Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Ciao chill...ho fatto la scansione con DrWeb...sembra ok...non ha trovato virus. La casella Salva lista report NON è selezionabile...quindi non riesco ad allegare il log.
Senti...li devo eliminare i vari log che sono rimasti in C o posso lasciarli lì?

come non è selezionabile, si che lo è comunque se non ha rilevato nulla sei a posto, i log li puoi cancellare senza problemi

Quote:

Grazie ancora per l'aiuto

Prego

[travis77]

Te lo assicuro...c'è all'interno del menu File ma è ombreggiato e non si può cliccare...boh...mi arrendo

[Chill-Out]

Quote:

Originariamente inviato da travis77

Te lo assicuro...c'è all'interno del menu File ma è ombreggiato e non si può cliccare...boh...mi arrendo

per scrupolo faccio una prova

il log lo trovi qui: %USERPROFILE%\DoctorWeb\CureIt.log

[travis77]

[Chill-Out]

Quote:

Originariamente inviato da travis77

Che tradotto vuol dire?

[travis77]

Quote:

Originariamente inviato da Chill-Out

Che tradotto vuol dire?

Ti ho spernacchiato (benevolmente, si intende)...dato che neanche il tuo link è cliccabile

[Chill-Out]

Quote:

Originariamente inviato da travis77

Ti ho spernacchiato (benevolmente, si intende)...dato che neanche il tuo link è cliccabile

Il link non è cliccabile 1 perchè non è un link - 2 il percorso indicato è relativo al tuo PC

%USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb

è li che devi cercare il log

[travis77]

Come si dice a Roma..."pensavo che tu mi stessi coglionando"
L'ho trovato e visto...tutto ok

[Chill-Out]

Quote:

Come si dice a Roma..."pensavo che tu mi stessi coglionando"

non si dice solo a Roma

Quote:

L'ho trovato e visto...tutto ok

me lo allegheresti, lo vorrei vedere, solo per scopo statistico

[travis77]

Porca miseria...l'ho eliminato...quando faccio un'altra scansione lo posterò

[bea84]

Ciao a tutti! Vi sarei davvero grata se provaste a darmi una mano...sono veramente disperata. E' da un mese che tento invano di eliminare questo mbr rootkit che si è insediato nel mio pc. Ho provato di tutto: alcuni programmi non me lo individuano proprio, altri me lo rilevano ma non riescono a rimuoverlo (prevx CSI, gmer, rootkit buster, avast).
Vi posto qui i due log richiesti per la prima fase. Se sbaglio qualcosa, scusatemi...non sono molto pratica...

http://wikisend.com/download/852528/LOG PREVX CSI.log
http://wikisend.com/download/852562/LOG GMER.txt

Aspetto con ansia un vostro gentilissimo aiuto.
Vi ringrazio anticipatamente.

A presto (spero...),

Bea

[xcdegasp]

Quote:

Originariamente inviato da bea84

Ciao a tutti! Vi sarei davvero grata se provaste a darmi una mano...sono veramente disperata. E' da un mese che tento invano di eliminare questo mbr rootkit che si è insediato nel mio pc. Ho provato di tutto: alcuni programmi non me lo individuano proprio, altri me lo rilevano ma non riescono a rimuoverlo (prevx CSI, gmer, rootkit buster, avast).
Vi posto qui i due log richiesti per la prima fase. Se sbaglio qualcosa, scusatemi...non sono molto pratica...

http://wikisend.com/download/852528/LOG PREVX CSI.log
http://wikisend.com/download/852562/LOG GMER.txt

Aspetto con ansia un vostro gentilissimo aiuto.
Vi ringrazio anticipatamente.

A presto (spero...),

Bea

per prevxCSi ci sono le seguenti cose:

Codice:

C:\Documents and Settings\Francesca\Impostazioni locali\Temporary Internet Files\Content.IE5\H9HPQ332\sarsfx[1].exe	InMem: 0	Det [u]	MD5: 59E15FF9560923C3B7078D8C5CCB79D8	PX5: CD684916C76FD52D067B12542BD8420084659F30

ROOTKIT-\\.\PhysicalDrive0\MBR - [512] >> Hidden Disk Sectors

segui le indicazioni nel primo messaggio, non puoi sbagliare

[bea84]

Quote:

Originariamente inviato da xcdegasp

per prevxCSi ci sono le seguenti cose:

Codice:

C:\Documents and Settings\Francesca\Impostazioni locali\Temporary Internet Files\Content.IE5\H9HPQ332\sarsfx[1].exe	InMem: 0	Det [u]	MD5: 59E15FF9560923C3B7078D8C5CCB79D8	PX5: CD684916C76FD52D067B12542BD8420084659F30

ROOTKIT-\\.\PhysicalDrive0\MBR - [512] >> Hidden Disk Sectors

segui le indicazioni nel primo messaggio, non puoi sbagliare

Ti ringrazio della gentile risposta, ma non ho ben capito cosa dovrei fare ora. La guida l'ho consultata. Scusami ma non sono molto pratica.

