Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[marci45]

Quote:

Originariamente inviato da Chill-Out

Mah.....fai pulizia con ATF Cleaner come indicato qui: http://www.hwupgrade.it/forum/showthread.php?t=1599737 dopodichè fai una scansione completa con Dr.Web CureIt -->> vedi Guida il tool naturalmente lo devi riscaricare in quanto sono passati alcuni giorni e le definizioni sono state aggiornate.

Passato ATF Cleaner e fatta la scansione completa con Dr.Web CureIt
ecco il log
http://www.fileqube.com/shared/CsAojl53778

[Chill-Out]

Log puilitissimo, il Nod spara ancora alert pop up?

[marci45]

Quote:

Originariamente inviato da Chill-Out

Log puilitissimo, il Nod spara ancora alert pop up?

si

[marci45]

Quote:

Originariamente inviato da Chill-Out

Log puilitissimo, il Nod spara ancora alert pop up?

boh, comunque io vado per 7/8 giorni verso il fresco Friuli, il pc riposa (magari gli passa) e se al ritorno persevera vi disturberò ancora ...
sempre e comunque grazie di cuore

[Chill-Out]

Quote:

Originariamente inviato da marci45

boh, comunque io vado per 7/8 giorni verso il fresco Friuli, il pc riposa (magari gli passa) e se al ritorno persevera vi disturberò ancora ...
sempre e comunque grazie di cuore

Buone ferie, al ritorno facci sapere, ciao.

Edit: hai percaso attaccato al Pc un Hd esterno?

[silvia.smiley]

eccomi chill-out!

come antivirus ho l'avg free, ma poi avevo scaricato il norton scan sicurity (che individua i virus, non li previene!).

il prevx csi non mi lascia allegati nè resoconti:dopo la scansione mi dice che il pc è pulito.

[Chill-Out]

Quote:

Originariamente inviato da silvia.smiley

eccomi chill-out!

come antivirus ho l'avg free, ma poi avevo scaricato il norton scan sicurity (che individua i virus, non li previene!).

Il Trend Micro citato in Pm che cosa è? AVG che cosa rileva? Il Norton Security Scan rileva ma non elimina e non serve a niente

Quote:

il prevx csi non mi lascia allegati nè resoconti:dopo la scansione mi dice che il pc è pulito.

Prevx CSI -> Download
Compatibile: Windows XP - Vista
Caratteristiche: necessaria la connesione ad Internet
Dopo aver terminato la scansione per ottenere il log cliccare su Options - Save a Log File
Estratto dal log di Prevx che mostra l'infezione:

Gmer -> Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione - scompattare il file compresso per praticità sul DeskTop e lanciare Gmer.exe avendo cura di spuntare sul pannello di destra tutte le caselle
Dopo aver terminato la scansione cliccare su Copy, aprite il Blocco Note ed incollare il log

Allega i log

[silvia.smiley]

ecco i file log
...mi sa che gmer ha trovato qualcosa!ecco il file log.

nel prossimo post ti mando quello di prevx

....speriamo bene!

[silvia.smiley]

il log di prevx è troppo grande...

anche zippato con winrar è 44 KB e non me lo allega.

dimmi se posso fare un estratto

[wjmat]

Questa è una brevissima guida alla pubblicazione dei log

[silvia.smiley]

chill-out...GRAZIE MILLEEEEEEEEEEEEE!!!!!!!!

il problema è risolto,o almeno sembra!

seguendo la procedura del primo post e analizzando tutti i file log sembra tutto ok... avevo un problema nel settore 62 (...da come parlo di pc neanche mi riconosco ).

grazie mille e spero di ricontattarti....solo per un saluto

ciao ciao

[Chill-Out]

Quote:

Originariamente inviato da silvia.smiley

chill-out...GRAZIE MILLEEEEEEEEEEEEE!!!!!!!!

il problema è risolto,o almeno sembra!

seguendo la procedura del primo post e analizzando tutti i file log sembra tutto ok... avevo un problema nel settore 62 (...da come parlo di pc neanche mi riconosco ).

grazie mille e spero di ricontattarti....solo per un saluto

ciao ciao

Quote:

Disk \Device\Harddisk0\DR0 sector 00: MBR rootkit code detected <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sector 10: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x7289c34 size 0x1fd
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

sarebbe opportuno allegare un log di Gmer per il controllo

[skettles]

salve a tutti,
questo è il mio primo post su questo bellissimo forum.....semplicemente per emergenza....
avira antivir mi trova questo rootkit e anche gmer lo conferma....però prevx non lo trova.....

