Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da Kierkegaard

Cuerit non trova niente.
non capisco come salvare log di cureit.
ma quindi mbr se rimane sporco anche dopo format, e parlo di format completo con installazione xp e non di format veloce, non bisognerebbe dirlo??
Sono 3 giorni che formatto per quel problema di mbr..........

E' scritto in Guida dove trovare il log, come deto in precedenza il log di Stealth MBR rootkit/Mebroot/Sinowal detector può rimanere "sporco".

In questo specifico caso formattare serve solo se lo si fa a basso livello.

[Framar1981]

Ciao a tutti,

è la prima volta che scrivo in questo forum, ho visto che ci sono delle ottime guide alla rimozione malware e spero possiate togliermi un dubbio che ho da un paio di giorni.
Dunque, dopo circa una settimana e grazie all'aiuto di alcune persone sono riuscito a risolvere il problema con la famosa cartella HelpAssistant, ora che ho disabilitato l'account fasullo e l'ho tolto dal gruppo degli amministratori il pc è tornato pimpante come prima, però io vorrei rimuovere fisicamente la cartella, ma quando vado a fare questa operazione tramite la funzione "cestino" mi arriva l'avviso che la cartella in questione contiene alcuni file importanti per il corretto funzionamento del pc, ad esempio come ntuser.ini ( mai sentito ).
Ora io credo che questi file siano tutti duplicati e che rimuovendoli non accada nulla, ma se potessi avere un'opinione da gente più esperta o che ha già svolto questa operazione di eliminazione mi sentirei più tranquillo nel rimuovere Helpassistant.
Qualcuno mi può aiutare?

Grazie

[reira83]

Ecco il log di Dr.Web CureIT scansione completa, Terza Fase:
cureit filtrato.txt

Cosa devo fare con i file che CureIT ha trovato? Devo curarli?
Grazie!

[Kierkegaard]

Ecco il cureit log

[Chill-Out]

Quote:

Originariamente inviato da reira83

Ecco il log di Dr.Web CureIT scansione completa, Terza Fase:
cureit filtrato.txt

Cosa devo fare con i file che CureIT ha trovato? Devo curarli?
Grazie!

Spostarli, esattamente come scritto in Guida.

[Chill-Out]

Quote:

Originariamente inviato da Kierkegaard

Ecco il cureit log

Dovremmo essere ok.

[reira83]

Quote:

Originariamente inviato da Chill-Out

Spostarli, esattamente come scritto in Guida.

Ok, fatto.
Come sono messa? Dovrebbe essere risolta?
Per adesso non si è verificato più nessun strano comportamento, solo una strana lentezza di MSN e blocco delle pagine della posta hotmail, però magari è indipendente, il messaggio di errore della Windows Live Communciations Platform non appare più.

Ringrazio intanto per l'aiuto!

[Chill-Out]

Quote:

Originariamente inviato da reira83

Ok, fatto.
Come sono messa? Dovrebbe essere risolta?
Per adesso non si è verificato più nessun strano comportamento, solo una strana lentezza di MSN e blocco delle pagine della posta hotmail, però magari è indipendente, il messaggio di errore della Windows Live Communciations Platform non appare più.

Ringrazio intanto per l'aiuto!

Si, dovremmo essere ok.

[pcaloger2000]

Help
Ho scoperto di avere anche io questo benedetto "mostro" del mbr.
Ho seguito le varie istruzioni tentando di eliminare prima il virus da windows in modalità normale con Cureit e poi con mbr.exe in modalità provvisoria.Dopo avere avuti diversi riavvii durante la scansione con cureit, l'ultimo mi ha portato a non poter più utilizzare il pc.
Riavviando normalmente mi appare la finestra di windows e subito dopo un messaggio "autochk program not found - skipping autoceck" dopo alcuni secondi appare una schermata blu e si riavvia il pc.
Ho pensato di riformattare utilizzando il recovery system ma non è possibile utilizzarlo.
Ho provato allora ad inserire il disco di xp ed ho notato che la partizione dove è installato il sistema operativo c'è sempre, allora ho collegato l'hard disk ad un'altro pc.
Da risorse del computer si vede solo la partizione del recovery system, inve ce da strumenti di amministrazione vedo anche la partizione principale e mi segnala che è attiva.

