www.MegaLab.it

[pcxrt]

se non hai la versione a pagamento non puoi eliminarlo con prevx
usa malwarebytes

[Giodisan]

Ho tolto con Malwarebites i 2 Backdoor.Boot .

Lo SCANNOW, fatto due volte con il disco originale Windows service pack 2 inserito, non ha segnalato niente, e i suoni Windows ancora non ci sono.

Volevo comunque ringraziare Farbix89, hashcat, Uomo_Senza_Sonno, in rigoroso ordine cronologico di interventi, per tutto il supporto e la pazienza nei miei confronti: mi avete anche insegnato un sacco di cose mille.

[Sabbb]

PS.Se hai fatto la procedura sfc /scannow controlla che hai da fare di nuovo alcuni aggiornamenti del OS .

[Giodisan]

PS.Se hai fatto la procedura sfc /scannow controlla che hai da fare di nuovo alcuni aggiornamenti del OS .

Scusami Sabbb, ma non riesco a capire dove me li chiede, alla fine dello scannow la finestra si è chiusa e sul prompt non è apparso niente.

[Sabbb]

Non ho spiegato bene,scusami. Devi fare gli aggiornamenti di windows update :Start e controlla se ve ne sono da fare.

[Giodisan]

Ho settato Windows update per avvertire ma non scaricare eventuali aggiornamenti.

In effetti dopo qualche minuto è apparso lo scudetto giallo sulla barra di avvio: ho scaricato e installato gli aggiornamenti, riavviato il pc, ma Windows ancora tace...

[Uomo_Senza_Sonno]

Ma non vengono riprodotti solo i suoni di avvio o nessun suono in generale? Se apri un mp3 viene riprodotto normalmente? In più, prova di nuovo ad usare il bootkit remover per verificare che cosa ti segnala adesso.

[Giodisan]

Riproduceva correttamente suoni quali mp3 e simili, solo non si sentivano i suoni di avvio, chiusura e comandi di Windows.

Stamani, forse la notte porta consiglio, sono ricomparsi.

Comunque ho eseguito rootkit e...aargh! da questo http://img109.imageshack.us/i/rootkit.jpg/

ho fatto con hdx una schermata settore 0 da questo http://img37.imageshack.us/i/rootkit1.jpg/

fino al settore 63 è pulito ovvero con tutti 0, poi il settore 63 ricomoncia così http://img4.imageshack.us/i/rootkit2.jpg/

Significa che il rootkit è da un'altra parte o è un falso positivo?

Forse è un caso ma dopo il rootkit quando ho aperto HDX lo schermo è diventato nero, come se avesse perso il segnale video in quanto il comando di spegnimento funzionava correttamente, infatti dopo qualche secondo è apparsa la sigla di chiusura Windows e relativo suono...

[Uomo_Senza_Sonno]

Significa che il rootkit è da un'altra parte o è un falso positivo?

Per caso hai altri dischi collegati oltre a questo? Ad ogni modo, esegui i comandi fixboot e fixmbr dalla console di ripristino come spiegato [url]in quest'articolo[/url], poi riavvia il pc normalmente e verifica nuovamente lo status dell'mbr con il bootkit remover.

Nel caso hai altri dischi collegati, facciamo un controllo accurato perché a questo punto è molto probabile che sia altrove e anche se continuiamo ad insistere su questo disco non risolviamo nulla.

fino al settore 63 è pulito ovvero con tutti 0, poi il settore 63 ricomoncia [CUT]

Tutto ok, nel tuo disco il settore 63 corrisponde con il primo estremo della partizione del disco

Forse è un caso ma dopo il rootkit quando ho aperto HDX lo schermo è diventato nero, come se avesse perso il segnale video in quanto il comando di spegnimento funzionava correttamente, infatti dopo qualche secondo è apparsa la sigla di chiusura Windows e relativo suono...

Molto strano questo comportamento, tuttavia ora i suoni all'avvio vengono riprodotti o siamo al punto di partenza?

[Giodisan]

I suoni vengono riprodotti correttamente, Windows compreso.

Per caso hai altri dischi collegati oltre a questo? Ad ogni modo, esegui i comandi fixboot e fixmbr dalla console di ripristino come spiegato [url]in quest'articolo[/url], poi riavvia il pc normalmente e verifica nuovamente lo status dell'mbr con il bootkit remover.

Non trovo l'articolo.

Nel caso hai altri dischi collegati, facciamo un controllo accurato perché a questo punto è molto probabile che sia altrove e anche se continuiamo ad insistere su questo disco non risolviamo nulla.

Avevo collegato un HDD esterno per controllarlo e controllato con Comodo, Prevx e malwarebytes: dava la presenza di un worm, cancellato, e quindi non ho modo di postarlo.

