Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Littlefoot]

Non è che son fermo al sp2, è che ho riformattato per vedere se risolvevo il probrema, e il sp3 non l'ho ancora installato.
Mi consigli di installare sp3 e ripetere gli scan?

Come faccio a prendere il log di karspesky?
Abbiate pazienza sono un po imbranato col pc...

[Chill-Out]

Quote:

Originariamente inviato da Littlefoot

Non è che son fermo al sp2, è che ho riformattato per vedere se risolvevo il probrema, e il sp3 non l'ho ancora installato.
Mi consigli di installare sp3 e ripetere gli scan?

Come faccio a prendere il log di karspesky?
Abbiate pazienza sono un po imbranato col pc...

Ciao, trovi il log alla voce Reports se non riesci ad allegare il log, riporta per estesto cosa ha rilevato il KAV, mi serve vedere il percorso ovvero dove viene rilevata l'infezione.

[Littlefoot]

log kaspersky: http://wikisend.com/download/482182/kav.txt

I percorsi del file sono: \device\harddisk1\ddr1
\device\harddisk2\dd2

Visto che ho 3 harddisk collegati, e uno di questi proviene da un altro pc, quindi a sua volta ha installato un altro winxp, sto ripetendo la scansione di gmer includendo tutte le partizioni... Appena finisce lo posto.
Credo comunque che il virus sia annidato in qualche partizione di boot (si dice così?).. Per questo l'av non riesce a rimuoverlo, o dice di rimuoverlo, ma ad ogni avvio si ripresenta il problema..

[Littlefoot]

Ecco il log aggiornato di gmer includendo tutte le partizioni:
http://wikisend.com/download/562886/gmertuttidischi.txt

[Chill-Out]

Quote:

Originariamente inviato da Littlefoot

log kaspersky: http://wikisend.com/download/482182/kav.txt

I percorsi del file sono: \device\harddisk1\ddr1
\device\harddisk2\dd2

Visto che ho 3 harddisk collegati, e uno di questi proviene da un altro pc, quindi a sua volta ha installato un altro winxp, sto ripetendo la scansione di gmer includendo tutte le partizioni... Appena finisce lo posto.
Credo comunque che il virus sia annidato in qualche partizione di boot (si dice così?).. Per questo l'av non riesce a rimuoverlo, o dice di rimuoverlo, ma ad ogni avvio si ripresenta il problema..

Quote:

Originariamente inviato da Littlefoot

Ecco il log aggiornato di gmer includendo tutte le partizioni:
http://wikisend.com/download/562886/gmertuttidischi.txt

Volevo vedere il log dal Kav in quanto controllando il log di MBRCheck.exe mi era sorto un dubbio a proposito degli HDD, chu tu mi confermi:

Esegui nuovamente MBRCheck.exe

alla dicitura "Enter 'Y' and hit ENTER for more options, or 'N' to exit"

digita Y e batti invio

MBRCheck ti mostra 3 opzioni:

[1] Dump de MBR of a physical disk to file
[2] Restore de MBR or a physical disk whit a standar boot code..
[3] Exit.

scegli l'opzione 2

alla dicitura "Enter the physical disk number to fix (0-99, -1 to cancel):"

digita 1 e batti invio

alla dicitura Available MBR codes:

seleziona il tuo SO digita YES e batti invio

attendi che il tool faccia il suo lavoro, riavvia la macchina ed allega il log che trovi sul Desktop

[Littlefoot]

http://wikisend.com/download/630954/...0_00.51.25.txt

[Chill-Out]

Quote:

Originariamente inviato da Littlefoot

http://wikisend.com/download/630954/...0_00.51.25.txt

Sicuro di aver seguito alla lettere le istruzioni?

