www.MegaLab.it

[Uomo_Senza_Sonno]

Si va bene lo stesso. L'importante è che sia un cd che contenga solo il sistema operativo.

[FrankSix]

Ok perfetto!Penso ci sia solo il sist operativo...Eventualmente non posso prima provare a fare il boot dal CD e vedere se c'è la console di ripristino? Così se c'è faccio la procedura di pulizia..che comunque ho deciso di fare con Linux (molto più semplice )

Scusa se posso sembrare pedante ma ricapitolo:
Ho masterizzato Ubuntu su un CD da questo stesso notebook
Boot da CD di linux, prova Ubuntu
applicazioni-->accessori-->terminale

comando: sudo sfdisk -l /dev/sda (Domandona: cosa faccio se il disco non è sda?)
comando: sudo dd if=/dev/zero of=/dev/sda bs=512 count=62 seek=1
comando: sudo dd if=/dev/zero of=/dev/sda bs=512 seek=195366465
(Questi tre comandi eventualmente posso copiarli su un file notepad e incollarli lì stesso?)

Riavvio PC, metto il cd di Windows e boot da Cd, Consolle di Ripristino
fixmbr e ok , fixboot e ok
Riavvio normalmente e controllo mbr.exe

Scusa la mia iperprecisione
Grazie!

[Uomo_Senza_Sonno]

Eventualmente non posso prima provare a fare il boot dal CD e vedere se c'è la console di ripristino?

Si può fare come prova.

comando: sudo sfdisk -l /dev/sda (Domandona: cosa faccio se il disco non è sda?)

Se il disco è quello del portatile sarà sda. Altrimenti sarà sdb, o sdc ecc ecc. Tuttavia è solo un accertamento.

Questi tre comandi eventualmente posso copiarli su un file notepad e incollarli lì stesso?

Le distribuzioni live si configurano automaticamente anche per navigare in rete, nel caso puoi sempre prendere gli imput da MegaLab.it

Per il resto, è tutto come hai riepilogato in maniera estremamente precisa.

[FrankSix]

Ok! Ti ringrazio veramente di cuore per la pazienza!!

Allora appena possibile avvio la procedura e ti faccio sapere al controllo cosa risulta!
Così poi più in là controlliamo anche il famoso Hd esterno e puliamo un paio di pen drive giusto per sicurezza

A presto e grazie ancora!

[FrankSix]

Tutto ok!!
Ho fatto la procedura e il log adesso è pulito!!

Sto facendo anche un passaggio con ComboFix per vedere se è tutto ok (casomai più tardi posto il log )

Aspetto istruzioni per vedere come fare per l'Hd Esterno e le Pen Drive!

Grazie Grazie mille davvero!

Un paio di domandine: devo fare qualcosa di particolare(tipo scansioni e postare qualche log apparte quella di Combo Fix che sto già facendo)? e soprattutto devo cambiare password o non c'è bisogno?

Grazie mille ancora!! A presto!

[Uomo_Senza_Sonno]

Prima effettua una verifica: copia mbr.exe nel disco esterno e digita da esegui cmd, poi X: e invio (al posto di X devi mettere la lettera del disco esterno); una volta dato questo comando, digita start mbr.exe -f e verifica che log genera. Questa verifica la puoi effettuare anche per la pendrive.

Se l'HDD esterno è rimasto infetto devi ripetere la procedura con HxD e postarmi il settore 0

[FrankSix]

Ho controllato sia l'esterno che le pen drive e anche una scheda SD...Per fortuna tutto pulito!!
Sono moooolto sollevato soprattutto per l'HD esterno!!

Unica cosa che ho notato è che non è partito per nessuno di loro l'autoplay...potrebbe essere l'effetto di ComboFix o altro?

A questo punto devo effettuare qualche controllo ad es con gmer?

Grazie grazie ancora

[Uomo_Senza_Sonno]

potrebbe essere l'effetto di ComboFix

Si combofix disabilita l'autorun di tutti i supporti esterni, appena posso ti indico la procedura per ripristinare tutto

[Uomo_Senza_Sonno]

Allora...

Dal registro (esegui-->regedit) devi eliminare tutte le chiavi con il nome NoDriveAutorun. Per trovarle premi F3 dalla tastiera e inserisci nella ricerca, appunto, nodriveautorun. Per la ricerca delle chiavi successive, trova successivo

Assieme alla voce nodriveautorun troverai la voce NoDriveTypeAutorun. Fai doppio click su questa chiave e reimposta il valore a 149 (saranno presenti differenti valori). Chiavi di registro con questo nome ce ne sono differenti, devi reimpostarle tutte una ad una (una volta confermato il dato questi apparira' scritto nel seguente modo: 0x00000095 (149)).

Una volta fatto questo, chiudi il registro di sistema, e prova un qualsiasi dispositivo, se non parte l'autorun significa che ne hai dimenticato di reimpostare una chiave.

