www.MegaLab.it

[torch]

Ecco il log:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: WDC_WD3200BEKT-22F3T0 rev.11.01A11 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

[torch]

Rilancio combofix disabilitando l'antivirus e riposto il log?

[Ale2695]

Rilancio combofix disabilitando l'antivirus e riposto il log?

No, non serve. Passiamo a GMER, per vedere se hai qualche rootkit. Scaricalo, avvialo, fai partire una scansione e posta il log

[torch]

ok.

Speriam che gmer faccia il bravo... l'ultima volta che l'ho lanciato mi aveva mezzo impallato il pc :-)

Appena ho il log lo posto.

Grazie

[Berga95]

http://forums.malwarebytes.org/index.ph ... linearplus
Saresti te?

[torch]

Sisi. Peraltro lì nessuno si è degnato di rispondermi (al contrario del forum quì di MegaLab, che è sempre molto, ma molto utile e pieno di gente disponibile).
La cosa strana, è che a quel punto decisi di fare a meno di malwarebytes.

Poi, proprio ieri, su suggerimento di Ale, ho provatoa scaricare e reinstallae malwarebytes... e tutto ha funzionato alla perfezione!

Davvero faccio fatica a spiegarmelo.

Saluti

p.s.: quel thread comunque, è di novembre e trattava altri problemi.

[Ale2695]

Boh, si vede che Malwarebytes è attratto dal mio fascino ammaliante e risponde ai miei comandi
A parte le cavolate , il pc ora come va? Si ripresenta ancora il problema delle schede del browser?

[Berga95]

Potresti dirci se ci sono altri thread che hai aperto?
perché non vorrei che tutto sia collegato...

[torch]

Nono, nessun altro thread collegato.

Peraltro, appunto, neanche quello da te segnalato (risolsi tutti i problemi, ad eccezione dell'impossibilità di reinstallare malwarebytes, 2 mesi fa).
---
Dalla scansione effettuata ieri con malwarebytes, dove aveva rimosso quel singolo file infetto, i tab che si aprivano automaticamente su firefox non
si aprono più, quindi il problema che lamentavo non c'è più.

Gmer sta lavorano...

[Ale2695]

Nono, nessun altro thread collegato.

Peraltro, appunto, neanche quello da te segnalato (risolsi tutti i problemi, ad eccezione dell'impossibilità di reinstallare malwarebytes, 2 mesi fa).
---
Dalla scansione effettuata ieri con malwarebytes, dove aveva rimosso quel singolo file infetto, i tab che si aprivano automaticamente su firefox non
si aprono più, quindi il problema che lamentavo non c'è più.

Gmer sta lavorano...

Bene, aspettiamo il suo log allora

[Berga95]

Come discutevo con Ale2695 in Skype, c:\windows\system32\DRIVERS\10145711.sys <-- questo driver non mi piace affatto... caricalo su VirusTotal, poi postaci il link... (finito con GMER)

Inoltre, visto che il worm si chiamava Worm.Autorun, installa Ninja Pendisk, giusto per evitare un'altra infezione

[torch]

Ciao Berga, e grazie anche a te per l'interessamento.

Non ho trovato il file che mi hai indicato 10145711.sys , ma il 1014571.sys .
Virustotal dice che è pulito.

Ho scaricato ninjapendisk. Lo installo appena gmer finisce il suo lavoro.

Grazie

[torch]

Mentre gmer lavora... sto provando ad installare ninjapendisk.
Comodo rileva l'eseguibile scaricato "ninja.exe" come un TrojWare.Ein32.Trojan.Katusha...

Falso positivo?

[Ale2695]

Mentre gmer lavora... sto provando ad installare ninjapendisk.
Comodo rileva l'eseguibile scaricato "ninja.exe" come un TrojWare.Ein32.Trojan.Katusha...

Falso positivo?

Si, vai tranquillo

[torch]

Ottimo, grazie.

Intanto gmer procede... che ci vogliano anche per lui alcune ore?
Ho lasciato tutti i settaggi di default per la scansione.

[Ale2695]

Ottimo, grazie.

Intanto gmer procede... che ci vogliano anche per lui alcune ore?
Ho lasciato tutti i settaggi di default per la scansione.

In teoria no... boh, lascia scansionare...

[torch]

Niente da fare...

come l'ultima volta (qualche tempo fa) che l'usai, non c'è modo di far terminare la scansione a gmer.
Ad un certo punto il pc comincia ad emettere beep vari, tutte le periferiche esterne non vengono più riconosciute (mouse usb, scanner, stampante), le voci del menù stat non sono selezionabili, e cominciano i messaggi d'errore, tutti simili, di cui il primo riporta:

--
Scrittura rimandata non riuscita
impossibile salvare tutti i dati del file \Device\HarddiskVolume1\WINDOWS\system32\config\SysEvent.Evt. I dati sono aldati persi. La causa dell'errore potrebbe essere un errore hardware o della connessione di rete. Provare a salvare il file altrove.
--

Dopo questa serie di errori, qualsia applicazione io cerchi di lanciare (ad esempio, Notepad), mi compare un errore di sistema che lamenta "Risorse hardware insufficienti" ?!?

Suggerimenti?

[Ale2695]

Ok, c'è decisamente qualcosa che non va...
Solo che sinceramente non ho idee... in questi casi io avrei preso e formattato il tutto, ma se qualcun'altro ha idee, si faccia avanti

[torch]

Capisco...

intanto mille grazie per l'aiuto fino ad ora.

Penso di tenere il sistema così, perché tutto sommato ora funziona come sempre, bene.

[Ale2695]

Capisco...

intanto mille grazie per l'aiuto fino ad ora.

Penso di tenere il sistema così, perché tutto sommato ora funziona come sempre, bene.

Se non ci sono problemi, in teoria potrebbe essere anche un semplice bug di GMER, comunque felice di esserti stato d'aiuto