Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT - Pagina 102

Eprys · 23-11-2009, 22:04

Salve a tutti.
Purtroppo il mio NOD 32 ha rilevato il famigerato mebroot.mbr.
Premetto che è la prima volta che mi trovo in una situazione simile.
Ho scaricato tutti i files che sono indicati nella guida.
Devo dire che però il GMEr per la rilevazione non mi funziona.
Allora ho scansionato con Prevx il quale ha rilevato 8 files infetti, ma non li ho eliminati (DI SEGUITO RIPORTO I LOGS).
Poi in modalità provvisoria ho eseguito il comando C.\mbr.exe -f, ma non mi sembra abbia fatto nulla. Idem per il Norman SinowalMBR Cleaner.
Tant'è che con il CUREIT mi si rileva un file che sembra avere a che fare con il virus troiano mbr (di seguito allego anche il log di CUREIT).

Devo dire che prime di giungere al vostro forum ho fatto prove con altre operazioni; in particolare volevo segnalare che il tool FixMebroot.exe che ho visto suggerito su altro forum non mi rileva alcun mbr trojan.

Ad ogni modo volevo chiedere una cosa: Il DR WEB CUREIT mi sembra l'unico programma che rileva effettivamente qualcosa. Posso fargli curare il file infetto(tramite riavvio, come pretende il programma) senza spostarlo prima in quarantena?
Ed inoltre: che significa qualdo mi dice che dovrà scrivere il file di boot???

Aspetto speranzoso vostre risposte.
Intanto però per esigenze devo stare on line: è pericoloso? Il pc sembra andare come sempre: da che ci si accorge che il trojan sta avendo effetto???
Ciao e a presto.

Eprys · 23-11-2009, 22:14

Ecco i rispettivi logs

Mel Brooks · 24-11-2009, 00:25

Scusate se ho impiegato tanto tempo ma la scansione completa con Dr. web è davvero onerosa, questo è il file di log filtratro
cureit filtrato.txt
Grazie ancora

wjmat · 24-11-2009, 07:46

Quote:

Originariamente inviato da Mel Brooks

Scusate se ho impiegato tanto tempo ma la scansione completa con Dr. web è davvero onerosa, questo è il file di log filtratro
cureit filtrato.txt
Grazie ancora

dei file segnalati da cureit sembra abbia fatto giusto
il file di office andava lasciato mentre i restanti erano le quarantene di spybot e node quindi era indifferente la scelta

passa ai consigli finali

wjmat · 24-11-2009, 07:50

Quote:

Originariamente inviato da Eprys

Ecco i rispettivi logs

mbr.log

log di Prevx.log

CureIt.log

ci posti su www.imageshack.com la schemata di cureit di quando ti propone la rimozione

fai controllare i files segnalati da prevx su www.virustotal.com e su http://virscan.org/

Una volta sui siti clicca su sfoglia -> cerca il file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollali nella discussione
Se ti verrà segnalato che il file è già stato controllato, fallo analizzare comunque perchè le firme virali dei vari motori di scansione potrebbero essere stati aggiornati.

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema

**Chill-Out** · 24-11-2009, 08:06

Quote:

Originariamente inviato da kaedes

a proposito: ma la scansione con norman sinowal dovevo farla sempre in modalità provvisoria?

No, modalità normale, non c'è scritto di farla in provvisoria, passa alla fase successiva.

**Chill-Out** · 24-11-2009, 08:16

Quote:

Originariamente inviato da turbido

log AVIRA

AVSCAN-20091123-111228-AD23DD61.txt

LOG norman sinowalmbr cleaner
NFix_2009-11-05_20-36-44.log

Non hai disabilitato il Ripristino configurazione sistema così come indicato in Guida e dal momento che non riesci ad accedere alla modalità provvisoria e CureIt sembra non funzionarere, l'unica soluzione è la seguente:

Quote:

* Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS
* Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY
* Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive
* A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows
* Premi F10 per confermare ed uscire
* Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
* Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
* Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, 1) X:\Windows quindi premere 1 e confermare con OK
* Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.
* Al prompt dei comandi digita FIXMBR e clicca su Y per confermare
* Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows

**Chill-Out** · 24-11-2009, 08:53

Quote:

Originariamente inviato da Eprys

Ad ogni modo volevo chiedere una cosa: Il DR WEB CUREIT mi sembra l'unico programma che rileva effettivamente qualcosa. Posso fargli curare il file infetto(tramite riavvio, come pretende il programma) senza spostarlo prima in quarantena?
Ed inoltre: che significa qualdo mi dice che dovrà scrivere il file di boot???

