Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da allegra777

se provo ad avviare la scansione, mi si apre la seguente finestra con scritto Errore V)!!:Ceanup not licensed, please purchase a license from www.prevx.com , con le due opzioni ok oppure annulla ed in entrambi i casi mi riporta alla pag html per comprare la chiave

Disinstalla e reinstalla, se non avessi abortito la scansione non avrenmmo avuto questi problemi

Quote:

Last Scan Duration: Scan Aborted.

[allegra777]

Quote:

Originariamente inviato da Chill-Out

Disinstalla e reinstalla, se non avessi abortito la scansione non avrenmmo avuto questi problemi

Ho provato a disinstallare e reinstallare ma purtoppo non cambia nulla.



non so come fare...vi prego non mi abbandonate

[Chill-Out]

Quote:

Originariamente inviato da allegra777

Ho provato a disinstallare e reinstallare ma purtoppo non cambia nulla.



non so come fare...vi prego non mi abbandonate

Come indicato in Guida procedi con la fase 2 e 3, mi raccomando i log.

[allegra777]

Quote:

Originariamente inviato da Chill-Out

Come indicato in Guida procedi con la fase 2 e 3, mi raccomando i log.

Allego il log MBR rootkit detector
.Intanto ho avviato la scansione di Norman SinowalMBR Cleaner, sta eseguendo, anche se mi ha subito visualizzato UNABLE to SCAN for SinowalMBR hooks.

Grazie

[Chill-Out]

Quote:

Originariamente inviato da allegra777

Allego il log MBR rootkit detector
.Intanto ho avviato la scansione di Norman SinowalMBR Cleaner, sta eseguendo, anche se mi ha subito visualizzato UNABLE to SCAN for SinowalMBR hooks.

Grazie

Devi fare questo passaggio:

Quote:

Scaricate MBR:EXE sul DeskTop e mettetelo direttamente nella Directory C:\
Riavviate il Pc in modalità provvisoria F8
Da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
Salvate il log prodotto come MBR ed allegatelo per il controllo

[allegra777]

Quote:

Originariamente inviato da Chill-Out

Devi fare questo passaggio:

Si uetso passaggio l'ho fatto, ed ho alelgato il log, il problema è con Norman SinowalMBR Cleaner, forse anche per quetso devo provare in modalità provvisoria?

[Chill-Out]

Quote:

Originariamente inviato da allegra777

Si uetso passaggio l'ho fatto, ed ho alelgato il log, il problema è con Norman SinowalMBR Cleaner, forse anche per quetso devo provare in modalità provvisoria?

Ripeti il suddetto passaggio

[twocats]

Quote:

Originariamente inviato da wjmat

di mbr rootkit sembra non esserci traccia
la scansione con cureit non è completa
avira gira solo in modalità provvisoria?
che altri problemi sono rimasti?

Grazie: allora, allego qui la scansione con DrWeb CureIt eseguita in modalità normale, SCANSIONE STAVOLTA COMPLETA chge mi ha trovato varie cosette, spostate in quarantena.
Il problema è che al riavvio ci sono DI NUOVO, perchè a occhio mi pare che siano nel System Volume Informations e quindi il ripristino.
I miei problemi sono questi: che non riesco a disattivare il rispristino!Mi dice che c'è un errore e non si può agire su di lui.
Altro problema: il pc non ha attivi gli AV, neanche in modalità provvisoria (non si vedono nemmeno le icone), ma ad es. se vado a cercare in Programmi avira e lo lancio, mi fa la scansione (pulita).
Il pc è veloce e prestante, ma non funziona nulla di collegato agli AV, nemmeno se vado online a tentare una delle solite scansioni tipo Kaspersky o Panda, "inventa" che c'è sempre qualche problema.
Brancolo nel buio...un'altra stranezza è che sul desktop alcune icone non si vedono, quelle di word, pdf, come se non sapesse con che programmi leggerle.
Come posso fare per aggirare?Mbr rootkit non c'entra o all'origine ha creato qualche diversivo che ora agisce?
Allego:
DrWeb scans.completa in modalità normale(non sono riuscita a snellirlo,mi spiace!):
http://www.filedropper.com/cureit
DOPO PRIMA SCANSIONE CUREIT SCREENSHOT: http://wikisend.com/download/457750/...ne_cure_IT.JPG
DOPO SECONDA SCANSIONE CUREIT SCREENSHOT:
http://wikisend.com/download/455262/...con_CureIt.jpg
P.s. ho trovato il modo di bloccare il ripristino di configurazione di sistema attraverso Strumenti di Amministrazione-Servizi-Standard.
Facendo PROPRIETA' col tasto dx del mouse, dice ARRESTATO: io accedo però dal terzo HD, con XP, e immagino valga per quello solo e non per gli altri 2 HD, uno di dati e l'altro con un XP appena reinstallato, ancora vuoto.
E'una soluzione valida?Come la estendo agli altri 2 HD?
Leggendo altri post..potrebbe essere un Warm-bagle il MIO virus, ora?
Vedo che gli scherzi che fa con gli AV e Hjijack sono simili...ditemi voi...sono stremata...

