Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[wjmat]

Quote:

Originariamente inviato da bomboloxxx

provato anche con cureit...nada, solo prevx vede il rootkit

carica il log di cureit

[bomboloxxx]

http://www.fileqube.com/shared/OfPhhdUV133828

eccolo

[bomboloxxx]

ragazzi sto sclerando!!!
dunque inizialmente oggi mi era comparso il rootkit nell'mbr,dopo aver fatto un pò di scansioni mi è comparso su prevx un backdoor,precisamente in
c:\windows\system32\MSWINSCK.ocx
provo a disinstallare prevx,reinstallo,riscansiono più volte usando anche tutti i programmi che m avete consigliato finchè il backdoor nn compare più ma resta il rootkit...
ora non c'è più il rootkit ma è ricomparso il backdoor...direi "eccheccààà"
insomma qlcn sa che sta succedendo?

[wjmat]

Quote:

Originariamente inviato da bomboloxxx

ragazzi sto sclerando!!!
dunque inizialmente oggi mi era comparso il rootkit nell'mbr,dopo aver fatto un pò di scansioni mi è comparso su prevx un backdoor,precisamente in
c:\windows\system32\MSWINSCK.ocx
provo a disinstallare prevx,reinstallo,riscansiono più volte usando anche tutti i programmi che m avete consigliato finchè il backdoor nn compare più ma resta il rootkit...
ora non c'è più il rootkit ma è ricomparso il backdoor...direi "eccheccààà"
insomma qlcn sa che sta succedendo?

cureit riesci a caricarlo dopo averlo passato nel parser? le info nelle modalità che ho in firma

scansione completa e log di Malwarebytes' Anti-Malware

[bomboloxxx]

cureit nn riesco a passarlo nel parser perchè nn mi apre il file jar, ho fatto la scansione con malwarebytes ma niente, in più dopo la scansione è riapparso in prevx il rootkit

[wjmat]

Quote:

Originariamente inviato da bomboloxxx

cureit nn riesco a passarlo nel parser perchè nn mi apre il file jar, ho fatto la scansione con malwarebytes ma niente, in più dopo la scansione è riapparso in prevx il rootkit

log di cureit
http://www.hwupgrade.helloweb.eu/Par...3685078645.txt

carica il log di malwarebytes

[bomboloxxx]

eccolo

[wjmat]

Quote:

Originariamente inviato da bomboloxxx

eccolo

con cureit hai fatto scansione completa?

fai una scansione completa con F-Secure online oppure Kaspersky removal tool e carica il log
vediamo se trovano il backdoor altrimenti lo facciamo fuori a mano

[bomboloxxx]

si con cureit ho fatto scansione compl, adesso vado di Kaspersky

[Chill-Out]

Quote:

Originariamente inviato da bomboloxxx

si con cureit ho fatto scansione compl, adesso vado di Kaspersky

Allega il log, per qunato riguarda il file segnalato da Prevx di per sè non è maligno ma è indice di un infezione pregressa

[Enn]

Ciao. Penso di essere nel posto giusto.
Avviando il computer mi si presenta prima del'avvio di windows una schermata gialla e nera in cui "Trend ChipAwayVirus" mi informa di avere un boot virus. Mi sono informato e sono finito qui.

Ho cominciato a seguira la vostra fase uno, e già al primo avvio di gmer la scansione rapida individua rootkit, righe segnate di rosso (il log dovrebbe essere questo: http://www.fileqube.com/shared/BSmhcw136289)

Non ho analizzato con altri programmi, mi sembra già allarmante così. Cosa faccio? passo alla fase due?
Grazie.

[wjmat]

Quote:

Originariamente inviato da Enn

Ciao. Penso di essere nel posto giusto.
Avviando il computer mi si presenta prima del'avvio di windows una schermata gialla e nera in cui "Trend ChipAwayVirus" mi informa di avere un boot virus. Mi sono informato e sono finito qui.

