Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[vostro77]

Quote:

Originariamente inviato da Chill-Out

Saltala tanto crasha ancora, passa a Prevx

infatti ha craschato di nuovo.... ho fatto intempo ad intravvedere nella schermata blu che faceva riferimento ad un file ma nn ho fatto tempo a segnarmi il nome.. era qualcosa tipo uvlcjob...
se questo file potrebbe essere importante potrei farlo crashare di nuovo per segnarmi il file.

Con Prevx sembra non mi segnala nessuna anomalia...
cmq ho allegato il log.
http://www.mediafire.com/file/zotmwiynjjy/Prevx.txt

[Chill-Out]

Quote:

Originariamente inviato da vostro77

infatti ha craschato di nuovo.... ho fatto intempo ad intravvedere nella schermata blu che faceva riferimento ad un file ma nn ho fatto tempo a segnarmi il nome.. era qualcosa tipo uvlcjob...
se questo file potrebbe essere importante potrei farlo crashare di nuovo per segnarmi il file.

Con Prevx sembra non mi segnala nessuna anomalia...
cmq ho allegato il log.
http://www.mediafire.com/file/zotmwiynjjy/Prevx.txt

No non serve, dovrebbe trattarsi del driver caricato da Gmer, mentre per quanto concerne Prevx il log è pulito, quindi il problema non sembra riconducibile ad un virus, più probabilmente ad una incompatibilità a livello software.

[vostro77]

Quote:

Originariamente inviato da Chill-Out

No non serve, dovrebbe trattarsi del driver caricato da Gmer, mentre per quanto concerne Prevx il log è pulito, quindi il problema non sembra riconducibile ad un virus, più probabilmente ad una incompatibilità a livello software.

ok grazie mille per l'aiuto!

[Chill-Out]

Quote:

Originariamente inviato da vostro77

ok grazie mille per l'aiuto!

Prego

[vostro77]

Quote:

Originariamente inviato da Chill-Out

No non serve, dovrebbe trattarsi del driver caricato da Gmer, mentre per quanto concerne Prevx il log è pulito, quindi il problema non sembra riconducibile ad un virus, più probabilmente ad una incompatibilità a livello software.

Oggi non riesco neanche ad accenderlo il pc(sto usando il pc di casa infatti),cioe' parte ma gia mette il doppio del tempo a caricare windows e quindi ha da subito la cpu al 100% e quindi e' inutilizzabile,gli altri giorni dopo qualche riavvio la situazione andava a posto da se... oggi non ne vuole sapere.
Sto iniziando a temere che sia la cpu che mi stia per salutare... potrebbe trattarsi di un problema hardware? qualche consiglio per verificare la condizione della cpu? in alternativa penso che provero' a formattare tutto e magari ci metto su xp anziche vista sperando che la cpu sia salva...

[Chill-Out]

Quote:

Originariamente inviato da vostro77

Oggi non riesco neanche ad accenderlo il pc(sto usando il pc di casa infatti),cioe' parte ma gia mette il doppio del tempo a caricare windows e quindi ha da subito la cpu al 100% e quindi e' inutilizzabile,gli altri giorni dopo qualche riavvio la situazione andava a posto da se... oggi non ne vuole sapere.
Sto iniziando a temere che sia la cpu che mi stia per salutare... potrebbe trattarsi di un problema hardware? qualche consiglio per verificare la condizione della cpu? in alternativa penso che provero' a formattare tutto e magari ci metto su xp anziche vista sperando che la cpu sia salva...

http://www.hwupgrade.it/forum/showpo...ostcount=12139

[vostro77]

Quote:

Originariamente inviato da vostro77

Oggi non riesco neanche ad accenderlo il pc(sto usando il pc di casa infatti),cioe' parte ma gia mette il doppio del tempo a caricare windows e quindi ha da subito la cpu al 100% e quindi e' inutilizzabile,gli altri giorni dopo qualche riavvio la situazione andava a posto da se... oggi non ne vuole sapere.
Sto iniziando a temere che sia la cpu che mi stia per salutare... potrebbe trattarsi di un problema hardware? qualche consiglio per verificare la condizione della cpu? in alternativa penso che provero' a formattare tutto e magari ci metto su xp anziche vista sperando che la cpu sia salva...

Aggiornamento!!

