www.MegaLab.it

[Avel]

ho windows xp che installai nel 2002 successivamente ho fatto online gli aggiornamenti ora ho service pack 3. Il CD che ho è quello originale del 2002.
Mi si sono è presentati questi problemi:
1)accendo il PC compare la schermata della scheda madre, poi il logo di windows xp, quindi schermata nera con il puntatore mouse al centro bloccato e rimane così, schiaccio il taso reset del PC, mi compare la schermata che windows ha avuto dei problemi mi chiede se voglio riavviarlo normalmente gli dico di sì e windows xp si carica senza problemi; ma ogni volta che lo riaccendo o riavvio il problema si ripresenta.
2) se clicco sull'icona di alice sul desktop mi compare la finestra in cui c'è anche il tasto connetti se faccio 2clic lo schermo diventa completamente nero e sono completamente bloccato, la connessione da explorer invece funziona navigo normalmente.
3) ho portato il pc in negozio me lo hanno ripulito;
4) ha funzionato tutto normalmente per una settimana, ma oggi il problema si è ripresentato identico a prima.

Ho fatto una scansione completa con Avira free mi ha trovato un elemento nascosto ed è uscito un messaggio per esatta identificazione e riparazione occore verifica con CD di Avira Rescue

Ho scaricato e masterizzato il CD con Avira Rescue
Ho avviato il PC con il bios che legge per primo il CD ho dato l'opzione 1, lavora per un po' ma poi sulla schermata (quella con fondo nero e scritte bianche tipo dos per intenderci) mi esce la seguente scritta Decompressing Linux....Parsing ELF.... done
Booting the kernel.
A questo punto si ferma tutto non capisco se è normale e bisogna attendere a lungo o se è bloccato perché nonostante un'attesa di 10 min. non ha caricato il programma avira con le varie opzioni di scansione rimane fermo sulla schermata tipo dos
In attesa di vs aiuto ringrazio e porgo cordiali saluti

[razor8827]

ti consiglio vivamente di cambiare antivirus. scaricati norton bootable recovery tool e vedi che risolvi tutti i problemi.

[Avel]

Molte grazie per la risposta.
1) devo prima disinstallare Avira free, Comodo firewall e Malwarebytes Anti-Malware che attualmente ho installati sul mio PC?
2) norton bootable recovery tool è gratuito, ma ho letto che occorre una chiave per l'installazione, come devo procedere per ottenerla?
3) la scansione la devo effettuare avviandolo da CD, oppure da HD in modalità provvisoria, che passi devo seguire?
4) potresti gentilmente fornirmi un link sicuro da cui scaricarlo?
Grazie e cordiali saluti

[crazy.cat]

Ho fatto una scansione completa con Avira free mi ha trovato un elemento nascosto

Cosa ti ha trovato di preciso e dove lo ha trovato, vediamo il log della scansione.

Prima di disinstallare qualcosa aspetta, sei abbastanza protetto.

Ci sono tanti altri cdrom di boot
http://www.MegaLab.it/7628/kaspersky-re ... -su-cd-rom
oppure non serve neanche un cd
http://www.MegaLab.it/7615/kaspersky-vi ... -antivirus

Prova a capire consultando il visualizzatore eventi http://www.MegaLab.it/2651/il-visualizz ... di-windows perché il pc si blocca all'avvio

[Avel]

molte grazie per la risposta.
1) purtroppo non riesco a trovare il file .log della scansione ho provato anche con cerca AVSCAN;
2)da questo link:
http://www.sendspace.com/file/yb4q7t
è possibile scaricare cartella con img relative a:
a) messaggio comparso durante la scansione di Avira free
b) alcuni errori che ho preso dal visualizzatore eventi di Windows xp alla voce sistema
3) in precedenza avevo dimenticato un particolare relativo alla prova fatta con cd di Avira Rescue, quando rimane fermo sulla schermata che ha come ultime parole:
Decompressing Linux....Parsing ELF.... done
Booting the kernel.
Le luci sulla tastiera caps lock e scroll Lock continuano a lampeggiare
In attesa di riscontro ringrazio e saluto cordialmente

