Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da ispanico79

salve ho fatto la scansione e mi ha trovato un virus nella cartella C:\Programmi\Macrogaming\SweetIMBarForIE e il file infetto era toolbar.dll....dopo aver corretto il file ora si kiama toolbar.crc.......ke dici?e un altra cosa,come posso difendermi da un eventuale attacco di questo rootkit?aspetto vostre risposte....e in + vi ringrazio ad avermi aiutato a sconfiggere questo rootkit,siete unici e impagabili....complimenti a ki mi ha dato una mano.....GRAZIE MILLE

Vorrei vedere il log se possibile

[forum1]

ma è normale che dopo aver usato mbr.exe a scopo di rilevazione nel pc ci siano queste voci?

Codice:

Autoruns 

mbr		File not found: C:\DOCUME~1\UTENTE\IMPOST~1\Temp\mbr.sys




---- Kernel code sections - GMER 1.0.14 ----


?      C:\DOCUME~1\UTENTE\IMPOST~1\Temp\mbr.sys       Impossibile trovare il file specificato. !

---- EOF - GMER 1.0.14 ----

chiavi nel registro	

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mbr]
"Type"=dword:00000001
"ErrorControl"=dword:00000001
"Start"=dword:00000003


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mbr\Enum]
"0"="Root\\LEGACY_MBR\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001



Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\mbr]
"Type"=dword:00000001
"ErrorControl"=dword:00000001
"Start"=dword:00000003

tra l'altro mi appaiono pure dei problemi durante il caricamento delle impostazioni del bios, problemi che assomigliano a quelli che si verificano quando la batteria tampone è scarica ma che sono apparsi dopo aver eseguito mbr.exe

tempo fa avevo avuto un problema simile ma che era causato, credo, da driver, ma dopo aver formattato e reinstallato tutto il problema era sparito, ora il problema riappare dopo un anno, proprio il giorno dopo aver eseguito mbr.exe

strana coincidenza o mbr.exe ha pasticciato qualcosa?

[Chill-Out]

Quote:

Originariamente inviato da forum1

ma è normale che dopo aver usato mbr.exe a scopo di rilevazione nel pc ci siano queste voci?

Codice:

Autoruns 

mbr		File not found: C:\DOCUME~1\UTENTE\IMPOST~1\Temp\mbr.sys




---- Kernel code sections - GMER 1.0.14 ----


?      C:\DOCUME~1\UTENTE\IMPOST~1\Temp\mbr.sys       Impossibile trovare il file specificato. !

---- EOF - GMER 1.0.14 ----

chiavi nel registro	

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mbr]
"Type"=dword:00000001
"ErrorControl"=dword:00000001
"Start"=dword:00000003


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mbr\Enum]
"0"="Root\\LEGACY_MBR\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001



Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\mbr]
"Type"=dword:00000001
"ErrorControl"=dword:00000001
"Start"=dword:00000003

tra l'altro mi appaiono pure dei problemi durante il caricamento delle impostazioni del bios, problemi che assomigliano a quelli che si verificano quando la batteria tampone è scarica ma che sono apparsi dopo aver eseguito mbr.exe

tempo fa avevo avuto un problema simile ma che era causato, credo, da driver, ma dopo aver formattato e reinstallato tutto il problema era sparito, ora il problema riappare dopo un anno, proprio il giorno dopo aver eseguito mbr.exe

strana coincidenza o mbr.exe ha pasticciato qualcosa?

Che ci siano è normale che possa aver dato problemi non lo escludo a priori, certo però che la coincidenza è strana.

[forum1]

con i computer le coincidenze non sono mai troppo strane

ma basta qualche cambiamento e tac viene fuori un errore, una schermata blu, un comportamento strano

un pc è fatto di pezzi eterogenei e basta un niente a mandare a donnine allegre tutto l'ambaradan

appena integro il sp 3 reinstallo tutto e vedo se il problema sparisce anche questa volta

comunque mbr.exe non dovrebbe andare a toccare il bios

in teoria un problema di checksum del bios dovrebbe derivare 9 volte su 10 da problemi della batteria ed una formattazione e reinstallazione non dovrebbe quindi risolvere nulla, giusto?

