Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT - Pagina 119

**Chill-Out** · 11-01-2010, 17:06

Quote:

Originariamente inviato da Briseide28

Log con mbr detector:
http://wikisend.com/download/943784/mbr.log
Con Norman_Sinowal_Cleaner ho avuto un po' di problemi, nel senso che la scansione finisce sempre per bloccarsi... Ho provato svariate volte, sia in modalità provvisoria che non, ma niente

Questo è il log che mi ha salvato, ovviamente incompleto.
http://wikisend.com/download/612412/NFix_ok.txt
Con dr.web di male in peggio... quando avvio la scansione si impalla tutto e devo per forza riavviare.
Infine ho inattivato help assistant, almeno quello con successo.

Come mi muovo ora? Grazie!

Nuovo log di Prevx e verifica che il profilo HelpAssistant non sia ricomparso.

FabioBi · 11-01-2010, 18:59

Quote:

Originariamente inviato da Chill-Out

Al momento wikisend non è disponibile, hai provato su http://www.mediafire.com/ ?

Ecco il log da mediafire. Spero di aver fatto corretamente perchè l'upload non è molto intuitivo:

http://www.mediafire.com/file/gzzmtn...itFiltrato.txt

Grazie

Briseide28 · 11-01-2010, 21:38

Il maledetto Help assistant continua a riattivarsi...

Ma dopo aver seguito le indicazioni del primo post, per caso devo eliminarlo anche da documents and setting e dagli users?
Comunque questa è il log con prevX:
http://www.mediafire.com/?zafkqumqz4m

**Chill-Out** · 12-01-2010, 10:17

Quote:

Originariamente inviato da FabioBi

Ecco il log da mediafire. Spero di aver fatto corretamente perchè l'upload non è molto intuitivo:

http://www.mediafire.com/file/gzzmtn...itFiltrato.txt

Grazie

Log pulito, segui il trattamento post infezione.

**Chill-Out** · 12-01-2010, 10:19

Quote:

Originariamente inviato da Briseide28

Il maledetto Help assistant continua a riattivarsi...

Ma dopo aver seguito le indicazioni del primo post, per caso devo eliminarlo anche da documents and setting e dagli users?
Comunque questa è il log con prevX:
http://www.mediafire.com/?zafkqumqz4m

Fammi capire, hai eliminato il profilo HelpAssistant ed al riavvio si è ricreato?

Briseide28 · 12-01-2010, 13:17

--- scusate il doppio post, colpa del pc impallato!

Briseide28 · 12-01-2010, 13:24

Ho seguito le istruzioni nella guida, cioè da gestione computer ho disabilitato Help Assistant e rimosso questi dal tab membro di. Al riavvio successivo, o quello dopo, torna tutto come prima, con Help assistant riabilitato e presente come membro di administrator. C'è da dire che però non sono dei veri e propri riavvii; infatti il pc si blocca dopo 5, massimo 10 minuti costringendomi a resettarlo o spegnerlo direttamente, senza poter avviare la procedura di arresto da pc.

**Chill-Out** · 12-01-2010, 15:49

Quote:

Originariamente inviato da Briseide28

Ho seguito le istruzioni nella guida, cioè da gestione computer ho disabilitato Help Assistant e rimosso questi dal tab membro di. Al riavvio successivo, o quello dopo, torna tutto come prima, con Help assistant riabilitato e presente come membro di administrator. C'è da dire che però non sono dei veri e propri riavvii; infatti il pc si blocca dopo 5, massimo 10 minuti costringendomi a resettarlo o spegnerlo direttamente, senza poter avviare la procedura di arresto da pc.

Produci il log di una scansione completa col tool indicato al Punto 2 della presente guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

anto · 12-01-2010, 15:50

Una domanda: GMER deve essere lanciato da windows del disco che si presume infetto o si può anche lanciare da un altro disco con un sistema operativo windows - che si ritiene sicuramente NON infetto - per far scansionare completamente il disco che si suppone infetto?

Dico questo perchè ho tra le mani un disco con un possibile rootkit ma che ormai non riesce neppure ad avviare windows...

Grazie per i consigli.

Anto

**Chill-Out** · 12-01-2010, 17:51

Quote:

Originariamente inviato da anto

Una domanda: GMER deve essere lanciato da windows del disco che si presume infetto o si può anche lanciare da un altro disco con un sistema operativo windows - che si ritiene sicuramente NON infetto - per far scansionare completamente il disco che si suppone infetto?

Dico questo perchè ho tra le mani un disco con un possibile rootkit ma che ormai non riesce neppure ad avviare windows...

Grazie per i consigli.

Anto

Pui lanciarlo anche dal PC ospitante.

FabioBi · 12-01-2010, 21:11

Quote:

Originariamente inviato da Chill-Out

Log pulito, segui il trattamento post infezione.

Grazie mille dell'assistenza.
Mi sai dire perchè dal log di mbr si nota che c'è ancora un malicius code?

