Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[albys]

Quote:

Originariamente inviato da Chill-Out

Per scrupolo fai scansione con Cureit ed allega il log, mentre per HelpAssistant procedi così:

Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer

Utenti - tasto dx del mouse su HelpAssistant e disabilitalo

Fatto girare Cureit, ecco il log:
http://wikisend.com/download/619090/CureIt.log

Curioso come abbia trovato un solo file sospetto (messo in quarantena), che altri non è che l'install del Prevx...

Come mai questa cosa?

Per la cartella HelpAssistant, ho seguito le tue parole e sono arrivato a Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer - Utenti e gruppi locali - users.
Ora c'è HelpAssistant, ma ho un dubbio: se vado col tasto destro devo fare ELIMINA oppure andare su PROPRIETA' e spuntare la casellina ACCOUNT DISABILITATO?
Sarà un dubbio stupido, forse... ma tu hai scritto di disabilitarlo, non eliminarlo.
Devo fare ELIMINA?

Grazie!

[xbeppex]

Quote:

Originariamente inviato da Chill-Out

NOTA BENE:
1 - AL FINE DI MANTENERE IL THREAD ORDINATO E FRUIBILE HOSTATE I LOG SOLO ED ESCLUSIVAMENTE IN FORMATO .TXT SU http://fileqube.com/ in alternativa su http://wikisend.com/ PUBBLICANDO PER OGNI LOG IL LINK CHE VERRA' RILASCIATO PER IL DOWNLOAD
2 - E' OPPORTUNO LEGGERE ATTENTAMENTE TUTTA LA GUIDA

http://wikisend.com/download/491006/Prevx1.log

[xbeppex]

Quote:

Originariamente inviato da xbeppex

http://wikisend.com/download/491006/Prevx1.log

e quest altro è il log di Gmer..finita ora la scansione..

http://wikisend.com/download/456000/Gmer

dagli un occhiata e poi dimmi ke devo fare..qui è difficle pure comunicare con voi sul web..dato i crash e rallentamenti

[Chill-Out]

Quote:

Originariamente inviato da albys

Fatto girare Cureit, ecco il log:
http://wikisend.com/download/619090/CureIt.log

Curioso come abbia trovato un solo file sospetto (messo in quarantena), che altri non è che l'install del Prevx...

Come mai questa cosa?

CureIt vede un'infezione che non c'è

Quote:

Per la cartella HelpAssistant, ho seguito le tue parole e sono arrivato a Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer - Utenti e gruppi locali - users.
Ora c'è HelpAssistant, ma ho un dubbio: se vado col tasto destro devo fare ELIMINA oppure andare su PROPRIETA' e spuntare la casellina ACCOUNT DISABILITATO?
Sarà un dubbio stupido, forse... ma tu hai scritto di disabilitarlo, non eliminarlo.
Devo fare ELIMINA?

Grazie!

Disabilita

[albys]

Quote:

Originariamente inviato da Chill-Out

Disabilita

Fatto (tasto destro-proprietà-messo spunta a: account disabilitato).
Ma quindi i 650 mega della cartella HelpAssistant mi restano sul pc?
Speravo di poterli cancellare...

[xbeppex]

Chill-Out hai dato un occhiata ai miei file?
qui la situazione è critica!

[Chill-Out]

Quote:

Originariamente inviato da albys

Fatto (tasto destro-proprietà-messo spunta a: account disabilitato).
Ma quindi i 650 mega della cartella HelpAssistant mi restano sul pc?
Speravo di poterli cancellare...

Hai riavviato il PC dopo aver disabilitato HelpAssistant?

[Chill-Out]

Quote:

Originariamente inviato da xbeppex

Chill-Out hai dato un occhiata ai miei file?
qui la situazione è critica!

Dai log non emergono tracce del Rootkit

[xbeppex]

Quote:

Originariamente inviato da Chill-Out

Dai log non emergono tracce del Rootkit

e quindi cosa caspita sta succedendo al mio pc? ti spiego..se apro MSN nn entra..mi da un errore..se vado sulla specifica dice :

AppName: wlcomm.exe AppVer: 14.0.8064.206 ModName: ntdll.dll
ModVer: 5.1.2600.2180 Offset: 00031c6b

se apro emule invece mi parte..ma dopo 40 secondi errore..
inoltre..xke fino a ieri prevx mi trovare un certo mhkj nella cartella help assistant? la quale se provo a cancellarla ricompare..
mmm..molto strano.. sul web sembra ke ho questo malware..e invece dalle scansioni niente..
cosa posso fare? magari disinstallo tutto (msn e emule) =?

[Chill-Out]

Quote:

Originariamente inviato da xbeppex

e quindi cosa caspita sta succedendo al mio pc? ti spiego..se apro MSN nn entra..mi da un errore..se vado sulla specifica dice :

AppName: wlcomm.exe AppVer: 14.0.8064.206 ModName: ntdll.dll
ModVer: 5.1.2600.2180 Offset: 00031c6b

se apro emule invece mi parte..ma dopo 40 secondi errore..
inoltre..xke fino a ieri prevx mi trovare un certo mhkj nella cartella help assistant? la quale se provo a cancellarla ricompare..
mmm..molto strano.. sul web sembra ke ho questo malware..e invece dalle scansioni niente..
cosa posso fare? magari disinstallo tutto (msn e emule) =?

