Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT - Pagina 111

**Chill-Out** · 04-12-2009, 16:47

Quote:

Originariamente inviato da Enogar

Esatto

Nel percorso che mi hai indicato ci sono soltanto Daniele (mio account) e Guest (non so cosa sia, ma risulta non essere attivo)...

Allegami su http://imageshack.us/ uno screenshot dei Profili utente

Enogar · 04-12-2009, 16:57

Quote:

Originariamente inviato da Chill-Out

Allegami su http://imageshack.us/ uno screenshot dei Profili utente

ecco il link

http://img192.imageshack.us/img192/7086/accountd.jpg

**Chill-Out** · 04-12-2009, 17:16

Quote:

Originariamente inviato da Enogar

non posso cancellarla perchè mi dice che il file NTUSER è già in uso da un altro programma e non può essere cancellato.
Ho provato a cliccare con il destro su risorse del computer/proprietà/avanzate/profilo utente/impostazioni e ho trovato 3 profili: admistrator, daniele (il mio) e poi helpassistant però in account utente administrator ed help assistant non ci sono, c'è solo il mio e guest (non attivato)...

Intendevo la screenshot della parte in grassetto

**Chill-Out** · 04-12-2009, 17:22

Aggiornamento provvisorio della Guida per il problema HelpAssistant

Marioacunto · 04-12-2009, 17:32

Scusate, nella seconda fase, dopo aver riavviato in modalità provvisoria, eseguo mbr.exe, esce una schermata nera per un secondo, dopodichè scompare. Mi sapete dire cosa è successo??? Ho riprovato più volte ma nnt.....

wjmat · 04-12-2009, 17:37

Quote:

Originariamente inviato da Chill-Out

Aggiornamento provvisorio della Guida per il problema HelpAssistant

ottimo

wjmat · 04-12-2009, 17:38

Quote:

Originariamente inviato da Marioacunto

Scusate, nella seconda fase, dopo aver riavviato in modalità provvisoria, eseguo mbr.exe, esce una schermata nera per un secondo, dopodichè scompare. Mi sapete dire cosa è successo??? Ho riprovato più volte ma nnt.....

in c: avrai il log

Enogar · 04-12-2009, 20:07

Quote:

Originariamente inviato da Chill-Out

Intendevo la screenshot della parte in grassetto

Scusami ha capito male, eccoti lo screenshot giusto.

http://img338.imageshack.us/img338/9329/accout2.jpg

Marioacunto · 04-12-2009, 23:21

Questi sono i log della seconda fase:
http://www.mediafire.com/file/z2dudmjjjmz/mbr.log

http://www.mediafire.com/file/0dgoem...4_22-50-23.log

Posso passare alla terza fase???? Grazie...

Marioacunto · 05-12-2009, 01:36

Questo è il log della terza fase

http://www.mediafire.com/file/0zht4w...t filtrato.txt

Adesso cosa posso fare per capire se l'ho davvero rimosso?????

**Chill-Out** · 05-12-2009, 09:08

Quote:

Originariamente inviato da Enogar

Scusami ha capito male, eccoti lo screenshot giusto.

http://img338.imageshack.us/img338/9329/accout2.jpg

Elimina il Profilo e cancella la cartella.

**Chill-Out** · 05-12-2009, 09:12

Quote:

Originariamente inviato da Marioacunto

Questo è il log della terza fase

http://www.mediafire.com/file/0zht4w...t filtrato.txt

Adesso cosa posso fare per capire se l'ho davvero rimosso?????

Dovremmo essere ok, allega un nuovo log di Prevx.

Enogar · 05-12-2009, 15:08

Quote:

Originariamente inviato da Chill-Out

Elimina il Profilo e cancella la cartella.

Ho eliminato il profilo ed è scomparsa anche la cartella

Devo fare un altro scan con qualche programma o posso dirmi pulito?

**Chill-Out** · 05-12-2009, 20:19

Quote:

Originariamente inviato da Enogar

Ho eliminato il profilo ed è scomparsa anche la cartella

Devo fare un altro scan con qualche programma o posso dirmi pulito?

Direi di no, segui i suggerimenti che trovi sempre nella Guida in prima pagina, ciao.

Enogar · 05-12-2009, 20:47

Quote:

Originariamente inviato da Chill-Out

Direi di no, segui i suggerimenti che trovi sempre nella Guida in prima pagina, ciao.

Si lo faccio subito!

Grazie mille di tutto ragazzi senza di voi non ce l'avrei fatta!!!

Marioacunto · 06-12-2009, 02:33

questo è il nuovo log di prevx
http://www.mediafire.com/file/dyzyzmeyjyz/prevx.log

grazie!!!!

**Chill-Out** · 06-12-2009, 09:10

Quote:

Originariamente inviato da Enogar

Si lo faccio subito!

Grazie mille di tutto ragazzi senza di voi non ce l'avrei fatta!!!

Prego

**Chill-Out** · 06-12-2009, 09:11

Quote:

Originariamente inviato da Marioacunto

questo è il nuovo log di prevx
http://www.mediafire.com/file/dyzyzmeyjyz/prevx.log

grazie!!!!

Ok, segui i suggerimenti che trovi sempre nella Guida in prima pagina, ciao.

Vanc3 · 06-12-2009, 13:27

Salve a tutti,

Settimana scorsa andando su internet ho preso un trojan che avast ha provveduto a terminare subito. Subito dopo il pc ha cominiciato a rallentare a crashare ect..
Personalmente ho agito con combofix che mi ha subito segnalato la presenza di rootkit. Finita la scansione combofix mette in quarantena un file atapi.sys.vir.
Il pc ora funziona come prima ma l'mbr rimane intaccato:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x057541440
malicious code @ sector 0x057541443 !
PE file found in sector at 0x057541459 !

