Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[wjmat]

Quote:

Originariamente inviato da asd12

ma se prima non lo avviava potrebbe essere stato avviato dal virus

ho aggiunto il log di antivir

antivir non è configurato come da guida che trovi in firma
se vuoi verificare la presenza di mbr rootkit devi allegare i log della prima fase che trovi nel 1° post di questo 3d

[asd12]

Quote:

Originariamente inviato da wjmat

antivir non è configurato come da guida
se vuoi verificare la presenza di mbr rootkit devi allegare i log della prima fase che trovi nel 1° post di questo 3d

questo lo so ma molti di quei file della guida antivir me li da come virus

come il tool di symantec se leggi il log e mi chiedevo perchè

solo per questo l'ho aggiunto...

ecco il log di gmer ma come gia affermato so della presenza del virus ma il comando mbr.exe -f nn funziona

gmer.log.txt

[wjmat]

Quote:

Originariamente inviato da asd12

questo lo so ma molti di quei file della guida antivir me li da come virus

come il tool di symantec se leggi il log e mi chiedevo perchè

solo per questo l'ho aggiunto...

ecco il log di gmer ma come gia affermato so della presenza del virus ma il comando mbr.exe -f nn funziona

Allegato 70669

quello di gmer protebbe anche essere sporco da un infezione passata, carica anche quello di prevx

[asd12]

il log di prevx è troppo grande da caricare

[Chill-Out]

Quote:

Originariamente inviato da asd12

il log di prevx è troppo grande da caricare

Nella prima pagina delle presente Guida sono indicati i Server Remoti da utilizzare per allegare i log

[asd12]

ecco il log di prevx

prevx.log.txt

prevx1.log.txt

il secondo è il + recente

[wjmat]

Quote:

Originariamente inviato da asd12

ecco il log di prevx

prevx.log.txt

prevx1.log.txt

il secondo è il + recente

qui non c'è ma si vede dell'altro, se vuoi ripulire per bene il pc apri qui una discussione, spieghi brevemente il problema e poi segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio), e secondo le regole di sezione

[Wild Bull]

...ci risiamo
non si avvia NOD32 ...
questo è il msg che leggo...
"eset nod32ANTIVIRUS\egui.exe non è un'applicazione di WIN32 valida"
che posso fare? eseguo la scansione con PREVIXCSIFREE.IT?...
poi posso postare il log?
GRAZIE

[Chill-Out]

Quote:

Originariamente inviato da Wild Bull

...ci risiamo
non si avvia NOD32 ...
questo è il msg che leggo...
"eset nod32ANTIVIRUS\egui.exe non è un'applicazione di WIN32 valida"
che posso fare? eseguo la scansione con PREVIXCSIFREE.IT?...
poi posso postare il log?
GRAZIE

La Guida da seguire è la seguente

http://www.hwupgrade.it/forum/showthread.php?t=1933977

[Wild Bull]

grazie!

[daveaie]

salve a tutti, ho trovato il rootkit su di un pc.

questo è il log di gmer: http://www.fileqube.com/file/KMACFWG201085
ancora non ha finito di scansionare tutto il disco, ma l'erroe del mbr già è stato segnalato.

Prevx 3.0 non sono riuscito ad istallarlo, il messaggio diceva per colpa di un virus.

ho controllato il pc perchè dava una schermata blu all'avvio di cui non si capiva bene il codice (0x000000D1) e dopo aver fatto un po di tentativi è ripartito (purtroppo in tarda sera non mi sono reso conto di quale operazione abbia funzionato, credo lo smontaggio della ram, ma poi ripristinata la configurazione originale non ha dato cmq il problema). può centrare qualcosa con il rootkit?

posso procedere con la fase 2?

ultima cosa, il virus (credo) ha disabilitato le tryicon di avg e sygate, mentre i processi sono attivi, centra sempre con il rootkit?

ho installato nod32 mi riconosce il virus, ma non può eliminarlo per problemi di permessi credo.

ultimissima cosa, procedo con la fase 2 ossia mbr.exe, visto che non riesco a scaricare fixmeboot oppure posso provare con fixmbr da console di ripristino? (ho visto che se ne è parlato, ma non ho capito se funziona o meno)

grazie in anticipo
davide

PS: configurazione: windows XP pro sp3 su celeron 1,8Mhz, asrock p4i65g, 2x256 ddr, radeon 9200 pro

[wjmat]

Quote:

Originariamente inviato da daveaie

salve a tutti, ho trovato il rootkit su di un pc.

questo è il log di gmer: http://www.fileqube.com/file/KMACFWG201085
ancora non ha finito di scansionare tutto il disco, ma l'erroe del mbr già è stato segnalato.

