Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da renaccio

Io non riesco neanche a partire.

Già nella Fase Preliminare, cercando di disattivare il Ripristino configurazione di sistema, mi compare sempre questo avviso con conseguente impossibilità di disattivare.

Ripristino configurazione di sistema ha riscontrato un errore durante il tentativo di attivare/disattivare una o più unità.
Riavviare il computer, quindi riprovare

Cosa devo fare?

GRAZIE!

Tralascia e passa ai punti successivi, successivamente vediamo di capire il perchè.

[renaccio]

Quote:

Originariamente inviato da Chill-Out

Tralascia e passa ai punti successivi, successivamente vediamo di capire il perchè.

Grazie.

Completata la Prima Fase

http://wikisend.com/download/453918/Prevx CSI.log

http://wikisend.com/download/926486/Gmer.log

Com'è la situazione?

Proseguo con la Seconda Fase?

[Chill-Out]

Quote:

Originariamente inviato da renaccio

Grazie.

Completata la Prima Fase

http://wikisend.com/download/453918/Prevx CSI.log

http://wikisend.com/download/926486/Gmer.log

Com'è la situazione?

Proseguo con la Seconda Fase?

Fai girare questo tool http://download.norman.no/public/Nor...al_Cleaner.exe

Istruzioni: http://www.norman.com/Virus/Virus_re...tools/52382/it

successivamente come indicato in Guida fai girare DrWeb CureIt ed allega entrambi i log.

[renaccio]

Quote:

Originariamente inviato da Chill-Out

Fai girare questo tool http://download.norman.no/public/Nor...al_Cleaner.exe

Istruzioni: http://www.norman.com/Virus/Virus_re...tools/52382/it

successivamente come indicato in Guida fai girare DrWeb CureIt ed allega entrambi i log.

http://wikisend.com/download/470348/...0_20-57-09.log

http://wikisend.com/download/212064/cureit filtrato.txt

[Chill-Out]

Quote:

Originariamente inviato da renaccio

http://wikisend.com/download/470348/...0_20-57-09.log

http://wikisend.com/download/212064/cureit filtrato.txt

Allega nuovo log di Gmer, ma secondo me sei ok.

[renaccio]

Quote:

Originariamente inviato da Chill-Out

Allega nuovo log di Gmer, ma secondo me sei ok.

http://wikisend.com/download/466386/gmer.txt

Nel nuovo Log di Gmer ci sono questi avvisi:

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0xdf937c1 size 0x194
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

Io non so se siano importanti o no, ma il problema è che quando provo a fare un Backup completo con Comodo Backup (si accettano consigli su altri programmi di Backup) alla fine Avast me lo blocca ed elimina perché infetto da WIN32:MBROOT-(RTK)

Avast, poi, mi mette sempre nel suo Cestino queste DLL: wsock32.dll – winsock.dll – kernel32.dll
Inutile dire che se anche svuoto il cestino di Avast, al successivo riavvio me le ritrovo lì

In più, seguendo la Guida, ho scoperto che il Ripristino Configurazione di Sistema non funziona più.

Infine, Dr.Web CureIt! Mi ha trovato il Malware JSCRIPT5.CHM che ora è nella quarantena (come faccio ad eliminarlo definitivamente?)

Dottore, sono grave?

(p.s. per Chill-Out: GRAZIE MILLE PER L’AIUTO!!!)

[Chill-Out]

Quote:

Originariamente inviato da renaccio

http://wikisend.com/download/466386/gmer.txt

Nel nuovo Log di Gmer ci sono questi avvisi:

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0xdf937c1 size 0x194
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

Questo non vuol dire che sei infetto

Quote:

Io non so se siano importanti o no, ma il problema è che quando provo a fare un Backup completo con Comodo Backup (si accettano consigli su altri programmi di Backup) alla fine Avast me lo blocca ed elimina perché infetto da WIN32:MBROOT-(RTK)

Adesso comprendo il motivo della segnalazione, ovviamente quando quando fai il Backup devi disabilitare Avast onde evitare la segnalzione stessa.

Quote:

Avast, poi, mi mette sempre nel suo Cestino queste DLL: wsock32.dll – winsock.dll – kernel32.dll
Inutile dire che se anche svuoto il cestino di Avast, al successivo riavvio me le ritrovo lì

Avast fa una copia di quel file e la posiziona nel Cestino serve nel caso in cui venga compromesso.

