Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da marci45

ed ecco il log del Nod32

http://www.fileqube.com/shared/sOUaAv42706

buona partita

Dal log di CureIt e Nod32 non emerge nulla o meglio Nod non rileva nulla, allega per scrupolo un log di Gmer

[marci45]

ecco il log di GMER

http://www.fileqube.com/shared/azxJM43437

mi sembra ci sia ancora, o non capisco di cosa si tratti ...

[Chill-Out]

Quote:

Originariamente inviato da marci45

ecco il log di GMER

http://www.fileqube.com/shared/azxJM43437

mi sembra ci sia ancora, o non capisco di cosa si tratti ...

Sei OK

[marci45]

OK, grazie di tutto

[Chill-Out]

Quote:

Originariamente inviato da marci45

OK, grazie di tutto

Prego, il fatto che Gmer segnali

Quote:

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x98a412b size 0x1a8
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

non vuol dire che sei infetto

[yliharma]

Quote:

Originariamente inviato da yliharma

Ecco qui: logNod32.txt

Grazie dell'aiuto!

Mi sa che il mio post si è un po' perso in quelli di Marci45....
Lo rimetto qui, così si vede meglio!

Grazie ancora!

[Chill-Out]

Quote:

Originariamente inviato da yliharma

Mi sa che il mio post si è un po' perso in quelli di Marci45....
Lo rimetto qui, così si vede meglio!

Grazie ancora!

Fai girare questo tool

http://download.norman.no/public/Nor...al_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_re...tools/52382/it

successivamente procedi con Dr.Web CureIt! (trovi le indicazioni in prima pagina) al termine nuova scansione col Nod32 e vediamo se e cosa rileva.

Riepilogo log da allegare:

Norman Sinowal Cleaner
CureIt
Nod32

[yliharma]

Ecco qui:

Norman Sinowal Cleaner
NFix_2008-06-19_22-02-26.log

Mentre questo girava, il NOD32 ha rilevato l'MBR in un file dei Temporary Internet Files: non sapendo che fare (mi diceva di eliminarlo....), gliel'ho fatto cancellare e copiare in quarantena. Allego anche il rapporto virus del NOD:
rapporto_virus_nod32.txt
Dopo un altro po', si è accorto del virus pure Prevx (che non era attivato ma avevo lasciato sul desktop...): allego pure il suo log (non so se serve)
raporto_virus_prevx.txt

DrWeb CureIt (ho tagliato buona parte del dettaglio files esaminati perché erano tutti ok e il file pesava 49 MB....):
CureIt2.log

Nod32
logNod32.txt

Ciao!

ps: che cos'è sta roba nel log di Norman?
Removed hosts entry: 127.0.0.1 "www.007guard.com"

[xcdegasp]

dai una passata con atf-cleaner e rifai il log di cureit e prevx

[yliharma]

Fatto!

Prevx:
prevx_last.txt

CureIt:
CureIt.log

Sembrerebbe tutto a posto....che ne dite?

Ciao e ancora grazie dell'aiuto!

[Chill-Out]

Quote:

Originariamente inviato da yliharma

Fatto!

Prevx:
prevx_last.txt

CureIt:
CureIt.log

Sembrerebbe tutto a posto....che ne dite?

Ciao e ancora grazie dell'aiuto!

Dr.Web ha rilevato C:\Programmi\SpywareBlaster\spywareblaster.exe ==>> Trojan.Fakealert.896 trattasi di falso positivo, avresti dovuto spostarlo e non cancellarlo, a questo punto se desideri usarlo devi disinstallarlo e reinstallarlo, sembra non ci siano problemi ma sarebbe stato meglio fare un scansione completa con Dr.Web come indicato in Guida NB: eventuali malware rilevati vanno spostati e non cancellati direttamente
Ciao

[yliharma]

Sì infatti ho dovuto reinstallare Spyware blaster... ma la scansione con DrWeb è troppo lunga e non potevo restare lì a guardarlo per dargli istruzioni, così ho avuto la bella idea di impostare "Cancella" come opzione predefinita...
Comunque ho fatto la scansione completa come da guida! Se ti è venuto il dubbio per le dimensioni del log, è perché ho impostato DrWeb per non loggare i file scansionati, dato che la precedente scansione ci ha messo qualcosa come 6 ore e il log (64MB!!!) era troppo pesante pure per aprirlo....

Comunque che ne dici, sono a posto?
Ciao!

[Chill-Out]

Quote:

Originariamente inviato da yliharma

Sì infatti ho dovuto reinstallare Spyware blaster... ma la scansione con DrWeb è troppo lunga e non potevo restare lì a guardarlo per dargli istruzioni, così ho avuto la bella idea di impostare "Cancella" come opzione predefinita...
Comunque ho fatto la scansione completa come da guida! Se ti è venuto il dubbio per le dimensioni del log, è perché ho impostato DrWeb per non loggare i file scansionati, dato che la precedente scansione ci ha messo qualcosa come 6 ore e il log (64MB!!!) era troppo pesante pure per aprirlo....

Comunque che ne dici, sono a posto?
Ciao!

Direi di si, altra cosa usi SpyBot?

[yliharma]

Non più, lo usavo ma da quando uso SpywareBlaster non ho più preso nulla....fino ad ora!!!!!!!

[AndreaFW]

Si può rimuovere un mbr rootkit formattando l'hd o facendo qualcosa del genere?
(non ho molta esperienza in questo campo)

[Chill-Out]

Quote:

Originariamente inviato da AndreaFW

Si può rimuovere un mbr rootkit formattando l'hd o facendo qualcosa del genere?
(non ho molta esperienza in questo campo)

Si formattando risolvi il problema, ma la Guida al momento non prevede il format , perchè vorresti formattare?

[stavoltafunzia]

(sono andrea fw, sto usando l' account di mio fratello)
vorrei formattare perchè ho win che ogni 5 minuti si pianta e mi da una schermata blu, quindi non riesco a seguire la guida. Pensavo fosse qualcosa di hw, ma ho testato le ram con il memtest incluso nel bios dfi e non ho trovato nulla.
siccome poi mi sono accorto di avere un rootkit, pensavo che fosse quello

[Chill-Out]

Quote:

Originariamente inviato da stavoltafunzia

(sono andrea fw, sto usando l' account di mio fratello)
vorrei formattare perchè ho win che ogni 5 minuti si pianta e mi da una schermata blu, quindi non riesco a seguire la guida. Pensavo fosse qualcosa di hw, ma ho testato le ram con il memtest incluso nel bios dfi e non ho trovato nulla.
siccome poi mi sono accorto di avere un rootkit, pensavo che fosse quello

Quale Rootkit e quale software lo segnala?

[stavoltafunzia]

nod 32 segnala mbroot.k

[Chill-Out]

Quote:

Originariamente inviato da stavoltafunzia

nod 32 segnala mbroot.k

segui la Guida in prima pagina