Dire che c'è poco da scegliere, ripeti scansione completa con DrWeb CureIt selezionando sposta incurabile e rispondendo SI alla seguente domanda:

Settore di avvio infetto - riscrivo settore di avvio standard al riavvio

turbido · 24-11-2009, 08:55

Ripristino configurazione di sistema l'ho disattivata ma poi si è riattivata!

Faccio come da guida che hai postato. Grazie per l'aiuto!!!

turbido · 24-11-2009, 09:24

Il comando completo nel promt dei comandi è C:\FIXMBR?

**Chill-Out** · 24-11-2009, 10:44

Quote:

Originariamente inviato da turbido

Il comando completo nel promt dei comandi è C:\FIXMBR?

Al prompt dei comandi digita FIXMBR e clicca su Y per confermare

alesurf87 · 24-11-2009, 11:18

Salve a tutti, scrivo qua per porvi il mio problema; all'avvio del computer mi appare questa scritta "Trend chip away virus has detected a boot virus on your hard disk! Press <enter> for more information (raccomanded) or <C> to continue booting.

Girando per la rete ho trovato la guida che è nella prima pagina di questa discussione e ho scaricato tutti i programmi che servivano e ho iniziato il lavoro seguendo pari passo la fase preliminare e la prima fase; ora allego qua i link con i log che ho creato dopo l'utilizzo dei programmi:

Log di Gmer:
http://wikisend.com/download/448798/Log gmer.txt

Log di PrevX pre-rimozione:
http://wikisend.com/download/935594/Log PrevX 3.0 pre-rimozione.txt

Log di PrevX post-rimozione:
http://wikisend.com/download/616694/Log PrevX 3.0 post-rimozione.txt

Ci tengo a sottolineare che dopo la rimozione con PrevX 3.0 la schermata non si è piu presentata! Cosa devo fare a questo punto? devo andare avanti con la seconda fase oppure no? Aspetto risposte e spero di risolvere questo problema!

P.S. il computer infettato non è quello in firma ma bensi questo:
CPU: Intel pentium 4 2.60Ghz
Scheda Madre: Asus P4PE-X/TE
RAM: Kingstone 512Mb 200Mhz
Scheda video: Ati Radeon 9000 Series 128Mb

**Chill-Out** · 24-11-2009, 11:22

Quote:

Originariamente inviato da alesurf87

Ci tengo a sottolineare che dopo la rimozione con PrevX 3.0 la schermata non si è piu presentata! Cosa devo fare a questo punto? devo andare avanti con la seconda fase oppure no? Aspetto risposte e spero di risolvere questo problema!

Ciao, procedi con la fase successiva.

turbido · 24-11-2009, 11:39

ho settato il bios come da guida, quando cerco di avviare il cd di windows viene il messaggio NTLDR mancante press ctrl+alt+canc per riavviare.

g_u_e_s_s · 24-11-2009, 13:30

ragazzi....purtroppo sono di nuovo infetta da mbr!!
L'ho riconoscuto subito dalla cartella HelpAssistant presenti tra gli Utenti del sistema....!!
Da quando avevo affattuato l'ultima pulizia, ho navigato solo in 3 siti: quello dell tim e due forum (uno di fotorgafia digitale e uno sul matrimonio).
Non uso progammi di chat, e non mi "procuro file multimediali protetti da copyright" (non con questo pc

)

E' possibile che il rootkit venga da uno dei siti visitati?
Come faccio a scorprilo, per evitarlo in seguito??
Cosa devo installare oltre a Firewall e antivirus, per non "beccare" questi maledetti rootkit???

