Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[wjmat]

Quote:

Originariamente inviato da mauri1983

ecco i log

http://wikisend.com/download/458402/prevx log.log

http://wikisend.com/download/122620/log gmer.txt

aspetto vostre dritte, sono esaurito

i log sono puliti
prova a seguire anche la seconda fase
nod è aggiornato?

[mauri1983]

Quote:

Originariamente inviato da wjmat

i log sono puliti
prova a seguire anche la seconda fase
nod è aggiornato?

si nod è aggiornato

procedo con la seconda fase.

ma è possibile che il virus ci sia ancora anche se nè eset nod32, nè Prevx, nè GMER lo trovano?

[wjmat]

Quote:

Originariamente inviato da mauri1983

si nod è aggiornato

procedo con la seconda fase.

ma è possibile che il virus ci sia ancora anche se nè eset nod32, nè Prevx, nè GMER lo trovano?

potrebbe essere un falso rilevamento

[mauri1983]

perdonatemi la domanda stupida:

sono alle seconda fase...ma il quarto passaggio prevede Symantec Trojan.Mebroot Removal Tool che leggo essere compatibile solo con XP, io ho Vista, quindi non devo usarlo e salto il quarto passaggio di questa seconda fase?

[wjmat]

Quote:

Originariamente inviato da mauri1983

perdonatemi la domanda stupida:

sono alle seconda fase...ma il quarto passaggio prevede Symantec Trojan.Mebroot Removal Tool che leggo essere compatibile solo con XP, io ho Vista, quindi non devo usarlo e salto il quarto passaggio di questa seconda fase?

si salta

[mauri1983]

altro problemino...

quando dalla modalità provvisoria faccio esegui - c:\mbr.exe mi si apre il prompt che segnala l'avvio del processo, ma dopo pochi secondi scompare la finestra e non so se è ancora in esecuzione , e anche se lo fosse non potrei salvarne il log dal momento che non la riesco a visualizzare

attendo istruzioni


ps:grazie intanto per la grande disponibilità ad aiutarmi!

[Chill-Out]

Guarda qui c:\mbr.log

[mauri1983]

Quote:

Originariamente inviato da Chill-Out

Guarda qui c:\mbr.log

e dopo quando tempo, visto che non so se il processo è terminato o è ancora in esecuzione? ... vedo se facendo ctrl +alt+canc il task manager lo rileva in esecuzione?

[Chill-Out]

Quote:

Originariamente inviato da mauri1983

e dopo quando tempo, visto che non so se il processo è terminato o è ancora in esecuzione? ... vedo se facendo ctrl +alt+canc il task manager lo rileva in esecuzione?

Dove indicato, dovresti semplicemente trovare il log

[mauri1983]

Quote:

Originariamente inviato da Chill-Out

Guarda qui c:\mbr.log

questo per il primo step....

quando poi digito c:\mbr.exe -f per visualizzarne il log faccio sempre c:\mbr.log? l'ho anche già fatto ma esce praticamente lo stesso log del primo step: lo salvo lo stesso come MBR2 anche se identico all'MBR1?

ps: proprio mentre sto scrivendovi mi è ricomparso l'avviso di eset della presenza di questo maledetto tsr.boot nell' mbr

[Chill-Out]

Quote:

Originariamente inviato da mauri1983

questo per il primo step....

quando poi digito c:\mbr.exe -f per visualizzarne il log faccio sempre c:\mbr.log? l'ho anche già fatto ma esce praticamente lo stesso log del primo step: lo salvo lo stesso come MBR2 anche se identico all'MBR1?

ps: proprio mentre sto scrivendovi mi è ricomparso l'avviso di eset della presenza di questo maledetto tsr.boot nell' mbr

Desidero vedere solo il log che trovi in c:\mbr.log

[mauri1983]

Quote:

Originariamente inviato da Chill-Out

Desidero vedere solo il log che trovi in c:\mbr.log

ecco l'MBR1

http://wikisend.com/download/554892/mbr1.txt

[Chill-Out]

Quote:

Originariamente inviato da mauri1983

ecco l'MBR1

http://wikisend.com/download/554892/mbr1.txt

Quote:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Il log è OK, fai scansione completa con CureIt esattamente come indicato in Guida, attendiamo il log.

[mauri1983]

Quote:

Originariamente inviato da Chill-Out

Il log è OK, fai scansione completa con CureIt esattamente come indicato in Guida, attendiamo il log.

ecco il log di cureit:

http://wikisend.com/download/586840/cureit filtrato.txt

attendo vostre info ...e,come al solito, ringrazio anticipatamente!!

