Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT - Pagina 2

**Chill-Out** · 05-04-2008, 11:11

@Angelus88

Si può risolvere, leggi qui: http://www.hwupgrade.it/forum/showth...&highlight=mbr
http://www.hwupgrade.it/forum/showpo...6&postcount=21
non l'ho volutamente inserito in Guida perchè come tu ben sai la procedura è un pò più laboriosa, prevede l'utilizzo del CD di Win che ovviamente devi avere (anche se a questo si può rimediare) accesso alla Console etc......

in sostanza procedura fattible ma non rivolta alla massa imho

Angelus88 · 05-04-2008, 11:12

Ecco immaginavo!

Grazie e complimenti per la guida comunque

**Chill-Out** · 05-04-2008, 11:20

Quote:

Originariamente inviato da Angelus88

Ecco immaginavo!

Grazie e complimenti per la guida comunque

Prego

juninho85 · 05-04-2008, 14:22

Quote:

Originariamente inviato da Chill-Out

No juninho85 non ho avvistato nessuna DLL, la DLL in questione è relativa alla rilevazione di Symantec come Trojan.Mebroot si sono sicuramente ingegnati a cambiare ancora le carte in tavola.

esatto,la dll veniva usata come driver per la prima variante

BEY0ND · 05-04-2008, 14:44

che dire...ottimo lavoro chill-out

ottobre_rosso · 05-04-2008, 19:40

Chill-Out, rinnovo i miei complimenti.

lancetta · 06-04-2008, 00:19

Ottimo socio...bel lavoro...

intanto sembra che giri una variante con criptazione dati nell'mbr

sampei.nihira · 06-04-2008, 10:29

I miei complimenti a Chill-Out.

Solitamente non intervengo mai in questa sezione.
Oggi violo questa regola.
Sarà naturalmente un eccezione che conferma la regola.

Vorrei intervenire in merito a Gmer.
Nella pagina principale è riportato che Gmer non necessita d'installazione.

Vorrei esortare gli utenti a controllare nella cartella Windows se presente il file di disinstallazione di Gmer.

Si dovrebbe chiamare unistall gmer ecc ecc
Non posso verificare io stesso, perchè attualmente nell'unico pc rimasto sotto windows, non ho installato Gmer (e non lo voglio installare).
Il tool si deve disinstallare UNICAMENTE attraverso questo unistall.

Anzi in caso di aggiornamento sarebbe buona norma PRIMA disinstallare la vecchia versione e poi procedere ad inserire nel pc quella nuova.

Per ciò che ho sopra riportato non sò se è corretto scrivere che "Gmer non necessita di una installazione".

A voi le verifiche, le decisioni, e magari un eventuale aggiunta in prima pagina per l'autore del 3D.

juninho85 · 06-04-2008, 10:41

non necessità di installazione nel senso che clicci sull'eseguibile ed è pronto per l'utilizzo.
comunque crea tre file nella directory di windows:la dll,l'unistall e il log.
l'unistall penso che serva soltanto per rimuovere alcune chiavi di registro...anche se si eliminano manualmente i file penso che non succeda nulla

sampei.nihira · 06-04-2008, 10:56

Quote:

Originariamente inviato da juninho85

non necessità di installazione nel senso che clicci sull'eseguibile ed è pronto per l'utilizzo.
comunque crea tre file nella directory di windows:la dll,l'unistall e il log.
l'unistall penso che serva soltanto per rimuovere alcune chiavi di registro...anche se si eliminano manualmente i file penso che non succeda nulla

Grazie della verifica '85.

nV 25 · 06-04-2008, 15:22

Quote:

Originariamente inviato da Chill-Out

...

Effettivamente il tuo contributo su questo forum è notevole....

**Chill-Out** · 06-04-2008, 19:59

Quote:

Originariamente inviato da lancetta

Ottimo socio...bel lavoro...

intanto sembra che giri una variante con criptazione dati nell'mbr

a quel punto credo che l'unica soluzione sia l' overwrites

**Chill-Out** · 06-04-2008, 19:59

Mille grazie a tutti

Dylan76 · 11-04-2008, 06:21

http://www.fileup.itadib.com/downloa...uRaIcv5NWGrZMD Prevxcsi
http://www.fileup.itadib.com/downloa...u8zuLGm02rH72j GMER
http://www.fileup.itadib.com/downloa...HB69K9J6STpWOV MBR dopo mod.provvisoria
http://www.fileup.itadib.com/downloa...e2LbpIjZ0L0YP0 fixmebroot
Prevxcsi dopo la pulizia mi da risultato negativo
Cureit non sono riuscito ancora a finire la scansione,appena terminata vi aggiungo il log

**Chill-Out** · 11-04-2008, 08:05

Dire che andiamo bene, attendiamo il log di CureIt ed un'altro log di Gmer per il controllo, ciao.

