www.MegaLab.it

[Uomo_Senza_Sonno]

Non è detto, ma ad ogni modo il tool indicato nell'articolo ti permette di capire se c'è qualcosa che non va. Se ti legge il tipo di sistema operativo installato, significa che il problema non è quello ipotizzato, e quindi dobbiamo percorrere altre strade

[Giodisan]

Dopo aver fatto eseguire lo scan con BootKit remover il risultato è

Bootkit Remover
(c) 2009 eSage Lab
http://www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Controlled by rootkit!

Boot code on some of your physical disks is hidden by a rootkit.
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]


Done;
Press any key to quit...

Ho chiesto di fare eseguire C:\remover.exe fix \\.\PhisicalDrive0 e ho risposto sì al riavvio.

Purtroppo C:\remover.exe mi ha risposto:

Bootkit Remover
(c) 2009 eSage Lab
http://www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
CreateFile() ERROR 2
ERROR: Can't open physical disk device.

Done;
Press any key to quit...

[Uomo_Senza_Sonno]

Probabilmente non può agire direttamente, tuttavia ha rilevato un rootkit, per cui vediamo di indagare con qualcosa di più incisivo e specifico. Leggi questa guida e posta il settore 0 del disco fisico, mi raccomando fai in modo che nella finestra del programma si veda bene tutto il settore.

Sembra che abbiamo a che fare con un rootkit davvero ben progettato, è praticamente rimasto invisibile allo stealth rootkit detector, il che è tutto dire. Con il bootkit remover avresti risolto in un istante, ma probabilmente si protegge impedendogli di aprire il disco, per cui non ci rimane che editare manualmente i settori infetti. Ma dopo questo trattamento i problemi saranno solo un ricordo.

[Giodisan]

Scusate la goffaggine, ma non riesco a copiare la schermata di Hxd su imageshack.us per poi postarla qui.

[Uomo_Senza_Sonno]

Per fare gli screenshot devi premere il tasto Stamp sulla tastiera del tuo pc e aprire un qualsiasi programma per editare le foto (va bene anche lo stesso paint di windows) e andare su incolla. Dopo salvi in jpg e carichi l'immagine su imageshack.us; per postarla qui inserisci il link diretto, va bene anche il tag URL

Codice: Seleziona tutto

[url]inserisci il link diretto[/url]

per ottenere questo risultato

http://www.MegaLab.it

oppure il tag IMG per inserire l'immagine

Codice: Seleziona tutto

[img]http://sg.creative.com/images/products/reviews/ravelogo_megalab.jpg[/img]

per ottenere questo

[Giodisan]

Ecco qua http://img830.imageshack.us/img830/8247/hxdn.jpg

Mi sento veramente un diversamente abile...

[Uomo_Senza_Sonno]

Mi sento veramente un diversamente abile...

C'è sempre una prima volta per tutti, quindi tranquillo. Allora, posta per cortesia i settori 62, 63, 976751999, 976752000 e 976773168, se puoi con una risoluzione più elevata perché i numeri si devono vedere bene.

[Giodisan]

Troppo buono!!!

Ecco i settori 62,62

Ecco gli altri

Spero che la risoluzione sia adeguata.

[Giodisan]

Riprovo 62, 63 http://img838.imageshack.us/i/hdx2.jpg/

Gli altri http://img600.imageshack.us/i/hdx1.jpg/

[Uomo_Senza_Sonno]

Scusami, ma non sono i settori che ti ho chiesto. Fai così: copia e incolla il numero di settore nella barra di conteggio dei settori, poi fai lo screenshot uno per volta e poi caricali. Per il resto, va bene caricarli come hai fatto.

[Giodisan]

Avevo confuso i settori con le righe...

62 http://img291.imageshack.us/i/hdx62.jpg/

63 http://img600.imageshack.us/i/hdx63.jpg/

976751999 http://img25.imageshack.us/i/hdx976751999.jpg/

976752000 http://img714.imageshack.us/i/hdx976752000.jpg/

976773168 http://img138.imageshack.us/i/hdx976773168.jpg/

[Uomo_Senza_Sonno]

Controlla i settori dal 1 al 62, e se trovi dei settori scritti, ovvero non hanno una sequenza ininterrotta di zeri, postali. Poi possiamo procedere con la pulizia.

[Giodisan]

Settore 0 http://img517.imageshack.us/i/settore1.jpg/

Settore 62 http://img232.imageshack.us/i/settore62.jpg/

Tra 1 e 62 sono tutti zeri.

Oltre ci sono naturalmente un sacco di settori che "danno i numeri"...

[Uomo_Senza_Sonno]

Ok, l'unica cosa che non va è nel settore 62, quindi azzeriamo solo quello. Questa guida ti spiega la procedura da seguire per azzerare una certa quantità di settori, ma noi dobbiamo azzerare solo il settore 62.

Quindi, quando devi inserire gli offset, inserisci nel campo inizio il valore 7C00, mentre nel campo fine il valore 7DFF. Il campo lunghezza si compila automaticamente, e prenderà il valore 200. Un valore differente da questo è sinonimo di errore nella scrittura degli offset.

