Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT - Pagina 157

**Chill-Out** · 02-10-2010, 21:05

Quote:

Originariamente inviato da render

salve Chill-Out sono nuovo del forum e mai scritto mi perdonerete eventuali errori,intanto complimenti per la competenza e disponibilità che avete

ho un problema ultimamente ho avuto dei problemi al pc che mi aveva costretto spesso a riavviare,ho pulito poi interno del case e sembra a posto.
Temendo anche infezioni da virus,non segnalatomi da
avg
Malwarebytes
ad aware

ho fatto un controllo con gmer (avevo letto la vostra ottima guida antivirus),e mi ha segnalato modifiche al sistema causate da un rootkit
ho disinstallato gli antivirus sopraelencati che non avevanno segnalato, e installato microsoft security essential che mi ha rilevato alcuni troyan e rimossi ho pulito poi il registro con ccleaner,

ricontrollato con mbr.exe e con gmer mi hanno segnalato la stessa infezione
ho scansionato con Prevx Scan che mi ha trovato il pc pulito,ma ricontrollando con i precedenti due sempre uguale,
vi invio i log di gmer e prevx
invio anche 2 screen ,di gmer dove si evidenzia il rosso e altri nomi a destra di file, e quello di mbr.exe fatto con il prompt dei comandi

attualmente il pc non mi segnala anomalie funzionali ma temo per l'mbr e non ho provato a ripristinarlo con fixmbr da consolle perchè
non so se perderei le partizioni e poi non avvierei piu il pc,

mi potete aiutare a scoprire se sono veramente infetto e come fare a liberarmene?

http://www.pctunerup.com/up/image.ph...160520_mbr.jpg
immagine mbr

http://www.pctunerup.com/up/image.ph...9_Immagine.JPG
immagine gmer

http://www.filedropper.com/gmer111
GMER log

http://www.filedropper.com/29-09
Prevx Scan log

ho fatto una scansione rapida anche con dr.web cureit,mi ha trovato il file host modificato,non ho proceduto al ripristino richiesto in attesa
magari di vostre istruzioni,allego uno screen
http://www.pctunerup.com/up/image.ph...5122_cure1.jpg

grazie

Ciao, segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1984665

NB: per poterti aiutare mi servono i log, non gli Screenshot.

montex · 04-10-2010, 10:21

Salve a tutti! Stamane ho riscontrato su un hard disk esterno un rootkit nell'mbr tramite nod32.

Esattamente l'allarme è:

Settore MBR del disco fisico 1 - Win32/Mebroot.mbr trojan horse - errore nell'azione di pulizia; operazione non disponibile per questo tipo di oggetto

Ho letto varie discussioni e tool per rimuovere tale infezione ma il mio problema è che bisogna andare a toccare solo l'mbr del disco esterno e non l'hd principale che sembra ok in quanto il problema è stato rilevato su una unità esterna e non sul disco principale. Come procedo quindi alla rimozione nel solo caso di hd esterni?

cosa fa esattamente questo mebroot? quali i danni? Sinceramente non ho mai notato nulla e con avira (era un vecchio hard disk di un notebook ora riciclato come hd di backup esterno) non ho mai avuto segnalazioni. Insomma..mai alcun problema. Possibile keylogger?

**Chill-Out** · 04-10-2010, 12:19

Quote:

Originariamente inviato da montex

Salve a tutti! Stamane ho riscontrato su un hard disk esterno un rootkit nell'mbr tramite nod32.

Esattamente l'allarme è:

Settore MBR del disco fisico 1 - Win32/Mebroot.mbr trojan horse - errore nell'azione di pulizia; operazione non disponibile per questo tipo di oggetto

Ho letto varie discussioni e tool per rimuovere tale infezione ma il mio problema è che bisogna andare a toccare solo l'mbr del disco esterno e non l'hd principale che sembra ok in quanto il problema è stato rilevato su una unità esterna e non sul disco principale. Come procedo quindi alla rimozione nel solo caso di hd esterni?

Scansiona l'HDD esterno con Drweb Cureit, vedi guida.

Quote:

Originariamente inviato da montex

cosa fa esattamente questo mebroot? quali i danni? Sinceramente non ho mai notato nulla e con avira (era un vecchio hard disk di un notebook ora riciclato come hd di backup esterno) non ho mai avuto segnalazioni. Insomma..mai alcun problema. Possibile keylogger?

