Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[wjmat]

Quote:

Originariamente inviato da Mel Brooks

Salve a tutti, sono nuovo del forum. Ieri il NOD32 mi ha segnalato un problema e diceva di sssere riuscito a togliere l'infezione. Allora ho fatto una scansione completa e mi ha rilevato 5 virus, è riuscito però a cancellarne solo 4. Putroppo non ho più il log di quella scansione, riguardava un certo admon.exe. Poi d'improvviso il computer si è spento (chiudendosi regolarmente,come se lo avessi spento io) e si è riavviato,al riavvio mi è apparsa una schermata del bios che non mi era mai apparsa dove una scritta in inglese diceva che ho preso un virus nell'hard disk e dovevo introdurre un floppy disk per tentare di toglierlo. Io naturalmente ho ignorato le sue istruzioni e ho continuato il boot normalmente. Le successive scansioni con NOD32 e SpyBot anche in modalità provvisoria non hanno riscontrato nulla. Il pc non dà particolari problemi anche se ho preferito non connetterlo ad internet avendo paura che l'infezioe facesse altri danni. Ho cominciato a seguire questa guida facendo la scansione con Gmer, ho bisogno di qualcuno che mi controlli i file di log, come indicato alla fine della Fase 1.
Ringrazio tutti in anticipo e scusate per la lunghezza del post!

ciao

comincia a caricare i log secordo le modalità previste

[wjmat]

Quote:

Originariamente inviato da Mel Brooks

Salve a tutti, sono nuovo del forum. Ieri il NOD32 mi ha segnalato un problema e diceva di sssere riuscito a togliere l'infezione. Allora ho fatto una scansione completa e mi ha rilevato 5 virus, è riuscito però a cancellarne solo 4. Putroppo non ho più il log di quella scansione, riguardava un certo admon.exe. Poi d'improvviso il computer si è spento (chiudendosi regolarmente,come se lo avessi spento io) e si è riavviato,al riavvio mi è apparsa una schermata del bios che non mi era mai apparsa dove una scritta in inglese diceva che ho preso un virus nell'hard disk e dovevo introdurre un floppy disk per tentare di toglierlo. Io naturalmente ho ignorato le sue istruzioni e ho continuato il boot normalmente. Le successive scansioni con NOD32 e SpyBot anche in modalità provvisoria non hanno riscontrato nulla. Il pc non dà particolari problemi anche se ho preferito non connetterlo ad internet avendo paura che l'infezioe facesse altri danni. Ho cominciato a seguire questa guida facendo la scansione con Gmer, ho bisogno di qualcuno che mi controlli i file di log, come indicato alla fine della Fase 1.
Ringrazio tutti in anticipo e scusate per la lunghezza del post!

ciao

comincia a caricare i log secondo le modalità previste

[kaedes]

salve, da stamattina ho un problema con windows live messenger.
praticamente OGNI VOLTA che provo ad avviare il programma mi esce una finestra di errore con scritto "Si è verificato un errore in Windows Live Communications Platform. L'applicazione verrà chiusa." e nei dati contenuti nella segnalazione

AppName: wlcomm.exe AppVer: 14.0.8064.206 ModName: ntdll.dll
ModVer: 5.1.2600.3520 Offset: 00036f9b

la cosa succede solo con live messenger, e all'inizio mi facva almeno connettere e dopo qualche minuti crashava. poi ha cominciato a crashare solo al tentativo di connessione.

ora io pensavo fosse una cosa risolvibile con la reinstallazione del programma. però prima di provare a reinstallare tutto sono andato ad informarmi un pò su internet, e ne esce fuori che probabilmente potrei essere infettato da sto MBR rootkit. intanto che faccio le scansioni e tutte le procedure descritte nella discussione, pensate che, ad occhio e croce, sia possibile una cosa del genere?

appena finiscono le scansioni vi posto anche i vari log.

[Mel Brooks]

Per recuperare i file di log ho doovuto spegnere il computer in quanto Prevx mi diceva che per rimuovere definitivamente l'infezione aveva bisogno di simulare un crash del sistema(l'ha chiamato bluescreen o qualcosa del genere). Ho cliccato su ok ed è sembrato che il computer si riavviasse ma si è fermato su una schermata blu appunto che diceva che windows era stato arrestato per un problema ad un driver che aveva sovraccaricato la memoria,e che se era la prima volta che ci trovavamo davanti a questa schermata potevamo riavviare, il fatto che era completamente bloccato quindi ho dovuto spegnerlo. Alla riaccensione prevx ha attivato una nuova scansione, inserisco questa come log di post disinfezione?

[Mel Brooks]

Ho provato a caricare i file di log direttamente dal computer infetto dopo che prevx indicava cleanup completata con successo, ma mentre cercavo di collegarmi al forum il sistema è andato nuovamente in schermata blu ma questa volta diceva IRQL_NOT_LESS_OR_EQUAL e poi le solite cose,naturalmente era bloccato e quindi ho dovuto rispegnere il computer. All'accensione il rootkit si è rifatto vivo con la solita modalità prima dell'avvio di windows, virus sull'hard disk, inserisci il floppy ecc. Ho ignorato e trasferito i file di log su un altro computer, ecco il link log gmer prevx.zip
In questo zip sono racchiusi il log di gmer e quelli di prevx pre e post disinfezione. Grazie

[wjmat]

Quote:

