Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[passaratti1]

allora ragazzi ho iniziato ora :
-questo è il log di prevx 3.0 con licenza pagata :

http://www.fileqube.com/file/ihVbBGGT204498

-questo è il log di gmer(la spunta è solo su "ADS" e nn su "show all") : http://www.fileqube.com/file/tZEUTZum204499

aiutatemi
mi hanno detto ke ho un virus nell'mbr ma ho provato a formattare e altri metodi ma nulla,ho provato il tool della formattazione a basso livello della hitachi(il mio hd)ma non parte neanke quello.

[Chill-Out]

Quote:

Originariamente inviato da passaratti1

allora ragazzi ho iniziato ora :
-questo è il log di prevx 3.0 con licenza pagata :

http://www.fileqube.com/file/ihVbBGGT204498

-questo è il log di gmer(la spunta è solo su "ADS" e nn su "show all") : http://www.fileqube.com/file/tZEUTZum204499

aiutatemi
mi hanno detto ke ho un virus nell'mbr ma ho provato a formattare e altri metodi ma nulla,ho provato il tool della formattazione a basso livello della hitachi(il mio hd)ma non parte neanke quello.

Dai log non risulta nulla e dubito che Prevx 3.0 se lo lascerebbe scappare

[passaratti1]

Quote:

Originariamente inviato da Chill-Out

Dai log non risulta nulla e dubito che Prevx 3.0 se lo lascerebbe scappare

quindi nn continuo con la disinfezione ? secondo te allora xkè nod mi si ferma in una cartella in utenti ?

[Chill-Out]

Quote:

Originariamente inviato da passaratti1

quindi nn continuo con la disinfezione ? secondo te allora xkè nod mi si ferma in una cartella in utenti ?

Il problema non è inerente il MBR Rootkit, il perchè Nod si pianta non lo posso sapere, non ho info sufficienti, chiedi nel 3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=1401728

[passaratti1]

Quote:

Originariamente inviato da Chill-Out

Il problema non è inerente il MBR Rootkit, il perchè Nod si pianta non lo posso sapere, non ho info sufficienti, chiedi nel 3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=1401728

già ho kiesto e jedy mi aveva detto ke era un virus nell'mbr. quindi nn continuo ?

[Chill-Out]

Quote:

Originariamente inviato da passaratti1

già ho kiesto e jedy mi aveva detto ke era un virus nell'mbr. quindi nn continuo ?

Direi di no

[passaratti1]

Quote:

Originariamente inviato da Chill-Out

Direi di no

grazie mille per il consiglio . cmq vorrei formattare a basso livello come faccio?il tool originale dell'hitachi nn mi funziona....

[Chill-Out]

Quote:

Originariamente inviato da passaratti1

grazie mille per il consiglio . cmq vorrei formattare a basso livello come faccio?il tool originale dell'hitachi nn mi funziona....

Mi sembra esagerato formattare a basso livello per questo problema, comunque il tools distribuito dall'Hitachi è scaricabile da qui http://www.hitachigst.com/hdd/support/download.htm

Se il problema è solo ed esclusivamente il Nod io proverei a disinstallarlo correttamente, successivmanete lo sostituirei con un altro AV.

[passaratti1]

Quote:

Originariamente inviato da Chill-Out

Mi sembra esagerato formattare a basso livello per questo problema, comunque il tools distribuito dall'Hitachi è scaricabile da qui http://www.hitachigst.com/hdd/support/download.htm

Se il problema è solo ed esclusivamente il Nod io proverei a disinstallarlo correttamente, successivmanete lo sostituirei con un altro AV.

il problema è ke io l'ho scaricato da li ho fatto tutto e quando dice ke sta avviando il programma rimane fermo...

[Chill-Out]

Quote:

Originariamente inviato da passaratti1

il problema è ke io l'ho scaricato da li ho fatto tutto e quando dice ke sta avviando il programma rimane fermo...

Qui siamo OT, eventualmente la sezione corretta è la seguente http://www.hwupgrade.it/forum/forumdisplay.php?f=126, io personalmente come detto sopra percorrerei strade alternative.

[joslopi]

Ciao, sono stato ridiretto qui da Bozzato, che ha risposto al mio http://www.hwupgrade.it/forum/showthread.php?t=2011135 .
In breve, il mio Avira AntiVir Personal trova BOO/Sinowal.E nel Master boot sector HD0.
Leggendo le istruzioni qui però mi sono bloccato immediatamente, perché il virus/malware mi blocca l'accesso a Internet. Ho fatto girare l'Avira in modalità provvisoria proprio perché la connessione creata dal CD del modem D-Link non era più utilizzabile e il tool d'installazione si blocca.
In definitiva, non posso fare girare il Prevx 3.0. Posso procedere con gli altri passi, oppure c'è un metodo alternativo?
Grazie.

