www.MegaLab.it

[Ale2695]

ma il rookit in qual pc......non facciamo confusione....io mi riferisco l'ultimo LOG di MBAM.del secondo pc...quello della ventolina appunto..

Il secondo pc a parte quel problema non aveva nulla, invece il primo sembra avere un rootkit dentro, e li devi fare la scansione con GMER

[popmart68]

ok allora scarico GMER

[popmart68]

ecco qui il LOG di GMER

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2010-12-15 21:19:45
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 QUANTUM_FIREBALLP_LM20.5 rev.A35.0700
Running: iwz3qru5.exe; Driver: C:\DOCUME~1\x\IMPOST~1\Temp\kgayrkoc.sys


---- System - GMER 1.0.15 ----

SSDT F8CD3466 ZwCreateKey
SSDT F8CD345C ZwCreateThread
SSDT F8CD346B ZwDeleteKey
SSDT F8CD3475 ZwDeleteValueKey
SSDT F8CD347A ZwLoadKey
SSDT F8CD3448 ZwOpenProcess
SSDT F8CD344D ZwOpenThread
SSDT F8CD3484 ZwReplaceKey
SSDT F8CD347F ZwRestoreKey
SSDT F8CD3470 ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF811C360, 0x204DFD, 0xE8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

[Uomo_Senza_Sonno]

A questo punto verifichiamo lo stato dell'mbr, con questo programmino. Lo salvi in C:\, poi in modalità provvisoria digita in esegui C:\mbr.exe -t; verrà generato un log chiamato mbr.log in C:\, verifica se user&kernel è ok. Se rileva qualcos'altro, posta il log.

[popmart68]

ecco il LOG

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: QUANTUM_FIREBALLP_LM20.5 rev.A35.0700 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys viaide.sys
1 nt!IofCallDriver[0x804E37C5] -> \Device\Harddisk0\DR0[0x82F73AB8]
3 CLASSPNP[0xF8705FD7] -> nt!IofCallDriver[0x804E37C5] -> \Device\0000005e[0x82F879E8]
5 ACPI[0xF866C620] -> nt!IofCallDriver[0x804E37C5] -> \Device\Ide\IdeDeviceP0T0L0-4[0x82F88D98]
kernel: MBR read successfully
user & kernel MBR OK

[Uomo_Senza_Sonno]

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys viaide.sys
1 nt!IofCallDriver[0x804E37C5] -> \Device\Harddisk0\DR0[0x82F73AB8]
3 CLASSPNP[0xF8705FD7] -> nt!IofCallDriver[0x804E37C5] -> \Device\0000005e[0x82F879E8]
5 ACPI[0xF866C620] -> nt!IofCallDriver[0x804E37C5] -> \Device\Ide\IdeDeviceP0T0L0-4[0x82F88D98]

Vediamo di indagarci un po': segui questa guida, posta il settore 0 del disco fisico. Nello screenshot si deve vedere l'intera finestra del programma, come nella guida.

[popmart68]

scusa ..la guida a cui ti riferisci e quella dove ci sono le immagini quindi devo scaricare HxD ...e avviare il processo come spiegato??

[Uomo_Senza_Sonno]

Certamente

[popmart68]

questo e il primo [url][URL=http://img375.imageshack.us/i/hxdharddisk120101216021.png/][/url]

Uploaded with ImageShack.us[/url]

[popmart68]

questo e il secondo

[url][URL=http://img703.imageshack.us/i/hxdharddisk220101216021.png/][/url]

Uploaded with ImageShack.us[/url]

[Uomo_Senza_Sonno]

L'mbr è a posto, come segnala mbr.exe; facciamo un controllo agli estremi delle partizioni, per escludere la presenza di qualche parte di codice potenzialmente infetto (ma probabilmente non c'è nulla, troverai settori con sequenze di 00).

Per il disco da 20 GB mi devi postare i settori

62, 63, 40130369, 40130370 e 40132503

mentre per quello da 80 GB i settori sono i seguenti

62, 63, 151365119, 151365120 e 156301488

[popmart68]

co sa intendi per settori...e dove li devo cercare,più sotto la colonna?

[popmart68]

eeco dici questo?[url][URL=http://img263.imageshack.us/i/hxdharddisk120101216152.png/][/url]

Uploaded with ImageShack.us[/url]

[popmart68]

questo e il 2°,ma non so come andare nel settore 40130369?[url][URL=http://img337.imageshack.us/i/programmanager201012161.png/][/url]

Uploaded with ImageShack.us[/url]

[popmart68]

[url][URL=http://img214.imageshack.us/i/hxdharddisk120101216235.png/][/url]

Uploaded with ImageShack.us[/url]
[url][URL=http://img263.imageshack.us/i/hxdharddisk220101217000.png/][/url]

Uploaded with ImageShack.us[/url]
[url][URL=http://img140.imageshack.us/i/hxdharddisk220101217000.png/][/url]

Uploaded with ImageShack.us[/url]
[url][URL=http://img690.imageshack.us/i/hxdharddisk220101217000.png/][/url]

Uploaded with ImageShack.us[/url]

[Ale2695]

(ma probabilmente non c'è nulla, troverai settori con sequenze di 00).

Da quel che ha detto, c'è qualcosa che non va, poi magari mi sbaglio...

[popmart68]

beh...allora cosa devo fare?......sai in questi 2 giorni il pc non si riavvia + da solo come prima ma,ho notato che si blocca 1 o 2 volte al giorno.....

[popmart68]

ho sempre quell'errore"""""il sistema è stato ripristinato in seguito asd un errore grave...... errore AVWSC.EXE

[Ale2695]

Aspetta che ti risponda Uomo_Senza_Sonno, io purtroppo non so usare il programma che ti ha fatto usare...

[popmart68]

grazie come sempre...aspetto uomo _senza sonno.....