Alla fine ho formattato e installato Xp al posto di vista.
Tutto abbastanza normale fino a quando non inizio con gli aggiornamenti che mi ci impiegano ore ed ore... poi come faccio andare explorer e poi firefox la cpu inizia ad intasarsi di nuovo come con vista.
ho poi letto sul forum che l'antivirus AVG aveva creato questo tipo di problema di intasamento della cpu a diversi utenti... a quel punto disinstallo AVG che avevo sia su vista che ora su xp e installo la security suit di kasperky 2010 in prova...
risultato non cambia nulla... a differenza di vista che andava era subito fisso al 100% ora con xp la cpu mi vola al 100% appena apro il browser o qualche picola applicazione.

Visto che il mio portatile e' un dell vostro 1500 oggi chiamo in assistenza e per telefono mi fanno fare la diagnostica hardware e da li sembrerebbe che l'hardware e' tutto ok!!!

[wjmat]

Quote:

Originariamente inviato da vostro77

Aggiornamento!!

Alla fine ho formattato e installato Xp al posto di vista.
Tutto abbastanza normale fino a quando non inizio con gli aggiornamenti che mi ci impiegano ore ed ore... poi come faccio andare explorer e poi firefox la cpu inizia ad intasarsi di nuovo come con vista.
ho poi letto sul forum che l'antivirus AVG aveva creato questo tipo di problema di intasamento della cpu a diversi utenti... a quel punto disinstallo AVG che avevo sia su vista che ora su xp e installo la security suit di kasperky 2010 in prova...
risultato non cambia nulla... a differenza di vista che andava era subito fisso al 100% ora con xp la cpu mi vola al 100% appena apro il browser o qualche picola applicazione.

Visto che il mio portatile e' un dell vostro 1500 oggi chiamo in assistenza e per telefono mi fanno fare la diagnostica hardware e da li sembrerebbe che l'hardware e' tutto ok!!!

qui ormai siamo OT
prova ad installare antivir come AV residente e poi fare un test alla RAM e avviare in modalità provvisoria

poi posta gli aggiornamenti sulla tua situazione qui
http://www.hwupgrade.it/forum/forumdisplay.php?f=33
oppure nel 3d relativo al tuo portatile, se c'è nella sezione portatili

[neway]

Anch'io credo di essere vittima del rootkit. Purtroppo prima di trovare questa guida ne ho seguite altre, ho dunque pasticciato un po' con i programmi di analisi e rimozione.

Mia configurazione: windows XP SP3. Ho due hard disk fisici: uno è C con windows, l'altro è partizionato in due (D, E). La cartella documenti di windows l'ho spostata nel drive D.
Ho usato l'ultima versione di tutti i software.
Sintomi: Computer lento, crash improvviso di programmi (soprattutto firefox), ogni tanto spunta un messaggio di windows con sfondo blu con su scritto che per evitare ulteriori danni windows si è bloccato bla bla bla.

Per prima cosa ho disabilitato il ripristino di configurazione di sistema.

Poi ho scaricato GMER, ma mandandolo in esecuzione si chiudeva dopo pochi istanti: sia in modalità normale che provvisoria.

Allora ho scaricato Stealth MBR rootkit detector e avviato in modalità provvisoria con il comando c:\mbr.exe -f. ha generato il log mbr PRIMA

Allora ho scaricato e avviato il software Combofix che ha generato il log ComboFix PRIMA. Notare che nel log c'è scritto original MBR restored successfully !

Facendo di nuovo la scansione con Combofix, il log mi sembra pulito (Combofix.txt)

Poichè Stealth MBR rootkit detector continuava a darmi un log simile (vedi mbr.log) ho deciso di far partire la consolle di ripristino di windows e ho dato il comando Fixmbr. L'operazione è andata a buon fine ma il log di mbr continua a rimanere uguale a mbr.log

Per districarmi in questa situazione ambigua ho fatto la scansione con

Norman_Sinowal_Cleaner.exe che non ha trovato niente (NFix_2009-12-23_09-10-19.log)

Prevx che ha trovato due trojan che non c'entrano niente e che ho rimosso manualmente. Il log è pulito (prevx1.log)

Infine ho scoperto che ora GMER funziona, ma due versioni diverse danno log differenti (non ho fatto la scansione completa ma si tratta di quella veloce all'avvio):
Con la versione 1.1.15.15227 spunta un driver ACPI sospetto (GMER 1.0.15.15227.log)
che con la versione 1.0.15.15281 , quella attuale, non spunta (GMER 1.0.15.15281.log)

Sono parecchio confuso. I programmi non segnalano niente di chiaro e i sintomi continuano.
AIUTO!!!!!

