Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da Steve-O81

D:\ è un altro harddisk, mentre E:\ è una partizione di C:\, dove è installato il sistema operativo


ecco il nuovo log di gmer

Il log è vuoto File size: 0 B

[Steve-O81]

sorry, inizia a farsi sentire il sonno.....

eccolo

[Chill-Out]

Quote:

Originariamente inviato da Steve-O81

sorry, inizia a farsi sentire il sonno.....

eccolo

Log pulito, ultima verifica scansione col Nod e fammi sapere se stampa ancora questo errore

Quote:

"Si è verificato un errore durante il controllo del settore MBR di 3.Disco fisico. Errore nella lettura del settore"

Notte

[Steve-O81]

del mebroot per quello che vedo anche io nessuna traccia, ma nod mi da ancora quell'errore

[Chill-Out]

Quote:

Originariamente inviato da Steve-O81

del mebroot per quello che vedo anche io nessuna traccia, ma nod mi da ancora quell'errore

Si i log come detto sopra sono puliti, ma D:\ è un'hdd removibile ?

[Steve-O81]

no è dentro il case, messo a slave
ah l'unica particolarita è che l'ho attaccato al posto di un lettore cd, visto che la mia nuova scheda madre ha attacchi sata soltanto per gli hdd

[Chill-Out]

Quote:

Originariamente inviato da Steve-O81

no è dentro il case, messo a slave
ah l'unica particolarita è che l'ho attaccato al posto di un lettore cd, visto che la mia nuova scheda madre ha attacchi sata soltanto per gli hdd

A questo punto si tratta di capire in ordine di tempo quando ha cominciato a darti questa seglazione, comunque il problema dovrebbe essere relativo a:

- sul tuo Pc c'è una partizione nascosta per il Recovery del Pc
- non sei loggato come amministratore
- hai un lettore di Card al momento non inserito

[Steve-O81]

la segnalazione ha cominciato a darla dopo che ho estratto sul pc un exe prelevato dal portatile di mio fratello, al quale nod non ha mai riscontrato problemi; pero a me per primo l'ha rilevato norton.

premetto che ho pero ahime navigato una mezzoretta senza protezione, subito dopo aver formattato!

per quanto riguarda il lettore di memory card....sono tutti esterni, l'unico collegato al momento è quello della stampante(hp 3180), solitamente ci attacco degli adattatori....

partizioni per il recovery non credo che ce ne siano, visto che non so nemmeno cosa siano

si, sono loggato come amministratore.

[Steve-O81]

Quote:

Originariamente inviato da Steve-O81

la segnalazione ha cominciato a darla dopo che ho estratto sul pc un exe prelevato dal portatile di mio fratello, al quale nod non ha mai riscontrato problemi; pero a me per primo l'ha rilevato norton.

premetto che ho pero ahime navigato una mezzoretta senza protezione, subito dopo aver formattato!

per quanto riguarda il lettore di memory card....sono tutti esterni, l'unico collegato al momento è quello della stampante(hp 3180), solitamente ci attacco degli adattatori....

partizioni per il recovery non credo che ce ne siano, visto che non so nemmeno cosa siano

si, sono loggato come amministratore.

a questo punto? sto apposto cosi?

[Chill-Out]

Quote:

Originariamente inviato da Steve-O81

a questo punto? sto apposto cosi?

Il problema del MBR Rootkit è risolto, per quanto concerne la segnalazione del Nod ti ho indicato le possibili cause

[frà!]

Salve,dopo aver consultato il thread sulla disinfezione il pc si è ripreso.
Ma avira mi ha avvertito di un file da system restore che è infetto 2 volte.
Ho dsabilitato il ripristino di sistema e ora faccio scansione con super anti spyware.Un grazie a tutti dell'ottimo lavoro che fate tutti i giorni!

[bixio73]

Ho fatto un controllo dopo che un utente mi ha segnalato questa guida: dunque con prevx non ho trovato nessuna infezione,lo stato era pulito
Ho fatto anche la scansione con gmer. a tal proposito posto un immagine del file di log relativa all'ultima voce

Vorrei un parere.
Aggiungo che personalmente non rilevo problemi di riavvi o cose strane

[Chill-Out]

Quote:

Originariamente inviato da bixio73

Ho fatto un controllo dopo che un utente mi ha segnalato questa guida: dunque con prevx non ho trovato nessuna infezione,lo stato era pulito
Ho fatto anche la scansione con gmer. a tal proposito posto un immagine del file di log relativa all'ultima voce

Vorrei un parere.
Aggiungo che personalmente non rilevo problemi di riavvi o cose strane

Per cortesia allega il log, le istruzione sono nella prima pagina della presente Guida.

