Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da numatu

Ciao Chill, ho rattivato il notebook diverse volte e sembra che l'utente HelpAssistant non si riabiliti, nè tatomeno si riformino le cartelle relative x cui penso che che il rpoblema si sia risolto, x questo dai log non s evince più nulla. Tuttavia il pc mi resta lento nell'avvio e non mi va instand-by, capisco che non è l'argomento di questa guida ma potresti indirizzarmi cmq ad una che mi possa aiutare ?.
Grazie di tutto.

P.S. l'utente HelpAssistant devo lascialo disabilitato o posso eliminarlo e nel caso come visto che ho Windows Media center edition (pro ).Grazie di nuovo.

Per quel che concerne HelpAssistant siamo a posto, per il resto allega un log di HJT nel 3D deidicato http://www.hwupgrade.it/forum/showthread.php?t=937676

[numatu]

Grazie Chil x il 3d, ma un ultima cosa, non ho capito se l'utente HelpAssistant lo devo lasciare disabilitato o posso eliminarlo.Se devo eliminarlo mi spiegheresti come? (Ho windows media centere edition ( sarebbe windows pro)) Grazie, ciao di nuovo.

[Chill-Out]

Quote:

Originariamente inviato da numatu

Grazie Chil x il 3d, ma un ultima cosa, non ho capito se l'utente HelpAssistant lo devo lasciare disabilitato o posso eliminarlo.Se devo eliminarlo mi spiegheresti come? (Ho windows media centere edition ( sarebbe windows pro)) Grazie, ciao di nuovo.

Lo lasci disabilitato

[aeroxr1]

appena provo a far partire Gmer compare una schermata blu .
Come posso fare ?

Intanto ho iniziato a far fare la scansione a Prevx

Mi hanno mandato in questo topic dopo che ho tolto un'altra infezione che mi faceva partire un finto antivirus

http://www.filedropper.com/prevx_2

e poi ho fatto il cleanup free.

Cosa devo fare ora ?

[Chill-Out]

Quote:

Originariamente inviato da aeroxr1

appena provo a far partire Gmer compare una schermata blu .
Come posso fare ?

Intanto ho iniziato a far fare la scansione a Prevx

Mi hanno mandato in questo topic dopo che ho tolto un'altra infezione che mi faceva partire un finto antivirus

http://www.filedropper.com/prevx_2

e poi ho fatto il cleanup free.

Cosa devo fare ora ?

Quanto indicato in Guida

[lelegio]

annanzitutto complimenti!
Vi ho "scoperti" da poco e sono alla partecipazione del mio primo forum...
Il mio SO xp professional service pack 3 HD160 giga. I problemi inziano un mese fà, all'apertura di un programma contabile esce schermata NTVDM ha rilevato un errore di sistema ecc... chiudevo e il programma partiva (attualmente per farlo partire devo chiudere il messaggio circa 10-12 volte...), poi ho cominciato ad avere dei problemi con internet explorer che andava un pò a rilento e si sconnetteva (ADSL)...l'icona della rimozione hardware sulla barra non a tutte le accensioni compare, ma non è questo il punto perchè gli Antivirus Avira e Avast che ho installato (e che mi dicono che è tutto ok!) si connettono e si aggiornano! Ho fatto girare super antispyware ho tolto moltissimo ma al secondo lancio mi manda in crash il sistema. Schemata blu anche quando tento di andare su internet. Metto HD come slave su altro PC e trovo ancora 58 infezioni che elimino. Rimonto si accende ma non ho risolto il problema...Poi Vi ho trovati e ho fatto tutte le procedure della guida...Primo problema non ho più il tab ripristino configurazione di sistema...mi è anche sparita la partizione del disco (30 Giba) e per mio errore perchè non ho letto attentamente, non posso più far girare previx (chiede codice)
Ho lanciato anche Malwarebytes che ha trovato e tolto parecchio ma ancora nulla. Attualmente non si connette più ad internet (ci riecono solo gli antivirus) e la contabilità per ora non la faccio. Il collegamento è ok perchè con portatile si collega. Vorrei averla vinta io anche se con tutto questo tempo facevo i salvataggi e formattavo...il problema è che non ho i drivers del PC e volevo proprio evitarlo! Allego i log chissà che non si possa fare qualcosa...
gmer.txt
prevx.txt
NFix_2010-05-10_18-07-45.log
mbr.log
mbam-log-2010-05-14 (13-07-05).txt
mbam-log-2010-05-14 (13-25-51).txt
Spero di aver fatto tutto giusto....grazie