Originariamente inviato da Mel Brooks

Ho provato a caricare i file di log direttamente dal computer infetto dopo che prevx indicava cleanup completata con successo, ma mentre cercavo di collegarmi al forum il sistema è andato nuovamente in schermata blu ma questa volta diceva IRQL_NOT_LESS_OR_EQUAL e poi le solite cose,naturalmente era bloccato e quindi ho dovuto rispegnere il computer. All'accensione il rootkit si è rifatto vivo con la solita modalità prima dell'avvio di windows, virus sull'hard disk, inserisci il floppy ecc. Ho ignorato e trasferito i file di log su un altro computer, ecco il link log gmer prevx.zip
In questo zip sono racchiusi il log di gmer e quelli di prevx pre e post disinfezione. Grazie

non zippati, grazie

[Mel Brooks]

Scusami li avevo zippati solo perchè altrimenti dovevo darti tre link, in quanto l'archiviazione di file multipli non mi è riuscita. Il file di log di gmer è in allegato al post gli altri due link sono per prevx pre-disinfezione:
log prevx pre-disinfezione.log
e per prevx post-disinfezione:
log prevx post-disinfezione.log
Grazie

[wjmat]

Quote:

Originariamente inviato da Mel Brooks

Scusami li avevo zippati solo perchè altrimenti dovevo darti tre link, in quanto l'archiviazione di file multipli non mi è riuscita. Il file di log di gmer è in allegato al post gli altri due link sono per prevx pre-disinfezione:
log prevx pre-disinfezione.log
e per prevx post-disinfezione:
log prevx post-disinfezione.log
Grazie

fai una nuova scansione con prevx e carica un nuovo log

[Mel Brooks]

Ho fatto di nuovo la scansione, ecco il link del log
log prevx2.log
Grazie per l'aiuto

[wjmat]

Quote:

Originariamente inviato da Mel Brooks

Ho fatto di nuovo la scansione, ecco il link del log
log prevx2.log
Grazie per l'aiuto

procedi con la fase successiva

[Mel Brooks]

Ho eseguito mbr.exe in modalità provvisoria, si vede per un istante una finestra del prompt dei comandi con scritto qualcosa e poi niente,da dove recupero il file di log?

[Mel Brooks]

Ho trovato un file che sembrava di log in c: ovvero mbr.log ma ho provato a caricarlo sul forum e mi dice invalid file ora provo con wikisend.
Poi ho trovato anche un file .DAT che non allego, fammi sapere se può servire.

[Mel Brooks]

mbr.log
ecco il link per mbr.log

[kaedes]

http://www.mediafire.com/file/uwn2jmjyig4/gmer.txt
http://www.mediafire.com/file/k3mhyqkyk1l/Immagine.JPG
http://www.mediafire.com/file/w2yutztmytt/prevx- pre rimozione.log
http://www.mediafire.com/file/yimzznziy1j/prevx- post rimozione.log

ho seguito la prima parte per rimuovere sto maledetto virus e questi sono i risultati.

ditemi voi se devo procedere oltre.

p.s. ho anche un altro virus a quanto pare che però non ho potuto eliminare con prevx e quindi devo vedere come fare :\

[Chill-Out]

Quote:

Originariamente inviato da kaedes

http://www.mediafire.com/file/uwn2jmjyig4/gmer.txt
http://www.mediafire.com/file/k3mhyqkyk1l/Immagine.JPG
http://www.mediafire.com/file/w2yutztmytt/prevx- pre rimozione.log
http://www.mediafire.com/file/yimzznziy1j/prevx- post rimozione.log

ho seguito la prima parte per rimuovere sto maledetto virus e questi sono i risultati.

ditemi voi se devo procedere oltre.

p.s. ho anche un altro virus a quanto pare che però non ho potuto eliminare con prevx e quindi devo vedere come fare :\

Procedi con la fase successiva

[Chill-Out]

Quote:

Originariamente inviato da Mel Brooks

Ho eseguito mbr.exe in modalità provvisoria, si vede per un istante una finestra del prompt dei comandi con scritto qualcosa e poi niente,da dove recupero il file di log?

Quote:

Originariamente inviato da Mel Brooks

Ho trovato un file che sembrava di log in c: ovvero mbr.log ma ho provato a caricarlo sul forum e mi dice invalid file ora provo con wikisend.
Poi ho trovato anche un file .DAT che non allego, fammi sapere se può servire.

Quote:

Originariamente inviato da Mel Brooks

mbr.log
ecco il link per mbr.log

La Seconda Fase prevede anche il log di Norman SinowalMBR Cleaner, producilo dopodichè attendi pazientemente che qualcuno che presta assistenza risponda, grazie.

[Mel Brooks]

Ecco il log di Normal_Sinowal
NFix_2009-11-23_18-28-53.log
intanto io sto procedendo sempre in modalità provvisoria, avvisatemi se devo passare a quella consueta. Grazie ancora

[wjmat]

Quote:

Originariamente inviato da Mel Brooks

Ecco il log di Normal_Sinowal
NFix_2009-11-23_18-28-53.log
intanto io sto procedendo sempre in modalità provvisoria, avvisatemi se devo passare a quella consueta. Grazie ancora

passa alla 3° fase

[turbido]

log AVIRA

AVSCAN-20091123-111228-AD23DD61.txt

LOG norman sinowalmbr cleaner
NFix_2009-11-05_20-36-44.log

[kaedes]

http://www.mediafire.com/file/mnymxytruz2/mbr.log
http://www.mediafire.com/file/jeziunoz5tx/NFix.log

questi i log della seconda fase.

a proposito: ma la scansione con norman sinowal dovevo farla sempre in modalità provvisoria?
xke mentre quella con mbr l'ho fatto in modalità provvisoria, la seconda l'ho fatta in modalità normale.