Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Interista89]

Quote:

Originariamente inviato da Chill-Out

Dai log non emerge nulla, suggerisco scansione di controllo con CureIt.

non mi trova nessuna infezione nemmeno cureit.
Solo mbr.exe mi segnala infezioni....credo che per sicurezza formatterò tutto, dopo 4 anni un pò di tabula rasa non fa di certo male!
Grazie per la disponibilità!

[Chill-Out]

Quote:

Originariamente inviato da Interista89

non mi trova nessuna infezione nemmeno cureit.
Solo mbr.exe mi segnala infezioni....credo che per sicurezza formatterò tutto, dopo 4 anni un pò di tabula rasa non fa di certo male!
Grazie per la disponibilità!

Il log può rimanere "sporco", se decidi di formattare è necessario farlo a basso livello.

[sara_978]

Ho cancellato dalla quarantena tuii i files. ho avviato la scansione completa e ha già trovato dell'altro.
la cpu è sempre a 100 ahimè.
allego di nuovo il log.
http://www.filedropper.com/cureit_1

[Chill-Out]

Quote:

Originariamente inviato da sara_978

Ho cancellato dalla quarantena tuii i files. ho avviato la scansione completa e ha già trovato dell'altro.
la cpu è sempre a 100 ahimè.
allego di nuovo il log.
http://www.filedropper.com/cureit_1

Come detto in precedenza i files in quarantena non possono nuocere, quindi per scrupolo è bene non eliminarli.

Il log di CureIt è pulito

Quote:

Statistiche delle Scansioni
-----------------------------------------------------------------------------
Oggetti controllati: 266
Trovati oggetti Infetti: 0
Trovato Oggetti modificati: 0
Trovato oggetti Sospetti: 0
Trovato Adware: 0
Trovato Dialer: 0
Trovato Joke: 0
Trovato Riskware: 0
Trovato Hacktool: 0
Oggetti curati: 0
Oggetti cancellati: 0
Oggetti rinominati: 0
Oggetti spostati: 0
Oggetti ignorati: 0
Velocità di scansione: 133 Kb/s
Durata scansione: 00:03:20

mi domando quindi che cosa ha trovato

[Interista89]

Quote:

Originariamente inviato da Chill-Out

Il log può rimanere "sporco", se decidi di formattare è necessario farlo a basso livello.

Appena ho una giornata libera mi ci metto dietro. Non formatto solamente, distruggo proprio tutte le partizioni e poi le ricreo.
Ho ancora il buon fdisk che può fare al caso mio...e poi nell'installazione di windows xp quando devo formattare il disco faccio formattazione completa e non veloce.

Secondo te è un rischio se formatto solo il C: lasciando stare il secondo hard disk da 20gb dove ci sono un pò di dati, non di sistema, ma solo file video, qualche documento e vari archivi .zip/.rar ?

[sara_978]

Quote:

Originariamente inviato da Chill-Out

Come detto in precedenza i files in quarantena non possono nuocere, quindi per scrupolo è bene non eliminarli.

Il log di CureIt è pulito



mi domando quindi che cosa ha trovato

ieri stupidamente ho fatto partire altre due vote lo scan che poi ho interrotto, per questo motivo dal log non si vedono i file. comunque avevo il Master Boot Record HDD2 infettato da BackDoor.MaosBoot.35. nonostante ciò come dicevo prima la cpu è sempre a 100.spero dopo la scansione di capirci qualcosa.

[Interista89]

Quote:

Originariamente inviato da sara_978

ieri stupidamente ho fatto partire altre due vote lo scan che poi ho interrotto, per questo motivo dal log non si vedono i file. comunque avevo il Master Boot Record HDD2 infettato da BackDoor.MaosBoot.35. nonostante ciò come dicevo prima la cpu è sempre a 100.spero dopo la scansione di capirci qualcosa.