12-04-2008, 22:50

complimenti anche da parte mia...non solo per il thread ma anche per l impegno in questa sezione in generale...

elwitt · 13-04-2008, 12:56

Salve sono l'ennesima vittima di questo maledetto rootkit. Ho seguito la prima fase della vostra guida e come consigliato prima di procedere vi metto quello che ho trovato. Nella scansione con Prevx CSI non mi ha individuato nulla mentre con quella di Gmer mi ha riportato quanto segue:

Disk \Device\Harddisk0\DR0 sector 00: MBR rootkit code detected <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x1d383773 size 0x1ca
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

Prima di andare avanti aspetto vostre indicazioni.
Ho allegato il file log della scansione con gmer. Occorre anche quello di Prevx CSI anche se non mi ha trovato nulla?
http://www.fileup.itadib.com/downloa...VcpuFFPtlZbU0k
http://www.fileup.itadib.com/downloa...Uz4FUWz5b9haZf

Nel primo c'è il logsave di gmer nel secondo di csi

Grazie anticipatamente e aspetto vostre notizie per andare avanti

**Chill-Out** · 13-04-2008, 19:48

Quote:

Originariamente inviato da elwitt

Salve sono l'ennesima vittima di questo maledetto rootkit. Ho seguito la prima fase della vostra guida e come consigliato prima di procedere vi metto quello che ho trovato. Nella scansione con Prevx CSI non mi ha individuato nulla mentre con quella di Gmer mi ha riportato quanto segue:

Disk \Device\Harddisk0\DR0 sector 00: MBR rootkit code detected <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x1d383773 size 0x1ca
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

Prima di andare avanti aspetto vostre indicazioni.
Ho allegato il file log della scansione con gmer. Occorre anche quello di Prevx CSI anche se non mi ha trovato nulla?
http://www.fileup.itadib.com/downloa...VcpuFFPtlZbU0k
http://www.fileup.itadib.com/downloa...Uz4FUWz5b9haZf

Nel primo c'è il logsave di gmer nel secondo di csi

Grazie anticipatamente e aspetto vostre notizie per andare avanti

Ciao elwitt dal log di Gmer si evince che sei infetto dall' MBR Rootkit, segui le indicazioni della :: SECONDA FASE :: ricorda di allegare i log, ciao.

**Chill-Out** · 13-04-2008, 19:57

Quote:

Originariamente inviato da ShoShen

complimenti anche da parte mia...non solo per il thread ma anche per l impegno in questa sezione in generale...

Thx

elwitt · 13-04-2008, 21:40

Ho seguito le altre fasi e ora dovrei essere a posto perchè nè dottorweb nè avast nè gmer me lo segnala più quindi non credo che sia più necessario postare gli altri log
Grazie mille per l'utilissima guida
Volevo chiedervi però se c'è un metodo per prevenire di prendermelo di nuovo. Di sicuro ora levo explorer e metto mozilla firefoxe mi hanno detto essere migliore

05-04-2008, 11:11	#21
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	@Angelus88 Si può risolvere, leggi qui: http://www.hwupgrade.it/forum/showth...&highlight=mbr http://www.hwupgrade.it/forum/showpo...6&postcount=21 non l'ho volutamente inserito in Guida perchè come tu ben sai la procedura è un pò più laboriosa, prevede l'utilizzo del CD di Win che ovviamente devi avere (anche se a questo si può rimediare) accesso alla Console etc...... in sostanza procedura fattible ma non rivolta alla massa imho __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier. Ultima modifica di Chill-Out : 05-04-2008 alle 11:14.

