Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Werfer]

ecco qua i vari log...
grazie mille dell'aiuto

http://wikisend.com/download/913488/report avire.txt --> avira
http://wikisend.com/download/795286/report gmer.txt --> gmer
http://wikisend.com/download/455022/report prevx.log --> prevx


p.s: la scansione di avira è stata fatta solo sulla chiavetta, non sul sistema completo

[sara_978]

http://www.filedropper.com/log_4>
questo è il log dopo gmer dovrei avere anch'io un rootkit. non sono riuscita a far partire prevx, neppure scaricandolo con altro nome.
cosa potrei fare adesso?

[sara_978]

Quote:

Originariamente inviato da sara_978

http://www.filedropper.com/log_4>
questo è il log dopo gmer dovrei avere anch'io un rootkit. non sono riuscita a far partire prevx, neppure scaricandolo con altro nome.
cosa potrei fare adesso?

volevo aggiungere che quelle rare volte che mi sembrava partisse (prevx)mi restituiva dopo poco una schermata di risultati tutta sballata come se il virus si fosse sostituito al programma..

[Chill-Out]

Quote:

Originariamente inviato da Werfer

ecco qua i vari log...
grazie mille dell'aiuto

http://wikisend.com/download/913488/report avire.txt --> avira
http://wikisend.com/download/795286/report gmer.txt --> gmer
http://wikisend.com/download/455022/report prevx.log --> prevx


p.s: la scansione di avira è stata fatta solo sulla chiavetta, non sul sistema completo

Il sistema è pulito, salva ciò che devi salvare e rasa la chiavetta.

[Chill-Out]

Quote:

Originariamente inviato da sara_978

http://www.filedropper.com/log_4>
questo è il log dopo gmer dovrei avere anch'io un rootkit. non sono riuscita a far partire prevx, neppure scaricandolo con altro nome.
cosa potrei fare adesso?

Quote:

Originariamente inviato da sara_978

volevo aggiungere che quelle rare volte che mi sembrava partisse (prevx)mi restituiva dopo poco una schermata di risultati tutta sballata come se il virus si fosse sostituito al programma..

Ciao, entrambi i log in formato testo .txt (blocco note) grazie per la collaborazione.

[Werfer]

ok grazie mille =)

p.s: non rischio di portarmi dietro niente? Mi sono accorto del virus perchè appena connessa la chiavetta ha tentato di installarmi un trojan che avira ha intercettato

[Chill-Out]

Quote:

Originariamente inviato da Werfer

ok grazie mille =)

p.s: non rischio di portarmi dietro niente? Mi sono accorto del virus perchè appena connessa la chiavetta ha tentato di installarmi un trojan che avira ha intercettato

Devi inserire la chiavetta tenendo e mantenendo premuto il tasto SHIFT onde evitare l'autoplay.

[Werfer]

d'accordo grazie mille della dritta e della disponibilità =)

p.s: complimenti per il forum, sono neoiscritto ma gia in passato ho letto spesso recensioni e topic e devo dire che è ottimo: una vera miniera di informazioni, aiuti e consigli =)

[sara_978]

http://www.filedropper.com/log_6
adesso dovrebbe andar bene. grazie

[Chill-Out]

Quote:

Originariamente inviato da Werfer

d'accordo grazie mille della dritta e della disponibilità =)

p.s: complimenti per il forum, sono neoiscritto ma gia in passato ho letto spesso recensioni e topic e devo dire che è ottimo: una vera miniera di informazioni, aiuti e consigli =)

Prego, buon proseguimento.

[sara_978]

io aspetto vs indicazioni per andare avanti...grazie anticipatamente.

[Interista89]

