Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT - Pagina 68

PIPPO6000 · 07-09-2009, 16:21

Ecco il log del NOD

http://www.mediafire.com/file/wfm5mc5j4e2/NOD32_log.jpg

**Chill-Out** · 07-09-2009, 17:05

Dire che c'è poco da scegliere io ripeterei scansione completa con DrWeb CureIt rispondendo SI alla seguente domanda:

Settore di avvio infetto - riscrivo settore di avvio standard al riavvio

PIPPO6000 · 07-09-2009, 17:14

Grazie,
l'unico dubbio che mi rimane è se prima di riscrivere il settore di boot standard non sarebbe meglio fare un'immagine completa di C:\ in modo che se qualcosa andasse storto si possa ripristinare.
Però dato che su C:\ non ci sono partizioni e c'è solo un sistema operativo installato non dovrebbero esserci sorprese. Cosa ne pensi.
Grazie.

**Chill-Out** · 07-09-2009, 17:16

Quote:

Originariamente inviato da PIPPO6000

Grazie,
l'unico dubbio che mi rimane è se prima di riscrivere il settore di boot standard non sarebbe meglio fare un'immagine completa di C:\ in modo che se qualcosa andasse storto si possa ripristinare.
Però dato che su C:\ non ci sono partizioni e c'è solo un sistema operativo installato non dovrebbero esserci sorprese. Cosa ne pensi.
Grazie.

Concordo

p_quadro · 11-09-2009, 18:15

Aiuto, sono infetto.
Nod32 mi dice:

Settore MBR del disco fisico 2 - Win32/Mebroot.CA trojan horse - errore nell'azione di pulizia; operazione non disponibile per questo tipo di oggetto

Ho seguito la guida:

prima fase:
http://wikisend.com/download/471016/prevx.log
http://wikisend.com/download/584978/gmer.log

seconda fase:
http://wikisend.com/download/544280/mbr1.log
http://wikisend.com/download/603636/mbr2.log
http://wikisend.com/download/514762/mbr3.log
http://wikisend.com/download/528748/FixMebroot.log

fixmebroot non vede nulla, e ovviamente neanche prevx e dr. web..

che faccio?
grazie mille

wjmat · 11-09-2009, 18:43

Quote:

Originariamente inviato da p_quadro

Aiuto, sono infetto.
Nod32 mi dice:

Settore MBR del disco fisico 2 - Win32/Mebroot.CA trojan horse - errore nell'azione di pulizia; operazione non disponibile per questo tipo di oggetto

Ho seguito la guida:

prima fase:
http://wikisend.com/download/471016/prevx.log
http://wikisend.com/download/584978/gmer.log

seconda fase:
http://wikisend.com/download/544280/mbr1.log
http://wikisend.com/download/603636/mbr2.log
http://wikisend.com/download/514762/mbr3.log
http://wikisend.com/download/528748/FixMebroot.log

fixmebroot non vede nulla, e ovviamente neanche prevx e dr. web..

che faccio?
grazie mille

ciao

carica un log di gmer completo, sembra tu non abbia cliccato su scan

p_quadro · 14-09-2009, 11:38

Avevi ragione, non ho fatto lo scan,
allego qua:

http://wikisend.com/download/887108/gmer.log

grazie tante

**Chill-Out** · 14-09-2009, 11:49

Quote:

Originariamente inviato da p_quadro

Avevi ragione, non ho fatto lo scan,
allego qua:

http://wikisend.com/download/887108/gmer.log

grazie tante

Allega anche il log del Nod, in quanto dal log di Gmer non emerge nulla.

p_quadro · 14-09-2009, 12:04

ho copiato/incollato le info nella finestra dei rapporti:

http://wikisend.com/download/593326/Nod.log

non ho trovato altri modi di ottenere un log..

p_quadro · 14-09-2009, 12:06

il gmer l'ho lanciato in modalità normale, non è che dovevo lanciarlo in provvisoria?

**Chill-Out** · 14-09-2009, 12:26

Quote:

Originariamente inviato da p_quadro

ho copiato/incollato le info nella finestra dei rapporti:

http://wikisend.com/download/593326/Nod.log

non ho trovato altri modi di ottenere un log..

Quote:

Originariamente inviato da p_quadro

il gmer l'ho lanciato in modalità normale, non è che dovevo lanciarlo in provvisoria?

