Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[blackgnat]

Quote:

Originariamente inviato da Chill-Out

- Scarica TDSSKiller http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

prima di smanettare con i vari tool ho provato ad installare una copia di windows sul disco infetto ( almeno secondo il nod) .. visto che da quanto ne so windows lo riscrive il mbr ( correggimi se sbaglio) !... ovviamente non ho completato l'installazione ed al riavvio con il boot da il disco preesistente ( windowsxp) ho formattato l'HD con il windows parzialmente installato .... !! e sorpresa delle sorprese il nod non mi rileva più nessuna infezione !!
Quindi ricapitolando .... l'ho pulito inizializzando una installazione di windows !!! Possibile ???

[Chill-Out]

Quote:

Originariamente inviato da blackgnat

prima di smanettare con i vari tool ho provato ad installare una copia di windows sul disco infetto ( almeno secondo il nod) .. visto che da quanto ne so windows lo riscrive il mbr ( correggimi se sbaglio) !... ovviamente non ho completato l'installazione ed al riavvio con il boot da il disco preesistente ( windowsxp) ho formattato l'HD con il windows parzialmente installato .... !! e sorpresa delle sorprese il nod non mi rileva più nessuna infezione !!
Quindi ricapitolando .... l'ho pulito inizializzando una installazione di windows !!! Possibile ???

Hai riscritto il MBR

[jardel]

scusate il nod mi ha rilevato questo tsrboot
Avvio Controllo settore di avvio settore di avvio attivo del disco fisico 1 probabilmente sconosciuto TSR.BOOT virus impossibile disinfettare

ad ogni modo ho seguito la prima fase ma non sembra aver trovato niente...che devo fare?
quando avvio questi programmi l'antivirus deve essere disattivato?

ora come ora temo che se riavvio il pc non mi si avvia piu winxp.sbaglio a pensarlo?

gmerlog.txt
prevx.log

fatto scansione con tdsskiller ma dice "no threats found"

[Chill-Out]

Quote:

Originariamente inviato da jardel

scusate il nod mi ha rilevato questo tsrboot
Avvio Controllo settore di avvio settore di avvio attivo del disco fisico 1 probabilmente sconosciuto TSR.BOOT virus impossibile disinfettare

ad ogni modo ho seguito la prima fase ma non sembra aver trovato niente...che devo fare?
quando avvio questi programmi l'antivirus deve essere disattivato?

ora come ora temo che se riavvio il pc non mi si avvia piu winxp.sbaglio a pensarlo?

gmerlog.txt
prevx.log

fatto scansione con tdsskiller ma dice "no threats found"

No, non devi disattivare l'AV, allega sia il log del Nod che il log di TDSSKiller.

[jardel]

il nod non da log, il tssdkiller dice not found...

[NewAge]

Stesso tuo problema anche per me in mattinata, invece stasera nod32 scarica nuovo "Virus Definition File" e il problema non viene più rilevato dall'antivirus.
Riprova anche tu, forse stamani era un falso positivo dovuto ad un errore del Nod.
Ciao

[jardel]

Quote:

Originariamente inviato da NewAge

Stesso tuo problema anche per me in mattinata, invece stasera nod32 scarica nuovo "Virus Definition File" e il problema non viene più rilevato dall'antivirus.
Riprova anche tu, forse stamani era un falso positivo dovuto ad un errore del Nod.
Ciao

inizio a pensare da quanto ho letto in giro che sia davvero problema del nod.
cmq io ho l'aggiornamento del 27febbraio 6920 e di piu aggiornato non c'è almeno cosi' dice il nod.
rileva quella scritta riportata prima appena inizio la scansione antivirus le prime 3 voci sono
Avvio Controllo settore di avvio settore di avvio attivo del disco fisico 1 probabilmente sconosciuto TSR.BOOT virus impossibile disinfettare

tu che pacchetto definizione virus hai?

[jardel]

adesso questa voce durante la scansione è sparita...boh

chi ha una spiegazione logica della cosa puo' spiegarmi perchè accade?

non ho capito cosa fa prevx in versione free, è consigliabile tenerlo insieme a mbam?

