GUIDA ALLA RIMOZIONE MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

Powered by: Hardware Upgrade Forum - Sezione Antivirus e Sicurezza

"Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5"

http://i.creativecommons.org/l/by-nc-sa/2.5/it/88x31.png (http://creativecommons.org/licenses/by-nc-sa/2.5/it/)

NOTA BENE:
1 - AL FINE DI MANTENERE IL THREAD ORDINATO E FRUIBILE HOSTATE I LOG SOLO ED ESCLUSIVAMENTE IN FORMATO .TXT SU http://wikisend.com/ in alternativa su http://www.filedropper.com/ PUBBLICANDO PER OGNI LOG IL LINK CHE VERRA' RILASCIATO PER IL DOWNLOAD
2 - E' OPPORTUNO LEGGERE ATTENTAMENTE TUTTA LA GUIDA

Definizione di MASTER BOOT RECORD:
Il master boot record (MBR) è in genere la primissima sezione de hard-disk di 512 byte (mezzo kilobyte) di dimensioni ed è il settore di avvio , contiene la sequenza di comandi necessaria per l'avvio del sistema operativo ossia il bootloder.
Il MBR di un disco di solito include la tabella delle partizioni, che è usata dal PC per caricare ed avviare il settore di avvio della partizione segnata come attiva. Questo permette al BIOS di caricare qualunque sistema operativo senza bisogno di sapere esattamente dove si trova all'interno della sua partizione. Poiché il MBR è letto quasi subito all'avvio del computer, molti virus creati prima che gli antivirus fossero diffusi operavano cambiando il codice del MBR.
Il processo d'avvio è diverso a seconda che il disco sia partizionato o meno. In entrambi i casi il BIOS trasferisce il controllo al primo settore del disco dopo averlo letto in memoria. Successivamente, se il disco è partizionato, il settore contiene il codice di selezione della partizione che carica il primo settore della partizione selezionata al suo posto e trasferisce il controllo a questo; altrimenti, se non ha partizioni, è il settore stesso che carica il sistema operativo.

Fonte: http://it.wikipedia.org/wiki/Master_boot_record

Che cos'è il MASTER BOOT RECORD ROOTKIT:
L’infezione si diffonde attraverso alcuni siti web che ospitano exploit studiati per infettare pc con software e/o sistema operativo non aggiornati. Questa tipologia di infezione è stata vista spesso in azione durante il 2006 e 2007 - Gromozon è solo uno dei vari esempi.
Gran parte dei siti web monitorati che vengono utilizzati per diffondere questa infezione sono iniettati in iframe nascosti all’interno di pagine web compromesse - una tattica molto diffusa negli ultimi periodi.
Abbiamo visto che uno dei paesi più esposti all’attacco è l’Italia, poiché i siti web ospitanti il malware sono stati più volte utilizzati in vari attacchi locali durante i quali sono stati compromessi siti web.
Una volta che il dropper viene eseguito, sovrascrive il master boot record con il proprio codice e memorizza una copia del mbr originale al settore 62 del disco, appendendo il vecchio mbr a del codice proprio. Codice del malware viene aggiunto anche nei settori 60 e 61. Il driver del rootkit viene poi scritto in uno spazio libero e inutilizzato dell’hard disk, solitamente gli ultimi settori del disco. Il codice scritto nel MBR sarà responsabile del caricamento del driver vero e proprio nel sistema.
Al successivo riavvio del sistema (il malware può programmare un reboot automaticamente) il codice scritto nel master boot record prende il controllo dell’Int 13h in modo tale da poter controllare qualunque cosa venga caricata dal sistema operativo. Questa posizione gli permette di poter modificare il kernel on-the-fly non appena viene letto dall’hard disk.......

Autore:
Marco Giuliani alias Eraser
Malware Analyst per Prevx

Links per chi volesse approfondire:
Il Master Boot Record Rootkit è in the wild (http://www.pcalsicuro.com/main/2008/01/il-master-boot-record-rootkit-e-in-the-wild/)
MBR Rootkit: nuovi aggiornamenti (http://www.pcalsicuro.com/main/2008/03/mbr-rootkit-nuovi-aggiornamenti/)
MBR rootkit si trasforma e torna all'attacco (http://www.pcalsicuro.com/main/2009/04/mbr-rootkit-si-trasforma-e-torna-allattacco/)
MBR rootkit reloaded (http://www.pcalsicuro.com/main/2009/06/mbr-rootkit-reloaded/)


:: FASE PRELIMINARE ::

Disattivare il Ripristino Configurazione Sistema:


tasto destro del mouse sull'icona Risorse del Computer
seleziona la voce Proprietà
apri la scheda Ripristino configurazione di Sistema
spunta la voce Disattiva ripristino configurazione di sistema
conferma, la modifica, con Applica e, poi Ok

Riattivate il Ripristino Configurazione Sistema solo a disinfezione terminata

:: PRIMA FASE ::

Download Software necessari per la rilevazione:

Gmer -> Download (http://www2.gmer.net/beta/gmer.exe)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione - scompattare il file compresso per praticità sul DeskTop e lanciare Gmer.exe avendo cura di spuntare sul pannello di destra tutte le caselle
Dopo aver terminato la scansione cliccare su Copy, aprite il Blocco Note ed incollare il log

Prevx 3.0 -> Download (http://www.prevx.com/freescan.asp)
Compatibile: Windows XP - Vista
Caratteristiche: necessaria la connesione ad Internet
Dopo aver terminato la scansione per ottenere il log cliccare su Tools - Salva file di log
Estratto dal log di Prevx che mostra l'infezione:
c:\$mbr.0 [PX5: DFB91BAE00F7FE4E014400AA3629600089E71A1B] Malware Group: Rootkit.MBR

NB: Prevx oltre a rilevare l'infezione, ci permette di rimuoverla gratuitamente (F = Free to cleanup) per farlo è sufficiente ripetere la scansione e cliccare su Cleanup Now dopo aver disabilitato l'antivirus, importante salvare entrambi i log pre e post rimozione.

http://img9.imageshack.us/img9/8536/prevxrootkit.th.jpg (http://img9.imageshack.us/i/prevxrootkit.jpg/)


A questo punto allegare i log nella sequenza indicata:
Gmer
Prevx 3.0 (entrambi i log pre e post infezione)

Prima di procedere con la seconda fase sarebbe opportuno attendere una risposta da chi presta assistenza


[B]:: SECONDA FASE ::

Download tools necessari per la rimozione/disinfezione:

Stealth MBR rootkit detector -> Download (http://www2.gmer.net/mbr/mbr.exe)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
Scaricate MBR:EXE sul DeskTop e mettetelo direttamente nella Directory C:\
Riavviate il Pc in modalità provvisoria F8
Da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
Salvate il log prodotto come MBR ed allegatelo per il controllo

Norman SinowalMBR Cleaner -> Download (http://www.norman.com/support/support_tools/58733/it)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
Doppio click su Norman_Sinowal_Cleaner.exe accettate la licensa d'uso ed avviate la scansione cliccando su Start scan
Al termine allegate il log che trovate sul Desktop col nome di NFix


:: TERZA FASE ::

Scansione di controllo:


Dr.Web CureIt! - Download (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
Doppio click su CureIt - cliccate su Avvia - alla domanda Avvia ora il controllo? cliccate su OK
In questa modalità Express Scan vengono controllati solo i seguenti oggetti:
* Random access memory
* Settori di Boot di tutti i dischi
* Ogetti di Startup
* Disco di Boot e cartella principale
* Cartella principale del disco di installaizone di Windows
* Cartella di Sistema di Windows
* Cartella documenti Utente ("Documenti")
* Cartella temporanea di Sistema
* Usa la cartella temporanea
Al termine di questa fase cliccate su Completa scansione e avviate cliccando sul triangolino verde
Gli eventuali malware rilevati è preferibile metterli in quarantena cliccando sul tasto Sposta
Dopo aver terminato la scansione allegare il log per il controllo che trovate in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb
Per snellire il log usare ParserLog -> info & download (http://hwupgrade.blogspot.com/2008/11/il-parser-per-log-un-utilissimo.html)
gli oggetti individuati devono essere rimossi, verrà mantenuto un backup degli oggetti eliminati!

==> Eliminazione cartella HelpAssistant:

Windows XP Home Edition

Computer - tasto dx del mouse Proprietà -Avanzate - Profilo utente - Impostazioni

eliminate il profilo HelpAssistant

Windows XP Professional

Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer - Utenti e gruppi locali - Users

Tasto dx del mouse su HelpAssistant - Poprietà - mettete il segno di spunta su Account disabilitato - aprite il TAB Membro di, se HelpAssistant è all'interno del box bianco selezionatelo e rimuovetelo cliccando sul tasto Rimuovi

Applica e OK, riavviate il PC.


==> SUGGERIMENTI:
Leggere la presente Guida (http://www.hwupgrade.it/forum/showthread.php?t=1726383) vi aiuterà a verificare la configurazione di sicurezza del PC, aggiornare programmi obsoleti e vulnerabili ed eliminare eventuali residui inutili dei programmi utilizzati nella guida.

complimenti ottima guida!

ottimo mi mancava ;)
una domanda... come si riconosce l'infezione??

per chiarezza ho aggiunto i log di Gmer e Prevx

per chiarezza ho aggiunto i log di Gmer e Prevx

perchè come scansione di controllo è previsto Dr.Web CureIt?
rileva il rootkit?
perchè nn prevedere solo una scansione di controllo con prevx csi?

ps: cmq complimenti per aver scovato la soluzione a questa infezione! :)

perchè come scansione di controllo è previsto Dr.Web CureIt?
rileva il rootkit?

si

perchè nn prevedere solo una scansione di controllo con prevx csi?

perchè è pronta da ieri ma per problemi vari sono riuscito a postarla solo adesso e la stò sistemando on the fly :D

ps: cmq complimenti per aver scovato la soluzione a questa infezione! :)

Scovare? e mica dovevo stanare un coniglio :asd:

Grazie.

un'appunto:su symantec affermano che il rootkit crei una DLL con nome random che una volta registrata col comando regsvr32 /NOMEFILE.dll,crea e avvia il driver che immette il codice nel MBR.
questa DLL per caso l'avete già trovata e fatta rimuovere agli utenti infetti?

veramente un ottima guida :D

I miei complimenti a Chill-Out per questa esaustiva e (soprattutto) fruibilissima guida. ;) Con l'hacking di emule cade proprio come il cacio sui maccheroni. :D Non sarà mica un caso? :mbe: :D

sarebbe interessante anche raffrontare la cronologia del browser negli ultimi giorni di navigazione degli utenti rimasti infetti,giusto per capire dove si è annidato ultimamente

vi dò un'altro piccolo aiutino che forse può esservi utile: leggendo in giro c'è gente che ha risolto il problema dell'MBR rootkit anche con la console di ripristino di windows, tramite il comando fix mbr ed è eliminabile solo quando non è in esecuzione. ;) questo è un mio piccolo pensiero dedicato a voi che state facendo un lavoro da paura! ;)
altri prodotti antirootkit che riescono a individuare questa infezione:

- Trend Micro Rootkit Buster (http://www.trendmicro.com/download/rbuster.asp)

- F-Secure Blacklight (http://www.f-secure.com/weblog/archives/00001409.html)

su Tweakness (http://www.tweakness.net/topic.php?id=4445) si afferma che è uno script che fa prendere l'infezione, quindi firefox + noscript dovrebbe garantire la non infezione da questo rootkit. credo che comunque anche opera garantisca sicurezza. non usate mai internet explorer.

opera dispone di funzionalità di blocco degli script?

C'è anche il removal tool della symantec :)

http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-020817-4716-99

C'è anche il removal tool della symantec :)

http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-020817-4716-99

Grazie, stavo provvedendo all'inserimento. ;)

Credo ma non ne sono sicuro, dai log di Gmer e Prevx CSI visti qui: http://www.hwupgrade.it/forum/showthread.php?t=1713554
il tool Symantec non avrebbe rilevato nulla

opera dispone di funzionalità di blocco degli script?

si in strumenti-> opzioni-> avanzate-> contenuti ma, ad oggi, non ho mai preso infezioni con opera, il suo engine è proprietario, mentre firefox, se ho capito bene, si basa su quello di internet explorer (almeno credo)

[...]
il tool Symantec non avrebbe rilevato nulla

:asd:

Come da oggetto, Thank You for everyone per l'aiuto, sono riuscito a risolvere l'infezione del MBR Rootkit.

un'appunto:su symantec affermano che il rootkit crei una DLL con nome random che una volta registrata col comando regsvr32 /NOMEFILE.dll,crea e avvia il driver che immette il codice nel MBR.
questa DLL per caso l'avete già trovata e fatta rimuovere agli utenti infetti?