06-04-2008, 00:19	#27
lancetta Senior Member Iscritto dal: Feb 2007 Città: Salerno...... Messaggi: 3254	Ottimo socio...bel lavoro... intanto sembra che giri una variante con criptazione dati nell'mbr __________________ Opera disabilitazione script ed iframe Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA \| GUIDA:ShutdownTimer (Spegnimento auto pc) \| Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta...

06-04-2008, 10:29	#28
sampei.nihira Senior Member Iscritto dal: Aug 2006 Messaggi: 4350	I miei complimenti a Chill-Out. Solitamente non intervengo mai in questa sezione. Oggi violo questa regola. Sarà naturalmente un eccezione che conferma la regola. Vorrei intervenire in merito a Gmer. Nella pagina principale è riportato che Gmer non necessita d'installazione. Vorrei esortare gli utenti a controllare nella cartella Windows se presente il file di disinstallazione di Gmer. Si dovrebbe chiamare unistall gmer ecc ecc Non posso verificare io stesso, perchè attualmente nell'unico pc rimasto sotto windows, non ho installato Gmer (e non lo voglio installare). Il tool si deve disinstallare UNICAMENTE attraverso questo unistall. Anzi in caso di aggiornamento sarebbe buona norma PRIMA disinstallare la vecchia versione e poi procedere ad inserire nel pc quella nuova. Per ciò che ho sopra riportato non sò se è corretto scrivere che "Gmer non necessita di una installazione". A voi le verifiche, le decisioni, e magari un eventuale aggiunta in prima pagina per l'autore del 3D. Ultima modifica di sampei.nihira : 06-04-2008 alle 10:31.

06-04-2008, 19:59	#33
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Mille grazie a tutti __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

11-04-2008, 06:21	#34
Dylan76 Member Iscritto dal: Aug 2005 Città: Napoli - Benevento Messaggi: 251	http://www.fileup.itadib.com/downloa...uRaIcv5NWGrZMD Prevxcsi http://www.fileup.itadib.com/downloa...u8zuLGm02rH72j GMER http://www.fileup.itadib.com/downloa...HB69K9J6STpWOV MBR dopo mod.provvisoria http://www.fileup.itadib.com/downloa...e2LbpIjZ0L0YP0 fixmebroot Prevxcsi dopo la pulizia mi da risultato negativo Cureit non sono riuscito ancora a finire la scansione,appena terminata vi aggiungo il log __________________ Ho trattato con Pindanna-Aragorn77-Simpon-Estero-Cynese-Samsung19/88-Marittiellooo

05-04-2008, 11:12	#22
Angelus88 Bannato Iscritto dal: Feb 2007 Città: Palermo Messaggi: 13587	Ecco immaginavo! Grazie e complimenti per la guida comunque

05-04-2008, 14:44	#25
BEY0ND Senior Member Iscritto dal: Apr 2007 Messaggi: 2301	che dire...ottimo lavoro chill-out

05-04-2008, 19:40	#26
ottobre_rosso Member Iscritto dal: Jul 2007 Città: La patria della cassoeula!!! Messaggi: 148	Chill-Out, rinnovo i miei complimenti.

06-04-2008, 10:41	#29
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28661	non necessità di installazione nel senso che clicci sull'eseguibile ed è pronto per l'utilizzo. comunque crea tre file nella directory di windows:la dll,l'unistall e il log. l'unistall penso che serva soltanto per rimuovere alcune chiavi di registro...anche se si eliminano manualmente i file penso che non succeda nulla

11-04-2008, 08:05	#35
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Dylan76 Dire che andiamo bene, attendiamo il log di CureIt ed un'altro log di Gmer per il controllo, ciao. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

12-04-2008, 22:50	#36
ShoShen Messaggi: n/a	complimenti anche da parte mia...non solo per il thread ma anche per l impegno in questa sezione in generale...

13-04-2008, 21:40	#40
elwitt Junior Member Iscritto dal: Apr 2008 Messaggi: 29	Ho seguito le altre fasi e ora dovrei essere a posto perchè nè dottorweb nè avast nè gmer me lo segnala più quindi non credo che sia più necessario postare gli altri log Grazie mille per l'utilissima guida Volevo chiedervi però se c'è un metodo per prevenire di prendermelo di nuovo. Di sicuro ora levo explorer e metto mozilla firefoxe mi hanno detto essere migliore

Strumenti
Mostra una versione stampabile Invia questa pagina per email