Se è il ciclo idle ad occupare il 90-100% della cpu è una cosa normale

[4april]

Ciao a tutti. Ho problemi al pc da un mese credevo fosse fuso l hd ma in realta ho scoperto grazie a voi ke era colpa del rootkit mbr .
Allora io ho eseguito le prime 2 fasi x far si ke il mio pc funzionasse bene!ma nella procedura del Stealth MBR rootkit detector risulta ancora almeno credo .allego i Log.Grazie
http://www.mediafire.com/file/oizztvmljui/gmer log.log
http://www.mediafire.com/file/tzngojyt2oy/Prevex file log.log
http://www.mediafire.com/file/wyt3z1wktjj/mbr.log
http://www.mediafire.com/file/kuqzim...6_13-46-35.log

[Chill-Out]

Quote:

Originariamente inviato da 4april

Ciao a tutti. Ho problemi al pc da un mese credevo fosse fuso l hd ma in realta ho scoperto grazie a voi ke era colpa del rootkit mbr .
Allora io ho eseguito le prime 2 fasi x far si ke il mio pc funzionasse bene!ma nella procedura del Stealth MBR rootkit detector risulta ancora almeno credo .allego i Log.Grazie
http://www.mediafire.com/file/oizztvmljui/gmer log.log
http://www.mediafire.com/file/tzngojyt2oy/Prevex file log.log
http://www.mediafire.com/file/wyt3z1wktjj/mbr.log
http://www.mediafire.com/file/kuqzim...6_13-46-35.log

Ciao, la Guida in prima pagina prevede 2 log di Prevx pre e post infezione.

[mooceleste]

ciao , anch'io mi sono beccato questo fastidio .
da circa un mese il mio antivirus Avira all'inizio dello scan mi segnala che sia il record di avvio dell'hard disk 0 che di F contengono il codice del virus Boo /Sinowal. E
sto seguendo la guida posta in prima pagina e linko sia il controllo con gmer
http://www.filedropper.com/jj_2
sia il controllo con Prevx http://www.filedropper.com/hh_3
le tre minacce evidenziate in rosso da Prevx sono di quelle la cui rimozione si può fare solo con la licenza del programma . per cui aspetto vostri consigli su come procedere .
grazie mille !

[4april]

Quote:

Originariamente inviato da Chill-Out

Ciao, la Guida in prima pagina prevede 2 log di Prevx pre e post infezione.

Ciao scusa ma il pre infezione nn ce l ho piu' sono stata disattenta con la guida scusa ancora.spero ke puoi aiutarmi lo stesso.non capisco come mai nel Stealth MBR rootkit detector mi scrive cosi:

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x025429800
malicious code @ sector 0x025429803 !
PE file found in sector at 0x025429819 !

sono ancora infettata quindi.
ora sto provando a scansionare con Dr.Web CureIt
Grazie e scusa ancora per la mia disattenzione

[Chill-Out]

Quote:

Originariamente inviato da mooceleste

ciao , anch'io mi sono beccato questo fastidio .
da circa un mese il mio antivirus Avira all'inizio dello scan mi segnala che sia il record di avvio dell'hard disk 0 che di F contengono il codice del virus Boo /Sinowal. E
sto seguendo la guida posta in prima pagina e linko sia il controllo con gmer
http://www.filedropper.com/jj_2
sia il controllo con Prevx http://www.filedropper.com/hh_3
le tre minacce evidenziate in rosso da Prevx sono di quelle la cui rimozione si può fare solo con la licenza del programma . per cui aspetto vostri consigli su come procedere .
grazie mille !

Ciao, i links ai log non sono corretti, in caso di problemi con file dropper puoi utilizzare http://wikisend.com/

[Interista89]

Quote:

Originariamente inviato da 4april

Ciao scusa ma il pre infezione nn ce l ho piu' sono stata disattenta con la guida scusa ancora.spero ke puoi aiutarmi lo stesso.non capisco come mai nel Stealth MBR rootkit detector mi scrive cosi:

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x025429800
malicious code @ sector 0x025429803 !
PE file found in sector at 0x025429819 !

sono ancora infettata quindi.
ora sto provando a scansionare con Dr.Web CureIt
Grazie e scusa ancora per la mia disattenzione

É successa la stessa cosa pure a me, e ora il mbr mi rivela un'infezione uguale identica alla tua.
Probabilmente non siamo più infetti ed è rimasto solamente "sporco" il log di mbr.
Per sicurezza io ho fatto una scansione con cureit e con vari tool anti rootkit ma non mi ha trovato nulla, il pc funziona alla velocità di sempre e non ci sono processi strani, quindi mi ritengo non infetto.
Leggiti la guida "disinfezione per infetti" e esegui tutti i controlli che ci sono scritti.
Se non trova niente non hai il pc infetto

