Virus invisibile ed introvabile! chiedo aiuto

Philo · 07-10-2008, 23.36.34

aiutatemi perfavore, sul mio vista credo di aver preso 1virus perchè non posso + aprire firefox, internet explorer è manomesso(impostazioni insicure, aggiorna all'infinito le pagine, ecc..)inoltre mi ha incasinato i privilegi di amministratore, e mi ha disattivato windows aereo, non mi fa installare programmi, mi interrompe lo strumento di rimozionemalware, insomma mi ha fatto 1macello...
ho fatto 1 scansione con l'AVG 8.0 internet security, ma niente, non trova niente, allora dalla partizione del win xp, ho avvaito 1scansione sulla partizione di vista(quella infetta) con:
-il tool della kaspersky: non trova niente;
-l'anti rootkit del mio AVG 8.0 I.S.: niente;
-hijack this: trovati 4problemi sul settore 015(internet), ma non so cm levarli.
ora, mi sarebbe utile scoprire il nome di questo bastar*o, cosi forse trovo la patch per eliminarlo, ma se non lo trova nessuno, e se sopratutto non mi fa installare niente...
aiutatemi perfavore...

cascavel · 07-10-2008, 23.48.19

allega il log di hijackthis in formato .TXT eseguito con questa versione http://www.trendsecure.com/portal/en...HiJackThis.exe

Philo · 07-10-2008, 23.54.21

ok, appena posso lo faccio...(spero che non me lo blocchi quel maledetto)

Philo · 08-10-2008, 00.08.08

Questo è il log che avevo fatto con la versione installata di hijcak this, l'altro ieri (settore 015 come dicevo):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.37.05, on 05/10/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Philo · 08-10-2008, 00.23.30

queste sono le maledette 015:
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone

cascavel · 08-10-2008, 00.36.19

ripeti hijackthis, sleziona la voce do a systemscan only, aggiungi la spunta accanto a queste voci :

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone

e premi FIX CHECKED

Scarica ed esegui Lop S&D.exe
http://eric.71.mespages.googlepages.com/LopSD.exe
- doppio click su Lop S&D presente sul tuo desktop
- scegli la lingua e seleziona 1 (ricerca)
- attendi che termini la scansione......
- allega il log (C:\lopR.txt) insieme ad un altro log di hijackthis eseguito dopo Lop S&D

p.s. il tool Lop S&D e' stand alone e di solito e' usato per altri scopi, in questo caso ti chiedo di eseguirlo per verificare delle cose...

Philo · 08-10-2008, 00.43.16

ok, farò come dici...non credo di farcela per sta notte...forse domani, perchè adesso sto usando la pasrtizione con XP...
grazie 1000 per l'aiuto che mi stai dando

cascavel · 08-10-2008, 00.52.29

e' molto rapido come lavoro, fallo comunque con calma quando ritieni opportuno, ciao

Philo · 08-10-2008, 16.02.21

acc. non posso aprire nessun eseguibile, nemmeno i programmi installatai, non posso aprire i .bat, il cmd da esegui, il regedit, usare 1qualsiasi browser, non posso fare niente!!
aiutatemi, cosa faccio???

Philo · 08-10-2008, 16.08.59

l'errore che compare è:
impossibile aprire dispositivo, percorso o file. privilegi insufficienti."
secondo me è colpa del account di amministratore completo in vista che ho creato via prompt, ma adesso ho eliminato l'account

Philo · 08-10-2008, 16.48.12

Quota:

Inviato da cascavel

Scarica ed esegui Lop S&D.exe

si può usare Lop S&D.exe e hijack this dalla partizione H dove non sono infetto??

cascavel · 08-10-2008, 17.01.46

lascia perdere Lop S&D per ora usa questo http://www.pcalsicuro.com/main/guida-a-gmer/ nella pagina c'e' il download e la spiegazione...

Philo · 08-10-2008, 17.14.15

ascolta g-mer l'avevo provato quando ancora potevo aprire gli eseguibili, ma ad un certo punto mi è comparsa una schermata blu di errore che diceva che c'èra 1errore con g-mer, e che per proteggere il pc si era spento...
..adesso riprovo ad usare g-mer dalla partizione non infettata

P.S: come non detto, la schermata blu è un errore difffuso, appena letto

Philo · 09-10-2008, 22.32.54

ho creato 1nuovo account amministratore con la password in cui posso fare quello che voglio, ho fatto scansione cn hijackthis ma non ha il settore 015, e sembra pulito, adesso provo lo strumento di rimozione malware

