Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[mexcal]

Salve.
Credo di avere un problema con un boot virus ed è abbastanza rognoso.
Ho provato di tutto ma non riesco a venirne a capo. Anzitutto il pc non parte in modalità provvisoria, nemmeno con msconfig. Inoltre avevo tentato anche con il disco avira rescue, ma niente il programma a un certo punto si blocca.
Posto i log di prevx e gmer sperando che possiate darmi una mano.
grazie per la risposta



http://wikisend.com/download/617424/log Prevx.log
http://wikisend.com/download/679786/log Gmer.txt

[Chill-Out]

Quote:

Originariamente inviato da mexcal

Salve.
Credo di avere un problema con un boot virus ed è abbastanza rognoso.
Ho provato di tutto ma non riesco a venirne a capo. Anzitutto il pc non parte in modalità provvisoria, nemmeno con msconfig. Inoltre avevo tentato anche con il disco avira rescue, ma niente il programma a un certo punto si blocca.
Posto i log di prevx e gmer sperando che possiate darmi una mano.
grazie per la risposta



http://wikisend.com/download/617424/log Prevx.log
http://wikisend.com/download/679786/log Gmer.txt

Log puliti, se desideri fare un controllo approfondito segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

NB: i log andranno allegati in una nuova discussione che andrai ad aprire qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125

[lupos3]

credo che sia stato attaccato da qualche virus .
vi posto qualche log

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x06FC3DBF
malicious code @ sector 0x06FC3DC2 !
PE file found in sector at 0x06FC3DD8 !

che mi consigliate di fare?

[wjmat]

Quote:

Originariamente inviato da lupos3

credo che sia stato attaccato da qualche virus .
vi posto qualche log

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x06FC3DBF
malicious code @ sector 0x06FC3DC2 !
PE file found in sector at 0x06FC3DD8 !

che mi consigliate di fare?

ciao

seguire la guida del 1° post
eventualmente prevx dovrebbe proporti la rimozione manuale di mbr

[icarosat]

avira mi ha trovato un virus (BOO/Sinowal.E) nel Record master di avvio dell'Hard Disk 0

ho eseguito la procedura indicata in prima pagina e questo è il log di prevx PREVX_log.log, e questo quello di gmer.log
che dite ho eliminato il virus ? ovviamente avira non mi trova più niente ....



ciao e grazie

[diavolo80]

Ciao,

anch'io ho lo stesso problema....prima di proseguire con la "seconda fase" allego i file di log di prevx e gmer nella speranza che possiate aiutarmi....

http://wikisend.com/download/606484/...di%20prevx.log
http://wikisend.com/download/122620/...0di%20gmer.txt

Grazie
Ciao

[wjmat]

Quote:

Originariamente inviato da icarosat

avira mi ha trovato un virus (BOO/Sinowal.E) nel Record master di avvio dell'Hard Disk 0

ho eseguito la procedura indicata in prima pagina e questo è il log di prevx PREVX_log.log, e questo quello di gmer.log
che dite ho eliminato il virus ? ovviamente avira non mi trova più niente ....



ciao e grazie

ciao

se l'hai eliminato con prevx ha fatto il suo dovere
ti consiglio il trattamento in firma per consigli vari tra cui aggiornare xp al sp3

[wjmat]

Quote:

Originariamente inviato da diavolo80

Ciao,

anch'io ho lo stesso problema....prima di proseguire con la "seconda fase" allego i file di log di prevx e gmer nella speranza che possiate aiutarmi....

http://wikisend.com/download/606484/...di%20prevx.log
http://wikisend.com/download/122620/...0di%20gmer.txt

Grazie
Ciao

ciao

prevx dovrebbe proporti la rimozione di mbr alla fine della scansione

[Cube88]

Salve a tutti, ho bisogno di una mano: siccome credo di avere anche io un boot virus (me lo segna Trend ChipAway Virus nel bios), ho effettuato le scansioni con Prevx e Gmer. Non ho trovato però le stringhe esatte riportate nel primo post della guida, ma Prevx mi segnala la presenza di un Rootkit chiamato $mbr.0 (ecco uno screenshot). Potrebbe essere questo? Come devo procedere?

log di Prevx: http://wikisend.com/download/150000/prevxlog.log

log di Gmer: http://wikisend.com/download/881800/gmerlog.txt

[Chill-Out]

Quote:

Originariamente inviato da Cube88

Salve a tutti, ho bisogno di una mano: siccome credo di avere anche io un boot virus (me lo segna Trend ChipAway Virus nel bios), ho effettuato le scansioni con Prevx e Gmer. Non ho trovato però le stringhe esatte riportate nel primo post della guida, ma Prevx mi segnala la presenza di un Rootkit chiamato $mbr.0 (ecco uno screenshot). Potrebbe essere questo? Come devo procedere?

log di Prevx: http://wikisend.com/download/150000/prevxlog.log

log di Gmer: http://wikisend.com/download/881800/gmerlog.txt

Ripeti scansione con Prevx e procedi cona la rimozione gratuita F = Free to cleanup

NB: se mi rialleghi lo screenshot di prex mi fai una cortesia utilizza la preview di http://www.imageshack.us/

[wjmat]

Quote:

Originariamente inviato da Cube88

Salve a tutti, ho bisogno di una mano: siccome credo di avere anche io un boot virus (me lo segna Trend ChipAway Virus nel bios), ho effettuato le scansioni con Prevx e Gmer. Non ho trovato però le stringhe esatte riportate nel primo post della guida, ma Prevx mi segnala la presenza di un Rootkit chiamato $mbr.0 (ecco uno screenshot). Potrebbe essere questo? Come devo procedere?

log di Prevx: http://wikisend.com/download/150000/prevxlog.log

log di Gmer: http://wikisend.com/download/881800/gmerlog.txt

ciao

riesegui la scansione con prevx e clicca su clean up, dovrebbe rimuovertelo gratuitamente
di seguito nuovo log

[Cube88]

Quote:

Originariamente inviato da Chill-Out

Ripeti scansione con Prevx e procedi cona la rimozione gratuita F = Free to cleanup

NB: se mi rialleghi lo screenshot di prex mi fai una cortesia utilizza la preview di http://www.imageshack.us/

Ho provato a fare la rimozione gratuita: Prevx mi dice che deve simulare la schermata blu di Windows per poterlo rimuovere. Ora il sistema è rimasto su questa schermata blu, devo aspettare che si riavvii da solo o devo forzarne io lo spegnimento?
Comunque rieccoti lo screenshot:

[wjmat]

Quote:

Originariamente inviato da Cube88

Ho provato a fare la rimozione gratuita: Prevx mi dice che deve simulare la schermata blu di Windows per poterlo rimuovere. Ora il sistema è rimasto su questa schermata blu, devo aspettare che si riavvii da solo o devo forzarne io lo spegnimento?
Comunque rieccoti lo screenshot:

da quanto dura la schermata blu?
le lucine del disco stanno lavorando?
dovrebbe essere un operazione veloce questa, se passano i dieci minuti spegni tenendo premuto power (no reset), sempre che non riesca nel modo classico

[Cube88]

Quote:

Originariamente inviato da wjmat

da quanto dura la schermata blu?
le lucine del disco stanno lavorando?
dovrebbe essere un operazione veloce questa, se passano i dieci minuti spegni tenendo premuto power (no reset), sempre che non riesca nel modo classico

Si, saranno sicuramente passati 10 minuti: la luce dell'HDD lampeggia rapidissimamente circa una volta al secondo, ma non sento il classico rumore che fa quando "lavora". Cosa devo fare, lo spengo tenendo premuto Power?

[Chill-Out]

Quote:

Originariamente inviato da Cube88

Si, saranno sicuramente passati 10 minuti: la luce dell'HDD lampeggia rapidissimamente circa una volta al secondo, ma non sento il classico rumore che fa quando "lavora". Cosa devo fare, lo spengo tenendo premuto Power?

No attendi almeno altri 10'

[Cube88]

Quote:

Originariamente inviato da Chill-Out

No attendi almeno altri 10'

Niente, è dalle 11:50 che è fermo sulla schermata blu...

[wjmat]

Quote:

Originariamente inviato da Cube88

Niente, è dalle 11:50 che è fermo sulla schermata blu...

mi sembra troppo...
riavvia e vediamo che succede

[Cube88]

Quote:

Originariamente inviato da wjmat

mi sembra troppo...
riavvia e vediamo che succede

Ho riavviato, ma il messaggio di Trend ChipAway Virus è riapparso, quindi immagino che il problema non sia stato risolto.
Adesso è ripartita la scansione di Prevx.

[Cube88]

Adesso la schermata blu mi è apparsa mentre faceva la scansione, come procedo?

[wjmat]

Quote:

Originariamente inviato da Cube88

Adesso la schermata blu mi è apparsa mentre faceva la scansione, come procedo?

riavvia e segui la seconda fase della guida