[Littlefoot]

Ho rifatto la procedura battendo 0 anzichè 1 all'ultima opzione (default xp anzichè xp)... Non mi sembra che dopo il riavvio il file di log sia diverso:

http://wikisend.com/download/503686/...0_15.53.22.txt

[Chill-Out]

Quote:

Originariamente inviato da Littlefoot

Ho rifatto la procedura battendo 0 anzichè 1 all'ultima opzione (default xp anzichè xp)... Non mi sembra che dopo il riavvio il file di log sia diverso:

http://wikisend.com/download/503686/...0_15.53.22.txt

Come puoi notare dal log il MBR del disco 0 è OK

Quote:

149 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: 503FD2CC6F3632B90CEC9C763A09B1AF1755FCD5

la rilevazione del Kav immagino sia successiva all'installazione dei dischi/o.

[Littlefoot]

La rilevazione del kav è per forza successiva all'installazione dei dischi, anche perchè ho installato kav solo dopo aver aggiunto l'ultimo disco da 80gb proveniente da un altro pc...

Che devo fare per liberarmi di sto maledetto virus?

Io userei anche fdisk... Solo che non posso perchè ho gli hd semipieni e non so dove spostare i dati mentre eseguo l'operazione...

[Chill-Out]

Quote:

Originariamente inviato da Littlefoot

La rilevazione del kav è per forza successiva all'installazione dei dischi, anche perchè ho installato kav solo dopo aver aggiunto l'ultimo disco da 80gb proveniente da un altro pc...

Appunto che cosa ho detto

Quote:

Originariamente inviato da Littlefoot

Che devo fare per liberarmi di sto maledetto virus?

Io userei anche fdisk... Solo che non posso perchè ho gli hd semipieni e non so dove spostare i dati mentre eseguo l'operazione...

Come detto in precedenza non a caso ti ho chiesto il log del Kav e la sequenza inerente l'installazione dei dischi, pertanto non devi fare nulla, trattasi di un Falso positivo in quanto l'Av rileva un MBR non standard.

[aladestra]

ragazzi mi serve una mano pochi giorni fa ho fatto una scansione con nod 32 e mi ha rivelato win32/mebroot.k trojan horse.
adesso ho provato con norman e non mi trova nessun virus con prevx3.0 non mi trova quel virus ma un'altro sul dekstop che credo sia un falso positivo
ora vi allego il log di nod 32 e quello di gmer perchè poi vi ripeto visto che prevx non mi trovava il virus e soprattutto per rimuovere i virus dovevo comprarlo mi sono fermato a questa fase...
io ho windows7 e ho come da guida Disattivato il Ripristino Configurazione Sistema solo che mi fermo alla fase due. ovviamente nod mi ha mostrato un popup di allerta ma non me lo fa ne pulire ne mettere in quarantena... qualcuno mi può aiutare please... non vorrei riformattare grazie..

log di nod 32 http://wikisend.com/download/435370/log nod 32.txt
log gmer http://wikisend.com/download/405644/log gmer.txt


mi serve una mano per togliere questo infamone di un trojan del tutto. help

[Chill-Out]

Quote:

Originariamente inviato da aladestra

ragazzi mi serve una mano pochi giorni fa ho fatto una scansione con nod 32 e mi ha rivelato win32/mebroot.k trojan horse.
adesso ho provato con norman e non mi trova nessun virus con prevx3.0 non mi trova quel virus ma un'altro sul dekstop che credo sia un falso positivo
ora vi allego il log di nod 32 e quello di gmer perchè poi vi ripeto visto che prevx non mi trovava il virus e soprattutto per rimuovere i virus dovevo comprarlo mi sono fermato a questa fase...
io ho windows7 e ho come da guida Disattivato il Ripristino Configurazione Sistema solo che mi fermo alla fase due. ovviamente nod mi ha mostrato un popup di allerta ma non me lo fa ne pulire ne mettere in quarantena... qualcuno mi può aiutare please... non vorrei riformattare grazie..

log di nod 32 http://wikisend.com/download/435370/log nod 32.txt
log gmer http://wikisend.com/download/405644/log gmer.txt


mi serve una mano per togliere questo infamone di un trojan del tutto. help

Ciao, mi alleghi il log di Prevx come recita la Guida in prima pagina, grazie.

[Oresthe]

Ciao a tutti!