Philo · 10-10-2008, 00.03.34

ragazzi forse ce l'ho fatta:
0)ho scollegato il cavo di internet, per essere sicuro che nessun comando remoto avvenisse;
1) ho creato 1nuovo account amministratore (con la password molto complessa) in cui potevo fare tutto;
2) appena aperto questo account per la 1volta, ho salvato il log.txt di hijackthis e l'ho analizzato su un'altro pc;
3)siccome mi si era crashato perchè mi ero dimenticato di reimpostare il bios in raid e non ide, sono rientrato su questo account, in cui ho fatto 1altro log con hijack-this e l'ho confrontato con quello precedente: ta-da! sbuca 1certo processo: mrtstub.exe sul percorso C:\5d10[stringa alfanumerica tipo quelle delle chiavi di registro]\mrtstub.exe, e nello stesso percorso vi era anche mrt(forse simile a quello originale del system32 che serve a rimuovere i malware, anch'esso mrt), poi ho visto che erano 2/3 i percorsi (tutti vicini) ad avere mrtstub.exe,ho cercato su internet e ho trovato vari siti che dicevano che è 1malware non classificato che ne scarica degli altri, allora le ho cancellate tutte;
4)sono andato nel registro di sistema, ho fatto ctrl + F per cercare se c'èra qualcosa che si riferisse a mrtstub, ed ho trovato 2chiavi (1mrt, e l'altra mrtstub)su shell/ms0cache che forse erano i responsabili.
5)senza averlo spento, ho provato ad avviare lo strumento di rimozione malware ma lo stesso errore di prima

, secondo me perchè il mrt del system32 è corrotto, adesso vedrò

ora controllerò il pc per vedere se continua a comportarsi in modo strano, casomai ve lo faccio sapere, e comunque grazie tante per l'aiuto!

07-10-2008, 23.36.34	#1
Philo Junior Member Registrato: 23-01-2008 Messaggi: 110	[risolto] Virus invisibile ed introvabile! [mrtstub.exe] aiutatemi perfavore, sul mio vista credo di aver preso 1virus perchè non posso + aprire firefox, internet explorer è manomesso(impostazioni insicure, aggiorna all'infinito le pagine, ecc..)inoltre mi ha incasinato i privilegi di amministratore, e mi ha disattivato windows aereo, non mi fa installare programmi, mi interrompe lo strumento di rimozionemalware, insomma mi ha fatto 1macello... ho fatto 1 scansione con l'AVG 8.0 internet security, ma niente, non trova niente, allora dalla partizione del win xp, ho avvaito 1scansione sulla partizione di vista(quella infetta) con: -il tool della kaspersky: non trova niente; -l'anti rootkit del mio AVG 8.0 I.S.: niente; -hijack this: trovati 4problemi sul settore 015(internet), ma non so cm levarli. ora, mi sarebbe utile scoprire il nome di questo bastaro, cosi forse trovo la patch per eliminarlo, ma se non lo trova nessuno, e se sopratutto non mi fa installare niente... aiutatemi perfavore... Ultima modifica di Philo : 12-10-2008 alle ore 17.41.49*

07-10-2008, 23.48.19	#2
cascavel Senior Member Registrato: 21-07-2008 Loc.: Milano Messaggi: 422	allega il log di hijackthis in formato .TXT eseguito con questa versione http://www.trendsecure.com/portal/en...HiJackThis.exe ___________________________________ William Blake. "The Great Red Dragon and the woman dressed with the sun"

08-10-2008, 00.36.19	#6
cascavel Senior Member Registrato: 21-07-2008 Loc.: Milano Messaggi: 422	ripeti hijackthis, sleziona la voce do a systemscan only, aggiungi la spunta accanto a queste voci : O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone e premi FIX CHECKED Scarica ed esegui Lop S&D.exe http://eric.71.mespages.googlepages.com/LopSD.exe - doppio click su Lop S&D presente sul tuo desktop - scegli la lingua e seleziona 1 (ricerca) - attendi che termini la scansione...... - allega il log (C:\lopR.txt) insieme ad un altro log di hijackthis eseguito dopo Lop S&D p.s. il tool Lop S&D e' stand alone e di solito e' usato per altri scopi, in questo caso ti chiedo di eseguirlo per verificare delle cose... ___________________________________ William Blake. "The Great Red Dragon and the woman dressed with the sun"

08-10-2008, 00.52.29	#8
cascavel Senior Member Registrato: 21-07-2008 Loc.: Milano Messaggi: 422	e' molto rapido come lavoro, fallo comunque con calma quando ritieni opportuno, ciao ___________________________________ William Blake. "The Great Red Dragon and the woman dressed with the sun"

08-10-2008, 17.01.46	#12
cascavel Senior Member Registrato: 21-07-2008 Loc.: Milano Messaggi: 422	lascia perdere Lop S&D per ora usa questo http://www.pcalsicuro.com/main/guida-a-gmer/ nella pagina c'e' il download e la spiegazione... ___________________________________ William Blake. "The Great Red Dragon and the woman dressed with the sun"