[Chill-Out]

Ciao, allega i log inerenti la prima fase.

[neway]

Anch'io credo di essere vittima del rootkit. Purtroppo prima di trovare questa guida ne ho seguite altre, ho dunque pasticciato un po' con i programmi di analisi e rimozione.

Mia configurazione: windows XP SP3. Ho due hard disk fisici: uno è C con windows, l'altro è partizionato in due (D, E). La cartella documenti di windows l'ho spostata nel drive D.
Ho usato l'ultima versione di tutti i software.
Sintomi: Computer lento, crash improvviso di programmi (soprattutto firefox), ogni tanto spunta un messaggio di windows con sfondo blu con su scritto che per evitare ulteriori danni windows si è bloccato bla bla bla.

Per prima cosa ho disabilitato il ripristino di configurazione di sistema.

Poi ho scaricato GMER, ma mandandolo in esecuzione si chiudeva dopo pochi istanti: sia in modalità normale che provvisoria.

Allora ho scaricato Stealth MBR rootkit detector e avviato in modalità provvisoria con il comando c:\mbr.exe -f. ha generato il log mbr PRIMA

Allora ho scaricato e avviato il software Combofix che ha generato il log ComboFix PRIMA. Notare che nel log c'è scritto original MBR restored successfully !

Facendo di nuovo la scansione con Combofix, il log mi sembra pulito (Combofix.txt)

Poichè Stealth MBR rootkit detector continuava a darmi un log simile (vedi mbr.log) ho deciso di far partire la consolle di ripristino di windows e ho dato il comando Fixmbr. L'operazione è andata a buon fine ma il log di mbr continua a rimanere uguale a mbr.log

Per districarmi in questa situazione ambigua ho fatto la scansione con

Norman_Sinowal_Cleaner.exe che non ha trovato niente (NFix_2009-12-23_09-10-19.log)

Prevx che ha trovato due trojan che non c'entrano niente e che ho rimosso manualmente. Il log è pulito (prevx1.log)

Infine ho scoperto che ora GMER funziona, ma due versioni diverse danno log differenti (non ho fatto la scansione completa ma si tratta di quella veloce all'avvio):
Con la versione 1.1.15.15227 spunta un driver ACPI sospetto (GMER 1.0.15.15227.log)
che con la versione 1.0.15.15281 , quella attuale, non spunta (GMER 1.0.15.15281.log)

Sono parecchio confuso. I programmi non segnalano niente di chiaro e i sintomi continuano.
AIUTO!!!!!


mbr PRIMA.txt
ComboFix PRIMA.txt
mbr.txt
ComboFix.txt
NFix_2009-12-23_09-10-19.log
Prevx1.log
GMER 1.0.15.15227.log
GMER 1.0.15.15281.log

[AttilsNa]

Ragazzi siete la mia unica speranza.Ho cercato di fare più volte da solo ma non ci riesco.
Non riesco più a vedere film in streaming che o per il CPU che sale subito a 100% o il file di paging molto elevato; inoltre mi dava un errore quando stavo su msn,che mi diceva se inviare o no la segnalazione e cliccando su invia,si scollegava msn e così all'infinito.
Così ho seguito una discussione su un forum e ho scoperto che sono infetto da malwer, (se non sbaglio perchè quell'errore era un file .ddll una cosa del genere,ed era un malwe molto pericoloso).
Mi scuso prima con tutti,che non sono tanto esperto in questo campo, però sto cercando di mettercela tutta per risolvere questo problema.
-
Ho seguito questo percorso http://www.hwupgrade.it/forum/archiv...t-1715546.html
e ho disattivato il ripristino configurazione sistema
Ho scansionato (non so se è la parola giusta) il pc con Gmar e Prevx 3.0 ottenendo due log, che spero di saper allegare
Prex dice che è possibile cancellare gratuitamente i file infetti,ho provato come dalla procedura,ma il sistema mi va in crash(spero si dica così),si apre una finestra blue con delle scritte,che dicono tipo che se era la prima volta che usciva quella pagina riavviare il pc ecc. ecc.
Adesso vorreri se qualcuno riesca a chiarirmi un po di idee
e mi presti assistenza per continuare, da prex risultano 38 infezioni.
Riesco a cancellare questi virus? vi prego davvero,sto diventando pazzo.Ho visto diversi forum,ma questo mi è sembrato il migliore in giro;ho visto risposte da parte dello staff veramente serie e utilissime...
mi scuso ancora per la mia ignoranza in materia,vi prego aiutatemi
spero di aver scritto nella sezione appropiata ^^

dei 2 log riesco ad allegare solo il log di gmar
quello di prex non mi si allega,
da quanto ho capito forse supera le dimensioni max fissate. Il log di prex è 345kb

