Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Insidetheeyes]

http://www.fileqube.com/file/ECjxwX137574

eccoti il log del nod 32 con la scansione fatta sull'hd esterno che ti dicevo...

[Chill-Out]

Come ipotizzavo la rilevazione è sull'Hd esterno potrebbe essere un falso positivo Nod non è nuovo a questo problema, non sò cosa c'è su quell'HD potresti salvare ciò che ti necessita e formattarlo, l'utility per la trovi sul sito del produttore del'HD

[Insidetheeyes]

falso positivo...speriamo...
quello cmq è un hard-disk magazzino con film installazioni e roba varia.. quindi sposto tutto e formatto...
mi consigli una formattazione a bassa dnsità?
Grazie ancora!!!!

[Chill-Out]

Quote:

Originariamente inviato da Insidetheeyes

falso positivo...speriamo...
quello cmq è un hard-disk magazzino con film installazioni e roba varia.. quindi sposto tutto e formatto...
mi consigli una formattazione a bassa dnsità?
Grazie ancora!!!!

Si come detto sopra trovi l'utility sul sito del produttore

[Insidetheeyes]

grazie mille chill-out! se continuano le segnalazioni ti farò sapere...nel frattempo cambio anche antivirus e metto avira...

[Insidetheeyes]

un ultima domanda....spostando i file contenuti nell'hd posso infettarne altri? xkè se poi rimetto tutto dentro dopo aver formattato magari mi ritrovo punto e a capo...
be patient

[Chill-Out]

Quote:

Originariamente inviato da Insidetheeyes

un ultima domanda....spostando i file contenuti nell'hd posso infettarne altri? xkè se poi rimetto tutto dentro dopo aver formattato magari mi ritrovo punto e a capo...
be patient

Presumo che l'HD sia stato controllato col Nod e con altri eventuali software di sicurezza

[bonjo75]

Slave a tutti.
Ho un problema:
stavo cercando di disinfestarmi seguendo la guida e stava andando tutto ok, visto che avevo 2 rootkit nei due device hdd0 e hdd1.
La mia configurazione comprende un C: (che è un raid0) un E: (un eide) un F: (un sata).
Credo che durante la rimozione sia partito l'MBR ed adesso non riesco + a vedere F:
Ho provato con la console di ripristino ma non capisco se una volta sotto dos devo fare il fixmbr sotto F o sotto C?
C dove risiede l'OS funziona benissimo (è in raid0).
Ovviamente da gestione dei dischi logici l'HD compare come non allocato.
Posso recuperare i milioni di Gb di roba che mi serve lì dentro, vero?!

[Chill-Out]

Il comando è il seguente:

fixmbr \device\harddrive0

da ripetere per il numero degli HD, esempio:

fixmbr \device\harddrive1
fixmbr \device\harddrive2

[bonjo75]

Quote:

Originariamente inviato da Chill-Out

Il comando è il seguente:

fixmbr \device\harddrive0

da ripetere per il numero degli HD, esempio:

fixmbr \device\harddrive1
fixmbr \device\harddrive2

comando sotto console di ripristino ovviamente? ora provo, poi ti faccio sapere
thx

[bonjo75]

nada...
mi da conferma di sovrascrivere il record solo col comando fixmbr.
Se scrivo fixmbr\device\ecc + invio va a capo come nulla fosse. cmq l'ho fatto lo stesso riavvio e nada, sto f: è sparito.
Se da gestione dischi faccio la partizione dello spazio non allocato perdo i dischi, vero?

[Chill-Out]

Prova così fixmbr \device\harddisk0

[bonjo75]

Quote:

Originariamente inviato da Chill-Out

Prova così fixmbr \device\harddisk0

se è per lo spazio ho già provato scrivendo correttamente fixmbr \device\harddisk0
nada

[Chill-Out]

Quote:

Originariamente inviato da bonjo75

se è per lo spazio ho già provato scrivendo correttamente fixmbr \device\harddisk0
nada

non per lo spazio la dicitura è diversa

[bonjo75]

Risolto il problema.
Dopo la cura con cureit, si è riavviato il pc.
Al riavvio non era più presente uno dei miei hd infettati dal rootkit non quello di sistema ma quello di storage.
con testdisk http://www.cgsecurity.org/wiki/TestDisk ho subito notato che l'hd in questione presentava 255 heads per cylinder (valore assurdo), ne ho ripristinato il valore a 16 e reso "logico".
reboot e voilà.
tutti i file al loro posto

Posto l'esperienza sperando serva a qualcuno.