Il mio problema è che ora non riesco più ad avviare la connessione internet...cioè quando utilizzo l'icona della connessione di alice non mi appare più la finestra che mi chiede user e password.
Succede sia con l'icona in "pannello di controllo --> connessioni di rete" che con l'icona che ho sul desktop, che con quella in Start-->programmi
Prevx quindi è fuori uso, a meno che non si risca ad avviare la connessione di Alice da riga di comando...... (voi sapete come fare?)

Adesso scarico Gmer aggiornato, e posto il log!
Che nervoso! Avevo appena debellato l'altro....!

**Chill-Out** · 24-11-2009, 14:31

Quote:

Originariamente inviato da turbido

ho settato il bios come da guida, quando cerco di avviare il cd di windows viene il messaggio NTLDR mancante press ctrl+alt+canc per riavviare.

Devi accedere alla console di riprsitino esattamente come indicato.

kaedes · 24-11-2009, 14:51

http://www.mediafire.com/file/mjgyighi2mt/cureit filtrato.txt
questo è il log di cure it filtrato (terza sezione)

http://www.mediafire.com/file/d5iaj5xym3m/Immagine.JPG
e questa un'immagine sempre della scansione di cure it (per ogni evenienza insomma)

i file infetti che mi ha trovato e che potete vedere anche dall'immagine, non me li ha fatti cancellare, solo spostare non so dove.

vi ricordo poi che prevx mi aveva anche trovato un altro file infetto chiamato "vfind.exe" che non è stato capace di eliminare perchè diceva che era necessaria la licenza (e che tra l'altro invece cure it non ha trovato, mi pare)

quindi ricapitolando, ero partito con un infezione da mbr rootkit (che sono riuscito a risolvere dopo la scansione con prevx che lo ha eliminato), e mi ritrovo con queste altre infezioni. come procedo?

grazia per gli aiuti.

**Chill-Out** · 24-11-2009, 15:17

Quote:

Originariamente inviato da kaedes

http://www.mediafire.com/file/mjgyighi2mt/cureit filtrato.txt
questo è il log di cure it filtrato (terza sezione)

http://www.mediafire.com/file/d5iaj5xym3m/Immagine.JPG
e questa un'immagine sempre della scansione di cure it (per ogni evenienza insomma)

i file infetti che mi ha trovato e che potete vedere anche dall'immagine, non me li ha fatti cancellare, solo spostare non so dove.

vi ricordo poi che prevx mi aveva anche trovato un altro file infetto chiamato "vfind.exe" che non è stato capace di eliminare perchè diceva che era necessaria la licenza (e che tra l'altro invece cure it non ha trovato, mi pare)

quindi ricapitolando, ero partito con un infezione da mbr rootkit (che sono riuscito a risolvere dopo la scansione con prevx che lo ha eliminato), e mi ritrovo con queste altre infezioni. come procedo?

grazia per gli aiuti.

Trattasi di file infetti all'interno della quarantena del Nod32, non ho capito perchè ne hai spostati solo 2, comunque ha poca importanza.

Allega nuovo log di Prevx

kaedes · 24-11-2009, 15:50

Quote:

Originariamente inviato da Chill-Out

Trattasi di file infetti all'interno della quarantena del Nod32, non ho capito perchè ne hai spostati solo 2, comunque ha poca importanza.

Allega nuovo log di Prevx

ne ho spostati solo due perchè solo a due durante la scansine mi è uscita la finestra per dirmi di doverli spostare. gli altri invece non mi ha dato possibilità di fare altro, ne durante ne dopo la scansione, come si vede anche dalle foto.

questo è il log di prevx e la foto
http://www.mediafire.com/file/ytmokbck0ew/prevx.log
http://www.mediafire.com/file/nqjg3hdjwkn/Immagine.JPG

tra l'altro andando a cercare su internet per informarmi sulla natura di questo elemento riportato dalla scansione di prevx, non trovo nulla a riguardo di possibili virus o maleware...che sia un falso positivo?