No juninho85 non ho avvistato nessuna DLL, la DLL in questione è relativa alla rilevazione di Symantec come Trojan.Mebroot si sono sicuramente ingegnati a cambiare ancora le carte in tavola.

sarebbe interessante anche raffrontare la cronologia del browser negli ultimi giorni di navigazione degli utenti rimasti infetti,giusto per capire dove si è annidato ultimamente

Effettivamente, sarebbe stato utilissimo

I miei complimenti a Chill-Out per questa esaustiva e (soprattutto) fruibilissima guida. ;)

Grazie ;)

Con l'hacking di emule cade proprio come il cacio sui maccheroni. :D Non sarà mica un caso? :mbe: :D

:D

Chill-Out una domanda... il comando Fixmbr della console di ripristino di Windows che scrive un nuovo MBR secondo te può risolvere la cosa? Ho intenzione di infettare il mio pc fisso (che tanto lo uso per i test :asd: ) e poi provare Fixmbr...

@Angelus88

Si può risolvere, leggi qui: http://www.hwupgrade.it/forum/showthread.php?t=1644166&highlight=mbr
http://www.hwupgrade.it/forum/showpost.php?p=20430976&postcount=21
non l'ho volutamente inserito in Guida perchè come tu ben sai la procedura è un pò più laboriosa, prevede l'utilizzo del CD di Win che ovviamente devi avere (anche se a questo si può rimediare) accesso alla Console etc......

in sostanza procedura fattible ma non rivolta alla massa imho

Ecco immaginavo! :D

Grazie e complimenti per la guida comunque ;)

Ecco immaginavo! :D

Grazie e complimenti per la guida comunque ;)

Prego

No juninho85 non ho avvistato nessuna DLL, la DLL in questione è relativa alla rilevazione di Symantec come Trojan.Mebroot si sono sicuramente ingegnati a cambiare ancora le carte in tavola.
esatto,la dll veniva usata come driver per la prima variante ;)

che dire...ottimo lavoro chill-out;)

Chill-Out, rinnovo i miei complimenti. ;)

Ottimo socio...bel lavoro...;) intanto sembra che giri una variante con criptazione dati nell'mbr :mad:

I miei complimenti a Chill-Out.:) ;)

Solitamente non intervengo mai in questa sezione.
Oggi violo questa regola.
Sarà naturalmente un eccezione che conferma la regola.

Vorrei intervenire in merito a Gmer.
Nella pagina principale è riportato che Gmer non necessita d'installazione.

Vorrei esortare gli utenti a controllare nella cartella Windows se presente il file di disinstallazione di Gmer.

Si dovrebbe chiamare unistall gmer ecc ecc
Non posso verificare io stesso, perchè attualmente nell'unico pc rimasto sotto windows, non ho installato Gmer (e non lo voglio installare).
Il tool si deve disinstallare UNICAMENTE attraverso questo unistall.

Anzi in caso di aggiornamento sarebbe buona norma PRIMA disinstallare la vecchia versione e poi procedere ad inserire nel pc quella nuova.

Per ciò che ho sopra riportato non sò se è corretto scrivere che "Gmer non necessita di una installazione".

A voi le verifiche, le decisioni, e magari un eventuale aggiunta in prima pagina per l'autore del 3D.

non necessità di installazione nel senso che clicci sull'eseguibile ed è pronto per l'utilizzo.
comunque crea tre file nella directory di windows:la dll,l'unistall e il log.
l'unistall penso che serva soltanto per rimuovere alcune chiavi di registro...anche se si eliminano manualmente i file penso che non succeda nulla

non necessità di installazione nel senso che clicci sull'eseguibile ed è pronto per l'utilizzo.
comunque crea tre file nella directory di windows:la dll,l'unistall e il log.
l'unistall penso che serva soltanto per rimuovere alcune chiavi di registro...anche se si eliminano manualmente i file penso che non succeda nulla

Grazie della verifica '85.;)

...

Effettivamente il tuo contributo su questo forum è notevole....http://www.proactive-hips.com/forum/Smilies/thumbsup.gif

Ottimo socio...bel lavoro...;) intanto sembra che giri una variante con criptazione dati nell'mbr :mad:

a quel punto credo che l'unica soluzione sia l' overwrites

Mille grazie a tutti :friend:

http://www.fileup.itadib.com/download.php?id=PR9xt3uRaIcv5NWGrZMD Prevxcsi
http://www.fileup.itadib.com/download.php?id=LoPUlNu8zuLGm02rH72j GMER
http://www.fileup.itadib.com/download.php?id=Hvw7biHB69K9J6STpWOV MBR dopo mod.provvisoria
http://www.fileup.itadib.com/download.php?id=miLm5ye2LbpIjZ0L0YP0 fixmebroot
Prevxcsi dopo la pulizia mi da risultato negativo
Cureit non sono riuscito ancora a finire la scansione,appena terminata vi aggiungo il log

Dire che andiamo bene, attendiamo il log di CureIt ed un'altro log di Gmer per il controllo, ciao.

complimenti anche da parte mia...non solo per il thread ma anche per l impegno in questa sezione in generale...:)

Salve sono l'ennesima vittima di questo maledetto rootkit. Ho seguito la prima fase della vostra guida e come consigliato prima di procedere vi metto quello che ho trovato. Nella scansione con Prevx CSI non mi ha individuato nulla mentre con quella di Gmer mi ha riportato quanto segue:

Disk \Device\Harddisk0\DR0 sector 00: MBR rootkit code detected <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x1d383773 size 0x1ca
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

Prima di andare avanti aspetto vostre indicazioni.
Ho allegato il file log della scansione con gmer. Occorre anche quello di Prevx CSI anche se non mi ha trovato nulla?
http://www.fileup.itadib.com/download.php?id=wqpjdVVcpuFFPtlZbU0k
http://www.fileup.itadib.com/download.php?id=QI9M4zUz4FUWz5b9haZf

Nel primo c'è il logsave di gmer nel secondo di csi

Grazie anticipatamente e aspetto vostre notizie per andare avanti

Salve sono l'ennesima vittima di questo maledetto rootkit. Ho seguito la prima fase della vostra guida e come consigliato prima di procedere vi metto quello che ho trovato. Nella scansione con Prevx CSI non mi ha individuato nulla mentre con quella di Gmer mi ha riportato quanto segue:

Disk \Device\Harddisk0\DR0 sector 00: MBR rootkit code detected <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x1d383773 size 0x1ca
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

Prima di andare avanti aspetto vostre indicazioni.
Ho allegato il file log della scansione con gmer. Occorre anche quello di Prevx CSI anche se non mi ha trovato nulla?
http://www.fileup.itadib.com/download.php?id=wqpjdVVcpuFFPtlZbU0k
http://www.fileup.itadib.com/download.php?id=QI9M4zUz4FUWz5b9haZf

Nel primo c'è il logsave di gmer nel secondo di csi

Grazie anticipatamente e aspetto vostre notizie per andare avanti

Ciao elwitt dal log di Gmer si evince che sei infetto dall' MBR Rootkit, segui le indicazioni della :: SECONDA FASE :: ricorda di allegare i log, ciao.

complimenti anche da parte mia...non solo per il thread ma anche per l impegno in questa sezione in generale...:)

Thx

Ho seguito le altre fasi e ora dovrei essere a posto perchè nè dottorweb nè avast nè gmer me lo segnala più quindi non credo che sia più necessario postare gli altri log
Grazie mille per l'utilissima guida
Volevo chiedervi però se c'è un metodo per prevenire di prendermelo di nuovo. Di sicuro ora levo explorer e metto mozilla firefoxe mi hanno detto essere migliore

Ho seguito le altre fasi e ora dovrei essere a posto perchè nè dottorweb nè avast nè gmer me lo segnala più quindi non credo che sia più necessario postare gli altri log
Grazie mille per l'utilissima guida
Volevo chiedervi però se c'è un metodo per prevenire di prendermelo di nuovo. Di sicuro ora levo explorer e metto mozilla firefoxe mi hanno detto essere migliore

Sarebbe meglio tu allegassi i log per il controllo, diciamo che non c'è un metodo per non prenderlo in ogni caso Firefox ti garantisce più sicurezza, installa inoltre i seguenti componenti aggiuntivi

NoScript -> https://addons.mozilla.org/it/firefox/addon/722
Adblock Plus -> https://addons.mozilla.org/it/firefox/addon/1865
Finjan Securebrowsing -> https://addons.mozilla.org/it/firefox/addon/4892

Sarebbe meglio tu allegassi i log per il controllo, diciamo che non c'è un metodo per non prenderlo in ogni caso Firefox ti garantisce più sicurezza, installa inoltre i seguenti componenti aggiuntivi

NoScript -> https://addons.mozilla.org/it/firefox/addon/722
Adblock Plus -> https://addons.mozilla.org/it/firefox/addon/1865
Finjan Securebrowsing -> https://addons.mozilla.org/it/firefox/addon/4892

Chill, io aggiungerei anche XSS Warning (https://addons.mozilla.org/it/firefox/addon/5589), che è a prova di bomba: in caso di script XSS aggiunti o inseriti arbitrariamente, avvisa l'utente con un messaggio: cliccando su ok blocca, cliccando su annulla autorizza l'esecuzione dell'XSS. ;)
Se non l'hai mai provato te lo consiglio. ;)

Chill, io aggiungerei anche XSS Warning (https://addons.mozilla.org/it/firefox/addon/5589), che è a prova di bomba: in caso di script XSS aggiunti o inseriti arbitrariamente, avvisa l'utente con un messaggio: cliccando su ok blocca, cliccando su annulla autorizza l'esecuzione dell'XSS. ;)
Se non l'hai mai provato te lo consiglio. ;)

No non l'ho provato, mi documento, comunque la protezione è già integrata in NoScript

ok grazie. Metto secondo l'ordine della guida gli altri log:seconda fase primo passaggio
http://www.fileup.itadib.com/download.php?id=dKd16eE27h31vEWAD2lE
seconda fase secondo passaggio
http://www.fileup.itadib.com/download.php?id=whCWsmb8oHKHHO0qKJvT
seconda fase terzo passaggio
http://www.fileup.itadib.com/download.php?id=6WbDcIyO1CXrmGLrj0dM
seconda fase quarto passaggio
http://www.fileup.itadib.com/download.php?id=T7ZD7phOnKkudtFlF9Df
terza fase
http://www.fileup.itadib.com/download.php?id=pUvKfJxXsrHfkAYwCnVE

Non metto il log dell'ultimo controllo con gmer perchè non l'ho salvato

Sei ok ;)

Posto QUI (http://www.mediafire.com/?jj19xjyhy1y) il log del primo passaggio.Fate rpesto sono disperato.

Posto QUI (http://www.mediafire.com/?jj19xjyhy1y) il log del primo passaggio.Fate rpesto sono disperato.

Ciao, hai dimenticato di allegare il log di Prevx Csi, in ogni caso dal log di Gmer si evince che sei infetto, procedi pure con la :: SECONDA FASE :: ricorda di allegare i quattro log

Ciao a tutti...anche io ho lo stesso problema trattato in questo topic.Stavo scaricando i software come indicato nella guida ma non so come salvare il log di PREVx.Qualcuno può aiutarmi?
Grazie

Ciao a tutti...anche io ho lo stesso problema trattato in questo topic.Stavo scaricando i software come indicato nella guida ma non so come salvare il log di PREVx.Qualcuno può aiutarmi?
Grazie

Ciao qui c'è la Guida a Prevx CSI http://www.hwupgrade.it/forum/showthread.php?t=1680806

Grazie chill ma in effetti avevo già fatto tutto quello spiegato nelle pagine che mi hai linkato...il fatto è che non mi dà proprio la possibilità di fare Save log...non capisco :muro:

Grazie chill ma in effetti avevo già fatto tutto quello spiegato nelle pagine che mi hai linkato...il fatto è che non mi dà proprio la possibilità di fare Save log...non capisco :muro:

Cosa vuol dire? Intanto allega il log di Gmer

Eccolo...grazie per la pazienza :cool:

http://fileup.itadib.com/download.php?id=iQzXkl01eG9qq4bTNsae

Eccolo...grazie per la pazienza :cool:

http://fileup.itadib.com/download.php?id=iQzXkl01eG9qq4bTNsae

Dal log di Gmer si evince che sei infetto, procedi pure con la :: SECONDA FASE :: ricorda di allegare i quattro log come indicato all'inizio della Guida

Ho fatto i passaggi della seconda fase...alla fine mi resta questo file in C

http://fileup.itadib.com/download.php?id=ymcruRqxEDCA9ciN83Ir

E questo dopo FIXMEBROOT

http://fileup.itadib.com/download.php?id=FqNP9mxGQd77jrkbVYxu

Ho fatto i passaggi della seconda fase...alla fine mi resta questo file in C

http://fileup.itadib.com/download.php?id=ymcruRqxEDCA9ciN83Ir

hai solo questo perchè i log li devi salvare dopo ogni esecuzione del tool

E questo dopo FIXMEBROOT

http://fileup.itadib.com/download.php?id=FqNP9mxGQd77jrkbVYxu

in ogni caso sei ok, procedi con la :: TERZA FASE :: ed allega un'altro log di Gmer per scrupolo su www.mediafire.com

Ecco il log di GMER:

http://www.mediafire.com/?rdm0j11nnyj



La scansione con DrWeb...non riesco a farla...server busy

scusate,ma non sapevo dove postare questa banale domanda...in base all ordine di procedura delle regole di sezione e della guida,non capisco bene quando deve essere usato cccleaner,se prima o dopo di tutti quei programmini che si devono far girare(gmer,hijackthis,adsr ect)..attendo risposte..:)

Ecco il log di GMER:

http://www.mediafire.com/?rdm0j11nnyj



La scansione con DrWeb...non riesco a farla...server busy

Il log è OK ma è opportuno fare la scansione con Dr.Web CureIt, abbi pazienza e prova a riscaricarlo

scusate,ma non sapevo dove postare questa banale domanda...in base all ordine di procedura delle regole di sezione e della guida,non capisco bene quando deve essere usato cccleaner,se prima o dopo di tutti quei programmini che si devono far girare(gmer,hijackthis,adsr ect)..attendo risposte..:)

Non capisco perchè hai postato in questo Thread, comunque falla prima.