Vi prego ditemi come meglio posso farmi capire se non vi è chiaro qualcosa,Grazie

[Chill-Out]

Quote:

Originariamente inviato da neway

Sono parecchio confuso. I programmi non segnalano niente di chiaro e i sintomi continuano.
AIUTO!!!!!

Se da Recovery Console ha riparato il MBR il problema è risolto, per scrupolo fai scansione completa con DrWeb CureIt.

[Chill-Out]

Quote:

Originariamente inviato da AttilsNa

Ragazzi siete la mia unica speranza.Ho cercato di fare più volte da solo ma non ci riesco.
Non riesco più a vedere film in streaming che o per il CPU che sale subito a 100% o il file di paging molto elevato; inoltre mi dava un errore quando stavo su msn,che mi diceva se inviare o no la segnalazione e cliccando su invia,si scollegava msn e così all'infinito.
Così ho seguito una discussione su un forum e ho scoperto che sono infetto da malwer, (se non sbaglio perchè quell'errore era un file .ddll una cosa del genere,ed era un malwe molto pericoloso).
Mi scuso prima con tutti,che non sono tanto esperto in questo campo, però sto cercando di mettercela tutta per risolvere questo problema.
-
Ho seguito questo percorso http://www.hwupgrade.it/forum/archiv...t-1715546.html
e ho disattivato il ripristino configurazione sistema
Ho scansionato (non so se è la parola giusta) il pc con Gmar e Prevx 3.0 ottenendo due log, che spero di saper allegare
Prex dice che è possibile cancellare gratuitamente i file infetti,ho provato come dalla procedura,ma il sistema mi va in crash(spero si dica così),si apre una finestra blue con delle scritte,che dicono tipo che se era la prima volta che usciva quella pagina riavviare il pc ecc. ecc.
Adesso vorreri se qualcuno riesca a chiarirmi un po di idee
e mi presti assistenza per continuare, da prex risultano 38 infezioni.
Riesco a cancellare questi virus? vi prego davvero,sto diventando pazzo.Ho visto diversi forum,ma questo mi è sembrato il migliore in giro;ho visto risposte da parte dello staff veramente serie e utilissime...
mi scuso ancora per la mia ignoranza in materia,vi prego aiutatemi
spero di aver scritto nella sezione appropiata ^^

dei 2 log riesco ad allegare solo il log di gmar
quello di prex non mi si allega,
da quanto ho capito forse supera le dimensioni max fissate. Il log di prex è 345kb

Vi prego ditemi come meglio posso farmi capire se non vi è chiaro qualcosa,Grazie

Nella guida in prima pagina http://www.hwupgrade.it/forum/showthread.php?t=1715546 trovi l'elenco dei server remoti da utilizzare per allegare i log.
Attendiamo quello di Prevx, ciao.

[neway]

Quote:

Se da Recovery Console ha riparato il MBR il problema è risolto, per scrupolo fai scansione completa con DrWeb CureIt.

Moooolto strano. Ho scaricato l'ultima versione di Dr web Cure it. Apro il file .exe e compaiono i due tasti "aggiorna" e "Avvia". Cliccando su avvia, dopo pochi istanti, il computer si riavvia (o meglio si resetta perchè non c'è traccia di una normale uscita da windows).

In soldoni non riesco a fare la scansione.

In effetti il problema dev'essersi in parte risolto perchè i sintomi sono meno gravi: è scomparsa la grave lentezza ma rimangono degli effetti collaterali: il browser predefinito è ora explorer e non firefox, inoltre mi vengono ancora riscontrati degli errori del sistema windows a 16 bit quando eseguo dei vecchi programmi fortran in dos (mi sono accorto del rootkit proprio a partire da questo sintomo)

Grazie per l'assistenza il 24 di dicembre

[Chill-Out]

Quote:

Originariamente inviato da neway

Moooolto strano. Ho scaricato l'ultima versione di Dr web Cure it. Apro il file .exe e compaiono i due tasti "aggiorna" e "Avvia". Cliccando su avvia, dopo pochi istanti, il computer si riavvia (o meglio si resetta perchè non c'è traccia di una normale uscita da windows).

