Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT - Pagina 106

paolo8989 · 29-11-2009, 20:06

linko qui perchè anche a me prevX ha trovato un MBR rootkit

http://www.hwupgrade.it/forum/showthread.php?t=2095159

il problema è che nel riavviare per sistemare, mi ha compromesso l'MBR

ora sto scaricando testdisk per cercare di rimediare, ma avrei bisogno di consigli su come procedere

**Chill-Out** · 29-11-2009, 20:14

Quote:

Originariamente inviato da paolo8989

linko qui perchè anche a me prevX ha trovato un MBR rootkit

http://www.hwupgrade.it/forum/showthread.php?t=2095159

il problema è che nel riavviare per sistemare, mi ha compromesso l'MBR

ora sto scaricando testdisk per cercare di rimediare, ma avrei bisogno di consigli su come procedere

Una discussione mi sembra sufficiente http://www.hwupgrade.it/forum/showthread.php?t=2095159 anche in funzione dei problemi che sonno sorti.

**Chill-Out** · 29-11-2009, 20:25

Quote:

Originariamente inviato da Eprys

Ecco allegato il log eseguito da Root Repeal

http://wikisend.com/download/442844/RootRepeal report 11-29-09 (17-18-38).txt

Devo precisare che quando inizializzo il programma mi esce Error Invalid PE Image Found; significa qualcosa???

A risentirci.

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Quote:

Files to delete:
c:\windows\system32\monheini.exe

clicca su Execute, al termine il Pc si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt + nuovo log di Prevx

**Chill-Out** · 29-11-2009, 20:29

Quote:

Originariamente inviato da Estval

aggiungo gli altri log:

mbr.log

NFix_2009-11-21_06-02-52.log

cureit filtrato.txt

spero che sia andata a buon fine la cosa

ringrazio in anticipo per l'aiuto

A posto, ti suggerisco di leggere i suggerimenti che trovi sempre nella guida in prima pagina.

**Chill-Out** · 29-11-2009, 20:32

Quote:

Originariamente inviato da ing3nius

Aggiungo gli ultimi due log:

Norman --> http://wikisend.com/download/939754/...3_18-59-40.log

Cure.it --> http://wikisend.com/download/503806/cureit filtrato.txt

...Grazie in anticipo per il supporto..... spero di aver risoto il problema...attendo un responso....

Dovremmo essere ok, riallega il log di CureIt in quanto quello allegato è incompleto.

**Chill-Out** · 29-11-2009, 20:34

Quote:

Originariamente inviato da gabmac2

salve a tutti,Avira mi aveva segnalato il sinowal ed ho provveduto a fare pulizia con mbr
il responso

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0747059C1
malicious code @ sector 0x0747059C4 !
PE file found in sector at 0x0747059DA !

Questo dopo "-f" già eseguito ovviamente.Il pc andava in freeze e adesso sembra non più farlo,come posso però risolvere definitivamente?
Grazie in anticipo

Ciao, leggi attentamente la Guida in prima pagina e mettila in pratica, attendiamo i log per il controllo.

gabmac2 · 29-11-2009, 23:28

per il resto sembra a posto,cosa vogliono dire queste 3 righe?

copy of MBR has been found in sector 0x0747059C1
malicious code @ sector 0x0747059C4 !
PE file found in sector at 0x0747059DA !

devo provare con fixmbr?
Il virus può aver fatto altri danni?

**Chill-Out** · 29-11-2009, 23:31

Quote:

Originariamente inviato da gabmac2

per il resto sembra a posto,cosa vogliono dire queste 3 righe?

copy of MBR has been found in sector 0x0747059C1
malicious code @ sector 0x0747059C4 !
PE file found in sector at 0x0747059DA !

Se non vediamo i log dei tool indicati in Guida, precedenti all'uso di Stealth MBR rootkit/Mebroot/Sinowal detector come facciamo a risponderti?

Boiga · 30-11-2009, 12:56

Ecco un nuovo log fatto con prevx che continua a dirmi che ho dei file infetti..
sempre con speranza..

prevx3.log

Saluti

**Chill-Out** · 30-11-2009, 15:56

Quote:

Originariamente inviato da Boiga

Ecco un nuovo log fatto con prevx che continua a dirmi che ho dei file infetti..
sempre con speranza..

prevx3.log

Saluti

Proprio per questo motivo ti ho chiesto un nuovo log di Prevx, adesso segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446, attendiamo i log per il controllo dove appena indicato.

ShardTempox · 30-11-2009, 16:32

salve ragazzi credo di essermi imbatutto pure io nel MBR! ma x essere sciur ovi post i log come da guida.

grazie in anticipo x l'aiuto

gmer.txt

prevx.log

**Chill-Out** · 30-11-2009, 16:38

Quote:

Originariamente inviato da ShardTempox

salve ragazzi credo di essermi imbatutto pure io nel MBR!

Sembrerebbe di no

ShardTempox · 30-11-2009, 16:43

grazie chill

x essere sicuro devo fare qualche altro controllo? o posso mettere il cuore in pace?