[reira83]

Quote:

Originariamente inviato da Chill-Out

Si, dovremmo essere ok.

Però adesso il pc è lentissimo, prima non era mai successo. Ci mette secoli a caricare le pagine Web. Da cosa potrebbe dipendere?

[Chill-Out]

Quote:

Originariamente inviato da reira83

Ok, fatto.
Come sono messa? Dovrebbe essere risolta?
Per adesso non si è verificato più nessun strano comportamento, solo una strana lentezza di MSN e blocco delle pagine della posta hotmail, però magari è indipendente, il messaggio di errore della Windows Live Communciations Platform non appare più.

Ringrazio intanto per l'aiuto!

Quote:

Originariamente inviato da reira83

Però adesso il pc è lentissimo, prima non era mai successo. Ci mette secoli a caricare le pagine Web. Da cosa potrebbe dipendere?

Il problema riguarda solo MSN?

[Chill-Out]

Quote:

Originariamente inviato da pcaloger2000

Help
Ho scoperto di avere anche io questo benedetto "mostro" del mbr.
Ho seguito le varie istruzioni tentando di eliminare prima il virus da windows in modalità normale con Cureit e poi con mbr.exe in modalità provvisoria.Dopo avere avuti diversi riavvii durante la scansione con cureit, l'ultimo mi ha portato a non poter più utilizzare il pc.
Riavviando normalmente mi appare la finestra di windows e subito dopo un messaggio "autochk program not found - skipping autoceck" dopo alcuni secondi appare una schermata blu e si riavvia il pc.
Ho pensato di riformattare utilizzando il recovery system ma non è possibile utilizzarlo.
Ho provato allora ad inserire il disco di xp ed ho notato che la partizione dove è installato il sistema operativo c'è sempre, allora ho collegato l'hard disk ad un'altro pc.
Da risorse del computer si vede solo la partizione del recovery system, inve ce da strumenti di amministrazione vedo anche la partizione principale e mi segnala che è attiva.

Ciao, a questo punto credo sia più opportuno chiedere in sezione Microsoft Windows ad esempio: http://www.hwupgrade.it/forum/showthread.php?t=391191

[reira83]

Quote:

Originariamente inviato da Chill-Out

Il problema riguarda solo MSN?

No, adesso riguarda anche il 70% delle pagine Web che apro. Ci mette molto tempo a caricarle, alcune non le apre proprio. Caso peggiore di tutti, Yahoo Mail, 5 minuti per aprire l'account di posta.

[Chill-Out]

Quote:

Originariamente inviato da reira83

No, adesso riguarda anche il 70% delle pagine Web che apro. Ci mette molto tempo a caricarle, alcune non le apre proprio. Caso peggiore di tutti, Yahoo Mail, 5 minuti per aprire l'account di posta.

Il problema inerente il MBR sembra risolto, stabilire il perchè di questi rallentamenti con gli elementi a disposizione è difficile.

[Kierkegaard]

Quote:

Originariamente inviato da Chill-Out

Dovremmo essere ok.

grazie dell'aiuto,ma quindi con mbr- il log può rimanere sporco.
Parlavi di una formattazione a basso livello, una volta esisteva powermax che era comodo per fare ciò ora cosa si potrebbe usare?
grazie ancora.
ciao

[Chill-Out]

Quote:

Originariamente inviato da Kierkegaard

grazie dell'aiuto,ma quindi con mbr- il log può rimanere sporco.
Parlavi di una formattazione a basso livello, una volta esisteva powermax che era comodo per fare ciò ora cosa si potrebbe usare?
grazie ancora.
ciao

DISCHI - come formattare

[Framar1981]

Ciao a tutti, stavolta spero di essere nella sezione giusta, dunque, visto che mbr ancora mi segnalava qualcosa di strano ho seguito la vostra guida sull'individuazione e rimozione di mbr rootikit facendo così la scansione con gmer e prevx.
Posto i link dei log: gmer, prevx pre, prevx post

Premetto che il computer funziona perfettamente, compresi msn e emule che prima non si aprivano nemmeno, però con questo rootkit sono diventato molto paranoico e spero di risolvere definitivamente.