[Chill-Out]

Quote:

Originariamente inviato da jardel

adesso questa voce durante la scansione è sparita...boh

chi ha una spiegazione logica della cosa puo' spiegarmi perchè accade?

non ho capito cosa fa prevx in versione free, è consigliabile tenerlo insieme a mbam?

Non è la prima volta che vedo il Nod prendere lucciole per lanterne, Prevx lo puoi disinstallare.

[jardel]

Quote:

Originariamente inviato da Chill-Out

Non è la prima volta che vedo il Nod prendere lucciole per lanterne, Prevx lo puoi disinstallare.

quindi non serve a molto prevx?

[lanfratta]

Scusate se posto qui, sto tentando di sistemare il pc di mia sorella che si è presa una valanga di virus e rootkit, tra cui anche il zero access.

Ora ho passato combofix, hijackthis, avira e malwarebytes, però ancora non riesco ad accedere ad internet. Inoltre l'icona della wireless appare solo quando abilito il real time di avira, che NON parte in automatico.
Vi premetto che lei ha XP professional e che non posso accedere ad internet con il pc.

Vi allego sotto i log di hijackthis e combofix


http://www.filedropper.com/hijackthis

http://www.filedropper.com/log_1

[Chill-Out]

Quote:

Originariamente inviato da lanfratta

Scusate se posto qui, sto tentando di sistemare il pc di mia sorella che si è presa una valanga di virus e rootkit, tra cui anche il zero access.

Ora ho passato combofix, hijackthis, avira e malwarebytes, però ancora non riesco ad accedere ad internet. Inoltre l'icona della wireless appare solo quando abilito il real time di avira, che NON parte in automatico.
Vi premetto che lei ha XP professional e che non posso accedere ad internet con il pc.

Vi allego sotto i log di hijackthis e combofix


http://www.filedropper.com/hijackthis

http://www.filedropper.com/log_1

Per quanto concerne Combofix è necessario allegare il primo log, allega inoltre quello di Avira, MBAM etc..

[lanfratta]

Ho lasciato perdere, troppi strascichi sul pc.
Format c: e vai col tango, tanto i dati li avevo recuperati.

[cabernet]

Buongiorno,penso di aver preso un virus rootkit,ho w7 64bit,vi spiego
stamane mi son apparsi errori continui del disco e dopo aver riavviato (considerando che il pc parte tranquillamente,entra in windows, il desktop è tutto nero, non ci sono le mie icone precedenti dei programmi e delle cartelle,nemmeno nella barra presenta le icone dei programmi)
stessa cosa se entro in risorse del computer, se entro nelle partizioni mi dice "la cartella è vuota" anche se lo spazio occupato dai file viene indicato..

Avast mi dice che ha rilevato un oggetto nascosto sospetto (rootkit) nel sistema, , (MBR\\.\PHYSICALDRIVE0\Partition3 - rootkit:settore boot)
ho fatto una scansione con malwarebytes senza successo

procedo con la guida presente in prima pagina?

[cabernet]

gmer.txt

quello di prevx 3.0

Quote:

[b] c:\programdata\asgvis\licensing\floating license manager.exe [PX5: D77067A800509AC0B012145ED54BB900CC492D07] Malware Group: Low Risk Adware

però mi pare che non ha beccato rootkit

[cabernet]

ho fatto girare anche TDSSrootkit ed ha rilevato una minaccia poi ho riavviato ma la situazione è la stessa ovvero non posso accedere al disco C e D..e partono solo i programmi impostati all'avvio
riesco ad accedere ai file solo visualizzando i file nascosti

[cabernet]

Quote:

Originariamente inviato da cabernet

Allegato 82308

quello di prevx 3.0



però mi pare che non ha beccato rootkit

log di stealth mbr rootkit derector:

Quote:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7600

device: opened successfully
user: error reading MBR
error: Read Handle non valido.
kernel: error reading MBR

[cabernet]

log stealth mbr rootkit detector:

Quote:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7600

device: opened successfully
user: error reading MBR
error: Read Handle non valido.
kernel: error reading MBR

[Chill-Out]

Quote:

Originariamente inviato da cabernet

log di stealth mbr rootkit derector:

Allega il log di TDSSKiller

[cabernet]

ecco il log di tdssrootkit:
http://www.mediafire.com/?pfy7cgy0pdeats7