Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da fafiuché

assolutamente sicura. ho solo scaricato mbr e poi lo messo in c:\ e a quel punto attendevo istruzioni. cosa può essere successo? perchè poi la scansione di antivir di oggi non mi segnala infezioni mentre quella di ieri sì? puoi vedere i due diversi log di avira nel mio messaggio delle ore 15,16 (n.711)

Come detto in precedenza i log danno esiti incongruenti, procedi per gradi:

Stealth MBR rootkit detector -> Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
1 - Scaricate MBR:EXE sul DeskTop e mettetelo direttamente nella Directory C:\
Riavviate il Pc in modalità provvisoria F8
Da Start - Esegui - digitate C:\mbr.exe e cliccate su OK
Salvate il log prodotto come MBR1 ed allegatelo per il controllo*

per avviare in modalità provvisorai devi premere ripetutamente F8 subito all'avvio del PC prima che compaia la schermata di caricamento di WIN

[fafiuché]

Allora,
ho spento e riavviato e premuto F8. Come temevo sono finita in un mondo a me sconosciuto fatto di scritte strane dove non ho trovato nessuno start da pigiare. essendomi spaventata ho optato per exit e sono tornata nel mondo a me noto. riavviando il pc mi è però uscita una scritta che diceva: Window ha terminato l'installazione di nuove periferiche. Il software di supporto della periferica richiede il riavvio del computer. Riavviare il computer per rendere effettive le nuove impostazioni. Riavviare ora? SI NO.
Io ho scelto no perchè non so di cosa si tratta, dato che non ho installato nessuna periferica.

Detto questo, lo so che ho già fatto andare fuori di testa Wjmat, ma ti prego di non lasciarmi sola e di spiegarmi cosa trovo e cosa devo fare in modalità provvisoria anche perchè da là non posso comunicare e una volta che ci vado sono sola (mi sembra di parlare di un girone dell'inferno!)

[Chill-Out]

Quote:

Originariamente inviato da fafiuché

Allora,
ho spento e riavviato e premuto F8. Come temevo sono finita in un mondo a me sconosciuto fatto di scritte strane dove non ho trovato nessuno start da pigiare. essendomi spaventata ho optato per exit e sono tornata nel mondo a me noto. riavviando il pc mi è però uscita una scritta che diceva: Window ha terminato l'installazione di nuove periferiche. Il software di supporto della periferica richiede il riavvio del computer. Riavviare il computer per rendere effettive le nuove impostazioni. Riavviare ora? SI NO.
Io ho scelto no perchè non so di cosa si tratta, dato che non ho installato nessuna periferica.

Detto questo, lo so che ho già fatto andare fuori di testa Wjmat, ma ti prego di non lasciarmi sola e di spiegarmi cosa trovo e cosa devo fare in modalità provvisoria anche perchè da là non posso comunicare e una volta che ci vado sono sola (mi sembra di parlare di un girone dell'inferno!)

Ok allora optiamo per il male minore allega un log di Avira scansione completa

[fafiuché]

http://www.fileqube.com/shared/GAataA112140

questa è la scansione di avira fatta oggi intorno alle 14.54.

[wjmat]

sarebbe meglio configurarlo prima
http://www.hwupgrade.it/forum/showthread.php?t=1514684

[Chill-Out]

Quote:

Originariamente inviato da wjmat

sarebbe meglio configurarlo prima
http://www.hwupgrade.it/forum/showthread.php?t=1514684

questo di sicuro

Quote:

Originariamente inviato da fafiuché

http://www.fileqube.com/shared/GAataA112140

questa è la scansione di avira fatta oggi intorno alle 14.54.

Quote:

Starting master boot sector scan:
Master boot sector HD0
[DETECTION] Contains code of the BOO/Sinowal.A boot sector virus

è sparita la rilevazione, per quel che riguarda il MBR Rootkit siamo a posto

[fafiuché]

sparita rilevazione vuol dire che il rootkit non c'è più o che è meglio nascosto e avira non lo vede? e se non c'è più... chi lo ha eliminato?

[Chill-Out]

Quote:

Originariamente inviato da fafiuché

sparita rilevazione vuol dire che il rootkit non c'è più o che è meglio nascosto e avira non lo vede? e se non c'è più... chi lo ha eliminato?

Sparito dal log di Avira, sparito dal log di Gmer misteri dell'informatica

[fafiuché]

Benissimo, però mi rimane il dubbio che si sia nascosto meglio anche perchè io non ho fatto nulla per eliminarlo quindi mi chiedo cosa gli sia successo.
Io adesso per essere tranquilla cosa dovrei fare?
Quel messaggio relativo all'installazione di nuove periferiche mi deve preoccupare?
Non sarà il virus che agisce in quel modo? Secondo te cos'è successo?

