Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[wjmat]

Quote:

Originariamente inviato da franco626

il problema è che sul pc originale non cammina, si blocca ogni 5 sec. sta fermo tipo 30 sec, funziona regolare 5 sec, e riparte la tiritella... ecco perchè intendevo fare in quel modo......


nessun altro consiglio ?

Fai una scansione con Norman Sinowal Cleaner che trovi qui
Lancialo -> Accetta le condizioni
Sotto scan area aggiungi il disco esterno
Clicca su Start scan e attendi la scansione
In caso trovi l'infezione riavvia il pc se richiesto
Al termine allega il log NFix_xxxxxx.txt che trovi sul desktop secondo le modalità

il alternativa lo rimonti e esegui il fixmbr da console di ripristino

[Chill-Out]

Quote:

Originariamente inviato da mauri1983

scusate...ma a me mi avete lasciato appeso così...senza una risposta finale...

ho fatto tutti gli scan che mi avete chiesto...ho postato tutti i log e mi avete detto che il mio note è "pulito" ma ancora eset mi rileva il virus tsr.boot...

...come mai la procedura che mi avete suggerito non si è rivelata efficace??quale può essere il mio problema???

tutti quegli scan e non ho risolto nulla

Mi sembra di averti già risposto.

[mauri1983]

Quote:

Originariamente inviato da Chill-Out

Mi sembra di averti già risposto.

in seguito al mio ultimo log postato,dopo l'ennesima scansione che mi avete consigliato) la tua risposta è stata:

Quote:

Log pulito, dimmi se rientri in questa casistica:

- sul tuo Pc c'è una partizione nascosta per il Recovery del Pc
- non sei loggato come amministratore
- hai un lettore di Card al momento non inserito
- è collegato un supporto removile USB esterno

[/quote]

ed ecco io cosa ti ho detto:

Quote:

e qui mi manifesto nella mia pericolosa ignoranza:

dovrei avere solo due partizioni, una per vista e una solo dati...ma non so come verificare l'esistenza di eventuali partizioni nascoste

ho un unico account sul mio notebook e quindi credo di essere loggato per forza come amministratore...anche se molte operazioni mi chiede la conferma da amministratore

il lettore di card è interno al notebook

gli unici supporti usb che uso stabilmente sono una tastiera e un mouse



ps: adesso mi si è messo pure a fluttuare la luminosità dello schermo sotto alimentazione a batteria, cosa che non avviene se lo attacco alla rete

(tralascia pure il ps che magari è dovuto ad un'altra cosa)

poi mi hai risposto:

Quote:

Trattandosi di un Note la partizione di ripristino è presente, ripeti scansione col Nod (aggiornato) ed allega il log.

ho fatto la scansione di nuovo anche con nod...e come ti ho anticipato in un messaggio mio successivo ti ho detto che non mi trova nulla:

Quote:

prevedo già che eset nod32 non segnali nulla, l'ho fatta 2 giorni fa....cmq adesso la ripeto, ma già ti chiedo cosa fare in caso che ancora una volta non segnali nulla?

ps: il prossimo mese mi scade la licenza per eset, visto che devo scegliere se rinnovare l'abbonamento tu cosa mi consigli: tengo questo o me ne suggerisci un altro?

pps:con quale tool io sono sicuro di trovare qualunque tipo di infezione?anche se è un tool che poi non effettua cure...ma mi serve almeno uno che mi assicura di quello che ho e , soprattutto, se ce l'ho!

grazie

e mi avrebbe fatto piacere che mi avessi risposto soprattutto a quest'ultima cosa

e poi in un messaggio successivo aggiungo una info ad una domanda che mi avevi chiesto circa l'esistenza di una partizione nascosta ci sistema, a cui aggiungevo il log di eset:

Quote:

effettivamente quando ad esempio faccio il defrag mi rileva una terza partizione "NVCACHE" (le altre due sono Vista e una di solo dati)

cmq ecco il log di eset

http://wikisend.com/download/463734/eset log.txt

rispondendo di fatto ad una domanda che mi facevi ma che cmq non hai più calcolato

di qui poi soltanto una tua risposta in pvt in cui ti avevo chiesto se continuare a scegliere nod32 e tu mi hai detto di si (ma cmq non ci azzecca nulla col mio problema di cui stiamo parlando ... e infine una ultima risposta sul forum

Quote:

Log pulito

peraltro inutile poikè già lo immaginavo da solo

risultato:

ho ancora il virus che nod mi segnala con un avviso ma che in scansione approfondita invece non mi rileva...

ho risposto ad una domanda che mi hai fatto, quella sulla partizione, ma non mi hai continuato a dire perchè me lo hai chiesto e come eventualemte questa info può essermi utile

[Chill-Out]

Quote:

Originariamente inviato da mauri1983

in seguito al mio ultimo log postato,dopo l'ennesima scansione che mi avete consigliato) la tua risposta è stata:




ed ecco io cosa ti ho detto:




