Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[simo125]

Quote:

Originariamente inviato da Chill-Out

Aggiorna Antivir, ripeti scansione completa ed allega il log.

ecco il report di avira
http://wikisend.com/download/538346/...7-52413E3B.LOG
mi sembra tutto ok
grazie

[Chill-Out]

Quote:

Originariamente inviato da simo125

ecco il report di avira
http://wikisend.com/download/538346/...7-52413E3B.LOG
mi sembra tutto ok
grazie

Tutto ok, ma configura Avira esattamente come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684

[simo125]

Quote:

Originariamente inviato da Chill-Out

Tutto ok, ma configura Avira esattamente come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684

Certo, lo stavo giusto facendo. Grazie e complimenti per la celerità delle risposte, forum utilissimo.

[Chill-Out]

Quote:

Originariamente inviato da simo125

Certo, lo stavo giusto facendo. Grazie e complimenti per la celerità delle risposte, forum utilissimo.

Prego

[Bukozzi]

Quote:

Originariamente inviato da wjmat

la prima fase prevede di caricare i log di gmer e prevx

i log di gmer e mbr possono rimanere sporchi anche dopo la pulizia

Ecco il log di gmer (2MB)
(è normale che a fine scansione il pc mi si sia bloccato per mancanza di risorse?)
http://wikisend.com/download/446650/gmer.log

PrevX invece non ha rilevato nessun tipo di errore.

[Bukozzi]

Dopo aver cancellato le dir che il rootkit creava ad ogni avvio, ho riavviato la macchina 2-3 volte e per ora non sta ricreando le cartelle.
E' un buon segno o è del tutto casuale, considerando che mbr.exe continua a dire che sono infetto?

[stelle]

Su un pc di un mio amico (primo HD con due partizioni: la prima con SO XP pro e la seconda con XP 64bit) Avira ha rilevato SinowallA
Abbiamo provato a eliminarlo con il disco di XP pro dal recovery lanciando Fixmbr ma senza successo.
Questi sono i file log che sono stati creati secondo le istruzioni all'inizio del topic

Log rimossi, leggere la Guida in prima pagina.

Grazie per l'assistenza

[Coma White]

Salve a tutti, è da stamattina che ho iniziato ad avere problemi sul portatile.

Sono andato su un sito, mi si è aperto il banner a quel punto il pc s'è inchiodato.
Tutto il SO si blocca e nemmeno il taskmanager è più apribile, perciò l'unica è spegnere e riavviare.
Non c'è un tempo regolare in cui si manifesta la cosa, può essere subito o dopo un quarto d'ora, a volte si blocca lanciando un segnale simile a una sirena, in ogni caso il SO è molto rallentato rispetto al solito.

Ho provato a fare checkdisk, defrag, scansione con avast, spybot, controllo memoria, niente.

Alla fine provo a far partire il tool di diagnostica del Toshiba e mi compare il messaggio "ntvdm ha rilevato un errore di sistema"... una ricerca su google e arrivo qua.
Ora, ho provato a fare scansione con Gmer e con Prevx, ma non mi viene rilevato niente di anomalo.
Ho provato a mettere anche il Dr Web, ma appena provo a farlo partire il pc si riavvia.

[Coma White]

Ora ho provato pure ad andare nella Console di Ripristino per tentare il fix mbr, ma mi si impalla il pc pure lì.

[WHacko]

Salve a tutti,
innanzitutto ringrazio in anticipo chiunque di voi sia disposto ad aiutarmi ho qui un pc su cui antivir ha identificato un malware nel boot sector, il pc mi si impalla dopo 30 secondi che è acceso e posso muovermi esclusivamente in modalità provvisoria

ho svolto la fase preliminare e la prima, ecco i report

gmer.txt
prevx3.log

è necessario passare alla seconda fase?

[SCHUMINO]

Quote:

Originariamente inviato da wjmat

prosegui fino in fondo
il log di mbr può rimanere sporco anche se il rootkit non c'è più

Allego i log delle scansioni finali:

gmer final.log

prevx final.log

cureit filtrato.txt

sembra che cureit riconosce i file di prevx e spybot come virus..... sbaglio?

[Chill-Out]

Quote:

Originariamente inviato da WHacko

Salve a tutti,
innanzitutto ringrazio in anticipo chiunque di voi sia disposto ad aiutarmi ho qui un pc su cui antivir ha identificato un malware nel boot sector, il pc mi si impalla dopo 30 secondi che è acceso e posso muovermi esclusivamente in modalità provvisoria

ho svolto la fase preliminare e la prima, ecco i report

gmer.txt
prevx3.log

è necessario passare alla seconda fase?

