Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da Gianco63

Scusami ma ho riavviato e avast mi ha nuovamente segnalato il Rootkit.

Che strano Dr.Web non ha trovato nulla, Avat non segnala nulla ed al successivo riavvio il Rottkit si ripresenta, temo tu abbia provveduto a reinfettarti.
Sarebbe interessante controllare la cronologia dei siti visitati, in sostanza devi rifare tutta la procedura.
Al termine allega anche un log di HijackThis è un tool che non necessita di installazione, mettilo all'interno di una cartella dedicata che chiamerai per
Download: http://www.trendsecure.com/portal/en...HiJackThis.exe

PS: dopo aver uppato un log su MediaFire utilizza queste opzioni
Embed in Website - Share this item on your MySpace page, Blog, Website, or Forums: - Forum Embed Code (vBulletin, phpBB, etc.)

[Gianco63]

Quote:

Originariamente inviato da Chill-Out

Che strano Dr.Web non ha trovato nulla, Avat non segnala nulla ed al successivo riavvio il Rottkit si ripresenta, temo tu abbia provveduto a reinfettarti.
Sarebbe interessante controllare la cronologia dei siti visitati, in sostanza devi rifare tutta la procedura.
Al termine allega anche un log di HijackThis è un tool che non necessita di installazione, mettilo all'interno di una cartella dedicata che chiamerai per
Download: http://www.trendsecure.com/portal/en...HiJackThis.exe

PS: dopo aver uppato un log su MediaFire utilizza queste opzioni
Embed in Website - Share this item on your MySpace page, Blog, Website, or Forums: - Forum Embed Code (vBulletin, phpBB, etc.)

Ok rifaccio tutto!
Ma degli altri errori? non posso utilizzare la posta elettronica.

In allegato la cronologia dell'ultima settimana.

http://www.mediafire.com/?n1zihrvpbxt

[Gianco63]

Quote:

Originariamente inviato da juninho85

giovedì saprò dirti dove l'hai beccato

eccoti anche la cronologia dell'ultima settimana.

Resto in attesa.


http://www.mediafire.com/?n1zihrvpbxt

[NeroInferno]

Sono riuscito a cancellare il virus annidato nel master boot sector semplicemente avviando in modalità normale (su WinXP), dr.Web.

Precedentemente avevo provato a riscrivere l'mbr usando il cd di installazione di win xp, entrando in ripristino e avviando la console, poi ho digitato fixmbr e ho dato invio, poi exit. Non so se senza la riscrittura dell'mbr ci sarei riuscito, forse si, ad ogni modo ho risolto.

Grazie,
nero

[LionelHutz]

grande guida, spero di aver eliminato il rootkit, potrebbe essere stato preso vedendo i trailer di film sul sito della warner?
perchè all'improvviso si è riavviato e avast mi ha rilevato il problema
l'unico dubbio riguarda prevxCSI che continua a rilevarmelo mentre sono "in regola" con tutti gli altri programmi e i relativi log...symantec..mbr..gmer..cureit

[Chill-Out]

Quote:

Originariamente inviato da LionelHutz

grande guida, spero di aver eliminato il rootkit, potrebbe essere stato preso vedendo i trailer di film sul sito della warner?
perchè all'improvviso si è riavviato e avast mi ha rilevato il problema
l'unico dubbio riguarda prevxCSI che continua a rilevarmelo mentre sono "in regola" con tutti gli altri programmi e i relativi log...symantec..mbr..gmer..cureit

Elimina la precedente installazione di Prevx CSI riscaricalo e rifai la scansione dovrebbe darti come risultato Clean, se ti fosse possibile potresti indicarmi la cronologia dell'ultima settimana (ovviamente se per tè non è un problema), thx.

[LionelHutz]

Quote:

Originariamente inviato da Chill-Out

Elimina la precedente installazione di Prevx CSI riscaricalo e rifai la scansione dovrebbe darti come risultato Clean, se ti fosse possibile potresti indicarmi la cronologia dell'ultima settimana (ovviamente se per tè non è un problema), thx.

ok ora provo, cmq vorrei esservi d'aiuto ma "pulisco" tutto regolarmente con disk cleaner..
posso indicarvi solo il sito della warner..o la prenotazione di biglietti online..
perchè per il resto ho una lista di siti che visito ogni giorno..ma non mi era mai successo niente..

[bea84]

Quote:

Originariamente inviato da Chill-Out

Scarica Avenger da qui: http://swandog46.geekstogo.com/avenger2/download.php
scompattalo, avvialo ed inserisci nel box bianco (copi ed incolli) questo Script



clicca su Execute

al termine il PC si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

Devi ripetere la procedura indicata in Guida :: SECONDA FASE :: attendo i log

Domanda: il Cd di installazione di Windows ce l'hai a disposizione?

Ciao. Ho utilizzato Avenger secondo le indicazioni, e ti allego il relativo log.
Purtroppo la seconda fase è quella che non riesco a seguire, perchè MBR per non si sa quale strano motivo non riesco ad utilizzarlo (vedi i post sopra).
Ho rifatto la scansione con Symantec Trojan Mebroot Removal Tool e non mi rileva nulla, mentre PrevX e GMER sì.
Sì, il CD di windows ce l'ho.
Ti allego tutto quello che posso. Ti ringrazio tantissimo. ciao

http://wikisend.com/download/716342/avenger.txt
http://wikisend.com/download/716338/LOG PREVXCSI 0205.log
http://wikisend.com/download/716128/Log GMer 0205.log

[Chill-Out]

Hai allegato 2 volte il log di Gmer, manca ovviamente quello di Prevx, ok per il Cd appena posso ti posto le istruzioni.

