Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[4april]

Quote:

Originariamente inviato da Chill-Out

Per quanto concerne il MBR rootkit dai log non merge nulla, per il discorso Remote Banking dipende dal tuo parco software di sicurezza (in questa situazione non ti ha protetto adeguatamente) e dall'utilizzo che fai del PC.

PS: il log può rimanere "sporco"

Grazie ancora per il tuo aiuto!provvedero con le vostre guide a rendere il mio pc piu' protetto!Grazie ancora

[mooceleste]

Quote:

Originariamente inviato da Chill-Out

Dai log non emerge nulla, per quanto concerne c:\windows\system32\acs.exe è legittiomo appartiene alla scheda WiFi.

Allega i log inerenti la Seconda e Terza fase.

ecco i log mbr http://wikisend.com/download/683116/mbr.log
nfix http://wikisend.com/download/467190/...7_13-28-04.log
e cureit filtrato http://wikisend.com/download/558480/...20filtrato.txt.

quando ho fatto cureit , dopo la rapida mi ha chiesto di riavviare . riavviato , ho rifatto la rapida e poi la completa . in entrambe le circostanze un paio di virus sono stati segnalati contemporaneamente da antivir avira .

[alexander055]

Salve a tutti,
mi sono appena registrato, quindi mi scuso in anticipo se commetto qualche errore nell utilizzo del forum, IMPARERO'!

Ho un problema.
ESET, NOD32 mi rileva nel disco fisico nel mbr settore 0 il virus TSR.BOOT.
Premetto che ho gia letto milioni di forum e usato tutti i programmi, ma il virus non si toglie. Ho pensato di usare la console di ripristino facendo fixmbr, ma siccome ho un dual bot con xp e windows 7 64bit temo che mi cancelli le partizioni.
Il mio computer non ha l accesso ad internet perche lo uso per lavorare, ma sfortunatamente l ho beccato installando sicuramente un prg con il virus nascosto e la cosa bella che non so quale sia.

Chiedo gentilmente l aiuto di qualcuno di voi che sicuramente ne sa molto piu di me.
vi ringrazio, sono pronto a seguire le vostre istruzioni dal principio.
arrivederci.

Log rimosso, non conforme alle Regole di sezione.

[wjmat]

Quote:

Originariamente inviato da alexander055

Salve a tutti,
mi sono appena registrato, quindi mi scuso in anticipo se commetto qualche errore nell utilizzo del forum, IMPARERO'!

Ho un problema.
ESET, NOD32 mi rileva nel disco fisico nel mbr settore 0 il virus TSR.BOOT.
Premetto che ho gia letto milioni di forum e usato tutti i programmi, ma il virus non si toglie. Ho pensato di usare la console di ripristino facendo fixmbr, ma siccome ho un dual bot con xp e windows 7 64bit temo che mi cancelli le partizioni.
Il mio computer non ha l accesso ad internet perche lo uso per lavorare, ma sfortunatamente l ho beccato installando sicuramente un prg con il virus nascosto e la cosa bella che non so quale sia.

Chiedo gentilmente l aiuto di qualcuno di voi che sicuramente ne sa molto piu di me.
vi ringrazio, sono pronto a seguire le vostre istruzioni dal principio.
arrivederci.

devi postare i log richiesti dalla guida e allegarli secondo le modalità, grazie

[alexander055]

Come dice la guida posto il log di gmer

questo log pero è del computer portatile non del fisso a cui sono affetto dal tsr boot virus.

mentre aspetto la scansione completa posto il log di quest altro computer. grazie

Log rimosso non conforme alle Regole di sezione.

[alexander055]

Chiedo scusa qualcuno mi puo controllare il log di gmer? che ho postato prima?

vi ringrazioe

[Chill-Out]

Quote:

Originariamente inviato da mooceleste

ecco i log mbr http://wikisend.com/download/683116/mbr.log
nfix http://wikisend.com/download/467190/...7_13-28-04.log
e cureit filtrato http://wikisend.com/download/558480/...20filtrato.txt.

quando ho fatto cureit , dopo la rapida mi ha chiesto di riavviare . riavviato , ho rifatto la rapida e poi la completa . in entrambe le circostanze un paio di virus sono stati segnalati contemporaneamente da antivir avira .

Scarica questo file http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovare in C:\TDSSKiller..................log.txt

[lalloghin]

Ciao riprendo qui.
Allora:
Tdsskiller individua lo stesso service frblsf (detectato da gmer) e mi chiede di cancellarlo tramite comando delete.
Posso fidarmi e quindi dare il comando di cancellazione?

il log: http://wikisend.com/download/538186/....41.57_log.txt

Intanto allego anche il log completo dello scan di Gmer (che ho rifatto riconfigurando il ripristino) e che è durato 2h!!
il log: http://wikisend.com/download/442816/gmerlog.txt

Ho già scaricato Prevx, ma visti i tempi di scan di Gmer (e dovendo fare prevx due volte), forse è meglio che aspetto una risposta per tdsskiller.

[Chill-Out]

Quote:

Originariamente inviato da lalloghin

Ciao riprendo qui.
Allora:
Tdsskiller individua lo stesso service frblsf (detectato da gmer) e mi chiede di cancellarlo tramite comando delete.
Posso fidarmi e quindi dare il comando di cancellazione?

il log: http://wikisend.com/download/538186/....41.57_log.txt

Intanto allego anche il log completo dello scan di Gmer (che ho rifatto riconfigurando il ripristino) e che è durato 2h!!
il log: http://wikisend.com/download/442816/gmerlog.txt

Ho già scaricato Prevx, ma visti i tempi di scan di Gmer (e dovendo fare prevx due volte), forse è meglio che aspetto una risposta per tdsskiller.