Facendo la scansione con tutti i programmi della guida solo prevx mi trova dei file sospetti ma che apparentemente non centrano nulla col mio problema
http://img214.imageshack.us/img214/3161/prevx.png
So per certo che l'exe in questione è un utility della mia stampante
Facendo la scansione del primo file con virscan 2 antivirus lo segnalano come trojan:
nProtect 20091127.01 6396533 2009-11-27
Trojan-Dropper/W32.LJoiner.380928

VBA32 3.12.12.0 20091130.1546 2009-11-30
Trojan-Dropper.Win32.LJoiner.bi

Spero di essere stato abbastanza esaustivo e attendo risposte

.

gabmac2 · 06-12-2009, 13:58

allora,avevo postato qualche giorno fa,avevo preso tempo fa questo virus, risolto formattando,dopo instabilità sistema,dopo circa un mese l' ho ripreso.....sui dischi nessun file infetto segnalato al tempo,se non un sinowal in un disco differente da dove c' è il sistema non tolto in tempo.....si possono trasmettere da dischi?dove si prendono in genere questi virus?

attuale responso FixMebroot

Symantec Trojan.Mebroot Removal Tool 1.0.1
Found drive \\.\PhysicalDrive0, analyzing MBR...
Found drive \\.\PhysicalDrive1, analyzing MBR...
Found drive \\.\PhysicalDrive2, analyzing MBR...
Found drive \\.\PhysicalDrive3, analyzing MBR...
Creating FixMebroot service driver
Running driver...
Trojan.Mebroot has not been found active on your computer.
Delete service driver
Delete driver file
End

The system requires a reboot but was not rebooted.
To clean up all remnants of the threat from the system it must be rebooted.

Sono a posto?

04-12-2009, 17:22	#2204
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Aggiornamento provvisorio della Guida per il problema HelpAssistant __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

06-12-2009, 13:27	#2219
Vanc3 Junior Member Iscritto dal: Jul 2009 Messaggi: 19	MBR Rootkit e altro? Salve a tutti, Settimana scorsa andando su internet ho preso un trojan che avast ha provveduto a terminare subito. Subito dopo il pc ha cominiciato a rallentare a crashare ect.. Personalmente ho agito con combofix che mi ha subito segnalato la presenza di rootkit. Finita la scansione combofix mette in quarantena un file atapi.sys.vir. Il pc ora funziona come prima ma l'mbr rimane intaccato: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK copy of MBR has been found in sector 0x057541440 malicious code @ sector 0x057541443 ! PE file found in sector at 0x057541459 ! Facendo la scansione con tutti i programmi della guida solo prevx mi trova dei file sospetti ma che apparentemente non centrano nulla col mio problema http://img214.imageshack.us/img214/3161/prevx.png So per certo che l'exe in questione è un utility della mia stampante Facendo la scansione del primo file con virscan 2 antivirus lo segnalano come trojan: nProtect 20091127.01 6396533 2009-11-27 Trojan-Dropper/W32.LJoiner.380928 VBA32 3.12.12.0 20091130.1546 2009-11-30 Trojan-Dropper.Win32.LJoiner.bi Spero di essere stato abbastanza esaustivo e attendo risposte .

06-12-2009, 13:58	#2220
gabmac2 Senior Member Iscritto dal: Jun 2009 Messaggi: 5558	allora,avevo postato qualche giorno fa,avevo preso tempo fa questo virus, risolto formattando,dopo instabilità sistema,dopo circa un mese l' ho ripreso.....sui dischi nessun file infetto segnalato al tempo,se non un sinowal in un disco differente da dove c' è il sistema non tolto in tempo.....si possono trasmettere da dischi?dove si prendono in genere questi virus? attuale responso FixMebroot Symantec Trojan.Mebroot Removal Tool 1.0.1 Found drive \\.\PhysicalDrive0, analyzing MBR... Found drive \\.\PhysicalDrive1, analyzing MBR... Found drive \\.\PhysicalDrive2, analyzing MBR... Found drive \\.\PhysicalDrive3, analyzing MBR... Creating FixMebroot service driver Running driver... Trojan.Mebroot has not been found active on your computer. Delete service driver Delete driver file End The system requires a reboot but was not rebooted. To clean up all remnants of the threat from the system it must be rebooted. Sono a posto? Ultima modifica di gabmac2 : 06-12-2009 alle 14:08.

04-12-2009, 17:32	#2205
Marioacunto Junior Member Iscritto dal: Dec 2009 Messaggi: 7	Scusate, nella seconda fase, dopo aver riavviato in modalità provvisoria, eseguo mbr.exe, esce una schermata nera per un secondo, dopodichè scompare. Mi sapete dire cosa è successo??? Ho riprovato più volte ma nnt.....

04-12-2009, 23:21	#2209
Marioacunto Junior Member Iscritto dal: Dec 2009 Messaggi: 7	Questi sono i log della seconda fase: http://www.mediafire.com/file/z2dudmjjjmz/mbr.log http://www.mediafire.com/file/0dgoem...4_22-50-23.log Posso passare alla terza fase???? Grazie...

05-12-2009, 01:36	#2210
Marioacunto Junior Member Iscritto dal: Dec 2009 Messaggi: 7	Questo è il log della terza fase http://www.mediafire.com/file/0zht4w...t filtrato.txt Adesso cosa posso fare per capire se l'ho davvero rimosso?????

06-12-2009, 02:33	#2216
Marioacunto Junior Member Iscritto dal: Dec 2009 Messaggi: 7	questo è il nuovo log di prevx http://www.mediafire.com/file/dyzyzmeyjyz/prevx.log grazie!!!!

Strumenti
Mostra una versione stampabile Invia questa pagina per email