Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT - Pagina 103

kaedes · 24-11-2009, 17:12

Quote:

Originariamente inviato da Chill-Out

Abilita la visualizzazione dei files nascosti

e controlla su http://virscan.org/ e http://www.virustotal.com/it/ il seguenti file:

vfind.exe che trovi in c:\windows\

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione

http://virscan.org/report/e8541b64f8...aa9dfd4d2.html

http://www.virustotal.com/it/analisi...871-1257472408

erano questi due link ke ti servivano giusto?

**Chill-Out** · 24-11-2009, 17:52

Quote:

Originariamente inviato da kaedes

http://virscan.org/report/e8541b64f8...aa9dfd4d2.html

http://www.virustotal.com/it/analisi...871-1257472408

erano questi due link ke ti servivano giusto?

In parte, qui http://virscan.org/report/e8541b64f8...aa9dfd4d2.html

che cosa hai analizzato File Name : 1.html

turbido · 24-11-2009, 18:26

Sono entrato nella console di ripristino
Mi apre
1:d:\Windows
Quale installazione di Windows si vuole accedere? (premere invio per annullare)

premo 1 o metto C:\windows ?

d: mia unità cdrom in cui ho messo il cd di xp
c: mio hard disk in cui è installato windows

kaedes · 24-11-2009, 18:34

Quote:

Originariamente inviato da Chill-Out

In parte, qui http://virscan.org/report/e8541b64f8...aa9dfd4d2.html

che cosa hai analizzato File Name : 1.html

sempre vfind.exe che stava nella cartella c:\windows
non so perchè lo ha poi chiamato 1.html. qual'è il problema?

**Chill-Out** · 24-11-2009, 18:37

Quote:

Originariamente inviato da kaedes

sempre vfind.exe che stava nella cartella c:\windows
non so perchè lo ha poi chiamato 1.html. qual'è il problema?

Direi proprio di no.

LucaAL · 24-11-2009, 18:40

questa guida mi farà molto comodo...grazie .)

turbido · 24-11-2009, 18:55

Quote:

Originariamente inviato da turbido

Sono entrato nella console di ripristino
Mi apre
1:d:\Windows
Quale installazione di Windows si vuole accedere? (premere invio per annullare)

premo 1 o metto C:\windows ?

d: mia unità cdrom in cui ho messo il cd di xp
c: mio hard disk in cui è installato windows

Mi sapete aiutare?

Liuk71 · 24-11-2009, 18:57

Ho usato i tool come mi chiedi sulla guida e il rootkit che mi riavvia il ripristino configurazione di sistema. Sono al punto che solo mbr lo vede:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01314FFD8
malicious code @ sector 0x01314FFDB !
PE file found in sector at 0x01314FFF1 !
Prevx non lo vedeva più.. ma dopo aver usato fixboot è tornato a vederlo.. e chiede soldi per la licenza per toglierlo... C'è qualche altro tool che posso usare...????
Se uso fixmbr puo funzionare senza rischiare le partizioni del disco...???? Grazie mille... per i consigli.

**Chill-Out** · 24-11-2009, 19:02

Quote:

Originariamente inviato da turbido

Mi sapete aiutare?

C:\

turbido · 24-11-2009, 19:04

Quote:

Originariamente inviato da Chill-Out

C:\

Ok, grazie!!! Volevo essere sicuro.

**Chill-Out** · 24-11-2009, 19:05

Quote:

Originariamente inviato da Liuk71

Ho usato i tool come mi chiedi sulla guida e il rootkit che mi riavvia il ripristino configurazione di sistema. Sono al punto che solo mbr lo vede:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01314FFD8
malicious code @ sector 0x01314FFDB !
PE file found in sector at 0x01314FFF1 !
Prevx non lo vedeva più.. ma dopo aver usato fixboot è tornato a vederlo.. e chiede soldi per la licenza per toglierlo... C'è qualche altro tool che posso usare...????
Se uso fixmbr puo funzionare senza rischiare le partizioni del disco...???? Grazie mille... per i consigli.

http://www.hwupgrade.it/forum/showpo...postcount=1970

diversamente tiriamo ad indovinare.

kaedes · 24-11-2009, 19:59

Quote:

Originariamente inviato da Chill-Out

Direi proprio di no.

scusami ma cosa ci guadagnerei a fare la scansione di due file diversi?

a meno che non sia diventato analfabeta, il nome di un file lo riesco ancora a leggere.

poi non so. non ci sono altri file con lo stesso nome nella cartella e il file che ho scansionato col primo sito che mi hai dato è esattamente lo stesso del secondo. ho anche ricontrollato.
riprovo.

kaedes · 24-11-2009, 20:05

ho rifatto la scansione del file, come tu stesso puoi vedere è sempre vfind.exe
http://www.mediafire.com/file/5z20j2maz3d/Immagine1.JPG
http://www.mediafire.com/file/r2mzrzygziq/Immagine.JPG

e questo è il risultato:
http://virscan.org/report/e8541b64f8...aa9dfd4d2.html

Liuk71 · 24-11-2009, 22:01

Questi sono tutti i log di cui dispongo con relativi link.
Dalla prima infezione ad oggi...!!!!

