Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[wjmat]

ho cambiato le info del programma, mi sono accorto dopo che è stato aggiornato
se togli le lettere dalla scansioni eviti una ricerca inutile

ora cerco i log vecchi

[fafiuché]

Vedi, la scansione partiva subito evidenziando questo stato:



GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-09-23 19:24:08
Windows 5.1.2600 Service Pack 2



---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 00: MBR rootkit code detected <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x25429800 size 0x1ad
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs ikhfile.sys (PCTools Research Pty Ltd.)

---- EOF - GMER 1.0.14 ----



mentre oggi non lo ha segnalato all'inizio.

[wjmat]

gmer è noto perchè anche a pc ripulito segnala ancora l'infezione
carica quello di norman secondo le modalità

[fafiuché]

http://www.fileqube.com/shared/VVZeuD112030

[wjmat]

nel log dovresti vedere una cosa simile se sei pulita

Codice:

No SinowalMBR hooks found

Number of sectors found: 1
Number of sectors scanned: 1
Number of sectors not scanned: 0
Number of infections found: 0
Number of infections removed: 0
Total scanning time: 0s 281ms

[fafiuché]

Tu hai visionato i log che ti ho inviato e cosa ne pensi?
Io sono un po' confusa perchè da una settimana le scansioni con antivir mi evidenziavano subitissimo un rootkit nel master boot HD0, ieri gmer partiva e subito segnalava rootkit, oggi mi sembra che il virus si sia suicidato.

[wjmat]

passa al punto 1 della seconda fase

[fafiuché]

Aspetta, punto uno della seconda fase... mi sembra tutto piuttosto difficile.
ho scaricato il progr sul desktop. come lo metto in C.\ ?
scusami ma le mie capacità sono riassunte nel mio nickname

[fafiuché]

http://www.fileqube.com/shared/UngTwDrLC112084
http://www.fileqube.com/shared/xtOgq112085

per scrupolo potresti dare un'occhiata ai log delle scansioni di ieri e di oggi di antivir. ci vedi differenze? che ne pensi?

[wjmat]

Quote:

Originariamente inviato da fafiuché

http://www.fileqube.com/shared/UngTwDrLC112084
http://www.fileqube.com/shared/xtOgq112085

per scrupolo potresti dare un'occhiata ai log delle scansioni di ieri e di oggi di antivir. ci vedi differenze? che ne pensi?

mi sembrano entrambi quello di oggi, e puliti

lo metti in c: e riavvia in mod. provvisoria
le info mi sembrano più che esaustive...

[fafiuché]

forse sono io che ho allegato due volte lo stesso log
stavolta ti mando i log giusti:

http://www.fileqube.com/shared/xtOgq112085
http://www.fileqube.com/shared/ueDMjEgw112088

in una dovrebbe esserci la segnalazione di virus, poi sparito nella scansione di oggi. tu che ci vedi?

Per quanto riguarda il mettere il programma in C:\ ho capito il concetto, ma praticamente intendi dire di prenderlo e copiarlo nella cartella HDD (C)?

graaaazie, sei gentilissimo a non mandarmi a quel paese.

[wjmat]

si ieri segnava qualcosa...

non ti ho mandata a quel paese perchè sto prendendo di proposito dei sedativi...

mettere ovviamente significa spostare

[fafiuché]

ti chiedo ancora scusa, ma mi sembrava troppo semplice solo spostare (o mettere). Il fatto è che ho una paura dell'accidente di fare qualche m..
E' la prima volta che mi metto a smanettare sul pc. Io so appena navigare, mandare le mail e scrivere su una pagina in bianco. Fortunatamente ho trovato voi, non so come chiamarvi se non angeli custodi degli imbranati come me e ho deciso di lanciarmi perchè mi sono sentita un po' meno insicura.

Ora che ho messo mbr in c:\ riavvio in modalità provvisoria e poi? a quel punto, scusa la domanda idiota, ma come farò a comunicare con te?
DA LEGGERE PRIMA DI INCAZZARTI: non sono mai andata in modalità provvisoria e non so in quale mondo verrò proiettata!

[Chill-Out]

Indice di infezione

Quote:

Disk \Device\Harddisk0\DR0 sector 00: MBR rootkit code detected <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x25429800 size 0x1ad
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

con i log di ormai non si capisce più nulla, è possibile avere un log completo di gmer

[fafiuché]

ciao chill out. ho allegato il log di gmer al messaggio 698. leggi anche il 700.
se hai dei dubbi piuttosto rilancio la scansione. grazie per esserci anche tu

[wjmat]

chill questo dovrebbe essere quello completo
http://www.hwupgrade.it/forum/showpo...&postcount=698

per la mod. provvisoria io chiederei l'aiuto del pubblico

[Chill-Out]

Quote:

Originariamente inviato da fafiuché

ciao chill out. ho allegato il log di gmer al messaggio 698. leggi anche il 700.
se hai dei dubbi piuttosto rilancio la scansione. grazie per esserci anche tu

Nuovo log grazie.

[fafiuché]

http://www.fileqube.com/shared/HPdfs112125

Ecco il nuovo log.

[Chill-Out]

Quote:

Originariamente inviato da fafiuché

http://www.fileqube.com/shared/HPdfs112125

Ecco il nuovo log.

Ok il log è ovviamente cambiato sicura di non aver già eseguito la :: Seconda fase ::

[fafiuché]

assolutamente sicura. ho solo scaricato mbr e poi lo messo in c:\ e a quel punto attendevo istruzioni. cosa può essere successo? perchè poi la scansione di antivir di oggi non mi segnala infezioni mentre quella di ieri sì? puoi vedere i due diversi log di avira nel mio messaggio delle ore 15,16 (n.711)