Sto avendo problemi con un computer con Windows XP
Il computer ha un MBR Rootkit che faceva comparire all'avvio la seguente scritta "trend chipawayvirus has detected a boot virus on your hard disk".
Provando a lanciare GMER questo mi rilevava la presenza del rootkit, tuttavia il computer si bloccava durante la scansione tanto da dover riavviare manualmente.
Il computer dopo qualche tentativo non avviava Xp tanto che ho dovuto eliminare un file da 0 KB sotto /system32/driver per farlo avviare. (Operazione effettuata tramite UBUNTU live-CD).

Ora il XP si avvia ma il computer è davvero rallentato e credo seriamente che vi siano altre infezioni in corso, incluso il rootkit solo in parte debellato.

Non avendone alcuna dimestichezza vi posto i log di SystemScan, PrevX e HijackThis.

HELP ME, PLEASE ^^

HijackThis Log : hijackthis.log

PrevX Log : aa.log

SystemScan : report.txt

[Chill-Out]

Quote:

Originariamente inviato da Oresthe

Ciao a tutti!

Sto avendo problemi con un computer con Windows XP
Il computer ha un MBR Rootkit che faceva comparire all'avvio la seguente scritta "trend chipawayvirus has detected a boot virus on your hard disk".
Provando a lanciare GMER questo mi rilevava la presenza del rootkit, tuttavia il computer si bloccava durante la scansione tanto da dover riavviare manualmente.
Il computer dopo qualche tentativo non avviava Xp tanto che ho dovuto eliminare un file da 0 KB sotto /system32/driver per farlo avviare. (Operazione effettuata tramite UBUNTU live-CD).

Ora il XP si avvia ma il computer è davvero rallentato e credo seriamente che vi siano altre infezioni in corso, incluso il rootkit solo in parte debellato.

Non avendone alcuna dimestichezza vi posto i log di SystemScan, PrevX e HijackThis.

HELP ME, PLEASE ^^

HijackThis Log : hijackthis.log

PrevX Log : aa.log

SystemScan : report.txt

Dopo il riavvio ti ha dato ancora la presente segnalazione?

trend chipawayvirus has detected a boot virus on your hard disk

[Oresthe]

@ Chill-Out :
non me la da + da quando ho installato Ubuntu su un'altra partizione e ho eliminato il file da 0kb in system32/driver (soluzione trovata dato che non mi si avviava + XP, http://social.answers.microsoft.com/...5-408524ace776 )

[Chill-Out]

Quote:

Originariamente inviato da Oresthe

@ Chill-Out :
non me la da + da quando ho installato Ubuntu su un'altra partizione e ho eliminato il file da 0kb in system32/driver (soluzione trovata dato che non mi si avviava + XP, http://social.answers.microsoft.com/...5-408524ace776 )

Scarica questo file http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

successivamente segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446

Allegha i log dove appena indicato, compreso TDSSKiller.

[Oresthe]

Quote:

Originariamente inviato da Chill-Out

Scarica questo file http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

successivamente segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446

Allegha i log dove appena indicato, compreso TDSSKiller.

Quindi Continuiamo lì e devo allegare anche i log già pubblicati qui oltre a TDSSkiller ?
PS: sto facendo una scansione con malwarebytes

Grazie

[Chill-Out]

Quote:

Originariamente inviato da Oresthe

Quindi Continuiamo lì e devo allegare anche i log già pubblicati qui oltre a TDSSkiller ?
PS: sto facendo una scansione con malwarebytes

Grazie

Esatto

[alfonsog]

Quote:

Originariamente inviato da Chill-Out

[b][size="4"][center]Prevx 3.0 -> Download
Compatibile: Windows XP - Vista
Caratteristiche: necessaria la connesione ad Internet
Dopo aver terminato la scansione per ottenere il log cliccare su Tools - Salva file di log
Estratto dal log di Prevx che mostra l'infezione:

Ragazzi ho fatto la scansione con prevx, come da guida, mi individua 4 infezioni, ma non riesco a salvare il log, dove trovo tools ecc..
Grazie infinite.