Prima infezione
gmer1.txt
gmer2.txt
prevx.txt
mbr1.txt
mbr2.txt
NormanSinowal.txt
Seconda Infezione
gmer.txt
prex.txt
mbr.txt
NFix.txt
CureIt.txt
Terza Infezione
gmer.txt
prevx.txt
prevx2.txt
mbr.txt
mbr2.txt
NFix_2009.txt

Rimane valido quello precedente detto:
Il sistema spesso avvia da solo il repristino configurazione di sistema. Ed ha creato in cartella Doc_Sett cartella HelpAssistant.

P.s. Non considerare mirc.exe credo falso positivo
P.s. Ho cancellato Corso montaggio senza problemi

Spero che tu possa gentilmente tirare fuori qualcosa dal lavoro forse non accurato di uno che sa leggere.
Grazie

**Chill-Out** · 24-11-2009, 22:13

Quote:

Originariamente inviato da kaedes

scusami ma cosa ci guadagnerei a fare la scansione di due file diversi?

a meno che non sia diventato analfabeta, il nome di un file lo riesco ancora a leggere.

poi non so. non ci sono altri file con lo stesso nome nella cartella e il file che ho scansionato col primo sito che mi hai dato è esattamente lo stesso del secondo. ho anche ricontrollato.
riprovo.

Quote:

Originariamente inviato da kaedes

ho rifatto la scansione del file, come tu stesso puoi vedere è sempre vfind.exe
http://www.mediafire.com/file/5z20j2maz3d/Immagine1.JPG
http://www.mediafire.com/file/r2mzrzygziq/Immagine.JPG

e questo è il risultato:
http://virscan.org/report/e8541b64f8...aa9dfd4d2.html

Io non ci guadagno nulla, ma neppure tu, il link inerente la scansione di Virscan è palesemente sbagliato, il nome del file è diverso, la dimensione è diversa, l'MD5 non corrisponde inoltre il link fa riferimento ad scansione di Giugno 2005

Quote:

Scanner results : 79% Scanner(s) (30/38) found malware!
Time : 2009/06/05 06:31:50 (CEST)

non so come ma hai copiato il link sbagliato, adesso ti è più chiaro?

Comunque trattasi di Falso Positivo.

**Chill-Out** · 24-11-2009, 22:19

Quote:

Originariamente inviato da Liuk71

Questi sono tutti i log di cui dispongo con relativi link.
Dalla prima infezione ad oggi...!!!!

Spero che tu possa gentilmente tirare fuori qualcosa dal lavoro forse non accurato di uno che sa leggere.
Grazie

Se ti sei registrato sul Forum è assai probabile che tu sappia leggere, cortesemente snellisci il log di CureIt come indicato in Guida.

Liuk71 · 24-11-2009, 23:01

Ecco i log di Cureit filtrati..!!! Sono della stessa data perche ovviamente li ho filtrati ora, ma fanno riferimento alla seconda e terza infezione rispettivamente come numerazione.

cureit filtrato2.txt

cureit filtrato3.txt

Grazie

P.s. Fammi sapere su eventuali tool e su fixmbr...????

**Chill-Out** · 24-11-2009, 23:04

Quote:

Originariamente inviato da Liuk71

Ecco i log di Cureit filtrati..!!! Sono della stessa data perche ovviamente li ho filtrati ora, ma fanno riferimento alla seconda e terza infezione rispettivamente come numerazione.

cureit filtrato2.txt

cureit filtrato3.txt

Grazie

P.s. Fammi sapere su eventuali tool e su fixmbr...????

Attualmente dai log non risulta nulla, a parte Stealth MBR rootkit detector che può rimanere "sporco"

Liuk71 · 24-11-2009, 23:33

Lo avevo capito anch'io....da solo...!!!!
Ma da come ho già detto dopo aver usato mbrboot Prevx che scansione in tempo reale mi rileva il rootkit sul settore fisico \driver\disk0, e mi chiede i soldi per la licenza
non credo si solo mbr sporco ma penso che il verme si sia adattato a prevx andando più a basso livello...!!!
Provo fixmbr....?????????????

Grazie

kaedes · 24-11-2009, 23:36

Quote:

Originariamente inviato da Chill-Out

Io non ci guadagno nulla, ma neppure tu, il link inerente la scansione di Virscan è palesemente sbagliato, il nome del file è diverso, la dimensione è diversa, l'MD5 non corrisponde inoltre il link fa riferimento ad scansione di Giugno 2005

non so come ma hai copiato il link sbagliato, adesso ti è più chiaro?