[aeroxr1]

Quote:

Originariamente inviato da Chill-Out

Quanto indicato in Guida

in guida c'è scritto di postare i log di prima e dopo la scansione . Io ho postato solo quello prima della scansione, perchè il pc non è mio ma è della mia ragazza ed è difficile prendere tutti i log se il pc non lo hai sottomano costantemente .

Cmq tra i file rilevati c'è mbr.exe .

Ho fatto fare clean up e questo è andato via .


Gmer se lo eseguo mi fa spegnere il pc subito dopo la comparsa di una classica schermata blu di window xp .

Nella guida non mi sembra esserci altro almeno nella prima fase

Devo quindi procedere con la seconda fase ?

[Chill-Out]

Quote:

Originariamente inviato da aeroxr1

Nella guida non mi sembra esserci altro almeno nella prima fase

Devo quindi procedere con la seconda fase ?

Esatto

[Chill-Out]

Quote:

Originariamente inviato da lelegio

annanzitutto complimenti!
Vi ho "scoperti" da poco e sono alla partecipazione del mio primo forum...
Il mio SO xp professional service pack 3 HD160 giga. I problemi inziano un mese fà, all'apertura di un programma contabile esce schermata NTVDM ha rilevato un errore di sistema ecc... chiudevo e il programma partiva (attualmente per farlo partire devo chiudere il messaggio circa 10-12 volte...), poi ho cominciato ad avere dei problemi con internet explorer che andava un pò a rilento e si sconnetteva (ADSL)...l'icona della rimozione hardware sulla barra non a tutte le accensioni compare, ma non è questo il punto perchè gli Antivirus Avira e Avast che ho installato (e che mi dicono che è tutto ok!) si connettono e si aggiornano! Ho fatto girare super antispyware ho tolto moltissimo ma al secondo lancio mi manda in crash il sistema. Schemata blu anche quando tento di andare su internet. Metto HD come slave su altro PC e trovo ancora 58 infezioni che elimino. Rimonto si accende ma non ho risolto il problema...Poi Vi ho trovati e ho fatto tutte le procedure della guida...Primo problema non ho più il tab ripristino configurazione di sistema...mi è anche sparita la partizione del disco (30 Giba) e per mio errore perchè non ho letto attentamente, non posso più far girare previx (chiede codice)
Ho lanciato anche Malwarebytes che ha trovato e tolto parecchio ma ancora nulla. Attualmente non si connette più ad internet (ci riecono solo gli antivirus) e la contabilità per ora non la faccio. Il collegamento è ok perchè con portatile si collega. Vorrei averla vinta io anche se con tutto questo tempo facevo i salvataggi e formattavo...il problema è che non ho i drivers del PC e volevo proprio evitarlo! Allego i log chissà che non si possa fare qualcosa...
gmer.txt
prevx.txt
NFix_2010-05-10_18-07-45.log
mbr.log
mbam-log-2010-05-14 (13-07-05).txt
mbam-log-2010-05-14 (13-25-51).txt
Spero di aver fatto tutto giusto....grazie

Ciao, ripeti scansione con Prevx e procedi col CleanUp esattamente come indicato in Guida

Quote:

[b] c:\$mbr.0 [PX5: 99AA2E4B009FF0F80185002040C95900259D9CD1] Malware Group: Rootkit.MBR

successivamente produci il log della scansione completa con CureIt, successivamente vediamo come procedere.

[lelegio]

Quote:

Originariamente inviato da Chill-Out

Ciao, ripeti scansione con Prevx e procedi col CleanUp esattamente come indicato in Guida



successivamente produci il log della scansione completa con CureIt, successivamente vediamo come procedere.

