Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[gilgames]

Quote:

Originariamente inviato da gilgames

Pardon. . .

NOD32 - http://wikisend.com/download/462388/gil_NOD32.jpg
Gmer Log - http://wikisend.com/download/533132/gil_Gmer.log
Prevx Log - http://wikisend.com/download/641778/gil_Prevx.log
MBR - http://wikisend.com/download/560820/gil_mbr.log
HxD disk1 - http://wikisend.com/download/518876/gil_disk1.jpg
HxD disk2 - http://wikisend.com/download/437554/gil_disk2.jpg

Manca qualcosa?

THK

Gil

Dimenticavo:
http://wikisend.com/download/441430/...8_16-43-49.log

Ciao

[Chill-Out]

Quote:

Originariamente inviato da gilgames

Dimenticavo:
http://wikisend.com/download/441430/...8_16-43-49.log

Ciao

Fai girare DrWeb CureIt, attendo il log.

[gilgames]

Quote:

Originariamente inviato da Chill-Out

Fai girare DrWeb CureIt, attendo il log.

L'ho passato stammatina. Ecco il Log:
http://wikisend.com/download/881934/Gil_CureIt.log (credo che non sia quello giusto: per la foga della contentezza ho fatto ripartire il CureIt prima di copiare il log)

Sembra che abbiia trovato il virus ed abbia applicato la cura.

Con NOR32 non lo trova più.

Ho risolto?

[Chill-Out]

Quote:

Originariamente inviato da gilgames

L'ho passato stammatina. Ecco il Log:
http://wikisend.com/download/881934/Gil_CureIt.log (credo che non sia quello giusto: per la foga della contentezza ho fatto ripartire il CureIt prima di copiare il log)

Sembra che abbiia trovato il virus ed abbia applicato la cura.

Con NOR32 non lo trova più.

Ho risolto?

Non è il log giusto, comunque se Nod non spara più avvisi dovremmo essere ok.

[12pippopluto34]

Salve,

ho notato che in alcune circostanze, pur rimuovendo il rootkit dal MBR, rimangono delle tracce di settori che il tool mbr.exe continua a segnalare.
Io li ho rimossi cosi':

- scarico Roadkil's Sector Editor

- mi segno le tracce residue riportate sul log di mbr.exe
(es: copy of MBR has been found in sector 0x0100A757
malicious code @ sector 0x0100A75A !
PE file found in sector at 0x0100A770 !)

- avvio la calcolatrice di Windows in modalita' scientifica, convertendo la notazione esadecimale dei suddetti settori in versione decimale (imposto la calc. su Hex, ci copio le otto cifre dopo la x di cui sopra, reimposto la calc. su Dec)

- come utente del gruppo Administrators lancio Sectedit.exe precedentemente scaricato selezionando il disco infetto, clicko su Tools -> Goto Sector, ci copio il valore decimale ottenuto sopra e clicko su Goto

- clicko su File -> Export Sector(s) per farne una copia di backup (non si sa mai!); clicko su Edit -> Zero Data per ripulire il settore del disco e poi salvo il lavoro con File -> Save Sector

- rilancio mbr.exe per controllare che le tracce siano state rimosse.

[lukissimo2000]

Ciao ragazzi,
avrei bisogno di un grosso aiuto perchè uno di questi virus mi mette parecchio in difficoltà e mi fa brancolare nel buio:

1) da qalche giorno quando apro il pc (anche in modalità provvisoria) appare il mess:
"Trend ChipAwayVirus has detected a boot virus on your hard disk!
Press <Enter> for more information (recommended)
<C> to continue booting"

2) Nel task manager compare il processo IEXPLORE.EXE anche se non uso InternetExplorer da una vita e, anche se lo termino, ricompare dopo pochi secondi.
Inoltre ogni tanto si aprono automaticamente pagine di Internet Explorer mentre sto usando altri programmi o comunque firefox.

3) Ogni tanto il volume dell'audio si azzera da solo.

Il pc già vecchiotto è diventato sensibilmente più lento, soprattutto all'avvio.
Come antivirus ho Avira ed ho già fatto delle scansioni anche con SuperAntispyware e SpybotS&D.... ma non trovano nulla (a parte i soliti tracking cookies ecc)


Alcuni log:
mbr.txt
hijackthis.txt
PREVx3.txt

Spero che possiate aiutarmi.
Grazie

[Chill-Out]

Quote:

Originariamente inviato da lukissimo2000

Ciao ragazzi,
avrei bisogno di un grosso aiuto perchè uno di questi virus mi mette parecchio in difficoltà e mi fa brancolare nel buio:

1) da qalche giorno quando apro il pc (anche in modalità provvisoria) appare il mess:
"Trend ChipAwayVirus has detected a boot virus on your hard disk!
Press <Enter> for more information (recommended)
<C> to continue booting"

2) Nel task manager compare il processo IEXPLORE.EXE anche se non uso InternetExplorer da una vita e, anche se lo termino, ricompare dopo pochi secondi.
Inoltre ogni tanto si aprono automaticamente pagine di Internet Explorer mentre sto usando altri programmi o comunque firefox.