Ciao chill...ho fatto la scansione con DrWeb...sembra ok...non ha trovato virus. La casella Salva lista report NON è selezionabile...quindi non riesco ad allegare il log.
Senti...li devo eliminare i vari log che sono rimasti in C o posso lasciarli lì?

Grazie ancora per l'aiuto

Ciao chill...ho fatto la scansione con DrWeb...sembra ok...non ha trovato virus. La casella Salva lista report NON è selezionabile...quindi non riesco ad allegare il log.
Senti...li devo eliminare i vari log che sono rimasti in C o posso lasciarli lì?

come non è selezionabile, si che lo è comunque se non ha rilevato nulla sei a posto, i log li puoi cancellare senza problemi

Grazie ancora per l'aiuto

Prego ;)

Te lo assicuro...c'è all'interno del menu File ma è ombreggiato e non si può cliccare...boh...mi arrendo :cool:

Te lo assicuro...c'è all'interno del menu File ma è ombreggiato e non si può cliccare...boh...mi arrendo :cool:

per scrupolo faccio una prova :D

il log lo trovi qui: %USERPROFILE%\DoctorWeb\CureIt.log

:p

:p

Che tradotto vuol dire? :)

Che tradotto vuol dire? :)

Ti ho spernacchiato (benevolmente, si intende)...dato che neanche il tuo link è cliccabile :cool:

Ti ho spernacchiato (benevolmente, si intende)...dato che neanche il tuo link è cliccabile :cool:

Il link non è cliccabile 1 perchè non è un link - 2 il percorso indicato è relativo al tuo PC

%USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb

è li che devi cercare il log

Come si dice a Roma..."pensavo che tu mi stessi coglionando" :D
L'ho trovato e visto...tutto ok
:)

Come si dice a Roma..."pensavo che tu mi stessi coglionando" :D

non si dice solo a Roma :D

L'ho trovato e visto...tutto ok
:)

me lo allegheresti, lo vorrei vedere, solo per scopo statistico

Porca miseria...l'ho eliminato...quando faccio un'altra scansione lo posterò

Ciao a tutti! Vi sarei davvero grata se provaste a darmi una mano...sono veramente disperata. E' da un mese che tento invano di eliminare questo mbr rootkit che si è insediato nel mio pc. Ho provato di tutto: alcuni programmi non me lo individuano proprio, altri me lo rilevano ma non riescono a rimuoverlo (prevx CSI, gmer, rootkit buster, avast).
Vi posto qui i due log richiesti per la prima fase. Se sbaglio qualcosa, scusatemi...non sono molto pratica...

http://wikisend.com/download/852528/LOG PREVX CSI.log
http://wikisend.com/download/852562/LOG GMER.txt

Aspetto con ansia un vostro gentilissimo aiuto.
Vi ringrazio anticipatamente.

A presto (spero...),

Bea

Ciao a tutti! Vi sarei davvero grata se provaste a darmi una mano...sono veramente disperata. E' da un mese che tento invano di eliminare questo mbr rootkit che si è insediato nel mio pc. Ho provato di tutto: alcuni programmi non me lo individuano proprio, altri me lo rilevano ma non riescono a rimuoverlo (prevx CSI, gmer, rootkit buster, avast).
Vi posto qui i due log richiesti per la prima fase. Se sbaglio qualcosa, scusatemi...non sono molto pratica...

http://wikisend.com/download/852528/LOG PREVX CSI.log
http://wikisend.com/download/852562/LOG GMER.txt

Aspetto con ansia un vostro gentilissimo aiuto.
Vi ringrazio anticipatamente.

A presto (spero...),

Bea

per prevxCSi ci sono le seguenti cose:
C:\Documents and Settings\Francesca\Impostazioni locali\Temporary Internet Files\Content.IE5\H9HPQ332\sarsfx[1].exe InMem: 0 Det [U] MD5: 59E15FF9560923C3B7078D8C5CCB79D8 PX5: CD684916C76FD52D067B12542BD8420084659F30

ROOTKIT-\\.\PhysicalDrive0\MBR - [512] >> Hidden Disk Sectors

segui le indicazioni nel primo messaggio, non puoi sbagliare :)

per prevxCSi ci sono le seguenti cose:
C:\Documents and Settings\Francesca\Impostazioni locali\Temporary Internet Files\Content.IE5\H9HPQ332\sarsfx[1].exe InMem: 0 Det [U] MD5: 59E15FF9560923C3B7078D8C5CCB79D8 PX5: CD684916C76FD52D067B12542BD8420084659F30

ROOTKIT-\\.\PhysicalDrive0\MBR - [512] >> Hidden Disk Sectors

segui le indicazioni nel primo messaggio, non puoi sbagliare :)


Ti ringrazio della gentile risposta, ma non ho ben capito cosa dovrei fare ora. La guida l'ho consultata. Scusami ma non sono molto pratica.

Grazie

Ti ringrazio della gentile risposta, ma non ho ben capito cosa dovrei fare ora. La guida l'ho consultata. Scusami ma non sono molto pratica.

Grazie

devi procedere con la fase sucessiva ossia alla "seconda fase", devi solo legegre e fare cio che hai letto:

scaricare http://www2.gmer.net/mbr/mbr.exe
Riavviate il Pc in modalità provvisoria F8
Da Start - Esegui - digitate C:\mbr.exe e cliccate su OK
Salvate il log prodotto per il controllo*

A questo punto sempre da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
Salvate il log prodotto per il controllo*

Riavviate il PC in modalità normale
Da Start - Esegui - digitate C:\mbr.exe e cliccate su OK
Salvate il log prodotto per il controllo*

alla fine devi avere una cosa di questo tipo:
Esempio di MBR corretto:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

:)

Buongiorno

sono un nuovo iscritto nonchè un neofita e ieri ho avuto anch'io la segnalazione di avast: rootkit physicaldrive0. Ho seguito tutte le indicazioni di Chill out, a cui faccio i miei complimenti, ma purtroppo non ha funzionato.

Do qualche indicazione in più : lavoro con 4 computer in rete ed utilizzo windows 2000 professional. Come dicevo ho seguito le istruzioni ma il programma mbr.exe genera un file log che apro e mi da il seguente messaggio: unistall - invalid install.log file.
La cosa strana è che sè eseguo il file mbr.exe nelle altre macchine funzione perfettamente generando il file log con le indicazioni come da istruzione.

Come posso risolvere il problema?

Ringraziondovi anticipatamente resto in attesa.

Buona giornata

Buongiorno

sono un nuovo iscritto nonchè un neofita e ieri ho avuto anch'io la segnalazione di avast: rootkit physicaldrive0. Ho seguito tutte le indicazioni di Chill out, a cui faccio i miei complimenti, ma purtroppo non ha funzionato.

Do qualche indicazione in più : lavoro con 4 computer in rete ed utilizzo windows 2000 professional. Come dicevo ho seguito le istruzioni ma il programma mbr.exe genera un file log che apro e mi da il seguente messaggio: unistall - invalid install.log file.
La cosa strana è che sè eseguo il file mbr.exe nelle altre macchine funzione perfettamente generando il file log con le indicazioni come da istruzione.

Come posso risolvere il problema?

Ringraziondovi anticipatamente resto in attesa.

Buona giornata

Potresti allegare il log di Gmer

Potresti allegare il log di Gmer

Di seguito file log copiato in word ed in allegato l'errore del log generato dal programma.

GMER 1.0.14.14205 - http://www.gmer.net
Rootkit scan 2008-04-26 12:46:11
Windows 5.0.2195 Service Pack 4


---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon.SYS (avast! File System Filter Driver for Windows NT/2000/ALWIL Software)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon.SYS (avast! File System Filter Driver for Windows NT/2000/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- Threads - GMER 1.0.14 ----

Thread 8:168 81AEFFBA
Thread 8:188 81AF208C
Thread 8:192 81AEAE72
Thread 8:196 81AF0302
Thread 8:344 81AEA89C
Thread 8:368 81AEA89C
Thread 8:1400 81B22530
Thread 8:1120 81B0F630
Thread 8:244 81B589C0
Thread 8:1524 81AFB6B0
Thread 8:1056 81AF00EC
Thread 8:1492 81B22530
Thread 8:1256 81B0F630
Thread 8:1300 81B589C0
Thread 8:2168 81AFB6B0

---- EOF - GMER 1.0.14 ----


Ringraziandoti anticipatamente resto in attesa.

Buona giornata.

se puoi posta la cronologia dei siti visitati questi ultimi giorni,così riusciamo a capire in quale sito l'hai preso

se puoi posta la cronologia dei siti visitati questi ultimi giorni,così riusciamo a capire in quale sito l'hai preso

Con piacere, dimmi come fare.

Con piacere, dimmi come fare.

che browser utilizzi?

[QUOTE=xcdegasp;22108680]devi procedere con la fase sucessiva ossia alla "seconda fase", devi solo legegre e fare cio che hai letto:

scaricare http://www2.gmer.net/mbr/mbr.exe
Riavviate il Pc in modalità provvisoria F8
Da Start - Esegui - digitate C:\mbr.exe e cliccate su OK
Salvate il log prodotto per il controllo*

A questo punto sempre da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
Salvate il log prodotto per il controllo*

Riavviate il PC in modalità normale
Da Start - Esegui - digitate C:\mbr.exe e cliccate su OK
Salvate il log prodotto per il controllo*

alla fine devi avere una cosa di questo tipo:
Esempio di MBR corretto:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Scusatemi, sono ancora io...purtroppo non sono ancora riuscita a risolvere il problema perchè rimango bloccata al punto 1 della fase 2: ovvero nel momento in cui riavvio il pc in modalità provvisoria e, come da indicazioni, digito C:\mbr.exe e poi OK ed Esegui (e successivamente anche con C:\mbr.exe -f), non accade praticamente nulla. Non capisco il funzionamento di questo programma: quando clicco Esegui ho solo un flash di una finestra che si apre e si chiude immediatamente, e niente di più. Non so come spiegarmi, ma non accade davvero nulla!
Per favore aiutatemi.
Grazie mille!

Di seguito file log copiato in word ed in allegato l'errore del log generato dal programma.

GMER 1.0.14.14205 - http://www.gmer.net
Rootkit scan 2008-04-26 12:46:11
Windows 5.0.2195 Service Pack 4


---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon.SYS (avast! File System Filter Driver for Windows NT/2000/ALWIL Software)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon.SYS (avast! File System Filter Driver for Windows NT/2000/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- Threads - GMER 1.0.14 ----

Thread 8:168 81AEFFBA
Thread 8:188 81AF208C
Thread 8:192 81AEAE72
Thread 8:196 81AF0302
Thread 8:344 81AEA89C
Thread 8:368 81AEA89C
Thread 8:1400 81B22530
Thread 8:1120 81B0F630
Thread 8:244 81B589C0
Thread 8:1524 81AFB6B0
Thread 8:1056 81AF00EC
Thread 8:1492 81B22530
Thread 8:1256 81B0F630
Thread 8:1300 81B589C0
Thread 8:2168 81AFB6B0

---- EOF - GMER 1.0.14 ----


Ringraziandoti anticipatamente resto in attesa.

Buona giornata.

Per favore log completo in formato .txt hostato qui: www.mediafire.com

[QUOTE=xcdegasp;22108680]devi procedere con la fase sucessiva ossia alla "seconda fase", devi solo legegre e fare cio che hai letto:

scaricare http://www2.gmer.net/mbr/mbr.exe
Riavviate il Pc in modalità provvisoria F8
Da Start - Esegui - digitate C:\mbr.exe e cliccate su OK
Salvate il log prodotto per il controllo*

A questo punto sempre da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
Salvate il log prodotto per il controllo*

Riavviate il PC in modalità normale
Da Start - Esegui - digitate C:\mbr.exe e cliccate su OK
Salvate il log prodotto per il controllo*

alla fine devi avere una cosa di questo tipo:
Esempio di MBR corretto:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Scusatemi, sono ancora io...purtroppo non sono ancora riuscita a risolvere il problema perchè rimango bloccata al punto 1 della fase 2: ovvero nel momento in cui riavvio il pc in modalità provvisoria e, come da indicazioni, digito C:\mbr.exe e poi OK ed Esegui (e successivamente anche con C:\mbr.exe -f), non accade praticamente nulla. Non capisco il funzionamento di questo programma: quando clicco Esegui ho solo un flash di una finestra che si apre e si chiude immediatamente, e niente di più. Non so come spiegarmi, ma non accade davvero nulla!
Per favore aiutatemi.
Grazie mille!