[wjmat]

Quote:

Originariamente inviato da joslopi

Ciao, sono stato ridiretto qui da Bozzato, che ha risposto al mio http://www.hwupgrade.it/forum/showthread.php?t=2011135 .
In breve, il mio Avira AntiVir Personal trova BOO/Sinowal.E nel Master boot sector HD0.
Leggendo le istruzioni qui però mi sono bloccato immediatamente, perché il virus/malware mi blocca l'accesso a Internet. Ho fatto girare l'Avira in modalità provvisoria proprio perché la connessione creata dal CD del modem D-Link non era più utilizzabile e il tool d'installazione si blocca.
In definitiva, non posso fare girare il Prevx 3.0. Posso procedere con gli altri passi, oppure c'è un metodo alternativo?
Grazie.

ciao

comincia a caricare il log di gmer

[Chill-Out]

Quote:

Originariamente inviato da wjmat

ciao

comincia a caricare il log di gmer

Entrambi i log Gmer e Prevx 3.0 esattamente come indicato in Guida

[joslopi]

Allego il log di Gmer.

Quote:

Originariamente inviato da Chill-Out

Entrambi i log Gmer e Prevx 3.0 esattamente come indicato in Guida

Prevx 3.0 non l'ho potuto eseguire perché il virus mi disabilita le connessioni a Internet.
Grazie in anticipo.

[Chill-Out]

Quote:

Originariamente inviato da joslopi

Allego il log di Gmer.

Prevx 3.0 non l'ho potuto eseguire perché il virus mi disabilita le connessioni a Internet.
Grazie in anticipo.

Il log mi sembra corto, spunta tutte le caselle nel pannello di destra esattamente come indicato in Guida.

NB: configura Avira Antivir come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 ripeti scansione completa ed allega il log

[joslopi]

Quote:

Originariamente inviato da Chill-Out

Il log mi sembra corto, spunta tutte le caselle nel pannello di destra esattamente come indicato in Guida.

NB: configura Avira Antivir come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 ripeti scansione completa ed allega il log

Le caselle erano tutte spuntate. Può essere che sia corto perché l'ho fatto girare in modalità provvisoria? boh?! comunque allego il log dell'esecuzione in modalità normale.

Allego anche i log delle due scansioni con Avira: la prima in modalità normale dove non viene rilevato nulla, la seconda in modalità provvisoria dove invece viene segnalato il virus (meglio chiamarlo rootkit?).

[Chill-Out]

Quote:

Originariamente inviato da joslopi

Le caselle erano tutte spuntate. Può essere che sia corto perché l'ho fatto girare in modalità provvisoria? boh?! comunque allego il log dell'esecuzione in modalità normale.

Allego anche i log delle due scansioni con Avira: la prima in modalità normale dove non viene rilevato nulla, la seconda in modalità provvisoria dove invece viene segnalato il virus (meglio chiamarlo rootkit?).

Log non compressi, grazie.

[joslopi]

gmer_log.txt
AVSCAN-20090706-103408-5B51D0A6.LOG
AVSCAN-20090706-112709-CADD9D60_SM.txt

prego

[Chill-Out]

Quote:

Originariamente inviato da joslopi

gmer_log.txt
AVSCAN-20090706-103408-5B51D0A6.LOG
AVSCAN-20090706-112709-CADD9D60_SM.txt

prego

Il log di Gmer è pulito, vedo inoltre che le definizioni di Avira sono aggiornate, non vedo il motivo per cui non riesci a produrre il log di Prevx 3.0. Comunque vediamo di capirre il perchè Avira segnala la presenza del Virus solo in save Mode

[ac_]

ciao a tutti.
sono nuovo del forum e mi sa che sono nella discussione giusta! sigh!
le mie scarse competenze si fermano al punto che ora vi racconto.
vi ringrazio se vorrete dedicare un pò di tempo al mio problema.

non so se approfondiremo poi le fasi di rilevamento del rootkit, ora ve le tralascio per brevità.
la bestiaccia dovrebbe essere il SINOWALMBR ROOTKIT
dico solo che prevx non ha trovato nulla come tanti tool che ho provato e lo stesso mio antivirus (trend micro), gmer mi ha dato indicazioni benchè non segnalandolo con una riga di colore rosso, e segnalazione di presenza mi ha dato pure il norman sinowal cleaner.

Usati senza esiti di infezione i tool stand alone: Avenger, AVG antirootkit, doctor Web, f-secure blacklight, malwarebyte, mcafee stinger.

Non sono riuscito a far partire o installare (forse a causa del rootkit): Avira, rootkit revealer, Trendmicro rootkitbuster

prevx
http://www.fileqube.com/shared/jahYZ1483628

gmer
http://www.fileqube.com/shared/RTxKvpg1483626

norman
http://www.fileqube.com/shared/cWhtqJzE1483671

ho proceduto con mbr con il pc in modalità provvisoria
http://www.fileqube.com/shared/OPvReFND1483798

quindi mbr -f
ma il log è identico. il codice è sempre lì
http://www.fileqube.com/shared/cvIqRqp1483801

ora non so cosa fare. aiuto!

cosa posso provare?
è opportuno (se esistono) provare altri eseguibili che risistemano l'mbr?
ciao
grazie