Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da el ciel0

salve a tutti,penso di aver preso qualche giorno fa mbr rootkit,il pc si blocca\va ho trovato la canonica cartella helpassistant(eliminata).
per tentare di risolvere il problema ho fatto:
scansione online f-secure(mi ha trovato alcuni file risalenti a tale mebroot,1 non lo ha eliminato)
usato mbr(in modalità provvisoria)il log è questo:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x017499F00
malicious code @ sector 0x017499F03 !
PE file found in sector at 0x017499F19 !

ho usato il comando mbr.exe -f ricordo di aver letto un log con su scritto mbr restored,dopo di ciò il log era sempre lo stesso(come quello sopra)

poi HO PRESO DRWEB CUREIT,mi ha rilevato un paio di trojan che ho eliminato e un paio di problemi in cartelle di office,quarantenati.

Il problema è che il log di mbr è sempre come quello postato sopra,

ho poi fatto una scansione con prevx mi ha trovato pkjmcxp.exe, ma non lo vuole eliminare perchè ho la versione free,il mio avira però non lo vede.

cosa ne pensate???pensate che la cosa sia grave???che devo fare???come elimino pkjmcxp.exe?

Grazie mille

P.S. il pc è in internet da almeno una 30ina di minuti è non è ancora crashato/freezato ne si è creato helpassistant,però mi sembra tutto un po lento

Segui la Guida in prima pagina ed allega i log della Prima fase

[el ciel0]

vorrei di cuore mandare il log di prevx,ma al successivo avvio dopo il post scritto ieri il pc non si avvia,ovvero lo accendo ma prima che compaia la schermata di windovs si riavvia da solo,non posso mettere la modalità provvisoria,si riavvia dopo averla selezionata.
ho provato ad usare la console di ripristino con i comandi fix boot e fixmbr,ma dopo averlo fatto non cambia nulla...
responsi???devo gettare il pc???ma sopratutto ho perso tutti i dati che avevo sopra vero???

p.s.il cd con cui avevo effettuato l'installazione di xp era un windovs pro service pack2 a cui ho aggiornato il sp3,il cd di windovs da cui o effettuato la console di ripristino è un home sp3,può essere rilevante???

grazie

[Chill-Out]

Quote:

Originariamente inviato da el ciel0

vorrei di cuore mandare il log di prevx,ma al successivo avvio dopo il post scritto ieri il pc non si avvia,ovvero lo accendo ma prima che compaia la schermata di windovs si riavvia da solo,non posso mettere la modalità provvisoria,si riavvia dopo averla selezionata.
ho provato ad usare la console di ripristino con i comandi fix boot e fixmbr,ma dopo averlo fatto non cambia nulla...
responsi???devo gettare il pc???ma sopratutto ho perso tutti i dati che avevo sopra vero???

p.s.il cd con cui avevo effettuato l'installazione di xp era un windovs pro service pack2 a cui ho aggiornato il sp3,il cd di windovs da cui o effettuato la console di ripristino è un home sp3,può essere rilevante???

grazie

Nel tempo intercorso fra questo Post ed il precedente che cosa è successo?

http://www.hwupgrade.it/forum/showpo...postcount=2400

[el ciel0]

nulla,ho spento il pc alle 17.30 circa,quasi convinto di aver risolto il problema.quando ho riprovato ad accenderlo è successo ciò che ho descritto nel post delle 10.42...

[el ciel0]

non senza difficoltà sono riuscito a riavviare il pc,avevo stupidamente eliminato ntldr .

il log di prevx è questo http://wikisend.com/download/641778/gggg.log

ancora grazie per l'aiuto

[Chill-Out]

Quote:

Originariamente inviato da el ciel0

non senza difficoltà sono riuscito a riavviare il pc,avevo stupidamente eliminato ntldr .

il log di prevx è questo http://wikisend.com/download/641778/gggg.log

ancora grazie per l'aiuto

Mi sembrava strano, allega il log di Gmer ed in sequenza i log della seconda e terza fase tutti in 1 unico post, grazie.

