Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[crips]

Quote:

Originariamente inviato da wjmat

che errore?

quando entro nella consolle di ripristino e digito fixmbr mi da una specie di errore/avviso:

Record di avvio principale non valido o non standard
Procedendo le tabelle di partizione potrebbero essere danneggiate
ciò potrebbe provocare l'inaccessibilità di tutte le partizioni del disco rigido corrente,
Se non si hanno problemi nell'accesso al disco si consiglia di non proseguire

Scrivere un nuovo record di avvio principale? io risp Y
e mi ripone la domanda fino a che non scrivo N
e torna a C:\Windows
exit ed esco dalla consolle

[Chill-Out]

Quote:

Originariamente inviato da crips

Ciao visto i problemi con DrWeb perchè non provi con uno scansione con questo programma?
Lo lanci in modalità normale e con connessione internet attiva.
Nella versione free non elimina tutto ma se è hai un rootkit nel MBR dovrebbe aiutarti e ripulirlo.
http://www.prevx.com/homeandfamilyus...=free#boxxfree

Qui trovi una guida ben fatta:
http://www.hwupgrade.it/forum/showthread.php?t=1923599

Ciao

L'hai letta la Guida in prima pagina?

Quote:

Originariamente inviato da crips

Che problemi ha il tuo pc adesso?
Te lo chiedo perchè anche io ho avuto Il settore MBR con il rootkit.
Ho fatto mille e mille scansioni con i più svariati tool, ma l'unico che mi dava ancora infetto il settore MBR era mbr.exe
Il mio computer va bene, ma se eseguo mbr.exe mi da ancora quel messaggio.
Può accadere che rimangano delle traccie nel MBR ma se il computer non ti da problemi potresti essere come hanno definito il sottoscritto: un portatore sano.

Fai alcune scansioni con:
[http://www.softpedia.com/get/Antivir...t-Buster.shtml
http://www.softpedia.com/get/Antivir...val-Tool.shtml
http://www.softpedia.com/get/Antivir...NT-2K-XP.shtml

e se dopo questi non trovi nulla io credo puoi stare tranquillo.

Cortesemente linka solo ed esclusivamente i siti ufficiali, comunque i vari tool indicati servono a nulla

Quote:

Originariamente inviato da crips

Ah dimenticavo, anche io avevo HelpAssitant
Una procedura semplice ma utila dopo la disfenzione da HelpAssistant si è rivelata essere questa nel mio caso:

Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO


Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan.
Aspetta pazientemente la fine della scansione.
se venissero rilevati ADS, spunta tutte (senza paura) le caselline e clicca su Remove selected

Riavvia il pc.



Fai uno ScanDisk , e una deframmentazione del HD.

Il tuo antivirus riesce ad eseguire gli aggiornamenti?

Questa procedura non risolve il problema legato a HelpAssistant

[Marioacunto]

Ciao, scusa per il disturbo, sono infetto dal rootkit, ho cominciato la prima fase, a breve ti passo i log, grazie in anticipo!!!!

[Anakin85]

Quote:

Originariamente inviato da wjmat

ciao

i log sono puliti
procedi con i restanti punti

se non risolvi segui qui
http://www.hwupgrade.it/forum/showpo...postcount=2169

Ecco il log di Norman SinowalMBR Cleaner: NFix_2009-12-03_21-10-07.log

Anche qui sembra tutto apposto eppure il pc funziona male. Per aprire il browser ho dovuto aspettare 3 minuti. Possibile che non si riesca a rimuovere?