Ciao, vediamo di capire, devi semplicemente seguire le istruzioni a video, la :: SECONDA FASE :: è composta da 3 passaggi, il primo:

1 - Scaricate MBR:EXE sul DeskTop e mettetelo direttamente nella Directory C:\
Riavviate il Pc in modalità provvisoria F8
Da Start - Esegui - digitate C:\mbr.exe e cliccate su OK
Salvate il log prodotto per il controllo*
Esempio di MBR infetto:
Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit infection detected !
MBR INT 0x13 hook detected !
malicious code @ sector 0x12a18ac1 size 0x1e8 !
copy of MBR has been found in sector 62 !

Ti ho evidenziato in rosso il passaggio, al termine salvi e alleghi il log dopodichè procedi col 2 ed il terzo facendo sempre attenzione a salvare ed allegare il log

ovvero nel momento in cui riavvio il pc in modalità provvisoria e, come da indicazioni, digito C:\mbr.exe e poi OK ed Esegui (e successivamente anche con C:\mbr.exe -f), non accade praticamente nulla. Non capisco il funzionamento di questo programma: quando clicco Esegui ho solo un flash di una finestra che si apre e si chiude immediatamente, e niente di più.

questo è quello che hai scritto tu, leggi bene stai sbagliando la sequenza, come fai a cliccare su Esegui, la sequenza giusta è; cliccare su Start - cliccare su Esegui - all'interno del box bianco digitare C:\mbr.exe e cliccate su OK

[QUOTE=bea84;22195144]

Ciao, vediamo di capire, devi semplicemente seguire le istruzioni a video, la :: SECONDA FASE :: è composta da 3 passaggi, il primo:

1 - Scaricate MBR:EXE sul DeskTop e mettetelo direttamente nella Directory C:\
Riavviate il Pc in modalità provvisoria F8
Da Start - Esegui - digitate C:\mbr.exe e cliccate su OK
Salvate il log prodotto per il controllo*
Esempio di MBR infetto:
Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit infection detected !
MBR INT 0x13 hook detected !
malicious code @ sector 0x12a18ac1 size 0x1e8 !
copy of MBR has been found in sector 62 !

Ti ho evidenziato in rosso il passaggio, al termine salvi e alleghi il log dopodichè procedi col 2 ed il terzo facendo sempre attenzione a salvare ed allegare il log



questo è quello che hai scritto tu, leggi bene stai sbagliando la sequenza, come fai a cliccare su Esegui, la sequenza giusta è; cliccare su Start - cliccare su Esegui - all'interno del box bianco digitare C:\mbr.exe e cliccate su OK

Gentilissimo Chill-Out,
ti ringrazio della risposta..purtroppo non mi sono spiegata bene, e ho omesso la prima fase. Le indicazioni le ho seguite pari pari: modalità provvisoria, Start, Esegui, C:\mbr.exe e OK; a questo punto mi si apre una finestra "Apri file - Avviso di protezione" in cui mi dice Impossibile verificare l'attendibilità dell'autore. Eseguire il software?, e a questo punto clicco di nuovo Esegui. E qui succede quello che avevo indicato nel post precedente, ovvero nulla...solo una finestra nera che si apre e si chiude immediatamente...
Grazie mille, e scusa del disturbo.

@ bea84:
ma il tuo windows che versione è, xp o vista? è a 32bit o 64bit?

entrambi i dati li vedi in "pannello di controllo" -> "sistema" :)

@ bea84:
ma il tuo windows che versione è, xp o vista? è a 32bit o 64bit?

entrambi i dati li vedi in "pannello di controllo" -> "sistema" :)


Grazie mille dell'indicazione (in effetti con me nulla è scontato quando si parla di pc e informatica...)... Allora ti riporto esattamente ciò che trovo nella sezione Generale di Proprietà del sistema :

Sistema:
Microsoft Windows XP
Professional
Versione 2002
Service Pack 2

Computer:
AMD Athlon(TM) XP 2006+
1.91 Ghz, 512 MB di RAM

Mille grazie.

Grazie mille dell'indicazione (in effetti con me nulla è scontato quando si parla di pc e informatica...)... Allora ti riporto esattamente ciò che trovo nella sezione Generale di Proprietà del sistema :

Sistema:
Microsoft Windows XP
Professional
Versione 2002
Service Pack 2

Computer:
AMD Athlon(TM) XP 2006+
1.91 Ghz, 512 MB di RAM

Mille grazie.

No c'è motivo per cui non debba funzionare

Per favore log completo in formato .txt hostato qui: www.mediafire.com

aprendo il file log generato (cliccando "save") mi da lo stesso errore che ho allegato precedentemente. Ho cliccato su "copy", ho copiato su word e salvato in formato txt come richiesto.

Ringraziandoti anticipatamente resto in attesa.

Saluti

http://www.mediafire.com/?3cno29xmrxm

aprendo il file log generato (cliccando "save") mi da lo stesso errore che ho allegato precedentemente. Ho cliccato su "copy", ho copiato su word e salvato in formato txt come richiesto.

Ringraziandoti anticipatamente resto in attesa.

Saluti

http://www.mediafire.com/?3cno29xmrxm

se mi confermi che utilizzi firefox,la cronologia la trovi sotto c:documents and settings\Mozilla\Firefox\defaults\profile
a questo indirizzo hai il file history.dat...prova ad upparlo sempre su mediafire :)

aprendo il file log generato (cliccando "save") mi da lo stesso errore che ho allegato precedentemente. Ho cliccato su "copy", ho copiato su word e salvato in formato txt come richiesto.

Ringraziandoti anticipatamente resto in attesa.

Saluti

http://www.mediafire.com/?3cno29xmrxm

Mi alleghi anche un log di questo tool
http://wikisend.com/download/794034/runprevxcsi.exe

No c'è motivo per cui non debba funzionare


Grazie! Quindi se non c'è motivo, cosa mi consigli di fare? A me si apre questa finestra nera che poi mi si richiude immediatamente, mi sembra di non riuscire a lanciarlo. Può essere il virus? Provo a reinstallarlo?

Grazie

Grazie! Quindi se non c'è motivo, cosa mi consigli di fare? A me si apre questa finestra nera che poi mi si richiude immediatamente, mi sembra di non riuscire a lanciarlo. Può essere il virus? Provo a reinstallarlo?

Grazie

Raillega i log aggiornati sia di Prevx CSI che Gmer

se mi confermi che utilizzi firefox,la cronologia la trovi sotto c:documents and settings\Mozilla\Firefox\defaults\profile
a questo indirizzo hai il file history.dat...prova ad upparlo sempre su mediafire :)

no utilizzo firefox da quando ho avuto il problema.

no utilizzo firefox da quando ho avuto il problema.

se utilizzi internet explorer la trovi qui:
C:\Documents and Settings\tuo nome utente\Impostazioni locali\Cronologia

Raillega i log aggiornati sia di Prevx CSI che Gmer


Eccoli:

http://wikisend.com/download/760260/LOG PREVX CSI 2804.log

http://wikisend.com/download/760242/GMER LOG 2804.log



Grazie mille.

Eccoli:

http://wikisend.com/download/760260/LOG PREVX CSI 2804.log

http://wikisend.com/download/760242/GMER LOG 2804.log



Grazie mille.

Fai girare il tool della Symantec + Dr.Web CureIt come indicato in Guida mi raccomando allega i log
Al termine nuovo log di Prevx CSi
Ciao

Mi alleghi anche un log di questo tool
http://wikisend.com/download/794034/runprevxcsi.exe

Come richiesto il log in allegato.

Resto in attesa.


http://www.mediafire.com/?m6dzgvzmiyj

Mi alleghi anche un log di questo tool
http://wikisend.com/download/794034/runprevxcsi.exe

Come richiesto il log in allegato.

Resto in attesa.


http://www.mediafire.com/?m6dzgvzmiyj

E' puilto riscontri ulteriori problemi?

se utilizzi internet explorer la trovi qui:

non riesco a hostare la cartella in mediafire.com, mi segnala un errore.

non riesco a hostare la cartella in mediafire.com, mi segnala un errore.

mandamela come allegato via mail ;)

[QUOTE=Gianco63;22228321]

E' puilto riscontri ulteriori problemi?

Si, al momento all'avvio e la posta elettronica non funziona. Ti ho allegato tutti messaggi di errore segnalati. Inoltre alla prima segnalazione di avast, quest'ultimo ha effettuato la scansione ed ha rilevato dei virus che ho spostato prima nel cestino e successivamente eliminato tranne i 4 file che trovi nell'allegato:

http://www.mediafire.com/?cbxzvn920kb

Ringraziandoti anticipatamente resto in attesa.

Buona giornata.

[QUOTE=Chill-Out;22229501]

Si, al momento all'avvio e la posta elettronica non funziona. Ti ho allegato tutti messaggi di errore segnalati. Inoltre alla prima segnalazione di avast, quest'ultimo ha effettuato la scansione ed ha rilevato dei virus che ho spostato prima nel cestino e successivamente eliminato tranne i 4 file che trovi nell'allegato:

http://www.mediafire.com/?cbxzvn920kb

Ringraziandoti anticipatamente resto in attesa.

Buona giornata.

In formato .txt, grazie.

[QUOTE=Gianco63;22229935]

In formato .txt, grazie.

Scusami ma non capisco, ho effettuato delle stampe delle videate premendo il tasto "alt"+"Stamp" e copiando il tutto su un foglio di word. Come faccio a effettuarle in txt?

mandamela come allegato via mail ;)

a quale indirizzo? Nel tuo profilo hai riportato che non accetti @.

a quale indirizzo? Nel tuo profilo hai riportato che non accetti @.

ti ho mandato un pvt l'altro ieri...:D

[QUOTE=Chill-Out;22230023]

Scusami ma non capisco, ho effettuato delle stampe delle videate premendo il tasto "alt"+"Stamp" e copiando il tutto su un foglio di word. Come faccio a effettuarle in txt?

gli screenshot li puoi hostare qui http://wikisend.com/ o qui www.mediafire.com

[QUOTE=Gianco63;22230167]

gli screenshot li puoi hostare qui http://wikisend.com/ o qui www.mediafire.com

immagino che gli screenshot sono le stampe delle videate.

http://www.mediafire.com/?cbxzvn920kb

ti ho mandato un pvt l'altro ieri...:D

non sono un esperto pertanto ti chiedo gentilmente di utilizzare un linguaggio più semplice.

Cos'è il pvt?

[QUOTE=Chill-Out;22230372]

immagino che gli screenshot sono le stampe delle videate.

http://www.mediafire.com/?cbxzvn920kb

Forse non mi sono spiegato bene, per screenshot intendo le immagini degli errori od eventulamente compili un file in formato .txt no .doc e lo alleghi.

non sono un esperto pertanto ti chiedo gentilmente di utilizzare un linguaggio più semplice.

Cos'è il pvt?

ti ho mandato un messaggio privato tramite la funzione del forum,leggilo!:D

[QUOTE=Gianco63;22231484]

Forse non mi sono spiegato bene, per screenshot intendo le immagini degli errori od eventulamente compili un file in formato .txt no .doc e lo alleghi.

Ti chiedo un pò di pazienza.... come precisato non sono un esperto.
Penso che il documento precedentemente allegato contenga le immagini degli errori.
Non riesco ad incollare le immagini in un file txt.
Potresti comunque vedere il file che precedentemente allegato?

Grazie 1000

Saluti

Ti chiedo un pò di pazienza.... come precisato non sono un esperto.
Penso che il documento precedentemente allegato contenga le immagini degli errori.
Non riesco ad incollare le immagini in un file txt.
Potresti comunque vedere il file che precedentemente allegato?

