Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[neway]

Quote:

Come chiesto in precedenza il profilo si è ricreato? Allegami uno screen di tasto dx del mouse su "Risorse Del Computer"

Si che si ricrea, ecco lo screenshot



Grazie ancora

[psykonaut]

buondì
ho il pc infetto e sto seguendo questa utilissima guida per cercare di uscire da questo ginepraio.. Ho eseguito le prime due scansioni con GMER e Prevx 3.0
e questi sono i due logs. Come da tutorial attendo le istruzioni per passare alla fase successiva. Grazie mille per l'aiuto

ecco i log:

gmer
Edit

prevx
Edit
speriamo bene

[Chill-Out]

Quote:

Originariamente inviato da neway

Si che si ricrea, ecco lo screenshot



Grazie ancora

Connessione remota -> e togli il segno di spunta da Assistenza remota e Desktop remoto

[Chill-Out]

Quote:

Originariamente inviato da unnoacaso

mi spieghi perchè sbaglio per il log di mbr
mbr.log
mi sembra che dica ancora "malicius code ecc.. ecc..", aiutami a capire...
per quanto riguarda il norman sinowal questo è il log:
NFix_2009-12-26_23-32-17.log
come vedi c'è quella frase incriminata che dicevo, "unable to scan for sinowalmbr hooks" ed inoltre a chiusura del programma mi chiedeva anche di riavviare il computer (ma lo fa ogni volta mi pare, anche se non ne capisco il motivo).
grazie ancora del supporto

Probabile che tu l'abbia letto su questo 3D

Quote:

Originariamente inviato da unnoacaso

l'unica cosa è che mbr rootkit detector ancora mi segnala la presenza,
però da qualche parte ho letto che persiste a segnalarlo.

[Chill-Out]

Quote:

Originariamente inviato da psykonaut

buondì
ho il pc infetto e sto seguendo questa utilissima guida per cercare di uscire da questo ginepraio.. Ho eseguito le prime due scansioni con GMER e Prevx 3.0
e questi sono i due logs. Come da tutorial attendo le istruzioni per passare alla fase successiva. Grazie mille per l'aiuto

ecco i log:

gmer
Edit

prevx
Edit
speriamo bene

Ciao e benvenuto, cortesemente utlizza i server remoti indicati in guida

[psykonaut]

Quote:

Originariamente inviato da Chill-Out

Ciao e benvenuto, cortesemente utlizza i server remoti indicati in guida

uh perdonami, nella concitazione ho letto le istruzioni un po' di fretta

gmer
GMER log.txt

prevx
Prevx log.txt

[Chill-Out]

Quote:

Originariamente inviato da psykonaut

uh perdonami, nella concitazione ho letto le istruzioni un po' di fretta

gmer
GMER log.txt

prevx
Prevx log.txt

Dai log non emerge nulla, sulla base di cosa riiteni di avere il PC infetto?

[psykonaut]

Quote:

Originariamente inviato da Chill-Out

Dai log non emerge nulla, sulla base di cosa riiteni di avere il PC infetto?

che strano, come antivirus uso symantec antivirus e dopo aver visitato un sito (se serve poi te lo cito) si è scatenato l'inferno. dopo una scansione con l'av è stata riscontrata una infezione del suddetto virus che non è stato possibile riparare. al che ho provato a rimuoverla seguendo (lo ammetto un po' disordinatamente) la tua guida. non venendone a capo ho riprovato a rifare tutto da capo e da qui il mio thread..

ho fatto una scansione in modalità provvisoria con mbr.exe -f ed il log mi direbbe (da quello che ci posso capire io) che un'infezione c'è...
se può servire il log è questo mbr.log

porta pazienza ma come avrai capito non sono espertissimo

[Chill-Out]

Quote:

Originariamente inviato da psykonaut

che strano, come antivirus uso symantec antivirus e dopo aver visitato un sito (se serve poi te lo cito) si è scatenato l'inferno. dopo una scansione con l'av è stata riscontrata una infezione del suddetto virus che non è stato possibile riparare. al che ho provato a rimuoverla seguendo (lo ammetto un po' disordinatamente) la tua guida. non venendone a capo ho riprovato a rifare tutto da capo e da qui il mio thread..