**Chill-Out** · 12-01-2010, 21:45

Quote:

Originariamente inviato da FabioBi

Grazie mille dell'assistenza.
Mi sai dire perchè dal log di mbr si nota che c'è ancora un malicius code?

Il log può rimanere "sporco", ciao.

Alek09 · 13-01-2010, 16:55

Quote:

Originariamente inviato da Chill-Out

Produci il log di una scansione completa col tool indicato al Punto 2 della presente guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

sono di nuovo io, Chill, non ho ancora effettuato quella procedura che mi hai suggerito circa il boot con il cd di windows (colpa di un altro virus, questa volta influenzale che mi ha tenuto ko)... ma mi sono accorto di avere lo stesso problema di briseide.

Dopo aver disabilitato l'account HelpAssistant, come mi avevi suggerito tu, seguendo la guida... oggi ho notato che è riapparso.
Ho disabilitato di nuovo l'account, ho anche cancellato la cartella in Documents and Settings, riavvio il pc, e quando vado a controllare, noto che la cartella è ancora disabilitata.
Tutta questa procedura con il pc scollegato da internet, senza il cavo del router collegato.

Provo a riavviare il pc con il collegamento internet attivo, e noto che HelpAssistant è tornato, sia come cartella sia come profilo abilitato presente come membro di Administrator.

Nella guida consigliano "aprite il TAB Membro di se HelpAssistant è all'interno del box bianco selezionatelo e rimuovetelo cliccando sul tasto Rimuovi"; mi consigli di rimuovere anche se risulta Membro di Administrator?
Consigli anche a me la scansione con quel tool, ossia Malwarebytes Anti-Malware o mi rinnovi l'invito a procedere con la procedura che mi hai descritto qualche giorno fa?

Di nuovo grazie per l'assistenza.

**Chill-Out** · 13-01-2010, 18:33

Quote:

Originariamente inviato da Alek09

sono di nuovo io, Chill, non ho ancora effettuato quella procedura che mi hai suggerito circa il boot con il cd di windows (colpa di un altro virus, questa volta influenzale che mi ha tenuto ko)... ma mi sono accorto di avere lo stesso problema di briseide.

Dopo aver disabilitato l'account HelpAssistant, come mi avevi suggerito tu, seguendo la guida... oggi ho notato che è riapparso.
Ho disabilitato di nuovo l'account, ho anche cancellato la cartella in Documents and Settings, riavvio il pc, e quando vado a controllare, noto che la cartella è ancora disabilitata.
Tutta questa procedura con il pc scollegato da internet, senza il cavo del router collegato.

Provo a riavviare il pc con il collegamento internet attivo, e noto che HelpAssistant è tornato, sia come cartella sia come profilo abilitato presente come membro di Administrator.

Nella guida consigliano "aprite il TAB Membro di se HelpAssistant è all'interno del box bianco selezionatelo e rimuovetelo cliccando sul tasto Rimuovi"; mi consigli di rimuovere anche se risulta Membro di Administrator?
Consigli anche a me la scansione con quel tool, ossia Malwarebytes Anti-Malware o mi rinnovi l'invito a procedere con la procedura che mi hai descritto qualche giorno fa?

Di nuovo grazie per l'assistenza.

No, procedi come indicato.

Briseide28 · 14-01-2010, 18:41

Quote:

Originariamente inviato da Chill-Out

Produci il log di una scansione completa col tool indicato al Punto 2 della presente guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

Uff! Son due giorni che provo a scansionare ma si blocca sempre... una sola volta è arrivato sino alla fine, avevo anche salvato il loge dopo due secondi si blocca tutto... Al riavvio, puf, log sparito!

Aveva comunque rilevato due file infetti, tra l'altro segnalati precedentemente anche da prevx... ma non ho avuto modo di rimuoverli. La scansione con questo programma l'avevo già fatta comunque, tipo una settimana fa, ma era con la versione del programma non aggiornata, aveva tipo un anno. Riprovo a farla ancora?

**Chill-Out** · 14-01-2010, 21:13

Quote:

Originariamente inviato da Briseide28

Uff! Son due giorni che provo a scansionare ma si blocca sempre... una sola volta è arrivato sino alla fine, avevo anche salvato il loge dopo due secondi si blocca tutto... Al riavvio, puf, log sparito!

Aveva comunque rilevato due file infetti, tra l'altro segnalati precedentemente anche da prevx... ma non ho avuto modo di rimuoverli. La scansione con questo programma l'avevo già fatta comunque, tipo una settimana fa, ma era con la versione del programma non aggiornata, aveva tipo un anno. Riprovo a farla ancora?

Apri MBAM - TAB File di log ed allega l'ultimo in ordine di tempo

Briseide28 · 14-01-2010, 23:52

Questa è la scansione di cui parlavo, fatta una decina di giorni fa. In realtà, non ricordavo, era una scansione rapida. Nell'attesa di riuscire di nuovo ad eseguire quella completa, allego questa.
http://wikisend.com/download/501182/mbam-log-2010-01-03 (17-39-49).txt

master3000 · 15-01-2010, 18:42

salve a tutti,
ho avuto anche io questo problema e lho risolto con mbr.exe
nonostante ciò ora nel log di mbr mi esce sempre un malicious code diverso da quello del virus

ecco il log

Codice:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
copy of MBR has been found in sector 0x02542E2E2 
malicious code @ sector 0x02542E2E5 !
PE file found in sector at 0x02542E2FB !

come risolvo?

ps: fare un fixmbr da console di ripristino è davvero rischioso come dice?