[Chill-Out]

Quote:

Originariamente inviato da forum1

con i computer le coincidenze non sono mai troppo strane

ma basta qualche cambiamento e tac viene fuori un errore, una schermata blu, un comportamento strano

un pc è fatto di pezzi eterogenei e basta un niente a mandare a donnine allegre tutto l'ambaradan

esatto non sono mai troppo strane

Quote:

appena integro il sp 3 reinstallo tutto e vedo se il problema sparisce anche questa volta

Ok

Quote:

comunque mbr.exe non dovrebbe andare a toccare il bios

in teoria un problema di checksum del bios dovrebbe derivare 9 volte su 10 da problemi della batteria ed una formattazione e reinstallazione non dovrebbe quindi risolvere nulla, giusto?

Direi proprio di no

[ispanico79]

ecco il log di cureIt...scusa del ritardo ma non sapevo dove si era messo il documento....scusami...

http://wikisend.com/download/570324/CureIt.log

allora?ke dici?

[wjmat]

il log è pulito ma la scansione non è completa o sbaglio?

[ispanico79]

Quote:

Originariamente inviato da wjmat

il log è pulito ma la scansione non è completa o sbaglio?

la scansione completa la devo fare sempre con cureIt?o dimmi te?grazie...

[wjmat]

si con cureit devi fare quella completa

[ispanico79]

Quote:

Originariamente inviato da wjmat

si con cureit devi fare quella completa

ok...ora la faccio e vi farò sapere tramite il mio log.

[ispanico79]

ecco qua la mia scansione completa di cureit:


http://wikisend.com/download/564816/CureIt.log



allora?ditemi voi,cosa fare....grazie

[xcdegasp]

Quote:

Originariamente inviato da ispanico79

ecco qua la mia scansione completa di cureit:


http://wikisend.com/download/564816/CureIt.log



allora?ditemi voi,cosa fare....grazie

togli tutto quello che non serve e tieni solo i riferimenti alle infezioni rilevate

[ispanico79]

ok....fatto.ho corretto,anzi cancellato tutti i file infetti...ora tutto apposto o no?ditemi.........ah un altra cosa,secondo voi è meglio internet explorer o firefox?se voglio tenere solo fire fox,devo disinstallare internet explorer 7 e i suoi aggiornamenti?....grazie ancora di tutto....SIETE I MIGLIORIIIIIIIIIII

[Chill-Out]

Si sei OK per quanto concerne il resto leggi qui: http://www.hwupgrade.it/forum/showthread.php?t=1726383

NB: il riprisitno configurazione sistema avresto dovuto disabilitarlo, disabilitalo, riabilitalo e crea un nuovo punto

[tara86]

Quote:

Originariamente inviato da Chill-Out

Metti Stealth Rootkit detector in D:\
digitare D:\mbr.exe -f e cliccate su OK

Stessa identica cosa..

[Chill-Out]

Quote:

Originariamente inviato da tara86

Stessa identica cosa..

Allegami due log di Gmer, spuntando nel pannelo di destra di Gmer prima una partizione e poi l'altra o le altre, ciao.

[tara86]

Quote:

Originariamente inviato da Chill-Out

Allegami due log di Gmer, spuntando nel pannelo di destra di Gmer prima una partizione e poi l'altra o le altre, ciao.

partizione c:
http://www.fileqube.com/shared/PaSPSezi29810
partizione d:
http://www.fileqube.com/shared/gtdSnJYgn29811
Grazie mille per l'aiuto

[Chill-Out]

Quote:

Originariamente inviato da tara86

partizione c:
http://www.fileqube.com/shared/PaSPSezi29810
partizione d:
http://www.fileqube.com/shared/gtdSnJYgn29811
Grazie mille per l'aiuto

Pare a me o è tutto in D:\ i log sono identici

[tara86]

Quote:

Originariamente inviato da Chill-Out

Pare a me o è tutto in D:\ i log sono identici

anche a me...pero io li ho spuntati!

[Chill-Out]

Quote:

Originariamente inviato da tara86

anche a me...pero io li ho spuntati!

Fai girare questo tool http://download.norman.no/public/removembrs.zip

Istruzioni http://www.norman.com/Virus/Virus_re...tools/52382/it

Al termine riallega log di Gmer, nell'eventualità il risultato sia il medesimo facciamo un overwrite