Vedi Guida in prima pagina, ci sono anche i vari approfondimenti.

montex · 04-10-2010, 13:34

Quote:

Originariamente inviato da Chill-Out

Scansiona l'HDD esterno con Drweb Cureit, vedi guida.

Vedi Guida in prima pagina, ci sono anche i vari approfondimenti.

schermata bsod durante la scansione in modalità protetta di cureit.

E alla fine non ho risolto..

negli approfondimenti comunque non mi sembra sia riportato i "danni" che fa.. ma cosa è e come si insinua..ma magari non ho letto bene io..provo a rileggere..

**Chill-Out** · 04-10-2010, 15:37

Quote:

Originariamente inviato da montex

schermata bsod durante la scansione in modalità protetta di cureit.

E alla fine non ho risolto..

negli approfondimenti comunque non mi sembra sia riportato i "danni" che fa.. ma cosa è e come si insinua..ma magari non ho letto bene io..provo a rileggere..

Scansiona l'HDD in modalità normale.

verdemilonga84 · 05-10-2010, 17:59

Salve a tutti,

ho un problema con il computer fisso di casa poichè da qualche giorno denota limiti di prestazioni molto evidenti nonchè la presenza di malware & Co.

Ho letto la guida, ma effettuando in questi giorni due scansioni con due diversi antivirus di diffusione ho avuto due risultati all'apperenza diversi ma entrambi relazionati con il settore di avvio.

Con Avira ho ricontrato un infezione Boo/sinowal.f
mentre con Nod ho trovato Win32/mebroot trojanhorse
ed entrambi non sono in grado di rimuovere il problema.

sono lo stesso virus?

Procedo con la prima fase di verifica con Gmer e Prevx 3.0 ?

grazie anticipatamente,
attendo una notifica e semmai procedo con l'allegare i rispettivi log.

**Chill-Out** · 05-10-2010, 18:01

Quote:

Originariamente inviato da verdemilonga84

Procedo con la prima fase di verifica con Gmer e Prevx 3.0 ?

grazie anticipatamente,
attendo una notifica e semmai procedo con l'allegare i rispettivi log.

Si, leggi bene le istruzioni in merito a Prevx.

verdemilonga84 · 05-10-2010, 18:28

ho effettuato le scansioni senza disattivare le configurazioni di ripristino di sistema

log gmer

http://www.mediafire.com/?4wyja12x896d4td

log prevx

http://www.mediafire.com/?5jes2p9omnesecy

prevx mi ha trovato 6 rischi attivi. evito di disinfettarli per ora giusto?

verdemilonga84 · 05-10-2010, 18:31

le rifaccio entrambe o va bene comunque?

scusate la distrazione

verdemilonga84 · 05-10-2010, 18:58

Come da guida nel frattempo ho provato a fare la pulizia con Prevx, ma il bello è che a pulizia terminata non mi da la possiblità di rifare la scansione per valutare l'avvenuta rimozione, quindi non posto neanche il log.

attendo lumi

render · 05-10-2010, 22:20

ciao buona serata

ho fatto le scansioni come da guida,allego i log

log BDTOOLS REMOVE http://www.mediafire.com/?ad2eeibao2nj61g

log ComboFix http://www.mediafire.com/?45d3luqeerc43yj

log gmer http://www.mediafire.com/?6c7ih7lqfotc199

ciao

**Chill-Out** · 05-10-2010, 22:24

Quote:

Originariamente inviato da verdemilonga84

ho effettuato le scansioni senza disattivare le configurazioni di ripristino di sistema

log gmer

http://www.mediafire.com/?4wyja12x896d4td

log prevx

http://www.mediafire.com/?5jes2p9omnesecy

prevx mi ha trovato 6 rischi attivi. evito di disinfettarli per ora giusto?

Quote:

Originariamente inviato da verdemilonga84

le rifaccio entrambe o va bene comunque?

scusate la distrazione

Quote:

Originariamente inviato da verdemilonga84

Come da guida nel frattempo ho provato a fare la pulizia con Prevx, ma il bello è che a pulizia terminata non mi da la possiblità di rifare la scansione per valutare l'avvenuta rimozione, quindi non posto neanche il log.

attendo lumi

Ti ho suggerito di leggere attentamente la Guida in quanto Prevx ti consente solo la rimozione di

Quote:

[b] c:\$mbr.0 [PX5: 99AA2E4B009FF0F80185002040C95900259D9CD1] Malware Group: Rootkit.MBR

hai eseguito il seguente passaggio?