Come faccio a controllare i vari HDD e USB pen se non dal pc?

[Uomo_Senza_Sonno]

Non trovo l'articolo.

Errore mio nel pubblicare il link, rimediamo

Come faccio a controllare i vari HDD e USB pen se non dal pc?

li controlliamo in un secondo momento, collegandoli e verificando i settori dei supporti esterni.

[Giodisan]

E' stata una lunga notte, ho dovuto ricaricare il sistema operativo per continui crash e durante i successivi aggiornamenti anche lì molti problemi con conseguenti riavvii.

Finalmente sembra stabilizzato, suoni e siti ok, ma dopo aver seguito le istruzioni in http://www.MegaLab.it/3677/ripristinare-il-boot-di-windows il risultato è questo http://img192.imageshack.us/i/mahp.jpg/

Però cliccando per una verifica da questo!!! http://img809.imageshack.us/i/bohun.jpg/.

HdX da settori puliti da 1 a 62 compresi.

Sono sempre più confuso...

[Uomo_Senza_Sonno]

Hai altri dischi collegati al pc?

[Giodisan]

No, attualmente non ha altri dischi.

[Uomo_Senza_Sonno]

Non capisco cosa intendi per verifica... dopo che hai fixato il boot, ti ha letto correttamente il sistema operativo, significa che tutto è tornato a posto. Poi stranamente è uscita di nuovo questa scritta...

A questo punto riapriamo HxD e azzeriamo i settori che vanno dall'altro estremo della partizione, anche se dovrebbero essere vuoti. Riapri il disco in lettura e postami nuovamente il settore 0, per controllare che non siano cambiati gli estremi di partizione, dopo questa verifica ti scrivo gli offset da inserire per azzerare i settori.

Prima che facessi la tua verifica, per caso hai collegato altri dischi? E in caso affermativo, quale?

[Giodisan]

Non capisco cosa intendi per verifica... dopo che hai fixato il boot, ti ha letto correttamente il sistema operativo, significa che tutto è tornato a posto. Poi stranamente è uscita di nuovo questa scritta...

Ho cliccato remover.exe una prima volta e mi ha dato http://img192.imageshack.us/i/mahp.jpg/.

Poi, per essere sicuro, lo cliccato un'altra volta e mi ha dato http://img809.imageshack.us/i/bohun.jpg/

Prima che facessi la tua verifica, per caso hai collegato altri dischi? E in caso affermativo, quale?

No, l'ultima volta che ho collegato un HDD è stato ieri mattina.

A questo punto riapriamo HxD e azzeriamo i settori che vanno dall'altro estremo della partizione, anche se dovrebbero essere vuoti. Riapri il disco in lettura e postami nuovamente il settore 0, per controllare che non siano cambiati gli estremi di partizione, dopo questa verifica ti scrivo gli offset da inserire per azzerare i settori.

Ecco lo 0 http://img840.imageshack.us/i/zeroen.jpg/ e ti confermo che da 1 a 62 compresi sono tutti 0.

[Uomo_Senza_Sonno]

Va bene, allora adesso apri nuovamente HxD e seleziona i blocchi che vanno dal secondo estremo della partizione fino alla fine del disco. Devi seguire la procedura per azzerare i settori come ti avevo indicato, solo che adesso devi inserire come offset iniziale 74701B0000, mentre come offset finale 74700C05FFF. Come al solito, è importante che siano questi gli offset, non si deve sbagliare. Dopo riavvia, e controlla nuovamente.

[Giodisan]

Scusami Uomo_Senza_Sonno, ma la moglie mi ha minacciato di cose inenarrabili se non mi stacco dalla tastiera e la porto fuori.

Credo che fino a domani non riuscirò a metterci mano.

Grazie per ora.

[Uomo_Senza_Sonno]

la moglie mi ha minacciato di cose inenarrabili se non mi stacco dalla tastiera e la porto fuori.

Nessun problema, per queste cose c'è tempo. Ad ogni modo, ha ragione tua moglie

[Giodisan]

Rieccomi.

Grazie di nuovo a tutti della pazienza

Prima di procedere

Devi seguire la procedura per azzerare i settori come ti avevo indicato, solo che adesso devi inserire come offset iniziale 74701B0000, mentre come offset finale 74700C05FFF. Come al solito, è importante che siano questi gli offset, non si deve sbagliare. Dopo riavvia, e controlla nuovamente.

Ho scoperto che dopo aver ricaricato il sistema e aver proceduto a http://www.MegaLab.it/3677/ripristinare-il-boot-di-windows

all'avvio mi dà questa simpatica schermata http://img602.imageshack.us/i/p1000652.jpg/.

Significa che ho caricato 2 sistemi operativi?