Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT - Pagina 149

**Chill-Out** · 27-07-2010, 11:41

Quote:

Originariamente inviato da technoHC

ora faccio le scansioni

cmq è un amd atlhon 3500
1 gb di ram
2 hard disk uno con so da 120 gb e uno di storage con 160gb
windows xp sp3

il pc è un assemblato....ho cambiato due anni fa la scheda madre passando da asus a msi..e ho aggiunto semrpe due anni fa l hd che ha problemi...

qualceh tempo fa ho provato ad aggiornare il bios (il pc dava problemi) dal sito msi

Scarica questo tool http://www.esagelab.com/resources.php?s=bootkit_remover sul Desktop

Scompatta l'archivio compresso e posiziona remover.exe sempre sul Desktop

Doppio click su remover.exe ed allegami il log che produce

**Chill-Out** · 27-07-2010, 11:59

Quote:

Originariamente inviato da technoHC

http://wikisend.com/download/607290/..._debug_log.txt

è normale che quando lo faccio nella scheramta dos si veda sl l unità c? (quella con l OS?)

Mi hai allegato un geroglifico, puoi copiare ed incollare (nel Blocco note) il contenuto del Prompt cliccando col tasto dx del mouse sulla barra del titolo.

Esempio di log

Quote:

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: 33651d4929a84a7ab9d65c115ce1bdc0

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
Reply With Quote

numatu · 27-07-2010, 12:00

Scusa Chill, ma Prevx mi segnala in maniera estemporanea come se fosse una scansione di sua sponte che c'è il problema , ma quando faccio la scansione completa non me lo rileva, che tipo di scansione gli devo fare fare ?
e per quanto evidenziato da mbrcheck che faccio

**Chill-Out** · 27-07-2010, 12:04

Quote:

Originariamente inviato da numatu

Scusa Chill, ma Prevx mi segnala in maniera estemporanea come se fosse una scansione di sua sponte che c'è il problema , ma quando faccio la scansione completa non me lo rileva, che tipo di scansione gli devo fare fare ?
e per quanto evidenziato da mbrcheck che faccio

http://img814.imageshack.us/i/prevx.png/ cliccare sul tasto Rimuovi

Non ti ho chiesto il log di MBRCheck.exe tanto è vero che il log è pulito, sono due cose diverse.

numatu · 27-07-2010, 12:08

Quando su prevx faccio rimuovi mi richiede la licenza, ma io ho la versione free quindi dovrei comprare l'altra versione?
Poi mbrCheck dice che ho l'mbr non riconosciuti non dovrei riportarli a quelli di windows?

**Chill-Out** · 27-07-2010, 12:12

Quote:

Originariamente inviato da numatu

Poi mbrCheck dice che ho l'mbr non riconosciuti non dovrei riportarli a quelli di windows?

No, ed allega un log di Prevx.

**Chill-Out** · 27-07-2010, 12:25

Quote:

Originariamente inviato da technoHC

visto che nn me lo fa salvare (cioè facendo come dici tu...trovo l opzione copia...ma nn me la fa selezionare) ti posto l immaigne ....

http://img69.imageshack.us/img69/4868/immaginecpb.jpg

Dov'è finito F:\ ????

Disabilita il Ripristino configurazione sistema ( su entrambi i dischi) e fai scansione completa con MBAM, qui trovi le INFO che ti necessitano http://www.hwupgrade.it/forum/showthread.php?t=1599737

numatu · 27-07-2010, 12:26

Ti allego tutto quello che ho su prevx

http://wikisend.com/download/506030/CSICleanupLog.txt

http://wikisend.com/download/923244/Prevx mar 27072010 12.24.21.txt

**Chill-Out** · 27-07-2010, 12:29

Quote:

Originariamente inviato da numatu

Ti allego tutto quello che ho su prevx

http://wikisend.com/download/506030/CSICleanupLog.txt

http://wikisend.com/download/923244/Prevx mar 27072010 12.24.21.txt

Quote:

[27/7/2010 10:43] The file [\\.\PhysicalDrive0\MBR] has been removed and contained a threat of type [Possible MBR Rootkit] - Identity: 0000000000000000000000000000000000000000
[27/7/2010 10:45] The file [\\.\PhysicalDrive0\MBR] has been removed and contained a threat of type [Possible MBR Rootkit] - Identity: 0000000000000000000000000000000000000000

a posto, comunque ti avevo chiesto un log completo.

numatu · 27-07-2010, 12:33

Ma il secondo link non è il log completo?

Ora che faccio ricancello la cartella e disabilito l'account e poi lo elimino?

Scusa a riguardo ho windows pro, che significa membro di se, scritto nella guida?

**Chill-Out** · 27-07-2010, 12:38

Quote:

Originariamente inviato da numatu

Ma il secondo link non è il log completo?

Ora che faccio ricancello la cartella e disabilito l'account e poi lo elimino?

Scusa a riguardo ho windows pro, che significa membro di se, scritto nella guida?

No, non è il log completo.

Significa quello che c'è scritto, comunque ho aggiunto una virgola a scanso di equivoci.

numatu · 27-07-2010, 12:43

Scusa ho sbagliato il log completo era:

http://wikisend.com/download/208376/Prevx mar 27072010 12.41.21.txt

Procedo allora ad eliminare l'account?

**Chill-Out** · 27-07-2010, 12:45

Quote:

Originariamente inviato da numatu

Scusa ho sbagliato il log completo era:

http://wikisend.com/download/208376/Prevx mar 27072010 12.41.21.txt

Procedo allora ad eliminare l'account?