Comunque trattasi di Falso Positivo.

io ho scritto "cosa ci guadagneREI (IO) a mandarti la scansione di un file diverso" (visto che il mio scopo e permetterti di risolvere il mio problema), e non cosa ci guadagneRESTI (TU). che il link sia sbagliato, le dimensioni diverse e tutto il resto, io purtroppo non so cosa dirti, magari potresti dirmi tu come mai piuttosto. le foto te le ho allegate apposta per renderti chiaro cosa ho fatto, due volte consecutivamente. se ci hai dato un'occhiata te ne sei sicuramente accorto.
c'è poco da sbagliare, un semplice copia-incolla lo so fare anche io, così come leggere il nome di un file.

ti ringrazio dell'aiuto che mi hai dato e che mi dai, ma non c'è bisogno di aggredirmi (coi toni ovviamente)...adesso ti è più chiaro?

24-11-2009, 18:26	#2043
turbido Junior Member Iscritto dal: Nov 2009 Messaggi: 18	Sono entrato nella console di ripristino Mi apre 1:d:\Windows Quale installazione di Windows si vuole accedere? (premere invio per annullare) premo 1 o metto C:\windows ? d: mia unità cdrom in cui ho messo il cd di xp c: mio hard disk in cui è installato windows Ultima modifica di turbido : 24-11-2009 alle 18:54.

24-11-2009, 18:40	#2046
LucaAL Member Iscritto dal: Dec 2008 Messaggi: 279	questa guida mi farà molto comodo...grazie .) __________________ Tutto bene con: salfazio, fcs , DonaldDuck, DarkVampire, Emaborsa, mat83, brattak, Cocs

24-11-2009, 18:57	#2048
Liuk71 Junior Member Iscritto dal: Nov 2009 Messaggi: 11	Non pago...!!! Ho usato i tool come mi chiedi sulla guida e il rootkit che mi riavvia il ripristino configurazione di sistema. Sono al punto che solo mbr lo vede: device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK copy of MBR has been found in sector 0x01314FFD8 malicious code @ sector 0x01314FFDB ! PE file found in sector at 0x01314FFF1 ! Prevx non lo vedeva più.. ma dopo aver usato fixboot è tornato a vederlo.. e chiede soldi per la licenza per toglierlo... C'è qualche altro tool che posso usare...???? Se uso fixmbr puo funzionare senza rischiare le partizioni del disco...???? Grazie mille... per i consigli.

24-11-2009, 22:01	#2054
Liuk71 Junior Member Iscritto dal: Nov 2009 Messaggi: 11	La soluzione finale..?? Questi sono tutti i log di cui dispongo con relativi link. Dalla prima infezione ad oggi...!!!! Prima infezione gmer1.txt gmer2.txt prevx.txt mbr1.txt mbr2.txt NormanSinowal.txt Seconda Infezione gmer.txt prex.txt mbr.txt NFix.txt CureIt.txt Terza Infezione gmer.txt prevx.txt prevx2.txt mbr.txt mbr2.txt NFix_2009.txt Rimane valido quello precedente detto: Il sistema spesso avvia da solo il repristino configurazione di sistema. Ed ha creato in cartella Doc_Sett cartella HelpAssistant. P.s. Non considerare mirc.exe credo falso positivo P.s. Ho cancellato Corso montaggio senza problemi Spero che tu possa gentilmente tirare fuori qualcosa dal lavoro forse non accurato di uno che sa leggere. Grazie

24-11-2009, 20:05	#2053
kaedes Member Iscritto dal: Nov 2009 Messaggi: 32	ho rifatto la scansione del file, come tu stesso puoi vedere è sempre vfind.exe http://www.mediafire.com/file/5z20j2maz3d/Immagine1.JPG http://www.mediafire.com/file/r2mzrzygziq/Immagine.JPG e questo è il risultato: http://virscan.org/report/e8541b64f8...aa9dfd4d2.html

24-11-2009, 23:01	#2057
Liuk71 Junior Member Iscritto dal: Nov 2009 Messaggi: 11	Ecco i log di Cureit filtrati..!!! Sono della stessa data perche ovviamente li ho filtrati ora, ma fanno riferimento alla seconda e terza infezione rispettivamente come numerazione. cureit filtrato2.txt cureit filtrato3.txt Grazie P.s. Fammi sapere su eventuali tool e su fixmbr...????

24-11-2009, 23:33	#2059
Liuk71 Junior Member Iscritto dal: Nov 2009 Messaggi: 11	Lo avevo capito anch'io....da solo...!!!! Ma da come ho già detto dopo aver usato mbrboot Prevx che scansione in tempo reale mi rileva il rootkit sul settore fisico \driver\disk0, e mi chiede i soldi per la licenza non credo si solo mbr sporco ma penso che il verme si sia adattato a prevx andando più a basso livello...!!! Provo fixmbr....????????????? Grazie

Strumenti
Mostra una versione stampabile Invia questa pagina per email