Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[SOS88]

seconda fase eseguita
purtroppo ho fatto un po' di casini e ho i link solo degli ultimi due log

http://wikisend.com/download/558960/mbr3.log
http://wikisend.com/download/498288/FixMebroot.log

i primi due quelli in modalità provvisoria erano però come quelli nella guida

volevo chiedereun'altra cosa
dopo aver fatto partire fixmebroot.exe il computer mi si è riavviato...è la normale procedura?


grazie

[wjmat]

Quote:

Originariamente inviato da SOS88

seconda fase eseguita
purtroppo ho fatto un po' di casini e ho i link solo degli ultimi due log

http://wikisend.com/download/558960/mbr3.log
http://wikisend.com/download/498288/FixMebroot.log

i primi due quelli in modalità provvisoria erano però come quelli nella guida

volevo chiedereun'altra cosa
dopo aver fatto partire fixmebroot.exe il computer mi si è riavviato...è la normale procedura?


grazie

procedi con la terza fase, quindi carica il log di prevx e quello della scansione completa di cureit, filtrato come punto 4 delle modalità in firma

[SOS88]

scuasate un'ulteriore domanda...il file infetto potrebbe torvarsi su un hard disk esterno?perchè io utilizzo un hard disk esterno di quelli slim per salvare quasi tutto poichè quello interno è piccolo...ieri spento il computer lo avevo staccato quindi non ha subito i controlli fatti oggi.l'ho riattaccato ora prima dell'analisi con dr.web cureit.alla scansione iniziale mi ha trovato un file "master boot record HDD2" infetto.
comunque adesso appena finita la scansione completa posto i log

[Chill-Out]

Quote:

Originariamente inviato da SOS88

scuasate un'ulteriore domanda...il file infetto potrebbe torvarsi su un hard disk esterno?perchè io utilizzo un hard disk esterno di quelli slim per salvare quasi tutto poichè quello interno è piccolo...ieri spento il computer lo avevo staccato quindi non ha subito i controlli fatti oggi.l'ho riattaccato ora prima dell'analisi con dr.web cureit.alla scansione iniziale mi ha trovato un file "master boot record HDD2" infetto.
comunque adesso appena finita la scansione completa posto i log

Hai eseguito la procedura correttamente attediamo i log di Prevx CSI - Gmer - CureIt del supporto removibile ci occupiamo poi

[Ema1976]

Ecco il log di Gmer. Penso che il mio MBR sia infetto cosa dite?


Process C:\WINDOWS\Fonts\wmsncs.exe (*** hidden *** ) 1632
Process C:\WINDOWS\wmssvc.exe (*** hidden *** ) 1856

[wjmat]

Quote:

Originariamente inviato da Ema1976

Ecco il log di Gmer. Penso che il mio MBR sia infetto cosa dite?


Process C:\WINDOWS\Fonts\wmsncs.exe (*** hidden *** ) 1632
Process C:\WINDOWS\wmssvc.exe (*** hidden *** ) 1856

ciao

il log va caricato tutto e secondo le modalità
quello non è comunque sintomo di mbr infetto ma di probabile rootkit

[SOS88]

dopo 8 e rotte ore di scansione con dr.web ecco i log della terza fase

http://wikisend.com/download/505386/prevx3.log
http://wikisend.com/download/526110/gmer3.txt
http://wikisend.com/download/493866/cureit filtrato.txt

grazie

[wjmat]

Quote:

Originariamente inviato da SOS88

dopo 8 e rotte ore di scansione con dr.web ecco i log della terza fase

http://wikisend.com/download/505386/prevx3.log
http://wikisend.com/download/526110/gmer3.txt
http://wikisend.com/download/493866/cureit filtrato.txt

grazie

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

[SOS88]

sta mattina il computer si è avviato tranquillamente. si è aperta una finestra di microsoft windows con scritto "il sistema è stato ripristinato in seguito a un grave errore". avast non mi ha segnalato più nessun file infetto.

grazie mille per l'aiuto!!!

[Chill-Out]

Quote:

Originariamente inviato da SOS88

sta mattina il computer si è avviato tranquillamente. si è aperta una finestra di microsoft windows con scritto "il sistema è stato ripristinato in seguito a un grave errore". avast non mi ha segnalato più nessun file infetto.

grazie mille per l'aiuto!!!