**Chill-Out** · 15-01-2010, 18:49

Quote:

Originariamente inviato da master3000

salve a tutti,
ho avuto anche io questo problema e lho risolto con mbr.exe
nonostante ciò ora nel log di mbr mi esce sempre un malicious code diverso da quello del virus

ecco il log

Codice:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
copy of MBR has been found in sector 0x02542E2E2 
malicious code @ sector 0x02542E2E5 !
PE file found in sector at 0x02542E2FB !

come risolvo?

ps: fare un fixmbr da console di ripristino è davvero rischioso come dice?

Hai risolto digitando C:\mbr.exe -f

master3000 · 15-01-2010, 19:06

Quote:

Originariamente inviato da Chill-Out

Hai risolto digitando C:\mbr.exe -f

si lho gia fatto quando avevo il virus e mi ha risolto il problema, ma mi compare questo messaggio qui ancora, ed anche se faccio c:\mbr.exe -f non cambia niente

12-01-2010, 13:17	#2366
Briseide28 Junior Member Iscritto dal: Jan 2010 Messaggi: 18	--- scusate il doppio post, colpa del pc impallato! Ultima modifica di Briseide28 : 12-01-2010 alle 13:24.

15-01-2010, 18:42	#2378
master3000 Senior Member Iscritto dal: Aug 2003 Città: Napoli/Torre Annunziata/Pompei. Trattative sul forum: 67 Messaggi: 4263	salve a tutti, ho avuto anche io questo problema e lho risolto con mbr.exe nonostante ciò ora nel log di mbr mi esce sempre un malicious code diverso da quello del virus ecco il log Codice: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK copy of MBR has been found in sector 0x02542E2E2 malicious code @ sector 0x02542E2E5 ! PE file found in sector at 0x02542E2FB ! come risolvo? ps: fare un fixmbr da console di ripristino è davvero rischioso come dice? __________________ \|Le mie trattative sul forum (tot:67) \|CPU: Intel core 2 duo E8400 \| MOBO: Asus P5E3 \| RAM:2GB Corsair XMS3 DDR3 1333 MHz DHX + 4GB Kingston DDR3 1333 MHz \| Cooler: Zalman CNPS8700 NT led blu \| VGA: nVidia N460GTX CYCLONE \| ALI: Chieftec NTRO2 85+ 650W \| AUDIO: 5.1 Creative T6100 \| DVD: Pioneer 112-D@DVR-112L 8.21 + Liteon iHas124 B \| HDD: SSD Corsair Force 3 60gb + Sata2 Seagate 1TB + Sata2 Maxtor 320gb\|

11-01-2010, 21:38	#2363
Briseide28 Junior Member Iscritto dal: Jan 2010 Messaggi: 18	Il maledetto Help assistant continua a riattivarsi... Ma dopo aver seguito le indicazioni del primo post, per caso devo eliminarlo anche da documents and setting e dagli users? Comunque questa è il log con prevX: http://www.mediafire.com/?zafkqumqz4m

12-01-2010, 13:24	#2367
Briseide28 Junior Member Iscritto dal: Jan 2010 Messaggi: 18	Ho seguito le istruzioni nella guida, cioè da gestione computer ho disabilitato Help Assistant e rimosso questi dal tab membro di. Al riavvio successivo, o quello dopo, torna tutto come prima, con Help assistant riabilitato e presente come membro di administrator. C'è da dire che però non sono dei veri e propri riavvii; infatti il pc si blocca dopo 5, massimo 10 minuti costringendomi a resettarlo o spegnerlo direttamente, senza poter avviare la procedura di arresto da pc.

12-01-2010, 15:50	#2369
anto Senior Member Iscritto dal: Jul 1999 Città: Busto Arsizio Messaggi: 3434	Una domanda: GMER deve essere lanciato da windows del disco che si presume infetto o si può anche lanciare da un altro disco con un sistema operativo windows - che si ritiene sicuramente NON infetto - per far scansionare completamente il disco che si suppone infetto? Dico questo perchè ho tra le mani un disco con un possibile rootkit ma che ormai non riesce neppure ad avviare windows... Grazie per i consigli. Anto

14-01-2010, 23:52	#2377
Briseide28 Junior Member Iscritto dal: Jan 2010 Messaggi: 18	Questa è la scansione di cui parlavo, fatta una decina di giorni fa. In realtà, non ricordavo, era una scansione rapida. Nell'attesa di riuscire di nuovo ad eseguire quella completa, allego questa. http://wikisend.com/download/501182/mbam-log-2010-01-03 (17-39-49).txt

Strumenti
Mostra una versione stampabile Invia questa pagina per email