Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[wjmat]

Quote:

Originariamente inviato da francesco636

ok ottimo, il pc sta bene in particolare non compare più la finestra "Advanced card verification" quando tento di fare un'operazione bancaria.
Un particolare ringraziamento a wjmat e Chill-Out!!

approfitto della vostra preziosa collaborazione per porvi un'altro quesito: da un pò di tempo il firewall (sygate personal firewall pro)mi blocca delle intrusioni dell'applicazione svchost.exe. qualcuno sa di cosa si tratta? aggiungo che nessun antivirus (neppure quelli che ho usato per eliminare il rootkit) rileva nulla.
vi allego il log del firewall in cui potete vedere l'host:

http://www.fileqube.com/shared/qpRsXEFw67654

se sono OT ditemi dove postare.


grazie

dai un'occhiata al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

il firewall io lo cambierei come indicato nel trattamento
qui dei confronti http://www.matousec.com/projects/fir...ge/results.php

[francesco636]

Quote:

Originariamente inviato da wjmat

dai un'occhiata al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

il firewall io lo cambierei come indicato nel trattamento
qui dei confronti http://www.matousec.com/projects/fir...ge/results.php

ok grazie procedo subito con il trattamento.

riuscite a darmi qualche notizia in più su questo svchost.exe?
oppure mi dite in quale sezione postare..

grazie!

[Chill-Out]

Quote:

Originariamente inviato da francesco636

ok grazie procedo subito con il trattamento.

riuscite a darmi qualche notizia in più su questo svchost.exe?
oppure mi dite in quale sezione postare..

grazie!

Ciao Francesco felice che tu abbia risolto, se hai voglia leggi anche qui:
http://www.hwupgrade.it/forum/showthread.php?t=1691346

[Smalville]

Ciao, ieri kaspersky mi ha segnalato di aver trovato un trojan: Trojan program Backdoor.Win32.Sinowal.ck che risiede in
Settore disco fisico: \Device\Harddisk1\DR1

Settore disco fisico: \Device\Harddisk1\DR2

Dopo averlo eliminato torna tutto apposto ma quando riavvio il problema si rispresenta. Uso windows vista con boot-us come boot manager.
Prevx CSI non ha trovato nulla

gmer si

[wjmat]

fai anche il punto 1 della fase 2 per verifica

[Smalville]

Quote:

Originariamente inviato da wjmat

fai anche il punto 1 della fase 2 per verifica

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x1d1c4581 size 0x1c8 !
questo è il primo log

e quando faccio C:\mbr.exe -f mi da lo stesso log

[wjmat]

sarebbe meglio che tu caricassi tutti i log secondo le modalità

carica anche il 2 ed il 3

poi fai una scansione con Norman Sinowal Cleaner che trovi qui
Lancialo -> Fallo scansionare -> Riavvia il pc se richiesto -> Al termine allega il log secondo le modalità

[Smalville]

Quote:

Originariamente inviato da wjmat

sarebbe meglio che tu caricassi tutti i log secondo le modalità

carica anche il 2 ed il 3

poi fai una scansione con Norman Sinowal Cleaner che trovi qui
Lancialo -> Fallo scansionare -> Riavvia il pc se richiesto -> Al termine allega il log secondo le modalità

grazie!!!sinowal me lo ha trovato e eliminato definitivamente!!

[wjmat]

Quote:

Originariamente inviato da Smalville

grazie!!!sinowal me lo ha trovato e eliminato definitivamente!!

procedi con la 3 fase

[marco_81]

ciao a tutti. son stato gentilmente indirizato a voi da wjmat. allego i log della prima fase.
log prevx: http://www.fileqube.com/shared/kSZkMGoMl75525
log gmer: http://www.fileqube.com/shared/GffxWngFm75526

procedo con la seconda fase?

[wjmat]

prova con il primo punto della seconda fase

[marco_81]

mi sa che non son infetto da questo rootkit. il primo log MBR è pulito. è come l'esempio del punto 3. tutto ok. ora cosa devo far? dal log di gmer avevi notato rootkit malevoli?

[wjmat]

ci sono una sfilza di copie di mbr, ma forse non è nulla di male
facciamo un ultimo controllo e poi torniamo di là

Fai una scansione con Norman Sinowal Cleaner che trovi qui
Lancialo -> Fallo scansionare -> Riavvia il pc se richiesto -> Al termine allega il log secondo le modalità

[marco_81]

in modalità normale o provissoria?

[wjmat]

da normale, l'eventuale pulizia avviene con il riavvio

[marco_81]

terminata la scansione, mi sembra non abbia trovato nulla. ma come si salva il log?

[wjmat]

non ricordo se lo lascia nella cartella da cui l'hai lanciato o in c:\

[marco_81]

era sul desktop. ecco il log : http://www.fileqube.com/shared/xcCkg75617

[wjmat]

dai un'occhiata al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

[marco_81]

si grazie stava facendo. mi sarebbe piaciuto scoprire le cause dei riavvi e delle schermate blu. nessuno conosce il modo di interpretare i "misteriosi" codici d'errore forniti dalla schermata blu?