www.MegaLab.it

[speggio91]

@ geronimo

il gioco che avevi era craccato?

no. quel trojan che hitman pro ha rilevato è un trainer, un programma che genera cheats, e l'ho usato tanti anni fa per svago...

@VincenzoGTa

allora come bisogna procedere? Dove possono essere annidate ancora infezioni nel filesystem?

[VincenzoGTA]

Prova BitDefender Rescue CD

Se vuoi risparmiare i cd, puoi usare UNetbootin
per caricare la iso su chiavetta usb...

[Uomo_Senza_Sonno]

ecco il settore 0, spero di non aver sbagliato..

Posta le schermate dei settori:

2047
2048

120102911
120102912

Oltre ai settori che hai già postato, carica anche il settore 120103200 (l'ultimo del disco), servirà per ottenere gli offset prima di procedere con l'azzeramento.

Dalle schermate si vede che c'è un probabile rootkit "dormiente" all'esterno del file system...
Il settore 2047 dovrebbe essere vuoto ed invece è scritto..

Nel settore 2047, come già sottolineato da Vincenzo, c'è qualche traccia di codice per cui non appena hai postato il settore che ti ho chiesto, ti darò gli offset da inserire per la selezione del blocco di settori da azzerare. Nel settore 2047 troviamo la parte finale del codice di installazione del rootkit, la causa delle nuove infezioni è imputabile a questa presenza.
Per una maggiore sicurezza, andremo ad azzerare i settori che probabilmente saranno già vuoti dal secondo estremo di partizione fino alla fine del disco, così da escludere ogni possibilità di manifestarsi nuovamente il problema.

allora come bisogna procedere? Dove possono essere annidate ancora infezioni nel filesystem?

Il procedimento è il seguente, le infezioni di questo tipo non si annidano all'interno del filesystem perché un qualsiasi antivirus riuscirebbe a rimuoverlo senza problemi. Fuori dal filesystem, qualche antivirus lo rileva ma non lo rimuove, in quanto opera all'interno del filesystem (come tutti i programmi presenti in un SO, compreso quest'ultimo).

[speggio91]

@uomo_senza_sonno

ecco qui l'ultimo settore

intanto faccio una scansione con il rescue disk di bitdefender e magari domani procediamo con la cura dei settori.. grazie mille intanto a tutti

[Uomo_Senza_Sonno]

Benissimo, riprendiamo da qui
Segui passo passo le indicazioni presenti in questa parte della guida, ed inserisci i seguenti offset:

per quanto riguarda i settori iniziali (1-2047 estremi inclusi), inserisci nel campo inizio il valore 200, nel campo fine il valore FFFFF;
per quanto riguarda i settori finali (120102912-120103200 estremi inclusi), inserisci nel campo inizio il valore E51400000, nel campo fine il valore E51423FFF;

una volta terminato tutto quanto, riavvia il pc

[speggio91]

Bene.. Ho appena seguito la guida alla lettera facendo le adeguate operazioni da te proposte ed è tutto filato liscio.. ora ho riavviato e ho notato subito un netto miglioramento del tempo di avvio di windows ma devo ancora verificare se il problema del reindirizzamento è totalmente scomparso... purtroppo il problema di windows update persiste ancora.. e poi adesso all'avvio mi appaiono i seguenti messaggi d'errore:

ah domanda: devo per caso ripristinare il MBR e settore 0, seguendo la seconda parte della guida o è a posto così?

[Uomo_Senza_Sonno]

No, nel tuo caso il MBR è sano, anche perché è stato ripristinato dopo aver utilizzato i tools per la rimozione di ZeroAccess
Sembra sia danneggiato l'antivirus, una nuova reinstallazione dovrebbe risolvere il problema, in più disabilita i seguenti servizi da msconfig

Codice: Seleziona tutto

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Programmi\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Programmi\File comuni\Steam\SteamService.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Programmi\Yahoo!\SoftwareUpdate\YahooAUService.exe
O23 - Service: YJVUZMS - Sysinternals - www.sysinternals.com - C:\DOCUME~1\Tommy\IMPOST~1\Temp\YJVUZMS.exe

Guadagnerai una maggiore reattività in avvio

[speggio91]

Grazie per le dritte... Però c'è qualcosa di strano.. prima sbirciando tra i servizi del sistema (services.msc) ho notato 3 servizi anomali disabilitati dei quali ti posto uno screen.. di cosa si può trattare?