[Chill-Out]

Quote:

Originariamente inviato da fafiuché

Benissimo, però mi rimane il dubbio che si sia nascosto meglio anche perchè io non ho fatto nulla per eliminarlo quindi mi chiedo cosa gli sia successo.
Io adesso per essere tranquilla cosa dovrei fare?

Scansione con DrWeb CureIt come indicato in Guida

Quote:

Quel messaggio relativo all'installazione di nuove periferiche mi deve preoccupare?

No

Quote:

Non sarà il virus che agisce in quel modo? Secondo te cos'è successo?

No, avevi percaso inserito un supporto removibile USB

[fafiuché]

Ecco il log di scansione con drweb:

http://www.fileqube.com/shared/sKlSPdz112276


Grazie a Chill out e a Wjmat per la disponibilità.

[wjmat]

Quote:

Originariamente inviato da fafiuché

Ecco il log di scansione con drweb:

http://www.fileqube.com/shared/sKlSPdz112276


Grazie a Chill out e a Wjmat per la disponibilità.

prova a caricarlo come da punto 4 delle modalità che ho in firma, se non hai già provato

[fafiuché]

Ciao,
rientro ora dal lavoro.
Ho provato con le modalità del punto 4 ma non ci sono riuscita.

Forse ho sbagliato qualcosa:
ho scaricato il programma zippato
ho estratto il file
l'ho aperto ed è escita una scritta di nokia
ho scelto il file del log ma non ho trovato il modo di lanciare l'upload e la conversione.

Come l'ho mandato ieri non va proprio bene?

[wjmat]

l'ho fatto io...
http://www.hwupgrade.helloweb.eu/Par...3578773416.txt

sembra ok

il pc come sta?

[fafiuché]

Ciao,
quindi sei riuscito a controllare il file che avevo allegato al messaggio 732 e ti sembra tutto oK?
Se è così sono felicissima!
Adesso cosa dovrei fare per stare tranquilla?
Io giro con Antivir free e Spy Doctor a pagamento. Ti sembrano sufficienti?
Altra cosa: cosa devo fare per non ricevere più decine di mail strane del tipo: Banco Posta, compra sacchetti ora, prenotazione camera, ecc. ? (che forse contengono dei collegamenti a files .exe). Lo so che basta non aprirle, ma a volte per disattenzione può succedere di farlo.

[wjmat]

se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
leggi bene iltrattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

per le mail ci va un filtro antispam

[fafiuché]

A me sembra che il pc funzioni bene, se lancio le mie solite scansioni non c'è più nulla, ma devi tenere conto che non sono un'esperta, tutt'altro quindi non sono in grado più di tanto di cogliere i segni di anomalie a meno che siano veramente macroscopiche (ad es prima di iniziare a comunicare con voi, mi pare venerdì scorso il pc si era spento e riavviato e questo mi aveva messo in allarme).

Comunque oggi devo andare al lavoro, ma appena possibile farò ciò che mi hai suggerito per la pulizia del pc post-infezione.

Per quanto riguarda l'antispam ce ne sono dei gratuiti che funzionano o devo comprarlo?

Infine: avevo disattivato il ripristino conf. sistema. devo riattivarlo?

Grazie grazie grazie, sei stato gentilissimo.
Un grazie anche a Chill out che mi ha aiutata insieme a te.

[wjmat]

per l'antispam ne trovi alcuni free qui
http://www.hwupgrade.it/forum/showthread.php?t=668898

il ripristino puoi lasciarlo disattivato

[graziano_i]

Salve ho appeno concluso la fase 2, ma nonostante ciò avira rileva ancora sto benedetto VIRUS....
Che faccio, a dimenticavo vedete i log ai rispettivi link:

MBR1 - MBR2 - MBR3 - FIXMEBROOT

non li fa aprire direttamente in rete, quindi basta salvare la destinazione e successivamente visualizzarli (giusto per la cronaca, scusate)


Sono disperato......
c'è o non c'è questa infezione???

[wjmat]

Quote:

Originariamente inviato da graziano_i

Salve ho appeno concluso la fase 2, ma nonostante ciò avira rileva ancora sto benedetto VIRUS....
Che faccio, a dimenticavo vedete i log ai rispettivi link:

MBR1 - MBR2 - MBR3 - FIXMEBROOT

non li fa aprire direttamente in rete, quindi basta salvare la destinazione e successivamente visualizzarli (giusto per la cronaca, scusate)


Sono disperato......
c'è o non c'è questa infezione???

Ciao
non riesco a visualizzarli...
leggi le modalità che ho in firma e ricaricali correttamente