Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT - Pagina 118

Alek09 · 06-01-2010, 17:51

Salve a tutti, vi espongo il mio problema.

Stavo navigando tranquillamente con firefox quando senza che io abbia scaricato nulla, mi si apre Acrobat Reader, come se avessi aperto un file .pdf (che ribadisco non ho aperto, almeno non di mia iniziativa...)

Subito Avira mi manda un allarme, 3 notifiche di virus (purtroppo non ricordo il nome esatto, ricordo che uno era un .gi e l'altro era identificato come un trojan), a queste notifiche rispondo decidendo di eliminare i file, delete.

Dopo poco tempo il pc si riavvia da solo e durante il Boot mi appare la famosa scritta:

Trend ChipAwayVirus has detected a boot virrus on your hard disk.
Press <Enter> for more information (recommended)
<c> to continue booting.

dopo di chè, continuo il boot ed il pc si avvia, all'apparenza, senza problemi...

Ho seguito la prima fase della procedura come indicato dalla guida, solo che... Prevx non riscontra alcun anomalia, eppure spulciando il log trovo:

[G] c:\$mbr.0 [PX5: 99AA2E4B009FF0F80185002040C95900259D9CD1]

che assomiglia abbastanza all'esempio di log infetto che appare proprio nella guida, che faccio? passo alla seconda fase della guida?

vi allego i log (come potete vedere, il secondo log di prevx non c'è dato che non trova nulla da correggere), grazie in anticipo:

http://wikisend.com/download/484350/Gmer.txt
http://wikisend.com/download/525232/prevx.log

**Chill-Out** · 06-01-2010, 21:06

Quote:

Originariamente inviato da Alek09

Salve a tutti, vi espongo il mio problema.

Stavo navigando tranquillamente con firefox quando senza che io abbia scaricato nulla, mi si apre Acrobat Reader, come se avessi aperto un file .pdf (che ribadisco non ho aperto, almeno non di mia iniziativa...)

Subito Avira mi manda un allarme, 3 notifiche di virus (purtroppo non ricordo il nome esatto, ricordo che uno era un .gi e l'altro era identificato come un trojan), a queste notifiche rispondo decidendo di eliminare i file, delete.

Dopo poco tempo il pc si riavvia da solo e durante il Boot mi appare la famosa scritta:

Trend ChipAwayVirus has detected a boot virrus on your hard disk.
Press <Enter> for more information (recommended)
<c> to continue booting.

dopo di chè, continuo il boot ed il pc si avvia, all'apparenza, senza problemi...

Ho seguito la prima fase della procedura come indicato dalla guida, solo che... Prevx non riscontra alcun anomalia, eppure spulciando il log trovo:

[G] c:\$mbr.0 [PX5: 99AA2E4B009FF0F80185002040C95900259D9CD1]

che assomiglia abbastanza all'esempio di log infetto che appare proprio nella guida, che faccio? passo alla seconda fase della guida?

vi allego i log (come potete vedere, il secondo log di prevx non c'è dato che non trova nulla da correggere), grazie in anticipo:

http://wikisend.com/download/567170/Gmer.txt
http://wikisend.com/download/525232/prevx.log

Cortesemente riallega il log di Gmer, in quanto risulta incompresibile.

Alek09 · 06-01-2010, 21:13

Quote:

Originariamente inviato da Chill-Out

Cortesemente riallega il log di Gmer, in quanto risulta incompresibile.

Chiedo venia per l'inconveniente, riuppato e link aggiornato nel mio primo post:

http://wikisend.com/download/484350/Gmer.txt

**Chill-Out** · 06-01-2010, 21:35

Quote:

Originariamente inviato da Alek09

Chiedo venia per l'inconveniente, riuppato e link aggiornato nel mio primo post:

http://wikisend.com/download/484350/Gmer.txt

Ok, allega i log della Fase 2 e 3

FabioBi · 07-01-2010, 13:48

Quote:

Originariamente inviato da Chill-Out

La prima fase prevede il log di Gmer + due log di Prevx

si scusa Chill ...ecco i log

http://wikisend.com/download/569986/LogGmer.txt
http://wikisend.com/download/957854/LogPrePrevx.log
http://wikisend.com/download/923950/LogPostPrevx.log

**Chill-Out** · 07-01-2010, 20:28

Quote:

Originariamente inviato da FabioBi

si scusa Chill ...ecco i log

http://wikisend.com/download/569986/LogGmer.txt
http://wikisend.com/download/957854/LogPrePrevx.log
http://wikisend.com/download/923950/LogPostPrevx.log

Per scrupolo porta a termine la Guida, attendiamo i log della seconda e terza fase.