NB: Prevx oltre a rilevare l'infezione, ci permette di rimuoverla gratuitamente (F = Free to cleanup) per farlo è sufficiente ripetere la scansione e cliccare su Cleanup Now dopo aver disabilitato l'antivirus, importante salvare entrambi i log pre e post rimozione.

**Chill-Out** · 05-10-2010, 22:25

Quote:

Originariamente inviato da render

ciao buona serata

ho fatto le scansioni come da guida,allego i log

log BDTOOLS REMOVE http://www.mediafire.com/?ad2eeibao2nj61g

log ComboFix http://www.mediafire.com/?45d3luqeerc43yj

log gmer http://www.mediafire.com/?6c7ih7lqfotc199

ciao

Seguire la Guida http://www.hwupgrade.it/forum/showthread.php?t=1984665 vuol dire anche allegare i log nel 3D di pertinenza.

render · 05-10-2010, 22:50

Quote:

Originariamente inviato da Chill-Out

Seguire la Guida http://www.hwupgrade.it/forum/showthread.php?t=1984665 vuol dire anche allegare i log nel 3D di pertinenza.

spostato

verdemilonga84 · 07-10-2010, 18:01

Ciao Chill,
io ho letto il NB difatti l'ho rimosso con quello, ma sembra che ci siano altri virus per i quali prevx richiede la licenza di rimozione.
Nel frattempo Avira continua a riscontrare la presenza di Boo/sinowal.f

come procediamo?

**Chill-Out** · 07-10-2010, 20:29

Quote:

Originariamente inviato da verdemilonga84

Nel frattempo Avira continua a riscontrare la presenza di Boo/sinowal.f

Strano, allega i log della seconda e terza fase, mi raccomando legge bene le istruzioni.

Littlefoot · 04-12-2010, 00:19

Ciao a tutti, io ho questi problemi: Il browser non mi visualizza alcune pagine(per es. dduniverse), ne apre altre a vanvera, e a volte quando clicco su qualche contatto msn viene visualizzato un messaggio di errore e si chiude msn.
Il mio antivirus ha rilevato questo: trojan-clicker.win32.wistler.a
Ho seguito la guido, scaricato gmer e prevx, vi allego i link dei log:

gmer: http://wikisend.com/download/939080/log.txt

prevx: http://wikisend.com/download/611522/logprev.log

Ora che dovrei fare?
Grazie anticipatamente.

**Chill-Out** · 04-12-2010, 00:41

Quote:

Originariamente inviato da Littlefoot

Ciao a tutti, io ho questi problemi: Il browser non mi visualizza alcune pagine(per es. dduniverse), ne apre altre a vanvera, e a volte quando clicco su qualche contatto msn viene visualizzato un messaggio di errore e si chiude msn.
Il mio antivirus ha rilevato questo: trojan-clicker.win32.winsler.a
Ho seguito la guido, scaricato gmer e prevx, vi allego i link dei log:

gmer: http://wikisend.com/download/939080/log.txt

prevx: http://wikisend.com/download/611522/logprev.log

Ora che dovrei fare?
Grazie anticipatamente.

Ciao e benvenuto, scarica questo tool http://ad13.geekstogo.com/MBRCheck.exe

1 Doppio click MBRCheck.exe
2 Dovrebbe aprirsi una finestra nera (non intraprendere nessuna azione)
3 Scegli l'opzione 3 Exit ed allega il log prodotto (MBRCheck_date_time)

Littlefoot · 04-12-2010, 00:48

Eccoci, log di mbr: http://wikisend.com/download/513938/...0_00.45.52.txt

**Chill-Out** · 04-12-2010, 10:43

Quote:

Originariamente inviato da Littlefoot

Eccoci, log di mbr: http://wikisend.com/download/513938/...0_00.45.52.txt

Sei fermo al SP2 non più supportato dalla stessa Microsoft, allegami il log dell'AV che ha rilevato l'infezione.