Grazie 1000

Saluti

in un txt non puoi inserire immagini per la natura stessa del file..

quando devi pubblicare immagini fai così:
1) catturi il pop-up come avevi fatto

2) start -> tutti i programmi -> accessori -> paint

3) premi il tasto CTRL e mentre lo tieni premuto premi il tasto V una sola volta

4) poi usando la funzione "salva con nome", imposti jpg/jpeg e metti il nome che preferisci (puoi anche decidere la directory in cui salvarlo)

5) pubblichi l'immagine o su mediafire o ancora meglio su http://imageshack.us/?s=1

6) a fine upload ti viene mostrata l'immagine con 4 link, copia quello che si chiama "thubnail for forums" e lo copi pari pari qui :)

in un txt non puoi inserire immagini per la natura stessa del file..

quando devi pubblicare immagini fai così:
1) catturi il pop-up come avevi fatto

2) start -> tutti i programmi -> accessori -> paint

3) premi il tasto CTRL e mentre lo tieni premuto premi il tasto V una sola volta

4) poi usando la funzione "salva con nome", imposti jpg/jpeg e metti il nome che preferisci (puoi anche decidere la directory in cui salvarlo)

5) pubblichi l'immagine o su mediafire o ancora meglio su http://imageshack.us/?s=1

6) a fine upload ti viene mostrata l'immagine con 4 link, copia quello che si chiama "thubnail for forums" e lo copi pari pari qui :)

Grazie per il chiarimento sotto i link delle immagini.
Mi piacerebbe capire per quale motivo non potete leggere il file word inviato con incollate le immagini.

Grazie

http://img225.imageshack.us/img225/7876/44192149co2.th.gif (http://img225.imageshack.us/my.php?image=44192149co2.gif)

[img=http://img225.imageshack.us/img225/9573/25092813zl2.th.gif] (http://img225.imageshack.us/my.php?image=25092813zl2.gif)

[img=http://img225.imageshack.us/img225/5426/62087432xv6.th.gif] (http://img225.imageshack.us/my.php?image=62087432xv6.gif)

[img=http://img225.imageshack.us/img225/5084/59795363at5.th.gif] (http://img225.imageshack.us/my.php?image=59795363at5.gif)

Grazie per il chiarimento sotto i link delle immagini.
Mi piacerebbe capire per quale motivo non potete leggere il file word inviato con incollate le immagini.

Grazie

Paranoia :D

Gli errori si presentano sistematicamento ad ogni avvio del PC?
Avast rileva ancora il Rootkit?

Porta a termine la procedura indicata in Guida ed allega i log ovvero Symantec Trojan.Mebroot Removal Tool e CureIt

giaco devi abilitare la visualizzazione dei file nascosti per potermi inviare quel file:D
puoi farlo da pannello di controllo/opzioni cartella

Fai girare il tool della Symantec + Dr.Web CureIt come indicato in Guida mi raccomando allega i log
Al termine nuovo log di Prevx CSi
Ciao


...non ne posso piùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùù
:cry: :cry: :cry: :cry:
Cureit ora non mi rileva nulla (settimana scorsa aveva riscontrato una decina di infezioni, alcune delle quali erano state rimosse, altre solo spostate perchè non diceva di non poterle eliminare)

Il tool della Symantec l'ho fatto girare: la scansione è durata un nanosecondo, e non mi rileva nulla

Ho rifatto la scansione con Prevx CSI e mi rileva di nuovo le due infezioni di prima.

Ti allego comunque tutti i log. Scusami davvero del disturbo, ma non so proprio che fare :muro:
Grazie mille,
ciao



http://wikisend.com/download/747482/FixMebroot.log
http://wikisend.com/download/747448/CureIt.log
http://wikisend.com/download/747238/LOG PREVXCSI 2904.log

...non ne posso piùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùùù
:cry: :cry: :cry: :cry:
Cureit ora non mi rileva nulla (settimana scorsa aveva riscontrato una decina di infezioni, alcune delle quali erano state rimosse, altre solo spostate perchè non diceva di non poterle eliminare)

Il tool della Symantec l'ho fatto girare: la scansione è durata un nanosecondo, e non mi rileva nulla

Ho rifatto la scansione con Prevx CSI e mi rileva di nuovo le due infezioni di prima.

Ti allego comunque tutti i log. Scusami davvero del disturbo, ma non so proprio che fare :muro:
Grazie mille,
ciao



http://wikisend.com/download/747482/FixMebroot.log
http://wikisend.com/download/747448/CureIt.log
http://wikisend.com/download/747238/LOG PREVXCSI 2904.log

Scarica Avenger da qui: http://swandog46.geekstogo.com/avenger2/download.php
scompattalo, avvialo ed inserisci nel box bianco (copi ed incolli) questo Script

Files to delete:
C:\udrdb8.exe

clicca su Execute

al termine il PC si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

Devi ripetere la procedura indicata in Guida :: SECONDA FASE :: attendo i log

Domanda: il Cd di installazione di Windows ce l'hai a disposizione?

giovedì saprò dirti dove l'hai beccato

Paranoia :D

Gli errori si presentano sistematicamento ad ogni avvio del PC?
Avast rileva ancora il Rootkit?

Porta a termine la procedura indicata in Guida ed allega i log ovvero Symantec Trojan.Mebroot Removal Tool e CureIt

Gli errori si presentano ad ogni avvio mentre avast da oggi non mi segnala il Rootkit.

In allegato i due log.

http://www.mediafire.com/?jmrjoiznbgk
http://www.mediafire.com/?jmd2v1rowtn

Paranoia :D

Gli errori si presentano sistematicamento ad ogni avvio del PC?
Avast rileva ancora il Rootkit?

Porta a termine la procedura indicata in Guida ed allega i log ovvero Symantec Trojan.Mebroot Removal Tool e CureIt

Scusami ma ho riavviato e avast mi ha nuovamente segnalato il Rootkit.

Scusami ma ho riavviato e avast mi ha nuovamente segnalato il Rootkit.

Che strano Dr.Web non ha trovato nulla, Avat non segnala nulla ed al successivo riavvio il Rottkit si ripresenta, temo tu abbia provveduto a reinfettarti.
Sarebbe interessante controllare la cronologia dei siti visitati, in sostanza devi rifare tutta la procedura.
Al termine allega anche un log di HijackThis è un tool che non necessita di installazione, mettilo all'interno di una cartella dedicata che chiamerai per
Download: http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

PS: dopo aver uppato un log su MediaFire utilizza queste opzioni
Embed in Website - Share this item on your MySpace page, Blog, Website, or Forums: - Forum Embed Code (vBulletin, phpBB, etc.)

Che strano Dr.Web non ha trovato nulla, Avat non segnala nulla ed al successivo riavvio il Rottkit si ripresenta, temo tu abbia provveduto a reinfettarti.
Sarebbe interessante controllare la cronologia dei siti visitati, in sostanza devi rifare tutta la procedura.
Al termine allega anche un log di HijackThis è un tool che non necessita di installazione, mettilo all'interno di una cartella dedicata che chiamerai per
Download: http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

PS: dopo aver uppato un log su MediaFire utilizza queste opzioni
Embed in Website - Share this item on your MySpace page, Blog, Website, or Forums: - Forum Embed Code (vBulletin, phpBB, etc.)

Ok rifaccio tutto!
Ma degli altri errori? non posso utilizzare la posta elettronica.

In allegato la cronologia dell'ultima settimana.

http://www.mediafire.com/?n1zihrvpbxt

giovedì saprò dirti dove l'hai beccato

eccoti anche la cronologia dell'ultima settimana.

Resto in attesa.


http://www.mediafire.com/?n1zihrvpbxt

Sono riuscito a cancellare il virus annidato nel master boot sector semplicemente avviando in modalità normale (su WinXP), dr.Web.

Precedentemente avevo provato a riscrivere l'mbr usando il cd di installazione di win xp, entrando in ripristino e avviando la console, poi ho digitato fixmbr e ho dato invio, poi exit. Non so se senza la riscrittura dell'mbr ci sarei riuscito, forse si, ad ogni modo ho risolto.

Grazie,
nero

grande guida, spero di aver eliminato il rootkit, potrebbe essere stato preso vedendo i trailer di film sul sito della warner? :muro:
perchè all'improvviso si è riavviato e avast mi ha rilevato il problema
l'unico dubbio riguarda prevxCSI che continua a rilevarmelo mentre sono "in regola" con tutti gli altri programmi e i relativi log...symantec..mbr..gmer..cureit

grande guida, spero di aver eliminato il rootkit, potrebbe essere stato preso vedendo i trailer di film sul sito della warner? :muro:
perchè all'improvviso si è riavviato e avast mi ha rilevato il problema
l'unico dubbio riguarda prevxCSI che continua a rilevarmelo mentre sono "in regola" con tutti gli altri programmi e i relativi log...symantec..mbr..gmer..cureit

Elimina la precedente installazione di Prevx CSI riscaricalo e rifai la scansione dovrebbe darti come risultato Clean, se ti fosse possibile potresti indicarmi la cronologia dell'ultima settimana (ovviamente se per tè non è un problema), thx.

Elimina la precedente installazione di Prevx CSI riscaricalo e rifai la scansione dovrebbe darti come risultato Clean, se ti fosse possibile potresti indicarmi la cronologia dell'ultima settimana (ovviamente se per tè non è un problema), thx.

ok ora provo, cmq vorrei esservi d'aiuto ma "pulisco" tutto regolarmente con disk cleaner..
posso indicarvi solo il sito della warner..o la prenotazione di biglietti online..
perchè per il resto ho una lista di siti che visito ogni giorno..ma non mi era mai successo niente..

Scarica Avenger da qui: http://swandog46.geekstogo.com/avenger2/download.php
scompattalo, avvialo ed inserisci nel box bianco (copi ed incolli) questo Script



clicca su Execute

al termine il PC si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

Devi ripetere la procedura indicata in Guida :: SECONDA FASE :: attendo i log

Domanda: il Cd di installazione di Windows ce l'hai a disposizione?



Ciao. Ho utilizzato Avenger secondo le indicazioni, e ti allego il relativo log.
Purtroppo la seconda fase è quella che non riesco a seguire, perchè MBR per non si sa quale strano motivo non riesco ad utilizzarlo (vedi i post sopra).
Ho rifatto la scansione con Symantec Trojan Mebroot Removal Tool e non mi rileva nulla, mentre PrevX e GMER sì.
Sì, il CD di windows ce l'ho.
Ti allego tutto quello che posso. Ti ringrazio tantissimo. ciao

http://wikisend.com/download/716342/avenger.txt
http://wikisend.com/download/716338/LOG PREVXCSI 0205.log
http://wikisend.com/download/716128/Log GMer 0205.log

Hai allegato 2 volte il log di Gmer, manca ovviamente quello di Prevx, ok per il Cd appena posso ti posto le istruzioni.

Perdonami, sono proprio cotta...te lo allego ora.

http://wikisend.com/download/715338/log prevx oggi.log

Mille mille mille grazie, allora attendo tue notizie.

eccoti anche la cronologia dell'ultima settimana.

Resto in attesa.


http://www.mediafire.com/?n1zihrvpbxt

ho controllato e evidentemente il sito che ti ha infettato è stato ripulito,tutti quelli esaminati non presentano tracce di javascript offuscati.
piuttosto vedo che hai visitatato alcuni siti mediaset quando probabilmente vi era ancora il contatore di accessi che tentava di scaricare in automatico dialer...leggi qui (http://maipiugromozon.blogspot.com/2008/04/un-distretto-di-polizia-con-dialer-siti.html)

Perdonami, sono proprio cotta...te lo allego ora.

http://wikisend.com/download/715338/log prevx oggi.log

Mille mille mille grazie, allora attendo tue notizie.

Ciao questa è la procedura da seguire, mi raccomando presta attenzione alle istruzioni:



Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS

Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY

Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive

A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows

Premi F10 per confermare ed uscire

Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM

Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza

Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, nel tuo caso 1) C:\Windows quindi premere 1 e confermare con OK

Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.

Al prompt dei comandi digita FIXMBR e clicca su Y per confermare

Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows


NB: per muoverti all'inteno del BIOS e selezionare i parametri indicati segui le istruzioni sui tasti funzione che vedi a video

al termine nuovo log di Gmer e Prevx CSI

Ciao questa è la procedura da seguire, mi raccomando presta attenzione alle istruzioni:



Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS

Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY

Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive

A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows

Premi F10 per confermare ed uscire

Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM

Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza

Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, nel tuo caso 1) C:\Windows quindi premere 1 e confermare con OK

Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.

Al prompt dei comandi digita FIXMBR e clicca su Y per confermare

Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows


NB: per muoverti all'inteno del BIOS e selezionare i parametri indicati segui le istruzioni sui tasti funzione che vedi a video

al termine nuovo log di Gmer e Prevx CSI


Ti ringrazio molto, sei stato davvero disponibile; permettimi un ultimo paio di domande: è un'operazione che posso fare tranquillamente da sola o mi consigli di farla fare da una persona più esperta? C'è qualche rischio di perdita dei dati o di danneggiamento del pc (purtroppo sto preparando la tesi, e ritrovarmi con il computer Ko sarebbe deleterio)? Devo fare copia di backup e poi reinstallare tutto?
Grazie.

Ti ringrazio molto, sei stato davvero disponibile; permettimi un ultimo paio di domande: è un'operazione che posso fare tranquillamente da sola o mi consigli di farla fare da una persona più esperta? C'è qualche rischio di perdita dei dati o di danneggiamento del pc (purtroppo sto preparando la tesi, e ritrovarmi con il computer Ko sarebbe deleterio)? Devo fare copia di backup e poi reinstallare tutto?
Grazie.