**Chill-Out** · 24-11-2009, 16:04

Quote:

Originariamente inviato da kaedes

ne ho spostati solo due perchè solo a due durante la scansine mi è uscita la finestra per dirmi di doverli spostare. gli altri invece non mi ha dato possibilità di fare altro, ne durante ne dopo la scansione, come si vede anche dalle foto.

questo è il log di prevx e la foto
http://www.mediafire.com/file/ytmokbck0ew/prevx.log
http://www.mediafire.com/file/nqjg3hdjwkn/Immagine.JPG

tra l'altro andando a cercare su internet per informarmi sulla natura di questo elemento riportato dalla scansione di prevx, non trovo nulla a riguardo di possibili virus o maleware...che sia un falso positivo?

Abilita la visualizzazione dei files nascosti

Quote:

Clicca su una cartella qualsiasi Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta su Visualizza cartelle e file nascosti - Togli la spunta da nascondi files protetti di sistema - Applica - OK

e controlla su http://virscan.org/ e http://www.virustotal.com/it/ il seguenti file:

vfind.exe che trovi in c:\windows\

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione

23-11-2009, 22:04	#2021
Eprys Junior Member Iscritto dal: Nov 2008 Messaggi: 17	MEBROOT Salve a tutti. Purtroppo il mio NOD 32 ha rilevato il famigerato mebroot.mbr. Premetto che è la prima volta che mi trovo in una situazione simile. Ho scaricato tutti i files che sono indicati nella guida. Devo dire che però il GMEr per la rilevazione non mi funziona. Allora ho scansionato con Prevx il quale ha rilevato 8 files infetti, ma non li ho eliminati (DI SEGUITO RIPORTO I LOGS). Poi in modalità provvisoria ho eseguito il comando C.\mbr.exe -f, ma non mi sembra abbia fatto nulla. Idem per il Norman SinowalMBR Cleaner. Tant'è che con il CUREIT mi si rileva un file che sembra avere a che fare con il virus troiano mbr (di seguito allego anche il log di CUREIT). Devo dire che prime di giungere al vostro forum ho fatto prove con altre operazioni; in particolare volevo segnalare che il tool FixMebroot.exe che ho visto suggerito su altro forum non mi rileva alcun mbr trojan. Ad ogni modo volevo chiedere una cosa: Il DR WEB CUREIT mi sembra l'unico programma che rileva effettivamente qualcosa. Posso fargli curare il file infetto(tramite riavvio, come pretende il programma) senza spostarlo prima in quarantena? Ed inoltre: che significa qualdo mi dice che dovrà scrivere il file di boot??? Aspetto speranzoso vostre risposte. Intanto però per esigenze devo stare on line: è pericoloso? Il pc sembra andare come sempre: da che ci si accorge che il trojan sta avendo effetto??? Ciao e a presto.

23-11-2009, 22:14	#2022
Eprys Junior Member Iscritto dal: Nov 2008 Messaggi: 17	Ecco i rispettivi logs Ultima modifica di Eprys : 24-11-2009 alle 22:41.

24-11-2009, 11:18	#2032
alesurf87 Senior Member Iscritto dal: Oct 2008 Messaggi: 350	Strana schermata durante l'avvio del computer! Salve a tutti, scrivo qua per porvi il mio problema; all'avvio del computer mi appare questa scritta "Trend chip away virus has detected a boot virus on your hard disk! Press <enter> for more information (raccomanded) or <C> to continue booting. Girando per la rete ho trovato la guida che è nella prima pagina di questa discussione e ho scaricato tutti i programmi che servivano e ho iniziato il lavoro seguendo pari passo la fase preliminare e la prima fase; ora allego qua i link con i log che ho creato dopo l'utilizzo dei programmi: Log di Gmer: http://wikisend.com/download/448798/Log gmer.txt Log di PrevX pre-rimozione: http://wikisend.com/download/935594/Log PrevX 3.0 pre-rimozione.txt Log di PrevX post-rimozione: http://wikisend.com/download/616694/Log PrevX 3.0 post-rimozione.txt Ci tengo a sottolineare che dopo la rimozione con PrevX 3.0 la schermata non si è piu presentata! Cosa devo fare a questo punto? devo andare avanti con la seconda fase oppure no? Aspetto risposte e spero di risolvere questo problema! P.S. il computer infettato non è quello in firma ma bensi questo: CPU: Intel pentium 4 2.60Ghz Scheda Madre: Asus P4PE-X/TE RAM: Kingstone 512Mb 200Mhz Scheda video: Ati Radeon 9000 Series 128Mb __________________ CPU:Intel Core i5 2500 Mainboard: Asus P8H67 (Rev 3.0)RAM: Ripjaws 2*4gb DDR3 1333 mhz Hard Disk: SSD Crucial MX300 Scheda Video: Asus Nvidia GTX970 STRIX 4GB Monitor: LG IPS LED 23MP65-HQ Alimentatore: Cooler Master GX650 80 plus Sistema Operativo: Windows 10 x64 Case: Coolermaster CM690II Lite