[FrankSix]

Ok fatto tutto, ho cancellato tutti i nodriveautorun e cambiato tutti i nodrivetypeautorun...però ancora non parte l'autoplay dell'HD esterno e il lettore cd non mi chiede quale operazione eseguire ma ne esegue direttamente una (ad es apre direttamente Nero con un dvd vuoto). Per le pen drive tutto ok

Aspetto novità

Grazie sempre per la pazienza...

[FrankSix]

Piccolo aggiornamento...dopo uno ScanDisk sull'esterno e un riavvio del PC, l'HD esterno ha ripreso il suo autoplay.

Il lettore cd/dvd fa ancora le bizze.

[Uomo_Senza_Sonno]

Scusami, mi è sfuggito qualcosa ieri notte...

Vai alla chiave di registro:

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ CDRom

nel riquadro di destra vai al valore AutoRun e verifica che il valore Dati sia impostato ad 0x0000000(1). Il valore deve essere in base esadecimale. Poi chiudi tutto e verifica se parte l'autorun nel lettore cd dopo un riavvio di sistema.

[FrankSix]

Tranquillo
Il valore AutoRun porta questa dicitura: REG_DWORD 0x00000001 (1)

Ho provato a cambiarlo ma non riesco...

[FrankSix]

Adesso anche le pen drive hanno perso l'autoplay

[FrankSix]

Per una mano ti posto anche il log di ComboFix...non vorrei che sia rimasto qualcosa dentro questo maledetto pc....

ComboFix 10-08-27.03 - Francesco 28/08/2010 19.37.37.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.1023.574 [GMT 2:00]
Eseguito da: c:\documents and settings\Francesco\Desktop\ComboFix.exe
AV: avast! Antivirus *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((( Files Creati Da 2010-07-28 al 2010-08-28 )))))))))))))))))))))))))))))))))))
.

2010-08-25 18:03 . 2010-06-28 20:37 165456 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-08-25 18:03 . 2010-06-28 20:32 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-08-25 18:03 . 2010-06-28 20:33 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-08-25 18:03 . 2010-06-28 20:37 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-08-25 18:03 . 2010-06-28 20:32 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-08-25 18:03 . 2010-06-28 20:32 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-08-25 18:03 . 2010-06-28 20:32 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-08-25 18:03 . 2010-06-28 20:57 38848 ----a-w- c:\windows\avastSS.scr
2010-08-25 18:03 . 2010-06-28 20:57 165032 ----a-w- c:\windows\system32\aswBoot.exe
2010-08-25 18:03 . 2010-08-25 18:03 -------- d-----w- c:\programmi\Alwil Software
2010-08-25 18:03 . 2010-08-25 18:03 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Alwil Software
2010-08-24 20:40 . 2010-08-24 20:41 -------- d-----w- c:\programmi\QuickTime
2010-08-24 20:40 . 2010-08-24 20:40 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Apple Computer
2010-08-24 12:58 . 2010-08-24 12:58 -------- d-----w- c:\documents and settings\Francesco\Dati applicazioni\Malwarebytes
2010-08-24 12:58 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-24 12:58 . 2010-08-24 12:58 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2010-08-24 12:58 . 2010-08-24 12:58 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-08-24 12:58 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-28 13:07 . 2010-05-21 09:57 -------- d-----w- c:\documents and settings\Francesco\Dati applicazioni\uTorrent
2010-08-28 12:32 . 2010-06-01 14:32 -------- d---a-w- c:\documents and settings\All Users\Dati applicazioni\TEMP
2010-08-28 12:32 . 2010-05-20 19:49 -------- d-----w- c:\programmi\SpywareBlaster
2010-08-28 12:32 . 2010-05-20 14:53 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2010-08-27 11:02 . 2010-05-20 14:12 -------- d-----w- c:\programmi\CCleaner
2010-08-26 13:43 . 2010-05-21 11:33 -------- d-----w- c:\documents and settings\Francesco\Dati applicazioni\Skype
2010-08-24 21:09 . 2004-09-16 13:31 556162 ----a-w- c:\windows\system32\perfh010.dat
2010-08-24 21:09 . 2004-09-16 13:31 104908 ----a-w- c:\windows\system32\perfc010.dat
2010-08-24 20:59 . 2010-05-20 19:35 -------- d-----w- c:\programmi\Microsoft.NET
2010-08-22 13:32 . 2010-05-21 10:49 -------- d-----w- c:\programmi\Messenger Plus! Live
2010-08-22 13:18 . 2010-05-20 19:49 -------- d-----w- c:\programmi\Songr
2010-08-16 21:14 . 2010-05-20 19:43 -------- d-----w- c:\programmi\Defraggler
2010-07-29 10:44 . 2010-07-29 10:43 -------- d-----w- c:\programmi\StatsHype
2010-07-22 20:45 . 2010-07-22 20:45 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-07-08 13:31 . 2010-05-20 19:46 -------- d-----w- c:\programmi\Unlocker
2010-06-30 12:31 . 2004-09-16 13:31 149504 ----a-w- c:\windows\system32\schannel.dll
2010-06-24 12:22 . 2004-09-16 13:31 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2010-06-24 09:02 1851904 ----a-w- c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-09-16 13:31 354304 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-09-16 13:31 80384 ----a-w- c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2010-05-20 12:56 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:41 . 2004-09-16 13:31 1172480 ----a-w- c:\windows\system32\msxml3.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programmi\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"RocketDock"="c:\programmi\RocketDock\RocketDock.exe" [2007-09-02 495616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-06-28 2837864]
"Wireless Console 2"="c:\programmi\Wireless Console 2\wcourier.exe" [2005-10-17 987136]
"IntelWireless"="c:\programmi\Intel\Wireless\Bin\ifrmewrk.exe" [2005-12-28 602182]
"HControl"="c:\windows\ATK0100\HControl.exe" [2005-11-10 102400]
"EOUApp"="c:\programmi\Intel\Wireless\Bin\EOUWiz.exe" [2005-12-28 569413]
"IntelZeroConfig"="c:\programmi\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-28 667718]
"SynTPEnh"="c:\programmi\Synaptics\SynTP\SynTPEnh.exe" [2005-10-20 761945]
"ABLKSR"="c:\windows\ABLKSR\ABLKSR.exe" [2006-01-02 61440]
"RTHDCPL"="RTHDCPL.EXE" [2005-09-06 14850560]
"Power_Gear"="c:\programmi\ASUS\Power4 Gear\BatteryLife.exe" [2005-10-05 86016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [21/05/2010 14.14.21 5248]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [25/08/2010 20.03.43 165456]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [25/08/2010 20.03.43 17744]
R3 SynMini;USB2.0 1.3M Web Cam;c:\windows\system32\drivers\SynMini.sys [20/05/2010 15.11.17 720470]
R3 SynScan;USB2.0 1.3M Web Cam Still Image;c:\windows\system32\drivers\SynScan.sys [20/05/2010 15.11.17 8278]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/2010 13.16.28 130384]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/2010 13.16.28 753504]
S4 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [21/05/2010 14.14.21 160640]
.
Contenuto della cartella 'Scheduled Tasks'

