Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT - Pagina 40

**Chill-Out** · 30-09-2008, 23:10

Quote:

Originariamente inviato da astro80

http://www.fileqube.com/shared/bgGSlH117908

no a meno che non sia sotto altro nome

Mmmmm... esegui HJT fixa la suddetta voce

Quote:

O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe

e allega nuvo log vediamo che succede

astro80 · 30-09-2008, 23:13

hijackthis2.log

eccolo

**Chill-Out** · 30-09-2008, 23:18

Quote:

Originariamente inviato da astro80

hijackthis2.log

eccolo

Da Start - Esegui - digita cmd

nella finestra DOS digita

sc stop appdrvrem01 -> batti invio
sc delete appdrvrem01 -> batti invio

sc stop 01 -> batti invio
sc delete 01 -> batti invio

per uscire digita exit

allega nuovo log di hjt

astro80 · 30-09-2008, 23:22

hijackthis.log

eccolo,sembra sparito.

**Chill-Out** · 30-09-2008, 23:33

Quote:

Originariamente inviato da astro80

hijackthis.log

eccolo,sembra sparito.

Perfetto siamo OK, ti suggerisco di leggere questo 3D http://www.hwupgrade.it/forum/showthread.php?t=1726383

astro80 · 30-09-2008, 23:40

Quote:

Originariamente inviato da Chill-Out

Perfetto siamo OK, ti suggerisco di leggere questo 3D http://www.hwupgrade.it/forum/showthread.php?t=1726383

infinitamente grazie per l'aiuto,se sei a roma o ci passi cafè pagato per te

Ciao Giglio

**Chill-Out** · 30-09-2008, 23:41

Quote:

Originariamente inviato da astro80

infinitamente grazie per l'aiuto,se sei a roma o ci passi cafè pagato per te

Ciao Giglio

Grazie e che sono un pò distante

buon proseguimento su HWU

TheCount · 06-10-2008, 12:12

L'mbr.exe non mi fixa niente.

Lascio di seguito i log:

Log Prevx CSI
http://www.fileqube.com/shared/nSVGYmRI126030

Log Gmer
http://www.fileqube.com/shared/rslhEo126031

MBR1
http://www.fileqube.com/shared/JrjAa126032

MBR2
http://www.fileqube.com/shared/HfZWrXMF126033

MBR3
http://www.fileqube.com/shared/dMbglh126034

**Chill-Out** · 06-10-2008, 12:22

A parte il discorso MBR ci sono una serie di problemi da sistemare, facciamo una cosa per volta, come da Guida la :: Seconda fase :: prevede 3 passaggi, sicuro di aver eseguito tutto correttamente, hai messo mbr.exe in C: - riavviato in modalità provvisoria F8 e lanciato il comando C:\mbr.exe -f

TheCount · 06-10-2008, 12:44

Ho seguito la procedura, non proprio alla lettera. Invece di dare il comando c:\mbr.exe in Start-Esegui, ho avviato il promt dei comandi e li ho dato il comando di Fix per l'mbr.
Da Start-Esegui non avevo il tempo di capire cosa stesse facendo, la finestra compariva e svaniva all'istante..

**Chill-Out** · 06-10-2008, 12:53

Quote:

Originariamente inviato da TheCount

Ho seguito la procedura, non proprio alla lettera. Invece di dare il comando c:\mbr.exe in Start-Esegui, ho avviato il promt dei comandi e li ho dato il comando di Fix per l'mbr.
Da Start-Esegui non avevo il tempo di capire cosa stesse facendo, la finestra compariva e svaniva all'istante..

allora segui alla lettera le istruzioni e allega i log

NB: il comando nel secondo passaggio è C:\mbr.exe -f

TheCount · 06-10-2008, 13:12

Questi sono i log seguendo le istruzioni alla lettera.