(tralascia pure il ps che magari è dovuto ad un'altra cosa)

poi mi hai risposto:




ho fatto la scansione di nuovo anche con nod...e come ti ho anticipato in un messaggio mio successivo ti ho detto che non mi trova nulla:



e mi avrebbe fatto piacere che mi avessi risposto soprattutto a quest'ultima cosa

e poi in un messaggio successivo aggiungo una info ad una domanda che mi avevi chiesto circa l'esistenza di una partizione nascosta ci sistema, a cui aggiungevo il log di eset:





rispondendo di fatto ad una domanda che mi facevi ma che cmq non hai più calcolato

di qui poi soltanto una tua risposta in pvt in cui ti avevo chiesto se continuare a scegliere nod32 e tu mi hai detto di si (ma cmq non ci azzecca nulla col mio problema di cui stiamo parlando ... e infine una ultima risposta sul forum





peraltro inutile poikè già lo immaginavo da solo

risultato:

ho ancora il virus che nod mi segnala con un avviso ma che in scansione approfondita invece non mi rileva...

ho risposto ad una domanda che mi hai fatto, quella sulla partizione, ma non mi hai continuato a dire perchè me lo hai chiesto e come eventualemte questa info può essermi utile

Nonostante mi sia prodigato per risolvere il tuo problema, vedo che il tuo desiderio è quello di polemizzare con chi dedica il suo tempo gratuitamente ad aiutare gli utenti in difficoltà. Ed il tuo reply ne è la dismostrazione palese

Quote:

Originariamente inviato da mauri1983

peraltro inutile poikè già lo immaginavo da solo

visto che citi il PVT segui quanto consigliato, parentesi chiusa definitivamente.

[Ade^^]

avira mi ha trovato un virus (BOO/Sinowal.E) nel Record master di avvio dell'Hard Disk 0

ho eseguito la procedura indicata in prima pagina e questo è il log:

lor prevx3.log

il log gmer non l'ho potuto creare poichè alla fine della scansione (che dura almeno 3 ore) mi si blocca il pc...evidentemente ho poca autonomia in termini di tempo.

devo procedere con la parte 2?

[giomero]

Prevx 3.0 ha rilevato Rootkit $mbr.0 in c:\ Posto i due log ,e cerco aiuto.

http://wikisend.com/download/470382/prevx log.log
http://wikisend.com/download/501472/GMER LOG.log

Grazie

[Chill-Out]

Quote:

Originariamente inviato da Ade^^

avira mi ha trovato un virus (BOO/Sinowal.E) nel Record master di avvio dell'Hard Disk 0

ho eseguito la procedura indicata in prima pagina e questo è il log:

lor prevx3.log

il log gmer non l'ho potuto creare poichè alla fine della scansione (che dura almeno 3 ore) mi si blocca il pc...evidentemente ho poca autonomia in termini di tempo.

devo procedere con la parte 2?

Quote:

Originariamente inviato da giomero

Prevx 3.0 ha rilevato Rootkit $mbr.0 in c:\ Posto i due log ,e cerco aiuto.

http://wikisend.com/download/470382/prevx log.log
http://wikisend.com/download/501472/GMER LOG.log

Grazie

Ripetete entrambi scansione con Prevx, terminata la stessa allegate su http://imageshack.us/ lo Screenshot della finestra di Prevx.

[Ade^^]

chill-out putroppo non riesco più nemmeno a terminare la scansione cn Prevx che mi si blocca il pc (poco fa si è anche riavviato da solo).
Tra l'altro avevo anche provato a portarmi avanti con il lavoro iniziando le scansioni con Stealth MBR rootkit detector nella fase 2 e il programma non mi parte nemmeno in modalità provvisoria..quindi ho deciso di fare un format.

ma se formatto risolvo il problema,vero?

[Chill-Out]

Quote:

Originariamente inviato da Ade^^

chill-out putroppo non riesco più nemmeno a terminare la scansione cn Prevx che mi si blocca il pc (poco fa si è anche riavviato da solo).
Tra l'altro avevo anche provato a portarmi avanti con il lavoro iniziando le scansioni con Stealth MBR rootkit detector nella fase 2 e il programma non mi parte nemmeno in modalità provvisoria..quindi ho deciso di fare un format.

ma se formatto risolvo il problema,vero?

Se formatti a basso livello.

[giomero]

Quote:

Originariamente inviato da Chill-Out

Ripetete entrambi scansione con Prevx, terminata la stessa allegate su http://imageshack.us/ lo Screenshot della finestra di Prevx.

http://wikisend.com/download/501182/log 2.log

[giomero]

vedi se e' questo?
Ciao

[andreaxpr]

ciao, ho avuto lo stesso problema di ''ade'' con il virus BOO/Sinowal.E, ho provato entrambi i programmi che consiglia ''avira'' lanciandoli dal bios ma non ho ottenuto nessun risultato.
Inizialmente avevo provato a formattare, ma dopo il ripristino i virus sono sopravvissuti.

