Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[ac_]

Quote:

Originariamente inviato da Chill-Out

Le chiavi rilevate da A2 le passi in quarantena, per il probema del MBR Rootkit anche DrWeb restitusice un log pulito, direi che siamo ok

scusa il ritardo. sempre grazie.
allego anche l'ultima scansione con prevx .
tutto parrebbe ok.
ma confesso che proprio tranquillo non mi sento.
sarà paranoia, ma perchè dovrei trovarmi del "codice appeso" rilevabile da gmer (e pure norman dice "unable to scan for sinowal rootkit") se non ricordo di aver mai dovuto disinfettare alcune infezione seria ma solo cookies di navigazione?
boh!

[Chill-Out]

Quote:

Originariamente inviato da ac_

scusa il ritardo. sempre grazie.
allego anche l'ultima scansione con prevx .
tutto parrebbe ok.
ma confesso che proprio tranquillo non mi sento.
sarà paranoia, ma perchè dovrei trovarmi del "codice appeso" rilevabile da gmer (e pure norman dice "unable to scan for sinowal rootkit") se non ricordo di aver mai dovuto disinfettare alcune infezione seria ma solo cookies di navigazione?
boh!

Sei ok, leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1726383 troverai indicazioni utili su come proteggere il tuo PC

[joslopi]

Quote:

Originariamente inviato da Chill-Out

Adesso come riscontro fai una scansione completa con Avira in provvisoria

Ok, tutto regolare. Avira non rileva più niente. Grazie mille.

[Chill-Out]

Quote:

Originariamente inviato da joslopi

Ok, tutto regolare. Avira non rileva più niente. Grazie mille.

Perfetto, ciao

[ac_]

Quote:

Originariamente inviato da Chill-Out

Sei ok, leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1726383 troverai indicazioni utili su come proteggere il tuo PC

ok. grazie di tutto.
speriamo bene.
pensavo di utilizzare il pc come utente d'ora in avanti.
pensi che avendo i service pack e gli update regolari, trend micro internet security, trend micro web protection add on, prevx e malwarebyte sia necessario?
ciao

[Chill-Out]

Quote:

Originariamente inviato da ac_

ok. grazie di tutto.
speriamo bene.
pensavo di utilizzare il pc come utente d'ora in avanti.
pensi che avendo i service pack e gli update regolari, trend micro internet security, trend micro web protection add on, prevx e malwarebyte sia necessario?
ciao

Come indicato in precedenza qui http://www.hwupgrade.it/forum/showthread.php?t=1726383 trovi tutte le info necessarie, ciao e buon proseguimento

[@lessandro]

Ragazzi, ho un problema che sembra irrisolvibile...

Ho un pc con WinXp, l'ho formattato dato che aveva problemi di disinstallazioni fatte male...e ho reinstallato Windows da capo.
Una volta reinstallato Win, ho installato anche Avira 9 ma...durante l'installazione, il pc si riavvia di punto in bianco
Riavviato il pc vedo che avira non è attivo, il processo sul task manager non c'è e se provo ad avviarlo non mi compare l'ombrellino rosso sulla traybar...

Chiedo aiuto sul thread di Avira e mi dicono che molto probabilmente è infetto l'mbr dell'hd...

Detto questo, seguo questa guida per la disinfezione e...facendo le due scansioni con Prevx e Gmer, il pc non sembra infetto per niente...

Vi allego i due log così almeno mi saprete dire voi...

P.S. se non fossi infetto, quale problema potrebbe essere del riavvio così spontaneo? E' già la 2° volta che mi fa questo lacchezzo

http://www.fileqube.com/file/fzbmUvfD206198 <------ Prevx

http://www.fileqube.com/file/TmShSmCR206199 <----- Gmer

Grazie

[wjmat]

Quote:

Originariamente inviato da @lessandro

Ragazzi, ho un problema che sembra irrisolvibile...

Ho un pc con WinXp, l'ho formattato dato che aveva problemi di disinstallazioni fatte male...e ho reinstallato Windows da capo.
Una volta reinstallato Win, ho installato anche Avira 9 ma...durante l'installazione, il pc si riavvia di punto in bianco
Riavviato il pc vedo che avira non è attivo, il processo sul task manager non c'è e se provo ad avviarlo non mi compare l'ombrellino rosso sulla traybar...

Chiedo aiuto sul thread di Avira e mi dicono che molto probabilmente è infetto l'mbr dell'hd...

Detto questo, seguo questa guida per la disinfezione e...facendo le due scansioni con Prevx e Gmer, il pc non sembra infetto per niente...

Vi allego i due log così almeno mi saprete dire voi...

P.S. se non fossi infetto, quale problema potrebbe essere del riavvio così spontaneo? E' già la 2° volta che mi fa questo lacchezzo

http://www.fileqube.com/file/fzbmUvfD206198 <------ Prevx

http://www.fileqube.com/file/TmShSmCR206199 <----- Gmer

Grazie

ciao

mbr rootkit non è presente
il problema che hai è solo con avira? se si direi di proseguire nel suo 3d ufficiale, magari provando a reinstallare se già non lo hai fatto

[@lessandro]

Quote:

Originariamente inviato da wjmat

ciao

mbr rootkit non è presente
il problema che hai è solo con avira? se si direi di proseguire nel suo 3d ufficiale, magari provando a reinstallare se già non lo hai fatto

Grazie per la risposta

Beh il problema si presenta con Avira 9, ma non ho provato con altri antivirus dato che io a casa ho quello, gli altri pc di quella casa usan quello...e mi scoccerebbe installarne un'altro, diverso da tutti (diciamo che gli utilizzatori dei pc non sono esperti, anzi...) e far reimparare ad usarlo

Ho formattato il pc, reinstallato winxp e durante l'installazione di avira, si riavvia di colpo il pc...
Stessa cosa oggi, dopo la 2° formattazione....non riesco proprio a capire il perchè

Ma ho letto un pò in giro...non può essere il settore mbr danneggiato...o cosa?

