Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Crimsom]

MBRCheck_07.25.10_22.02.12.txt

[Chill-Out]

Quote:

Originariamente inviato da Crimsom

MBRCheck_07.25.10_22.02.12.txt

Esegui nuovamente MBRCheck.exe

alla dicitura "Enter 'Y' and hit ENTER for more options, or 'N' to exit"

digita Y e batti invio

MBRCheck ti mostra 3 opzioni:

[1] Dump de MBR of a physical disk to file
[2] Restore de MBR or a physical disk whit a standar boot code..
[3] Exit.

scegli l'opzione 2

alla dicitura "Enter the physical disk number to fix (0-99, -1 to cancel):"

digita 1 e batti invio

alla dicitura Available MBR codes:

seleziona il tuo SO digita YES e batti invio

attendi che il tool faccia il suo lavoro, riavvia la macchina ed allega il log che trovi sul Desktop MBRfix.txt

[Crimsom]

ho fatto quello che mi hai detto ma non mi è spuntato mbrfix al riavvio. in compenso se faccio ripartire il programma non mi vede più il codice malevolo!

MBRCheck_07.25.10_22.15.21.txt

[Chill-Out]

Quote:

Originariamente inviato da Crimsom

ho fatto quello che mi hai detto ma non mi è spuntato mbrfix al riavvio. in compenso se faccio ripartire il programma non mi vede più il codice malevolo!

MBRCheck_07.25.10_22.15.21.txt

Era il log successivo che ti avrei chiesto, adesso ripeti scansione col Kasperky e fammi sapere.

[buonasalve]

Quote:

Originariamente inviato da Chill-Out

Era il log successivo che ti avrei chiesto, adesso ripeti scansione col Kasperky e fammi sapere.

quant'è bello leggere questo 3D...è come seguire le puntate di Xfiles

[Chill-Out]

Quote:

Originariamente inviato da buonasalve

quant'è bello leggere questo 3D...è come seguire le puntate di Xfiles

In che senso?

[buonasalve]

Quote:

Originariamente inviato da Chill-Out

In che senso?

nel senso che è bello seguire le modalità con cui vengono risolti i problemi, sia qui che nel 3D su hijackthis e in generale sulla "pulizia" da virus

[arnyreny]

Quote:

Originariamente inviato da buonasalve

nel senso che è bello seguire le modalità con cui vengono risolti i problemi, sia qui che nel 3D su hijackthis e in generale sulla "pulizia" da virus

.....e' tutto bello finquando non capita a te....nel senso in prima persona

[Chill-Out]

Quote:

Originariamente inviato da technoHC

ho rifatto la procedura ma a me sul desktop compare solo questo file

http://wikisend.com/download/602130/...0_09.57.09.txt

mbrcheck....nessun mbrfix

Come puoi notare dal log

Quote:

153 GB \\.\PhysicalDrive1 Known-bad MBR code detected (Whistler / Black Internet)!

evidentemente sbagli qualcosa nel fare quanto qui indicato

Quote:

Esegui nuovamente MBRCheck.exe

alla dicitura "Enter 'Y' and hit ENTER for more options, or 'N' to exit"

digita Y e batti invio

MBRCheck ti mostra 3 opzioni:

[1] Dump de MBR of a physical disk to file
[2] Restore de MBR or a physical disk whit a standar boot code..
[3] Exit.

scegli l'opzione 2

alla dicitura "Enter the physical disk number to fix (0-99, -1 to cancel):"

digita 1 e batti invio

alla dicitura Available MBR codes:

seleziona il tuo SO digita YES e batti invio

attendi che il tool faccia il suo lavoro, riavvia la macchina ed allega il log che trovi sul Desktop

Edit: controllando il precedente log si evince che ti sei reinfettato

[buonasalve]

Quote:

Originariamente inviato da arnyreny

.....e' tutto bello finquando non capita a te....nel senso in prima persona

sgrat sgrat

cmq complimenti a Chill

[Chill-Out]

Quote:

Originariamente inviato da technoHC

aggiungo che il pc ci ha messo un ora a riavviarsi ma nn ho trovato quel file sul desktop

Dal log si evince che sbagli qualcosa

Quote:

MBRCheck, version 1.1.1

(c) 2010, AD



\\.\C: --> \\.\PhysicalDrive0

\\.\F: --> \\.\PhysicalDrive1



Size Device Name MBR Status

--------------------------------------------

114 GB \\.\PhysicalDrive0 Unknown MBR code

153 GB \\.\PhysicalDrive1 Known-bad MBR code detected (Whistler / Black Internet)!





Found non-standard or infected MBR.

Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Options:

[1] Dump the MBR of a physical disk to file.

[2] Restore the MBR of a physical disk with a standard boot code.

[3] Exit.



Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): Available MBR codes:

[ 0] Default (Windows XP)

[ 1] Windows XP

[ 2] Windows Server 2003

[ 3] Windows Vista

[ 4] Windows 2008

[ 5] Windows 7

[-1] Cancel



Please select the MBR code to write to this drive:

Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code!

Please reboot your computer to complete the fix.





Done! Press ENTER to exit...

[Chill-Out]

Quote:

Originariamente inviato da technoHC

io l ho fatto anche adesso...

metto Y

scelgo l opzione 2

poi metto 1 (per l hd)

sulla richiesta del so ho provato sia con 0 che con 1

e alla fine mi dice che la cosa è andata a buon fine e di riavviare...

questi sn i passaggi però ripeto nn mi si riavvia...

dove sbaglio?

Riavvia ed allega nuovo log di MBRCheck

[Chill-Out]

Quote:

Originariamente inviato da technoHC

http://wikisend.com/download/704762/...0_15.31.03.txt

questo giro ho scelto spegni computer (anzichè riavviare) ci ha messo 20 minuti..però si è spento..ora l ho riacceso..ma nn trovo quel file che dici tu sul desktop

cmq questo è l ultimo mbrcheck

Se la procedura viene eseguita correttamente questo è il log che ti restituisce

Quote:

MBRCheck, version 1.1.1

(c) 2010, AD



\\.\C: --> \\.\PhysicalDrive0

\\.\D: --> \\.\PhysicalDrive1

\\.\E: --> \\.\PhysicalDrive0



Size Device Name MBR Status

--------------------------------------------

465 GB \\.\PhysicalDrive0 Windows 7 MBR code detected

465 GB \\.\PhysicalDrive1 Windows 7 MBR code detected





Done! Press ENTER to exit...

[Chill-Out]

Quote:

Originariamente inviato da technoHC

ma se sbaglio dove sbaglio? cioè ti ho scritto quello che faccio e mi pare che sia quello che mi hai detto tu

Comprenderai perfettamente che prestare assistenza a distanza è tutt'altro che facile, cumunque dal tuo log si evince che non selezioni le opzioni descritte nella mia procedura.

Vedi esempio



Uploaded with ImageShack.us

[Chill-Out]

Quote:

Originariamente inviato da technoHC

si si ma infatti io ti ringrazio che sei gentile e stai cercando di darmi una mano..
comunque ti metto queste due immagini così vedi cosa faccio


http://img819.imageshack.us/img819/4906/immagine1mj.jpg

http://img191.imageshack.us/img191/9931/immagine2ba.jpg

Allegami un log con queste modalità, ovvero senza intraprendere nessuna azione.

http://www.hwupgrade.it/forum/showpo...postcount=2923

[numatu]

Ciao Chill, sono su un altro pc.
ho fatto prima la scansione "rapida" in "enhanced protection mode"( 2 ore e 10 min Z) col dott.web, poi ho iniziato quella completa che ha iniziato anch'essa in "enhanced protection mode" ma dalle 20 di ieri domenica ad ora 2100 di lunedi sta ancora scannerizzando tu che dici forzo a spegnere il pc o aspetto ancora . Fammi sapere sono un po preoccupato non avendo più alcun punto di ripristino

Sono le 00.52 ancora lavora o almeno così sembra, ma è possibile 29 ore di scannerizzazione? o si è bloccato, ma il processore sembra lavorare e la schermata sebbene bloccata lampeggia.

volevo chiederti se visto che sembra non risultare nulla, dr Web permettendo, procedo a rimuovere la cartella HelpAssistant e l'account e nel caso, ho windows pro, che significa membro di se?

