Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da Wild Bull

Carissimo e preziosissimo wjmat
HO RISOLTO!

Grazie per la disponibilità e la professonalità.
...aspetto ora solo il responso e (gli eventuali) consigli da Chill-Out

questa community, almeno per me, si riconferma come la più qualificata e la più attiva in assoluto.

Le cose semplici come vedi non ci piacciono, allega un log di Gmer e dimmi come si comprta il Nod

[Wild Bull]

il nod è in scansione su tutti i dischi ...ci vorranno un 4 ore almeno

log Gmer

[Chill-Out]

Quote:

Originariamente inviato da Wild Bull

il nod è in scansione su tutti i dischi ...ci vorranno un 4 ore almeno

log Gmer

Il log di Gmer adesso è OK, attendiamo il responso del Nod per scrupolo

[Wild Bull]

aiuto...
...ma non si finisce mai
il prevxcsi, che si è avviato da solo suppongo, mi segnala come infezione il file gmer.exe
è un falso positivo o mi devo preoccupare?
questo prevxcsi mi conviene disinstallarlo?
GRAZIE

[Chill-Out]

Quote:

Originariamente inviato da Wild Bull

aiuto...
...ma non si finisce mai
il prevxcsi, che si è avviato da solo suppongo, mi segnala come infezione il file gmer.exe
è un falso positivo o mi devo preoccupare?
questo prevxcsi mi conviene disinstallarlo?
GRAZIE

Ti suggerisco di non disinstallarlo ed utilizzarlo ogni tanto per fare scansioni di controllo, tasto dx del mouse e segnala come Falso Positivo

[Wild Bull]

Well

[Wild Bull]

Sembrerebbe tutto OK.
grazie A TUTTI.
un ringraziamento particolare, ovviamente a Chill-Out e wjmat

[Chill-Out]

Quote:

Originariamente inviato da Wild Bull

Sembrerebbe tutto OK.
grazie A TUTTI.
un ringraziamento particolare, ovviamente a Chill-Out e wjmat

Perfetto, ciao

[wjmat]

Quote:

Originariamente inviato da Wild Bull

Sembrerebbe tutto OK.
grazie A TUTTI.
un ringraziamento particolare, ovviamente a Chill-Out e wjmat

di nulla

ciao

[Sergei]

una piccola domanda. Quando do il comando: mbr -f (sia in modalità normale che provvisoria) non fixa niente. Ottengo sempre:

Codice:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
malicious code @ sector 0x1d1c06c0 size 0x1a9 !
copy of MBR has been found in sector 62 !

Sbaglio qualcosa?

[wjmat]

Quote:

Originariamente inviato da Sergei

una piccola domanda. Quando do il comando: mbr -f (sia in modalità normale che provvisoria) non fixa niente. Ottengo sempre:

Codice:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
malicious code @ sector 0x1d1c06c0 size 0x1a9 !
copy of MBR has been found in sector 62 !

Sbaglio qualcosa?

ciao

carica anche i log della fase 1

[Sergei]

Non so se vanno bene come log. Ho seguito la guida ma gmer dopo più di 3 ore continuova a scansionare

Ma Prevx CSI non è free, è shareware? Il suo log non lo riesco a caricare dice che è troppo pesante. Comunque mi pare abbia trovato solo falsi positivi.

Ho provato anche Dr. Web e non trova niente. Stessa cosa con Symantec Trojan.Mebroot Removal Tool

[wjmat]

Quote:

Originariamente inviato da Sergei

Non so se vanno bene come log. Ho seguito la guida ma gmer dopo più di 3 ore continuova a scansionare

Ma Prevx CSI non è free, è shareware? Il suo log non lo riesco a caricare dice che è troppo pesante. Comunque mi pare abbia trovato solo falsi positivi.

Ho provato anche Dr. Web e non trova niente. Stessa cosa con Symantec Trojan.Mebroot Removal Tool

i log pesanti secondo le regole di sezione

[Sergei]

giustissimo, m'ero dimenticato.
Eccolo:
http://www.mediafire.com/download.php?2y2j2nnmwja (Log di Prevx Csi)

[Chill-Out]

Quote:

Originariamente inviato da Sergei

giustissimo, m'ero dimenticato.
Eccolo:
http://www.mediafire.com/download.php?2y2j2nnmwja (Log di Prevx Csi)

Cortesemente non zippati

[Sergei]

colpia mia. Ero convinto che mediafire non facesse uploadare i txt. Ecco il link:
http://www.mediafire.com/download.php?mryy2zcdukm

[Chill-Out]

Quote:

Originariamente inviato da Sergei

colpia mia. Ero convinto che mediafire non facesse uploadare i txt. Ecco il link:
http://www.mediafire.com/download.php?mryy2zcdukm

Ciao segui passo questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446 ed allega i log dove appena indicato

[Sergei]

seguito tutto alla lettera e sono pulito.
L'unico problema è dato da mbr. Strano...

[Chill-Out]

Quote:

Originariamente inviato da Sergei

seguito tutto alla lettera e sono pulito.
L'unico problema è dato da mbr. Strano...

Dal log di Prevx CSI non risulti pulito, se desideri puoi allegare i log per il controllo dove indicato, per quanto concerne Gmer qualcosa ha scritto in quel settore del disco ma non risulta nessuna infezione relativa al MBR Rootkit.

[nitro980]

Ciao a tutti..
All'improvviso mi sono imbattuto in un virus tremendo che mi ha fatto formattare un paio di volte..
Il virus in questione,la prima volta,mi aveva corrotto esclusivamente tutti i file exe del pc. Dopo aver formattato la prima volta il problema si è ripresentato.
Inizialmente utilizzato avg che dopo l'installazione e la macchna pulita mi ripresentava a raffica segnalazioni di virus sui file exe...
Sono riuscito a risalire al tipo di virus win32/virut che ho poi cercato di curare con nod32 e con un paio di fix specifici
Dopo l'ennesimo formattone,tutto è sembrato apposto ma,dopo aver installato nod32 nuovamente,si è presentato il problema con il rootkit mebroot.k.
A sto punto ho seguito il post per ripulire il pc da questo rootkit e di seguito allego i log come indicato.
PRIMA FASE
prevxcsi http://wikisend.com/download/563698/logprevx.txt
log gmer http://wikisend.com/download/572208/loggmer.txt
SECONDA FASE
mbr1 http://wikisend.com/download/434472/mbr1.txt
mbr2 http://wikisend.com/download/545862/mbr2.txt
mbr3 http://wikisend.com/download/434468/mbr3.txt
FixMebroot http://wikisend.com/download/434336/FixMebroot.txt
TERZA FASE
prevxcsi http://wikisend.com/download/479274/logprevx2.txt

La cosa strana è che effettuando le operazioni della seconda fase con l'mbr.exe,pare che nn sia riuscito a correggere l'mbr.
ancor più strano però è che sia prevx che nod non mi danno più il problema.
Al mometo sto effettuando la scansione con cureit che purtroppo ha trovato ancora varie versioni di virut in uno dei 4 HD che ho nel pc.
Spero riusciate a darmi una mano.
Ciao