[Chill-Out]

Come anticipato nel 3D dedicato ad Avira il problema non è questo.

[@lessandro]

Quote:

Originariamente inviato da Chill-Out

Come anticipato nel 3D dedicato ad Avira il problema non è questo.

E cosa può essere?

[gabbruu]

Anche io mi sono preso una bella infezione!

ecco il report di prevx: http://www.fileqube.com/file/lrWlKdQj206796

La scansione con gmer l'ho fatta ma non ho salvato il report... ora la sto rifacendo, ma per la prima scansione ci ha messo circa 3 ore!! ..

come sto messo? che devo fare? passo alla seconda fase? Per ora sto usando solamente la modalità provvisoria, adesso anche con la rete, non mi azzardo a avviare il pc normalmente.. le ultime volte che l'ho fatto si è bloccato -_- ..

edit: dopo il primo passaggio della fase due, il log è questo:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A18AC1
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA !

Il secondo passaggio della fase2, quello nel quale bisogna dare l'esegui C:\mbr.exe -f , non mi dà l'opportunità di salvarlo, si chiude da solo dopo pochi secondi.. fra poco vi posto anche quello che dice avira.. Dimenticavo, ho XP!

Avira ha trovato il virus BOO/Sinowal.E ! Potesse essere utile, vi allego anche il report di avira:
http://www.fileqube.com/file/qONyTU206797

Grazie per l'attenzione!

[wjmat]

Quote:

Originariamente inviato da gabbruu

Anche io mi sono preso una bella infezione!

ecco il report di prevx: http://www.fileqube.com/file/lrWlKdQj206796

La scansione con gmer l'ho fatta ma non ho salvato il report... ora la sto rifacendo, ma per la prima scansione ci ha messo circa 3 ore!! ..

come sto messo? che devo fare? passo alla seconda fase? Per ora sto usando solamente la modalità provvisoria, adesso anche con la rete, non mi azzardo a avviare il pc normalmente.. le ultime volte che l'ho fatto si è bloccato -_- ..

edit: dopo il primo passaggio della fase due, il log è questo:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A18AC1
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA !

Il secondo passaggio della fase2, quello nel quale bisogna dare l'esegui C:\mbr.exe -f , non mi dà l'opportunità di salvarlo, si chiude da solo dopo pochi secondi.. fra poco vi posto anche quello che dice avira.. Dimenticavo, ho XP!

Avira ha trovato il virus BOO/Sinowal.E ! Potesse essere utile, vi allego anche il report di avira:
http://www.fileqube.com/file/qONyTU206797

Grazie per l'attenzione!

ciao

prova a ripetere la fase2

[gabbruu]

Scansione finita con gmer: http://www.fileqube.com/file/bozMHRFW206905

Ora passo alla fase 2, edito con i prossimi log.

edit: fase2,
primo passaggio: http://www.fileqube.com/file/aGaFgVC206914

secondo passaggio (qualcosa va storto.. Il log è uguale al primo!) http://www.fileqube.com/file/mlpNsF206915

cosa sbaglio? ..cambia qualcosa se ho due hard disk?

edit: HEY, Avira mi segna come virus il symatec removal tool, il 4 passaggio della seconda fase!!! E' normale o il file è corrotto??

[gabbruu]

... certo non dovreste consigliarli programmi come prenvx che si attaccano come mosche sul miele ai pc... Sto smanettando da 2 ore tentando di cancellarlo...

[Chill-Out]

Quote:

Originariamente inviato da gabbruu

... certo non dovreste consigliarli programmi come prenvx che si attaccano come mosche sul miele ai pc... Sto smanettando da 2 ore tentando di cancellarlo...

Si disinstalla come un qualsiasi altro programma

[gabbruu]

si eh??? Prova a disinstallarlo, poi mi racconti!

[wjmat]

Quote:

Originariamente inviato da gabbruu

si eh??? Prova a disinstallarlo, poi mi racconti!

http://www.hwupgrade.it/forum/showpo...5&postcount=14

[Chill-Out]

Quote:

Originariamente inviato da gabbruu

si eh??? Prova a disinstallarlo, poi mi racconti!

Prevx viene utilizzato nella presente Guida da Aprile 2008, inoltre è parte integrante della Guida alla disinfezione in rilievo, nessuno ha mai riscontrato problemi durante la disinstallazione, quindi come raccontato in precedenza si disinstalla come un qualsiasi altro programma.

Se ci palesi il problema possiamo provare a fornirti il suggerimento per la risoluzione dello stesso.

[altrimeridiani]

http://wikisend.com/download/614776/GMER 1.0.15.15020 [gmer.exe].log http://wikisend.com/download/529404/logfile prevx3.log