www.MegaLab.it

[read82]

ragazzi nulla da fare...bluescreen non trova nessun file, malgrado abbia cambiato varie cartelle di destinazione

[Uomo_Senza_Sonno]

Buonasera ragazzi, scusate se ultimamente mi collego pochissimo, ed in questo caso era meglio procedere con più calma. Se tieni ben presente read, ti avevo indicato prima di procedere con l'azzeramento dei bytes, di copiare il settore 9 nel settore 0, e poi solo dopo questo passo procedere all'azzeramento dei settori. In più, con molta probabilità è presente altra parte del codice rootkit nell'altro estremo di partizione, quindi sarà meglio azzerare anche tutti i settori dopo il secondo estremo della partizione. Ad ogni modo, prova ad utilizzare la consolle di ripristino di Vista, oppure ci sono altri tools come testdisk che fanno al caso tuo.

Quel processo di copia era molto importante perché quello presente nel settore 9 era il tuo mbr originale, mentre quello che hai nel settore 0 è fasullo come una moneta da 3€. Ecco il motivo dei bluescreen.

[read82]

uomo, ho fatto come mi avvei detto tu, ho copiato il settore 9 nel settore zero

Insomma...la procedura l'ho eseguita in maniera corretta sovrascrivendo il settore zero.

Purtroppo il tutto è cambiato adesso.

NOn si può quindi più fare nulla?

[Uomo_Senza_Sonno]

Per caso hai azzerato anche i settori che vanno dal secondo estremo di partizione? Prova a ripetere la procedura, e al termine riavvia e ripristina il boot dalla consolle di ripristino come hai già fatto. Quello che non mi convince è la presenza all'interno del sistema operativo dei drivers responsabili dell'infezione, che sono rimasti nonostante abbia già utilizzato i rescue disk. Poi, a tutto c'è rimedio.

[read82]

<buongiorno ragazzi!
ieri sera ho utilizzato tesk disk ed ho dato il fix mbr
mi ha sovrascritto il settore zero
questo è il nuov settore quindi

Uploaded with ImageShack.us

purtroppo vado ancora in crash

[elfoLiNk]

non ho letto tutta la storia non puo servire dare anche fix boot?

[read82]

ma con il fixboot cancello tutto?
insomma i dati rimangono?

[read82]

ragazzi ho risolto formattando
la situazione era drammatica davvero...
figuratevi ho installato ilKASPERSKY REMOVAL TOOL ed all'interno vi è un interessante opzione che permette di analizzare il sistema e mandare il log alu sopporto.
in meno di 10 minuti mi hanno dato tante soluzioni.
in particolare questi sono stati i valori da eliminare

begin
QuarantineFile('rdpclip', 'CHQ=N');
QuarantineFile('C:\WindowsSystem32\IoLogMsg.dll', 'CHQ=N');
QuarantineFile('C:\Windows\System32\appmgmts.dll', 'CHQ=S');
QuarantineFile('C:\Windows\system32\SAVRKBootTasks.sys', 'CHQ=S');
QuarantineFile('C:\Windows\system32\3745.tmp', 'CHQ=S');
QuarantineFile('C:\Windows\system32\DRIVERS\avgntflt.sys', 'CHQ=S');
QuarantineFile('C:\Windows\system32\DRIVERS\avipbb.sys', 'CHQ=S');
QuarantineFile('C:\Windows\System32\Drivers\dump_dumpata.sys', 'CHQ=S');
QuarantineFile('C:\Windows\system32\DRIVERS\ipinip.sys', 'CHQ=S');
QuarantineFile('C:\Windows\system32\drivers\klif.sys', 'CHQ=S');
QuarantineFile('C:\Windows\system32\DRIVERS\nwlnkflt.sys', 'CHQ=S');
QuarantineFile('C:\Windows\system32\DRIVERS\nwlnkfwd.sys', 'CHQ=S');
QuarantineFile('C:\Windows\system32\drivers\pxsec.sys', 'CHQ=S');
QuarantineFile('C:\Windows\system32\DRIVERS\smserial.sys', 'CHQ=S');
QuarantineFile('C:\Windows\TEMP\Agr.exe', 'CHQ=N');
QuarantineFile('C:\Windows\TEMP\sjtb\setup.exe', 'CHQ=N');
QuarantineFile('C:\Users\Stefania\AppData\Local\Temp\catchme.sys', 'CHQ=S');
BC_QrFile('C:\WindowsSystem32\IoLogMsg.dll');
BC_QrFile('C:\Windows\System32\appmgmts.dll');
BC_QrFile('C:\Windows\system32\SAVRKBootTasks.sys');
BC_QrFile('C:\Windows\system32\3745.tmp');
BC_QrFile('C:\Windows\system32\DRIVERS\avgntflt.sys');
BC_QrFile('C:\Windows\system32\DRIVERS\avipbb.sys');
BC_QrFile('C:\Windows\System32\Drivers\dump_dumpata.sys');
BC_QrFile('C:\Windows\system32\DRIVERS\ipinip.sys');
BC_QrFile('C:\Windows\system32\drivers\klif.sys');
BC_QrFile('C:\Windows\system32\DRIVERS\nwlnkflt.sys');
BC_QrFile('C:\Windows\system32\DRIVERS\nwlnkfwd.sys');
BC_QrFile('C:\Windows\system32\drivers\pxsec.sys');
BC_QrFile('C:\Windows\system32\DRIVERS\smserial.sys');
BC_QrFile('C:\Windows\TEMP\Agr.exe');
BC_QrFile('C:\Windows\TEMP\sjtb\setup.exe');
BC_QrFile('C:\Users\Stefania\AppData\Local\Temp\catchme.sys');

Malgrado ciò non ho risolto, il pc continuava a crashare...!!
Ho quindi formattato ed ora sto scrivendo proprio da qui.

Vi ringrazio immensamente per la disponibilità, la pazienza e la professionalità.
dopo questa storia, ho aqcuisito almeno qualche conoscenza in più

[Uomo_Senza_Sonno]

I comandi fixboot e fixmbr servono soltanto per riparare, nel settore 0, rispettivamente il bootloader e il master boot record, e oltre a questo non si cancella nulla. Sono contento per te che hai risolto alla fine