Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da kaedes

io ho scritto "cosa ci guadagneREI (IO) a mandarti la scansione di un file diverso" (visto che il mio scopo e permetterti di risolvere il mio problema), e non cosa ci guadagneRESTI (TU). che il link sia sbagliato, le dimensioni diverse e tutto il resto, io purtroppo non so cosa dirti, magari potresti dirmi tu come mai piuttosto.

Infatti te l'ho spiegato

Quote:

Originariamente inviato da kaedes

ti ringrazio dell'aiuto che mi hai dato e che mi dai, ma non c'è bisogno di aggredirmi (coi toni ovviamente)...adesso ti è più chiaro?

Prestarti assistenza, vuol dire aggredire? Temo tu stia sbagliando, le parole sono importanti e bene prestare attenzione a ciò che si scrive, ti invito pertanto a cambiare tono, chiusa parentesi definitivamente.

[Chill-Out]

Quote:

Originariamente inviato da Liuk71

Lo avevo capito anch'io....da solo...!!!!

Quindi?

Quote:

Originariamente inviato da Liuk71

Ma da come ho già detto dopo aver usato mbrboot Prevx che scansione in tempo reale mi rileva il rootkit sul settore fisico \driver\disk0, e mi chiede i soldi per la licenza
non credo si solo mbr sporco ma penso che il verme si sia adattato a prevx andando più a basso livello...!!!
Provo fixmbr....?????????????

Grazie

Il log di Prevx risulta pulito, che cosa rileva in tempo reale? Allegami su http://imageshack.us/ uno screenshot di Prevx che rileva il rootkit.

PS: no non è possibile che il rootkit si sia adattato a Prevx

[kaedes]

Quote:

Originariamente inviato da Chill-Out

Io non ci guadagno nulla, ma neppure tu, il link inerente la scansione di Virscan è palesemente sbagliato, il nome del file è diverso, la dimensione è diversa, l'MD5 non corrisponde inoltre il link fa riferimento ad scansione di Giugno 2005

non so come ma hai copiato il link sbagliato, adesso ti è più chiaro?

Comunque trattasi di Falso Positivo.

la prima frase in neretto sinceramente non l'ho capita, mi sembrava tanto non avessi letto bene ciò che avevo scritto, fraintentendo. se non è stato così, meglio. io avevo fatto solo tutto quello che mi hai detto tu, parola-per-parola.
e comunque non sono visionario, il tono che intendevo era riferito proprio a quell' "adesso ti è più chiaro" che era PROBABILMENTE, dal mio punto di vista (inutile forse), evitabile.

ma non voglio spiegazioni. ne creare polemiche. la difesa però in Italia, anche se forse non in egual modo per tutti, esiste ancora. chiusa parentesi.

se ti fa ancora piacere, a tempo perso, quando non hai da fare visto che non ti pagano per prestarmi assistenza, dai un'occhiata a questa foto
http://www.mediafire.com/file/5yjhrewn02z/Immagine.JPG

magari sveliamo l'arcano

altrimenti, grazie ancora di tutto e buonanotte.

[Eprys]

Salve di nuovo, ragazzi.
Dunque vorrei tornare a parlarvi della soluzione che ho adotatto per questo MEBROOT.MBR.
Devo ribadire che l'unico programma che sembra aver fatto qualcosa di concreto è il Dr WEB CureIT: dopo una scansione rapida ho cercato di farne una completa, ma d'improvviso il pc si è riavviato (sapete dire il perché???); dunque ho proceduto nuovamente con una scansione rapida e da questa (come altre volte precedenti) viene rilevato il file mebroot che sembra causare l'allarme del mio nod32.
Pertanto impartisco il comando di cura e il programma mi dice grosso modo che andrà a riscrivere il settore di boot (è giusto?). Il problema dunque secondo cureit è "curato".
Fatto ciò dopo un riavvio del sistema faccio una nuova scansione con NOD e il problema sembra essere risolto:IL MEBROOT.MBR NON VIENE PIù SEGNALATO DAL NOD!!!.
Per precauzione procedo con un'altra scansione rapida del cureit ed il programma mi dice che non ci sono virus.
Ora però mi chiedo: il problema è REALMENTE RISOLTO???
Si può stare tranquilli???
Io non noto alcun comportamento anomalo del pc.
Da cosa dovrei accorgermi che il problema sarebbe ancora attivo???
ASPETTO VOSTRE RISPOSTE.Ciao gentilissimi!!!

P.S. Purtroppo il mio pc non sembra riuscire a portare a termine una scansione completa del CureIt, perché troppo pesante pèer la memoria virtuale (forse). Ad ogni modo si blocca.