Ciao, grazie per la solerzia...
Previx non mi parte più vuole il codice di attivazione, CuriIt quando clicco su esegui sembra partire con rumore anche dell'HD ma poi si ferma e non compare nulla....
Ho eseguito c:\mbr.exe-f e nel log non mi trova più infezione... (non sono a casa e non riesco a postarlo) Ho disabilitato come da guida anche HelpAssistent e sembra che non ricompaia. Ho aperto il programma di contabilità e non ho più errore NTDVM ecc.ecc.
Però non ho più tab di riconfigurazione sistema mi dice "che è stato disattivato dai criteri di gruppo per riattivare contattare l'amministratore del dominio" e la partizione del disco non c'è più! Allo spegnimento del PC mi esce che deve terminare WMS.IDLE forzando si spegne...

[Chill-Out]

Quote:

Originariamente inviato da lelegio

Ciao, grazie per la solerzia...
Previx non mi parte più vuole il codice di attivazione, CuriIt quando clicco su esegui sembra partire con rumore anche dell'HD ma poi si ferma e non compare nulla....
Ho eseguito c:\mbr.exe-f e nel log non mi trova più infezione... (non sono a casa e non riesco a postarlo) Ho disabilitato come da guida anche HelpAssistent e sembra che non ricompaia. Ho aperto il programma di contabilità e non ho più errore NTDVM ecc.ecc.
Però non ho più tab di riconfigurazione sistema mi dice "che è stato disattivato dai criteri di gruppo per riattivare contattare l'amministratore del dominio" e la partizione del disco non c'è più! Allo spegnimento del PC mi esce che deve terminare WMS.IDLE forzando si spegne...

Senza vedere un log è difficile risponderti, comunque per quanto concerne l'errore WMS.IDLE dimmi se hai installato MS Office.

[lelegio]

Quote:

Originariamente inviato da Chill-Out

Senza vedere un log è difficile risponderti, comunque per quanto concerne l'errore WMS.IDLE dimmi se hai installato MS Office.

Ciao, confermo che ho MS Office e i log sono:

http://wikisend.com/download/468732/mbr2.txt
http://wikisend.com/download/477664/mbr3.txt
http://wikisend.com/download/467698/mbr 1.txt

leggendo attentamente mi sa che sono ancora infetta....perchè non parte CureIt!?

[Chill-Out]

Quote:

Originariamente inviato da lelegio

Ciao, confermo che ho MS Office e i log sono:

http://wikisend.com/download/468732/mbr2.txt
http://wikisend.com/download/477664/mbr3.txt
http://wikisend.com/download/467698/mbr 1.txt

leggendo attentamente mi sa che sono ancora infetta....perchè non parte CureIt!?

A questo punto presumo che MS Office non sia aggiornato, procedi così disinstalla Prevx, reinstallalo e ripeti scansione.
Mentre per quanto concerne CureIt prova a rilanciarlo dopo averlo ovviamente riscaricato.

[lelegio]

Quote:

Originariamente inviato da Chill-Out

A questo punto presumo che MS Office non sia aggiornato, procedi così disinstalla Prevx, reinstallalo e ripeti scansione.
Mentre per quanto concerne CureIt prova a rilanciarlo dopo averlo ovviamente riscaricato.

Ciao ti ringrazio, effettivamente Office non è mai stato aggiornato...
Per quanto riguarda Prevx avevo già provato come mi hai consigliato a disintallarlo e ieri ho fatto tutto altre volte facendo girare anche Ccclener...nulla da fare mi dice sempre "errore V911" e vuole la licenza..ho provato a chiederla e mi esce lo stesso errore...Stesso problema con CureIt non parte...esce esegui lo lancio sembra lavorare ma poi non fa nulla
Se lascio tutto così che sembra funzionare?
Buona giornata

[lelegio]

Quote:

Originariamente inviato da Chill-Out

A questo punto presumo che MS Office non sia aggiornato, procedi così disinstalla Prevx, reinstallalo e ripeti scansione.
Mentre per quanto concerne CureIt prova a rilanciarlo dopo averlo ovviamente riscaricato.

Ciao, scusa se disturbo ancora... sono riuscita a far partire CureIt in modalità provvisoria.Sta lavorando da ieri pomeriggio...è lentissimo e in questo momento è ancora sulla scansione dei Drivers; è normale? Quando finirà mando il log... Grazie grazie

[aeroxr1]

Quote:

Originariamente inviato da aeroxr1

appena provo a far partire Gmer compare una schermata blu .
Come posso fare ?

