Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT - Pagina 147

**Chill-Out** · 21-07-2010, 17:33

Quote:

Originariamente inviato da technoHC

col tuo link mi dice

403 Forbidden
Access to this resource on the server is denied!

cmq si ho il cd di windows xp con sp3

Anche a me Access to this resource on the server is denied! vedo di recuperare una copia di quel tool, mi serve quel log per procedere.

PS: il server è temporanemente offline lo stanno ripristinando.

**Chill-Out** · 22-07-2010, 01:43

Quote:

Originariamente inviato da technoHC

è ancora offline il sito

sta sera viene qua un mio amico..se gli passo dei file..(film....che ho su un altro hd nn quello di sistema..ma su quello di storage.....rischia qualcosa???)

fatemi sapere....che io credo che il hd infetto sia quello di sistema.......almeno da quello che ho linkato...e vorrei sapere se rischio qualcosa se gli passo dei file a lui....

grazie

ps lui ha seven

Segui questa procedura

Quote:

* Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS
* Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY
* Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive
* A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows
* Premi F10 per confermare ed uscire
* Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
* Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
* Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, 1) X:\Windows quindi premere 1 e confermare con OK
* Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.
* Al prompt dei comandi digita FIXMBR e clicca su Y per confermare
* Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows

**Chill-Out** · 22-07-2010, 20:42

Quote:

Originariamente inviato da technoHC

http://wikisend.com/download/500368/...0_18.02.18.txt

il server è tornato online

toglimi una curiosità ma il problema su quale hd è ???

quello + piccolo è quello di sistema quello + grande è quello che tengo come storage

Scusa, ma \F: che cos'è ?

**Chill-Out** · 22-07-2010, 21:12

Quote:

Originariamente inviato da technoHC

c è l hardisk col sistema operativo.....

il secondo hardisk che uso come storage..è l unità F

Interno o esterno?

**Chill-Out** · 22-07-2010, 21:29

Quote:

Originariamente inviato da technoHC

è interno....

Esegui nuovamente MBRCheck.exe

alla dicitura "Enter 'Y' and hit ENTER for more options, or 'N' to exit"

digita Y e batti invio

MBRCheck ti mostra 3 opzioni:

[1] Dump de MBR of a physical disk to file
[2] Restore de MBR or a physical disk whit a standar boot code..
[3] Exit.

scegli l'opzione 2

alla dicitura "Enter the physical disk number to fix (0-99, -1 to cancel):"

digita 1 e batti invio

alla dicitura Available MBR codes:

seleziona il tuo SO digita YES e batti invio

attendi che il tool faccia il suo lavoro, riavvia la macchina ed allega il log che trovi sul Desktop MBRfix.txt

**Chill-Out** · 23-07-2010, 15:06

Quote:

Originariamente inviato da technoHC

purtroppo per 3 giorni sarò assente...tornerò online per lunedì confido in una risposta...

grazie comunque

Ciao, mi dovresti allegare questo log MBRfix.txt come precedentemente richiesto.

numatu · 24-07-2010, 11:46

Ciao Chill, sono di nuovo io, stamane ho avuto una brutta sorpresa,
mentre smanettavo sul computer ho rivisto la cartella Help assistant, pensavo fosse vuota, vado x controllarla e mi pesa 1,29 GB; mi sembra un pò troppo, vado su utenti e vedo con mia triste sorpresa che il mostro utente "help assistant" è abilitato. Notavo da un pezzo che stranamente il pc non riusciva ad andare in stand by.
Non ho fatto nulla, stavolta prima di smanettare aspetto tuoi lumi.
Ciao spero possa aiutarmi

**Chill-Out** · 24-07-2010, 11:48

Quote:

Originariamente inviato da numatu

Ciao Chill, sono di nuovo io, stamane ho avuto una brutta sorpresa,
mentre smanettavo sul computer ho rivisto la cartella Help assistant, pensavo fosse vuota, vado x controllarla e mi pesa 1,29 GB; mi sembra un pò troppo, vado su utenti e vedo con mia triste sorpresa che il mostro utente "help assistant" è abilitato. Notavo da un pezzo che stranamente il pc non riusciva ad andare in stand by.
Non ho fatto nulla, stavolta prima di smanettare aspetto tuoi lumi.
Ciao spero possa aiutarmi

Segui esattamente la Guida in prima pagina.

numatu · 24-07-2010, 18:03

Come un paziente al dottore deve far presente tutto qullo che ha notato cosi ti dico quello che mi si è verificato.
Ho disattivato il Ripristino Configurazione Sistema
Ho lanciato gmer
ho lasciato il notebook acceso che scansionava e l'ho ritrovato che cercava di rriaccendersi ma era fermo all'immagine iniziale di windows con quella specie di clessidra in basso che andava avanti e indietro ma il pc non partiva.
ho forzato lo spegnimento, fatto partire la modalità provvisoria, era tutto ok, ho fatto ripartire e si è riavviato normalmente, solo che mi aveva disabilitato tutte le unità disco virtuali.
ora sto provando a ripetere la scansione di Gmer.
Appena ho pronto tutto mi faccio sentire, ci vuole un pò x tutte quelle scansioni e relative operazioni.