3) Ogni tanto il volume dell'audio si azzera da solo.

Il pc già vecchiotto è diventato sensibilmente più lento, soprattutto all'avvio.
Come antivirus ho Avira ed ho già fatto delle scansioni anche con SuperAntispyware e SpybotS&D.... ma non trovano nulla (a parte i soliti tracking cookies ecc)


Alcuni log:
mbr.txt
hijackthis.txt
PREVx3.txt

Spero che possiate aiutarmi.
Grazie

Procedi esattamente come indicato nella Guida in prima pagina.

[lukissimo2000]

Quote:

Originariamente inviato da Chill-Out

Procedi esattamente come indicato nella Guida in prima pagina.

Questi i LOG del passo 1:
GMER.txt
PREVx3.txt

Spero possiate aiutarmi.
Grazie.

[Chill-Out]

Quote:

Originariamente inviato da lukissimo2000

Questi i LOG del passo 1:
GMER.txt
PREVx3.txt

Spero possiate aiutarmi.
Grazie.

Allega in sequenza i log della Seconda e Terza fase.

[ciano0815]

ciao
sono un utente poco avanzato, però la guida a pagina 1 la possono capire davvero tutti.
premetto cmq di non aver letto tutte le 146 pagine ma sono saltato direttamente all'ultima per sapere se la discussione era ancora attuale.

dunque la mia domanda è :
esiste di questa guida anke la versione per windows 7 a 64bit ?

grazie in tutti i casi

[Chill-Out]

Quote:

Originariamente inviato da ciano0815

ciao
sono un utente poco avanzato, però la guida a pagina 1 la possono capire davvero tutti.
premetto cmq di non aver letto tutte le 146 pagine ma sono saltato direttamente all'ultima per sapere se la discussione era ancora attuale.

dunque la mia domanda è :
esiste di questa guida anke la versione per windows 7 a 64bit ?

grazie in tutti i casi

Ciao e benvenuto!

Purtroppo con i sistemi a 64bit abbiamo le mani un pochino legate, ma sulla base di cosa deduci di aver contratto l'infezione in oggetto, non è impossibile ma su un sistema con architettura a 64bit mi pare strano.

[ciano0815]

ehi, che velocità !!

veramente non ho indizi che mi diano indicazioni in questo senso.
però, come già accennato, sono poco esperto. dunque non conoscendo i sintomi di tale condizione volevo scansionare diciamo così a scopo preventivo.
----------------------

possiedo due pc di cui "l'altro" viaggia a XP.
con le stesse premesse di esperienza, ma con la tua guida, ho lanciato gmer.exe su quest'ultimo, scontrandomi però con la finestra:
"Si è verificato un errore in gmer.exe. L'applicazione verrà chiusa.", con seguente "Segnalazione del problema a Microsoft" e la chiusura dell'applicazione.

come raccolgo in questo caso informazioni da segnalare qui (in caso di utilità), per continuare con l'operazione?

[Chill-Out]

Quote:

Originariamente inviato da ciano0815

ehi, che velocità !!

veramente non ho indizi che mi diano indicazioni in questo senso.
però, come già accennato, sono poco esperto. dunque non conoscendo i sintomi di tale condizione volevo scansionare diciamo così a scopo preventivo.
----------------------

possiedo due pc di cui "l'altro" viaggia a XP.
con le stesse premesse di esperienza, ma con la tua guida, ho lanciato gmer.exe su quest'ultimo, scontrandomi però con la finestra:
"Si è verificato un errore in gmer.exe. L'applicazione verrà chiusa.", con seguente "Segnalazione del problema a Microsoft" e la chiusura dell'applicazione.

come raccolgo in questo caso informazioni da segnalare qui (in caso di utilità), per continuare con l'operazione?

A scopo preventivo su entrambi i sistemi puoi far girare Prevx e DrWeb CureIt (prestando attenzione alle istruzioni in prima pagina)

[ciano0815]

ok, per ora grazie

ti farò sapere.....