**Chill-Out** · 07-01-2010, 22:05

Guida aggiornata

FabioBi · 08-01-2010, 17:34

Quote:

Originariamente inviato da Chill-Out

Per scrupolo porta a termine la Guida, attendiamo i log della seconda e terza fase.

ecco i log della seconda e terza fase:

http://wikisend.com/download/485712/mbr.log
http://wikisend.com/download/459608/...8_12-54-29.log
http://wikisend.com/download/956986/cureit filtrato.txt

posso rimuovere la cartella helpassistant?

**Chill-Out** · 08-01-2010, 17:57

Quote:

Originariamente inviato da FabioBi

ecco i log della seconda e terza fase:

http://wikisend.com/download/485712/mbr.log
http://wikisend.com/download/459608/...8_12-54-29.log
http://wikisend.com/download/956986/cureit filtrato.txt

posso rimuovere la cartella helpassistant?

Cortesemente riallega il log di CureIt su un server remoto alernativo, li trovi nelle Regole di sezione in firma, per la cartella Help.......trovi le istruzioni in Guida.

Alek09 · 08-01-2010, 19:26

Quote:

Originariamente inviato da Chill-Out

Ok, allega i log della Fase 2 e 3

ho proseguito con la 2a fase, al momento di avviare il pc in modalità provvisoria succede una cosa insolita, almeno credo, ossia il pc mi da la possibilità di fare il log in a xp sia come administrator che con il mio nome user.. cosa che abitualmente non si verifica..

comunque, il log di mbr è breve e dice solo:

Quote:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

il log di Norman_Sinowal_Cleaner è: http://www.mediafire.com/?wj5jrj1wmww

nella terza fase ho dei problemi, cureit si apre, ma appena premo avvia per la prima scansione, dopo pochi secondi di attesa, il computer si riavvia regolarmente.
In poche parole, non mi permette di effettuare la scansione...

provo ad effettuarla in modalità provvisoria? accedo come user o come administrator? oppure prima elimino la cartella helpassistant? o ci sono programmi alternativi?
mi è anche venuto il dubbio che cureit non parta per qualche conflitto con altri programmi (prevx e/o l'antivirus)

grazie ancora per la pazienza. (:

**Chill-Out** · 09-01-2010, 09:21

Quote:

Originariamente inviato da Alek09

ho proseguito con la 2a fase, al momento di avviare il pc in modalità provvisoria succede una cosa insolita, almeno credo, ossia il pc mi da la possibilità di fare il log in a xp sia come administrator che con il mio nome user.. cosa che abitualmente non si verifica..

comunque, il log di mbr è breve e dice solo:

il log di Norman_Sinowal_Cleaner è: http://www.mediafire.com/?wj5jrj1wmww

nella terza fase ho dei problemi, cureit si apre, ma appena premo avvia per la prima scansione, dopo pochi secondi di attesa, il computer si riavvia regolarmente.
In poche parole, non mi permette di effettuare la scansione...

provo ad effettuarla in modalità provvisoria? accedo come user o come administrator? oppure prima elimino la cartella helpassistant? o ci sono programmi alternativi?
mi è anche venuto il dubbio che cureit non parta per qualche conflitto con altri programmi (prevx e/o l'antivirus)

grazie ancora per la pazienza. (:

Il log di Stealth MBR rootkit/Mebroot/Sinowal è ok, se CureIt crasha direi che non è il caso di insistere, elimina il profilo HelpAssistant.

FabioBi · 09-01-2010, 13:14

Quote:

Originariamente inviato da Chill-Out

Cortesemente riallega il log di CureIt su un server remoto alernativo, li trovi nelle Regole di sezione in firma, per la cartella Help.......trovi le istruzioni in Guida.