ciao a tutti, ho beccato pure io un'infezione al mbr.
Comunque, vediamo di esporre il tutto il più brevemente e chiaramente possibile! Sono un pò arretrato e uso ancora winxp sp2, ma andiamo con ordine.
Ero su alicesport a leggere una notizia con firefox, quando nella barra delle applicazioni in basso a destra si apre da sola la console java e l'antivirus (Avira antivir) impazzito segnala parecchi virus in entrata. Faccio elimina tutto e sembra tutto tornare alla normalità. Vado avanti a leggere tranquillo e dopo 10 minuti e mi si spegne il pc da solo.
Riaccendo e il bios mi informa che ho un virus nel mbr. Provo ad accedere lo stesso a windows, ma funziona tutto al rallentatore, pc lentissimo con blocchi frequenti. Mi procuro quindi mbr.exe e dalla modalità provvisoria eseguo "mbr.exe -f". Mi dice che ha risolto il problema fixando il mbr. Riavvio e il bios non mi rileva più anomalie, tutto parte come al solito e windows riacquista la sua normale velocità.
Faccio un paio di controllini per sicurezza e vedo che ho beccato pure il simpatico virus "HelpAssistant". Cancello quindi tutte le sue cartelle, cancello l'account windows che aveva creato e riavvio. Non compare più l'account helpassistant! Ottimo penso!
Per sicurezza poi ho:
1)Cancellato il contenuto delle cartelle Temp e Prefetch di windows
2)Ho fatto girare ccleander
3)Ho fatto una scansione con Avg anti-rootkit che non ha trovato nulla
4)Ho fatto una scansione col tool avira antirootkit che non ha trovato nulla
5)Ho fatto una scansione con Cureit che non ha trovato nulla
6)Malware bytes idem: il pc risulta pulito
7)Prevx versione demo non mi trova nulla ma la scansione dura solo 5 minuti (??) prevx.log
8)E infine ho fatto una scansione completa col mio antivirus, Avira antivir appunto, aggiornato a stamattina ore 10! Risultato: pc pulito


Il pc funziona bene, non sembro essere infetto ma mbr mi rileva ancora l'infezione, questo è il log di mbr:
mbr.txt

Invece, questo è quanto segnala Gmer, non mi sembra niente di anomalo:
gmer.txt

E infine hijackthis, tra i processi e le chiavi di registro non vedo nulla di anomalo ma controllate pure voi per sicurezza!
hijackthis.txt

Secondo voi sono infetto?

[sara_978]

Quote:

Originariamente inviato da sara_978

http://www.filedropper.com/log_6
adesso dovrebbe andar bene. grazie

allego log di mbrrootkit
http://www.filedropper.com/mbr-log
e prevx
http://www.filedropper.com/prevx

resto in attesa di un responso, nel frattempo ho fatto partire il norman.

[Chill-Out]

Quote:

Originariamente inviato da Interista89

ciao a tutti, ho beccato pure io un'infezione al mbr.
Comunque, vediamo di esporre il tutto il più brevemente e chiaramente possibile! Sono un pò arretrato e uso ancora winxp sp2, ma andiamo con ordine.
Ero su alicesport a leggere una notizia con firefox, quando nella barra delle applicazioni in basso a destra si apre da sola la console java e l'antivirus (Avira antivir) impazzito segnala parecchi virus in entrata. Faccio elimina tutto e sembra tutto tornare alla normalità. Vado avanti a leggere tranquillo e dopo 10 minuti e mi si spegne il pc da solo.
Riaccendo e il bios mi informa che ho un virus nel mbr. Provo ad accedere lo stesso a windows, ma funziona tutto al rallentatore, pc lentissimo con blocchi frequenti. Mi procuro quindi mbr.exe e dalla modalità provvisoria eseguo "mbr.exe -f". Mi dice che ha risolto il problema fixando il mbr. Riavvio e il bios non mi rileva più anomalie, tutto parte come al solito e windows riacquista la sua normale velocità.
Faccio un paio di controllini per sicurezza e vedo che ho beccato pure il simpatico virus "HelpAssistant". Cancello quindi tutte le sue cartelle, cancello l'account windows che aveva creato e riavvio. Non compare più l'account helpassistant! Ottimo penso!
Per sicurezza poi ho:
1)Cancellato il contenuto delle cartelle Temp e Prefetch di windows
2)Ho fatto girare ccleander
3)Ho fatto una scansione con Avg anti-rootkit che non ha trovato nulla
4)Ho fatto una scansione col tool avira antirootkit che non ha trovato nulla
5)Ho fatto una scansione con Cureit che non ha trovato nulla
6)Malware bytes idem: il pc risulta pulito
7)Prevx versione demo non mi trova nulla ma la scansione dura solo 5 minuti (??) prevx.log
8)E infine ho fatto una scansione completa col mio antivirus, Avira antivir appunto, aggiornato a stamattina ore 10! Risultato: pc pulito


Il pc funziona bene, non sembro essere infetto ma mbr mi rileva ancora l'infezione, questo è il log di mbr:
mbr.txt

Invece, questo è quanto segnala Gmer, non mi sembra niente di anomalo:
gmer.txt

E infine hijackthis, tra i processi e le chiavi di registro non vedo nulla di anomalo ma controllate pure voi per sicurezza!
hijackthis.txt

Secondo voi sono infetto?

