www.MegaLab.it

[pcdb]

Salve a tutti. Mi scuso se non è questa la sezione giusta.
Non sono un grande esperto e penso di avere dei virus sul pc. Non riesco a installare più nessun antivirus e ho il task manager disabilitato dall'amministatore. Vi posto il log di Combofix.
Qualcuno sa aiutarmi?

ComboFix 12-03-22.01 - Administrator 22/03/2012 14.13.13.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.766.412 [GMT 1:00]
Eseguito da: c:\documents and settings\Administrator.-0D538E7E\Documenti\abc.exe
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\autorun.inf
c:\documents and settings\Administrator-0D538E7E\WINDOWS
c:\documents and settings\All Users.WINDOWS\Dati applicazioni\TEMP
C:\Install.exe
c:\program files\SGPSA\BHO.dll
c:\programmi\Shared
c:\windows\system32\a
c:\windows\system32\Cache
c:\windows\system32\SET38.tmp
c:\windows\system32\SET44.tmp
c:\windows\system32\SET51.tmp
c:\windows\unin0410.exe
.
.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_AMSINT32
-------\Legacy_ASC3360PR
-------\Service_amsint32
-------\Service_asc3360pr
.
.
((((((((((((((((((((((((( Files Creati Da 2012-02-22 al 2012-03-22 )))))))))))))))))))))))))))))))))))
.
.
2012-03-21 20:04 . 2012-03-21 20:04 103140 ----a-w- C:\yyoqdr.exe
2012-02-25 10:38 . 2012-02-25 10:38 1409 ----a-w- c:\windows\QTFont.for
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-22 13:28 . 2012-03-22 13:28 103140 --sh--r- C:\ixdg.pif
2012-02-16 16:04 . 2011-09-07 07:03 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-02-10 229376]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-02-10 118784]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2008-06-11 1286144]
"LogitechCommunicationsManager"="c:\programmi\File comuni\Logitech\LComMgr\Communications_Helper.exe" [2006-10-30 353816]
"LogitechQuickCamRibbon"="c:\programmi\Logitech\QuickCam10\QuickCam10.exe" [2006-11-15 746520]
"LVCOMSX"="c:\programmi\File comuni\Logitech\LComMgr\LVComSX.exe" [2006-11-15 244512]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-01-26 136600]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 225280]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 109680]
"AdobeAAMUpdater-1.0"="c:\programmi\File comuni\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 573936]
"SwitchBoard"="c:\programmi\File comuni\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS5ServiceManager"="c:\programmi\File comuni\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-02-22 484816]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-30 15360]
.
c:\documents and settings\All Users.WINDOWS\Menu Avvio\Programmi\Esecuzione automatica\
Avvio veloce di Microsoft Office OneNote 2003.lnk - c:\programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-4-19 121408]
uninstall.exe [2012-3-22 421888]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Bonjour\\mDNSResponder.exe"=
"c:\\Programmi\\eMule AdunanzA\\eMule_AdnzA.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\PCHEALTH\\HELPCTR\\Binaries\\HelpCtr.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
"c:\\Documents and Settings\\Administrator.NATALE-0D538E7E\\Desktop\\Skype.exe"=
"c:\\WINDOWS\\system32\\igfxtray.exe"=
"c:\\Programmi\\File comuni\\Adobe\\CS5ServiceManager\\CS5ServiceManager.exe"=
"c:\\Programmi\\QuickTime\\qttask.exe"=
"c:\\Programmi\\Java\\jre6\\bin\\jusched.exe"=
"c:\\WINDOWS\\system32\\netsh.exe"=
"c:\\Programmi\\Adobe\\Reader 8.0\\Reader\\Reader_sl.exe"=
"c:\\WINDOWS\\system32\\wuauclt.exe"=
"c:\\Programmi\\File comuni\\Logitech\\LComMgr\\LVComSX.exe"=
"c:\\Programmi\\File comuni\\Logishrd\\LQCVFX\\COCIManager.exe"=
"c:\\Programmi\\Java\\jre6\\bin\\jucheck.exe"=
"c:\\Programmi\\File comuni\\Logitech\\LComMgr\\Communications_Helper.exe"=
"c:\\Programmi\\Logitech\\QuickCam10\\QuickCam10.exe"=
"c:\\WINDOWS\\system32\\hkcmd.exe"=
"c:\\PROGRA~1\\MICROS~2\\OFFICE11\\OUTLOOK.EXE"=
"c:\\Programmi\\Microsoft Office\\OFFICE11\\WINWORD.EXE"=
"c:\\Documents and Settings\\Administrator.NATALE-0D538E7E\\Documenti\\NO$GBA\\NO$GBA (Emulatore DS...by Cpl23 e Cippo97).EXE"=
"c:\\WINDOWS\\system32\\NeroCheck.exe"=
"c:\\Programmi\\Adobe\\Reader 8.0\\Reader\\AcroRd32Info.exe"=
"c:\\Programmi\\Adobe\\Reader 8.0\\Reader\\AcroRd32.exe"=
"c:\\Programmi\\File comuni\\Adobe\\OOBE\\PDApp\\UWA\\UpdaterStartupUtility.exe"=
"c:\\Documents and Settings\\All Users.WINDOWS\\Menu Avvio\\Programmi\\Esecuzione automatica\\uninstall.exe"=
"c:\\yyoqdr.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\Google\\Update\\GoogleUpdate.exe"=
"c:\\Programmi\\Malwarebytes' Anti-Malware\\mbam.exe"=
"c:\\Programmi\\File comuni\\Logitech\\SrvLnch\\SrvLnch.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"443:TCP"= 443:TCP:*:Disabled:Porta TCP ooVoo 443