Chill ....riesco ad allegare il log solo su wikisend. Freefilehosting non è disponibile e fileqube una volta fatto l'upload va in una pagina pubblicitaria senza darmi alcun codice del log. Ti mando il log da wikisend, grazie della pazienza.

http://wikisend.com/download/937968/CureitFiltrato.txt

**Chill-Out** · 09-01-2010, 16:03

Quote:

Originariamente inviato da FabioBi

Chill ....riesco ad allegare il log solo su wikisend. Freefilehosting non è disponibile e fileqube una volta fatto l'upload va in una pagina pubblicitaria senza darmi alcun codice del log. Ti mando il log da wikisend, grazie della pazienza.

http://wikisend.com/download/937968/CureitFiltrato.txt

Al momento wikisend non è disponibile, hai provato su http://www.mediafire.com/ ?

Alek09 · 09-01-2010, 16:57

Quote:

Originariamente inviato da Chill-Out

Il log di Stealth MBR rootkit/Mebroot/Sinowal è ok, se CureIt crasha direi che non è il caso di insistere, elimina il profilo HelpAssistant.

ho xp professional, eliminato anche il profilo HelpAssistant... riavvio ma la scritta è sempre presente:

Trend ChipAwayVirus has detected a boot virrus on your hard disk.
Press <Enter> for more information (recommended)
<c> to continue booting.

capisco che tutte le scansioni non hanno trovato nulla, e che effettivamente il pc sembra non avere nulla che non va... ma perchè quella scritta al boot?
posso lasciare tutto così, o conviene comunque formattare e togliere ogni dubbio?

**Chill-Out** · 09-01-2010, 17:01

Quote:

Originariamente inviato da Alek09

ho xp professional, eliminato anche il profilo HelpAssistant... riavvio ma la scritta è sempre presente:

Trend ChipAwayVirus has detected a boot virrus on your hard disk.
Press <Enter> for more information (recommended)
<c> to continue booting.

capisco che tutte le scansioni non hanno trovato nulla, e che effettivamente il pc sembra non avere nulla che non va... ma perchè quella scritta al boot?
posso lasciare tutto così, o conviene comunque formattare e togliere ogni dubbio?

Segui questa procedura

Quote:

* Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS
* Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY
* Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive
* A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows
* Premi F10 per confermare ed uscire
* Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
* Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
* Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, 1) X:\Windows quindi premere 1 e confermare con OK
* Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.
* Al prompt dei comandi digita FIXMBR e clicca su Y per confermare
* Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows

AttilsNa · 10-01-2010, 18:16

Quote:

Originariamente inviato da Chill-Out

In formato .txt, grazie.

ho rifatto la scansione,e ho usato il sito che avete messo in prima pagina per inserire i log.
Non so se è quello che vuoi,se non è così mi dici come fare e io lo faccio.
Grazie a voi

http://wikisend.com/download/571574/10.01.10
10.01.10

Briseide28 · 10-01-2010, 19:42

Salve a tutti. Il mio pc giace da giorni ormai preda di un rootkit, e non so proprio più quale strada tentare per rimuoverlo.

Ho eseguito la fase preliminare; mentre gmer non funge in alcun modo, questo è il log della scansione con prevX:
http://wikisend.com/download/529858/prevx1.txt
Per quanto riguarda la rimozione delle voci infette, mi richiede la licenza

Grazie a chiunque voglia darmi una mano.

**Chill-Out** · 10-01-2010, 21:13

Quote:

Originariamente inviato da AttilsNa

ho rifatto la scansione,e ho usato il sito che avete messo in prima pagina per inserire i log.
Non so se è quello che vuoi,se non è così mi dici come fare e io lo faccio.
Grazie a voi

http://wikisend.com/download/571574/10.01.10
10.01.10

In formato testo (.txt) esattamente come viene rilasciato, esempio http://wikisend.com/download/529858/prevx1.txt

**Chill-Out** · 10-01-2010, 21:16

Quote:

Originariamente inviato da Briseide28

Salve a tutti. Il mio pc giace da giorni ormai preda di un rootkit, e non so proprio più quale strada tentare per rimuoverlo.