2010-08-24 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {3F932FFA-F092-4FDB-92C5-1285978614D2} - hxxp://xxx.xxx.x.xxx/WATCH_16R.cab [HO MESSO LE X AL POSTO DEL MIO IP]
FF - ProfilePath - c:\documents and settings\Francesco\Dati applicazioni\Mozilla\Firefox\Profiles\qhdxza0q.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it/
FF - plugin: c:\programmi\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programmi\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-28 19:41
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(764)
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2010-08-28 19:43:28
ComboFix-quarantined-files.txt 2010-08-28 17:43

Pre-Run: 36.887.404.544 byte disponibili
Post-Run: 36.845.382.144 byte disponibili

- - End Of File - - A1BE357B8C1B80CA928EB229314A600B

[Uomo_Senza_Sonno]

nel log non si nota nulla di particolare, ma aspetta il parere di esperti per maggiore sicurezza.

Adesso anche le pen drive hanno perso l'autoplay

Dopo che esegui una scansione con combofix, in genere viene disabilitato l'autoplay. Evidentemente non sono state eliminate tutte le voci di registro NoDriveAutoRun e impostate quelle NoDriveTypeAutoRun al valore di 149 (95 esadecimale). Inoltre, verifica nuovamente che il valore del lettore cd sia a 1.

Se anche stavolta non funziona, ripeti la procedura e modifica il valore di NoDriveTypeAutoRun a 145 (91 esadecimale) e verifica se l'autoplay riprende a funzionare.

Ripeto, di queste voci ce ne sono parecchie, devono essere verificate tutte altrimenti l'autoplay continuerà a non funzionare.

[FrankSix]

Con il secondo metodo ha ripreso quasi tutto!!
Anche il lettore cd è tornato quasi a posto, quando inserisco il cd vuoto mi spunta la casellina con le scelte ecc...
L'unica cosa è che quando inserisco, un cd avviabile (esempio un gioco) invece di aprire la classica pagina con scritto che so "installa", apre sempre la cartella con i file dentro.

Mi sa che questo dipende da un fatto di impostazioni più che di registro...qualche suggerimento?

Grazie mille

[Uomo_Senza_Sonno]

Strano, se l'autoplay è abilitato dovrebbe andare tutto in automatico.. o magari in alcuni cd non vengono lette le informazioni di autorun oppure hai selezionato di aprire la cartella come azione predefinita. Per il resto, non so come indirizzarti.

Alla prossima

[FrankSix]

Farò un tentativo controllando se ho messo qualche azione predefinita

Grazie mille davvero per tutta la pazienza!