Quote:

In più, seguendo la Guida, ho scoperto che il Ripristino Configurazione di Sistema non funziona più.

http://hwupgrade.blogspot.com/2008/1...istino-di.html

Quote:

Infine, Dr.Web CureIt! Mi ha trovato il Malware JSCRIPT5.CHM che ora è nella quarantena (come faccio ad eliminarlo definitivamente?)

Lo puoi ripristinare, ovvero lo riposizioni nel medesimo percorso.

[renaccio]

Quote:

Originariamente inviato da Chill-Out

http://hwupgrade.blogspot.com/2008/1...istino-di.html

Quindi, alla fine, per il Rootkit, ero un "malato immaginario".
Per fortuna, Chill-Out, c'eri tu a fare una diagnosi seria ed approfondita!

Per la storia del Ripristino, invece, pur avendo seguito alla lettera le istruzioni, mi continua a dire:

Ripristino configurazione di sistema ha riscontrato un errore durante il tentativo di attivare/disattivare una o più unità.
Riavviare il computer, quindi riprovare

Forse è perchè, quando faccio clicca su start –> esegui–> digita:
regsvr32 jscript.dll OK
e
clicca su start –> esegui –> digita:
regsvr32 vbscript.dll OK
salta fuori la scritta:
LoadLibrary("OK")non riuscito. Impossibile trovare modulo specificato?

[Chill-Out]

Scarica questo file sul Desktop http://wikisend.com/download/488108/fix.reg

tasto dx del mouse e clicca su unisci, accetta le modifiche, riavvia il PC, successivamente

Quote:

Poi clicca su start –> esegui–> digita:
regsvr32 jscript.dll OK

Poi clicca su start –> esegui –> digita:
regsvr32 vbscript.dll OK

[renaccio]

Quote:

Originariamente inviato da Chill-Out

Scarica questo file sul Desktop http://wikisend.com/download/488108/fix.reg

tasto dx del mouse e clicca su unisci, accetta le modifiche, riavvia il PC, successivamente

Nel menù del mio tasto destro la voce "unisci" non c'è.

http://wikisend.com/download/605670/0001.JPG

Forse ho solo capito male, ma che devo gare?

Grazie.

[Chill-Out]

Quote:

Originariamente inviato da renaccio

Nel menù del mio tasto destro la voce "unisci" non c'è.

http://wikisend.com/download/605670/0001.JPG

Forse ho solo capito male, ma che devo gare?

Grazie.

Doppio click

[renaccio]

Quote:

Originariamente inviato da Chill-Out

Doppio click

L'ho fatto ma salta sempre fuori "LoadLibrary("OK")non riuscito. Impossibile trovare modulo specificato"

[Chill-Out]

Quote:

Originariamente inviato da renaccio

L'ho fatto ma salta sempre fuori "LoadLibrary("OK")non riuscito. Impossibile trovare modulo specificato"

Verifica se è possibile attivare/disattivare il ripristino conf.sistema.

[renaccio]

Quote:

Originariamente inviato da Chill-Out

Verifica se è possibile attivare/disattivare il ripristino conf.sistema.

No, non è possibile

[Chill-Out]

Quote:

Originariamente inviato da renaccio

No, non è possibile

Scarica questo Fix http://go.microsoft.com/?linkid=9644976 ed attieniti alla procedura guidata.

[renaccio]

Quote:

Originariamente inviato da Chill-Out

Scarica questo Fix http://go.microsoft.com/?linkid=9644976 ed attieniti alla procedura guidata.

Fatto, ma tutto come prima

[Chill-Out]

Quote:

Originariamente inviato da renaccio

Fatto, ma tutto come prima

Stranissimo, ma hai riavviato la macchina.

[renaccio]

Quote:

Originariamente inviato da Chill-Out

Stranissimo, ma hai riavviato la macchina.

Sì

[renaccio]

Quote:

Originariamente inviato da renaccio

Sì

Nessuna idea?

Grazie

[Aurency]

Ciao, con una scansione di Avira è venuto fuori che sono infettato da BOO/sinowal.c

Ho eseguito quindi la fase preliminare e la prima fase ed ottenuto i log, ma non riesco a caricarli su nessuno dei due siti. Fileqube dopo un pò che elabora porta ad una pagina di errore e wikisend idem, con questo errore:

We are sorry, but an error has occured while uploading.

You can return to the start page and try again.

Ho provato più volte anche con browser diversi ma non funziona