Ripeti scansione con Prevx e procedi con la rimozione gratutita solo dopo aver disabilitato Antivir

F = Free to cleanup

al termine allega nuovo log

[wjmat]

Quote:

Originariamente inviato da SCHUMINO

Allego i log delle scansioni finali:

gmer final.log

prevx final.log

cureit filtrato.txt

sembra che cureit riconosce i file di prevx e spybot come virus..... sbaglio?

mi sembra tutto ok
si cureit ha segnalato dei falsi positivi di prevx
proseguigui con il trattamento in firma

[Chill-Out]

Quote:

Originariamente inviato da SCHUMINO

Allego i log delle scansioni finali:

gmer final.log

prevx final.log

cureit filtrato.txt

sembra che cureit riconosce i file di prevx e spybot come virus..... sbaglio?

Si, comunque dovremmo essere ok.

[SCHUMINO]

Quote:

Originariamente inviato da wjmat

mi sembra tutto ok
si cureit ha segnalato dei falsi positivi di prevx
proseguigui con il trattamento in firma

cos'è il trattamento in firma? scusa la mia ignoranza...

Comunque, non so se ho sbagliato io qualcosa, ma i tempi di scansione di cureit sono assurdi: la mia è finita questa notte con una durata di oltre 8 ore....

adesso sto scansionando tutto con avira, aggiornato a ieri perché oggi non ne vuol sapere, speriamo non trovi nulla....

[Chill-Out]

Quote:

Originariamente inviato da SCHUMINO

cos'è il trattamento in firma? scusa la mia ignoranza...

http://www.hwupgrade.it/forum/showthread.php?t=1726383

Quote:

Comunque, non so se ho sbagliato io qualcosa, ma i tempi di scansione di cureit sono assurdi: la mia è finita questa notte con una durata di oltre 8 ore....

Normale

[SCHUMINO]

Quote:

Originariamente inviato da Chill-Out

http://www.hwupgrade.it/forum/showthread.php?t=1726383



Normale

Finita la scansione con AVIRA, 13 rilevamenti, alcuni sono keymaker o keygen in file compattati: ma quando un trojan è in un file compresso può dar problemi?

Allego il log ed attendo notizie
AVSCAN-20091029-085735-2A14A343.LOG

[stelle]

Quote:

Originariamente inviato da stelle

Su un pc di un mio amico (primo HD con due partizioni: la prima con SO XP pro e la seconda con XP 64bit) Avira ha rilevato SinowallA
Abbiamo provato a eliminarlo con il disco di XP pro dal recovery lanciando Fixmbr ma senza successo.
Questi sono i file log che sono stati creati secondo le istruzioni all'inizio del topic

Log rimossi, leggere la Guida in prima pagina.

Grazie per l'assistenza

Ho provato a metterli secondo la guida ma sono più grandi di 27KB e non mi permette di scaricarli.
Come devo fare?
Scusa. MI era sfuggito proprio all'inizio.
Provvedo immediatamente

[wjmat]

Quote:

Originariamente inviato da SCHUMINO

Finita la scansione con AVIRA, 13 rilevamenti, alcuni sono keymaker o keygen in file compattati: ma quando un trojan è in un file compresso può dar problemi?

Allego il log ed attendo notizie
AVSCAN-20091029-085735-2A14A343.LOG

i keygen vanno eliminati sempre altrimenti l'assistenza finisce qui

[Adriano_87]

ciao a tutti
ho un pc di un amico che dice andava molto lento nonostante l'aveva riformattato da 5 giorni perchè c'eran dei virus...faccio una scansione con avira e mi si blocca tutto il pc quando arriva a trovare un'infezione:
"Record master di avvio dell'Hard Disk 0
Contiene il codice del virus del settore di avvio BOO/Sinowal.E"
io ho seguito questa procedure a questo link per toglierlo: http://www.tomshw.it/forum/sicurezza...-disk-0-a.html

volevo sapere è affidabile come procedura oppure no?
intanto sto facendo una scansione con gmer, seguendo la vostra guida...poi vi posterò i result...ma pensate che posso averlo già tolto con l'altra guida o non c'è speranza?
grazie
ciao