Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[TORTOLI]

Purtroppo il problema non è totalmente risolto nel senso che .... Non mi sembra di essere ancora infettato ma il danno rimane e non riesco a ripararlo.... i comandi per lanciare dei programmi da dos non mi funzionano!!

Non rimane che ?? Ditemi Voi !

[niox26]

Quote:

Originariamente inviato da Chill-Out

Direi di no.

Chill-Out solo per tua opportuna conoscenza,.. x il problema NTVDm nella sessione Microsoft Windows XP mi sta aiutando tallines segnalandomi che devo scaricarmi Combofix e fare una scansione.

a presto.

[Chill-Out]

Quote:

Originariamente inviato da niox26

Chill-Out solo per tua opportuna conoscenza,.. x il problema NTVDm nella sessione Microsoft Windows XP devoscaricarmi Combofix e fare una scansione.

a presto.

No, cosa c'entra Combofix?

[Chill-Out]

Quote:

Originariamente inviato da fanfa

Purtroppo sono stato infettato dal virus helpassistant.

Questi sono i log:

-Gmer
gmer.txt
-Prevx
prevx-pre.log
-Prevx dopo aver provato il cleanup
prevx-post.log

EDIT: visto che anche dopo il cleanup mi dava ancora presente l'infezione, ho rifatto un'altra scansione con successivo cleanup. Adesso non appare più l'infezione e questo è il log

prevx-post2.log

Procedo alla fase due?

Seconda e terza fase.

[fanfa]

Sono passato alla fase due, questi sono i log.

-mbr
mbr.log
-norman
NFix_2010-02-01_14-11-18.log

Ora nella fase tre, quando avvio la scansione da drweb si riavvia il pc, come faccio?

[niox26]

Quote:

Originariamente inviato da Chill-Out

No, cosa c'entra Combofix?

Chill questo e il mio 3d:
Sto ccercando di disinfettare il PC, sto seguendo quindi le indicazioni di chill-out, tra i miei vari problemi devo aggiungere che ad ogni accensione PC mi esce una finestra di dialogo del Sottosistema MS-DOS a 16 Bit che recita:

C:\Progra 1\VTUNE\VI\BIOSCTL.EXE
NTVDM ha rilevato un errore di sistema
NTVDM ha rilevato un errore di sistema c0h scegliere "chiudi" per terminare l'applicazione.

ho provato con la funzione "cerca" ma non ho trovato nulla.
spero che possiate aiutarmi. cmq grazie.


questa è la gentile segnalazione di tallines:
Penso che Chill-Out ti abbia già detto di lanciare Combofix, o l'avrai trovato nella guida alla disinfezione.
Se non l'ha fatto, lancia Combofix da modalità provvisoria, rinominandolo, ossia una volta downloadato lo rinomini tipo abc, o def ghi......come vuoi tu e lo avvii.
Poi, una volta tornato in modalità normale scrivi sfc /scannow (occhio agli spazi) da Start/Esegui = richiede il cd originale di windows, in quanto il pc confronta i file del SO installato che possono essere infettati con i file non infettati del cd originale.
NTVDM è un rootkit, se hai usato la funzione cerca in windows è normale che tu non l'abbia trovato, vai nel registro .

[Chill-Out]

Quote:

Originariamente inviato da lodofan

Bene, dopo giorni di combattimento l'unica soluzione è stata formattare tutti HDD a basso livello, prestando la massima attenzione nel salvare i dati su dispositivi esterni che poi sono stati tutti passati sotto diversi antivirus (PrevX, NOD32, Avira e Comodo). Giusto qualche nota... subito dopo aver installato windows ed aver aggiornato mi è stato rilevato un trojan su un crack.... per il resto ora tutto sembra andare. Grazie dell'aiuto. Comunque credo che la mia fosse una variante bella tosta.

Credo che leggere il Regolamento che hai accettato all'atto dell'iscrizione sia la cosa migliore

1. Cosa non è consentito fare nel forum

Quote:

11. Aprire discussioni riguardanti pornografia, pirateria (niente crack, serials, warez o qualsiasi richiesta tecnica di natura illecita - in particolare quelle su radio, televisione, satelliti e telefonia -) e pubblicità di alcun tipo, oltre a qualsiasi attivita' illecita ai sensi delle vigenti leggi italiane.

3GG di sospensione.

[Chill-Out]

Quote:

Originariamente inviato da niox26

Chill questo e il mio 3d:
Sto ccercando di disinfettare il PC, sto seguendo quindi le indicazioni di chill-out, tra i miei vari problemi devo aggiungere che ad ogni accensione PC mi esce una finestra di dialogo del Sottosistema MS-DOS a 16 Bit che recita:

C:\Progra 1\VTUNE\VI\BIOSCTL.EXE
NTVDM ha rilevato un errore di sistema
NTVDM ha rilevato un errore di sistema c0h scegliere "chiudi" per terminare l'applicazione.

ho provato con la funzione "cerca" ma non ho trovato nulla.
spero che possiate aiutarmi. cmq grazie.


questa è la gentile segnalazione di tallines:
Penso che Chill-Out ti abbia già detto di lanciare Combofix, o l'avrai trovato nella guida alla disinfezione.
Se non l'ha fatto, lancia Combofix da modalità provvisoria, rinominandolo, ossia una volta downloadato lo rinomini tipo abc, o def ghi......come vuoi tu e lo avvii.
Poi, una volta tornato in modalità normale scrivi sfc /scannow (occhio agli spazi) da Start/Esegui = richiede il cd originale di windows, in quanto il pc confronta i file del SO installato che possono essere infettati con i file non infettati del cd originale.
NTVDM è un rootkit, se hai usato la funzione cerca in windows è normale che tu non l'abbia trovato, vai nel registro .

