Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[ispanico79]

ho fatto la prima fase nella guida alla disinfestazione....e fino al prevx csi,non ho trovato nessun malware....cosa mi consigli di fare,devo fare tutte le fasi( ADS Scanner 2.0, A-Squared Free v3.x,F-Secure OnLine,ecc...).
ke dici..................e come posso difendermi da un eventuale rootkit?io ho installato avast,spy-bot r zone allarm firewall.vanno bene questi???aspetto una vostra notizia...grazie mille

[tara86]

Salve ragazzi..chiedo aiuto per eliminare questo Rootkit!
Ho un portatile con hard disk partizionato, vista installato su c e xp su d, il tutto gestito tramite easyBcd.
Prevx mi trova questo rootkit (chiedo scusa per il log ma non sono riuscito a salvarlo, la mia è la versione v1.9):
ROOTKIT \\.\PhysicalDrive0\MBR Hidden Disk Sectors

Ho effettuato la scansione con Gmer, questo è il log:
http://www.fileqube.com/shared/wdhKXLFne28198
e anche da qui risulta..nei settore 00 e 61.

Ho tentato di provare la seconda fase..ma con scarsi risultati.
Ho effettuato i punti 1 2 e 3 con Stealth MBR rootkit detector, ma il log che esce è sempre lo stesso!
http://www.fileqube.com/shared/gQRDga28200
Ho provato in modalità provvisoria sia facendolo partire da c che da d!
Avete suggerimenti? Formattando solo la partizione d (dove c'è xp che uso di solito) posso risolvere qualcosa?
Grazie
Ho infine provato Symantec Trojan.Mebroot Removal Tool, ma quello che mi esce fuori è una finestra (tipo dos), dove c'è un cursore e lampeggia spostandosi senza fermarsi mai..

[tara86]

Aggiungo che il pc è un po di tempo che non va in stand-by da xp..non so se sia collegato o meno..
Mi scuso per il doppio post.

[Chill-Out]

Quote:

Originariamente inviato da ispanico79

ho fatto la prima fase nella guida alla disinfestazione....e fino al prevx csi,non ho trovato nessun malware....cosa mi consigli di fare,devo fare tutte le fasi( ADS Scanner 2.0, A-Squared Free v3.x,F-Secure OnLine,ecc...).
ke dici..................e come posso difendermi da un eventuale rootkit?io ho installato avast,spy-bot r zone allarm firewall.vanno bene questi???aspetto una vostra notizia...grazie mille

Ma il log della scansione con CureIt dov'è?

[Chill-Out]

Quote:

Originariamente inviato da tara86

Salve ragazzi..chiedo aiuto per eliminare questo Rootkit!
Ho un portatile con hard disk partizionato, vista installato su c e xp su d, il tutto gestito tramite easyBcd.
Prevx mi trova questo rootkit (chiedo scusa per il log ma non sono riuscito a salvarlo, la mia è la versione v1.9):
ROOTKIT \\.\PhysicalDrive0\MBR Hidden Disk Sectors

Ho effettuato la scansione con Gmer, questo è il log:
http://www.fileqube.com/shared/wdhKXLFne28198
e anche da qui risulta..nei settore 00 e 61.

Ho tentato di provare la seconda fase..ma con scarsi risultati.
Ho effettuato i punti 1 2 e 3 con Stealth MBR rootkit detector, ma il log che esce è sempre lo stesso!
http://www.fileqube.com/shared/gQRDga28200
Ho provato in modalità provvisoria sia facendolo partire da c che da d!
Avete suggerimenti? Formattando solo la partizione d (dove c'è xp che uso di solito) posso risolvere qualcosa?
Grazie
Ho infine provato Symantec Trojan.Mebroot Removal Tool, ma quello che mi esce fuori è una finestra (tipo dos), dove c'è un cursore e lampeggia spostandosi senza fermarsi mai..

Quote:

Originariamente inviato da tara86

Aggiungo che il pc è un po di tempo che non va in stand-by da xp..non so se sia collegato o meno..
Mi scuso per il doppio post.

Devi semplicemente leggere la Guida ed allegare i relativi log, la seconda fase và fatta in modalità provvisoria

NB: i log non vanno zippati

[tara86]

Quote:

Originariamente inviato da Chill-Out

Devi semplicemente leggere la Guida ed allegare i relativi log, la seconda fase và fatta in modalità provvisoria

NB: i log non vanno zippati

Ho seguito la guida passo passo...ma niente! Ho fatto la seconda fase in modalità provvisoria..ma il mbr.exe non modifica proprio nulla. Non è che dipende da EasyBcd? Dato che ho due sistemi operativi, da dove devo far partire il file mbr.exe? Ecco i log

http://www.fileqube.com/shared/uyuvVMJ28223
http://www.fileqube.com/shared/lnqMmfETW28224
http://www.fileqube.com/shared/fYrMjAcIa28225

Chiedo scusa per il file zip di prima.

