo punto mi viene da pensare che remover.exe non legge lo stato dell'mbr perché è presente una partizione nascosta, ma non riesco a spiegarmi come mai mbr.exe riporti sempre questo errore.

L'immagine riporta il primo settore che presenta quella dicitura, ed è il settore dove dell'mbr. Peccato che non è presente tutto il settore, e di conseguenza non si riesca a leggere tutto quanto.

[Pct]

Asd, davvero grazie mille per tutto!

L'immagine riporta il primo settore che presenta quella dicitura, ed è il settore dove dell'mbr. Peccato che non è presente tutto il settore, e di conseguenza non si riesca a leggere tutto quanto.

Sono proprio un pasticcione

Comunque, ieri mia zia è uscita tardi da lavoro, quindi non è potuta passare a prendere il pc di mia cugina;passerà sta sera mi ha detto. Ne approfitto per postarti tutto il settore xD.

[Uomo_Senza_Sonno]

Comunque, ieri mia zia è uscita tardi da lavoro, quindi non è potuta passare a prendere il pc di mia cugina;passerà sta sera mi ha detto. Ne approfitto per postarti tutto il settore xD

Finalmente ne sono venuto a capo... ma a questo punto è inutile

Ad ogni modo, se è ancora nelle tue mani, verifica il settore 2048 e 234438656 (se è vuoto quello precedente), sono gli estremi che ci farebbero capire se l'mbr è sano o meno.

[Pct]

Purtroppo non c'è l'ho più sottomano,comunque non importa,era solo per curiosità ;nel caso fosse stato infetto, cosa si sarebbe dovuto fare per eseguire la pulizia?

Ti ringrazio davvero per tutto l'aiuto che mi hai dato , e per tutta la pazienza che hai avuto