[wjmat]

Quote:

Originariamente inviato da twocats

Grazie: allora, allego qui la scansione con DrWeb CureIt eseguita in modalità normale, SCANSIONE STAVOLTA COMPLETA chge mi ha trovato varie cosette, spostate in quarantena.
Il problema è che al riavvio ci sono DI NUOVO, perchè a occhio mi pare che siano nel System Volume Informations e quindi il ripristino.
I miei problemi sono questi: che non riesco a disattivare il rispristino!Mi dice che c'è un errore e non si può agire su di lui.
Altro problema: il pc non ha attivi gli AV, neanche in modalità provvisoria (non si vedono nemmeno le icone), ma ad es. se vado a cercare in Programmi avira e lo lancio, mi fa la scansione (pulita).
Il pc è veloce e prestante, ma non funziona nulla di collegato agli AV, nemmeno se vado online a tentare una delle solite scansioni tipo Kaspersky o Panda, "inventa" che c'è sempre qualche problema.
Brancolo nel buio...un'altra stranezza è che sul desktop alcune icone non si vedono, quelle di word, pdf, come se non sapesse con che programmi leggerle.
Come posso fare per aggirare?Mbr rootkit non c'entra o all'origine ha creato qualche diversivo che ora agisce?
Allego:
DrWeb scans.completa in modalità normale(non sono riuscita a snellirlo,mi spiace!):
http://www.filedropper.com/cureit
DOPO PRIMA SCANSIONE CUREIT SCREENSHOT: http://wikisend.com/download/457750/...ne_cure_IT.JPG
DOPO SECONDA SCANSIONE CUREIT SCREENSHOT:
http://wikisend.com/download/455262/...con_CureIt.jpg
P.s. ho trovato il modo di bloccare il ripristino di configurazione di sistema attraverso Strumenti di Amministrazione-Servizi-Standard.
Facendo PROPRIETA' col tasto dx del mouse, dice ARRESTATO: io accedo però dal terzo HD, con XP, e immagino valga per quello solo e non per gli altri 2 HD, uno di dati e l'altro con un XP appena reinstallato, ancora vuoto.
E'una soluzione valida?Come la estendo agli altri 2 HD?
Leggendo altri post..potrebbe essere un Warm-bagle il MIO virus, ora?
Vedo che gli scherzi che fa con gli AV e Hjijack sono simili...ditemi voi...sono stremata...

prova a sistemare il ripristino conf.
http://www.zonapc.it/downloads/ripar...ig_sistema.php
va assolutamente disabilitato

[twocats]

Quote:

Originariamente inviato da wjmat

prova a sistemare il ripristino conf.
http://www.zonapc.it/downloads/ripar...ig_sistema.php
va assolutamente disabilitato

Allora, visto che molti programmi sul desk sono senza icona come se non avessero il programma installato, ho provato a reinstallare Avira e mi è partito, ora mi appare sul desk attivato!
Ho controllato il Ripristino di Sistema e ho potuto disattivarlo!
Ho controllato attraverso la scansione di questa cartella con CureIt e si è svuotata!
Per curiosità ho provato a riattivare il ripristino di sistema e mi è partito invece l'errore col riavvio.
Altre stranezzae: centro di sicurezza pc ha in rosso la protezione da virus( AV non trovato, anche se Avira è elencato sotto): tutti i programmi che ho installato a riguardo gli hanno confuso le idee o è sintomo del virus?
Direi che cmq va meglio..
All'inizio mi appaiono due finestre di errore: ERRORE durante il caricamento di C:\Windows\System32\NVMctray.dll e NVGpl.dll -impossibile trovare il modulo specificato: si riferiscono a programmi che c'erano e ora non risultano più installati..?
O sono sintomi gravi di errori di registro?
Cosa potrei fare ora?
Non riesco a fare la scansione online di Kaspersky, Bitdefender, F-Secure per errori Java..se provo ad aggiornarla, dà errore, non riesco.
Combofix e Malwarebytes non riesco ad avviarli senza che il pc si riavvii da solo.