Prevx 3.0 non sono riuscito ad istallarlo, il messaggio diceva per colpa di un virus.

ho controllato il pc perchè dava una schermata blu all'avvio di cui non si capiva bene il codice (0x000000D1) e dopo aver fatto un po di tentativi è ripartito (purtroppo in tarda sera non mi sono reso conto di quale operazione abbia funzionato, credo lo smontaggio della ram, ma poi ripristinata la configurazione originale non ha dato cmq il problema). può centrare qualcosa con il rootkit?

posso procedere con la fase 2?

ultima cosa, il virus (credo) ha disabilitato le tryicon di avg e sygate, mentre i processi sono attivi, centra sempre con il rootkit?

ho installato nod32 mi riconosce il virus, ma non può eliminarlo per problemi di permessi credo.

ultimissima cosa, procedo con la fase 2 ossia mbr.exe, visto che non riesco a scaricare fixmeboot oppure posso provare con fixmbr da console di ripristino? (ho visto che se ne è parlato, ma non ho capito se funziona o meno)

grazie in anticipo
davide

PS: configurazione: windows XP pro sp3 su celeron 1,8Mhz, asrock p4i65g, 2x256 ddr, radeon 9200 pro

ciao

procedi pure

[daveaie]

tutto andato secondo i piani...

log in modalità provvisoria: http://www.fileqube.com/file/qLTFoiHyu201399
log dopo il riavvio: http://www.fileqube.com/file/tnsFiYHRm201401

ma nod32 mi restitisce sempre la segnalazione del virus sul primo settore del disco...
e avg e sygate pur essendo presenti sul disco non sono presenti tra i programmi disinstallabili ne li avvia correttamente.

come si fa? formatto cmq?

[wjmat]

Quote:

Originariamente inviato da daveaie

tutto andato secondo i piani...

log in modalità provvisoria: http://www.fileqube.com/file/qLTFoiHyu201399
log dopo il riavvio: http://www.fileqube.com/file/tnsFiYHRm201401

ma nod32 mi restitisce sempre la segnalazione del virus sul primo settore del disco...
e avg e sygate pur essendo presenti sul disco non sono presenti tra i programmi disinstallabili ne li avvia correttamente.

come si fa? formatto cmq?

passa alla 3°fase

[daveaie]

ah mi ero perso qualcosa...

nel frattempo ho fatto la scansione con nod e ha trovato circa 30000 file infetti quasi tutti in C:\WIN\Font\'\
cartella alquanto particolare
ecco il log di dr.web: http://www.fileqube.com/file/YkMfxFtd201465

che mi ha fatto nel frattempo riavviare per eliminare i file infetti.

ora vedrò di fare la scansione completa, poichè prima ha fatto solo quella express senza darmi la possibilità di scegliere.

grazie
davide

[wjmat]

Quote:

Originariamente inviato da daveaie

ah mi ero perso qualcosa...

nel frattempo ho fatto la scansione con nod e ha trovato circa 30000 file infetti quasi tutti in C:\WIN\Font\'\
cartella alquanto particolare
ecco il log di dr.web: http://www.fileqube.com/file/YkMfxFtd201465

che mi ha fatto nel frattempo riavviare per eliminare i file infetti.

ora vedrò di fare la scansione completa, poichè prima ha fatto solo quella express senza darmi la possibilità di scegliere.

grazie
davide

manca il pezzo finele del log, prova a rifiltrarlo

poi apri un nuovo 3d perchè questo problema non è più inerente a MBR

[daveaie]

eccolo: http://www.fileqube.com/file/ZGJxZw201556

nuovo log della seconda passata con ricerca completa dei virus altri 8 eliminati, nod non segnala più niente.

per quanto riguarda l'altro problema (avg e sygate senza try icon) volevo solo sapere se è inerente al rootkit, cioè se è colpa sua, altrimenti mi attrezzo per cercare il problema.

grazie dell'aiuto.
davide

modifica: se i riferivi al discorso della cartella apice, ne ho epurato il pc e sinceramente non me ne frega molto del perchè, ma fatto stà che era piena di virus!!

[notturnale]

Salve ragazzi, per l'ennesima volta sono infetto...
Ho letto la guida, ma non mi sono chiari tutti i passaggi... o meglio, la guida è chiara ma non so se va bene per la mia situazione.
Ho un pc con dual boot winxp e ubuntu, xp su C: e ubuntu su D:
Con questa procedura non rischio di recare danni al bootloader grub?

Intanto allego i primi due log delle scansioni

Prevx: http://www.fileqube.com/file/dNtFIwoCf203155
Gmer: http://www.fileqube.com/file/KjYGDrbi203156

Grazie in anticipo.

[Chill-Out]

Quote:

Originariamente inviato da notturnale

Salve ragazzi, per l'ennesima volta sono infetto...
Ho letto la guida, ma non mi sono chiari tutti i passaggi... o meglio, la guida è chiara ma non so se va bene per la mia situazione.
Ho un pc con dual boot winxp e ubuntu, xp su C: e ubuntu su D:
Con questa procedura non rischio di recare danni al bootloader grub?

Intanto allego i primi due log delle scansioni

Prevx: http://www.fileqube.com/file/dNtFIwoCf203155
Gmer: http://www.fileqube.com/file/KjYGDrbi203156

Grazie in anticipo.

Ciao, dimmmi se Grub ti da questa segnalazione:

ChipAwayVirus...etc.....

[notturnale]

ciao, grazie mille per la risp!
scusa la mia ignoranza... come faccio a vederlo?!
nella schermata con la lista degli OS non ho notato nulla di diverso...