www.MegaLab.it

[peolex4]

per quanto riguarda bitdefender sono riuscito a caricare il file di aggiornamento e poi a scansionare,solo che non sono riuscito a esportare i log, che comunque dicevano di non aver trovato nulla eccetto uno molto lungo che ripeteva che non era stato possibile scansionare i file in questione.

invece ecco qui l'altro report di aswMBR ecco qui:

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-04-23 18:37:22
-----------------------------
18:37:22.268 OS Version: Windows x64 6.1.7601 Service Pack 1
18:37:22.268 Number of processors: 8 586 0x2A07
18:37:22.268 ComputerName: PC UserName:
18:37:22.986 Initialize success
18:37:33.782 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
18:37:33.798 Disk 0 Vendor: Hitachi_ JE4O Size: 715404MB BusType: 3
18:37:33.814 Disk 0 MBR read successfully
18:37:33.814 Disk 0 MBR scan
18:37:33.814 Disk 0 unknown MBR code
18:37:33.814 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 2048
18:37:33.829 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 277504 MB offset 206848
18:37:33.829 Disk 0 Partition - 00 0F Extended LBA 413566 MB offset 568535040
18:37:33.860 Disk 0 Partition 3 00 27 Hidden NTFS WinRE NTFS 24233 MB offset 1415518208
18:37:33.907 Disk 0 Partition 4 00 07 HPFS/NTFS NTFS 413565 MB offset 568537088
18:37:33.954 Disk 0 scanning C:\windows\system32\drivers
18:37:40.896 Service scanning
18:38:02.596 Modules scanning
18:38:02.611 Disk 0 trace - called modules:
18:38:02.643 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll
18:38:02.643 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8007740790]
18:38:02.643 3 CLASSPNP.SYS[fffff8800181743f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8007348050]
18:38:02.658 Scan finished successfully
18:38:19.397 Disk 0 MBR has been saved successfully to "C:\Users\Paolo\Desktop\MBR.dat"
18:38:19.397 The log file has been saved successfully to "C:\Users\Paolo\Desktop\aswMBR.txt"

[hashcat]

@Uomo_Senza_Sonno

Ecco il DUMP del settore 1463225824 che dall'immagine si vede con difficoltà.

@peolex4

Per quanto riguarda DrWeb non scansionare: non è necessario.

[peolex4]

scusate,questa dovrebbe essere migliore, scusami ma ora cosa dovrei farci con il dump di quel settore?..

[hashcat]

scusami ma ora cosa dovrei farci con il dump di quel settore?..

Nulla, era per Uomo_Senza_Sonno, ora che hai postato un'immagine più chiara non è più utile.

P.S.: Domani proseguiremo con la pulizia. Visto che le operazioni che dovrai fare saranno delicate, ti consiglio di fare preventivamente un backup completo del computer.

[peolex4]

perfetto ero gia preparato all'eventualità formattazione quindi ho salvato il necessario,aspetto le prossime istruzioni :)

[Uomo_Senza_Sonno]

La situazione è pià complicata del previsto, domani mi controllo nuovamente tutti gli screen postati e vedo di fare chiarezza. Prova a fare una nuova ricerca dal settore 1463325824 impostando stavolta avanti ed inserendo nel campo di ricerca il valore 55AA.

[peolex4]

ecco qui

[Uomo_Senza_Sonno]

Dovremo esserci stavolta... posta questi settori 1465162751 e 1465162752 per cortesia

[peolex4]

l'ultimo settore è il 1465149168, dove dovrei cercarli quelli da te indicati?

[GERONIMO*]

ciao
disabilita l'Antivirus
se hai ancora l'icona di combofix sul desktop

crea un nuovo documento di testo sul desktop
e chiamalo CFScript.txt
copia\incolla il codice che vedi sotto,lo Salvi
e trascinalo sull'icona di ComboFix.
partirà la scansione attendi la fine senza toccare niente,sul pc
se chiede il riavvio del pc riavvia
Posta il log aggiornato di combofix

Codice: Seleziona tutto

KillAll::

Driver::
PowerOffer Service
ServUpdater

File::
c:\users\Paolo\AppData\Local\PosService\Pos.exe
c:\users\Paolo\AppData\Local\ServUpdater\ServiceUpd.exe
c:\program files (x86)\facemoods.com\facemoods\1.4.17.11\facemoodssrv.exe

Folder::
c:\program files (x86)\facemoods.com
c:\users\Paolo\AppData\Local\PosService
c:\users\Paolo\AppData\Local\ServUpdater

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"facemoods"=-

DDS:
uStart Page = hxxp://search.babylon.com/?AF=109989&babsrc=HP_ss&mntrId=9406dfc0000000000000dca971418de1
mStart Page = hxxp://search.findeer.com
TCP: Interfaces\{15069DBC-44D7-4FA8-9252-A089DA70883D}: NameServer = 176.31.229.24,176.31.229.25

