Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[PIPPO6000]

Ecco il log del NOD

http://www.mediafire.com/file/wfm5mc5j4e2/NOD32_log.jpg

[Chill-Out]

Dire che c'è poco da scegliere io ripeterei scansione completa con DrWeb CureIt rispondendo SI alla seguente domanda:

Settore di avvio infetto - riscrivo settore di avvio standard al riavvio

[PIPPO6000]

Grazie,
l'unico dubbio che mi rimane è se prima di riscrivere il settore di boot standard non sarebbe meglio fare un'immagine completa di C:\ in modo che se qualcosa andasse storto si possa ripristinare.
Però dato che su C:\ non ci sono partizioni e c'è solo un sistema operativo installato non dovrebbero esserci sorprese. Cosa ne pensi.
Grazie.

[Chill-Out]

Quote:

Originariamente inviato da PIPPO6000

Grazie,
l'unico dubbio che mi rimane è se prima di riscrivere il settore di boot standard non sarebbe meglio fare un'immagine completa di C:\ in modo che se qualcosa andasse storto si possa ripristinare.
Però dato che su C:\ non ci sono partizioni e c'è solo un sistema operativo installato non dovrebbero esserci sorprese. Cosa ne pensi.
Grazie.

Concordo

[p_quadro]

Aiuto, sono infetto.
Nod32 mi dice:

Settore MBR del disco fisico 2 - Win32/Mebroot.CA trojan horse - errore nell'azione di pulizia; operazione non disponibile per questo tipo di oggetto

Ho seguito la guida:

prima fase:
http://wikisend.com/download/471016/prevx.log
http://wikisend.com/download/584978/gmer.log

seconda fase:
http://wikisend.com/download/544280/mbr1.log
http://wikisend.com/download/603636/mbr2.log
http://wikisend.com/download/514762/mbr3.log
http://wikisend.com/download/528748/FixMebroot.log

fixmebroot non vede nulla, e ovviamente neanche prevx e dr. web..

che faccio?
grazie mille

[wjmat]

Quote:

Originariamente inviato da p_quadro

Aiuto, sono infetto.
Nod32 mi dice:

Settore MBR del disco fisico 2 - Win32/Mebroot.CA trojan horse - errore nell'azione di pulizia; operazione non disponibile per questo tipo di oggetto

Ho seguito la guida:

prima fase:
http://wikisend.com/download/471016/prevx.log
http://wikisend.com/download/584978/gmer.log

seconda fase:
http://wikisend.com/download/544280/mbr1.log
http://wikisend.com/download/603636/mbr2.log
http://wikisend.com/download/514762/mbr3.log
http://wikisend.com/download/528748/FixMebroot.log

fixmebroot non vede nulla, e ovviamente neanche prevx e dr. web..

che faccio?
grazie mille

ciao

carica un log di gmer completo, sembra tu non abbia cliccato su scan

[p_quadro]

Avevi ragione, non ho fatto lo scan,
allego qua:

http://wikisend.com/download/887108/gmer.log

grazie tante

[Chill-Out]

Quote:

Originariamente inviato da p_quadro

Avevi ragione, non ho fatto lo scan,
allego qua:

http://wikisend.com/download/887108/gmer.log

grazie tante

Allega anche il log del Nod, in quanto dal log di Gmer non emerge nulla.

[p_quadro]

ho copiato/incollato le info nella finestra dei rapporti:

http://wikisend.com/download/593326/Nod.log

non ho trovato altri modi di ottenere un log..

[p_quadro]

il gmer l'ho lanciato in modalità normale, non è che dovevo lanciarlo in provvisoria?

[Chill-Out]

Quote:

Originariamente inviato da p_quadro

ho copiato/incollato le info nella finestra dei rapporti:

http://wikisend.com/download/593326/Nod.log

non ho trovato altri modi di ottenere un log..

Quote:

Originariamente inviato da p_quadro

il gmer l'ho lanciato in modalità normale, non è che dovevo lanciarlo in provvisoria?