[Chill-Out]

Quote:

Originariamente inviato da 4april

Ciao scusa ma il pre infezione nn ce l ho piu' sono stata disattenta con la guida scusa ancora.spero ke puoi aiutarmi lo stesso.non capisco come mai nel Stealth MBR rootkit detector mi scrive cosi:

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x025429800
malicious code @ sector 0x025429803 !
PE file found in sector at 0x025429819 !

sono ancora infettata quindi.
ora sto provando a scansionare con Dr.Web CureIt
Grazie e scusa ancora per la mia disattenzione

Quote:

Originariamente inviato da Interista89

É successa la stessa cosa pure a me, e ora il mbr mi rivela un'infezione uguale identica alla tua.
Probabilmente non siamo più infetti ed è rimasto solamente "sporco" il log di mbr.
Per sicurezza io ho fatto una scansione con cureit e con vari tool anti rootkit ma non mi ha trovato nulla, il pc funziona alla velocità di sempre e non ci sono processi strani, quindi mi ritengo non infetto.
Leggiti la guida "disinfezione per infetti" e esegui tutti i controlli che ci sono scritti.
Se non trova niente non hai il pc infetto

Prima allega il log di CureIt

[mooceleste]

Quote:

Originariamente inviato da Chill-Out

Ciao, i links ai log non sono corretti, in caso di problemi con file dropper puoi utilizzare http://wikisend.com/

ok , ecco gmer : http://wikisend.com/download/928986/jj.log
e prevx : http://wikisend.com/download/946398/hh.log
grazie

[Chill-Out]

Quote:

Originariamente inviato da mooceleste

ok , ecco gmer : http://wikisend.com/download/928986/jj.log
e prevx : http://wikisend.com/download/946398/hh.log
grazie

Dai log non emerge nulla, per quanto concerne c:\windows\system32\acs.exe è legittiomo appartiene alla scheda WiFi.

Allega i log inerenti la Seconda e Terza fase.

[4april]

Quote:

Originariamente inviato da Chill-Out

Prima allega il log di CureIt

Ciao ecco il log di CureIt:
http://www.mediafire.com/file/ojtkwotjjgw/cureit filtrato.txt

La cosa che non capisco perchè m dice scansione annullata dall utente? io ho lasciato il pc acceso e a fare la scansione e ho as<pettato che finisse.
ciao e Grazie

[Chill-Out]

Quote:

Originariamente inviato da 4april

Ciao ecco il log di CureIt:
http://www.mediafire.com/file/ojtkwotjjgw/cureit filtrato.txt

La cosa che non capisco perchè m dice scansione annullata dall utente? io ho lasciato il pc acceso e a fare la scansione e ho as<pettato che finisse.
ciao e Grazie

Dovremmo essere ok.

[4april]

Quote:

Originariamente inviato da Chill-Out

Dovremmo essere ok.

Ciao e grazie.Sicuro che posso stare tranquilla?perchè uso il pc per andare su sito della banca, e ho paura ke possa succedere qualcosa d poco 'carino'. e sul log di Stealth MBR rootkit detector risulta ancora questo:

copy of MBR has been found in sector 0x025429800
malicious code @ sector 0x025429803 !
PE file found in sector at 0x025429819 !

Grazie ancora ciao

[Chill-Out]

Quote:

Originariamente inviato da 4april

Ciao e grazie.Sicuro che posso stare tranquilla?perchè uso il pc per andare su sito della banca, e ho paura ke possa succedere qualcosa d poco 'carino'. e sul log di Stealth MBR rootkit detector risulta ancora questo:

copy of MBR has been found in sector 0x025429800
malicious code @ sector 0x025429803 !
PE file found in sector at 0x025429819 !

Grazie ancora ciao

Per quanto concerne il MBR rootkit dai log non merge nulla, per il discorso Remote Banking dipende dal tuo parco software di sicurezza (in questa situazione non ti ha protetto adeguatamente) e dall'utilizzo che fai del PC.

PS: il log può rimanere "sporco"