Bene, mi raccomando segui la Guida indicata sopra dall'utente wjmat, e non dimenticare di controllare l'HDD esterno tenendo premuto il tasto SHIFT onde evitare l'esecuzione in AutoPlay.

[JuanCuesta]

Salve sono alle prese con qesto simpatico rootkit, un amico mi ha portato il pc perche non riusciva ad effettuare il ripristino con i cd di ripristino della casa ed io ho pensato ci fosse un problema nell'mbr visto che riavviava sempre windos normalmente, l'ho fixato con mbrfix non conoscendo l'esistenza del malefico in questione ed ho efettuato il ripristino,ora che ne sono venuto a conoscenza ho effettuato una scansione com gmer e Prevx CSI , gmer mi dice che mbr è infetto mentre prev csi non trova nulla di strano, ho provato a passare direttamente alla fase 2 ma quando lancio mbr.exe -f non mi ripristina l'mbr..... A questo punto la domanda sorge spontanea...come fare??? ora non posso inviarvi i log se riesco domani li invio se avete qualche idea in merito sul come procedere fatemi sapere ciaoo e grazie

[Chill-Out]

Quote:

Originariamente inviato da JuanCuesta

Salve sono alle prese con qesto simpatico rootkit, un amico mi ha portato il pc perche non riusciva ad effettuare il ripristino con i cd di ripristino della casa ed io ho pensato ci fosse un problema nell'mbr visto che riavviava sempre windos normalmente, l'ho fixato con mbrfix non conoscendo l'esistenza del malefico in questione ed ho efettuato il ripristino,ora che ne sono venuto a conoscenza ho effettuato una scansione com gmer e Prevx CSI , gmer mi dice che mbr è infetto mentre prev csi non trova nulla di strano, ho provato a passare direttamente alla fase 2 ma quando lancio mbr.exe -f non mi ripristina l'mbr..... A questo punto la domanda sorge spontanea...come fare??? ora non posso inviarvi i log se riesco domani li invio se avete qualche idea in merito sul come procedere fatemi sapere ciaoo e grazie

Ciao allega come indicato in Guida i log di Prevx CSI e Gmer

[JuanCuesta]

ok provo ad inviare i log

http://wikisend.com/download/204564/prevcsilog.txt
http://wikisend.com/download/475786/gmer.txt


ciao e grazie

[wjmat]

Quote:

Originariamente inviato da JuanCuesta

ok provo ad inviare i log

http://wikisend.com/download/204564/prevcsilog.txt
http://wikisend.com/download/475786/gmer.txt


ciao e grazie

procedi con la seconda fase

[JuanCuesta]

ecco i log della seconda fase

http://wikisend.com/download/564606/mbr1.log
http://wikisend.com/download/916340/mbr2.log
http://wikisend.com/download/963192/mbr3.log
http://wikisend.com/download/522320/FixMebroot.log

ciao e grazie

[wjmat]

Quote:

Originariamente inviato da JuanCuesta

ecco i log della seconda fase

http://wikisend.com/download/564606/mbr1.log
http://wikisend.com/download/916340/mbr2.log
http://wikisend.com/download/963192/mbr3.log
http://wikisend.com/download/522320/FixMebroot.log

ciao e grazie

procedi con la terza

[JuanCuesta]

ed ecco i nuovi log

http://wikisend.com/download/473918/prevcsi.log
http://wikisend.com/download/547902/CureIt.log

ciao

[Chill-Out]

Quote:

Originariamente inviato da JuanCuesta

ed ecco i nuovi log

http://wikisend.com/download/473918/prevcsi.log
http://wikisend.com/download/547902/CureIt.log

ciao

Ciao Juan sei OK per quanto concerne il log di Gmer

Quote:

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0xba50e41 size 0x1a8
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

non preoccuparti

[JuanCuesta]

ok ma da cosa e dovuto quel messaggio???

va be forse chiedo troppo

comunque grazie di tutto.
a presto

[Chill-Out]

Quote:

Originariamente inviato da JuanCuesta

ok ma da cosa e dovuto quel messaggio???

va be forse chiedo troppo

comunque grazie di tutto.
a presto

Significa che c'è del codice appeso in quel settore ma non sei infetto