Grazie ciao

Sono le 06.20 il pc ancora lavora ( almeno sembra ) in modalita enhanced è possibile ? Anche se ho 2 hard disk da 495 GB mi sembra un pò troppo, ma non blocco x paura di fare danno ulteriore

[Chill-Out]

Quote:

Originariamente inviato da numatu

Ciao Chill, sono su un altro pc.
ho fatto prima la scansione "rapida" in "enhanced protection mode"( 2 ore e 10 min Z) col dott.web, poi ho iniziato quella completa che ha iniziato anch'essa in "enhanced protection mode" ma dalle 20 di ieri domenica ad ora 2100 di lunedi sta ancora scannerizzando tu che dici forzo a spegnere il pc o aspetto ancora . Fammi sapere sono un po preoccupato non avendo più alcun punto di ripristino

Sono le 00.52 ancora lavora o almeno così sembra, ma è possibile 29 ore di scannerizzazione? o si è bloccato, ma il processore sembra lavorare e la schermata sebbene bloccata lampeggia.

volevo chiederti se visto che sembra non risultare nulla, dr Web permettendo, procedo a rimuovere la cartella HelpAssistant e l'account e nel caso, ho windows pro, che significa membro di se?

Grazie ciao

Sono le 06.20 il pc ancora lavora ( almeno sembra ) in modalita enhanced è possibile ? Anche se ho 2 hard disk da 495 GB mi sembra un pò troppo, ma non blocco x paura di fare danno ulteriore

Sono un po tante, ma quanta roba c'è sul quel PC? Comunque la scansione si può sospendere e abortire.

[Chill-Out]

Quote:

Originariamente inviato da technoHC

http://wikisend.com/download/447806/...0_19.05.24.txt

ecco

Qualcosa non quadra, questo è evidente, dimmi di che marca è il PC, successivamente fai scansione completa con DrWeb CureIt come indicato in prima pagina.

[numatu]

no non mi da nessuna possibilità, si vede solo il fondo dello schermo, mi sa che lo stoppo. Dei 495 + 495 gb ce ne saranno un 480 occupati il resto libero.

ore 10.00

Stoppato c'era qualcosa che era andato male, ecco il log filtrato con parser.

http://wikisend.com/download/533132/cureit filtrato mar 27072010 10.04.34.txt

Ho fatto una scansione x verifica con MBR checker, forse il problema è lì. Tutto forse si è riformato da li ti allego il file

http://img175.imageshack.us/i/mbrcheck.png/

Il mio è un Windows media center edition ( pro service pack 3)

Nel frattempo anche Prevx mi ha comunicato che l'unità è infetta e per rimuovere l'infezione devo effettuare una scansione completa

http://img814.imageshack.us/i/prevx.png/

[Chill-Out]

Quote:

Originariamente inviato da numatu

no non mi da nessuna possibilità, si vede solo il fondo dello schermo, mi sa che lo stoppo. Dei 495 + 495 gb ce ne saranno un 480 occupati il resto libero.

ore 10.00

Stoppato c'era qualcosa che era andato male, ecco il log filtrato con parser.

http://wikisend.com/download/533132/cureit filtrato mar 27072010 10.04.34.txt

Ho fatto una scansione x verifica con MBR checker, forse il problema è lì. Tutto forse si è riformato da li ti allego il file

http://img175.imageshack.us/i/mbrcheck.png/

Il mio è un Windows media center edition ( pro service pack 3)

Nel frattempo anche Prevx mi ha comunicato che l'unità è infetta e per rimuovere l'infezione devo effettuare una scansione completa

http://img814.imageshack.us/i/prevx.png/

Leggi la Guida in prima pagina, Prevx ti consente la rimozione gratuita.