Ciao, ripeti scansione con Gmer prestando attenzione alle istruzioni in Guida ed allega il log insieme a quello di Prevx, esattamente come prevede la prima fase.

[Chill-Out]

Quote:

Originariamente inviato da sara_978

allego log di mbrrootkit
http://www.filedropper.com/mbr-log
e prevx
http://www.filedropper.com/prevx

resto in attesa di un responso, nel frattempo ho fatto partire il norman.

Allega il log del Norman e successivamente passa a CureIt.

[Interista89]

Quote:

Originariamente inviato da Chill-Out

Ciao, ripeti scansione con Gmer prestando attenzione alle istruzioni in Guida ed allega il log insieme a quello di Prevx, esattamente come prevede la prima fase.

Ah ok grazie chillout.

Ecco qui il log di gmer: gmer.txt
E questo è prevx, ma l'avevo già postato: prevx.log

Può essere che mbr mi generi un falso positivo perchè nello stesso hard disk ho anche linux? Il mio hard disk è diviso così: 1 parte windows xp, 1 parte linux, 1 parte swap che serve a linux. Il grub (bootloader) di linux si occupa di far partire, a scelta, i 2 sistemi operativi. Potrebbe essere quello che fa impazzire mbr?

Comunque ieri sera ho letto un'altra notizia su alicesport e appena sono entrato sulla pagina l'antivirus mi ha segnato 3 virus, ho fatto elimina e in teoria li ho eliminati, però non può essere un caso secondo me...nelle pagine di alicesport qualcuno si diverte ad inserire malware!

[sara_978]

a me è sembrato non ci fosse nulla. voi che dite?
http://www.filedropper.com/normancleanerlog

[sara_978]

http://www.filedropper.com/cureit

spero di aver caricato bene il log di cure it.
non ho capito alcune cose: per curare il mio rootkit ha fatto riavviare il sistema quindi tutti gli altri virus individuati sono stati messi in quarantena. adesso devo eliminarli io manualmente dalla quarantena oppure devo dare un'altra scansione al sistema?
giusto per curiosità volevo segnalare che prevx si è infettato e mi ha portato dentro un bel backdoor.trojan!!

che dite?

[Chill-Out]

Quote:

Originariamente inviato da Interista89

Ah ok grazie chillout.

Ecco qui il log di gmer: gmer.txt
E questo è prevx, ma l'avevo già postato: prevx.log

Può essere che mbr mi generi un falso positivo perchè nello stesso hard disk ho anche linux? Il mio hard disk è diviso così: 1 parte windows xp, 1 parte linux, 1 parte swap che serve a linux. Il grub (bootloader) di linux si occupa di far partire, a scelta, i 2 sistemi operativi. Potrebbe essere quello che fa impazzire mbr?

Comunque ieri sera ho letto un'altra notizia su alicesport e appena sono entrato sulla pagina l'antivirus mi ha segnato 3 virus, ho fatto elimina e in teoria li ho eliminati, però non può essere un caso secondo me...nelle pagine di alicesport qualcuno si diverte ad inserire malware!

Dai log non emerge nulla, suggerisco scansione di controllo con CureIt.

[Chill-Out]

Quote:

Originariamente inviato da sara_978

http://www.filedropper.com/cureit

spero di aver caricato bene il log di cure it.
non ho capito alcune cose: per curare il mio rootkit ha fatto riavviare il sistema quindi tutti gli altri virus individuati sono stati messi in quarantena. adesso devo eliminarli io manualmente dalla quarantena oppure devo dare un'altra scansione al sistema?
giusto per curiosità volevo segnalare che prevx si è infettato e mi ha portato dentro un bel backdoor.trojan!!

che dite?

Normale che ti abbia fatto riavviare per curare l'infezione, per quanto concerne i virus in quarantena non c'è nulla di cui preoccuparsi non possono nuocere.

Prevx non è infetto, trattasi di una errata rilevazione da parte di CureIt

PS: riallega il log in quanto è incompleto