Il log di TDSSkiller è incompleto, riallegalo.

[mooceleste]

Quote:

Originariamente inviato da Chill-Out

Scarica questo file http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovare in C:\TDSSKiller..................log.txt

ho lanciato il programma la prima volta da dentro la cartella zip e questo è il log http://wikisend.com/download/504660/....42.26_log.txt , la seconda volta estraendolo http://wikisend.com/download/529182/....59.33_log.txt.
Avrei anche scaricato una versione piu aggiornata di Cureit e fatto lo scan , in cui mi ha trovato meno virus ( 5 ) rispetto all'ultima volta (12) , ma non sò dove trovare il log e quindi non posso mostrartelo .
sempre grazie .

[lalloghin]

Quote:

Originariamente inviato da Chill-Out

Il log di TDSSkiller è incompleto, riallegalo.

Credo che sia incompleto in quanto alla domanda: 'type delete to delete it' io per ora non l'ho fatto ed il prog non avanza. Posso dare il comando delete tranquillamente o quale comando alternativo per proseguire?

[Chill-Out]

Quote:

Originariamente inviato da lalloghin

Credo che sia incompleto in quanto alla domanda: 'type delete to delete it' io per ora non l'ho fatto ed il prog non avanza. Posso dare il comando delete tranquillamente o quale comando alternativo per proseguire?

Procedi così visto che i problemi sono 2

1 Scarica questo software http://www.surfright.nl/en/hitmanpro lancia la scansione, trovando tracce dell'infezione ti consentirà la rimozione gratutita

2 ComboFix - Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Doppio click su ComboFix.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza

Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt

3 Fai scansione completa con DrWeb CureIt eattamanete come indicato al Punto 5 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

Riepilogo log da allegare:
Hitman Pro
ComboFix
CureIt

[lalloghin]

Quote:

Originariamente inviato da Chill-Out

Procedi così visto che i problemi sono 2

1 Scarica questo software http://www.surfright.nl/en/hitmanpro lancia la scansione, trovando tracce dell'infezione ti consentirà la rimozione gratutita

2 ComboFix - Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Doppio click su ComboFix.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza

Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt

3 Fai scansione completa con DrWeb CureIt eattamanete come indicato al Punto 5 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

Riepilogo log da allegare:
Hitman Pro
ComboFix
CureIt

Intanto grazie per la pazienza. Ho lanciato Hitman che si è concluso positivamente con l'eliminazione di diversi trojan mentre ha fallito sul RootKit. ma non trovo il log!! (l'exe di Hitman ha prodotto i file .key e .lic e nient'altro con nome hitman o associabile - ho fatto la scansione con -cerca- in tutto il disco)
Poi combofix (una tortura quando chiedeva il riavvio :-))...) e questo è il log:
http://wikisend.com/download/926486/ComboFix.txt

Visto il problema col log di Hitman ho anticipato il post, nel pomeriggio parto con CureIt. Se devo rifare Hitman segnalamelo.
Grazie ancora.

[lalloghin]

Fatto anche DrWeb che non ha segnalato infezioni
Il log:
http://wikisend.com/download/585278/cureit.txt

Riattivo la config sistema?

Segnalo questo: ho cercato di copiare l'eseguibile di tdsskiller in un drive esterno ma l'operazione non riesce con la segnalazione: ACCESSO NEGATO verificare se il disco è pieno (NO) o il file è attualmente in uso Va disinstallato?

[Chill-Out]

Quote:

Originariamente inviato da lalloghin

Fatto anche DrWeb che non ha segnalato infezioni
Il log:
http://wikisend.com/download/585278/cureit.txt

Riattivo la config sistema?

Segnalo questo: ho cercato di copiare l'eseguibile di tdsskiller in un drive esterno ma l'operazione non riesce con la segnalazione: ACCESSO NEGATO verificare se il disco è pieno (NO) o il file è attualmente in uso Va disinstallato?

Sicuro di aver fatto scansione completa con CureIt?

Per quanto concerne HitMan Pro ti consente di salvare il file di log in formato .xml, comunque da Impostazioni - Storia puoi ricavare cosa è stato eliminato

Allega nuovo log di Gmer

[lalloghin]

OK ha installato ora mi chiede di riavviare per rendere effettivi etc. Devo riavviare per far proseguire gmer o posso bypassare e riavvio dopo?

[Chill-Out]

Quote:

Originariamente inviato da lalloghin

Ho rilanciato Gmer ma ad un certo punto il computer si è riavviato ed ora sta caricando non meglio precisati aggiornamenti senza aver chiesto nulla. E' normale?

Si e no, dipende dagli aggiornamenti.

[lalloghin]

Ok tutti aggiornamenti di protezione windows. Almeno apparentemente :-))))

[lalloghin]

OK ha installato ora mi chiede di riavviare per rendere effettivi etc. Devo riavviare per far proseguire gmer o posso bypassare e riavvio dopo?

Per la precisione (questo è il mio dubbio), Gmer è terminato (non vedo un processo attivo con quel nome) ma allora DOV'E' il LOG??? (sigh!!-devo rifarlo?) oppure è ancora attivo?

Ho riavviato e rilanciato Gmer. Azz! Speriamo che questa volta arrivi in fondo....

[mooceleste]

Quote:

Originariamente inviato da mooceleste

ho lanciato il programma la prima volta da dentro la cartella zip e questo è il log http://wikisend.com/download/504660/....42.26_log.txt , la seconda volta estraendolo http://wikisend.com/download/529182/....59.33_log.txt.
Avrei anche scaricato una versione piu aggiornata di Cureit e fatto lo scan , in cui mi ha trovato meno virus ( 5 ) rispetto all'ultima volta (12) , ma non sò dove trovare il log e quindi non posso mostrartelo .
sempre grazie .

up