Grazie

[xcdegasp]

Quote:

Originariamente inviato da bea84

Ti ringrazio della gentile risposta, ma non ho ben capito cosa dovrei fare ora. La guida l'ho consultata. Scusami ma non sono molto pratica.

Grazie

devi procedere con la fase sucessiva ossia alla "seconda fase", devi solo legegre e fare cio che hai letto:

Codice:

scaricare http://www2.gmer.net/mbr/mbr.exe
Riavviate il Pc in modalità provvisoria F8
Da Start - Esegui - digitate C:\mbr.exe e cliccate su OK
Salvate il log prodotto per il controllo*

A questo punto sempre da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
Salvate il log prodotto per il controllo*

Riavviate il PC in modalità normale
Da Start - Esegui - digitate C:\mbr.exe e cliccate su OK
Salvate il log prodotto per il controllo*

alla fine devi avere una cosa di questo tipo:
Esempio di MBR corretto:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

[Gianco63]

Buongiorno

sono un nuovo iscritto nonchè un neofita e ieri ho avuto anch'io la segnalazione di avast: rootkit physicaldrive0. Ho seguito tutte le indicazioni di Chill out, a cui faccio i miei complimenti, ma purtroppo non ha funzionato.

Do qualche indicazione in più : lavoro con 4 computer in rete ed utilizzo windows 2000 professional. Come dicevo ho seguito le istruzioni ma il programma mbr.exe genera un file log che apro e mi da il seguente messaggio: unistall - invalid install.log file.
La cosa strana è che sè eseguo il file mbr.exe nelle altre macchine funzione perfettamente generando il file log con le indicazioni come da istruzione.

Come posso risolvere il problema?

Ringraziondovi anticipatamente resto in attesa.

Buona giornata

[Chill-Out]

Quote:

Originariamente inviato da Gianco63

Buongiorno

sono un nuovo iscritto nonchè un neofita e ieri ho avuto anch'io la segnalazione di avast: rootkit physicaldrive0. Ho seguito tutte le indicazioni di Chill out, a cui faccio i miei complimenti, ma purtroppo non ha funzionato.

Do qualche indicazione in più : lavoro con 4 computer in rete ed utilizzo windows 2000 professional. Come dicevo ho seguito le istruzioni ma il programma mbr.exe genera un file log che apro e mi da il seguente messaggio: unistall - invalid install.log file.
La cosa strana è che sè eseguo il file mbr.exe nelle altre macchine funzione perfettamente generando il file log con le indicazioni come da istruzione.

Come posso risolvere il problema?

Ringraziondovi anticipatamente resto in attesa.

Buona giornata

Potresti allegare il log di Gmer

[Gianco63]

Quote:

Originariamente inviato da Chill-Out

Potresti allegare il log di Gmer

Di seguito file log copiato in word ed in allegato l'errore del log generato dal programma.

GMER 1.0.14.14205 - http://www.gmer.net
Rootkit scan 2008-04-26 12:46:11
Windows 5.0.2195 Service Pack 4


---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon.SYS (avast! File System Filter Driver for Windows NT/2000/ALWIL Software)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon.SYS (avast! File System Filter Driver for Windows NT/2000/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- Threads - GMER 1.0.14 ----

Thread 8:168 81AEFFBA
Thread 8:188 81AF208C
Thread 8:192 81AEAE72
Thread 8:196 81AF0302
Thread 8:344 81AEA89C
Thread 8:368 81AEA89C
Thread 8:1400 81B22530
Thread 8:1120 81B0F630
Thread 8:244 81B589C0
Thread 8:1524 81AFB6B0
Thread 8:1056 81AF00EC
Thread 8:1492 81B22530
Thread 8:1256 81B0F630
Thread 8:1300 81B589C0
Thread 8:2168 81AFB6B0

---- EOF - GMER 1.0.14 ----


Ringraziandoti anticipatamente resto in attesa.

Buona giornata.

[juninho85]

se puoi posta la cronologia dei siti visitati questi ultimi giorni,così riusciamo a capire in quale sito l'hai preso

[Gianco63]

Quote:

Originariamente inviato da juninho85

se puoi posta la cronologia dei siti visitati questi ultimi giorni,così riusciamo a capire in quale sito l'hai preso

Con piacere, dimmi come fare.

[juninho85]

Quote:

Originariamente inviato da Gianco63

Con piacere, dimmi come fare.

che browser utilizzi?