Ho eseguito la fase preliminare; mentre gmer non funge in alcun modo, questo è il log della scansione con prevX:
http://wikisend.com/download/529858/prevx1.txt
Per quanto riguarda la rimozione delle voci infette, mi richiede la licenza

Grazie a chiunque voglia darmi una mano.

Ciao, allega i log inerenti la seconda e terza fase, successivamente vediamo come procedere.

Briseide28 · 11-01-2010, 12:59

Log con mbr detector:
http://wikisend.com/download/943784/mbr.log
Con Norman_Sinowal_Cleaner ho avuto un po' di problemi, nel senso che la scansione finisce sempre per bloccarsi... Ho provato svariate volte, sia in modalità provvisoria che non, ma niente

Questo è il log che mi ha salvato, ovviamente incompleto.
http://wikisend.com/download/612412/NFix_ok.txt
Con dr.web di male in peggio... quando avvio la scansione si impalla tutto e devo per forza riavviare.
Infine ho inattivato help assistant, almeno quello con successo.

Come mi muovo ora? Grazie!

06-01-2010, 17:51	#2341
Alek09 Junior Member Iscritto dal: Jan 2010 Messaggi: 5	Salve a tutti, vi espongo il mio problema. Stavo navigando tranquillamente con firefox quando senza che io abbia scaricato nulla, mi si apre Acrobat Reader, come se avessi aperto un file .pdf (che ribadisco non ho aperto, almeno non di mia iniziativa...) Subito Avira mi manda un allarme, 3 notifiche di virus (purtroppo non ricordo il nome esatto, ricordo che uno era un .gi e l'altro era identificato come un trojan), a queste notifiche rispondo decidendo di eliminare i file, delete. Dopo poco tempo il pc si riavvia da solo e durante il Boot mi appare la famosa scritta: Trend ChipAwayVirus has detected a boot virrus on your hard disk. Press <Enter> for more information (recommended) <c> to continue booting. dopo di chè, continuo il boot ed il pc si avvia, all'apparenza, senza problemi... Ho seguito la prima fase della procedura come indicato dalla guida, solo che... Prevx non riscontra alcun anomalia, eppure spulciando il log trovo: [G] c:\$mbr.0 [PX5: 99AA2E4B009FF0F80185002040C95900259D9CD1] che assomiglia abbastanza all'esempio di log infetto che appare proprio nella guida, che faccio? passo alla seconda fase della guida? vi allego i log (come potete vedere, il secondo log di prevx non c'è dato che non trova nulla da correggere), grazie in anticipo: http://wikisend.com/download/484350/Gmer.txt http://wikisend.com/download/525232/prevx.log Ultima modifica di Alek09 : 06-01-2010 alle 21:11.

07-01-2010, 22:05	#2347
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Guida aggiornata __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

10-01-2010, 19:42	#2357
Briseide28 Junior Member Iscritto dal: Jan 2010 Messaggi: 18	Salve a tutti. Il mio pc giace da giorni ormai preda di un rootkit, e non so proprio più quale strada tentare per rimuoverlo. Ho eseguito la fase preliminare; mentre gmer non funge in alcun modo, questo è il log della scansione con prevX: http://wikisend.com/download/529858/prevx1.txt Per quanto riguarda la rimozione delle voci infette, mi richiede la licenza Grazie a chiunque voglia darmi una mano.

11-01-2010, 12:59	#2360
Briseide28 Junior Member Iscritto dal: Jan 2010 Messaggi: 18	Log con mbr detector: http://wikisend.com/download/943784/mbr.log Con Norman_Sinowal_Cleaner ho avuto un po' di problemi, nel senso che la scansione finisce sempre per bloccarsi... Ho provato svariate volte, sia in modalità provvisoria che non, ma niente Questo è il log che mi ha salvato, ovviamente incompleto. http://wikisend.com/download/612412/NFix_ok.txt Con dr.web di male in peggio... quando avvio la scansione si impalla tutto e devo per forza riavviare. Infine ho inattivato help assistant, almeno quello con successo. Come mi muovo ora? Grazie!

Strumenti
Mostra una versione stampabile Invia questa pagina per email