Prevx
http://www.fileqube.com/shared/DMhWel126051

Gmer
http://www.fileqube.com/shared/Fkgrti126052

MBR1
http://www.fileqube.com/shared/aIvBuX126054

MBR2
http://www.fileqube.com/shared/yClaeRB126055

MBR3
http://www.fileqube.com/shared/dQmeq126057

wjmat · 06-10-2008, 13:56

Quote:

Originariamente inviato da TheCount

Questi sono i log seguendo le istruzioni alla lettera.

Prevx
http://www.fileqube.com/shared/DMhWel126051

Gmer
http://www.fileqube.com/shared/Fkgrti126052

MBR1
http://www.fileqube.com/shared/aIvBuX126054

MBR2
http://www.fileqube.com/shared/yClaeRB126055

MBR3
http://www.fileqube.com/shared/dQmeq126057

mi sembra che non sia vambiato nulla....
Fai una scansione con Norman Sinowal Cleaner che trovi qui
Lancialo -> Accetta le condizioni
Sotto scan area seleziona C:\*.* e clicca su Remove, idem per altre eventuali lettere, relative ad altre partizioni (ci interessa solo la scansione della MBR)
Clicca su Start scan e attendi la scansione
In caso trovi l'infezione riavvia il pc se richiesto

Al termine allega il log NFix_xxxxxx.txt che trovi sul desktop secondo le modalità

TheCount · 06-10-2008, 14:20

Adesso qualcosa è cambiato, Prevx non mi trova nulla ma mbr.exe mi da il solito log.

Norman_tool_log
http://www.fileqube.com/shared/LWDOiN126101

Prevx log
http://www.fileqube.com/shared/Slpcc126105

MBR3
http://www.fileqube.com/shared/bDVyA126106

wjmat · 06-10-2008, 14:30

procedi con la scansione completa di cureit

TheCount · 06-10-2008, 19:31

A quanto pare nemmeno Cureit ha trovato traccia del Rootkit.MBR.

allego il log di Cureit
http://www.fileqube.com/shared/jNmNYh126381

Cmq se faccio una scansione con Gmer, l'infezzione c'è ancora..

Gmer log
http://www.fileqube.com/shared/jhMNZpgdR126382

Metraton · 06-10-2008, 19:57

Quote:

Originariamente inviato da TheCount

A quanto pare nemmeno Cureit ha trovato traccia del Rootkit.MBR.

allego il log di Cureit
http://www.fileqube.com/shared/jNmNYh126381

Cmq se faccio una scansione con Gmer, l'infezzione c'è ancora..

Gmer log
http://www.fileqube.com/shared/jhMNZpgdR126382

ciao premetto che non ho letto le pagine precedenti e non so se te lo hanno già consigliato ma hai provato a fixare l'mbr facendo partire il sistema con il cd di windows e scrivendo fixmbr?

TheCount · 06-10-2008, 20:45

Si ho già provato, ma non ho risolto..
Percaso se copiassi i settori con l'MBR originale e quello col Rootkit potrebbe essere utile? Personalmente non ho la minima idea di come fare a leggerli o manipolarli, magari qualcuno lo sa fare..

P.S: Grazie a tutti per l'aiuto che state offrendo

wjmat · 07-10-2008, 00:21

Quote:

Originariamente inviato da TheCount

Si ho già provato, ma non ho risolto..
Percaso se copiassi i settori con l'MBR originale e quello col Rootkit potrebbe essere utile? Personalmente non ho la minima idea di come fare a leggerli o manipolarli, magari qualcuno lo sa fare..

P.S: Grazie a tutti per l'aiuto che state offrendo

il log di gmer sarà sempre macchiato

norman dovrebbe aver risolto perchè non viene rilevato nè da prevx nè da cureit

**Chill-Out** · 07-10-2008, 09:17

Quote:

Originariamente inviato da TheCount

Si ho già provato, ma non ho risolto..
Percaso se copiassi i settori con l'MBR originale e quello col Rootkit potrebbe essere utile? Personalmente non ho la minima idea di come fare a leggerli o manipolarli, magari qualcuno lo sa fare..