**Chill-Out** · 30-11-2009, 16:54

Quote:

Originariamente inviato da ShardTempox

grazie chill

x essere sicuro devo fare qualche altro controllo? o posso mettere il cuore in pace?

Per scrupolo allega il log di Stealth MBR rootkit detector

ShardTempox · 30-11-2009, 19:52

devo andare in mod. provvisoria come da guida? o possa farlo anche normalmente?

**Chill-Out** · 30-11-2009, 22:09

Quote:

Originariamente inviato da ShardTempox

devo andare in mod. provvisoria come da guida? o possa farlo anche normalmente?

Provvisoria

Estval · 30-11-2009, 22:18

Quote:

Originariamente inviato da Chill-Out

A posto, ti suggerisco di leggere i suggerimenti che trovi sempre nella guida in prima pagina.

Grazie per l'aiuto

mi metto subito in modalità manutenzione pc!

Grazie ancora.

**Chill-Out** · 30-11-2009, 22:33

Quote:

Originariamente inviato da Estval

Grazie per l'aiuto

mi metto subito in modalità manutenzione pc!

Grazie ancora.

Prego, ciao

Liuk71 · 30-11-2009, 22:36

Ciao Chill....
Scusa ancora per l'insistenza....!!!!
Dato che non ho più avuto risposte da voi... ho provveduto a formattare la partizione windows ma MBR mi da ancora questo:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x01314FFDB !
PE file found in sector at 0x01314FFF1 !
Cosa devo fare... Secondo te dovevo formattare necessariamente l'intero disco..???? ho devo passare alla formattazione a basso livello..????
Se si... posso con quest'ultima formattare solo una partizione...?????

Grazie di tutto

**Chill-Out** · 30-11-2009, 22:48

Quote:

Originariamente inviato da Liuk71

Ciao Chill....
Scusa ancora per l'insistenza....!!!!
Dato che non ho più avuto risposte da voi... ho provveduto a formattare la partizione windows ma MBR mi da ancora questo:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x01314FFDB !
PE file found in sector at 0x01314FFF1 !
Cosa devo fare... Secondo te dovevo formattare necessariamente l'intero disco..???? ho devo passare alla formattazione a basso livello..????
Se si... posso con quest'ultima formattare solo una partizione...?????

Grazie di tutto

Come detto in precedenza il log può rimanere "sporco", se non desideri vedere il log "sporco" l'unico modo è formattare a basso livello

DISCHI - come formattare

30-11-2009, 22:36	#2119
Liuk71 Junior Member Iscritto dal: Nov 2009 Messaggi: 11	Aiuto....!!!!!!!! Ciao Chill.... Scusa ancora per l'insistenza....!!!! Dato che non ho più avuto risposte da voi... ho provveduto a formattare la partizione windows ma MBR mi da ancora questo: device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK malicious code @ sector 0x01314FFDB ! PE file found in sector at 0x01314FFF1 ! Cosa devo fare... Secondo te dovevo formattare necessariamente l'intero disco..???? ho devo passare alla formattazione a basso livello..???? Se si... posso con quest'ultima formattare solo una partizione...????? Grazie di tutto

29-11-2009, 20:06	#2101
paolo8989 Member Iscritto dal: Jun 2008 Messaggi: 31	linko qui perchè anche a me prevX ha trovato un MBR rootkit http://www.hwupgrade.it/forum/showthread.php?t=2095159 il problema è che nel riavviare per sistemare, mi ha compromesso l'MBR ora sto scaricando testdisk per cercare di rimediare, ma avrei bisogno di consigli su come procedere

29-11-2009, 23:28	#2107
gabmac2 Senior Member Iscritto dal: Jun 2009 Messaggi: 5559	per il resto sembra a posto,cosa vogliono dire queste 3 righe? copy of MBR has been found in sector 0x0747059C1 malicious code @ sector 0x0747059C4 ! PE file found in sector at 0x0747059DA ! devo provare con fixmbr? Il virus può aver fatto altri danni?

30-11-2009, 12:56	#2109
Boiga Junior Member Iscritto dal: Nov 2009 Messaggi: 6	Ecco un nuovo log fatto con prevx che continua a dirmi che ho dei file infetti.. sempre con speranza.. prevx3.log Saluti

30-11-2009, 16:32	#2111
ShardTempox Junior Member Iscritto dal: Nov 2009 Messaggi: 9	salve ragazzi credo di essermi imbatutto pure io nel MBR! ma x essere sciur ovi post i log come da guida. grazie in anticipo x l'aiuto gmer.txt prevx.log

30-11-2009, 16:43	#2113
ShardTempox Junior Member Iscritto dal: Nov 2009 Messaggi: 9	grazie chill x essere sicuro devo fare qualche altro controllo? o posso mettere il cuore in pace?

30-11-2009, 19:52	#2115
ShardTempox Junior Member Iscritto dal: Nov 2009 Messaggi: 9	devo andare in mod. provvisoria come da guida? o possa farlo anche normalmente?

Strumenti
Mostra una versione stampabile Invia questa pagina per email