Pagina 1 di 3

Boot.Tidserv.B come rimuoverlo??

MessaggioInviato: mar gen 18, 2011 5:17 pm
da andrea 555
Norton mi ha trovatro questo: "Boot.Tidserv.B"
ma non riesce a rimuoverlo... come posso fare??? [cry]

Re: Boot.Tidserv.B come rimuoverlo??

MessaggioInviato: mar gen 18, 2011 5:38 pm
da Ale2695
Scarica Malwarebytes, installalo, aggiornalo, fagli fare una scansione completa e posta il log qui sul forum col tag MEMO, così vediamo cos'hai sul pc [;)]

Re: Boot.Tidserv.B come rimuoverlo??

MessaggioInviato: mar gen 18, 2011 7:56 pm
da crazy.cat
andrea 555 ha scritto:ma non riesce a rimuoverlo... come posso fare??? [cry]

Dove lo trova?
In quale file?

Re: Boot.Tidserv.B come rimuoverlo??

MessaggioInviato: mar gen 18, 2011 7:58 pm
da Berga95
Passiamo direttamente a Stealth MBR rootkit detector...

Salvalo in C:\, poi vai su Start -> Esegui -> cmd (oppure Start -> scrivi cmd sulla barra di ricerca) e scrivi nella finestra nera che comparirà

Codice: Seleziona tutto
C:\mbr.exe -f


Alla fine della scansione (che durerà pochissimo) si creerà un log in C:\, aprilo, copia il contenuto e scrivicelo usando il tag MEMO [^]

P.S: Da quanto ho trovato in rete, il virus è recente... potresti dirmi da dove l'hai scaricato, anche tramite PM? [grazie]
EDIT: Allega anche il log di Norton [^]

Re: Boot.Tidserv.B come rimuoverlo??

MessaggioInviato: mer gen 19, 2011 11:21 am
da andrea 555
Questo è il risultato della scansione con Malwarebytes

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Versione database: 5547

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18/01/2011 19.42.17
mbam-log-2011-01-18 (19-42-17).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 379610
Tempo trascorso: 1 ore, 44 minuti, 4 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)


Ora provo con Stealth MBR rootkit detector...

Non so dirvi dove l'ho preso, non stavo scaricando nulla... [boh]

Re: Boot.Tidserv.B come rimuoverlo??

MessaggioInviato: mer gen 19, 2011 11:27 am
da andrea 555
Ecco il log di Stealth MBR rootkit detector

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: WDC_WD2000JS-60NCB1 rev.10.02E02 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-7

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Re: Boot.Tidserv.B come rimuoverlo??

MessaggioInviato: mer gen 19, 2011 2:53 pm
da Ale2695
Malwarebytes non ha rilevato nulla e l'MBR è pulito...
crazy.cat ha scritto:Dove lo trova?
In quale file?

Re: Boot.Tidserv.B come rimuoverlo??

MessaggioInviato: mer gen 19, 2011 2:59 pm
da Berga95
Ale2695 ha scritto:Malwarebytes non ha rilevato nulla e l'MBR è pulito...
crazy.cat ha scritto:Dove lo trova?
In quale file?

Molto probabilmente nell'MBR... http://www.symantec.com/security_respon ... 01-4700-99
Quei 434 bytes mi fanno dedurre questo... [;)]
Se a qualcuno può servire, ho trovato anche questo, ma causa febbre non riesco a ragionare bene...

Re: Boot.Tidserv.B come rimuoverlo??

MessaggioInviato: mer gen 19, 2011 3:54 pm
da andrea 555
Ecco l'avviso di norton.
Non mi dice dov'é sto file però ...
[img][IMG=http://img560.imageshack.us/img560/8158/norton1.th.png][/img]

Uploaded with ImageShack.us[/img]

Re: Boot.Tidserv.B come rimuoverlo??

MessaggioInviato: mer gen 19, 2011 4:00 pm
da Berga95
Su "Risultati dettagliati"?

Re: Boot.Tidserv.B come rimuoverlo??

MessaggioInviato: mer gen 19, 2011 10:01 pm
da Uomo_Senza_Sonno
perché non provare da console di ripristino il comando fixboot e fixmbr? Dal log non si evincono infezioni di tipo rootkit, e forse questa minaccia viene rimossa sovrascrivendo il bootsector.

Re: Boot.Tidserv.B come rimuoverlo??

MessaggioInviato: gio gen 20, 2011 11:30 am
da andrea 555
Oggi è riuscito a rimuoverlo... [boh] [boh] [boh] [boh] [boh] [boh] [boh] [boh]

Immagine

Re: Boot.Tidserv.B come rimuoverlo??

MessaggioInviato: gio gen 20, 2011 1:29 pm
da Berga95
[mandibol]
Meglio così... noti qualche altro problema sul computer?

Re: Boot.Tidserv.B come rimuoverlo??

