Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

HD danneggiato e pieno di virus non fa il boot

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

HD danneggiato e pieno di virus non fa il boot

Messaggioda Robby78 » mer set 05, 2007 11:01 am

Il pc di un cliente è incasinato di brutto.

Sintomi:
all'avvio, parte XP Professional, arriva alla schermata nera con la bandiera, poi il PC si riavvia. Questo in qualsiasi modalità io provi ad avviarlo.

Prove fatte:
    Col MegaLab CD ho eseguito uno scandisk, il quale ha corretto numerosi errori sul disco, ma la situazione non è migliorata

    Ho collegato l'HD (serial ata) al mio tramite un adattatore esterno ed ho fatto un controllo completo con Antivir (il quale ha eliminato una 70ina di files infetti, e non è riuscito a rimuovere una dll (Windows\System32\system32:lzx32.sys) che però non vedo facendo il browse

    Ho fatto una scansione con a2squared free che non ha rilevato nulla

    Ho fatto una scansione rootkit con gmer della quale posto il log

    Non posso fare scansioni di autostart o di hijackthis in quanto il sistema non parte. Oltretutto ora dispongo solo del disco, quindi non potrei in ogni caso fare il boot
Povera patria! Schiacciata dagli abusi del potere di gente infame, che non sa cos'è il pudore - Franco Battiato
ricordati di pensare! - mia mamma
Avatar utente
Robby78
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3829
Iscritto il: gio gen 08, 2004 5:25 pm
Località: Emilia Romagna

Messaggioda Amantide » mer set 05, 2007 11:56 am

Il file lzx32.sys indica la presenza di rootkit Rustock e di solito si rimuove con questo tool, Rustbfix, però visto che il disco da scansionare non è quello di boot, non so se sarà efficace.
Altri 2 programmi che ti consiglierei di usare sono Panda Anti-rootkit e Virit.

Nel log l'unica cosa sospetta che vedo è questo file System32\Drivers\atzy1nde.SYS, che sarebbe da controllare su virustotal. Ah, il log mi sembra incompleto, prova a comprimere il file di testo ed allegarlo come un allegato.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Robby78 » mer set 05, 2007 12:38 pm

Amantide ha scritto:Il file lzx32.sys indica la presenza di rootkit Rustock e di solito si rimuove con questo tool, Rustbfix, però visto che il disco da scansionare non è quello di boot, non so se sarà efficace.
Altri 2 programmi che ti consiglierei di usare sono Panda Anti-rootkit e Virit.

Nel log l'unica cosa sospetta che vedo è questo file System32\Drivers\atzy1nde.SYS, che sarebbe da controllare su virustotal. Ah, il log mi sembra incompleto, prova a comprimere il file di testo ed allegarlo come un allegato.


farò come hai detto.
hai ragione, il log è incompreto; ho allegato il file.
il file System32\Drivers\atzy1nde.SYS in realtà non c'è (o forse non è visibile) in buona sostanza non lo trovo.

grazie, sei sempre molto gentile.
Povera patria! Schiacciata dagli abusi del potere di gente infame, che non sa cos'è il pudore - Franco Battiato
ricordati di pensare! - mia mamma
Avatar utente
Robby78
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3829
Iscritto il: gio gen 08, 2004 5:25 pm
Località: Emilia Romagna


Messaggioda Robby78 » mer set 05, 2007 12:43 pm

Purtroppo l'anti rootkit non trova nulla (probabilmente perché non è il disco di boot); ma se il disco non parte, come faccio ad eliminare i problemi?
Povera patria! Schiacciata dagli abusi del potere di gente infame, che non sa cos'è il pudore - Franco Battiato
ricordati di pensare! - mia mamma
Avatar utente
Robby78
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3829
Iscritto il: gio gen 08, 2004 5:25 pm
Località: Emilia Romagna

Messaggioda Amantide » mer set 05, 2007 12:44 pm

Fai anche un altra cosa. Avvia Hijackthis, vai su Open the Misc Tools section--> Open ADS Spy..., deseleziona Quick scan e premi Scan. A scansione terminata seleziona questa voce e clicca su Remove selected:
ADS H:\WINDOWS\system32:lzx32.sys


P.S. Pulisco il tuo primo post, così facciamo il riferimento al log di Gmer nell'allegato.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Amantide » mer set 05, 2007 12:44 pm

Robby78 ha scritto:Purtroppo l'anti rootkit non trova nulla (probabilmente perché non è il disco di boot); ma se il disco non parte, come faccio ad eliminare i problemi?

Hai già provato con Virit?
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Robby78 » mer set 05, 2007 12:58 pm

Amantide ha scritto:Fai anche un altra cosa. Avvia Hijackthis, vai su Open the Misc Tools section--> Open ADS Spy..., deseleziona Quick scan e premi Scan. A scansione terminata seleziona questa voce e clicca su Remove selected:
ADS H:\WINDOWS\system32:lzx32.sys


P.S. Pulisco il tuo primo post, così facciamo il riferimento al log di Gmer nell'allegato.


ok, fai pure

non ho trovato niente con hijackthis sul disco H incriminato.
Ho trovato però un po' di voci relative ai miei bookmark (favicon). Cosa sono? sono da togliere?