[crazy.cat]

Le foto non aiutano per niente, in particolare quella di avira, gli errori del visualizzatore eventi andrebbero ricercati (se ci sono) solo quelli nel momento dell'avvio.
Prova gmer http://www.MegaLab.it/2675/un-indispens ... ida-a-gmer e se ti da delle voci in rosso e un avviso di rootkit posta il risultato della scansione che ne esce.

In quanto ai messaggi di avira rescue non è compatibile del tutto con il tuo pc, prova con uno degli altri che ti ho suggerito.

[Avel]

Gent. crazy.cat,
molte grazie per la risposta.
1) Ho controllato in Avira free dentro visualizza amministrazione-eventi gli unici rilevamenti che ho trovato risalgono al 24-1-12, i problemi però sono cominciati non da quella data ma dopo qualche giorno, riporto qui:

Real protection trovato malware
24-1-2012 18.50.29
Tipo rilevamento
Nel file 'C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\BabylonToolbar.zip'
è stato rilevato un virus o programma indesiderato 'GEN/PwdZIP' [heuristic].
Azione eseguita: Trasmissione allo scanner

System scanner trovato malware
24-1-2012 18.50.56
Tipo rilevamento
Trovato un virus o un programma indesiderato 'GEN/PwdZIP'[heuristic] nel file 'C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\BabylonToolbar.zip'. Azione eseguita: Il file è protetto da password.
Il rilevamento è stato classificato come sospetto.
Il file è stato spostato in quarantena con il nome '4d294eda.qua'!

2)la scansione con GMER la devo lanciare in modalità normale o provvisoria?

Grazie e cordiali saluti

[Avel]

Gent. crazy.cat,
ho esguito con Gmer solo SCANSIONE PRELIMINARE a questo link trovi il risultato per le voci rookit e autostart
http://www.sendspace.com/file/ddp11g
Spero possa essere utile
In attesa di riscontro ringrazio e porgo cordiali saluti

[crazy.cat]

Gmer non ti ha dato nessuna voce in rosso?
Dal log non mi sembrerebbe.

Le rilevazioni vecchie di avira non sono significative.
Continuo a non sapere cosa ti abbia rilevato di nascosto.

[Avel]

Gent. crazy.cat,

1) per quanto riguarda GMER, no non ci sono voci in rosso, ho effettuato solo la SCANSIONE PRELIMINARE;

2) ho rieseguito in modalità provvisoria:
a) scansione con AVIRA FREE (3 rilevamenti ma forse non è riuscito a riparare),
b) scansione preliminare con GMER,
a questo link i rapporti:
http://www.sendspace.com/file/v91uzo

Grazie e cordiali saluti

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit quick scan 2012-02-07 08:25:33
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-1b WDC_WD1600AAJB-56R1A0 rev.01.03E01
Running: gmer.exe; Driver: C:\DOCUME~1\pc\IMPOST~1\Temp\kgncapog.sys


---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 312576708
Disk \Device\Harddisk0\DR0 PE file @ sector 312576730

---- EOF - GMER 1.0.15 ----

[crazy.cat]

Adesso si è visto il problema
Prova a fare la scansione con questo
http://support.kaspersky.com/downloads/ ... killer.zip
riavvia il pc alla fine e ripeti l'ultima scansione che hai fatto con gmer e riposta il suo log.

[Uomo_Senza_Sonno]

Prova a fare la scansione con questo

Prima di far funzionare il TDSSkiller esegui una scansione con questo tool e posta il log utilizzando però il tag CODE; in più, utilizza il rescue disk di kaspersky

[Avel]

Grazie per le risposte
1) ho scaricato il tool MbrScan, l'ho lanciato, ma non mi è molto chiaro come funzioni. Ho cliccato sul tasto scan, ma non capivo se stesse lavorando, allora quasi subito ho cliccato su report questo il file:

http://www.mediafire.com/?krw2nl6wxui1923

2)per fare la scansione devo evidenziare le righe e poi fare scan, nella prova non l'ho fatto, i tasti Dump ed Hexa a cosa servono?
Grazie e cordiali saluti

[Uomo_Senza_Sonno]

La scansione è stata effettuata, nel log c'è tutto quello che ci serve per stanare l'infezione. Prima di tutto dai una lettura a quest'articolo, scarica il programma e posta i seguenti settori che ti elencherò facendo lo screenshot della finestra (finestra ingrandita, fai uno screen con risoluzione non inferiore a 1024x768 altrimenti non si legge nulla):

il MBR è infetto, con il tool puoi fixarlo rapidamente ma prima di procedere è necessario fare alcune verifiche da fare necessariamente con HxD. A fronte di ciò, posta i settori

62, 63, 312576704, 312576705 e 312581808

per fare la scansione devo evidenziare le righe e poi fare scan, nella prova non l'ho fatto, i tasti Dump ed Hexa a cosa servono?

Per la scansione è sufficiente il tasto scan, dopodichè attendi e appaiono i risultati. Il tasto Dump serve per verificare lo stato del disco, mentre il tasto hexa serve per visualizzare un settore a piacimento del disco. Non ti chiedo di utilizzarlo perché gli offset che elenca non ci sono utili (la spiegazione del perché ci servono gli offset di HxD è nell'articolo)

[Avel]

Ho letto l'articolo relativo a HxD.
1) leggo Quindi, in primis, eseguire il backup di sicurezza dei dati è obbligatorio. .........
Prima di procedere, è doveroso sapere che è preferibile eseguire il backup di sicurezza utilizzando una distibuzione live GNU/Linux e un supporto esterno sicuramente non infetto
io non ho un hard disk esterno, ho solo 2 chiavette da 2 e 3 GB
il mio disco è questo:

http://www.mediafire.com/?3jf11ooa6uaf053

dovrei copiare tutto?
2)prima delle verifiche da fare necessariamente con HxD il backup di sicurezza devo farlo per forza?

Grazie e cordiali saluti

[Uomo_Senza_Sonno]

Un backup è consigliato, perché è sempre una procedura delicata. Tuttavia, se segui scrupolosamente le mie indicazioni non ci saranno problemi di sorta. Esegui un controllo con il rescue disk, e poi postami i settori che ti ho indicato; quanto ti consiglio non crea problemi, tranquillo.

[Avel]

1)Con Esegui un controllo con il rescue disk intendi HxD?
2)Ho scaricato HxDSetupFR.zip, lo devo installare e lanciare direttamente sul PC, oppure devo masterizzarlo su un CD e riavviare il PC con la lettura del CD in partenza?
Grazie e cordiali saluti

[Uomo_Senza_Sonno]

1. Leggi l'articolo riguardante il rescue disk kaspersky (che ti ho linkato nei miei post precedenti): in pratica devi masterizzarti l'iso e dopo aver fatto il boot da cd aggiorni le definizioni ed esegui la scansione;
2. perché in francese se è presente in italiano? Ad ogni modo, si, lo devi installare nel pc, ma se non puoi installare nulla procediamo in diverso modo.

[Avel]

Ho scaricato HxD in italiano.
1) il primo passo da compiere è quindi quello con il rescue disk kaspersky?
2) il secondo passo è il controllo con HxD?
Non mi è chiaro tra le due operazioni quale devo fare per prima.
Chiedo scusa per la mia ignoranza in materia, ma preferisco procedere con i piedi di piombo.
Grazie cordiali saluti

[Uomo_Senza_Sonno]

Si prima fai un controllo con il rescue disk, poi installi il programma e mi posti le immagini dei settori