Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[andy1991]

Quote:

Originariamente inviato da Chill-Out

Segui passo passo la Guida in prima pagina, redatta appositamente per questa infezione.

Prevx nn mi ha trovato nnte...invece dr web arrivato ad analizzare il settore c:Windows si blocca e mi blocca il pc....nnte scritte in blu, solo si blocca tutto, il cursore nn si muove, il task manager nn mi esce.....insomma tutto bloccato.

Cm mai???

[Chill-Out]

Quote:

Originariamente inviato da arles10

ciao a tutti
prevx mi rileva questo:

c:\system volume information\_restore{14d0b1bf-683b-4497-bf30-a3b800d687a2}\rp456\a0090602.exe [PX5: 1A832CB0009A39B2E2110D9A4CD8B4008A9BC6DC] Malware Group: Medium Risk Malware

come faccio a trovarlo per eliminarlo manualmente?


grazie

Perchè hai postato qui? Esiste un 3D deidicato a Prevx >> http://www.hwupgrade.it/forum/showthread.php?t=1923599

comunque nel tuo caso è sufficiente disabilitare il Ripristino conf.sistema

Quote:

Disattivare il Ripristino Configurazione Sistema:

* tasto destro del mouse sull'icona Risorse del Computer
* seleziona la voce Proprietà
* apri la scheda Ripristino configurazione di Sistema
* spunta la voce Disattiva ripristino configurazione di sistema
* conferma, la modifica, con Applica e, poi Ok

[Chill-Out]

Quote:

Originariamente inviato da turbido

log GMER
gmer log up.txt

log PREVX
prevxup.txt

Passa alla Seconfa Fase

[Chill-Out]

Quote:

Originariamente inviato da andy1991

Prevx nn mi ha trovato nnte...invece dr web arrivato ad analizzare il settore c:Windows si blocca e mi blocca il pc....nnte scritte in blu, solo si blocca tutto, il cursore nn si muove, il task manager nn mi esce.....insomma tutto bloccato.

Cm mai???

Potresti allegare i log della Prima Fase, grazie.

[turbido]

Non riesco ad avviare il computer in modalità provvisoria, digitando il comando C:\mbr.exe -f non succede niente.
Norman SinowalMBR Cleaner non rileva niente.

Quando avvio dr web , si riavvia il computer.

log MBR
copy of MBR has been found in sector 0x0DF9F404
malicious code @ sector 0x0DF9F407 !
PE file found in sector at 0x0DF9F41D !

[ing3nius]

prima fase:

Gmer --> http://wikisend.com/download/529728/gmer.txt

Prevx --> http://wikisend.com/download/458884/prevx post.log (questo è il log successivo al cleanup di due file )

seconda fase:

Stealth MBR rootkit detector -> http://wikisend.com/download/463050/mbr.log

[arles10]

Quote:

Originariamente inviato da Chill-Out

Perchè hai postato qui? Esiste un 3D deidicato a Prevx >> http://www.hwupgrade.it/forum/showthread.php?t=1923599

comunque nel tuo caso è sufficiente disabilitare il Ripristino conf.sistema

ti ringrazio e scusa

[Mauro B.]

ho seguito indicazioni molto valide per verificare la presenza di questo rootkit:

• si scarica mbr.exe
• lo si pone nella cartella c
• dal prompt di cmd si avvia il file
  
• e si verifica la presenza o meno della minaccia.

penso che questo consiglio sia stato dato, ma non si sa mai .

[Chill-Out]

Quote:

Originariamente inviato da turbido

Non riesco ad avviare il computer in modalità provvisoria

Per quale motivo?

[Chill-Out]

Quote:

Originariamente inviato da ing3nius

prima fase:

Gmer --> http://wikisend.com/download/529728/gmer.txt

Prevx --> http://wikisend.com/download/458884/prevx post.log (questo è il log successivo al cleanup di due file )

seconda fase:

Stealth MBR rootkit detector -> http://wikisend.com/download/463050/mbr.log

Sicuro di aver digitato il seguente comando:

Quote:

Da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK

[turbido]

quando cerco di avviare la modalità provvisoria mi viene il messaggio di errore Press esc to cancel loading sptd.sys. Premendo esc o no si riavvia di nuovo e non mi fa entrare in modalità provvisoria!