Intanto ho iniziato a far fare la scansione a Prevx

Mi hanno mandato in questo topic dopo che ho tolto un'altra infezione che mi faceva partire un finto antivirus

http://www.filedropper.com/prevx_2

e poi ho fatto il cleanup free.

Cosa devo fare ora ?

aggiungo il log di Stealth MBR rootkit detector http://www.filedropper.com/mbrold_1

[Chill-Out]

Quote:

Originariamente inviato da aeroxr1

aggiungo il log di Stealth MBR rootkit detector http://www.filedropper.com/mbrold_1

Procedi direttamente con CureIt.

[aeroxr1]

Quote:

Originariamente inviato da Chill-Out

Procedi direttamente con CureIt.

oramai ho fatto fare la scansione anche all'altro programma , spero che la mia ragazza non abbia chiuso la finestra del programma senza salvare il log


comunque mi dite una cosa ?

Internet explorer si chiude spesso con errori soprattutto quando si cerca di accedere a siti che richiedono l'accesso attraverso password e username ,e se tento di installare comodo firewall l'installazione fallisce .
Dite sia colpa del virus che sto eliminando ora o questo non c'entra niente ?

Un mbr cosa dovrebbe fare di preciso ? Cioè quali sono i sintomi ?

p.s : una cosa che ho fatto che forse non dovevo fare è eliminare la cartella HelpAssistant prima di procedere con il resto .. Ho compromesso qualcosa ?

[lalloghin]

Salve! Purtroppo credo di essere ancora in ballo con qualche infezione. Posto qui dato l'intervento precedente.
Dopo un breve periodo di funzionamento apparentemente normale, durante uno streaming il sistema è andato in riavvio e la situazione è precipitata. CPU fuori frequenza, schermo fuori frequenza, quasi impossibilità a riavviare il PC. Sono riuscito con mSCONFIG a ripristinare la configurazione al 3 maggio (più o meno il periodo della precedente disinfezione).
Prima della riconfigurazione, alla riaccensione, il Pc attivava savedump.exe, ma poi crashava subito.
per farla breve adesso riesco a navigare normalmente ma se vado in streaming (ho provato solo quello RAI) dopo qualche minuto riavvia.
Gmer non segnala rootkit.
la scansione completa:
gmerlog1.txt

Prevx:
prevx.txt

ho poi eseguito DrWeb che ha trovato 9 file sospetti:
drwebcsvfile.txt
o
DrWeb.csv

questo il log completo e filtrato:
cureit filtrato.txt

PS: I file in quarantena ottenuti da DrWeb io li ho cancellati del tutto.
Non ho ancora cancellato i C\QooBox

PPS: Non sono riuscito a mettere i file in allegato (mi rispondeva indirizzo non valido).

Grazie in anticipo per l'aiuto!!!

[Chill-Out]

Quote:

Originariamente inviato da lalloghin

Salve! Purtroppo credo di essere ancora in ballo con qualche infezione. Posto qui dato l'intervento precedente.
Dopo un breve periodo di funzionamento apparentemente normale, durante uno streaming il sistema è andato in riavvio e la situazione è precipitata. CPU fuori frequenza, schermo fuori frequenza, quasi impossibilità a riavviare il PC. Sono riuscito con mSCONFIG a ripristinare la configurazione al 3 maggio (più o meno il periodo della precedente disinfezione).
Prima della riconfigurazione, alla riaccensione, il Pc attivava savedump.exe, ma poi crashava subito.
per farla breve adesso riesco a navigare normalmente ma se vado in streaming (ho provato solo quello RAI) dopo qualche minuto riavvia.
Gmer non segnala rootkit.
la scansione completa:
gmerlog1.txt

Prevx:
prevx.txt

ho poi eseguito DrWeb che ha trovato 9 file sospetti:
drwebcsvfile.txt
o
DrWeb.csv

questo il log completo e filtrato:
cureit filtrato.txt

PS: I file in quarantena ottenuti da DrWeb io li ho cancellati del tutto.
Non ho ancora cancellato i C\QooBox

PPS: Non sono riuscito a mettere i file in allegato (mi rispondeva indirizzo non valido).

Grazie in anticipo per l'aiuto!!!

Ciao, dai log non emergono tracce del Rootkit in questione.