[Marioacunto]

ho fatto i primi 2 passi della prima fase
http://www.mediafire.com/?jyznmlyziwn

http://www.mediafire.com/?vi5jmmwlzym

per quanto rigurda la seconda scansione con prevx, all'avvio, dopo aver disattivato l'antivirus mi si spegne il pc. dopo averlo riacceso mi parte la scansione con prevx in cui rileva di nuovo il rootkit

[wjmat]

Quote:

Originariamente inviato da Anakin85

Ecco il log di Norman SinowalMBR Cleaner: NFix_2009-12-03_21-10-07.log

Anche qui sembra tutto apposto eppure il pc funziona male. Per aprire il browser ho dovuto aspettare 3 minuti. Possibile che non si riesca a rimuovere?

http://www.hwupgrade.it/forum/showpo...postcount=2169

[wjmat]

Quote:

Originariamente inviato da Marioacunto

ho fatto i primi 2 passi della prima fase
http://www.mediafire.com/?jyznmlyziwn

http://www.mediafire.com/?vi5jmmwlzym

per quanto rigurda la seconda scansione con prevx, all'avvio, dopo aver disattivato l'antivirus mi si spegne il pc. dopo averlo riacceso mi parte la scansione con prevx in cui rileva di nuovo il rootkit

ciao

prevx dovrebbe proporti la rimozione gratuita, rimuovi e procedi con la guida

[Enogar]

Quote:

Originariamente inviato da wjmat

nuovi log di gmer, prevx e fixmbr.exe -f

Ecco i log:

Gmer 2.txt

Prevx 2.log

mbr2.log

Per quanto riguarda Dr.web ho provato ad installare la versione trial della durata di 30 giorni ed è riuscito a finire la scansione rapida dove non trova mai nulla, però avviando quella completa non riesce a completarla e dopo poco rileva un errore e si chiude sempre allo stesso punto: alcune patch di FCM (fantacalcio manager, assolutamente sicure)...

Il pc ora sembra funzionare normalmente però è rimasta ancora la cartella HelpAssistant...come la cancello? in base ai log sono pulito?

[wjmat]

Quote:

Originariamente inviato da Enogar

Ecco i log:

Gmer 2.txt

Prevx 2.log

mbr2.log

Per quanto riguarda Dr.web ho provato ad installare la versione trial della durata di 30 giorni ed è riuscito a finire la scansione rapida dove non trova mai nulla, però avviando quella completa non riesce a completarla e dopo poco rileva un errore e si chiude sempre allo stesso punto: alcune patch di FCM (fantacalcio manager, assolutamente sicure)...

Il pc ora sembra funzionare normalmente però è rimasta ancora la cartella HelpAssistant...come la cancello? in base ai log sono pulito?

i log sono puliti a parte quello di mbr che rimarrà sporco

Tasto Win + R oppure Start → Esegui → digita o copia/incolla lusrmgr.msc batti invio ed entra nella cartella users poi ripeti con control userpasswords
in entrambe le finestre vedi HelpAssistant?

[Enogar]

Quote:

Originariamente inviato da wjmat

i log sono puliti a parte quello di mbr che rimarrà sporco

Tasto Win + R oppure Start → Esegui → digita o copia/incolla lusrmgr.msc batti invio ed entra nella cartella users poi ripeti con control userpasswords
in entrambe le finestre vedi HelpAssistant?

il primo comando non funziona, mi appare una schermata dove si dice che per vedere l'utente bisogna andare in pannello di controllo e poi account utente.
nella seconda, che apre il percorso descritto sopra, c'è il mio account e un account guest non attivato...

[wjmat]

Quote:

Originariamente inviato da Enogar

il primo comando non funziona, mi appare una schermata dove si dice che per vedere l'utente bisogna andare in pannello di controllo e poi account utente.
nella seconda, che apre il percorso descritto sopra, c'è il mio account e un account guest non attivato...

Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer - Utenti e gruppi locali - Users

[Anakin85]

Quote:

Originariamente inviato da wjmat

http://www.hwupgrade.it/forum/showpo...postcount=2169

Ho fatto come dici. Dopo essere uscito dalla console di ripristino ha effettuato il controllo del file system.

Sembra funzionare tutto, internet è molto più veloce e messenger e windows live mail non danno + errori. L'accensione è ancora eterne e la cpu lavora ancora al 100% senza motivo (anche se per pochi secondi). Credo che questo però sia un altro discorso, dovuto alla marea di processi attivi, ora risolverò anche questo.