Hai salvato il log di Prevx inerente questo mhkj

[xbeppex]

Quote:

Originariamente inviato da Chill-Out

Hai salvato il log di Prevx inerente questo mhkj

no purtroppo nn ce l ho piu..pero mi sembra strano ke prima lo rileva e poi no..
ieri me lo rilevava..oggi l ho disinstallato..reinstallato..e nn lo trovo piu..mi sa ke questi programmi non sono granche..
cmq se dovesse ritrovarlo salvo il log..pero intanto nn so ke fare..

[Chill-Out]

Quote:

Originariamente inviato da xbeppex

no purtroppo nn ce l ho piu..pero mi sembra strano ke prima lo rileva e poi no..
ieri me lo rilevava..oggi l ho disinstallato..reinstallato..e nn lo trovo piu..mi sa ke questi programmi non sono granche..
cmq se dovesse ritrovarlo salvo il log..pero intanto nn so ke fare..

Per poter approfondire abbiamo bisogno di vedere il log della Seconda Fase

[xbeppex]

Quote:

Originariamente inviato da Chill-Out

Per poter approfondire abbiamo bisogno di vedere il log della Seconda Fase

ovvero? ke devo fare?
ora sto facendo la scansione eset online

[albys]

Quote:

Originariamente inviato da Chill-Out

Hai riavviato il PC dopo aver disabilitato HelpAssistant?

Sì, e la cartella HelpAssistant c'è ancora...

[Chill-Out]

Quote:

Originariamente inviato da albys

Sì, e la cartella HelpAssistant c'è ancora...

Sempre da Gestione computer - tasto dx del mouse su Proprietà - Membro di - se HelpAssistant è all'interno del box bianco selezionalo e rimuovilo cliccando sul tasto Rimuovi

Riavvia il PC e fammi sapere

[Chill-Out]

Quote:

Originariamente inviato da xbeppex

ovvero? ke devo fare?
ora sto facendo la scansione eset online

La Guida da seguire è questa http://www.hwupgrade.it/forum/showpo...77&postcount=1

[albys]

Quote:

Originariamente inviato da Chill-Out

Sempre da Gestione computer - tasto dx del mouse su Proprietà - Membro di - se HelpAssistant è all'interno del box bianco selezionalo e rimuovilo cliccando sul tasto Rimuovi

Riavvia il PC e fammi sapere

Scusa se magari sono ridondante, ma non vorrei combinare casini.

Se da Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer - Utenti e gruppi locali - users - HelpAssistant - faccio tasto destro - Proprietà - Membro di
all'interno del box bianco ho Administrators
E' questo Administrators all'interno del box bianco che devo selezionare e rimuovere clickando su Rimuovi, giusto?
Perchè in pratica questo HelpAssistant, seppur disabilitato, continua a essere membro di Administrators... ho capito bene?

[g_u_e_s_s]

Quote:

Originariamente inviato da wjmat

ciao

prevx ha fatto il suo dovere per la parte inerente a mbr
passa alla terza fase e vediamo se cureit trova infette le altre voci rilevate da prevx

ecco il log filtrato di CureIt
cureit filtrato.txt

questa invece è la schermata
CureIt.png

L'estensione di Thuderbird "OpenAllLinks"...è da considerarsi davvero infetta?
La posso disinstallare.

PdfMachine invece secondo me è a posto...!
Manon mi faceva continuare se non lo spostavo!!
Come posso recuperarlo?

Poi: per eliminare la cartella HelpAssistant devo procedere come avete spiegato ad albys nei messaggi precedenti?
Io però in Pannello di controllo --> Strumenti di amministrazione --> Gestione computer NON ho una voce che si chiama Utenti.... :-(
GestioneUtenti.png

Grazie mille, anzi un milione!

[Chill-Out]

Quote:

Originariamente inviato da albys

Scusa se magari sono ridondante, ma non vorrei combinare casini.

Se da Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer - Utenti e gruppi locali - users - HelpAssistant - faccio tasto destro - Proprietà - Membro di
all'interno del box bianco ho Administrators
E' questo Administrators all'interno del box bianco che devo selezionare e rimuovere clickando su Rimuovi, giusto?
Perchè in pratica questo HelpAssistant, seppur disabilitato, continua a essere membro di Administrators... ho capito bene?

Si

[Chill-Out]

Quote:

Originariamente inviato da g_u_e_s_s

ecco il log filtrato di CureIt
cureit filtrato.txt

questa invece è la schermata
CureIt.png

L'estensione di Thuderbird "OpenAllLinks"...è da considerarsi davvero infetta?
La posso disinstallare.

PdfMachine invece secondo me è a posto...!
Manon mi faceva continuare se non lo spostavo!!
Come posso recuperarlo?

Poi: per eliminare la cartella HelpAssistant devo procedere come avete spiegato ad albys nei messaggi precedenti?
Io però in Pannello di controllo --> Strumenti di amministrazione --> Gestione computer NON ho una voce che si chiama Utenti.... :-(
GestioneUtenti.png

Grazie mille, anzi un milione!

Ciao, allega un nuovo log di Prevx, dopo affrontiamo il discorso HelpAssistant