[Chill-Out]

Quote:

Originariamente inviato da mauri1983

ecco il log di cureit:

http://wikisend.com/download/586840/cureit filtrato.txt

attendo vostre info ...e,come al solito, ringrazio anticipatamente!!

Log pulito, dimmi se rientri in questa casistica:

- sul tuo Pc c'è una partizione nascosta per il Recovery del Pc
- non sei loggato come amministratore
- hai un lettore di Card al momento non inserito
- è collegato un supporto removile USB esterno

[mauri1983]

Quote:

Originariamente inviato da Chill-Out

Log pulito, dimmi se rientri in questa casistica:

- sul tuo Pc c'è una partizione nascosta per il Recovery del Pc
- non sei loggato come amministratore
- hai un lettore di Card al momento non inserito
- è collegato un supporto removile USB esterno

e qui mi manifesto nella mia pericolosa ignoranza:

dovrei avere solo due partizioni, una per vista e una solo dati...ma non so come verificare l'esistenza di eventuali partizioni nascoste

ho un unico account sul mio notebook e quindi credo di essere loggato per forza come amministratore...anche se molte operazioni mi chiede la conferma da amministratore

il lettore di card è interno al notebook

gli unici supporti usb che uso stabilmente sono una tastiera e un mouse



ps: adesso mi si è messo pure a fluttuare la luminosità dello schermo sotto alimentazione a batteria, cosa che non avviene se lo attacco alla rete

[lostefano]

Non trovo il tasto "tools" in Prevx 3.0. Come faccio a copiare il log?

Comunque, se posso spiegare, la mia situazione è un pò anomala.

Ho avviato mbr.exe (prima ancora di arrivare a questo forum) che ha trovato il virus nel settore mbr. Allora ho eseguito mbr.exe -f ed è andato a buon fine.

Se però faccio ripartire mbr.exe mi dice che c'è ancora lo stesso problema, come se non fosse stato rimosso. Ma se scansiono con NOD32, il quale mi indicava l'infezione a livello del settore mbr, non trova più nulla.

Posso ritenere disinfettato il computer?

Scusate se non ho seguito alla lettera, ma è colpa di prevx 3.0!

Grazie mille

[Chill-Out]

Quote:

Originariamente inviato da mauri1983

e qui mi manifesto nella mia pericolosa ignoranza:

dovrei avere solo due partizioni, una per vista e una solo dati...ma non so come verificare l'esistenza di eventuali partizioni nascoste

ho un unico account sul mio notebook e quindi credo di essere loggato per forza come amministratore...anche se molte operazioni mi chiede la conferma da amministratore

il lettore di card è interno al notebook

gli unici supporti usb che uso stabilmente sono una tastiera e un mouse



ps: adesso mi si è messo pure a fluttuare la luminosità dello schermo sotto alimentazione a batteria, cosa che non avviene se lo attacco alla rete

Trattandosi di un Note la partizione di ripristino è presente, ripeti scansione col Nod (aggiornato) ed allega il log.

[Chill-Out]

Quote:

Originariamente inviato da lostefano

Non trovo il tasto "tools" in Prevx 3.0. Come faccio a copiare il log?

Comunque, se posso spiegare, la mia situazione è un pò anomala.

Ho avviato mbr.exe (prima ancora di arrivare a questo forum) che ha trovato il virus nel settore mbr. Allora ho eseguito mbr.exe -f ed è andato a buon fine.

Se però faccio ripartire mbr.exe mi dice che c'è ancora lo stesso problema, come se non fosse stato rimosso. Ma se scansiono con NOD32, il quale mi indicava l'infezione a livello del settore mbr, non trova più nulla.

Posso ritenere disinfettato il computer?

Scusate se non ho seguito alla lettera, ma è colpa di prevx 3.0!

Grazie mille

Allega i log inerenti la PRIMA FASE, per quanto concerne Prevx ti allego lo Screenshot

[mauri1983]

Quote:

Originariamente inviato da Chill-Out

Trattandosi di un Note la partizione di ripristino è presente, ripeti scansione col Nod (aggiornato) ed allega il log.

prevedo già che eset nod32 non segnali nulla, l'ho fatta 2 giorni fa....cmq adesso la ripeto, ma già ti chiedo cosa fare in caso che ancora una volta non segnali nulla?

ps: il prossimo mese mi scade la licenza per eset, visto che devo scegliere se rinnovare l'abbonamento tu cosa mi consigli: tengo questo o me ne suggerisci un altro?

pps:con quale tool io sono sicuro di trovare qualunque tipo di infezione?anche se è un tool che poi non effettua cure...ma mi serve almeno uno che mi assicura di quello che ho e , soprattutto, se ce l'ho!

grazie