In soldoni non riesco a fare la scansione.

In effetti il problema dev'essersi in parte risolto perchè i sintomi sono meno gravi: è scomparsa la grave lentezza ma rimangono degli effetti collaterali: il browser predefinito è ora explorer e non firefox, inoltre mi vengono ancora riscontrati degli errori del sistema windows a 16 bit quando eseguo dei vecchi programmi fortran in dos (mi sono accorto del rootkit proprio a partire da questo sintomo)

Grazie per l'assistenza il 24 di dicembre

Per quanto concerne CureIt a volte capita, quindi è inutile insistere, per ripristinare FF come predefinito http://support.mozilla.com/it/kb/Imp...er+predefinito.

[unnoacaso]

ciao a tutti, ho colto l'occasione per registrarmi al forum che ho letto spesso.
ieri ho preso (presumo) questo mbr rootkit mentre navigavo, mi è apparso subito un avviso di antivir, ho bloccato l'accesso ma è passato lo stesso perchè dopo un pò c'è stato un riavvio spontaneo del pc e ho cominciato a riscontrare problemi nella navigazione (indirizzi che non si aprivano più, cliccando sul destro sui link cerca di aprire pagine strane). ho anche visto che nella cartello documents and settings era apparso l'utente helpassistant.
come l'utente che ha scritto un paio di messaggi sopra prima di trovare questa ottima guida, ne ho seguite altre più incasinate e ho pasticciato un pò con i programmi/tool indicati. adesso il problema durante la navigazione sembra essere sparito, però non mi fido molto e vorrei seguire la vostra procedura da capo, quindi linko i primi log:

http://wikisend.com/download/808274/gmer_log.txt

http://wikisend.com/download/446580/prevx_log.txt


prevx mi trova un problema ma per toglierlo dice che occorre la licenza.
devo procedere con la fase2?

1)nel computer ho due hard disk, entrambi con sistema operativo xp, devo controllare anche l'altro (che non mi dà problemi)?
2)nel caso valuto anche la possibilità di formattare, visto che la cosa era in programma per dare una pulita, però ho letto che potrebbe anche non togliersi. dovrei attaccare un hard disk esterno per salvare i dati, rischio che si infetti anche quello attaccandolo?

[AttilsNa]

Quote:

Originariamente inviato da Chill-Out

Nella guida in prima pagina http://www.hwupgrade.it/forum/showthread.php?t=1715546 trovi l'elenco dei server remoti da utilizzare per allegare i log.
Attendiamo quello di Prevx, ciao.

ho copiato entrambi i link per sicurezza ^^

http://wikisend.com/download/445970/gmer.txt
gmer.txt

http://www.hwupgrade.it/forum/showthread.php?t=1715546
prex1.log


questi sono i log,ieri avevo 38 file infetti per prex e così ho seguito il percorso e sono andato a cancellare i file che sono segnalati,ma come sempre non riesco a trovare nel percorso ( C:/document and setting/utente/impostazioni locali/temp/-temp/ e poi il file ) quì la cartella -temp non esiste in quel percorso,mentre quella che è in help assistent c'è e la cancello.Ma dopo un po mi ritornano i 38-39- a volte 42 file infetti...
Grazie mille,e colgo l'occasione per augurarvi un Buon Natale e felice anno nuovo a tutti

[neway]

Quote:

Per quanto concerne CureIt a volte capita, quindi è inutile insistere

Ultima cosa: Sotto document and settings c'è la cartella HelpAssistant. Se vado come descritto nella guida in gestione computer, non trovo la voce Utenti e gruppi locali sotto Gestione computer (allego uno screenshot)



Come cancello questa maledetta cartella?

Grazie

[Chill-Out]

Quote:

Originariamente inviato da neway

Ultima cosa: Sotto document and settings c'è la cartella HelpAssistant. Se vado come descritto nella guida in gestione computer, non trovo la voce Utenti e gruppi locali sotto Gestione computer (allego uno screenshot)



Come cancello questa maledetta cartella?

Grazie

Computer - tasto dx del mouse Proprietà -Avanzate - Profilo utente - Impostazioni

elimina il profilo HelpAssistant e dovrebbe sparire anche la cartella.