24-11-2009, 00:25	#2023
Mel Brooks Junior Member Iscritto dal: Nov 2009 Messaggi: 10	Scusate se ho impiegato tanto tempo ma la scansione completa con Dr. web è davvero onerosa, questo è il file di log filtratro cureit filtrato.txt Grazie ancora

24-11-2009, 08:55	#2029
turbido Junior Member Iscritto dal: Nov 2009 Messaggi: 18	Ripristino configurazione di sistema l'ho disattivata ma poi si è riattivata! Faccio come da guida che hai postato. Grazie per l'aiuto!!!

24-11-2009, 09:24	#2030
turbido Junior Member Iscritto dal: Nov 2009 Messaggi: 18	Il comando completo nel promt dei comandi è C:\FIXMBR?

24-11-2009, 11:39	#2034
turbido Junior Member Iscritto dal: Nov 2009 Messaggi: 18	ho settato il bios come da guida, quando cerco di avviare il cd di windows viene il messaggio NTLDR mancante press ctrl+alt+canc per riavviare.

24-11-2009, 13:30	#2035
g_u_e_s_s Junior Member Iscritto dal: Mar 2006 Messaggi: 14	ragazzi....purtroppo sono di nuovo infetta da mbr!! L'ho riconoscuto subito dalla cartella HelpAssistant presenti tra gli Utenti del sistema....!! Da quando avevo affattuato l'ultima pulizia, ho navigato solo in 3 siti: quello dell tim e due forum (uno di fotorgafia digitale e uno sul matrimonio). Non uso progammi di chat, e non mi "procuro file multimediali protetti da copyright" (non con questo pc ) E' possibile che il rootkit venga da uno dei siti visitati? Come faccio a scorprilo, per evitarlo in seguito?? Cosa devo installare oltre a Firewall e antivirus, per non "beccare" questi maledetti rootkit??? Il mio problema è che ora non riesco più ad avviare la connessione internet...cioè quando utilizzo l'icona della connessione di alice non mi appare più la finestra che mi chiede user e password. Succede sia con l'icona in "pannello di controllo --> connessioni di rete" che con l'icona che ho sul desktop, che con quella in Start-->programmi Prevx quindi è fuori uso, a meno che non si risca ad avviare la connessione di Alice da riga di comando...... (voi sapete come fare?) Adesso scarico Gmer aggiornato, e posto il log! Che nervoso! Avevo appena debellato l'altro....!

24-11-2009, 14:51	#2037
kaedes Member Iscritto dal: Nov 2009 Messaggi: 32	http://www.mediafire.com/file/mjgyighi2mt/cureit filtrato.txt questo è il log di cure it filtrato (terza sezione) http://www.mediafire.com/file/d5iaj5xym3m/Immagine.JPG e questa un'immagine sempre della scansione di cure it (per ogni evenienza insomma) i file infetti che mi ha trovato e che potete vedere anche dall'immagine, non me li ha fatti cancellare, solo spostare non so dove. vi ricordo poi che prevx mi aveva anche trovato un altro file infetto chiamato "vfind.exe" che non è stato capace di eliminare perchè diceva che era necessaria la licenza (e che tra l'altro invece cure it non ha trovato, mi pare) quindi ricapitolando, ero partito con un infezione da mbr rootkit (che sono riuscito a risolvere dopo la scansione con prevx che lo ha eliminato), e mi ritrovo con queste altre infezioni. come procedo? grazia per gli aiuti.

Strumenti
Mostra una versione stampabile Invia questa pagina per email