Grazie,
Francesco

[wjmat]

Quote:

Originariamente inviato da Framar1981

Ciao a tutti, stavolta spero di essere nella sezione giusta, dunque, visto che mbr ancora mi segnalava qualcosa di strano ho seguito la vostra guida sull'individuazione e rimozione di mbr rootikit facendo così la scansione con gmer e prevx.
Posto i link dei log: gmer, prevx pre, prevx post

Premetto che il computer funziona perfettamente, compresi msn e emule che prima non si aprivano nemmeno, però con questo rootkit sono diventato molto paranoico e spero di risolvere definitivamente.

Grazie,
Francesco

ciao

non vedo nulla di particolare, passa alla fase 3

[Liuk71]

Ciao Chill,
alcuni giorni fa ho scaricato e usato i tools da te consigliati per la rimozione del Rootkit sul Master Boot Record... elenco
Gmer e Prevx + Mbr e Sinowal e DrWeb Cureit
e anche se il Prevx non ha riscontrato nulla con l'Mbr il fetente Rootkit è uscito allo scoperto. Ma credo che solo il DrWeb abbia di fatto intaccato il Master Boot Record, questo l'ho dedotto dal fatto che finita la scansione ho effettuato il ReBoot e Windows all'avvio si è messo ha ripristinare dei file indice di cui non sono riuscito a prendere il nome..... Seguentemente per alcuni giorni tutto bene, sino ad oggi quando di colpo aprendo delle pagine web il browser si è bloccato e si sono ripresentati tutti i sintomi del Rootkit...!!!!!!
Convinto di sconfiggere anche questa volta il fetente mi sono messo al lavoro con i tools anzidetti...
questa volta Prevx mi segnala il Rootkit mi manda in crash il sistema e windows(schermo blu) mi blocca tutto avvisandomi su un sovraccarico per me neofita, inconprensibile. Riavvio manualmente e alla seconda scansione Prevx non trova piu nulla. Continuo lo stesso la procedura usando anche Mbr, Sinowal, e DrWeb ma niente.
Sembrerebbe tutto repristinato e funzionante non fosse altro che MBR continua lo stesso ha segnalarmi la presenza di una copia di codice maligno sul mio Master Boot Record.
Sapete il perche...????? Sapete dirmi cosa usare per difendermi??? Posso ritenere che il mio PC sia attualmente privo di questo tipo di infezioni...???? Grazie per lo splendido lavoro che svolgete...!!!!!!

[Liuk71]

Ciao Chill,
alcuni giorni fa ho scaricato e usato i tools da te consigliati per la rimozione del Rootkit sul Master Boot Record...
(Gmer e Prevx + Mbr e Sinowal e DrWeb Cureit)
e anche se il Prevx non ha riscontrato nulla con l'Mbr il fetente Rootkit è uscito allo scoperto. Ma credo che solo il DrWeb abbia di fatto intaccato il Master Boot Record, questo l'ho dedotto dal fatto che finita la scansione ho effettuato il ReBoot e Windows all'avvio si è messo ha ripristinare dei file indice di cui non sono riuscito a prendere il nome..... Seguentemente per alcuni giorni tutto bene, sino ad oggi quando di colpo aprendo delle pagine web il browser si è bloccato e si sono ripresentati tutti i sintomi del Rootkit...!!!!!!
Convinto di sconfiggere anche questa volta il fetente mi sono messo al lavoro con i tools anzidetti...
questa volta Prevx mi segnala il Rootkit mi manda in crash il sistema e windows(schermo blu) mi blocca tutto avvisandomi su un sovraccarico per me neofita, inconprensibile. Riavvio manualmente e alla seconda scansione Prevx non trova piu nulla. Continuo lo stesso la procedura usando anche Mbr, Sinowal, e DrWeb ma niente.
Sembrerebbe tutto repristinato e funzionante non fosse altro che MBR continua lo stesso ha segnalarmi la presenza di una copia di codice maligno sul mio Master Boot Record.
Sapete il perche...????? Sapete dirmi cosa usare per difendermi??? Posso ritenere che il mio PC sia attualmente privo di questo tipo di infezioni...???? Grazie per lo splendido lavoro che svolgete...!!!!!!