[el ciel0]

ho provato 4 volte ad aprire gmer,ma causa la ''schermata blu'' che fare???nel frattempo penso che il malware rilavato da prevx sia drweb cureit...sia perchè è tra i processi attivi durante la scansione di dr web,sia perchè provando a terminarlo termina anche drweb,sia perchè andandolo a cercare ha un icona uguale/moltosimile a quella di drweb

[Chill-Out]

Quote:

Originariamente inviato da el ciel0

ho provato 4 volte ad aprire gmer,ma causa la ''schermata blu'' che fare???nel frattempo penso che il malware rilavato da prevx sia drweb cureit...sia perchè è tra i processi attivi durante la scansione di dr web,sia perchè provando a terminarlo termina anche drweb,sia perchè andandolo a cercare ha un icona uguale/moltosimile a quella di drweb

Lascia stare Gmer ed allega i log richiesti.

[TORTOLI]

Buongiorno.
Sto facendo la prima fase descritta....

ma i log di Gmer e Prevx 3.0 li faccio qui? O su Wikisend?
Grazie
Saluti

[wjmat]

Quote:

Originariamente inviato da TORTOLI

Buongiorno.
Sto facendo la prima fase descritta....

ma i log di Gmer e Prevx 3.0 li faccio qui? O su Wikisend?
Grazie
Saluti

ciao

le dimensioni non ti permetteranno di caricarli con la funzione integrata del forum quindi usa wikisend o uno dei server remoti consigliati

[el ciel0]

Quote:

Originariamente inviato da Chill-Out

Lascia stare Gmer ed allega i log richiesti.

ecco i 3 log

http://wikisend.com/download/529858/cureit filtrato.txt

http://wikisend.com/download/443282/prevx.log

http://wikisend.com/download/452000/mbr.log

[Chill-Out]

Quote:

Originariamente inviato da el ciel0

ecco i 3 log

http://wikisend.com/download/529858/cureit filtrato.txt

http://wikisend.com/download/443282/prevx.log

http://wikisend.com/download/452000/mbr.log

Ok, adesso controlla su http://virscan.org/ e http://www.virustotal.com/it/ il seguenti file:

pkjmcxp.exe che trovi in c:\documents and settings\fau\impostazioni locali\temp\rarsfx0\

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione.

[el ciel0]

ecco gli scan

http://virscan.org/report/875729b8d1...d7b05e86b.html

http://www.virustotal.com/it/analisi...d8c-1264510515

[TORTOLI]

Dopo la scansione di alcune unità ... si blocca ... con un messaggio che non ho fatto in tempo a riportare .. perchè poco dopo la maschera è diventata blu riportando un avviso di errore a tutta pagina che in maniera sintetica descrivo :
KERNEL_STACK_INPAGE_ERROR....
ECC
ECC
ECC

Informazioni tecniche
*** STOP:0X00000077(0X00000001,0X00000000,0X00000000,0XBA043CBC)

Che devo fare???
Grazie
Saluti

[wjmat]

Quote:

Originariamente inviato da TORTOLI

Dopo la scansione di alcune unità ... si blocca ... con un messaggio che non ho fatto in tempo a riportare .. perchè poco dopo la maschera è diventata blu riportando un avviso di errore a tutta pagina che in maniera sintetica descrivo :
KERNEL_STACK_INPAGE_ERROR....
ECC
ECC
ECC

Informazioni tecniche
*** STOP:0X00000077(0X00000001,0X00000000,0X00000000,0XBA043CBC)

Che devo fare???
Grazie
Saluti

comincia a caricare il log di prevx

[TORTOLI]

Ok!! Nel frattempo che apettavo la risposta ho lanciato Malwarebytes ... lo faccio terminare e allego il responso??

[wjmat]

Quote:

Originariamente inviato da TORTOLI

Ok!! Nel frattempo che apettavo la risposta ho lanciato Malwarebytes ... lo faccio terminare e allego il responso??

non mi sembra sia richiesto dalla guida, ormai lascialo girare, male non fa

[Chill-Out]

Quote:

Originariamente inviato da el ciel0

ecco gli scan

http://virscan.org/report/875729b8d1...d7b05e86b.html

http://www.virustotal.com/it/analisi...d8c-1264510515

Direi che siamo a posto, segui i suggerimenti che trovi sempre nella Guida in prima pagina.

[el ciel0]

grazie mille

[Chill-Out]

Quote:

Originariamente inviato da el ciel0

grazie mille

Prego