07-10-2008, 23.54.21	#3
Philo Junior Member Registrato: 23-01-2008 Messaggi: 110	ok, appena posso lo faccio...(spero che non me lo blocchi quel maledetto)

08-10-2008, 00.23.30	#5
Philo Junior Member Registrato: 23-01-2008 Messaggi: 110	queste sono le maledette 015: O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone

08-10-2008, 00.43.16	#7
Philo Junior Member Registrato: 23-01-2008 Messaggi: 110	ok, farò come dici...non credo di farcela per sta notte...forse domani, perchè adesso sto usando la pasrtizione con XP... grazie 1000 per l'aiuto che mi stai dando

08-10-2008, 16.02.21	#9
Philo Junior Member Registrato: 23-01-2008 Messaggi: 110	acc. non posso aprire nessun eseguibile, nemmeno i programmi installatai, non posso aprire i .bat, il cmd da esegui, il regedit, usare 1qualsiasi browser, non posso fare niente!! aiutatemi, cosa faccio???

08-10-2008, 16.08.59	#10
Philo Junior Member Registrato: 23-01-2008 Messaggi: 110	l'errore che compare è: impossibile aprire dispositivo, percorso o file. privilegi insufficienti." secondo me è colpa del account di amministratore completo in vista che ho creato via prompt, ma adesso ho eliminato l'account

08-10-2008, 17.14.15	#13
Philo Junior Member Registrato: 23-01-2008 Messaggi: 110	ascolta g-mer l'avevo provato quando ancora potevo aprire gli eseguibili, ma ad un certo punto mi è comparsa una schermata blu di errore che diceva che c'èra 1errore con g-mer, e che per proteggere il pc si era spento... ..adesso riprovo ad usare g-mer dalla partizione non infettata P.S: come non detto, la schermata blu è un errore difffuso, appena letto

09-10-2008, 22.32.54	#14
Philo Junior Member Registrato: 23-01-2008 Messaggi: 110	ho creato 1nuovo account amministratore con la password in cui posso fare quello che voglio, ho fatto scansione cn hijackthis ma non ha il settore 015, e sembra pulito, adesso provo lo strumento di rimozione malware Ultima modifica di Philo : 09-10-2008 alle ore 22.36.08

10-10-2008, 00.03.34	#15
Philo Junior Member Registrato: 23-01-2008 Messaggi: 110	ragazzi forse ce l'ho fatta: 0)ho scollegato il cavo di internet, per essere sicuro che nessun comando remoto avvenisse; 1) ho creato 1nuovo account amministratore (con la password molto complessa) in cui potevo fare tutto; 2) appena aperto questo account per la 1volta, ho salvato il log.txt di hijackthis e l'ho analizzato su un'altro pc; 3)siccome mi si era crashato perchè mi ero dimenticato di reimpostare il bios in raid e non ide, sono rientrato su questo account, in cui ho fatto 1altro log con hijack-this e l'ho confrontato con quello precedente: ta-da! sbuca 1certo processo: mrtstub.exe sul percorso C:\5d10[stringa alfanumerica tipo quelle delle chiavi di registro]\mrtstub.exe, e nello stesso percorso vi era anche mrt(forse simile a quello originale del system32 che serve a rimuovere i malware, anch'esso mrt), poi ho visto che erano 2/3 i percorsi (tutti vicini) ad avere mrtstub.exe,ho cercato su internet e ho trovato vari siti che dicevano che è 1malware non classificato che ne scarica degli altri, allora le ho cancellate tutte; 4)sono andato nel registro di sistema, ho fatto ctrl + F per cercare se c'èra qualcosa che si riferisse a mrtstub, ed ho trovato 2chiavi (1mrt, e l'altra mrtstub)su shell/ms0cache che forse erano i responsabili. 5)senza averlo spento, ho provato ad avviare lo strumento di rimozione malware ma lo stesso errore di prima , secondo me perchè il mrt del system32 è corrotto, adesso vedrò ora controllerò il pc per vedere se continua a comportarsi in modo strano, casomai ve lo faccio sapere, e comunque grazie tante per l'aiuto! Ultima modifica di Philo : 10-10-2008 alle ore 00.11.46

Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)

Discussioni simili
Discussione	Autore discussione	Forum	Risposte	Ultimo messaggio
Virus introvabile	elena.gioia	Sicurezza&Privacy	11	12-05-2007 16.24.19
aiuto virus?	codaci	Sicurezza&Privacy	17	18-01-2007 14.34.51
CCleaner RiskWare?	AndyWarrior	Sicurezza&Privacy	7	10-04-2006 16.38.58
Ho un problema...chiedo aiuto ( per favore datemi una mano)	Arthur85	Sicurezza&Privacy	16	15-11-2004 12.30.09
AIUTO : NON RIESCO A TOGLIERE VIRUS	MEGS	Sicurezza&Privacy	30	18-02-2004 18.23.00