Firefox::
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2851640&SearchSource=2&q=
FF - prefs.js: network.proxy.type - 0
FF - user.js: extensions.funmoods_i.hmpg - true
FF - user.js: extensions.funmoods_i.hmpgUrl - hxxp://start.funmoods.com/?f=1&a=grupo
FF - user.js: extensions.funmoods_i.dfltSrch - true
FF - user.js: extensions.funmoods_i.srchPrvdr - Search
FF - user.js: extensions.funmoods_i.dnsErr - true
FF - user.js: extensions.funmoods_i.newTab - true
FF - user.js: extensions.funmoods_i.newTabUrl - hxxp://start.funmoods.com/?f=2&a=grupo
FF - user.js: extensions.funmoods_i.tlbrSrchUrl - hxxp://start.funmoods.com/results.php?f=3&a=grupo&q=
FF - user.js: extensions.funmoods_i.id - 9406dfc0000000000000dca971418de1
FF - user.js: extensions.funmoods_i.instlDay - 15411
FF - user.js: extensions.funmoods_i.vrsn - 1.5.11.16
FF - user.js: extensions.funmoods_i.vrsni - 1.5.11.16
FF - user.js: extensions.funmoods_i.vrsnTs - 1.5.11.1618:44
FF - user.js: extensions.funmoods_i.prtnrId - funmoods
FF - user.js: extensions.funmoods_i.prdct - funmoods
FF - user.js: extensions.funmoods_i.aflt - grupo
FF - user.js: extensions.funmoods_i.smplGrp - none
FF - user.js: extensions.funmoods_i.tlbrId - base
FF - user.js: extensions.funmoods_i.instlRef -
FF - user.js: extensions.funmoods_i.dfltLng -
FF - user.js: extensions.funmoods_i.excTlbr - false
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=109989
FF - user.js: extensions.BabylonToolbar_i.babExt -
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
FF - user.js: extensions.BabylonToolbar_i.id - 9406dfc0000000000000dca971418de1
FF - user.js: extensions.BabylonToolbar_i.hardId - 9406dfc0000000000000dca971418de1
FF - user.js: extensions.BabylonToolbar_i.instlDay - 15418
FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.171:25
FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar_i.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar_i.tlbrId - tb9
FF - user.js: extensions.BabylonToolbar_i.instlRef - sst

[Uomo_Senza_Sonno]

Scusami per prima, ti ho indicato settori che non sono presenti nel tuo disco.. ho rifatto i calcoli nuovamente e mi conferma sempre i settori già postati... ad ogni modo, posta anche il settore 1415518208 e già che ci siamo, il settore 1416345338

@Hashcat Grazie lo stesso per il dump

[peolex4]

ecco qui i settori richiesti :

[Uomo_Senza_Sonno]

Ancora nulla... postami il settore 1416345337, ed esegui una ricerca da questo settore in avanti inserendo il valore Uª nel campo di ricerca. Questo valore rappresenta le signature della partizione, quindi da qui dovremo trovare il settore che ci interessa.

[peolex4]

perfetto ecco qui:

[Uomo_Senza_Sonno]

Proviamo ancora... portati al settore 1465147392 e fai la ricerca indietro inserendo stavolta il valore ëR.NTFS (fai copia/incolla per prendere esattamente questo valore)

[peolex4]

sono 5 ore che sta cercando e ne sono previste altre 6...appena finisce posto

[Uomo_Senza_Sonno]

Se non ci sono frutti, fai un nuovo tentativo portandoti sempre al settore 1465147392 ed inserisci nuovamente il valore Uª per la ricerca (imposta sempre indietro)

[GERONIMO*]

scusate,non voglio essere scortese,assolutamente,ci mancherebbe
solo per curiosità
ma cosa c'entra tutto sto casino con il problema di peolex4?
poi sempre per curiosità peolex4,come và il pc?
che problemi riscontra ancora il pc?
perché non hai seguito lo script che ti ho creato per combofix,magari risolvi il problema

[Uomo_Senza_Sonno]

ma cosa c'entra tutto sto casino con il problema di peolex4?

A seguito delle analisi effettuate è emerso che c'è stata una modifica al MBR, per cui al fine di stanare eventuali infezioni stiamo cercando gli estremi di partizione, che normalmente si leggono nella tabella di partizione, ma stranamente il secondo estremo non si trova dove dovrebbe. Ecco perché stiamo facendo alcuni tentativi.

[GERONIMO*]

si ma se non rimuove prima tutte le altre infezioni che ha trovato combofix,più inerenti al suo problema
non credo si tratti di bootkit o di rootkit nel MBR ,nel suo caso
è comunque ci sono tools per verificare,molto più veloci è migliori,per vedere se c'è un rottkit nel MBR