"443:UDP"= 443:UDP:*:Disabled:Porta UDP ooVoo 443
"37674:TCP"= 37674:TCP:*:Disabled:Porta TCP ooVoo 37674
"37674:UDP"= 37674:UDP:*:Disabled:Porta UDP ooVoo 37674
"37675:UDP"= 37675:UDP:*:Disabled:Porta UDP ooVoo 37675
.
S1 busduvis;busduvis;\??\c:\windows\system32\drivers\busduvis.sys c:\windows\system32\drivers\busduvis.sys
S1 czjgzvvs;czjgzvvs;\??\c:\windows\system32\drivers\czjgzvvs.sys c:\windows\system32\drivers\czjgzvvs.sys
S2 gupdate1c9e102a8519d78;Servizio di Google Update (gupdate1c9e102a8519d78);c:\programmi\Google\Update\GoogleUpdate.exe [30/05/2009 9.43.07 210928]
S2 Remote Instrumentation;RpcS;c:\windows\system32\fing.exe [22/04/2010 8.08.19 35840]
S3 gupdatem;Servizio Google Update (gupdatem);c:\programmi\Google\Update\GoogleUpdate.exe [30/05/2009 9.43.07 210928]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [07/07/2011 9.27.06 39984]
S3 SwitchBoard;SwitchBoard;c:\programmi\File comuni\Adobe\SwitchBoard\SwitchBoard.exe [19/02/2010 12.37.14 517096]
S3 zlportio;zlportio;\??\c:\documents and settings\Administrator.NATALE-0D538E7E\Documenti\File ricevuti\Giochi\ultrastardx-101a-full\zlportio.sys c:\documents and settings\Administrator.NATALE-0D538E7E\Documenti\File ricevuti\Giochi\ultrastardx-101a-full\zlportio.sys
.
--- Altri Servizi/Drivers In Memoria ---
.
*NewlyCreated* - AMSINT32
*NewlyCreated* - WS2IFSL
.
Contenuto della cartella 'Scheduled Tasks'
.
2011-07-12 c:\windows\Tasks\AdobeAAMUpdater-1.0-NATALE-0D538E7E-Administrator.job
- c:\programmi\File comuni\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2011-07-12 01:44]
.
2012-03-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2009-05-30 08:42]
.
2012-03-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2009-05-30 08:42]
.
.
------- Scansione supplementare -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = hxxp://www.macromedia.com/shockwave/dow ... fault.html
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Free YouTube Download - c:\documents and settings\Administrator.NATALE-0D538E7E\Dati applicazioni\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
TCP: DhcpNameServer = 83.103.25.250 62.101.93.101
DPF: {1F831FA9-42FC-11D4-95A6-0080AD30DCE1} - file://c:\programmi\AutoCAD 2002 Ita\InstFred.ocx
DPF: {AE563729-B4F5-11D4-A415-00108302FDFD} - file://c:\programmi\AutoCAD 2002 Ita\InstBanr.ocx
.
.
------- Associazioni dei file -------
.
.scr=AutoCADScriptFile
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
URLSearchHooks-{872b5b88-9db5-4310-bdd0-ac189557e5f5} - (no file)
BHO-{872b5b88-9db5-4310-bdd0-ac189557e5f5} - (no file)
Toolbar-{872b5b88-9db5-4310-bdd0-ac189557e5f5} - (no file)
HKCU-Run-TomTomHOME.exe - c:\programmi\TomTom HOME 2\TomTomHOMERunner.exe
HKCU-Run-AdobeBridge - (no file)
HKLM-Run-C-Media Speaker Configuration - d:\driver\xp-2k-me\drv\Setup.exe
HKLM-Run-NWEReboot - (no file)
AddRemove-FoxTab PDF Converter - c:\programmi\FoxTabPDFConverter\\ftpdf_inst.exe
AddRemove-Kalender - c:\windows\Uninstall_tkexe -kalender
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-03-22 14:28
Windows 5.1.2600 Service Pack 2 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6G160P0 rev.KA201V00 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
.
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\Disk -> 0x82522038
NDIS: Intel(R) PRO/1000 MT Network Connection -> SendCompleteHandler -> 0x82558e00
user != kernel MBR !!!
malicious code @ sector 0x12a18ac1 size 0x1e4 !
copy of MBR has been found in sector 62 !
Warning: possible MBR rootkit infection !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
.
**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_USERS\S-1-5-21-1606980848-220523388-682003330-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,67,a5,97,4e,f4,aa,b5,4b,be,08,82,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,67,a5,97,4e,f4,aa,b5,4b,be,08,82,\
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'explorer.exe'(8176)
c:\windows\system32\WININET.dll
c:\programmi\File comuni\Logitech\LVMVFM\LVPrcInj.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
c:\programmi\Bonjour\mDNSResponder.exe
c:\windows\system32\DRIVERS\CDANTSRV.EXE
c:\programmi\Java\jre6\bin\jqs.exe
c:\programmi\File comuni\Logishrd\LQCVFX\COCIManager.exe
c:\programmi\Java\jre6\bin\jucheck.exe
.
**************************************************************************
.
Ora fine scansione: 2012-03-22 14:34:16 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2012-03-22 13:34
.
Pre-Run: 79.964.008.448 byte disponibili
Post-Run: 84.800.928.256 byte disponibili
.
- - End Of File - - 14A37354E2F228A037E84BCBEBCD4AAF

[Uomo_Senza_Sonno]

Ciao e benvenuto su MegaLab.it

da quel che si vede nel log di combofix sei sicuramente infetto, e presenti inoltre un'infezione nel mbr. A fronte di ciò, il primo consiglio è quello di scaricare e utilizzare un rescue disk , e poi, dopo aver rimosso quello che rileva, di utilizzare il programma presente in quest'articolo per rimuovere l'infezione nel mbr definitivamente.

Ho visto che hai utilizzato lo Stealth Rootkit Detector, ma visto che dovremo utilizzare un editor per dischi, sarebbe meglio se mi postassi anche il report di MbrScan.

[pcdb]

Prima di tutto ti ringrazio per avermi risposto.
Ho provato a scaricare Rescue disk ma non sono riuscito. Cosa posso fare?
Ecco invece il report di MbrScan

Codice: Seleziona tutto

MBRScan v1.1.1

OS             : Windows XP Home Service Pack 2 (32 bit)
PROCESSOR      : x86 Family 15 Model 2 Stepping 9, GenuineIntel
BOOT           : Normal Boot
DATE           : 2012/03/22 (ISO 8601) at 21:49:51
________________________________________________________________________________

DISK           : Device\Harddisk0\DR0 __Maxtor 6G160P0 (KA201V00)
BUS_TYPE       : (0x03)  P-ATA
USE_PIO        : YES
MAX_TRANSFER   : 128 Kb
ALIGNMENT_MASK : word aligned
________________________________________________________________________________

Device\Harddisk0\DR0   149.1 Go  [Fixed] ==> MebRoot.D MBR Code

MBR_MD5   : 4B0A7E7BB366327689B2C44E0D905B12
MBR_SHA1  : 93B4AA5385CC546E3C52551CFADB396FC18B54C1

Device\Harddisk0\Partition1   149.0 Go     0x07 NTFS / HPFS __ BOOTABLE __
________________________________________________________________________________

############################### Additional scan ################################

DRIVER  : C:\WINDOWS\System32\Drivers\dump_atapi.sys => Invisible on the disk
ADDRESS : 0xEDB20000
SIZE    : 96.0 Ko

DRIVER  : C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS => Invisible on the disk
ADDRESS : 0xF7AE5000
SIZE    : 8.0 Ko

DRIVER  : C:\WINDOWS\system32\drivers\pjlhgr.sys => Invisible on the disk
ADDRESS : 0xF7B05000
SIZE    : 8.0 Ko

SystemStartOptions : NOEXECUTE=OPTIN  FASTDETECT

________________________________________________________________________________

_____FAKED   \Device\Harddisk0\DR0 

0x00000000   FA 33 DB 8E D3 36 89 26 FE 7B BC FE 7B 1E 66 60   ú3Û.Ó6.&þ{¼þ{.f`
0x00000010   FC 8E DB BE 13 04 83 2C 02 AD C1 E0 06 8E C0 BE   ü.Û¾...,.­Áà..À¾
0x00000020   00 7C 33 FF B9 00 01 F3 A5 B8 02 02 B1 3D BA 80   .|3.¹..ó¥¸..±=º.
0x00000030   00 8B DF CD 13 33 DB 90 90 90 90 66 8B 47 4C C7   ..ßÍ.3Û....f.GLÇ
0x00000040   47 4C 6A 00 66 26 A3 77 00 8C 47 4E 06 68 51 00   GLj.f&£w..GN.hQ.
0x00000050   CB FB 8E C3 B8 01 02 B9 3F 00 BA 80 00 B7 7C CD   Ëû.ø..¹?.º..·|Í
0x00000060   13 66 61 1F 5C EA 00 7C 00 00 9C 80 FC 42 74 0B   .fa.\ê.|....üBt.
0x00000070   80 FC 02 74 06 9D EA 00 00 00 00 2E 88 26 94 00   .ü.t..ê......&..
0x00000080   9D 9C 2E FF 1E 77 00 0F 82 9E 00 9C FA 06 66 60   .....w......ú.f`
0x00000090   FC B4 00 B5 00 80 FD 42 75 04 AD AD C4 1C 85 C0   ü´.µ..ýBu.­­Ä..À
0x000000A0   75 01 40 8B C8 C1 E1 09 B0 8B 8B FB 60 F2 AE 75   u.@.ÈÁá.°..û`ò®u
0x000000B0   48 90 66 26 81 3D F0 85 F6 74 75 F1 26 81 7D 05   H.f&.=ð.ötuñ&.}.
0x000000C0   80 3D 75 E9 26 8A 45 04 3C 21 74 04 3C 22 75 DD   .=ué&.E.<!t.<"uÝ
0x000000D0   BE 0B 02 2E 80 3C 00 75 20 2E 88 04 26 C7 45 FF   ¾....<.u ...&ÇE.
0x000000E0   FF 15 66 8C C8 66 C1 E0 04 05 00 02 66 2E A3 FC   ..f.ÈfÁà....f.£ü
0x000000F0   01 2D 04 00 66 26 89 45 01 61 B0 83 F2 AE 75 25   .-..f&.E.a°.ò®u%
0x00000100   66 26 81 3D C4 02 E9 00 75 F2 66 26 81 7D 04 00   f&.=Ä.é.uòf&.}..
0x00000110   E9 FD FF 75 E7 66 26 C7 45 FC 90 90 90 83 26 83   éý.uçf&ÇEü....&.
0x00000120   65 06 00 EB D7 66 61 07 9D CA 02 00 00 00 00 00   e..ë×fa..Ê......
0x00000130   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x00000140   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x00000150   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x00000160   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x00000170   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x00000180   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x00000190   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x000001A0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x000001B0   00 00 00 00 00 2C 50 7D 68 EC 68 EC 00 00 80 01   .....,P}hìhì....
0x000001C0   01 00 07 FE FF FF 3F 00 00 00 82 8A A1 12 00 00   ...þ..?.....¡...
0x000001D0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x000001E0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x000001F0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA   ..............Uª