P.P.S.: A proposito del PrevX, questo programma mi rileva alcuni files infetti tra cui un monheini.exe che sembra ad alto rischio. Che fare? A me pare che non mi faccia fare il free cleanup. Ditemi in proposito che ne pensate.

[Eprys]

Salve di nuovo, ragazzi.
Dunque vorrei tornare a parlarvi della soluzione che ho adotatto per questo MEBROOT.MBR.
Devo ribadire che l'unico programma che sembra aver fatto qualcosa di concreto è il Dr WEB CureIT: dopo una scansione rapida ho cercato di farne una completa, ma d'improvviso il pc si è riavviato (sapete dire il perché???); dunque ho proceduto nuovamente con una scansione rapida e da questa (come altre volte precedenti) viene rilevato il file mebroot che sembra causare l'allarme del mio nod32.
Pertanto impartisco il comando di cura e il programma mi dice grosso modo che andrà a riscrivere il settore di boot (è giusto?). Il problema dunque secondo cureit è "curato".
Fatto ciò dopo un riavvio del sistema faccio una nuova scansione con NOD e il problema sembra essere risolto:IL MEBROOT.MBR NON VIENE PIù SEGNALATO DAL NOD!!!.
Per precauzione procedo con un'altra scansione rapida del cureit ed il programma mi dice che non ci sono virus.
Ora però mi chiedo: il problema è REALMENTE RISOLTO???
Si può stare tranquilli???
Io non noto alcun comportamento anomalo del pc. E' pericoloso ora come ora stare on line???
Da cosa dovrei accorgermi che il problema sarebbe ancora attivo???
ASPETTO VOSTRE RISPOSTE.Ciao gentilissimi!!!




P.S. Purtroppo il mio pc non sembra riuscire a portare a termine una scansione completa del CureIt, perché troppo pesante pèer la memoria virtuale (forse). Ad ogni modo si blocca.

P.P.S.: A proposito del PrevX, questo programma mi rileva alcuni files infetti tra cui un monheini.exe che sembra ad alto rischio. Che fare? A me pare che non mi faccia fare il free cleanup. Ditemi in proposito che ne pensate.
Ecco il link alla schermata di scan:http://www.mediafire.com/file/zu42zz...evX%20Scan.jpg

[Chill-Out]

Quote:

Originariamente inviato da kaedes

e comunque non sono visionario, il tono che intendevo era riferito proprio a quell' "adesso ti è più chiaro" che era PROBABILMENTE, dal mio punto di vista (inutile forse), evitabile.

Che sta a significare, mi sono spiegato meglio? Adesso ti è più chiaro dove hai sbagliato?

Quote:

Originariamente inviato da kaedes

ma non voglio spiegazioni. ne creare polemiche. la difesa però in Italia, anche se forse non in egual modo per tutti, esiste ancora. chiusa parentesi.

Questo è un Forum non un aula di tribunale, se desideri ulteriori spiegazioni esistono i PVT come da Regolamento

Quote:

Originariamente inviato da kaedes

se ti fa ancora piacere, a tempo perso, quando non hai da fare visto che non ti pagano per prestarmi assistenza, dai un'occhiata a questa foto
http://www.mediafire.com/file/5yjhrewn02z/Immagine.JPG

magari sveliamo l'arcano

Come detto precedentemente

Quote:

Originariamente inviato da Chill-Out

non so come ma hai copiato il link sbagliato
Comunque trattasi di Falso Positivo.

[Chill-Out]

Quote:

Originariamente inviato da Eprys

Salve di nuovo, ragazzi.
Dunque vorrei tornare a parlarvi della soluzione che ho adotatto per questo MEBROOT.MBR.
Devo ribadire che l'unico programma che sembra aver fatto qualcosa di concreto è il Dr WEB CureIT: dopo una scansione rapida ho cercato di farne una completa, ma d'improvviso il pc si è riavviato (sapete dire il perché???); dunque ho proceduto nuovamente con una scansione rapida e da questa (come altre volte precedenti) viene rilevato il file mebroot che sembra causare l'allarme del mio nod32.
Pertanto impartisco il comando di cura e il programma mi dice grosso modo che andrà a riscrivere il settore di boot (è giusto?). Il problema dunque secondo cureit è "curato".
Fatto ciò dopo un riavvio del sistema faccio una nuova scansione con NOD e il problema sembra essere risolto:IL MEBROOT.MBR NON VIENE PIù SEGNALATO DAL NOD!!!.
Per precauzione procedo con un'altra scansione rapida del cureit ed il programma mi dice che non ci sono virus.
Ora però mi chiedo: il problema è REALMENTE RISOLTO???
Si può stare tranquilli???
Io non noto alcun comportamento anomalo del pc. E' pericoloso ora come ora stare on line???
Da cosa dovrei accorgermi che il problema sarebbe ancora attivo???
ASPETTO VOSTRE RISPOSTE.Ciao gentilissimi!!!