Per ora grazie, speriamo di averlo battuto

Ho anche eliminato le cartelle help assistant e non sono riapparse al riavvio.

Ma in pratica la console di ripristino cosa ha fatto? Ha sostituito il file system?

[Enogar]

Quote:

Originariamente inviato da wjmat

Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer - Utenti e gruppi locali - Users

Sotto gestione computer non trovo utenti e gruppi locali...scusa l'ignoranza

Vedo: utilità di sistema, archiviazione, servizi e applicazioni

[Marioacunto]

questo è il log dopo la rimozione con prevx
http://www.mediafire.com/file/td40t0ynong/prevx2.log

[wjmat]

Quote:

Originariamente inviato da Anakin85

Ho fatto come dici. Dopo essere uscito dalla console di ripristino ha effettuato il controllo del file system.

Sembra funzionare tutto, internet è molto più veloce e messenger e windows live mail non danno + errori. L'accensione è ancora eterne e la cpu lavora ancora al 100% senza motivo (anche se per pochi secondi). Credo che questo però sia un altro discorso, dovuto alla marea di processi attivi, ora risolverò anche questo.

Per ora grazie, speriamo di averlo battuto

Ho anche eliminato le cartelle help assistant e non sono riapparse al riavvio.

Ma in pratica la console di ripristino cosa ha fatto? Ha sostituito il file system?

ottimo

fixmbr va riscrivere solo il MBR

[wjmat]

Quote:

Originariamente inviato da Enogar

Sotto gestione computer non trovo utenti e gruppi locali...scusa l'ignoranza

Vedo: utilità di sistema, archiviazione, servizi e applicazioni

strano

la cartella helpassistant eliminala pure e controlla che non si riformi

[wjmat]

Quote:

Originariamente inviato da Marioacunto

questo è il log dopo la rimozione con prevx
http://www.mediafire.com/file/td40t0ynong/prevx2.log

procedi con i restanti punti

[Enogar]

Quote:

Originariamente inviato da wjmat

strano

la cartella helpassistant eliminala pure e controlla che non si riformi

non posso cancellarla perchè mi dice che il file NTUSER è già in uso da un altro programma e non può essere cancellato.
Ho provato a cliccare con il destro su risorse del computer/proprietà/avanzate/profilo utente/impostazioni e ho trovato 3 profili: admistrator, daniele (il mio) e poi helpassistant però in account utente administrator ed help assistant non ci sono, c'è solo il mio e guest (non attivato)...

[Chill-Out]

Quote:

Originariamente inviato da Enogar

Sotto gestione computer non trovo utenti e gruppi locali...scusa l'ignoranza

Vedo: utilità di sistema, archiviazione, servizi e applicazioni

Non la trovi perchè il tuo SO è XP Home Edition

Quote:

Originariamente inviato da Enogar

non posso cancellarla perchè mi dice che il file NTUSER è già in uso da un altro programma e non può essere cancellato.
Ho provato a cliccare con il destro su risorse del computer/proprietà/avanzate/profilo utente/impostazioni e ho trovato 3 profili: admistrator, daniele (il mio) e poi helpassistant però in account utente administrator ed help assistant non ci sono, c'è solo il mio e guest (non attivato)...

Start - Pannello di controllo - Account utente ed elimina il profilo HelpAssistant dopodichè elimina la cartella.

[Enogar]

Quote:

Originariamente inviato da Chill-Out

Non la trovi perchè il tuo SO è XP Home Edition

Esatto

Quote:

Originariamente inviato da Chill-Out

Start - Pannello di controllo - Account utente ed elimina il profilo HelpAssistant dopodichè elimina la cartella.

Nel percorso che mi hai indicato ci sono soltanto Daniele (mio account) e Guest (non so cosa sia, ma risulta non essere attivo)...