[Muxar]

Salve ragazzi,vorrei porvi un quesito,dopo aver letto la guida ovviamente e dopo aver appreso il necessario,mi sono reso conto che non sò come muovermi,vi spiego:

In avvio XP mi dà l'errore 0x0000007B,sul sito della Microsoft sono eslpicate le varie origini del problema e alla fine ho appurato quasi con certezza che il problema sia proprio un virus nel settore di avvio. Ma non riesco a mettere in atto nessuna delle soluzioni presenti nella guida perchè il notebook (acer) si rifiuta proprio di partire,né in modalità provvisoria né in altro modo,schermata blu e riavvio.

Per cui,come potrei rimuovere il virus?considerando che è un portatile,non ha il lettore floppy e il bios non ha l'avvio da usb se non sbaglio (non è mio il portatile) per cui non sò davvero come poter risolvere,vorrei evitare di sovrascrivere l'attuale windows con un altra installazione per salvare i files di cui necessito. Chiedo gentilmente un vostro parere,grazie anticipatamente.

[Chill-Out]

Quote:

Originariamente inviato da Muxar

Salve ragazzi,vorrei porvi un quesito,dopo aver letto la guida ovviamente e dopo aver appreso il necessario,mi sono reso conto che non sò come muovermi,vi spiego:

In avvio XP mi dà l'errore 0x0000007B,sul sito della Microsoft sono eslpicate le varie origini del problema e alla fine ho appurato quasi con certezza che il problema sia proprio un virus nel settore di avvio. Ma non riesco a mettere in atto nessuna delle soluzioni presenti nella guida perchè il notebook (acer) si rifiuta proprio di partire,né in modalità provvisoria né in altro modo,schermata blu e riavvio.

Per cui,come potrei rimuovere il virus?considerando che è un portatile,non ha il lettore floppy e il bios non ha l'avvio da usb se non sbaglio (non è mio il portatile) per cui non sò davvero come poter risolvere,vorrei evitare di sovrascrivere l'attuale windows con un altra installazione per salvare i files di cui necessito. Chiedo gentilmente un vostro parere,grazie anticipatamente.

http://support.microsoft.com/kb/324103/it

Non credo si tratti del Rootkit in questione, chiedi in sezione Microsoft Windows http://www.hwupgrade.it/forum/forumdisplay.php?f=126

[Muxar]

Quote:

Originariamente inviato da Chill-Out

http://support.microsoft.com/kb/324103/it

Non credo si tratti del Rootkit in questione, chiedi in sezione Microsoft Windows http://www.hwupgrade.it/forum/forumdisplay.php?f=126

Grazie per la risposta anzitutto.

Aevo già letto la pagina da te segnalata e in base a quanto accaduto (praticamente poco prima del fattaccio avg aveva segnalato un virus),avevo dedotto che il problema fosse appunto un virus nel settore di avvio.
Ciò non toglie che possa essere un problema hardware. Aldilà di questo,dato che windows non si avvia nemmeno in modalità provvisoria,c'è un modo per rimuovere il presunto virus?
Prima di chiedere nella sezione apposita,attendo una risposta,grazie ancora.

[twocats]

Quote:

Originariamente inviato da twocats

Allora, visto che molti programmi sul desk sono senza icona come se non avessero il programma installato, ho provato a reinstallare Avira e mi è partito, ora mi appare sul desk attivato!
Ho controllato il Ripristino di Sistema e ho potuto disattivarlo!
Ho controllato attraverso la scansione di questa cartella con CureIt e si è svuotata!
Per curiosità ho provato a riattivare il ripristino di sistema e mi è partito invece l'errore col riavvio.
Altre stranezzae: centro di sicurezza pc ha in rosso la protezione da virus( AV non trovato, anche se Avira è elencato sotto): tutti i programmi che ho installato a riguardo gli hanno confuso le idee o è sintomo del virus?
Direi che cmq va meglio..
All'inizio mi appaiono due finestre di errore: ERRORE durante il caricamento di C:\Windows\System32\NVMctray.dll e NVGpl.dll -impossibile trovare il modulo specificato: si riferiscono a programmi che c'erano e ora non risultano più installati..?
O sono sintomi gravi di errori di registro?
Cosa potrei fare ora?
Non riesco a fare la scansione online di Kaspersky, Bitdefender, F-Secure per errori Java..se provo ad aggiornarla, dà errore, non riesco.
Combofix e Malwarebytes non riesco ad avviarli senza che il pc si riavvii da solo.

Ho fatto qualche progresso, credo, mi dareste ancora una volta una mano a controllare i log per capire come procedere?
Sono riuscita a fare finalmente qualche scansione in mod.provvisoria che mi ha trovato qualcosa.
Persistono però i problemi del Centro Sicurezza Pc, dei programmi che non fanno la scansione del pc ma riavviano, dello Java che non mi fa disinstallare le vecchie versioni neanche in mod.provv.