[Uomo_Senza_Sonno]

Sono servizi di windows, ma puoi lasciarli così come sono

[speggio91]

Sono servizi di windows, ma puoi lasciarli così come sono

ok ho capito, ma fino a qualche giorno fa non c'erano.. saranno residui di qualcosa? comunque per sicurezza li lascio disabilitati, anche perché andandoli a cercare su system32, non li trovo..

Comunque il problema dei reindirizzamento per ora è stato debellato

L'unico neo che rimane è quel maledetto errore di windows update, che a quanto pare è disabilitato.. e non posso nemmeno aggiornare windows..

[Uomo_Senza_Sonno]

Per windows update prova il comando sfc /scannow con il cd di windows inserito

[speggio91]

Per windows update prova il comando sfc /scannow con il cd di windows inserito

Fatto.. ma non ha risolto..

[Al3x]

E' una misura drastica ma in un caso simile al tuo ho risolto riapplicando il SP3 e WU è tornato a funzionare.
Usalo come piano B

[speggio91]

E' una misura drastica ma in un caso simile al tuo ho risolto riapplicando il SP3 e WU è tornato a funzionare.
Usalo come piano B

Vabè visto che non vedo altre alternative possibili proverò a fare anche questo.. d'altronde basta scaricare il sp3 e installarlo di nuovo no?

[GERONIMO*]

per windows update prova così

prova col Fix della Microsoft
http://go.microsoft.com/?linkid=9665683
salvalo sul desktop
lancia il tool con doppio click
dispone di 2 opzioni Predefinita e Aggressiva
scegli Predefinita segui le indicazioni
alla fine Riavvia il pc
vedi se funziona windows update

se non risolvi
lo rilanci e scegli
Aggressiva segui le indicazioni
alla fine Riavvia il pc

[speggio91]

per windows update prova così

allora ho fatto partire il tool dal desktop, e sia in modalità predefinita e in aggressiva si blocca a questo punto:

strano, perché io sono l'unico utente e amministratore del mio pc..anche se clicco su riprova il messaggio ricompare e l'unica cosa da fare è annullare

Allora sono andato su services.msc e ho provato ad avviare il servizio "aggiornamenti automatici" che era chiuso, ed ecco il risultato:

il problema di tutto risiede in quel benedetto servizio che non si vuole avviare...

[GERONIMO*]

Apri il prompt di comandi e copia\incolla i seguenti comandi.
Ad ogni riga di comando dai INVIO sulla tastiera
net.exe stop wuauserv
regsvr32 wuapi.dll
regsvr32 wuaueng.dll
regsvr32 wuaueng1.dll
regsvr32 wucltui.dll
regsvr32 wups.dll
regsvr32 wups2.dll
regsvr32 wuweb.dll
regsvr32 MSXML3.dll
net.exe start wuauserv

E’ possibile che alcuni comandi da degli errori,ignora gli errori e Procedi comunque inserendo tutti i comandi
Alla fine dei comandi dovresti ricevere il messaggio
Avvio del servizio Windows Update riuscito
esci dal prompt
RIAVVIA IL PC

[speggio91]

ho seguito la tua procedura, e al primo e ultimo comando mi ha dato un'errore, e alla fine non è venuto fuori il messaggio relativo al positivo avviamento di windows update..ti posto uno screen della procedura

[GERONIMO*]

prova a riavviare il pc
vedi se si e attivato windows update

[Al3x]

Vedo che hai errori legati alle permissions, se non risolvi prova a creare un nuovo utente che sia amministratore e con quello ripetere le operazioni di registrazione delle dll di windows update