Perdita dati direi di no, ma se non ti senti sicura farlo insieme ad una persona più esperta male non fà, è naturale utilizzare il PC per studiare/lavorare,ma in ogni caso è opportuno salvare copie di BackUp del proprio lavoro su supporto/i esterni e provvedere ad ggiornarli con BackUp incrementali., ma questo sempre indipendentamente dal possibilie malfuzionamente del Pc che non necessariamente può essere dovuto ad un Virus.

D'accordo, grazie mille

nel bios non puoi fare danni, eventualmente c'è la funzione che ripristina i parametri di fabbrica per annullare eventuali modifiche apportate che causano problemi...
per il retso non vedo problemi a fare da sola quanto indicato :)

certo, il coreggio ci vuole sempre, come ci vuole per fare una tratta ferrata di qualche decine di metri, seppur semplice la prima volta richiede sempre una certa forza d'animo :)
ad ogni modo sappi che cerchiamo sempre di dare indicazioni le soluzioni il più possibile meno pericolose questo è solo per rincuorarti un pochino :p

Tutti i tool citati mi danno sistema pulito e non ho processi strani (controllato con process explorer).
Posso stare tranquillo anche se sono sicuro di aver visitato un sito infetto (hostato su aruba, ovviamente)?

Tutti i tool citati mi danno sistema pulito e non ho processi strani (controllato con process explorer).
Posso stare tranquillo anche se sono sicuro di aver visitato un sito infetto (hostato su aruba, ovviamente)?

Ti ho già risposto di si, per ulteriore scrupolo puoi far girare CureIt, ciao.

-----------------------------------------------------------------------------
Statistiche delle Scansioni
-----------------------------------------------------------------------------
Oggetti controllati: 571
Trovati oggetti Infetti: 0
Trovato Oggetti modificati: 0
Trovato oggetti Sospetti: 0
Trovato Adware: 0
Trovato Dialer: 0
Trovato Joke: 0
Trovato Riskware: 0
Trovato Hacktool: 0
Oggetti curati: 0
Oggetti cancellati: 0
Oggetti rinominati: 0
Oggetti spostati: 0
Oggetti ignorati: 0
Velocità di scansione: 13125 Kb/s
Durata scansione: 00:00:13
-----------------------------------------------------------------------------

Grazie ^^

Hai fatto l' Express scan devi fare Completa scansione

-----------------------------------------------------------------------------
Statistiche delle Scansioni
-----------------------------------------------------------------------------
Oggetti controllati: 81249
Trovati oggetti Infetti: 0
Trovato Oggetti modificati: 0
Trovato oggetti Sospetti: 0
Trovato Adware: 0
Trovato Dialer: 0
Trovato Joke: 0
Trovato Riskware: 0
Trovato Hacktool: 0
Oggetti curati: 0
Oggetti cancellati: 0
Oggetti rinominati: 0
Oggetti spostati: 0
Oggetti ignorati: 0
Velocità di scansione: 3600 Kb/s
Durata scansione: 00:14:27
-----------------------------------------------------------------------------

Ri - grazie ^

Salve a tutti,
anche un mio amico è rimasto vittima del rootkit in questione. Mi ha lasciato il pc perchè cercassi di risolvere il problema.
Ho seguito i seguenti passaggi:
Ho ripristinato il settore di avvio con fixmbr da console di ripristino e pare abbia funzionato.
prevX restituisce un log pulito sia avviandolo normalmente che in modalità provvisoria.
Gmer invece in modalità "normale" si blocca, mentre in modalità provvisoria restituisce il seguente log
log gmer (http://www.mediafire.com/?skbwoiejznm)

avvio quindi Stealth MBR rootkit detector che mi riporta il seguente log
log Stealth MBR Rootkit (http://www.mediafire.com/?e4yddte4hyw)

Mi sembra ci sia ancora qualcosa, ma nessuno degli antivirus che ho provato riesce a scovare nulla.

Grazie per l'aiuto

PS io ho eseguito le scansioni sia in modalità provvisoria che normale: era sufficiente quest'ultima?

PS io ho eseguito le scansioni sia in modalità provvisoria che normale: era sufficiente quest'ultima?

Direi di si

Salve a tutti,
anche un mio amico è rimasto vittima del rootkit in questione. Mi ha lasciato il pc perchè cercassi di risolvere il problema.
Ho seguito i seguenti passaggi:
Ho ripristinato il settore di avvio con fixmbr da console di ripristino e pare abbia funzionato.
prevX restituisce un log pulito sia avviandolo normalmente che in modalità provvisoria.
Gmer invece in modalità "normale" si blocca, mentre in modalità provvisoria restituisce il seguente log
log gmer (http://www.mediafire.com/?skbwoiejznm)

avvio quindi Stealth MBR rootkit detector che mi riporta il seguente log
log Stealth MBR Rootkit (http://www.mediafire.com/?e4yddte4hyw)

Mi sembra ci sia ancora qualcosa, ma nessuno degli antivirus che ho provato riesce a scovare nulla.

Grazie per l'aiuto

Devi fare questi passaggi da modalità provvisorai F8:

2 - A questo punto sempre da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
Salvate il log prodotto per il controllo*
Esempio di MBR correttamente ripristinato:
Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit infection detected !
MBR INT 0x13 hook detected !
malicious code @ sector 0x12a14c00 size 0x1ca !
copy of MBR has been found in sector 62 !
original MBR restored successfully !

3 - Riavviate il PC in modalità normale
Da Start - Esegui - digitate C:\mbr.exe e cliccate su OK
Salvate il log prodotto per il controllo*
Esempio di MBR corretto:
Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Symantec Trojan.Mebroot Removal Tool -> Download
Compatibile: Windows XP
Caratteristiche: non necessita di installazione
Doppio click su FixMebroot.exe - cliccare su I Accept - cliccare su Start e seguire le istruzioni
Al termine della scansione verrà creato sul Desktop il log FixMebroot.log da allegare per il controllo*

mi raccomando salva i log 1 per volta ed allegali, leggi bene le istruzioni

Allego i file che mi hai richiesto:
fase 2
http://www.mediafire.com/?it9gmmudf5g
fase 3
http://www.mediafire.com/?hrnmvm12yue
symantec fixmebroot
http://www.mediafire.com/?is2xdywyhjh

Nota: fixmebroot.exe non è disponibile dal sito symantec, l'ho trovato con google. Che sia un problema di link?

Allego i file che mi hai richiesto:
fase 2
http://www.mediafire.com/?it9gmmudf5g
fase 3
http://www.mediafire.com/?hrnmvm12yue
symantec fixmebroot
http://www.mediafire.com/?is2xdywyhjh

Nota: fixmebroot.exe non è disponibile dal sito symantec, l'ho trovato con google. Che sia un problema di link?

Mi hai allegato 2 volte lo stesso log che fà riferimento al 1 passaggio della :: Seconda Fase ::

Devi lancare il secondo passaggio da modalità provvisoria ovvero Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
salvare il log ed allegarlo
poi 3 passaggio ovvero Start - Esegui - digitate C:\mbr.exe e cliccate su OK salvare il log ed allegarlo

Se noti in funzione dei 3 passaggi i log sono diversi

Mi hai allegato 2 volte lo stesso log che fà riferimento al 1 passaggio della :: Seconda Fase ::

Devi lancare il secondo passaggio da modalità provvisoria ovvero Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
salvare il log ed allegarlo
poi 3 passaggio ovvero Start - Esegui - digitate C:\mbr.exe e cliccate su OK salvare il log ed allegarlo

Se noti in funzione dei 3 passaggi i log sono diversi

Ho provveduto a rinominarli ad ogni passo per non creare confusione. Rifacendo i passaggi ottengo sempre lo stesso log per entrambi, con l'opzione -f che senza.


Ti ringrazio per l'interessamento
Ora devo uscire, lascio la scansione con drWeb posto il log appena possibile

DrWeb non ha rivelato nulla allego comunque il log della scanzione se può esser utile

25mb di log
http://www.mediafire.com/?d1jdvvvo3ey

DrWeb non ha rivelato nulla allego comunque il log della scanzione se può esser utile

25mb di log
http://www.mediafire.com/?d1jdvvvo3ey

Allega anche un log di Gmer http://www2.gmer.net/beta/gmer.exe

Ecco il log di gmer 1.0.14.14316
log gmer (http://www.fileqube.com/shared/glbDd21900)

Ecco il log di gmer 1.0.14.14316
log gmer (http://www.fileqube.com/shared/glbDd21900)

Dal log di Gmer

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x1bf5de1 size 0x1ce
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

Allega un log di riscontro con questo tool http://www.trendmicro.com/download/rbuster.asp

nessun riscontro nemmeno con il tool trend micro rootkit buster
allego comunque il log qui (http://www.fileqube.com/shared/MCdPQL21910)

nessun riscontro nemmeno con il tool trend micro rootkit buster
allego comunque il log qui (http://www.fileqube.com/shared/MCdPQL21910)

Il log è pulito, ricordi il messaggio rilasciato dopo il comando FIXMBR?

La procedura è terminata correttamente, con il comando fixmbr.
Mi viene in mente un'idea, salvo l'mbr su un file. poi sovrascrivo i primi 446 settori con degli zeri e poi riprovo con fixmbr

Niente nulla di risolto...
Credo formatterò :cry:

Niente nulla di risolto...
Credo formatterò :cry:

Immaginavo allega un log di gmer per favore

Buongiorno a tutti! :)
Allora Prevx CSI l'altro giorno mi ha individuato il Rootkit PhysicalDrive0\MBR
Ho seguito le istruzioni della prima fase.......ma dopo lo scanning con PrevX non riesco a salvare il log e non so perchè, quindi scrivo per filo e per segno quello che leggo da Prevx!

ROOTKIT \\.\PhysicalDrive0\MBR Hidden Disk Sectors

Vi allego il log di Gmer e aspetto prima di passare alla fase 2.......sembra un piano di battaglia detta così:D !

http://www.fileup.itadib.com/download.php?id=3eKYmd7doSnMjpscoSo8

Non so se possa c'entrare ma domenica il pc si è spento all'improvviso.......al riavvio cliccando sull'icona sul desktop di Alice mi era impossibile accedere alla finestra di connessione......lo stesso dalle connessioni di rete! Ma potevo cmq navigare in internet, ho aperto una discussione apposita e su consiglio di un utnte ho controllato lo stato del modem......che risulta impostato sulla modalità Bridged-Router x la connessione automatica...anche se io non ho cambiato le impostazioni......non so se può essere un sintomo della presenza del rootkit!

Grazie già da ora x l'aiuto!
Buona giornata a todos!!

MissF1

Buongiorno a tutti! :)
Allora Prevx CSI l'altro giorno mi ha individuato il Rootkit PhysicalDrive0\MBR
Ho seguito le istruzioni della prima fase.......ma dopo lo scanning con PrevX non riesco a salvare il log e non so perchè, quindi scrivo per filo e per segno quello che leggo da Prevx!

ROOTKIT \\.\PhysicalDrive0\MBR Hidden Disk Sectors

Vi allego il log di Gmer e aspetto prima di passare alla fase 2.......sembra un piano di battaglia detta così:D !

http://www.fileup.itadib.com/download.php?id=3eKYmd7doSnMjpscoSo8

Non so se possa c'entrare ma domenica il pc si è spento all'improvviso.......al riavvio cliccando sull'icona sul desktop di Alice mi era impossibile accedere alla finestra di connessione......lo stesso dalle connessioni di rete! Ma potevo cmq navigare in internet, ho aperto una discussione apposita e su consiglio di un utnte ho controllato lo stato del modem......che risulta impostato sulla modalità Bridged-Router x la connessione automatica...anche se io non ho cambiato le impostazioni......non so se può essere un sintomo della presenza del rootkit!

Grazie già da ora x l'aiuto!
Buona giornata a todos!!

MissF1

Un log anche di questo tool http://www.trendmicro.com/download/rbuster.asp Thx.

Ecco il Log che mi hai chiesto Chill-Out!
Grazie!:)

Ecco il Log che mi hai chiesto Chill-Out!
Grazie!:)

Procedi con la :: SECONDA FASE :: mi raccomando presta attenzione alle istruzioni sembra un piano di battaglia detta così se vuoi vincere la guerra :D

Ricevuto! Vado avanti con la fase 2!!!
Passo e chiudo!:D

Fase 2.....Status.....Completed!!!:D
Allego i vari log!

http://www.fileqube.com/shared/WZFxRSujS23016

http://www.fileqube.com/shared/OynoeWVmY23018

http://www.fileqube.com/shared/qoVcAqHJj23019

http://www.fileqube.com/shared/xnozjQZbO23020

Fase 2.....Status.....Completed!!!:D
Allego i vari log!

http://www.fileqube.com/shared/WZFxRSujS23016

http://www.fileqube.com/shared/OynoeWVmY23018

http://www.fileqube.com/shared/qoVcAqHJj23019

http://www.fileqube.com/shared/xnozjQZbO23020

Tutto OK, procedi pure
NB: Prevx CSI non rilascia il log in ogni caso il risultato dovrebbe essere Clean

Fase 3.........Completata!
Prevx CSI non mi rilascia il log.......ma mi da ancora il Rootkit come minaccia al mio pc!
Allego il log di CureIt!

http://wikisend.com/download/649460/CureIt.log

Spero di poter appendere l'elmetto al chiodo :) ....se il Generale Chill-Out mi da l'ok riattivo il ripristino configurazione di sistema!