Fai girare questo tool http://download.norman.no/public/Nor...al_Cleaner.exe

Istruzioni: http://www.norman.com/Virus/Virus_re...tools/52382/it

successivamente come indicato in Guida fai girare DrWeb CureIt ed allega entrambi i log.

[p_quadro]

fatto:
http://wikisend.com/download/583452/Norman.log

dr.Web Cureit:
http://wikisend.com/download/601880/cureit filtrato.txt

questo lo avevo mandato venerdì.. è necessario rifarlo?

Grazie

[Chill-Out]

Quote:

Originariamente inviato da p_quadro

dr.Web Cureit:
http://wikisend.com/download/601880/cureit filtrato.txt

questo lo avevo mandato venerdì.. è necessario rifarlo?

Grazie

Sarebbe meglio, riscaricando la versione aggiornata ad oggi ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

[p_quadro]

Quote:

Originariamente inviato da Chill-Out

Sarebbe meglio, riscaricando la versione aggiornata ad oggi ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

fatto, sembra non veda niente, eppure il Nod continua a mandarmi segnalazioni del Mebroot.ca..

http://wikisend.com/download/522674/...o_filtrato.txt

[Chill-Out]

Quote:

Originariamente inviato da p_quadro

fatto, sembra non veda niente, eppure il Nod continua a mandarmi segnalazioni del Mebroot.ca..

http://wikisend.com/download/522674/...o_filtrato.txt

Log pulito, comunque il problema dovrebbe essere relativo a:

- sul tuo Pc c'è una partizione nascosta per il Recovery del Pc
- non sei loggato come amministratore
- hai un lettore di Card al momento non inserito
- si tratta di un supporto removile USB esterno

[p_quadro]

Quote:

Originariamente inviato da Chill-Out

Log pulito, comunque il problema dovrebbe essere relativo a:

- sul tuo Pc c'è una partizione nascosta per il Recovery del Pc
- non sei loggato come amministratore
- hai un lettore di Card al momento non inserito
- si tratta di un supporto removile USB esterno

mai usato il Recovery, non ho creato partizioni nascoste e non ne ho attualmente, sono amministratore e non ho lettori Card,
a questo punto non saprei, mi sembra strano un supporto USB.. ho un Hd esterno che uso solo come archivio dati e ogni tanto attacco l'iPhone,
prima di trovare la vostra guida avevo provato ad intuito con Fixmbr.exe, può essere questo?

e comunque, Grazie!

[Chill-Out]

Quote:

Originariamente inviato da p_quadro

mai usato il Recovery, non ho creato partizioni nascoste e non ne ho attualmente, sono amministratore e non ho lettori Card,
a questo punto non saprei, mi sembra strano un supporto USB.. ho un Hd esterno che uso solo come archivio dati e ogni tanto attacco l'iPhone,
prima di trovare la vostra guida avevo provato ad intuito con Fixmbr.exe, può essere questo?

e comunque, Grazie!

Scollega l'hdd esterno e affini e ripeti scansione completa col Nod

[rei.andrea]

Una domanda:

su windows vista/7 x64 non dovrebbe essere possibile installare rootkit nel mbr giusto?
Dovrebbe intervenire il "patchguard"...

Ad esempio se lancio il file mbr.exe (quello di Gmer) non riesce a leggere o scrivere il MBR.

[Chill-Out]

Diciamo di si nello specifico, ma è stato dimostrato che il PatchGuard può essere bypassato.

[renaccio]

Io non riesco neanche a partire.

Già nella Fase Preliminare, cercando di disattivare il Ripristino configurazione di sistema, mi compare sempre questo avviso con conseguente impossibilità di disattivare.

Ripristino configurazione di sistema ha riscontrato un errore durante il tentativo di attivare/disattivare una o più unità.
Riavviare il computer, quindi riprovare

Cosa devo fare?

GRAZIE!