[ciano0815]

Salute a te, chill-out

con tutti i miei dubbi e la mia propensione a prevenire, mi permetto di esporre qui un metodo per coloro che come me preferiscono chiudere la stalla PRIMA che le mucche scappino.

Con MBRtool (freeware - scaricabile qui)
http://www.brothersoft.com/mbrtool-61331.html
è possibile fare il backup del MBR sano, così che sia possibile ripristinarlo in caso di contagio.

Se applicata per tempo credo sia anche una valida alternativa alla guida in prima pagina, anche visti i fastidi e la pericolosità dei rootkit in questi casi.

[Chill-Out]

Quote:

Originariamente inviato da ciano0815

Salute a te, chill-out

con tutti i miei dubbi e la mia propensione a prevenire, mi permetto di esporre qui un metodo per coloro che come me preferiscono chiudere la stalla PRIMA che le mucche scappino.

Con MBRtool (freeware - scaricabile qui)
http://www.brothersoft.com/mbrtool-61331.html
è possibile fare il backup del MBR sano, così che sia possibile ripristinarlo in caso di contagio.

Se applicata per tempo credo sia anche una valida alternativa alla guida in prima pagina, anche visti i fastidi e la pericolosità dei rootkit in questi casi.

E' possibile farlo anche da Console di ripristino di Win, ciao.

[terence80]

Salve a tutti,ho un pc di un cliente che non posso assolutamente formattare,ha preso il classico virus yoyo che intacca l'mbr e all'avvio da Y(8capovolto)Y(8capovolto) subito la dicitura verifing dmi pool data.
Con fixmbr,fixboot e ripristino installazione xp professionale non sono riuscito a risolvere il problema.
A questo punto ho pensato di portarmi il pc e di risolvere smontando l'hd e collegarlo come hd esterno tramite box usb in modo da poter fare una scansione con diversi software.
Avira e Malware bytes nono rilevano nulla.Stealth Mbr non rileva nulla,Gmer mi scansiona solo C mentre sul mio pc l'hd collegato come esterno ha assegnata la lettera E
Mi date una mano?

[Chill-Out]

Quote:

Originariamente inviato da terence80

Salve a tutti,ho un pc di un cliente che non posso assolutamente formattare,ha preso il classico virus yoyo che intacca l'mbr e all'avvio da Y(8capovolto)Y(8capovolto) subito la dicitura verifing dmi pool data.
Con fixmbr,fixboot e ripristino installazione xp professionale non sono riuscito a risolvere il problema.
A questo punto ho pensato di portarmi il pc e di risolvere smontando l'hd e collegarlo come hd esterno tramite box usb in modo da poter fare una scansione con diversi software.
Avira e Malware bytes nono rilevano nulla.Stealth Mbr non rileva nulla,Gmer mi scansiona solo C mentre sul mio pc l'hd collegato come esterno ha assegnata la lettera E
Mi date una mano?

Ciao, fai girare Prevx e DrWeb CureIt esattamente come indicato in prima pagina.

[Chill-Out]

Quote:

Originariamente inviato da technoHC

http://www.hwupgrade.it/forum/showth...4#post32658944

il topic era questo ma è stato chiuso e allora continuo qua.

io ho fatto tutto ciò che c'era scritto di fare alla pagine uno di questo topic ma il risultato è stato negativo: non mi trova niente...

se volete posso postare pure i log delle scansioni (ma mi sembra inutile) sl che non mi fa caricare + di un file txt per messaggio..cmq fatemi sapere...

Riporto quanto scritto nella Guida in prima pagina

Quote:

NOTA BENE:
1 - AL FINE DI MANTENERE IL THREAD ORDINATO E FRUIBILE HOSTATE I LOG SOLO ED ESCLUSIVAMENTE IN FORMATO .TXT SU http://wikisend.com/ in alternativa su http://www.filedropper.com/ PUBBLICANDO PER OGNI LOG IL LINK CHE VERRA' RILASCIATO PER IL DOWNLOAD
2 - E' OPPORTUNO LEGGERE ATTENTAMENTE TUTTA LA GUIDA

[Chill-Out]

Scarica questo tool http://ad13.geekstogo.com/MBRCheck.exe link alternativo http://wikisend.com/download/449386/MBRCheck.exe

1 Doppio click MBRCheck.exe
2 Dovrebbe aprirsi una finestra nera (non intraprendere nessuna azione)
3 Scegli l'opzione 3 Exit ed allega il log prodotto (MBRCheck_date_time)

dimmi inioltre se hai il disco di installazione di Win.