Buona Serata
MissF1

Fase 3.........Completata!
Prevx CSI non mi rilascia il log.......ma mi da ancora il Rootkit come minaccia al mio pc!
Allego il log di CureIt!

http://wikisend.com/download/649460/CureIt.log

Spero di poter appendere l'elmetto al chiodo :) ....se il Generale Chill-Out mi da l'ok riattivo il ripristino configurazione di sistema!

Buona Serata
MissF1

Disinstalla PrevX CSI riscaricalo dal link indicato in Guida e provedi con una nuova scansione, attendo il risultato.

PS: hai provveduto ad aggiornare il Kaspersky? :D perchè dal log di CureIt ho visto una traccia del Bagle

Ti consiglio di leggere http://www.hwupgrade.it/forum/showthread.php?t=1691346
http://www.hwupgrade.it/forum/showthread.php?t=1726383

ah dimenticavo più che Generale ormai mi sembra di essere il soldato Ryan :asd: :sofico:

il log di gmer non dava sistema pulito?
forse non lo so leggere io..

il log di gmer non dava sistema pulito?
forse non lo so leggere io..

Scusa ma non ti seguo :stordita:

Scusa ma non ti seguo :stordita:

questo log postato sopra: http://www.fileup.itadib.com/download.php?id=3eKYmd7doSnMjpscoSo8

Da questo log il sistem anon risulta pulito?

questo log postato sopra: http://www.fileup.itadib.com/download.php?id=3eKYmd7doSnMjpscoSo8

Da questo log il sistem anon risulta pulito?

Il log è pulito, mi indichi dove l'avevi postato?

Il log è pulito, mi indichi dove l'avevi postato?

E' il log che ha postato MissF1 qualche post più su. Risulta pulito nonostante lui sia infetto, questo intendevo dire.

Grazie per l'aiuto Chill-out,

Alla fine ho formattato, adesso salvo l'mbr su di un file non si sa mai. Inoltre installerò firefox con l'estensione no-script e bloccherò la sovrascrittura del bootloader dal bios. Penso che dovrebbe bastare come prevenzione, o almeno ci spero.

PS: Se questa tipologia di rootkit sarà il nuovo trend per le infezioni, sarà davvero un bel guaio per gli utenti :(

Grazie ancora

E' il log che ha postato MissF1 qualche post più su. Risulta pulito nonostante lui sia infetto, questo intendevo dire.

Ah ecco adesso ci sono :D si Gmer ha cannato, ho visto un paio di log dove non rileva ma il sistema è infetto, ed un paio di log dove rileva ma il sistema è pulito, continuamo a studiare :D

Grazie per l'aiuto Chill-out,

Alla fine ho formattato, adesso salvo l'mbr su di un file non si sa mai. Inoltre installerò firefox con l'estensione no-script e bloccherò la sovrascrittura del bootloader dal bios. Penso che dovrebbe bastare come prevenzione, o almeno ci spero.

PS: Se questa tipologia di rootkit sarà il nuovo trend per le infezioni, sarà davvero un bel guaio per gli utenti :(

Grazie ancora

Di nulla figurati, come sottilinei tu questa tipologia di attacco è rognosa perchè agisce fuori dal sistema operativo

Ah ecco adesso ci sono :D si Gmer ha cannato, ho visto un paio di log dove non rileva ma il sistema è infetto, ed un paio di log dove rileva ma il sistema è pulito, continuamo a studiare :D

Speriamo che utilizzare tutti i tool dia una certa sicurezza :)
La rogna più grossa è l'assenza di sintomi evidenti :muro:
[sono un po' paranoico per ste cose]

Speriamo che utilizzare tutti i tool dia una certa sicurezza :)
La rogna più grossa è l'assenza di sintomi evidenti :muro:
[sono un po' paranoico per ste cose]

Sapessi quanto sono paranoico io :D

Sapessi quanto sono paranoico io :D

Ho fatto la scansione sia in modalità provvisoria (non per prevxcsi perchè mi chiede la connessione per aggiornare il db) che in normale con tutti, almeno 4/5 volte e ho sempre avuto risultato negativo.
L'unica cosa che non ho provato è http://www2.gmer.net/mbr/mbr.exe che proverò oggi in modalità normale e provvisoria.

Abbastanza paranoico?

Gestisco un sito su aruba che era stato infettato, e lo ho visitato quando mi segnalarono che c'erano cose che non andavano (firefox+comodo+antivir) senza però avvisi di downlod files o altro, e nonostante tutti i tool mi dicano che sono pulito (process explorer è pulito, comodo non da connessioni attive se non quelle volute, cports non mi da porte in uso) non mi sento sicuro :rolleyes:

Ho fatto la scansione sia in modalità provvisoria (non per prevxcsi perchè mi chiede la connessione per aggiornare il db) che in normale con tutti, almeno 4/5 volte e ho sempre avuto risultato negativo.
L'unica cosa che non ho provato è http://www2.gmer.net/mbr/mbr.exe che proverò oggi in modalità normale e provvisoria.

Abbastanza paranoico?

Gestisco un sito su aruba che era stato infettato, e lo ho visitato quando mi segnalarono che c'erano cose che non andavano (firefox+comodo+antivir) senza però avvisi di downlod files o altro, e nonostante tutti i tool mi dicano che sono pulito (process explorer è pulito, comodo non da connessioni attive se non quelle volute, cports non mi da porte in uso) non mi sento sicuro :rolleyes:

Al massimo fai un giro con questo tool http://www.trendmicro.com/download/rbuster.asp

Al massimo fai un giro con questo tool http://www.trendmicro.com/download/rbuster.asp

Eee.. fatto sia in modalità normale che provvisoria, varie volte :-)

Eee.. fatto sia in modalità normale che provvisoria, varie volte :-)

Allora Paranoid Mode OFF :D

Allora Paranoid Mode OFF :D

provo mbr.exe giusto per sicurezzo :)

Prevx CSI reinstallato......responso Clean!:D
Mi sono letta le discussioni indicate dal Soldato "Generale" Chill-Out......Peer-Guardian installato :) ........riguardo Kaspersky è scaduta al licenza pensavo di sostiutirlo con di quelli free cosigliati nella guida!
Al suo segnale "Generale".......scateno l'inferno...........;) skerzo riattivo soltanto il ripristino conf. di sistema!

Grazie
MissF1:D

Allor chill, in modalità provvisoria ho probato mbr gmer e il tool segnalato qua sopra: tutto ok.
in modalità normale provati tutti i tool: tutto ok.
la connessione è stabile e al nas mi da 20 ms fissi senza sbalzi, non ci sono connessioni ne porte attive, mai e nessun processo strano.

Modalità paranoia 90% off :^

ciao chill;)
ti volevo segnalare questo tool (http://download.norman.no/public/removembrs.zip) per l'mbr e le relative istruzioni (http://www.norman.com/Virus/Virus_removal_tools/52382/it)

Prevx CSI reinstallato......responso Clean!:D
Mi sono letta le discussioni indicate dal Soldato "Generale" Chill-Out......Peer-Guardian installato :) ........riguardo Kaspersky è scaduta al licenza pensavo di sostiutirlo con di quelli free cosigliati nella guida!
Al suo segnale "Generale".......scateno l'inferno...........;) skerzo riattivo soltanto il ripristino conf. di sistema!

Grazie
MissF1:D

Ok riattiva, tra i gli Antivirus Free scegli Antivir senza indugiare

Allor chill, in modalità provvisoria ho probato mbr gmer e il tool segnalato qua sopra: tutto ok.
in modalità normale provati tutti i tool: tutto ok.
la connessione è stabile e al nas mi da 20 ms fissi senza sbalzi, non ci sono connessioni ne porte attive, mai e nessun processo strano.

Modalità paranoia 90% off :^

;)

ciao chill;)
ti volevo segnalare questo tool (http://download.norman.no/public/removembrs.zip) per l'mbr e le relative istruzioni (http://www.norman.com/Virus/Virus_removal_tools/52382/it)

Ciao, grazie mille ;)

Ciao, grazie mille ;)

Provato, sistema pulito :=)

Provato, sistema pulito :=)


Allora sei più paranoico di me :asd: a parte gli scherzi stavo leggendo le istruzioni, mi sembra di capire che l'utilizzo del tool è legato all'utizzo del Norman Antivirus

Edit: se rilascia un log potresti allegarlo

Allora sei più paranoico di me :asd: a parte gli scherzi stavo leggendo le istruzioni, mi sembra di capire che l'utilizzo del tool è legato all'utizzo del Norman Antivirus

Edit: se rilascia un log potresti allegarlo

Nessun log, apre una finestra dos con su scritto il risultato della scansione del solo mbr (ci mette 1 secondo), per me negativo.

Roger!:D

Grazie Mille x l'aiuto Chill-Out!
Buona Giornata!

MissF1

Roger!:D

Grazie Mille x l'aiuto Chill-Out!
Buona Giornata!

MissF1

Roger? chi è Roger? :asd:

Buona giornata anche a te :)

Ciao, ieri aprendo un link dei risultati di ricerca di google mi è successo di avere a che fare con questo cavolo di problema, avast me lo segnalava e ha rifatto la scansione all'avvio. Risultato: Clean, poi però all'avvia ritrovava lo stesso problema
Dr Web mi trovava un Trojan poi eliminato mai + apparso
Ho seguito poi una guida alla rimozione con mbr e dovrei averlo eliminato
Al momento ho anche totlo avast per evitare chepotesse essere un bug suo o un falso positivo, al momento non sembro avere + problemi, ma vorrei averne la conferma, allego a tale proposito il log di gmer (http://www.mediafire.com/?yuvimpykztj)

Ciao, ieri aprendo un link dei risultati di ricerca di google mi è successo di avere a che fare con questo cavolo di problema, avast me lo segnalava e ha rifatto la scansione all'avvio. Risultato: Clean, poi però all'avvia ritrovava lo stesso problema
Dr Web mi trovava un Trojan poi eliminato mai + apparso
Ho seguito poi una guida alla rimozione con mbr e dovrei averlo eliminato
Al momento ho anche totlo avast per evitare chepotesse essere un bug suo o un falso positivo, al momento non sembro avere + problemi, ma vorrei averne la conferma, allego a tale proposito il log di gmer (http://www.mediafire.com/?yuvimpykztj)

Se avessi seguito la guida sarebbe stato meglio, il log di Gmer sembra pulito, fai la scansione con Prevx CSI come indicato ed allega anche un log di questo tool http://www.trendmicro.com/download/rbuster.asp

PS: reinstalla il tuo Antivirus, anzi sarebbe l'occasione giusta per sostituirlo con Antivir Free http://www.hwupgrade.it/forum/showthread.php?t=1514684

ok, grazie, al momento stò ripetendo la scansione con Dr Web, appena finita faccio come mi hai consigliato e posto i log. Grazie mille e complimenti per la competenza

Di prevx ho la nuova versione e non so comesalvare il log, cmq mi da solo un falso positivo. Mi dice che un exe di un gioco è un malware.
Questi invece sono i log di
Dr Web: http://wikisend.com/download/588222/CureIt.log
RB: http://www.fileqube.com/shared/ZTWPXd25044
MBR: http://www.fileqube.com/shared/XmQsxgD25046

Di prevx ho la nuova versione e non so comesalvare il log, cmq mi da solo un falso positivo. Mi dice che un exe di un gioco è un malware.
Questi invece sono i log di
Dr Web: http://wikisend.com/download/588222/CureIt.log
RB: http://www.fileqube.com/shared/ZTWPXd25044
MBR: http://www.fileqube.com/shared/XmQsxgD25046

Pulito

Ragazzi ho una domanda importante!
un portatile di un mio collega ha un rootkit e molti altri virus, con avast ha eleiminato praticamente tutto quello che poteva togliere, ma ora windows non parte più e lui vorrebbe che gli salvo le foto che ha sul disco...
cosa potrei rischiare collegando quel disco al mio pc tramite un box esterno usb? il rootkit potrebbe infiltrarsi nel mio pc?
ho avast 4.8 aggiornatissimo e zone alarm free 7.XX aggiornatissimo...

Formattando comunque l'hard disk il rootkit sparisce?:confused:

Grazie dei chairimenti!
Ciao

Ragazzi ho una domanda importante!
un portatile di un mio collega ha un rootkit e molti altri virus, con avast ha eleiminato praticamente tutto quello che poteva togliere, ma ora windows non parte più e lui vorrebbe che gli salvo le foto che ha sul disco...
cosa potrei rischiare collegando quel disco al mio pc tramite un box esterno usb? il rootkit potrebbe infiltrarsi nel mio pc?
ho avast 4.8 aggiornatissimo e zone alarm free 7.XX aggiornatissimo...