MessaggioInviato: ven gen 21, 2011 8:34 am
da andrea 555
Allora, mi spiego meglio:
Il virus se l'è preso preso il portatile (con installato vista).
Ho tolto l'HD e l'ho collegato al pc fisso per cercare di toglierlo, sembrava che il virus fosse passato anche sul fisso... e invece no.
Di seguito riporto i risultati della scansione norton dell'HD portatile:

Minacce risolte:
Non è stato eliminato alcun rischio

Minacce non risolte:
Boot.Tidserv.B
Tipo: Record di avvio principale
Rischio: Alto (Alto Stealth, Alto Rimozione, Alto Prestazioni, Alto Privacy)
Categorie: Virus
Stato: Rimozione non riuscita
-----------
1 azione di sistema
Unità 0x86 - Infetto


e i risultati di Malwarebytes sempre dell'HD portatile

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20/01/2011 17.10.30
mbam-log-2011-01-20 (17-10-30).txt

Tipo di scansione: Scansione completa (E:\|L:\|)
Elementi esaminati: 380670
Tempo trascorso: 2 ore, 16 minuti, 13 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 16

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
e:\program files\adparatus\adparatusresources.dll (Adware.Adparatus) -> Quarantined and deleted successfully.
e:\program files\adparatus\uninstall.exe (Adware.Adparatus) -> Quarantined and deleted successfully.
e:\program files\adparatus\FF\2594\components\adparatus2594.dll (Adware.Adparatus) -> Quarantined and deleted successfully.
e:\program files\queryexplorer\uninstall.exe (Adware.QueryExplorer) -> Quarantined and deleted successfully.
e:\program files\shopperreports3\bin\3.0.497.0\BRNstIE.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
e:\program files\shopperreports3\bin\3.0.497.0\CmndFF.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
e:\program files\shopperreports3\bin\3.0.497.0\cntntcntr.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
e:\program files\shopperreports3\bin\3.0.497.0\mozillaps.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
e:\program files\shopperreports3\bin\3.0.497.0\Pltfrm.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
e:\program files\shopperreports3\bin\3.0.497.0\shopperreports.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
e:\program files\shopperreports3\bin\3.0.497.0\shopperreportsuninstaller.exe (Adware.ShopperReports) -> Quarantined and deleted successfully.
e:\program files\shopperreports3\bin\3.0.497.0\firefox\firefoxtoolbar\extensions\components\BRNstFF.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
e:\system volume information\_restore{eb17c91d-6f24-4899-93e1-d643b10b0f84}\rp473\a0175342.dll (Adware.Adparatus) -> Quarantined and deleted successfully.
e:\system volume information\_restore{eb17c91d-6f24-4899-93e1-d643b10b0f84}\rp473\a0175343.exe (Adware.Adparatus) -> Quarantined and deleted successfully.
e:\Users\stefano\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\SL5JPXW4\bundleinstaller[1].htm (Adware.Adparatus) -> Quarantined and deleted successfully.
e:\Users\stefano\AppData\Local\Temp\0.7332042806033776.exe (Trojan.Agent) -> Quarantined and deleted successfully.


Secondo voi è possibile eliminarlo senza formattare???

Re: Boot.Tidserv.B come rimuoverlo??

MessaggioInviato: ven gen 21, 2011 1:31 pm
da Berga95
Se ho ben capito con che schifezza di malware stiamo lavorando, dubito che una formattazione normale basti...
Comunque procederei con quello che ha proposto Uomo_Senza_Sonno [^]
Uomo_Senza_Sonno ha scritto:perché non provare da console di ripristino il comando fixboot e fixmbr? Dal log non si evincono infezioni di tipo rootkit, e forse questa minaccia viene rimossa sovrascrivendo il bootsector.

Re: Boot.Tidserv.B come rimuoverlo??

MessaggioInviato: ven gen 21, 2011 3:07 pm
da Ale2695
Malwarebytes ha rilevato un adware ed un trojan, mentre Norton ha rilevato un Virus di Boot...
Servirebbe Uomo ora, perché penso sarebbe meglio vedere in che condizioni è l'MBR con HxD...

Re: Boot.Tidserv.B come rimuoverlo??

MessaggioInviato: ven gen 21, 2011 10:54 pm
da Uomo_Senza_Sonno
Forse prima di utilizzare HxD è meglio provare a dare il comando di fixboot e fixmbr e verificare se il problema si risolve con così poco, poi nel caso proviamo a guardare dentro i settori per vedere cosa non va.

Ad ogni modo, devi seguire questa guida per postare il settore 0 del disco fisico e poi guarda quest'articolo che forse il tool indicato serve a riparare il problema.

Re: Boot.Tidserv.B come rimuoverlo??

MessaggioInviato: mar gen 25, 2011 11:34 am
da andrea 555
Questa è la schermata con HxD
Immagine
Appena posso provo a seguire la procedura dell'articolo che mi hai segnalato.

Re: Boot.Tidserv.B come rimuoverlo??

MessaggioInviato: mar gen 25, 2011 11:47 am
da andrea 555
Immagine

Re: Boot.Tidserv.B come rimuoverlo??

MessaggioInviato: mar gen 25, 2011 10:34 pm
da Uomo_Senza_Sonno
Caro andrea, nella guida viene indicato di selezionare il disco fisico (hard disk1o quello che è in esame) e non quello logico (la partizione del sistema operativo o quella che prendi in esame). Devi postare il settore 0 del disco fisico, purtroppo le informazioni presenti in questo settore non ci servono a molto.