[bea84]

Perdonami, sono proprio cotta...te lo allego ora.

http://wikisend.com/download/715338/log prevx oggi.log

Mille mille mille grazie, allora attendo tue notizie.

[juninho85]

Quote:

Originariamente inviato da Gianco63

eccoti anche la cronologia dell'ultima settimana.

Resto in attesa.


http://www.mediafire.com/?n1zihrvpbxt

ho controllato e evidentemente il sito che ti ha infettato è stato ripulito,tutti quelli esaminati non presentano tracce di javascript offuscati.
piuttosto vedo che hai visitatato alcuni siti mediaset quando probabilmente vi era ancora il contatore di accessi che tentava di scaricare in automatico dialer...leggi qui

[Chill-Out]

Quote:

Originariamente inviato da bea84

Perdonami, sono proprio cotta...te lo allego ora.

http://wikisend.com/download/715338/log prevx oggi.log

Mille mille mille grazie, allora attendo tue notizie.

Ciao questa è la procedura da seguire, mi raccomando presta attenzione alle istruzioni:

• Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS
  
• Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY
  
• Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive
  
• A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows
  
• Premi F10 per confermare ed uscire
  
• Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
  
• Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
  
• Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, nel tuo caso 1) C:\Windows quindi premere 1 e confermare con OK
  
• Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.
  
• Al prompt dei comandi digita FIXMBR e clicca su Y per confermare
  
• Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows

NB: per muoverti all'inteno del BIOS e selezionare i parametri indicati segui le istruzioni sui tasti funzione che vedi a video

al termine nuovo log di Gmer e Prevx CSI

[bea84]

Quote:

Originariamente inviato da Chill-Out

Ciao questa è la procedura da seguire, mi raccomando presta attenzione alle istruzioni:

• Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS
  
• Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY
  
• Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive
  
• A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows
  
• Premi F10 per confermare ed uscire
  
• Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
  
• Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
  
• Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, nel tuo caso 1) C:\Windows quindi premere 1 e confermare con OK
  
• Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.
  
• Al prompt dei comandi digita FIXMBR e clicca su Y per confermare
  
• Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows

NB: per muoverti all'inteno del BIOS e selezionare i parametri indicati segui le istruzioni sui tasti funzione che vedi a video

al termine nuovo log di Gmer e Prevx CSI

Ti ringrazio molto, sei stato davvero disponibile; permettimi un ultimo paio di domande: è un'operazione che posso fare tranquillamente da sola o mi consigli di farla fare da una persona più esperta? C'è qualche rischio di perdita dei dati o di danneggiamento del pc (purtroppo sto preparando la tesi, e ritrovarmi con il computer Ko sarebbe deleterio)? Devo fare copia di backup e poi reinstallare tutto?
Grazie.

[Chill-Out]

Quote:

Originariamente inviato da bea84

Ti ringrazio molto, sei stato davvero disponibile; permettimi un ultimo paio di domande: è un'operazione che posso fare tranquillamente da sola o mi consigli di farla fare da una persona più esperta? C'è qualche rischio di perdita dei dati o di danneggiamento del pc (purtroppo sto preparando la tesi, e ritrovarmi con il computer Ko sarebbe deleterio)? Devo fare copia di backup e poi reinstallare tutto?
Grazie.

Perdita dati direi di no, ma se non ti senti sicura farlo insieme ad una persona più esperta male non fà, è naturale utilizzare il PC per studiare/lavorare,ma in ogni caso è opportuno salvare copie di BackUp del proprio lavoro su supporto/i esterni e provvedere ad ggiornarli con BackUp incrementali., ma questo sempre indipendentamente dal possibilie malfuzionamente del Pc che non necessariamente può essere dovuto ad un Virus.

[bea84]

D'accordo, grazie mille

[xcdegasp]

nel bios non puoi fare danni, eventualmente c'è la funzione che ripristina i parametri di fabbrica per annullare eventuali modifiche apportate che causano problemi...
per il retso non vedo problemi a fare da sola quanto indicato

certo, il coreggio ci vuole sempre, come ci vuole per fare una tratta ferrata di qualche decine di metri, seppur semplice la prima volta richiede sempre una certa forza d'animo
ad ogni modo sappi che cerchiamo sempre di dare indicazioni le soluzioni il più possibile meno pericolose questo è solo per rincuorarti un pochino

[Guyon]

Tutti i tool citati mi danno sistema pulito e non ho processi strani (controllato con process explorer).
Posso stare tranquillo anche se sono sicuro di aver visitato un sito infetto (hostato su aruba, ovviamente)?

[Chill-Out]

Quote:

Originariamente inviato da Guyon

Tutti i tool citati mi danno sistema pulito e non ho processi strani (controllato con process explorer).
Posso stare tranquillo anche se sono sicuro di aver visitato un sito infetto (hostato su aruba, ovviamente)?

Ti ho già risposto di si, per ulteriore scrupolo puoi far girare CureIt, ciao.

[Guyon]

-----------------------------------------------------------------------------
Statistiche delle Scansioni
-----------------------------------------------------------------------------
Oggetti controllati: 571
Trovati oggetti Infetti: 0
Trovato Oggetti modificati: 0
Trovato oggetti Sospetti: 0
Trovato Adware: 0
Trovato Dialer: 0
Trovato Joke: 0
Trovato Riskware: 0
Trovato Hacktool: 0
Oggetti curati: 0
Oggetti cancellati: 0
Oggetti rinominati: 0
Oggetti spostati: 0
Oggetti ignorati: 0
Velocità di scansione: 13125 Kb/s
Durata scansione: 00:00:13
-----------------------------------------------------------------------------

Grazie ^^

[Chill-Out]

Hai fatto l' Express scan devi fare Completa scansione