__ORIGINAL   \Device\Harddisk0\DR0 

0x00000000   33 C0 8E D0 BC 00 7C FB 50 07 50 1F FC BE 1B 7C   3À.м.|ûP.P.ü¾.|
0x00000010   BF 1B 06 50 57 B9 E5 01 F3 A4 CB BD BE 07 B1 04   ¿..PW¹å.ó¤Ë½¾.±.
0x00000020   38 6E 00 7C 09 75 13 83 C5 10 E2 F4 CD 18 8B F5   8n.|.u..Å.âôÍ..õ
0x00000030   83 C6 10 49 74 19 38 2C 74 F6 A0 B5 07 B4 07 8B   .Æ.It.8,tö.µ.´..
0x00000040   F0 AC 3C 00 74 FC BB 07 00 B4 0E CD 10 EB F2 88   ð¬<.tü»..´.Í.ëò.
0x00000050   4E 10 E8 46 00 73 2A FE 46 10 80 7E 04 0B 74 0B   N.èF.s*þF..~..t.
0x00000060   80 7E 04 0C 74 05 A0 B6 07 75 D2 80 46 02 06 83   .~..t..¶.uÒ.F...
0x00000070   46 08 06 83 56 0A 00 E8 21 00 73 05 A0 B6 07 EB   F...V..è!.s..¶.ë
0x00000080   BC 81 3E FE 7D 55 AA 74 0B 80 7E 10 00 74 C8 A0   ¼.>þ}Uªt..~..tÈ.
0x00000090   B7 07 EB A9 8B FC 1E 57 8B F5 CB BF 05 00 8A 56   ·.ë©.ü.W.õË¿...V
0x000000A0   00 B4 08 CD 13 72 23 8A C1 24 3F 98 8A DE 8A FC   .´.Í.r#.Á$?..Þ.ü
0x000000B0   43 F7 E3 8B D1 86 D6 B1 06 D2 EE 42 F7 E2 39 56   C÷ã.Ñ.Ö±.ÒîB÷â9V
0x000000C0   0A 77 23 72 05 39 46 08 73 1C B8 01 02 BB 00 7C   .w#r.9F.s.¸..».|
0x000000D0   8B 4E 02 8B 56 00 CD 13 73 51 4F 74 4E 32 E4 8A   .N..V.Í.sQOtN2ä.
0x000000E0   56 00 CD 13 EB E4 8A 56 00 60 BB AA 55 B4 41 CD   V.Í.ëä.V.`»ªU´AÍ
0x000000F0   13 72 36 81 FB 55 AA 75 30 F6 C1 01 74 2B 61 60   .r6.ûUªu0öÁ.t+a`
0x00000100   6A 00 6A 00 FF 76 0A FF 76 08 6A 00 68 00 7C 6A   j.j..v..v.j.h.|j
0x00000110   01 6A 10 B4 42 8B F4 CD 13 61 61 73 0E 4F 74 0B   .j.´B.ôÍ.aas.Ot.
0x00000120   32 E4 8A 56 00 CD 13 EB D6 61 F9 C3 54 61 62 65   2ä.V.Í.ëÖaùÃTabe
0x00000130   6C 6C 61 20 64 65 6C 6C 65 20 70 61 72 74 69 7A   lla delle partiz
0x00000140   69 6F 6E 69 20 6E 6F 6E 20 76 61 6C 69 64 61 00   ioni non valida.
0x00000150   45 72 72 6F 72 65 20 6E 65 6C 20 63 61 72 69 63   Errore nel caric
0x00000160   61 6D 65 6E 74 6F 20 64 65 6C 20 73 69 73 74 65   amento del siste
0x00000170   6D 61 20 6F 70 65 72 61 74 69 76 6F 00 53 69 73   ma operativo.Sis
0x00000180   74 65 6D 61 20 6F 70 65 72 61 74 69 76 6F 20 6D   tema operativo m
0x00000190   61 6E 63 61 6E 74 65 00 00 00 00 00 00 00 00 00   ancante.........
0x000001A0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x000001B0   00 00 00 00 00 2C 50 7D 68 EC 68 EC 00 00 80 01   .....,P}hìhì....
0x000001C0   01 00 07 FE FF FF 3F 00 00 00 82 8A A1 12 00 00   ...þ..?.....¡...
0x000001D0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x000001E0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x000001F0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA   ..............Uª


[Uomo_Senza_Sonno]

Scarica la iso da qui
Una volta scaricata, segui le istruzioni dell'articolo per proseguire, e ricordati che per aggiornare l'antivirus hai bisogno di essere collegato ad internet con il cavo di rete (in questi dishi non vengono caricati i drivers delle schede wireless).
Utilizzare un rescue disk in questo caso ti aiuta a risolvere rapidamente in quanto a sistema operativo spento non ci saranno impedimenti per la rimozione di eventuali files infetti. Dal report di MbrScan si vede chiaramente che il mbr è infetto, prima fai una scansione con il rescue disk e poi procediamo alla rimozione del rootkit e al ripristino del mbr.