ho fatto una scansione in modalità provvisoria con mbr.exe -f ed il log mi direbbe (da quello che ci posso capire io) che un'infezione c'è...
se può servire il log è questo mbr.log

porta pazienza ma come avrai capito non sono espertissimo

Mi allegheresti il log del Norton

[psykonaut]

Quote:

Originariamente inviato da Chill-Out

Mi allegheresti il log del Norton

eccolo norton.csv

ma tutta questa pazienza dove la vai a prendere? -_-

[Chill-Out]

Quote:

Originariamente inviato da psykonaut

eccolo norton.csv

ma tutta questa pazienza dove la vai a prendere? -_-

In formato .txt

[psykonaut]

Quote:

Originariamente inviato da Chill-Out

In formato .txt

norton.txt

spero possa andar bene..

[Chill-Out]

Quote:

Originariamente inviato da psykonaut

norton.txt

spero possa andar bene..

A me sembra che il tuo AV abbia fatto il suo dovere, per scrupolo allega il log della Seconda e Terza fase

[psykonaut]

Quote:

Originariamente inviato da Chill-Out

A me sembra che il tuo AV abbia fatto il suo dovere, per scrupolo allega il log della Seconda e Terza fase

perfetto, allora procedo subito.
una domanda, dalla guida non riesco a capire se il Norman devo avviarlo in modalità provvisoria o in modalità normale. grazie per il prezioso supporto

[Chill-Out]

Quote:

Originariamente inviato da psykonaut

perfetto, allora procedo subito.
una domanda, dalla guida non riesco a capire se il Norman devo avviarlo in modalità provvisoria o in modalità normale. grazie per il prezioso supporto

Normale

[neway]

Quote:

Connessione remota -> e togli il segno di spunta da Assistenza remota e Desktop remoto

Niente da fare, era già deselezionato.

Senti, neanche per importunarti ulteriormente. Se formatto tutto dovrei risolvere il problema?

[unnoacaso]

ok, quindi mbr.exe continua a segnalare la presenza anche dopo la rimozione.
sono tranquillo quindi. grazie per l'aiuto e la pazienza

Quote:

Originariamente inviato da Chill-Out

Probabile che tu l'abbia letto su questo 3D

[Chill-Out]

Quote:

Originariamente inviato da neway

Niente da fare, era già deselezionato.

Senti, neanche per importunarti ulteriormente. Se formatto tutto dovrei risolvere il problema?

Mi sembra strano, comunque se desideri formattare, formatta a basso livello.

[Chill-Out]

Quote:

Originariamente inviato da unnoacaso

ok, quindi mbr.exe continua a segnalare la presenza anche dopo la rimozione.
sono tranquillo quindi. grazie per l'aiuto e la pazienza

Prego

[neway]

Quote:

Quote:

Senti, neanche per importunarti ulteriormente. Se formatto tutto dovrei risolvere il problema?
Mi sembra strano, comunque se desideri formattare, formatta a basso livello.

Ho scoperto dove sbagliavo ed ho risolto il problema SENZA formattare. Grazie a Chill-out per la sua gentilezza e disponibilità. Lo invito a leggere quanto segue.
La consolle di ripristino di windows riconosceva come predefinito un'altro disco rigido, quindi ripristinava il master boot record di un altro disco, non di quello con il sistema operativo! E' bastato quindi utilizzare il comando fixmbr completo, cioè, nel mio caso

Codice:

fixmbr \Device\Harddisk1\Partition1

in cui specificavo di riparare la partizione interessata dal rootkit.

Per capire esattamente su quale partizione eseguire il fixmbr ho usato il comando map della consolle di ripristino.

Al primo riavvio ho cancellato la cartella helpassistant. Tutti i sintomi rimasti del virus sono scomparsi totalmente (si bloccava mentre entrava in standby e crashava le applicazioni in DOS a 16 bit).

ancora ora però Stealth MBR rootkit detector mi da questo log (è breve dunque lo allego qui)

Codice:

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
copy of MBR has been found in sector 0x0E4FBFE2 
malicious code @ sector 0x0E4FBFE5 !
PE file found in sector at 0x0E4FBFFB !

Perchè continua a trovare roba sporca?
Anche Dr Web (che ora parte tranquillamente) non segnala niente