Si, come da istruzioni.

numatu · 27-07-2010, 13:03

ok account disabilitato, rimosso dal membro di, pc riavviato.

l'account resta disabilitato, lo devo lasciare cosi o lo rimuovo? e la cartella

C:\Documents and Settings\HelpAssistant

la lascio o la posso cancellare?

grazie sempre cmq x la tua disponibilità

**Chill-Out** · 27-07-2010, 15:28

Quote:

Originariamente inviato da numatu

ok account disabilitato, rimosso dal membro di, pc riavviato.

l'account resta disabilitato, lo devo lasciare cosi o lo rimuovo? e la cartella

C:\Documents and Settings\HelpAssistant

la lascio o la posso cancellare?

grazie sempre cmq x la tua disponibilità

L'Account lo lasci disabilitato, la cartella HelpAssistant la lasci dov'è l'importante è che sia vuota.

**Chill-Out** · 27-07-2010, 15:30

Quote:

Originariamente inviato da technoHC

sento un TAK.. (a volte questo rumore lo sento anche quando ho windows acceso)... sl che a questo punto mi si blocca su

Brutto segno se proviene dall'HDD

Quote:

Originariamente inviato da technoHC

http://wikisend.com/download/930032/mbam-log-2010-07-27 (14-23-54).txt

Log pulito, dovrebbero esserci processi infetti in memoria che MBAM non riesce a terminare, inizio a pensare che Kis sfarlocca.

**Chill-Out** · 27-07-2010, 15:44

Quote:

Originariamente inviato da technoHC

è possibile che ora ho fatto una scansione completa con kis e nn mi trova niente???

Si, se alleghi il log constatiamo.

numatu · 27-07-2010, 15:46

Scusa una ultima curiosità, ma se ho rimosso completamente l'infezione, perchè non rimuovere anche completamente l'account e la rispettiva cartella?

Ciao e Grazie di tutto

**Chill-Out** · 27-07-2010, 15:56

Quote:

Originariamente inviato da numatu

Scusa una ultima curiosità, ma se ho rimosso completamente l'infezione, perchè non rimuovere anche completamente l'account e la rispettiva cartella?

Ciao e Grazie di tutto

Perchè l'Account HelpAssistant con relativa cartella di norma è disabilitato ed è dedicato all'assistenza remota.

**Chill-Out** · 27-07-2010, 16:06

Quote:

Originariamente inviato da technoHC

ma come mai con mbr mi da ancora quel prolbema sull hd di storage??

http://img830.imageshack.us/img830/1632/immagineyh.jpg

come salvo il rapporto?

io vado su rapporti
quello in questone è questo
ma nn so come salvarlo

Scansione Completa: processo completato 49 minuti fa (eventi: , oggetti: 93994, ora: 00.35.43)

Trattasi di un MBR non standard, nel TAB rapporti trovi il tasto salva se non ricordo male, al massimo allega uno Screenshot.

27-07-2010, 12:00	#2963
numatu Member Iscritto dal: May 2010 Messaggi: 154	Rimozione prevx Scusa Chill, ma Prevx mi segnala in maniera estemporanea come se fosse una scansione di sua sponte che c'è il problema , ma quando faccio la scansione completa non me lo rileva, che tipo di scansione gli devo fare fare ? e per quanto evidenziato da mbrcheck che faccio

27-07-2010, 12:08	#2965
numatu Member Iscritto dal: May 2010 Messaggi: 154	Problema Quando su prevx faccio rimuovi mi richiede la licenza, ma io ho la versione free quindi dovrei comprare l'altra versione? Poi mbrCheck dice che ho l'mbr non riconosciuti non dovrei riportarli a quelli di windows?

27-07-2010, 12:26	#2968
numatu Member Iscritto dal: May 2010 Messaggi: 154	Prevx Ti allego tutto quello che ho su prevx http://wikisend.com/download/506030/CSICleanupLog.txt http://wikisend.com/download/923244/Prevx mar 27072010 12.24.21.txt

27-07-2010, 12:33	#2970
numatu Member Iscritto dal: May 2010 Messaggi: 154	Ok Ma il secondo link non è il log completo? Ora che faccio ricancello la cartella e disabilito l'account e poi lo elimino? Scusa a riguardo ho windows pro, che significa membro di se, scritto nella guida?

27-07-2010, 12:43	#2972
numatu Member Iscritto dal: May 2010 Messaggi: 154	scusa Scusa ho sbagliato il log completo era: http://wikisend.com/download/208376/Prevx mar 27072010 12.41.21.txt Procedo allora ad eliminare l'account?

27-07-2010, 13:03	#2974
numatu Member Iscritto dal: May 2010 Messaggi: 154	ok account disabilitato, rimosso dal membro di, pc riavviato. l'account resta disabilitato, lo devo lasciare cosi o lo rimuovo? e la cartella C:\Documents and Settings\HelpAssistant la lascio o la posso cancellare? grazie sempre cmq x la tua disponibilità

27-07-2010, 15:46	#2978
numatu Member Iscritto dal: May 2010 Messaggi: 154	Scusa una ultima curiosità, ma se ho rimosso completamente l'infezione, perchè non rimuovere anche completamente l'account e la rispettiva cartella? Ciao e Grazie di tutto

Strumenti
Mostra una versione stampabile Invia questa pagina per email