Fai girare questo tool http://download.norman.no/public/Nor...al_Cleaner.exe

Istruzioni: http://www.norman.com/Virus/Virus_re...tools/52382/it

successivamente come indicato in Guida fai girare DrWeb CureIt ed allega entrambi i log.

p_quadro · 14-09-2009, 15:29

fatto:
http://wikisend.com/download/583452/Norman.log

dr.Web Cureit:
http://wikisend.com/download/601880/cureit filtrato.txt

questo lo avevo mandato venerdì.. è necessario rifarlo?

Grazie

**Chill-Out** · 14-09-2009, 16:41

Quote:

Originariamente inviato da p_quadro

dr.Web Cureit:
http://wikisend.com/download/601880/cureit filtrato.txt

questo lo avevo mandato venerdì.. è necessario rifarlo?

Grazie

Sarebbe meglio, riscaricando la versione aggiornata ad oggi ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

p_quadro · 15-09-2009, 15:30

Quote:

Originariamente inviato da Chill-Out

Sarebbe meglio, riscaricando la versione aggiornata ad oggi ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

fatto, sembra non veda niente, eppure il Nod continua a mandarmi segnalazioni del Mebroot.ca..

http://wikisend.com/download/522674/...o_filtrato.txt

**Chill-Out** · 15-09-2009, 16:29

Quote:

Originariamente inviato da p_quadro

fatto, sembra non veda niente, eppure il Nod continua a mandarmi segnalazioni del Mebroot.ca..

http://wikisend.com/download/522674/...o_filtrato.txt

Log pulito, comunque il problema dovrebbe essere relativo a:

- sul tuo Pc c'è una partizione nascosta per il Recovery del Pc
- non sei loggato come amministratore
- hai un lettore di Card al momento non inserito
- si tratta di un supporto removile USB esterno

p_quadro · 15-09-2009, 17:10

Quote:

Originariamente inviato da Chill-Out

Log pulito, comunque il problema dovrebbe essere relativo a:

- sul tuo Pc c'è una partizione nascosta per il Recovery del Pc
- non sei loggato come amministratore
- hai un lettore di Card al momento non inserito
- si tratta di un supporto removile USB esterno

mai usato il Recovery, non ho creato partizioni nascoste e non ne ho attualmente, sono amministratore e non ho lettori Card,
a questo punto non saprei, mi sembra strano un supporto USB.. ho un Hd esterno che uso solo come archivio dati e ogni tanto attacco l'iPhone,
prima di trovare la vostra guida avevo provato ad intuito con Fixmbr.exe, può essere questo?

e comunque, Grazie!

**Chill-Out** · 15-09-2009, 17:17

Quote:

Originariamente inviato da p_quadro

mai usato il Recovery, non ho creato partizioni nascoste e non ne ho attualmente, sono amministratore e non ho lettori Card,
a questo punto non saprei, mi sembra strano un supporto USB.. ho un Hd esterno che uso solo come archivio dati e ogni tanto attacco l'iPhone,
prima di trovare la vostra guida avevo provato ad intuito con Fixmbr.exe, può essere questo?

e comunque, Grazie!

Scollega l'hdd esterno e affini e ripeti scansione completa col Nod

rei.andrea · 16-09-2009, 13:58

Una domanda:

su windows vista/7 x64 non dovrebbe essere possibile installare rootkit nel mbr giusto?
Dovrebbe intervenire il "patchguard"...

Ad esempio se lancio il file mbr.exe (quello di Gmer) non riesce a leggere o scrivere il MBR.

**Chill-Out** · 16-09-2009, 16:13

Diciamo di si nello specifico, ma è stato dimostrato che il PatchGuard può essere bypassato.

renaccio · 20-09-2009, 16:06

Io non riesco neanche a partire.

Già nella Fase Preliminare, cercando di disattivare il Ripristino configurazione di sistema, mi compare sempre questo avviso con conseguente impossibilità di disattivare.

Ripristino configurazione di sistema ha riscontrato un errore durante il tentativo di attivare/disattivare una o più unità.
Riavviare il computer, quindi riprovare

Cosa devo fare?

GRAZIE!