P.S. 1°: volevo chiederti una cosa, ho il sospetto che la modalitò di standby sia disabilitata da HelpAssistant, tu che ne pensi ? lo standby potrebbe essere qualcosa che cozza con questo problema?

P.S. 2°: Nel precedente tentativo di eliminare il rootkit alla fine non avevo proceduto come dice la guida, allora mi ero limitato a disabilitare l'account, non ad eliminarlo, cambia qualcosa?

**Chill-Out** · 24-07-2010, 18:35

Quote:

Originariamente inviato da numatu

Appena ho pronto tutto mi faccio sentire, ci vuole un pò x tutte quelle scansioni e relative operazioni.

La Prima Fase non porta via + di 1/2 ora

Quote:

Originariamente inviato da numatu

P.S. 1°: volevo chiederti una cosa, ho il sospetto che la modalitò di standby sia disabilitata da HelpAssistant, tu che ne pensi ? lo standby potrebbe essere qualcosa che cozza con questo problema?

No

Quote:

Originariamente inviato da numatu

P.S. 2°: Nel precedente tentativo di eliminare il rootkit alla fine non avevo proceduto come dice la guida, allora mi ero limitato a disabilitare l'account, non ad eliminarlo, cambia qualcosa?

Beh direi di si, anche se non ricordo cosa successe all'epoca.

numatu · 24-07-2010, 22:44

il mio gmer è molto lento.
Anzi x meglio dire mi ha dato x 3 volte la schermata mentre stava facendo la scansione, l'ultima che ho seguito personalmente, si è fermata dopo 3 ore e 44 min.
Mi sono scritto la schermata blu.

il problema sembra essere causato dal file seguente: awgiyuod.sys

PAGE_FAULT_IN_NONPAGED_AREA

*** STOP: Ox00000050 (OXFB849000,OxOOOOOOOO,Ox9CCF6FEC,OXOOOOOOO0)

*** awgiyuod.sys - Address 9CCF6FEC base at 9CCF6000, DateStamp 4aff0029

Il punto è che questo awgiyuod.sys GMer nella scansione o lo crea lui o lo scansiona come problema
e me lo da tra i moduli cosi:

awgiyuod.sys (GMER) \??\c:\DOCUME^1\ANDREA\IMPOST^1\Temp\awgiyuod.sys

aspetto tue istruzioni e intanto mi vado a coricare

numatu · 25-07-2010, 06:41

Problema risolto, avevo una versione sbagliata di gmer
Ti allego i post.

http://wikisend.com/download/770096/GMer dom 25072010 10.47.22.txt

http://wikisend.com/download/571900/PrevX dom 25072010 6.32.08.txt

Crimsom · 25-07-2010, 11:23

ciao a tutti io mi sono bloccato al primo step, ovvero l'avvio di gmer. appena lo avvio mi dice che non trova il file system dopodicchè quando clicco scan (molte delle caselle sono ingrigite) mi dice che il file system è utilizzato da un altro processo: che faccio?

numatu · 25-07-2010, 16:09

Allego log seconda fase

http://wikisend.com/download/465818/mbr Dom 25072010 1150.txt

http://wikisend.com/download/881934/...5_12-17-47.txt

**Chill-Out** · 25-07-2010, 21:15

Quote:

Originariamente inviato da Crimsom

ciao a tutti io mi sono bloccato al primo step, ovvero l'avvio di gmer. appena lo avvio mi dice che non trova il file system dopodicchè quando clicco scan (molte delle caselle sono ingrigite) mi dice che il file system è utilizzato da un altro processo: che faccio?

Passa direttamente a Prevx, premurandoti di leggere bene le istruzioni.

**Chill-Out** · 25-07-2010, 21:17

Quote:

Originariamente inviato da numatu

Allego log seconda fase

http://wikisend.com/download/465818/mbr Dom 25072010 1150.txt

http://wikisend.com/download/881934/...5_12-17-47.txt

Non emerge nulla, fai scansione di controllo con CureIt.

Crimsom · 25-07-2010, 21:25

Quote:

Originariamente inviato da Chill-Out

Passa direttamente a Prevx, premurandoti di leggere bene le istruzioni.

non capisco come ripulire, comunque sembra non trovare nulla!

http://wikisend.com/download/466342/prevx.log

**Chill-Out** · 25-07-2010, 21:42

Quote:

Originariamente inviato da Crimsom

non capisco come ripulire, comunque sembra non trovare nulla!

http://wikisend.com/download/466342/prevx.log

Log pulito, ma su quale base pensi di aver contratto l'infezione in oggetto?