ecco la stringa di gmer perchè il log intero non me lo fa allegare perchè è troppo grande:

Codice:

---- Disk sectors - GMER 1.0.14 ----

Disk      \Device\Harddisk0\DR0                                                                                  sector 00: MBR rootkit code detected                                                                                     <-- ROOTKIT !!!
Disk      \Device\Harddisk0\DR0                                                                                  sector 61: malicious code @ sector 0x17bd52d8 size 0x1fd
Disk      \Device\Harddisk0\DR0                                                                                  sector 62: copy of MBR

ditemi che non è male di morte..... ma soprattutto.....posso spegnere il pc con la tranquillità che si riaccenda?

in attesa di una soluzione ringrazio anticipatamente

[Chill-Out]

Quote:

Originariamente inviato da skettles

salve a tutti,
questo è il mio primo post su questo bellissimo forum.....semplicemente per emergenza....
avira antivir mi trova questo rootkit e anche gmer lo conferma....però prevx non lo trova.....

ecco la stringa di gmer perchè il log intero non me lo fa allegare perchè è troppo grande:

Codice:

---- Disk sectors - GMER 1.0.14 ----

Disk      \Device\Harddisk0\DR0                                                                                  sector 00: MBR rootkit code detected                                                                                     <-- ROOTKIT !!!
Disk      \Device\Harddisk0\DR0                                                                                  sector 61: malicious code @ sector 0x17bd52d8 size 0x1fd
Disk      \Device\Harddisk0\DR0                                                                                  sector 62: copy of MBR

ditemi che non è male di morte..... ma soprattutto.....posso spegnere il pc con la tranquillità che si riaccenda?

in attesa di una soluzione ringrazio anticipatamente

Allega anche il log di Avira, per quanto riguarda la soluzione devi semplicemente seguire la Guida prestando massima attenzione ai log da produrre.

[skettles]

ok grazie però non ho capito....la guida mi fa solo produrre i log.....cosa risolve davvero il problema?

[wjmat]

nella seconda fase si corregge il problema, oltre a produrre i log

[skettles]

allora....ho fatto la 2 fase ma lanciato mbr.exe da modalità provvisoria mi chiedeva l'autorizzazione per farlo partire e gliel'ho data.....poi però è uscita un finestra testuale per tipo 1 frazione di secondo.....

[Chill-Out]

Quote:

Originariamente inviato da skettles

ok grazie però non ho capito....la guida mi fa solo produrre i log.....cosa risolve davvero il problema?

Teoricamente la Guida, ma se non produci i log tiriamo ad indovinare

[doppia_t]

Ciao, anch'io ho riscontrato gli stessi problemi di cui tratta la discussione, quindi sono in cerca di aiuto. Da quanto ho letto nella guida e nelle successive risposte mi sembra che tu, Chill-Out, ne sappia veramente tanto.
Comunque ho letto la guida ed i due log sono:

http://wikisend.com/download/915712/Prevx CSI.log
http://wikisend.com/download/883156/gmer.txt

Premetto che ho già provato la seconda parte ma prevx mi rileva ancora il "virus"
L'avviso però che mi avvertiva all'avvio del pc, prima del boot non esce più.
Averei postato i log di mbr.exe in modalità provisoria, ma non ne ha generati.

Ringrazio anticipamente

[Chill-Out]

Quote:

Originariamente inviato da doppia_t

Ciao, anch'io ho riscontrato gli stessi problemi di cui tratta la discussione, quindi sono in cerca di aiuto. Da quanto ho letto nella guida e nelle successive risposte mi sembra che tu, Chill-Out, ne sappia veramente tanto.
Comunque ho letto la guida ed i due log sono:

http://wikisend.com/download/915712/Prevx CSI.log
http://wikisend.com/download/883156/gmer.txt

Premetto che ho già provato la seconda parte ma prevx mi rileva ancora il "virus"
L'avviso però che mi avvertiva all'avvio del pc, prima del boot non esce più.
Averei postato i log di mbr.exe in modalità provisoria, ma non ne ha generati.

Ringrazio anticipamente

Ciao e benvenuto sul Forum di HWU, andiamo al sodo quello che vorrei capire e se i log di Prevx CSI e Gmer li hai prodotti prima o dopo la :: Seconda fase :: ovvero prima o dopo l'utilizzo di Stealth MBR rootkit detector