Ho fatto queste cose:
1-Malwarebytes rileva qui http://wikisend.com/download/451716/mbam-log-2010-03-28 (16-13-26)_MALWAREBYTES_28
una infezione giusto attinente al mio problema del Firewall:
Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Ma perchè dice così?Io gli ho detto di mettere in quarantena (o cancellarlo?Non ricordo...da qui problemi immagino...)
2-Combofix è finalmente partito in mod. provv. funzionando fino in fondo e mi ha trovato varie cose..
Dopo un successivo tentativo di scansione fallito in mod. normale (pc si riavvia) rifaccio in mod. provv. con rete e mi ripristina la console di ripristino che era danneggiata...può essere utile?AL boot mi dà l'opzione per accedervi, non so se funziona.
Qui la prima scansione http://wikisend.com/download/570958/log_COMBOFIX_28.txt e qui la seconda http://wikisend.com/download/472906/...ripristino.txt
3-Sto facendo Avira in mod.normale,anche se in questi gg l'ho fatta spesso e non trova più nulla, aggiornata e settata.
4-Log di Provx http://wikisend.com/download/541128/...mod_rid_28.log
Cosa mi consigliate?Qual è la situazione?Grazie infinite!!

[Chill-Out]

Quote:

Originariamente inviato da Muxar

Grazie per la risposta anzitutto.

Aevo già letto la pagina da te segnalata e in base a quanto accaduto (praticamente poco prima del fattaccio avg aveva segnalato un virus),avevo dedotto che il problema fosse appunto un virus nel settore di avvio.
Ciò non toglie che possa essere un problema hardware. Aldilà di questo,dato che windows non si avvia nemmeno in modalità provvisoria,c'è un modo per rimuovere il presunto virus?
Prima di chiedere nella sezione apposita,attendo una risposta,grazie ancora.

Segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1689812 per creare e disinfettare il PC con Avira Rescue.

[Chill-Out]

Quote:

Originariamente inviato da twocats

Ho fatto qualche progresso, credo, mi dareste ancora una volta una mano a controllare i log per capire come procedere?
Sono riuscita a fare finalmente qualche scansione in mod.provvisoria che mi ha trovato qualcosa.
Persistono però i problemi del Centro Sicurezza Pc, dei programmi che non fanno la scansione del pc ma riavviano, dello Java che non mi fa disinstallare le vecchie versioni neanche in mod.provv.

Ho fatto queste cose:
1-Malwarebytes rileva qui http://wikisend.com/download/451716/mbam-log-2010-03-28 (16-13-26)_MALWAREBYTES_28
una infezione giusto attinente al mio problema del Firewall:
Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Ma perchè dice così?Io gli ho detto di mettere in quarantena (o cancellarlo?Non ricordo...da qui problemi immagino...)
2-Combofix è finalmente partito in mod. provv. funzionando fino in fondo e mi ha trovato varie cose..
Dopo un successivo tentativo di scansione fallito in mod. normale (pc si riavvia) rifaccio in mod. provv. con rete e mi ripristina la console di ripristino che era danneggiata...può essere utile?AL boot mi dà l'opzione per accedervi, non so se funziona.
Qui la prima scansione http://wikisend.com/download/570958/log_COMBOFIX_28.txt e qui la seconda http://wikisend.com/download/472906/...ripristino.txt
3-Sto facendo Avira in mod.normale,anche se in questi gg l'ho fatta spesso e non trova più nulla, aggiornata e settata.
4-Log di Provx http://wikisend.com/download/541128/...mod_rid_28.log
Cosa mi consigliate?Qual è la situazione?Grazie infinite!!

Ciao, sei palesemente OT il 3D è dedicato solo ed esclusivamente alla rimozione del MBR Rootkit, ti invito pertanto a seguire esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

NB: i log per il controllo andranno allegati in una nuova discussione che andrai ad aprire qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125

[twocats]

ok scusate.

[Chill-Out]

Quote:

Originariamente inviato da twocats

ok scusate.

Grazie per la collaborazione.

[lessismore]

Salve,
il nod32 mi ha rilevato l'MBR rootkit... però la prima scansione che ho fatto con Prevx mi dice che sono pulito... cosa mi consigliate di fare?

grazie fin da subito

[Chill-Out]

Quote:

Originariamente inviato da lessismore

Salve,
il nod32 mi ha rilevato l'MBR rootkit... però la prima scansione che ho fatto con Prevx mi dice che sono pulito... cosa mi consigliate di fare?

grazie fin da subito

Ciao, ti suggerisco di seguire la Guida in prima pagina ed allegare i log per il controllo.