Se avessi pensato ad un rootkit ti avrei chiesto di chiedere in Sezione Microsoft Windows?

[niox26]

Gia' ...ma con la funzione cerca non ho trovato nulla,...ci ritorneremo sopra. grazie chill.

a presto.

[Chill-Out]

Quote:

Originariamente inviato da fanfa

Sono passato alla fase due, questi sono i log.

-mbr
mbr.log
-norman
NFix_2010-02-01_14-11-18.log

Ora nella fase tre, quando avvio la scansione da drweb si riavvia il pc, come faccio?

Elimina il Profilo HelpAssistant e riavvia il PC.

[fanfa]

Ho eliminato il profilo, cancellato la cartella in document&setting e riavviato, ma quando provo ad avviare la scansione con dr.web cure it il sistema si riavvia. Cosa posso fare?

P.S. Fortunatamente dopo il riavvio non è riapparso l'utente, quindi questo dovrebbe comunque essere un buon segnale

EDIT: Sono riuscito a fare la scansione (ma con windows in modalità provvisoria), questo è il log filtrato:

cureit filtrato.txt

Scusate se l'ho postato su un altro sito ma wikisend in questo momento non funziona

[niox26]

Ciao Chill, ho scaricato Dr.Web CureIt ma come do l'ok dopo aver cliccato su avvia lo scermo diventa nero ed il PC si riavvia,... resto in attesa di tue indicazioni.

a presto.

p.s. forse dovevo eliminare prima la cartella HelpAssistant??

[niox26]

Inoltre, sistematicamente esce sempre questa finestra di dialogo:

Prevx 3.0
Errore V911: Cleanup not licensed, please purchase a license from www.p...x.com (in questo modo non faccio pubblicita' vero..)

che devo fare

a presto.

[Chill-Out]

Quote:

Originariamente inviato da fanfa

Ho eliminato il profilo, cancellato la cartella in document&setting e riavviato, ma quando provo ad avviare la scansione con dr.web cure it il sistema si riavvia. Cosa posso fare?

P.S. Fortunatamente dopo il riavvio non è riapparso l'utente, quindi questo dovrebbe comunque essere un buon segnale

EDIT: Sono riuscito a fare la scansione (ma con windows in modalità provvisoria), questo è il log filtrato:

cureit filtrato.txt

Scusate se l'ho postato su un altro sito ma wikisend in questo momento non funziona

Nella guida in prima pagina trovi l'alternativa a wikisend, edita il post con il link al FileHosting corretto, grazie.

[Chill-Out]

Quote:

Originariamente inviato da niox26

Inoltre, sistematicamente esce sempre questa finestra di dialogo:

Prevx 3.0
Errore V911: Cleanup not licensed, please purchase a license from www.p...x.com (in questo modo non faccio pubblicita' vero..)

che devo fare

a presto.

Nessuna pubblicità, l'utilizzo di Prevx è espressamente indicato in guida, il messaggio è dovuto al fatto che l'infezione rilevata viene rimossa solo dietro l'acquisto di regolare licenza, non ha nulla a che fare con il MBR Rootkit che viene rimosso gratuitamente.

Quote:

Originariamente inviato da niox26

Ciao Chill, ho scaricato Dr.Web CureIt ma come do l'ok dopo aver cliccato su avvia lo scermo diventa nero ed il PC si riavvia,... resto in attesa di tue indicazioni.

a presto.

p.s. forse dovevo eliminare prima la cartella HelpAssistant??

Come ripetuto più volte siamo in attesa dei log inerenti la seconda e terza fase, non so più come spiegartelo.

[niox26]

Chill questi sono i log che sono riuscito a realizzare, sicuramente sbaglio qualcosa,...ma non mortificarmi, e cmq grazie.


Gmer 30 gennaio.txt

mbr.log

NFix_2010-01-31_21-38-52.log

PREVX 30 gennaio Dopo bis.txt

PREVX 30 gennaio prima bis.txt

[Chill-Out]

Quote:

Originariamente inviato da niox26

Chill questi sono i log che sono riuscito a realizzare, sicuramente sbaglio qualcosa,...ma non mortificarmi, e cmq grazie.


Gmer 30 gennaio.txt

mbr.log

NFix_2010-01-31_21-38-52.log

PREVX 30 gennaio Dopo bis.txt

PREVX 30 gennaio prima bis.txt

Ok, mi alleghi un nuovo log di Prevx fatto in data odierna + log di CureIt

[fanfa]

Quote:

Originariamente inviato da Chill-Out

Nella guida in prima pagina trovi l'alternativa a wikisend, edita il post con il link al FileHosting corretto, grazie.

Peccato che l'altro file hosting (fileqube.com) non funzioni più, comunque ora rifunziona wikisend ed ho editato il link

[Chill-Out]

Quote:

Originariamente inviato da fanfa

Peccato che l'altro file hosting (fileqube.com) non funzioni più, comunque ora rifunziona wikisend ed ho editato il link

Dovremmo essere ok

[wjmat]

Quote:

Originariamente inviato da fanfa

Peccato che l'altro file hosting (fileqube.com) non funzioni più, comunque ora rifunziona wikisend ed ho editato il link

e quel barbone di google che inganna... fileqube è vivo e vegeto
http://www.google.it/search?q=filequ...ient=firefox-a

http://it.search.yahoo.com/search?p=...UTF-8&fr=moz35