Ho seguito poi la guida, scaricando i due programmi che consiglia ( prevx e gmer ) e ho sistemato tutto; Prevx me ne ha eliminato uno e gmer gli altri due, senza bisogno di passare alla fase successiva.
Ora avira non segnala più nulla e finalmente il windows non si blocca ( prima mi costringeva a riavviare utilizzando il tasto)

[wjmat]

Quote:

Originariamente inviato da Ade^^

chill-out putroppo non riesco più nemmeno a terminare la scansione cn Prevx che mi si blocca il pc (poco fa si è anche riavviato da solo).
Tra l'altro avevo anche provato a portarmi avanti con il lavoro iniziando le scansioni con Stealth MBR rootkit detector nella fase 2 e il programma non mi parte nemmeno in modalità provvisoria..quindi ho deciso di fare un format.

ma se formatto risolvo il problema,vero?

visto che il pc è intrattabile e forse c'è dell'altro puoi operare in altro modo

per eliminare MBR
accedi la console di ripristino di Windows
digita FIXMBR batti invio e premi Y per confermare
digita EXIT per uscire

se poi il pc è ancora intrattabile

prova con un rescue cd, effettuerai una scansione antivirus partendo direttamente dal cd indifferentemente dallo stato del tuo sistema operativo

• scarica l'immagine l'ISO del cd o l'eseguibile che permette di creare l'ISO o masterizzare direttamente
• masterizza l'immagine iso su un cd e lascialo inserito al termine
• riavvia il pc e batti un tasto per avviare dal cd, se non lo fa imposta il boot da cd
• attendi il caricamento ed effettua una scansione completa rimuovendo ogni file infetto trovato come indicato in guida

guida e link al rescue cd di avira
guida e link al rescue cd di kaspersky

successivamente log di prevx

[wjmat]

Quote:

Originariamente inviato da andreaxpr

ciao, ho avuto lo stesso problema di ''ade'' con il virus BOO/Sinowal.E, ho provato entrambi i programmi che consiglia ''avira'' lanciandoli dal bios ma non ho ottenuto nessun risultato.
Inizialmente avevo provato a formattare, ma dopo il ripristino i virus sono sopravvissuti.

Ho seguito poi la guida, scaricando i due programmi che consiglia ( prevx e gmer ) e ho sistemato tutto; Prevx me ne ha eliminato uno e gmer gli altri due, senza bisogno di passare alla fase successiva.
Ora avira non segnala più nulla e finalmente il windows non si blocca ( prima mi costringeva a riavviare utilizzando il tasto)

ciao

se vuoi caricarci i log per controllo

[Chill-Out]

Quote:

Originariamente inviato da giomero

vedi se e' questo?
Ciao

Come immaginavo, al termine della scansione Prevx ti propone la rimozione gratuita F = Free to cleanup, ripeti scansione ed al temrine clicca su Cleanup Now

[polez75]

Salve,
ho il problema che mi si blocca il pc...ad ogni avvio mi compare la finestra con scritto NTVDM HA RILEVATO UN ERRORE DI SISTEMA C0H etc...cosa puo essere...qui ci sono i log
http://wikisend.com/download/466342/prevx.log
http://wikisend.com/download/482532/gmer.log
Aiuto prima di passare alla fase 2!
grazie!

[polez75]

aiutatemi mi dice ntvdm ha rilevato un errore di sistema, ecco i log:
http://wikisend.com/download/954820/prevx.log
http://wikisend.com/download/140878/gmer.log

non so come fare si blocca dopo 2 minuti il pc...

[wjmat]

Quote:

Originariamente inviato da polez75

Salve,
ho il problema che mi si blocca il pc...ad ogni avvio mi compare la finestra con scritto NTVDM HA RILEVATO UN ERRORE DI SISTEMA C0H etc...cosa puo essere...qui ci sono i log
http://wikisend.com/download/466342/prevx.log
http://wikisend.com/download/482532/gmer.log
Aiuto prima di passare alla fase 2!
grazie!

ciao

dopo la scansione con prevx ti compare questa possibilità?
http://www.hwupgrade.it/forum/showpo...postcount=1515

[polez75]

Quote:

Originariamente inviato da wjmat

ciao

dopo la scansione con prevx ti compare questa possibilità?
http://www.hwupgrade.it/forum/showpo...postcount=1515

Si, mi rilevava un file infetto, gli ho fatto fare la pulizia e ora al riavvio rifacendo la scansione non mi trova più nessun file infetto...ora che devo fare?
Grazie per la risposta!!!

[wjmat]

Quote:

Originariamente inviato da polez75

Si, mi rilevava un file infetto, gli ho fatto fare la pulizia e ora al riavvio rifacendo la scansione non mi trova più nessun file infetto...ora che devo fare?
Grazie per la risposta!!!

carica un nuovo log di prevx