07-09-2009, 16:21	#1341
PIPPO6000 Junior Member Iscritto dal: Sep 2009 Messaggi: 4	[XPSp3] BackDoor.MaosBoot e/o RootKit Win32/mebroot.CA Ecco il log del NOD http://www.mediafire.com/file/wfm5mc5j4e2/NOD32_log.jpg Ultima modifica di PIPPO6000 : 07-09-2009 alle 16:22. Motivo: variato url

07-09-2009, 17:05	#1342
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Dire che c'è poco da scegliere io ripeterei scansione completa con DrWeb CureIt rispondendo SI alla seguente domanda: Settore di avvio infetto - riscrivo settore di avvio standard al riavvio __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

07-09-2009, 17:14	#1343
PIPPO6000 Junior Member Iscritto dal: Sep 2009 Messaggi: 4	BackDoor.MaosBoot e/o RootKit Win32/mebroot.CA Grazie, l'unico dubbio che mi rimane è se prima di riscrivere il settore di boot standard non sarebbe meglio fare un'immagine completa di C:\ in modo che se qualcosa andasse storto si possa ripristinare. Però dato che su C:\ non ci sono partizioni e c'è solo un sistema operativo installato non dovrebbero esserci sorprese. Cosa ne pensi. Grazie.

11-09-2009, 18:15	#1345
p_quadro Junior Member Iscritto dal: Sep 2009 Messaggi: 7	Infetto.. Aiuto, sono infetto. Nod32 mi dice: Settore MBR del disco fisico 2 - Win32/Mebroot.CA trojan horse - errore nell'azione di pulizia; operazione non disponibile per questo tipo di oggetto Ho seguito la guida: prima fase: http://wikisend.com/download/471016/prevx.log http://wikisend.com/download/584978/gmer.log seconda fase: http://wikisend.com/download/544280/mbr1.log http://wikisend.com/download/603636/mbr2.log http://wikisend.com/download/514762/mbr3.log http://wikisend.com/download/528748/FixMebroot.log fixmebroot non vede nulla, e ovviamente neanche prevx e dr. web.. che faccio? grazie mille

14-09-2009, 11:38	#1347
p_quadro Junior Member Iscritto dal: Sep 2009 Messaggi: 7	giusto! Avevi ragione, non ho fatto lo scan, allego qua: http://wikisend.com/download/887108/gmer.log grazie tante

14-09-2009, 12:04	#1349
p_quadro Junior Member Iscritto dal: Sep 2009 Messaggi: 7	ho copiato/incollato le info nella finestra dei rapporti: http://wikisend.com/download/593326/Nod.log non ho trovato altri modi di ottenere un log..

14-09-2009, 12:06	#1350
p_quadro Junior Member Iscritto dal: Sep 2009 Messaggi: 7	il gmer l'ho lanciato in modalità normale, non è che dovevo lanciarlo in provvisoria?

14-09-2009, 15:29	#1352
p_quadro Junior Member Iscritto dal: Sep 2009 Messaggi: 7	fatto: http://wikisend.com/download/583452/Norman.log dr.Web Cureit: http://wikisend.com/download/601880/cureit filtrato.txt questo lo avevo mandato venerdì.. è necessario rifarlo? Grazie

16-09-2009, 13:58	#1358
rei.andrea Member Iscritto dal: May 2005 Messaggi: 82	Una domanda: su windows vista/7 x64 non dovrebbe essere possibile installare rootkit nel mbr giusto? Dovrebbe intervenire il "patchguard"... Ad esempio se lancio il file mbr.exe (quello di Gmer) non riesce a leggere o scrivere il MBR.

16-09-2009, 16:13	#1359
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Diciamo di si nello specifico, ma è stato dimostrato che il PatchGuard può essere bypassato. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

20-09-2009, 16:06	#1360
renaccio Junior Member Iscritto dal: Dec 2007 Messaggi: 22	Io non riesco neanche a partire. Già nella Fase Preliminare, cercando di disattivare il Ripristino configurazione di sistema, mi compare sempre questo avviso con conseguente impossibilità di disattivare. Ripristino configurazione di sistema ha riscontrato un errore durante il tentativo di attivare/disattivare una o più unità. Riavviare il computer, quindi riprovare Cosa devo fare? GRAZIE!

Strumenti
Mostra una versione stampabile Invia questa pagina per email