Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT - Pagina 96

**Chill-Out** · 14-11-2009, 20:22

Quote:

Originariamente inviato da reira83

Eccomi. Ho fatto un po' di confusione, seguendo i passi della disinfezione, perchè come dicevo prima, GMER si rifiuta di fare la scansione, A-Squared Free non sono riuscita a scaricarlo (impossibile scaricare uno degli exe di cui è costituito). Quindi purtroppo ciò che ho fatto non è completo, ma quello che è certo è che ho il rootkit, perchè Dr.Web l'ha trovato. Andando perciò con ordine:

-Malawarebytes: 0 file infetti, cmq log: malawarebytes-mbam-log-2009-11-14 (15-27-27).txt
-A-Squared Free: non me lo fa scaricare
-F-Secure Online Scanner: Online Scanner - Scanning Report - Saturday, November 14, 2009 181329.mht
-Dr Web CureIT: cureit filtrato.txt
-Eset Sysinspector: SysInspector-WORKING-2084B72-091114-1907.xml
-Hjackthis: hijackthis.log
-Gmer impossibile fare scan
-Prevx: stamp risultato prevx stamp.doc
Log (non posso fare clean up perchè è tutto a pagamento) log prevx.log

Spero sia sufficiente, grazie ai dottori che potranno aiutarmi!

Ciao, la Guida da seguire è quella in prima pagina http://www.hwupgrade.it/forum/showthread.php?t=1715546 attendiamo il log per il controllo (Gmer escluso)

wjmat · 14-11-2009, 20:44

Quote:

Originariamente inviato da panfilo81

I log ci sono tutti!
scorri in alto!
grazie cmq dell'aiuto

procedi con la scansione di cureit

arles10 · 14-11-2009, 20:57

Quote:

Originariamente inviato da Chill-Out

Ciao, allega i log inerenti la Seconda Fase

ti ringrazio per l'interessamento
allora questo e' il log di mbr:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

mentre questo e' l'altro NFix_2009-11-14_16-10-03.log

**Chill-Out** · 14-11-2009, 20:59

Quote:

Originariamente inviato da arles10

ti ringrazio per l'interessamento
allora questo e' il log di mbr:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

mentre questo e' l'altro NFix_2009-11-14_16-10-03.log

Ok, il log di Stealth MBR rootkit/Mebroot/Sinowal detector è confortante, adesso produci il log di DrWeb CureIt (scansione completa)

arles10 · 14-11-2009, 21:01

Quote:

Originariamente inviato da Chill-Out

Ok, il log di Stealth MBR rootkit/Mebroot/Sinowal detector è confortante, adesso produci il log di DrWeb CureIt (scansione completa)

qui arriva il problema perche' appena avvio la scansione il computer si riavvia...

cosa mi consigli di fare?

**Chill-Out** · 14-11-2009, 21:04

Quote:

Originariamente inviato da arles10

qui arriva il problema perche' appena avvio la scansione il computer si riavvia...

cosa mi consigli di fare?

Hai provato prima o dopo aver eseguito la Seconda Fase?

arles10 · 14-11-2009, 21:07

Quote:

Originariamente inviato da Chill-Out

Hai provato prima o dopo aver eseguito la Seconda Fase?

guarda ho fatto un po un miscuglio: sia prima che dopo credo, si riavvia sempre..
mi consigli di riprovare? in modalita' provvisoria cambia qualcosa?

**Chill-Out** · 14-11-2009, 21:09

Quote:

Originariamente inviato da arles10

guarda ho fatto un po un miscuglio: sia prima che dopo credo, si riavvia sempre..
mi consigli di riprovare? in modalita' provvisoria cambia qualcosa?

Prova prima in modalità normale.

arles10 · 14-11-2009, 21:11

Quote:

Originariamente inviato da Chill-Out

Prova prima in modalità normale.

ok ora provo ma credo he l'esito sara' il solito....

asp 1 minuto

arles10 · 14-11-2009, 21:14

Quote:

Originariamente inviato da arles10

ok ora provo ma credo he l'esito sara' il solito....

asp 1 minuto

niente da fare: quando clicco su ok(per avviare la scansione) si riavvia il PC

**Chill-Out** · 14-11-2009, 21:19

Quote:

Originariamente inviato da arles10

niente da fare: quando clicco su ok(per avviare la scansione) si riavvia il PC

Prima di provare in provvisoria, produci i log di una scansione completa con il tuo AV residente.

arles10 · 14-11-2009, 21:20

Quote:

Originariamente inviato da Chill-Out

Prima di provare in provvisoria, produci i log di una scansione completa con il tuo AV residente.

ok
pero' ci vorra' un po
cmq l'antivirus non rileva nulla

arles10 · 14-11-2009, 21:25

Quote:

Originariamente inviato da arles10

ok
pero' ci vorra' un po
cmq l'antivirus non rileva nulla

guarda avevo fatto una scansione oggi pomeriggio, ecco il log

AVSCAN-20091114-124052-7F999375.LOG

Kierkegaard · 14-11-2009, 21:38

Salve a tutti.
Putroppo avevo preso anche io un virus mbr, che nod32 non era riuscito a togliere. Ho formattato tutto + volte, fatto fix mbr. ora sia cureit, sia prevx, sia nod32, sia live onecare, non trovano nulla, anche gmer pare non trovare nulla, ma a volte trovare un file in temp che non esiste....
Il problema è che anche se con tool per verificare la partizione risulta tutto a posto (active partition table) il tool mbr.exe continua a darmi questo errore.