[Chill-Out]

Quote:

Originariamente inviato da turbido

quando cerco di avviare la modalità provvisoria mi viene il messaggio di errore Press esc to cancel loading sptd.sys. Premendo esc o no si riavvia di nuovo e non mi fa entrare in modalità provvisoria!

Fai girare

Norman SinowalMBR Cleaner

ma quanti AV sono installati sul tuo PC?

Quote:

Originariamente inviato da turbido

Ciao a tutti.

Avira mi rileva che sono infetto dal virus BOO Sinowall.E e non riesco ad eliminarlo. Allego i log delle scansioni.

log NOD32:
Settore MBR del disco fisico 2 - Win32/Mebroot.BZ trojan horse - action selection postponed until scan completion
Settore MBR del disco fisico 2 - Win32/Mebroot.BZ trojan horse - action selection postponed until scan completion
Settore MBR del disco fisico 2 - Win32/Mebroot.BZ trojan horse - action selection postponed until scan completion

[ing3nius]

Quote:

Originariamente inviato da Chill-Out

Sicuro di aver digitato il seguente comando:

Ho riprovato...ma il log mi sembra lo stesso:

--> MBR : http://wikisend.com/download/888500/mbr.log

cosa ha di strano il log??

[Chill-Out]

Quote:

Originariamente inviato da ing3nius

Ho riprovato...ma il log mi sembra lo stesso:

--> MBR : http://wikisend.com/download/888500/mbr.log

cosa ha di strano il log??

Fondamentalmente nulla in quanto può rimanere "sporco", procedi pure con Norman SinowalMBR Cleaner e DrWeb CureIt

[turbido]

Già fatta la scansione con norman sinowal mbr, non rileva niente.
Antivirus ne ho solo uno installato, l'altro l'ho installato e poi rimosso per vedere se eliminava il virus.

[turbido]

Drweb non riesce a fare la scansione, quando l'avvio riavvia il computer!

[Chill-Out]

Quote:

Originariamente inviato da turbido

Già fatta la scansione con norman sinowal mbr, non rileva niente.
Antivirus ne ho solo uno installato, l'altro l'ho installato e poi rimosso per vedere se eliminava il virus.

Se alleghi il log

Quote:

Originariamente inviato da turbido

Drweb non riesce a fare la scansione, quando l'avvio riavvia il computer!

Ripeti scansione completa con Avira configurato come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 ed allega il log.

[turbido]

già configurato avira come da guida ma il virus non riesco ad eliminarlo!

[Chill-Out]

Quote:

Originariamente inviato da turbido

già configurato avira come da guida ma il virus non riesco ad eliminarlo!

Come già detto ripetutamente abbiamo bisgono di vedere i log, spero di essere stato chiaro ed esaustivo.

[Mel Brooks]

Salve a tutti, sono nuovo del forum. Ieri il NOD32 mi ha segnalato un problema e diceva di sssere riuscito a togliere l'infezione. Allora ho fatto una scansione completa e mi ha rilevato 5 virus, è riuscito però a cancellarne solo 4. Putroppo non ho più il log di quella scansione, riguardava un certo admon.exe. Poi d'improvviso il computer si è spento (chiudendosi regolarmente,come se lo avessi spento io) e si è riavviato,al riavvio mi è apparsa una schermata del bios che non mi era mai apparsa dove una scritta in inglese diceva che ho preso un virus nell'hard disk e dovevo introdurre un floppy disk per tentare di toglierlo. Io naturalmente ho ignorato le sue istruzioni e ho continuato il boot normalmente. Le successive scansioni con NOD32 e SpyBot anche in modalità provvisoria non hanno riscontrato nulla. Il pc non dà particolari problemi anche se ho preferito non connetterlo ad internet avendo paura che l'infezioe facesse altri danni. Ho cominciato a seguire questa guida facendo la scansione con Gmer, ho bisogno di qualcuno che mi controlli i file di log, come indicato alla fine della Fase 1.
Ringrazio tutti in anticipo e scusate per la lunghezza del post!