Crimsom · 25-07-2010, 21:53

Uploaded with ImageShack.us

nn è scomparso neanche dopo avere formattato

**Chill-Out** · 25-07-2010, 21:59

Quote:

Originariamente inviato da Crimsom

Uploaded with ImageShack.us

nn è scomparso neanche dopo avere formattato

Adesso è più chiaro, la procedura è diversa leggi qui http://www.hwupgrade.it/forum/showpo...postcount=2923

24-07-2010, 11:46	#2927
numatu Member Iscritto dal: May 2010 Messaggi: 154	RITORNATO Ciao Chill, sono di nuovo io, stamane ho avuto una brutta sorpresa, mentre smanettavo sul computer ho rivisto la cartella Help assistant, pensavo fosse vuota, vado x controllarla e mi pesa 1,29 GB; mi sembra un pò troppo, vado su utenti e vedo con mia triste sorpresa che il mostro utente "help assistant" è abilitato. Notavo da un pezzo che stranamente il pc non riusciva ad andare in stand by. Non ho fatto nulla, stavolta prima di smanettare aspetto tuoi lumi. Ciao spero possa aiutarmi

24-07-2010, 18:03	#2929
numatu Member Iscritto dal: May 2010 Messaggi: 154	Strano Come un paziente al dottore deve far presente tutto qullo che ha notato cosi ti dico quello che mi si è verificato. Ho disattivato il Ripristino Configurazione Sistema Ho lanciato gmer ho lasciato il notebook acceso che scansionava e l'ho ritrovato che cercava di rriaccendersi ma era fermo all'immagine iniziale di windows con quella specie di clessidra in basso che andava avanti e indietro ma il pc non partiva. ho forzato lo spegnimento, fatto partire la modalità provvisoria, era tutto ok, ho fatto ripartire e si è riavviato normalmente, solo che mi aveva disabilitato tutte le unità disco virtuali. ora sto provando a ripetere la scansione di Gmer. Appena ho pronto tutto mi faccio sentire, ci vuole un pò x tutte quelle scansioni e relative operazioni. P.S. 1°: volevo chiederti una cosa, ho il sospetto che la modalitò di standby sia disabilitata da HelpAssistant, tu che ne pensi ? lo standby potrebbe essere qualcosa che cozza con questo problema? P.S. 2°: Nel precedente tentativo di eliminare il rootkit alla fine non avevo proceduto come dice la guida, allora mi ero limitato a disabilitare l'account, non ad eliminarlo, cambia qualcosa? Ultima modifica di numatu : 24-07-2010 alle 18:17. Motivo: correzione

24-07-2010, 22:44	#2931
numatu Member Iscritto dal: May 2010 Messaggi: 154	a il mio gmer è molto lento. Anzi x meglio dire mi ha dato x 3 volte la schermata mentre stava facendo la scansione, l'ultima che ho seguito personalmente, si è fermata dopo 3 ore e 44 min. Mi sono scritto la schermata blu. il problema sembra essere causato dal file seguente: awgiyuod.sys PAGE_FAULT_IN_NONPAGED_AREA * STOP: Ox00000050 (OXFB849000,OxOOOOOOOO,Ox9CCF6FEC,OXOOOOOOO0) * awgiyuod.sys - Address 9CCF6FEC base at 9CCF6000, DateStamp 4aff0029 Il punto è che questo awgiyuod.sys GMer nella scansione o lo crea lui o lo scansiona come problema e me lo da tra i moduli cosi: awgiyuod.sys (GMER) \??\c:\DOCUME^1\ANDREA\IMPOST^1\Temp\awgiyuod.sys aspetto tue istruzioni e intanto mi vado a coricare Ultima modifica di numatu : 25-07-2010 alle 04:55.

25-07-2010, 06:41	#2932
numatu Member Iscritto dal: May 2010 Messaggi: 154	speriamo Problema risolto, avevo una versione sbagliata di gmer Ti allego i post. http://wikisend.com/download/770096/GMer dom 25072010 10.47.22.txt http://wikisend.com/download/571900/PrevX dom 25072010 6.32.08.txt Ultima modifica di numatu : 25-07-2010 alle 10:54.

25-07-2010, 16:09	#2934
numatu Member Iscritto dal: May 2010 Messaggi: 154	Seconda fase Allego log seconda fase http://wikisend.com/download/465818/mbr Dom 25072010 1150.txt http://wikisend.com/download/881934/...5_12-17-47.txt

25-07-2010, 11:23	#2933
Crimsom Senior Member Iscritto dal: Dec 2003 Messaggi: 4496	ciao a tutti io mi sono bloccato al primo step, ovvero l'avvio di gmer. appena lo avvio mi dice che non trova il file system dopodicchè quando clicco scan (molte delle caselle sono ingrigite) mi dice che il file system è utilizzato da un altro processo: che faccio?

25-07-2010, 21:53	#2939
Crimsom Senior Member Iscritto dal: Dec 2003 Messaggi: 4496	Uploaded with ImageShack.us nn è scomparso neanche dopo avere formattato

Strumenti
Mostra una versione stampabile Invia questa pagina per email