Nei settori successivi al 63 i valori sono legittimi, dopo questo settore siamo dentro allo spazio occupato dal filesystem e di conseguenza, anche dal sistema operativo.

[hashcat]

Mi è venuto il sospetto che troppi galli nel pollaio litighino : speravo che avendo attive più protezioni fossi più difeso oppure non vanno daccordo tra loro e devo sceglire cosa lasciare attivo?

Devi scegliere la protezione che ti convince di più e lasciare quella (un firewall deve comunque esserci).
Il mio consiglio sarebbe quello di scaricare e installare Avira al posto di Avast!, disinstallare Comodo Internet Security (installare la versione firewall), lasciare Prevx per fare settimanalmente dei controlli.

La connessione ad internet impedita per alcuni siti ora funziona?

Per quanto riguarda comodo ecco il database offline(aggiornamenti di ieri).

Da questo momento in poi cerca di abbandonare Internet Explorer e usa un altro browser (Google Chrome, Opera, Firefox).
Il mio consiglio è rivolto verso Google Chrome.

Se hai tempo scarica questo pacchetto di malwarebytes portatile con gli ultimi aggiornamenti fino ad oggi ed esegui una scansione completa, al termine rimuovi tutte le minacce e posta qui il log.
Potresti caricare tutti i log delle varie scansioni che puoi reperire su paste2.org e poi inserire il link nel prossimo messaggio

[Giodisan]

Dopo aver selezioneto il blocco in HdX, il menù di edit non mi fa accedere a "riempimento selezione" ma solo a queste

http://img146.imageshack.us/i/blocco.jpg/

Ho provato a togliere lo spunto in opzioni di aprire i dischi in sola lettura di default, ma niente da fare....dovè che sbaglio?

[Uomo_Senza_Sonno]

Sicuro di aver tolto la spunta dall'apertura di sola lettura? Riprova, e conferma due volte l'apertura: la prima dopo che hai selezionato il disco da aprire, la seconda volta quando ti avverte che le modifiche possono rendere illeggibile il disco. Assicurati che nella barra di stato alla base della finestra non ci sia la dicitura SOLA LETTURA, dopodichè procedi senza problemi.

[Giodisan]

Facendo la spunta due volte come hai detto tu, il menù mi ha consentito di procedere.

Dopo ave pulito la zona ho riavviato il pc senza problemi.

Ho controllato con HDX che il settore 62 fosse pulito e che nessun'altro settore tra 62 e 1, tranne che lo 0, avesse scritto altri numeri al di fuori che 0.

I siti Microsoft e quelli antivirus come Avast già si aprivano e tuttora non danno problemi.

I suoni di Windows continuano a non funzionare...

Sul pannello di controllo è settato il suono come combinazione predefinita di Windows e gli altri files audio funzionano correttamente.

Può darsi che sia un problema diverso o devo fare un controllo con qualche altro programma antibestiaccie?

[hashcat]

Per evitare futuri crash del sistema o problemi aggiuntivi fai quello che ti avevo chiesto:

Devi scegliere la protezione che ti convince di più e lasciare quella (un firewall deve comunque esserci).
Il mio consiglio sarebbe quello di scaricare e installare Avira al posto di Avast!, disinstallare Comodo Internet Security (installare la versione firewall), lasciare Prevx per fare settimanalmente dei controlli.

La connessione ad internet impedita per alcuni siti ora funziona?

Per quanto riguarda comodo ecco il database offline(aggiornamenti di ieri).

Da questo momento in poi cerca di abbandonare Internet Explorer e usa un altro browser (Google Chrome, Opera, Firefox).
Il mio consiglio è rivolto verso Google Chrome.

Se hai tempo scarica questo pacchetto di malwarebytes portatile con gli ultimi aggiornamenti fino ad oggi ed esegui una scansione completa, al termine rimuovi tutte le minacce e posta qui il log.
Potresti caricare tutti i log delle varie scansioni che puoi reperire su paste2.org e poi inserire il link nel prossimo messaggio

Il problema dell'audio non dovrebbe essere correlato con un infezione, forse durante le scansione è stato eliminato qualche file che regolava appunto il suono all'avvio. Comunque per stare sicuro potresti fare una scansione completa con Malwarebytes.
Per cercare di ripristinare l'audio prendi il cd di windows xp sp3, lo inserisci nel lettore, apri il prompt dei comandi (cmd.exe) e digiti:

Codice: Seleziona tutto

sfc /SCANNOW

Attendi il completamento della procedura che controllerà se il computer possiede tutti i file di sistema necessari e in caso questi fossero mancanti o modificati provvede a sostituirli con gli originali presenti nel cd.

[Giodisan]

Malwarebites ha trovato 2 Backdoor.Boot nel frattempo e partito anche Prevx e lo ha beccato anche lui.

Ve li posto http://img403.imageshack.us/i/malwareu.jpg/

Cosa strana che fanno parte di Analyze Restore Center .

Devo eliminarli e con cosa Prevx o Malwarebites?