Se CureIt e Nod32 non rilevano più nulla direi che si può stare tranquilli

Quote:

Originariamente inviato da Eprys

P.P.S.: A proposito del PrevX, questo programma mi rileva alcuni files infetti tra cui un monheini.exe che sembra ad alto rischio. Che fare? A me pare che non mi faccia fare il free cleanup. Ditemi in proposito che ne pensate.

Allega il log di Prevx

[Eprys]

Gentilissimo Chill Out!!!

Eccoti il link alla schermata di scan del PrevX http://www.mediafire.com/file/zu42zz...evX%20Scan.jpg

Comunque il PrevX mi sembra un programma "ipersensibile": mi rileva roba che semplicemente costituisce programma di condivisione (vedi MIRC); sono falsi positivi???

Inoltre mi chiedevo: se il CureIt risolve il problema, come mai nella guida postate tutti gli altri programmi: il CureIt scasiona e risolve, non basta lui?

[Chill-Out]

Quote:

Originariamente inviato da Eprys

Gentilissimo Chill Out!!!

Eccoti il link alla schermata di scan del PrevX http://www.mediafire.com/file/zu42zz...evX%20Scan.jpg

Il log, grazie.

[Eprys]

Eccolo: http://wikisend.com/download/497918/log di Prevx.log


Puoi gentilmente rispondere anche alle domande del mio post precedente?

[Chill-Out]

Quote:

Originariamente inviato da Eprys

Eccolo: http://wikisend.com/download/497918/log di Prevx.log


Puoi gentilmente rispondere anche alle domande del mio post precedente?

Ho riassunto dicendoti che per quanto concerne il MBR Rootkit puoi stare tranquillo

Abilita la visualizzazione dei files nascosti

Quote:

Clicca su una cartella qualsiasi Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta su Visualizza cartelle e file nascosti - Togli la spunta da nascondi files protetti di sistema - Applica - OK

e controlla su http://virscan.org/ e http://www.virustotal.com/it/ il seguenti file:

monheini.exe che trovi in c:\windows\system32\

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione

[Eprys]

OK appena lo faccio ci risentiamo.

Nel frattempo sei stato davvero molto gentile e paziente
A presto!!!

[kaedes]

Quote:

Originariamente inviato da Chill-Out

Questo è un Forum non un aula di tribunale, se desideri ulteriori spiegazioni esistono i PVT come da Regolamento

hai perfettamente ragione, errore mio.
comunque, assodato che è un falso positivo, se non ti secca avrei qualche altra domanda:
1- il vfind.exe posso quindi lasciarlo li dov'è senza problemi, essendo un falso positivo?
2- i file nella cartella della quarantena di nod32 che mi sono stati rilevati durante le precedenti scansioni, devo\posso eliminarli oppure è meglio che restino dove sono?
3- da un altro moderatore mi era stato detto che il firewall di windows non basta, però io mi connetto tramite router, che se non sbaglio, da ignorante quale sono, dovrebbe avere un firewall interno. è giusto? e se così fosse, è sufficiente o devo installarmi un firewall alternativo?

grazie, e scusa l'ora tarda.

[Chill-Out]

Quote:

Originariamente inviato da kaedes

hai perfettamente ragione, errore mio.
comunque, assodato che è un falso positivo, se non ti secca avrei qualche altra domanda:
1- il vfind.exe posso quindi lasciarlo li dov'è senza problemi, essendo un falso positivo?
2- i file nella cartella della quarantena di nod32 che mi sono stati rilevati durante le precedenti scansioni, devo\posso eliminarli oppure è meglio che restino dove sono?
3- da un altro moderatore mi era stato detto che il firewall di windows non basta, però io mi connetto tramite router, che se non sbaglio, da ignorante quale sono, dovrebbe avere un firewall interno. è giusto? e se così fosse, è sufficiente o devo installarmi un firewall alternativo?

grazie, e scusa l'ora tarda.

1 si

2 i file in quarantena non possono nuocere, puoi lasciarli dove sono

3 nella guida in prima pagina alla voce Suggerimenti trovi tutte le info che ti necessitano, ok per il router al quale affiancherei un FW software come Comodo - OnlineArmor o PcTools

Ciao

[alesurf87]

Quote:

Originariamente inviato da alesurf87

Salve a tutti, scrivo qua per porvi il mio problema; all'avvio del computer mi appare questa scritta "Trend chip away virus has detected a boot virus on your hard disk! Press <enter> for more information (raccomanded) or <C> to continue booting.