P.S: Grazie a tutti per l'aiuto che state offrendo

Si può fare l'overwrite del MBR da console di ripristino ma non mi sembra il caso, allega un log di Prevx CSI, thx.

06-10-2008, 12:12	#788
TheCount Junior Member Iscritto dal: Oct 2008 Messaggi: 11	Salve a tutti.. potreste gentilmente darmi una mano. L'mbr.exe non mi fixa niente. Lascio di seguito i log: Log Prevx CSI http://www.fileqube.com/shared/nSVGYmRI126030 Log Gmer http://www.fileqube.com/shared/rslhEo126031 MBR1 http://www.fileqube.com/shared/JrjAa126032 MBR2 http://www.fileqube.com/shared/HfZWrXMF126033 MBR3 http://www.fileqube.com/shared/dMbglh126034

06-10-2008, 12:22	#789
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	TheCount A parte il discorso MBR ci sono una serie di problemi da sistemare, facciamo una cosa per volta, come da Guida la :: Seconda fase :: prevede 3 passaggi, sicuro di aver eseguito tutto correttamente, hai messo mbr.exe in C: - riavviato in modalità provvisoria F8 e lanciato il comando C:\mbr.exe -f __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

06-10-2008, 12:44	#790
TheCount Junior Member Iscritto dal: Oct 2008 Messaggi: 11	Ho seguito la procedura, non proprio alla lettera. Invece di dare il comando c:\mbr.exe in Start-Esegui, ho avviato il promt dei comandi e li ho dato il comando di Fix per l'mbr. Da Start-Esegui non avevo il tempo di capire cosa stesse facendo, la finestra compariva e svaniva all'istante.. Ultima modifica di TheCount : 06-10-2008 alle 12:46.

06-10-2008, 14:30	#795
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	procedi con la scansione completa di cureit __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

30-09-2008, 23:13	#782
astro80 Senior Member Iscritto dal: Dec 2006 Città: roma Messaggi: 1675	hijackthis2.log eccolo

30-09-2008, 23:22	#784
astro80 Senior Member Iscritto dal: Dec 2006 Città: roma Messaggi: 1675	hijackthis.log eccolo,sembra sparito.

06-10-2008, 13:12	#792
TheCount Junior Member Iscritto dal: Oct 2008 Messaggi: 11	Questi sono i log seguendo le istruzioni alla lettera. Prevx http://www.fileqube.com/shared/DMhWel126051 Gmer http://www.fileqube.com/shared/Fkgrti126052 MBR1 http://www.fileqube.com/shared/aIvBuX126054 MBR2 http://www.fileqube.com/shared/yClaeRB126055 MBR3 http://www.fileqube.com/shared/dQmeq126057

06-10-2008, 14:20	#794
TheCount Junior Member Iscritto dal: Oct 2008 Messaggi: 11	Adesso qualcosa è cambiato, Prevx non mi trova nulla ma mbr.exe mi da il solito log. Norman_tool_log http://www.fileqube.com/shared/LWDOiN126101 Prevx log http://www.fileqube.com/shared/Slpcc126105 MBR3 http://www.fileqube.com/shared/bDVyA126106

06-10-2008, 19:31	#796
TheCount Junior Member Iscritto dal: Oct 2008 Messaggi: 11	A quanto pare nemmeno Cureit ha trovato traccia del Rootkit.MBR. allego il log di Cureit http://www.fileqube.com/shared/jNmNYh126381 Cmq se faccio una scansione con Gmer, l'infezzione c'è ancora.. Gmer log http://www.fileqube.com/shared/jhMNZpgdR126382

06-10-2008, 20:45	#798
TheCount Junior Member Iscritto dal: Oct 2008 Messaggi: 11	Si ho già provato, ma non ho risolto.. Percaso se copiassi i settori con l'MBR originale e quello col Rootkit potrebbe essere utile? Personalmente non ho la minima idea di come fare a leggerli o manipolarli, magari qualcuno lo sa fare.. P.S: Grazie a tutti per l'aiuto che state offrendo

Strumenti
Mostra una versione stampabile Invia questa pagina per email