[Chill-Out]

Quote:

Originariamente inviato da tara86

Ho seguito la guida passo passo...ma niente! Ho fatto la seconda fase in modalità provvisoria..ma il mbr.exe non modifica proprio nulla. Non è che dipende da EasyBcd? Dato che ho due sistemi operativi, da dove devo far partire il file mbr.exe? Ecco i log

http://www.fileqube.com/shared/uyuvVMJ28223
http://www.fileqube.com/shared/lnqMmfETW28224
http://www.fileqube.com/shared/fYrMjAcIa28225

Chiedo scusa per il file zip di prima.

Al Punto 2 dell Seconda fase hai dgitato C:\mbr.exe -f

[Login]

Bellissima guida. Non mi è chiaro però che segni tangibili dia l'infezione.

[Chill-Out]

Quote:

Originariamente inviato da Login

Bellissima guida. Non mi è chiaro però che segni tangibili dia l'infezione.

Un rootkit, (lett. attrezzatura da root, nel senso di amministratore) è una tecnologia software in grado di occultare la propria presenza, relativa a un oggetto malevolo (processo, file, chiave di registro, porta di rete) all'utente o all'amministratore del computer, all'interno del sistema operativo.

http://it.wikipedia.org/wiki/Rootkit
http://www.pcalsicuro.com/main/2008/...-e-in-the-wild
http://www.pcalsicuro.com/main/2008/...-aggiornamenti

[tara86]

Quote:

Originariamente inviato da Chill-Out

Al Punto 2 dell Seconda fase hai dgitato C:\mbr.exe -f

Si! esattamente mbr.exe -f...Perché non va?
Grazie per la risposta

[Chill-Out]

Quote:

Originariamente inviato da tara86

Si! esattamente mbr.exe -f...Perché non va?
Grazie per la risposta

Se c'è scritto perchè non dovrebbe andare, allegami un nuovo log di Gmer ed il lnk per visualizzare il risultato di Prevx CSI* (*leggere le istruzioni in Guida)

[tara86]

Quote:

Originariamente inviato da Chill-Out

Se c'è scritto perchè non dovrebbe andare, allegami un nuovo log di Gmer ed il lnk per visualizzare il risultato di Prevx CSI* (*leggere le istruzioni in Guida)

Io ho provato proprio con quel comando..
Ho disinstallato e reinstallato la versione più recente di prevx csi ma no riesco a prendere il log! Non c'è nessuna icona vicino la barra dove c'è l'orologio. In più ora non rileva nessun malware..pero Gmer si ..questo è il log:
http://www.fileqube.com/shared/IUgvNPIW28235

mentre questo è quello che risulta da mrb.exe adesso:
http://www.fileqube.com/shared/RlpsfsIlF28236

Ho riletto tutta la guida e ritentato..ma niente!

[Chill-Out]

Quote:

Originariamente inviato da tara86

Io ho provato proprio con quel comando..
Ho disinstallato e reinstallato la versione più recente di prevx csi ma no riesco a prendere il log! Non c'è nessuna icona vicino la barra dove c'è l'orologio. In più ora non rileva nessun malware..pero Gmer si ..questo è il log:
http://www.fileqube.com/shared/IUgvNPIW28235

mentre questo è quello che risulta da mrb.exe adesso:
http://www.fileqube.com/shared/RlpsfsIlF28236

Ho riletto tutta la guida e ritentato..ma niente!

Fai girare questo tool
http://www.trendmicro.com/download/rbuster.asp

[tara86]

Quote:

Originariamente inviato da Chill-Out

Fai girare questo tool
http://www.trendmicro.com/download/rbuster.asp

questo è il risultato
http://www.fileqube.com/shared/yJCwqD28618

Però il log di mrb è sempre questo
http://www.fileqube.com/shared/eytZZAm28621

[Chill-Out]

Mi dici la lettera corrispondente all'installazione del SO, forse D?

[forum1]

ma il tool della symantec da dove si scarica?

[Chill-Out]

Quote:

Originariamente inviato da forum1

ma il tool della symantec da dove si scarica?

và ad intermittenza, sembra stiano facendo aggiornamenti.

Edit: l'ho uppato qui http://www.fileqube.com/shared/XOaoorPz28674

[tara86]

Quote:

Originariamente inviato da Chill-Out

Mi dici la lettera corrispondente all'installazione del SO, forse D?

Si xp è su d ed è quello che uso..credo che l'abbia preso proprio qui

[Chill-Out]

Quote:

Originariamente inviato da tara86

Si xp è su d ed è quello che uso..credo che l'abbia preso proprio qui

Metti Stealth Rootkit detector in D:\
digitare D:\mbr.exe -f e cliccate su OK

[ispanico79]

salve ho fatto la scansione e mi ha trovato un virus nella cartella C:\Programmi\Macrogaming\SweetIMBarForIE e il file infetto era toolbar.dll....dopo aver corretto il file ora si kiama toolbar.crc.......ke dici?e un altra cosa,come posso difendermi da un eventuale attacco di questo rootkit?aspetto vostre risposte....e in + vi ringrazio ad avermi aiutato a sconfiggere questo rootkit,siete unici e impagabili....complimenti a ki mi ha dato una mano.....GRAZIE MILLE