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01D1C06C0
malicious code @ sector 0x01D1C06C3 !
PE file found in sector at 0x01D1C06D9 !

ho effettuato + volte il tool con -f in modalità provvisoria etc ma nulla da fare. continua a trovare quello. a questo punto anche se tutti gli av non hanno trovato nulla c'è o no un virus?
grazie

artigianoin · 14-11-2009, 22:51

Ho lo stesso identico problema.
Su un pc con HD diviso in due partizioni, una con i file per il ripristino del sistema operativo 4 GB circa e l'altra con xp programmi ecc ecc.
Dopo vari tentatitivi fatti con mbr e con drweb, all'ultimo riavvio e salto tutto, da risorse del computer vedo solo la partizione da 4 gb, da strumenti di amministrazione vedo le due partizioni attive ma non posso accedere ne all'una ne all'altra.

**Chill-Out** · 14-11-2009, 23:16

Quote:

Originariamente inviato da arles10

guarda avevo fatto una scansione oggi pomeriggio, ecco il log

AVSCAN-20091114-124052-7F999375.LOG

Configura Antivir come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 e ripeti scansione completa, comunque direi che siamo a posto e tralasciare CureIt.

**Chill-Out** · 14-11-2009, 23:17

Quote:

Originariamente inviato da Kierkegaard

Salve a tutti.
Putroppo avevo preso anche io un virus mbr, che nod32 non era riuscito a togliere. Ho formattato tutto + volte, fatto fix mbr. ora sia cureit, sia prevx, sia nod32, sia live onecare, non trovano nulla, anche gmer pare non trovare nulla, ma a volte trovare un file in temp che non esiste....
Il problema è che anche se con tool per verificare la partizione risulta tutto a posto (active partition table) il tool mbr.exe continua a darmi questo errore.

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01D1C06C0
malicious code @ sector 0x01D1C06C3 !
PE file found in sector at 0x01D1C06D9 !

ho effettuato + volte il tool con -f in modalità provvisoria etc ma nulla da fare. continua a trovare quello. a questo punto anche se tutti gli av non hanno trovato nulla c'è o no un virus?
grazie

Come indicato in Guida allega i log della Prima Fase

Sciaracastro · 14-11-2009, 23:18

Quote:

Originariamente inviato da Sciaracastro

Quote:

Originariamente inviato da Chill-Out

Da mod. normale, in che senso ignori le segnalazione del Sinowal?

nel senso che l'unica opzione possibile che mi dà l'antivirus è quella di eliminare il file, ma trattandosi dell'MBR credo non debba cancellarlo...

vi siete dimenticati di me

**Chill-Out** · 14-11-2009, 23:22

Quote:

Originariamente inviato da artigianoin

Ho lo stesso identico problema.
Su un pc con HD diviso in due partizioni, una con i file per il ripristino del sistema operativo 4 GB circa e l'altra con xp programmi ecc ecc.
Dopo vari tentatitivi fatti con mbr e con drweb, all'ultimo riavvio e salto tutto, da risorse del computer vedo solo la partizione da 4 gb, da strumenti di amministrazione vedo le due partizioni attive ma non posso accedere ne all'una ne all'altra.

Neanche col tasto dx del mouse?

**Chill-Out** · 14-11-2009, 23:24

Quote:

Originariamente inviato da Sciaracastro

vi siete dimenticati di me

Imposta Antivir come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 fai scansione completa in mod.normale ed allega il log.

14-11-2009, 21:38	#1914
Kierkegaard Member Iscritto dal: Jul 2002 Messaggi: 192	Salve a tutti. Putroppo avevo preso anche io un virus mbr, che nod32 non era riuscito a togliere. Ho formattato tutto + volte, fatto fix mbr. ora sia cureit, sia prevx, sia nod32, sia live onecare, non trovano nulla, anche gmer pare non trovare nulla, ma a volte trovare un file in temp che non esiste.... Il problema è che anche se con tool per verificare la partizione risulta tutto a posto (active partition table) il tool mbr.exe continua a darmi questo errore. Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK copy of MBR has been found in sector 0x01D1C06C0 malicious code @ sector 0x01D1C06C3 ! PE file found in sector at 0x01D1C06D9 ! ho effettuato + volte il tool con -f in modalità provvisoria etc ma nulla da fare. continua a trovare quello. a questo punto anche se tutti gli av non hanno trovato nulla c'è o no un virus? grazie __________________ Asus Rampage Formula - E8400@3600 - Zalman 9500nt - Lian-Li v2100Plus II - 4x2gb G.skill 8500@1066 - 2x250 Gb WD 16 raid0 - Zalman 1000W - CF Asus Radeon 5770 1024 @ 960/1205 + Asus Radeon 5770 CuCore - x-fi elite pro - Samsung 2493HM

14-11-2009, 22:51	#1915
artigianoin Junior Member Iscritto dal: Feb 2009 Messaggi: 4	Ho lo stesso identico problema. Su un pc con HD diviso in due partizioni, una con i file per il ripristino del sistema operativo 4 GB circa e l'altra con xp programmi ecc ecc. Dopo vari tentatitivi fatti con mbr e con drweb, all'ultimo riavvio e salto tutto, da risorse del computer vedo solo la partizione da 4 gb, da strumenti di amministrazione vedo le due partizioni attive ma non posso accedere ne all'una ne all'altra.

Strumenti
Mostra una versione stampabile Invia questa pagina per email