[wjmat]

Quote:

Originariamente inviato da bixio73

Ho fatto un controllo dopo che un utente mi ha segnalato questa guida: dunque con prevx non ho trovato nessuna infezione,lo stato era pulito
Ho fatto anche la scansione con gmer. a tal proposito posto un immagine del file di log relativa all'ultima voce

Vorrei un parere.
Aggiungo che personalmente non rilevo problemi di riavvi o cose strane

ciao

il log in formato testuale, secondo le modalità, grazie

anche ad infezione debellata il log di gmer rimarrà "sporco"

[bixio73]

Non riesco ad allegare nel post i due file di log,eppure sono in txt!?
cosa posso fare?

[wjmat]

Quote:

Originariamente inviato da bixio73

Non riesco ad allegare nel post i due file di log,eppure sono in txt!?
cosa posso fare?

modalità in firma

[Chill-Out]

Quote:

Originariamente inviato da bixio73

Non riesco ad allegare nel post i due file di log,eppure sono in txt!?
cosa posso fare?

Quote:

Originariamente inviato da wjmat

modalità in firma

Le modalità sono nelle Regole di sezione

[bixio73]

Vediamo se così va bene

Log prevx
http://www.fileqube.com/file/QQMEXnyQq171295

Log gmer
http://www.fileqube.com/file/xrmpbDbp171296

[BioShock3|)]

Salve a tutti,

seguendo la guida ho scansionato il pc con PrevxCSI. Tutto OK. Anche per KIS2009 e Malwarebytes tutto a posto (scansione completa + rootkit).

Provando con Gmer, mi segnala nei settori dall'1 al 63 'Copy of MBR' oppure Malicious code at _ _ _ etc etc più altri file con nomi tipo a7tcer14.SYS o a2zxgypf.SYS.

Sto diventando parecchio paranoico. Forse anche senza motivo dato che di Kaspersky mi fido e non mi segnala nulla.. Dovrei passare al punto 2 della guida? Cioè utilizzare mbr.exe? Grazie mille a tutti per ogni eventuale risposta.

Comunque il log in modalità provvisoria ne segna parecchi dal settore 1 al settore 63. Copy of MBR: rootkit-like behaviour. Penso siano residui di una infenzione al MBR trovata mesi fa da Kaspersky e "risolta" da MBRFIX.

LINK GMER LOG

LINK PREVX LOG

Ricapitolando, programmi provati:

1) Kaspersky Internet Security 2009 (Aggiornato)

2) Malwarebytes Anti-Malware (Aggiornato)

3) PrevXCSI

4) Gmer

5) HijackThis

---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---.---

PS: 2 giorni, il pc non rispondeva. Freeze e riavvio forzato. Al riavvio log di DrWatson. Ecco le prime righe:

Exception dell'applicazione:
App: C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st.exe (pid=3740)
Ora: 01/02/2009 @ 20:54:10.359
Numero exception: c0000005 (access violation)

*----> System Information <----*
Nome computer:
Nome utente: ŸŸ
Id sessione terminal: 0
Numero processori: 1
Versione di Windows: 5.1

*----> Elenco Task <----*
0 System Process
4 System
1724 smss.exe
1852 csrss.exe
1876 winlogon.exe
1944 services.exe
1956 lsass.exe
280 svchost.exe
324 svchost.exe
628 svchost.exe
660 svchost.exe
772 svchost.exe
572 srvany.exe
656 nTuneService.exe
716 WanMiniport1st_srv.exe
988 IoctlSvc.exe
3360 alg.exe
3968 logonui.exe
3740 WanMiniport1st.exe
1536 drwtsn32.exe

Domanda 1: Perchè non c'è il mio nome utente ma simboli strani?

Domanda 2: Perchè WanMiniport1st.exe è diventato WanMiniport1st_srv.exe (che tra l'altro è collocato nella medesima cartella e rimanda allo stesso file, cioè WanMiniport1st.exe)???

Scusate la paranoia e grazie ancora per ogni eventuale risposta.

[Chill-Out]

@BioShock3|)

Quote:

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x98a412b size 0x1c8
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

sei ok è corretta la tua interpretazione, per il resto perdonami ma qui siamo OT