Girando per la rete ho trovato la guida che è nella prima pagina di questa discussione e ho scaricato tutti i programmi che servivano e ho iniziato il lavoro seguendo pari passo la fase preliminare e la prima fase; ora allego qua i link con i log che ho creato dopo l'utilizzo dei programmi:

Log di Gmer:
http://wikisend.com/download/448798/Log gmer.txt

Log di PrevX pre-rimozione:
http://wikisend.com/download/935594/Log PrevX 3.0 pre-rimozione.txt

Log di PrevX post-rimozione:
http://wikisend.com/download/616694/Log PrevX 3.0 post-rimozione.txt

Ci tengo a sottolineare che dopo la rimozione con PrevX 3.0 la schermata non si è piu presentata! Cosa devo fare a questo punto? devo andare avanti con la seconda fase oppure no? Aspetto risposte e spero di risolvere questo problema!

P.S. il computer infettato non è quello in firma ma bensi questo:
CPU: Intel pentium 4 2.60Ghz
Scheda Madre: Asus P4PE-X/TE
RAM: Kingstone 512Mb 200Mhz
Scheda video: Ati Radeon 9000 Series 128Mb

Quote:

Originariamente inviato da Chill-Out

Ciao, procedi con la fase successiva.

Salve di nuovo, ho seguito il tuo consiglio e sono andato avanti con la seconda e terza fase e alla fine ho riattivato il Ripristino Configurazione Sistema; Ora posto qua i log degli altri programmi:

Questo è il Log di MBR:
http://wikisend.com/download/456946/mbr.log

Questo è il log di Norman Sinowal cleaner:
http://wikisend.com/download/577416/...5_16-36-04.log

Questo è il log di cure it!:
http://wikisend.com/download/447870/CureIt.log

Ci tengo a sottolineare due cose, la prima è che come avevo detto in precedenza la schermata non mi si era ripresentata, ma in realtà è riapparsa dopo diversi riavvii? qualcuno sa perchè? seconda cosa Cure It! non mi ha rilevato nessuna anomalia, è normale? Spero che consultiate presto i miei risultati e mi sappiate dare risposte! grazie a tutti!

[Chill-Out]

Quote:

Originariamente inviato da alesurf87

Salve di nuovo, ho seguito il tuo consiglio e sono andato avanti con la seconda e terza fase e alla fine ho riattivato il Ripristino Configurazione Sistema; Ora posto qua i log degli altri programmi:

Ci tengo a sottolineare due cose, la prima è che come avevo detto in precedenza la schermata non mi si era ripresentata, ma in realtà è riapparsa dopo diversi riavvii? qualcuno sa perchè? seconda cosa Cure It! non mi ha rilevato nessuna anomalia, è normale? Spero che consultiate presto i miei risultati e mi sappiate dare risposte! grazie a tutti!

Dovremmo essere ok, allega per scrupolo un log di Prevx.

[Liuk71]

Ciao Chill...
Nel fra tempo che faccio cio che mi hai chiesto posso cancellare la cartella HELPASSISTANT contenuto in DocumentendSetting senza arrecare danni....?????
Se non puoi garantire rispondi ugualmente....!!!!
Grazie per l'impegno...!!!

[Liuk71]

Ciao Chill...
Ti posto i link della schermata di Prevx seguente all'utilizzo di fixboot.. credo di aver capito che si tratta dell'analizzatore Euristico che non sempre si attiva.
Ti posto anche il log prevx che non so perche in questo caso mi ha permesso di effettuare la scansione nonostante io non possieda licenza...!!!!

Grazie...

[Liuk71]

Ciao Chill...
Ti posto i link della schermata di Prevx seguente all'utilizzo di fixboot.. credo di aver capito che si tratta dell'analizzatore Euristico che non sempre si attiva.
Ti posto anche il log prevx che non so perche in questo caso mi ha permesso di effettuare la scansione nonostante io non possieda licenza...!!!!

prevx4.txt
http://img21.imageshack.us/img21/5670/schermoprevx.png


Grazie.....!!!!

[Eprys]

Salve Chill,

ho cercato di far scasionare on line il file monheini.exe rilevato da PrevX tramite virscan e virustotal, ma non mi è possibile caricare il file.
Difatti questo file non si riesce nè a copiare nè a tagliare poichè dice che "è in uso da un programma o dal sistema".
Che fare?

Frattanto ho googlato per reperire notizie sul monheini, ma esso risulta solo nel sito del PrevX come nuova minaccia "che gli altri software non rilevano" (tradotto dall'inglese).

Aspetto tue notizie.
Ti saluto.

Intanto io sto online: mi spiace chiedertelo di nuovo, ma... si può starere sicuri di non andare verso altri problemi???