[pcdb]

Purtroppo non riesco a visualizzare la pagina internet (Internet Explorer: impossibile visualizzare la pagina Web)

[Uomo_Senza_Sonno]

Non capisco, non ti fa partire nemmeno il link diretto che ti ho postato? Per caso hai altri pc da cui scrivere e/o scaricare quanto ti occorre? E nel caso, hai anche un browser differente da IE da utilizzare?

[pcdb]

Clicco il link che hai postato ma non carica la pagina.

[mattpillon]

prova a scaricare la iso che ti serve con una live linux: scarica slax da questo link
http://www.slax.org/get_slax.php, prendi la versione per usb, sono circa 250 mb.
segui le istruzioni contenute in questa pagina per rendere la penna bootable (è in inglese ma in altro trovi il link it per averla tradotta in italiano).
una volta preparata la penna, imposta il boot da usb sul pc, e a quel punto potrai far girare un sistema pulito e non dovresti avere problemi a scaricare il rescue disk.

[pcdb]

Ho preparato la penna.
Come faccio a impostare il boot da USB sul PC?

[Uomo_Senza_Sonno]

Appena avvi il pc, devi accedere al BIOS, in genere premendo il tasto canc se si tratta di un pc fisso, o uno dei tasti funzione nel caso fosse un portatile. Ad ogni modo devi premere il tasto che ti viene indicato nella scritta press <tasto> to enter setup.

Una volta entrato nel BIOS, devi andare nella voce boot e seguendo le indicazioni nello schermo sposti l'ordine di boot (in questo caso metti al primo posto la voce USB).

[mattpillon]

aggiungo che spesso le motherboard hanno un tasto di scelta rapida per la selezione del dispositivo di boot, da premere appena avviato il pc.
può essere F8, F12, ESC, dipende dal modello.
la scelta vale per il singolo avvio e non viene memorizzata, cosi la volta successiva non devi rifare le modifiche.

[pcdb]

Ho fatto la scansione con Rescue disk ma non sono sicuro che sia stata eseguita correttamente anche perché la risoluzione dello schermo del programma era enorme e non riuscivo a scendere e a leggere tutto.

[Uomo_Senza_Sonno]

Sei riuscito a leggere se ha rilevato/rimosso qualcosa? Ad ogni modo, controlla se c'è un piccolo miglioramento sotto windows, così procediamo a rimuovere l'infezione dal disco. Con HxD, postami le immagini (almeno una risoluzione di 1024x768 con la finestra del programma a tutto schermo) dei seguenti settori: 62, 63, 312576704, 312576705 e 312581808; Poi ti spiegherò come fare per ripristinare tutto quanto in pochi passaggi.

[pcdb]

Scusa ma non ho ben capito. Adesso dovrei scaricare il programma HxD e cosa dovrei fare?

[pcdb]

Comunque di miglioramenti ci sono. Ho appena fatto una scansione con il Malwarebytes che ho sul mio pc è non ha trovato nessun file infetto mente ieri si.

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Versione database: v2012.01.13.04

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: NATALE-0D538E7E [amministratore]

24/03/2012 9.32.44
mbam-log-2012-03-24 (09-32-44).txt

Tipo di scansione: Scansione veloce
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 247180
Tempo impiegato: 3 minuti, 58 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 0
(non sono stati rilevati elementi nocivi)

(fine)

[Uomo_Senza_Sonno]

Ho appena fatto una scansione con il Malwarebytes che ho sul mio pc è non ha trovato nessun file infetto mente ieri si.

Direi che è una buona notizia ma fai la scansione completa per maggiore scrupolo, poi verifica se adesso riesci ad installare qualche antivirus senza problemi. Una volta scaricato HxD, lo installi, lo avvi e segui le indicazioni che ho riportato nel mio articolo, visualizzi i settori che ti ho indicato e me ne posti gli screenshot. Visto che è stato copiato in un altro settore il MBR sano, sovrascriveremo il settore 0 con il MBR sano, e poi azzereremo il resto dell'infezione in pochi passaggi. Se segui scrupolosamente e alla lettera le mie indicazioni, non ci saranno problemi (leggi bene la parte riguardante la pulizia dei settori infetti).