Adesso sto facendo la scansione con virit
Povera patria! Schiacciata dagli abusi del potere di gente infame, che non sa cos'è il pudore - Franco Battiato
ricordati di pensare! - mia mamma
Avatar utente
Robby78
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3829
Iscritto il: gio gen 08, 2004 5:25 pm
Località: Emilia Romagna

Messaggioda Amantide » mer set 05, 2007 1:02 pm

Robby78 ha scritto:non ho trovato niente con hijackthis sul disco H incriminato.

Proviamo a prenderlo allora in altro modo [:)] , se Virit non riuscirà a rimuoverlo, allora prova a dare in pasto ad Avenger questo script:

Files to delete:
H:\WINDOWS\system32\lzx32.sys


Ho trovato però un po' di voci relative ai miei bookmark (favicon). Cosa sono? sono da togliere?

Questi dovrebbero essere buoni.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Robby78 » mer set 05, 2007 1:19 pm

virit mi dice che non riesce ad aprire il file H:\WINDOWS\system32\winlogon.exe Infetto da Trojan.Win32.Agent.AST e mi chiede se metterlo in quarantena.. .cosa gli dico?

P.S. gli ho detto di si e non è riuscito a spostarlo, così l'ho sostituito con una copia pulita presa da un altro pc.
Povera patria! Schiacciata dagli abusi del potere di gente infame, che non sa cos'è il pudore - Franco Battiato
ricordati di pensare! - mia mamma
Avatar utente
Robby78
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3829
Iscritto il: gio gen 08, 2004 5:25 pm
Località: Emilia Romagna

Messaggioda Amantide » mer set 05, 2007 1:29 pm

Robby78 ha scritto:P.S. gli ho detto di si e non è riuscito a spostarlo, così l'ho sostituito con una copia pulita presa da un altro pc.

Ecco, bravo... ti sei risposto da solo, era la miglior cosa da fare [8D]
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Robby78 » mer set 05, 2007 1:58 pm

Amantide ha scritto:
Robby78 ha scritto:non ho trovato niente con hijackthis sul disco H incriminato.

Proviamo a prenderlo allora in altro modo [:)] , se Virit non riuscirà a rimuoverlo, allora prova a dare in pasto ad Avenger questo script:

Files to delete:
H:\WINDOWS\system32\lzx32.sys


neanche lui lo trova...

forse avendo cambiato il winlogon ora parte.. così faccio i vari controlli "live"
Povera patria! Schiacciata dagli abusi del potere di gente infame, che non sa cos'è il pudore - Franco Battiato
ricordati di pensare! - mia mamma
Avatar utente
Robby78
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3829
Iscritto il: gio gen 08, 2004 5:25 pm
Località: Emilia Romagna

Messaggioda Amantide » mer set 05, 2007 2:01 pm

Robby78 ha scritto:forse avendo cambiato il winlogon ora parte.. così faccio i vari controlli "live"

Lo penso anche io. Se così fosse, come il primo rimedio usa Rustbfix.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Robby78 » mer set 05, 2007 2:03 pm

Amantide ha scritto:
Robby78 ha scritto:forse avendo cambiato il winlogon ora parte.. così faccio i vari controlli "live"

Lo penso anche io. Se così fosse, come il primo rimedio usa Rustbfix.

ok, ti farò sapere come va a finire. Grazie ancora.
Povera patria! Schiacciata dagli abusi del potere di gente infame, che non sa cos'è il pudore - Franco Battiato
ricordati di pensare! - mia mamma
Avatar utente
Robby78
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3829
Iscritto il: gio gen 08, 2004 5:25 pm
Località: Emilia Romagna

Messaggioda Robby78 » sab set 08, 2007 11:25 am

il pc è partito, ho recuperato i dati.. e si è fatta notte.

Credo che il pc sia ancora zeppo di schifezze, l'HD poi sta andando in vacca, quindi suggerirò al tizio di comprarsi un HD nuovo e di buttare il vecchio nel tritarifiuti. Non mi ci metto neanche a disinfestarlo, visto che è anche danneggiato. Al limite lo formatto a basso livello.
Povera patria! Schiacciata dagli abusi del potere di gente infame, che non sa cos'è il pudore - Franco Battiato
ricordati di pensare! - mia mamma
Avatar utente
Robby78
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3829
Iscritto il: gio gen 08, 2004 5:25 pm
Località: Emilia Romagna

Messaggioda Amantide » lun set 10, 2007 12:42 pm

Robby78 ha scritto:Al limite lo formatto a basso livello.

Se hd è danneggiato, tanto vale buttarlo direttamente, perché formattazione a basso livello o meno... prima o poi ti abbandonerà lo stesso, e di solito accade prima e non poi [:p]
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Robby78 » lun set 10, 2007 12:52 pm

si, sono pienamente d'accordo con te. Però so per esperienza che i clienti non si spaventano molto con questi argomenti... prima vogliono perdere tutti i dati, poi al massimo corrono ai ripari.

Fortunatamente questo ha fatto eccezione, e si è comprato direttamente un pc portatile nuovo.
Povera patria! Schiacciata dagli abusi del potere di gente infame, che non sa cos'è il pudore - Franco Battiato
ricordati di pensare! - mia mamma
Avatar utente
Robby78
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3829
Iscritto il: gio gen 08, 2004 5:25 pm
Località: Emilia Romagna

Messaggioda Amantide » lun set 10, 2007 12:58 pm

Robby78 ha scritto:Fortunatamente questo ha fatto eccezione, e si è comprato direttamente un pc portatile nuovo.

Ha voluto esagerare [:D]
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising