Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[gtv]

Lo sto prendendo il Rescue CD di Avira...tra poco provo.

Cmq quella storia dell'X: corrisponde al cosiddetto "Ripristino all'Avvio" presente già sul pc, diverso dal caso in cui bisogna farlo partire dal cd. Però è solo una questione di drive dove parte, poiché per il resto gli strumenti sono identici e precisi. Inoltre è come se il prompt dei comandi attivabile da questa modalità fosse meno efficace del prompt 'normale' che si aveva facendo partire il Boot CD di Win XP....ad esempio comandi come fixmbr, sfc /scannow o la semplice apertura di file.exe non sono eseguiti, come se si trattasse di un DOS piu' superficiale....non saprei, c'è qualcosa che devo sbloccare o che non so?

Sono riuscito a fare soltanto il chkdsk /f /r, senza errori segnalati e senza errori risolti

[astro80]

ciao ragazzi ho letto tutta la guida ma non sono riuscito a risolvere,allego i log previsti dalla fase uno così vediamo come proseguire

log fatto con Prevx CSI
Prevx CSI Log.log

log fatto con gmer

gmer.log

vi prego aiutatemi.

ho proseguito nella guida e credo di avere eliminato il problema vi allego i log
mbr1
mbr1.log

mbr2
mbr2.log

Prevx CSI Log
Prevx CSI Logl.log

NFix
NFix_2008-09-30_00-17-27.log


unica cosa all'avvio mi segnala sempre un problema con queste due dll

C:\WINDOWS\system32\fnnfvgvt.dll
C:\WINDOWS\system32\vvsmsylc.dll

http://www.fileqube.com/shared/qpyfNlCUd117084

[wjmat]

Quote:

Originariamente inviato da astro80

ciao ragazzi ho letto tutta la guida ma non sono riuscito a risolvere,allego i log previsti dalla fase uno così vediamo come proseguire

log fatto con Prevx CSI
Prevx CSI Log.log

log fatto con gmer

gmer.log

vi prego aiutatemi.

ho proseguito nella guida e credo di avere eliminato il problema vi allego i log
mbr1
mbr1.log

mbr2
mbr2.log

Prevx CSI Log
Prevx CSI Logl.log

NFix
NFix_2008-09-30_00-17-27.log


unica cosa all'avvio mi segnala sempre un problema con queste due dll

C:\WINDOWS\system32\fnnfvgvt.dll
C:\WINDOWS\system32\vvsmsylc.dll

http://www.fileqube.com/shared/qpyfNlCUd117084

ciao
manca la scansione con cureit
poi scansione completa con Malwarebytes' Anti-Malware
carica anche il log classico di HiJackThis

[Chill-Out]

Ottima esecuzione della Guida complimenti, segui i consigli di wj così sistemiamo anche quelle due .dll, ciao

[gtv]

Ho eseguito la scansione con Avira, quest'ultimo ha rinominato alcuni file che sembravano innocui, per lo più crack di programmi, ma il problema è rimasto irrisolto: appena riavvio mi si ripresenta la schermata di "Ripristino all'avvio".

Non so piu' che pesci prendere....ma sapete che cosa carica il pc quando finisce di muoversi il termometrino di Windows? A quanto pare l'MBR è ok, altrimenti non partirebbe proprio il termometrino...dico bene?

edit: "termometrino" si fa per dire

[wjmat]

Quote:

Originariamente inviato da gtv

Ho eseguito la scansione con Avira, quest'ultimo ha rinominato alcuni file che sembravano innocui, per lo più crack di programmi, ma il problema è rimasto irrisolto: appena riavvio mi si ripresenta la schermata di "Ripristino all'avvio".

Non so piu' che pesci prendere....ma sapete che cosa carica il pc quando finisce di muoversi il termometrino di Windows? A quanto pare l'MBR è ok, altrimenti non partirebbe proprio il termometrino...dico bene?

edit: "termometrino" si fa per dire

torniamo nella tua discussione e facci il punto....

[astro80]

Quote:

Originariamente inviato da wjmat

ciao
manca la scansione con cureit
poi scansione completa con Malwarebytes' Anti-Malware
carica anche il log classico di HiJackThis

ok,li sto facendo adesso.appena finito li posto.
grazie mille per l'aiuto.

[gtv]

Quote:

Originariamente inviato da wjmat

torniamo nella tua discussione e facci il punto....

Allora avvio il portatile e mi esce un Fatal System Error
"STOP: c000021a {Fatal System Error}
The initial session process or system process terminated unexpectedly with a status of 0x00000000 (0xc0000001 0x001004c0).
The system has been shut down."
dopo il quale si avvia la modalità di Ripristino, denominata in Vista "Ripristino all'avvio". Quest'ultima dovrebbe risolvere gli errori presenti, ma non trova errori e dice che non puo' risolvere niente.
Il computer continua a non partire e ho salvato i driver che carica e quelli che no (e sono questi: http://www.fileqube.com/shared/iDqdPB116521).
Inoltre ho il log di Gmer (http://www.fileqube.com/shared/DUeXRb116527), che pero' potrebbe essere errato poiché Gmer parte su X: (il drive preimpostato per la modalità di ripristino, che è come un drive esterno e lo scan me lo fa eseguire solo su X:, non su C:, dove ho i problemi)
Poiché io non avevo valutato ciò, ho ben pensato (come un cogl....) di sostituire tutti i file nominati nel log di gmer e cioè:
USBSTOR.sys
volmgr.sys
ntfs.sys
cdfs.sys
fastfat.sys
fltmgr.sys
disk.sys
crcdisk.sys
e forse halmacpi.dll
prelevandoli da un portatile "sano", ma di poco diverso dal mio
(Toshiba A100-881 il mio, Toshiba A100-646 l'altro) per grandezza HD, procio uguale come tipo (Duo 2) ma diverso come clock---> forse questa cosa ha finito con l'incasinare tutto oppure i file sono uguali??? Nel senso che se ho un file halmacpi.dll, che gestisce il multicore, e installo hal.dll, che gestisce il procio piu' semplice del mondo senza nemmeno ACPI, si impalla tutto, ma se metto al posto dell'halmacpi.dll un altro halmacpi.dll dello stesso brand non dovrebbe impallarsi molto, giusto?!?!?
Anche perché l'errore non è cambiato da quando ho fatto queste modifiche ad ora: quello che succede è sempre lo stesso e cioè Fatal System Error e Ripristino all'Avvio.
Inoltre mi pare di ricordare che una delle prime volte mi usciva nella schermata blu invece che Fatal System Error "PAGE_NON_VAULT_AREA" o una cosa del genere....e forse una volta mi ha segnalato questo file (ma non ne sono sicuro, perché mi è successo ad agosto e non ricordo molto, pero' il nome di questo file lo tengo segnato su un fogliettino): LZX32.sys

Vi prego aiutatemi

[Chill-Out]

Qui sei OT, meglio qui

http://www.hwupgrade.it/forum/showthread.php?t=1809023

Grazie

[gtv]

Perdono pietà!
avevo capito di farvi il punto qui, invece la discussione procede "da me"...scusate ancora e grazie per l'interessamento
(continuo nell'altro thread, non mi abbandonate)

[astro80]

ecco i log richiesti.
precendentemente avevo eliminato anche un trojan.


mbam
mbam-log-2008-09-30 (18-25-32).txt

hijackthis
hijackthis.log

cureit (scusate ma non sono riuscito a fare l'operazione col programmino)
CureIt.zip

ps ieri avevo anche rimosso il vundoo seguendo la guida.


che dite?

[Chill-Out]

Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sotto indicate voci

Quote:

O2 - BHO: (no name) - {20D369BD-5ED7-4FC1-AABE-5200F231B2DE} - C:\WINDOWS\system32\awtrsqNE.dll (file missing)
O4 - HKCU\..\Run: [RemoveIT Pro XT] C:\Programmi\InCode Solutions\RemoveIT Pro v4-Trial\removeit.exe

clicca su Fix chcked

riallega nuovo log

[astro80]

Quote:

Originariamente inviato da Chill-Out

Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sotto indicate voci



clicca su Fix chcked

riallega nuovo log

fatto

hijackthis.log

[Chill-Out]

Quote:

Originariamente inviato da astro80

fatto

hijackthis.log

Bene appena posso verifico questo servizio

Quote:

O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe

e controllo il log di CureIt

[astro80]

ok,grazie mille.attendo notizie.

[astro80]

non so quanto possa essere importante ma all'avvio non ho più i messaggi di errore delle due dll

[Chill-Out]

Quote:

Originariamente inviato da astro80

non so quanto possa essere importante ma all'avvio non ho più i messaggi di errore delle due dll

Perfetto, procedi così:

Da Start - Esegui - digita services.msc - OK

si aprirà una finestra relativa ai Servizi cerca il Servizio denominato Service: Application Driver Auto Removal Service (01) (appdrvrem01)

Selezionalo - tasto dx del mouse e clicca su Arresta - tasto dx del mouse clicca su Proprietà / Tipo Avvio / seleziona nel menù a tendina la voce Disabilitato - Applica e OK

Esegui HijackThis - Open the Misc Tool section - clicca su Delete an NT service - inserisci nel box appdrvrem01 clicca su OK. Ti chiederà di riavviare.

Allega un nuovo log di HJT

[astro80]

Quote:

Originariamente inviato da Chill-Out

Perfetto, procedi così:

Da Start - Esegui - digita services.msc - OK

si aprirà una finestra relativa ai Servizi cerca il Servizio denominato Service: Application Driver Auto Removal Service (01) (appdrvrem01)

Selezionalo - tasto dx del mouse e clicca su Arresta - tasto dx del mouse clicca su Proprietà / Tipo Avvio / seleziona nel menù a tendina la voce Disabilitato - Applica e OK

Esegui HijackThis - Open the Misc Tool section - clicca su Delete an NT service - inserisci nel box appdrvrem01 clicca su OK. Ti chiederà di riavviare.

Allega un nuovo log di HJT

non trovo la voce tra i servizi

[Chill-Out]

Quote:

Originariamente inviato da astro80

non trovo la voce tra i servizi

Sicuro

[astro80]

http://www.fileqube.com/shared/bgGSlH117908

no a meno che non sia sotto altro nome