[rinandy]

Avevo dei problemi con un computer tipo lentezza e problemi vari pensavo di avere l'hard disk danneggiato allora l'ho formattato e ho ristallato windows per scrupolo volevo fare un'ultima scansione con ultimate boot per windws e lì ni dice All'accensione del PC,precisamente durante il booting, si è riscontrato il seguente problema

"Trend ChipAwayVirus has detected a boot virus on your hard disk. Press <Enter> for more information (recommended) <C> to continue booting
Ora mi rirtrovo nella seguente condizione ho spianato i 2 hard disk con il programma di ubwin4 nuke ma al riavvio mi segnala sempre il virus . Volevo chiedere devo per forza reistallare windows per togliere il virus o c'è un altro metodo con dos per esempio ?? inoltre se avvio ubwin 4 mi fa entrare in una pagina dove c'è un antivirus antivir peso si chiami se aggirno quello e faccio una scansione riesco a debellare il male ??
Grazie in anticipo per le risposte e saluti a tutti

[Chill-Out]

Quote:

Originariamente inviato da rinandy

Avevo dei problemi con un computer tipo lentezza e problemi vari pensavo di avere l'hard disk danneggiato allora l'ho formattato e ho ristallato windows per scrupolo volevo fare un'ultima scansione con ultimate boot per windws e lì ni dice All'accensione del PC,precisamente durante il booting, si è riscontrato il seguente problema

"Trend ChipAwayVirus has detected a boot virus on your hard disk. Press <Enter> for more information (recommended) <C> to continue booting
Ora mi rirtrovo nella seguente condizione ho spianato i 2 hard disk con il programma di ubwin4 nuke ma al riavvio mi segnala sempre il virus . Volevo chiedere devo per forza reistallare windows per togliere il virus o c'è un altro metodo con dos per esempio ?? inoltre se avvio ubwin 4 mi fa entrare in una pagina dove c'è un antivirus antivir peso si chiami se aggirno quello e faccio una scansione riesco a debellare il male ??
Grazie in anticipo per le risposte e saluti a tutti

Scarica Stealth MBR rootkit detector -> http://www2.gmer.net/mbr/mbr.exe

mettilo direttamente nella Directory C:\

da DOS digita CD \ e premi invio

ora dovresti vedere C:\> a questo punto digita mbr -f e premi invio

digita exit per uscire

[rinandy]

grazie per il suggerimento ma ho eseguito il programma in dos e poi ho riprovato la scansione con ultimate boot ma niente il problema persiste allora ho istallato xp e ho eseguito uno scan con gmer che mi ha dato il seguente log. GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-10-28 10:04:48
Windows 5.1.2600 Service Pack 1


---- Kernel code sections - GMER 1.0.14 ----

.text ntoskrnl.exe!KeInitializeInterrupt + B67 804DA23C 1 Byte [ 06 ]

---- EOF - GMER 1.0.14 ----
penso non si tratti di rootkit che fare ora???
Grazie in anticipo

[Chill-Out]

Quote:

Originariamente inviato da rinandy

grazie per il suggerimento ma ho eseguito il programma in dos e poi ho riprovato la scansione con ultimate boot ma niente il problema persiste allora ho istallato xp e ho eseguito uno scan con gmer che mi ha dato il seguente log. GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-10-28 10:04:48
Windows 5.1.2600 Service Pack 1


---- Kernel code sections - GMER 1.0.14 ----

.text ntoskrnl.exe!KeInitializeInterrupt + B67 804DA23C 1 Byte [ 06 ]

---- EOF - GMER 1.0.14 ----
penso non si tratti di rootkit che fare ora???
Grazie in anticipo

Allega un log completo di Gmer secondo le modalità indicate in prima pagina, thx.

[rinandy]

prevx dopo la scansione non ha rilevato nulla.
gmer ecco l'allegato scusa ma prima non riuscivo a farlo