04-10-2010, 10:21	#3122
montex Senior Member Iscritto dal: Dec 2004 Città: cyber space Messaggi: 712	Salve a tutti! Stamane ho riscontrato su un hard disk esterno un rootkit nell'mbr tramite nod32. Esattamente l'allarme è: Settore MBR del disco fisico 1 - Win32/Mebroot.mbr trojan horse - errore nell'azione di pulizia; operazione non disponibile per questo tipo di oggetto Ho letto varie discussioni e tool per rimuovere tale infezione ma il mio problema è che bisogna andare a toccare solo l'mbr del disco esterno e non l'hd principale che sembra ok in quanto il problema è stato rilevato su una unità esterna e non sul disco principale. Come procedo quindi alla rimozione nel solo caso di hd esterni? cosa fa esattamente questo mebroot? quali i danni? Sinceramente non ho mai notato nulla e con avira (era un vecchio hard disk di un notebook ora riciclato come hd di backup esterno) non ho mai avuto segnalazioni. Insomma..mai alcun problema. Possibile keylogger? Ultima modifica di montex : 04-10-2010 alle 10:25.

05-10-2010, 17:59	#3126
verdemilonga84 Junior Member Iscritto dal: Feb 2010 Messaggi: 23	help Salve a tutti, ho un problema con il computer fisso di casa poichè da qualche giorno denota limiti di prestazioni molto evidenti nonchè la presenza di malware & Co. Ho letto la guida, ma effettuando in questi giorni due scansioni con due diversi antivirus di diffusione ho avuto due risultati all'apperenza diversi ma entrambi relazionati con il settore di avvio. Con Avira ho ricontrato un infezione Boo/sinowal.f mentre con Nod ho trovato Win32/mebroot trojanhorse ed entrambi non sono in grado di rimuovere il problema. sono lo stesso virus? Procedo con la prima fase di verifica con Gmer e Prevx 3.0 ? grazie anticipatamente, attendo una notifica e semmai procedo con l'allegare i rispettivi log.

05-10-2010, 18:28	#3128
verdemilonga84 Junior Member Iscritto dal: Feb 2010 Messaggi: 23	help1 ho effettuato le scansioni senza disattivare le configurazioni di ripristino di sistema log gmer http://www.mediafire.com/?4wyja12x896d4td log prevx http://www.mediafire.com/?5jes2p9omnesecy prevx mi ha trovato 6 rischi attivi. evito di disinfettarli per ora giusto?

04-12-2010, 00:19	#3137
Littlefoot Junior Member Iscritto dal: Dec 2010 Messaggi: 8	Ciao a tutti, io ho questi problemi: Il browser non mi visualizza alcune pagine(per es. dduniverse), ne apre altre a vanvera, e a volte quando clicco su qualche contatto msn viene visualizzato un messaggio di errore e si chiude msn. Il mio antivirus ha rilevato questo: trojan-clicker.win32.wistler.a Ho seguito la guido, scaricato gmer e prevx, vi allego i link dei log: gmer: http://wikisend.com/download/939080/log.txt prevx: http://wikisend.com/download/611522/logprev.log Ora che dovrei fare? Grazie anticipatamente. Ultima modifica di Littlefoot : 04-12-2010 alle 01:02.

05-10-2010, 18:31	#3129
verdemilonga84 Junior Member Iscritto dal: Feb 2010 Messaggi: 23	le rifaccio entrambe o va bene comunque? scusate la distrazione

05-10-2010, 18:58	#3130
verdemilonga84 Junior Member Iscritto dal: Feb 2010 Messaggi: 23	Come da guida nel frattempo ho provato a fare la pulizia con Prevx, ma il bello è che a pulizia terminata non mi da la possiblità di rifare la scansione per valutare l'avvenuta rimozione, quindi non posto neanche il log. attendo lumi

05-10-2010, 22:20	#3131
render Junior Member Iscritto dal: Jul 2009 Messaggi: 16	ciao buona serata ho fatto le scansioni come da guida,allego i log log BDTOOLS REMOVE http://www.mediafire.com/?ad2eeibao2nj61g log ComboFix http://www.mediafire.com/?45d3luqeerc43yj log gmer http://www.mediafire.com/?6c7ih7lqfotc199 ciao

07-10-2010, 18:01	#3135
verdemilonga84 Junior Member Iscritto dal: Feb 2010 Messaggi: 23	Ciao Chill, io ho letto il NB difatti l'ho rimosso con quello, ma sembra che ci siano altri virus per i quali prevx richiede la licenza di rimozione. Nel frattempo Avira continua a riscontrare la presenza di Boo/sinowal.f come procediamo?

04-12-2010, 00:48	#3139
Littlefoot Junior Member Iscritto dal: Dec 2010 Messaggi: 8	Eccoci, log di mbr: http://wikisend.com/download/513938/...0_00.45.52.txt

Strumenti
Mostra una versione stampabile Invia questa pagina per email