Ho cominciato a seguira la vostra fase uno, e già al primo avvio di gmer la scansione rapida individua rootkit, righe segnate di rosso (il log dovrebbe essere questo: http://www.fileqube.com/shared/BSmhcw136289)

Non ho analizzato con altri programmi, mi sembra già allarmante così. Cosa faccio? passo alla fase due?
Grazie.

ciao
fai prima lo scan con prevx

[Enn]

Ciao.
Ho scaricato e avviato prevx: ha segnalato un worm. Ho disinstallato il programma incriminato e ho fatto un'altra scansione: stavolta invece ha trovato un rootkit (alla seconda scansione, ma non alla prima).

Non ho capito come si fa a salvare un log... ma ho ricopiato manualmente sul blocco note la schermata col risultato della scansione: http://www.fileqube.com/shared/jRZAOSmR136396

Grazie dell'interessamento

[wjmat]

Quote:

Originariamente inviato da Enn

Ciao.
Ho scaricato e avviato prevx: ha segnalato un worm. Ho disinstallato il programma incriminato e ho fatto un'altra scansione: stavolta invece ha trovato un rootkit (alla seconda scansione, ma non alla prima).

Non ho capito come si fa a salvare un log... ma ho ricopiato manualmente sul blocco note la schermata col risultato della scansione: http://www.fileqube.com/shared/jRZAOSmR136396

Grazie dell'interessamento

bastava leggere la mia firma e trovavi le info che ti servivano

passa alla fase 2

[Insidetheeyes]

Ciao a tutti, sono nuovo del forum quindi vi chiedo innanzitutto mooooooooooooooooooooolta pazienza. Per venire incontro ai vostri nervi ho letto le varie fasi e devo subito dirvi che ho avuto qualche problema forse dovuto al SO: sto usando l'XP 64 edition.
Diciamo subito che anche io con NOD32 ricevo il simpatico
"il settore MBR di 2. Disco fisico contiene cavallo di troia Win32/Mebroot.K."
"il settore MBR di 3. Disco fisico contiene cavallo di troia Win32/Mebroot.K."

Fase preliminare: fatta.

Fase prima: Prevx CSI non va ma Gmer si, ecco il log

gmer

Codice:

http://www.fileqube.com/file/niUyWMDPq137507

Fase seconda: Stealth MBR rootkit detector nn mi parte ne in modalità provvisoria ne in mod normale!
Symantec Trojan.Mebroot Removal Tool va ma penso che nn abbia avuto effetto, ecco il log

fix mebroot

Codice:

http://www.fileqube.com/file/hjhaJM137506

Vi prego aiutatemi sono sull'orlo di una crisi di nervi! Graaaaaaaaaaaaaaaaaazie!



P.S. ho letto da qualche parte che questo programma bastava x rimediare a tutti i miei mali, ma a quanto pare anch'egli è stato inutile, allego cmq il log...

norman sinowal MBR cleaner

Codice:

http://www.fileqube.com/file/ewKrUyAl137505

[Chill-Out]

Ciao e benvenuto, potresti allegare il log del Nod32

NB: non mettere il link al download all'interno del Tag Quote, grazie.

[Insidetheeyes]

intanto grazie mille chill-out,
ti allego subito il log di nod 32!
http://www.fileqube.com/file/LyOQyCuB137572
scusami x aver usato il tag x quotare ma nn sono ancora pratico di forum...spero di azzeccarci adesso...

[Insidetheeyes]

riprovo ad allegare...
http://www.fileqube.com/file/LyOQyCuB137572
sorry!

[Chill-Out]

Quote:

Originariamente inviato da Insidetheeyes

riprovo ad allegare...
http://www.fileqube.com/file/LyOQyCuB137572
sorry!

Devi semplicemente copiare il link nel post null'altro

Dal log del Nod32 non capisco dove rileva il Win32/Mebroot.K hai percaso collegato al PC uno o più supporti removibili USB (Hd esterni) ?

[Insidetheeyes]

si, a dire il vero ho un hd esterno della WD da 500gb.
Di quelli che si avviano all'avvio del pc per intenderci, e mi ha dato problemi in passato: nod32 mi trovava dei virus (nn ricordo di che tipo cmq erano cartelle che comparivano con nomi lunghissimi) ma ora questo sembrava risolto...dici che l'infezione nn è su C? adesso provo a fare la scansione dell'HD esterno con Nod32 e te la allego nel prossimo post.
Grazie ancora!!!