Formattando comunque l'hard disk il rootkit sparisce?:confused:

Grazie dei chairimenti!
Ciao

Non avresti dovuto postare qui comunque leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1689812 cosi eviti di infettarti anche accidentalmente

Ok, allora se sono pulito posso stare tranquillo

Volevo però chiedere un'altra cosa, avast e avira possono convivere?

Inoltre volevo specificare una cosa su questo virus x utenti avast che mi è stata comunicata dall'assistenza avast stessa...per rimuoverla completamente va disinstallato avast con l'utility di disinstallazione fornita dal sito stesso: http://www.avast.com/eng/avast-uninstall-utility.html
e successivamente reinstallare l'antivirus
Il problema è dato dalla creazione di una dll nei file temporanei che rigenera l'infezione (per lo meno mi sembra di aver capito così)
Grazie mille per i consigli!!!

Ok, allora se sono pulito posso stare tranquillo

Direi di si

Volevo però chiedere un'altra cosa, avast e avira possono convivere?

Assolutamente no o Avast o Antivir

Inoltre volevo specificare una cosa su questo virus x utenti avast che mi è stata comunicata dall'assistenza avast stessa...per rimuoverla completamente va disinstallato avast con l'utility di disinstallazione fornita dal sito stesso: http://www.avast.com/eng/avast-uninstall-utility.html
e successivamente reinstallare l'antivirus
Il problema è dato dalla creazione di una dll nei file temporanei che rigenera l'infezione (per lo meno mi sembra di aver capito così)
Grazie mille per i consigli!!!

Una .dll c'entrava agli albori dell'infezione adesso le cose sono cambiate

salve,la PRIMA FASE,con Prevx CSI e gmer,lì devo fare in modalità provissoria o normale?

salve,la PRIMA FASE,con Prevx CSI e gmer,lì devo fare in modalità provissoria o normale?

Modalità normale

ho fatto la scansione.
con prevx csi,niente...
mentre con gmer mi ha trovato
in rosso-sector 00:MBR rootkit code detected
in nero-sector 32: rootkit-like behaviour
sector 61:malicious code @ sector 0x98a412b size 0x194
sector 62:copy of MBR
....ke mi dici?e kosa devo fare,andare avanti ancora?

ho fatto la scansione.
con prevx csi,niente...
mentre con gmer mi ha trovato
in rosso-sector 00:MBR rootkit code detected
in nero-sector 32: rootkit-like behaviour
sector 61:malicious code @ sector 0x98a412b size 0x194
sector 62:copy of MBR
....ke mi dici?e kosa devo fare,andare avanti ancora?

tutte e 4 nel disk/device/harddisk0/DR0

passa alla seconda fase e poi carica i 4 log

passa alla seconda fase e poi carica i 4 log

nella seconda fase,cosa significa" salvare il log prodorro come MBR1 ed allegalo per il controllo"?devo creare una cartella o cosa?e dove?ti prego scusami se son invadente,ma non sono troppo bravo in queste cose,ecco xkè te lo kiedo.

devi andare alla prima pagina della discussione e seguire le istruzioni della seconda fase

Devi semplicemente seguire le istruzioni, se no la Guida che cosa è stata scritta a fare. Innazitutto scarica Stealth MBR rootkit detector, mettilo direttamente nella Directory C:\ e riavvia il Pc in modalità provvisoria F8, dopodichè lancia il comando come indicato in Guida, il log lo metti dove vuoi, devi solo prestare attenzione a rinominarlo MBR1 - MBR2 etc...

PS: avresti dovuto allegare anche i log precedenti

questo è il mio log dopo la scansione con gmer....mentre con prevx csi non mi ha dato niente....http://wikisend.com/download/534928/gmer.log.....aspetto una vostra risposta.ke dite?e kosa devo fare poi?

questo è il mio log dopo la scansione con gmer....mentre con prevx csi non mi ha dato niente....http://wikisend.com/download/534928/gmer.log.....aspetto una vostra risposta.ke dite?e kosa devo fare poi?

Sei infetto ti ho già risposto qui http://www.hwupgrade.it/forum/showpost.php?p=22494591&postcount=209, devi semplicemente passare alla seconda fase

buon dììì....nella seconda fase ho seguito le istruzioni,ho messo nella director C:\....ho fatto star e poi esegui,ma non succede nulla.riprovo e riprovo,ma niente..come mai?kosa mi consigliate?:cry: :help:

buon dììì....nella seconda fase ho seguito le istruzioni,ho messo nella director C:\mbr.exe....ho fatto star e poi esegui,ma non succede nulla.riprovo e riprovo,ma niente..come mai?kosa mi consigliate?:cry: :help:...................................................................................

mbr crea un file log, cioè trovi in c: un file di testo nominato mbr che ti dice se sei infetto...

mbr crea un file log, cioè trovi in c: un file di testo nominato mbr che ti dice se sei infetto...

è veroooooo....grazieeeeeeee.......una domanda....dopo in modolità provvisoria devo digitare c:\mbr.exe-f?.....così devo scrivere?

salve ho fatto i primi tre punti delle seconda fase,e va tutto bien,penso...ma ho un problema con il 4 punto:

Symantec Trojan.Mebroot Removal Tool -> Download

vado alla pagina e mi dice ke " error: page not found........
.......:help: :help: :help: :help: :help: :help: :help: .........

dove posso scaricarlo?qualcuno sa dove scaricarlo?????....mi serve per completare la seconda fase.....AAIIIUUTTOOOOO.......aspetto vostre risposte...:cry: :cry: :cry: :cry: :cry: :cry:

ho completato la mia seconda fase,vi lascio i miei 4 log:

mbr1
http://wikisend.com/download/599878/mbr1.log

mbr2
http://wikisend.com/download/599996/mbr2.log

mbr3
http://wikisend.com/download/600012/mbr3.log

Symantec Trojan.Mebroot Removal Tool
http://wikisend.com/download/600090/FixMebroot.log

aspetto vostre notizie e mi fate sapere...cosa dite in riguardo a questi 4 log?infetto ancora?....e continuo con l'ultima fase?..........attendo....:help: :help: :help: :help: :help:

ho completato la mia seconda fase,vi lascio i miei 4 log:

mbr1
http://wikisend.com/download/599878/mbr1.log

mbr2
http://wikisend.com/download/599996/mbr2.log

mbr3
http://wikisend.com/download/600012/mbr3.log

Symantec Trojan.Mebroot Removal Tool
http://wikisend.com/download/600090/FixMebroot.log

aspetto vostre notizie e mi fate sapere...cosa dite in riguardo a questi 4 log?infetto ancora?....e continuo con l'ultima fase?..........attendo....:help: :help: :help: :help: :help:
premesso che non sei in una chat la prossima volta sei pregato di editare (= modificare) l'ultimo messaggio anzicchè scriverne a distanza di pochi minuti!

hai risolto con mbr3 ossia usando la funzione "mbr.exe -f" :p

ti kiedo scusa....ANZI A TUTTI...ma credimi quando non sei esperto come voi,è difficile tenere la calma,e fai le cose in fretta e in furia...mi sarà da lezione per la prossima volta....ancora scusa....allora senza ke la faccio la terza fase?e dimmi un altra cosa,xkè con internet explorer non mi apriva le pagine e quando le kiudevo usciva errore?invece con firefox,me lì apre tranquillamente,anke se ogni volta ke vado su answer,puntuale mi esce errore...xkè?.............ciao e riscusatemi ancora...:doh: :doh: :doh:

qui abbiamo solo corretto il MBR del disco non abbiamo fatto altro quindi ora apriti un bel thread e segui la semplice procedura descritta nella Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737), rispettando l'ordine nell'esecuzione e pubblicando tutti i log usando uno dei metodi censiti nelle Regole di Sezione. :)

ho fatto la prima fase nella guida alla disinfestazione....e fino al prevx csi,non ho trovato nessun malware....cosa mi consigli di fare,devo fare tutte le fasi( ADS Scanner 2.0, A-Squared Free v3.x,F-Secure OnLine,ecc...).
ke dici:)..................e come posso difendermi da un eventuale rootkit?io ho installato avast,spy-bot r zone allarm firewall.vanno bene questi???aspetto una vostra notizia...grazie mille

Salve ragazzi..chiedo aiuto per eliminare questo Rootkit!
Ho un portatile con hard disk partizionato, vista installato su c e xp su d, il tutto gestito tramite easyBcd.
Prevx mi trova questo rootkit (chiedo scusa per il log ma non sono riuscito a salvarlo, la mia è la versione v1.9):
ROOTKIT \\.\PhysicalDrive0\MBR Hidden Disk Sectors

Ho effettuato la scansione con Gmer, questo è il log:
http://www.fileqube.com/shared/wdhKXLFne28198
e anche da qui risulta..nei settore 00 e 61.

Ho tentato di provare la seconda fase..ma con scarsi risultati.
Ho effettuato i punti 1 2 e 3 con Stealth MBR rootkit detector, ma il log che esce è sempre lo stesso!
http://www.fileqube.com/shared/gQRDga28200
Ho provato in modalità provvisoria sia facendolo partire da c che da d!
Avete suggerimenti? Formattando solo la partizione d (dove c'è xp che uso di solito) posso risolvere qualcosa?
Grazie
Ho infine provato Symantec Trojan.Mebroot Removal Tool, ma quello che mi esce fuori è una finestra (tipo dos), dove c'è un cursore e lampeggia spostandosi senza fermarsi mai..

Aggiungo che il pc è un po di tempo che non va in stand-by da xp..non so se sia collegato o meno..
Mi scuso per il doppio post.

ho fatto la prima fase nella guida alla disinfestazione....e fino al prevx csi,non ho trovato nessun malware....cosa mi consigli di fare,devo fare tutte le fasi( ADS Scanner 2.0, A-Squared Free v3.x,F-Secure OnLine,ecc...).
ke dici:)..................e come posso difendermi da un eventuale rootkit?io ho installato avast,spy-bot r zone allarm firewall.vanno bene questi???aspetto una vostra notizia...grazie mille

Ma il log della scansione con CureIt dov'è?

Salve ragazzi..chiedo aiuto per eliminare questo Rootkit!
Ho un portatile con hard disk partizionato, vista installato su c e xp su d, il tutto gestito tramite easyBcd.
Prevx mi trova questo rootkit (chiedo scusa per il log ma non sono riuscito a salvarlo, la mia è la versione v1.9):
ROOTKIT \\.\PhysicalDrive0\MBR Hidden Disk Sectors

Ho effettuato la scansione con Gmer, questo è il log:
http://www.fileqube.com/shared/wdhKXLFne28198
e anche da qui risulta..nei settore 00 e 61.

Ho tentato di provare la seconda fase..ma con scarsi risultati.
Ho effettuato i punti 1 2 e 3 con Stealth MBR rootkit detector, ma il log che esce è sempre lo stesso!
http://www.fileqube.com/shared/gQRDga28200
Ho provato in modalità provvisoria sia facendolo partire da c che da d!
Avete suggerimenti? Formattando solo la partizione d (dove c'è xp che uso di solito) posso risolvere qualcosa?
Grazie
Ho infine provato Symantec Trojan.Mebroot Removal Tool, ma quello che mi esce fuori è una finestra (tipo dos), dove c'è un cursore e lampeggia spostandosi senza fermarsi mai..

Aggiungo che il pc è un po di tempo che non va in stand-by da xp..non so se sia collegato o meno..
Mi scuso per il doppio post.

Devi semplicemente leggere la Guida :read: ed allegare i relativi log, la seconda fase và fatta in modalità provvisoria

NB: i log non vanno zippati

Devi semplicemente leggere la Guida :read: ed allegare i relativi log, la seconda fase và fatta in modalità provvisoria

NB: i log non vanno zippati

Ho seguito la guida passo passo...ma niente! Ho fatto la seconda fase in modalità provvisoria..ma il mbr.exe non modifica proprio nulla. Non è che dipende da EasyBcd? Dato che ho due sistemi operativi, da dove devo far partire il file mbr.exe? Ecco i log

http://www.fileqube.com/shared/uyuvVMJ28223
http://www.fileqube.com/shared/lnqMmfETW28224
http://www.fileqube.com/shared/fYrMjAcIa28225

Chiedo scusa per il file zip di prima.

Ho seguito la guida passo passo...ma niente! Ho fatto la seconda fase in modalità provvisoria..ma il mbr.exe non modifica proprio nulla. Non è che dipende da EasyBcd? Dato che ho due sistemi operativi, da dove devo far partire il file mbr.exe? Ecco i log

http://www.fileqube.com/shared/uyuvVMJ28223
http://www.fileqube.com/shared/lnqMmfETW28224
http://www.fileqube.com/shared/fYrMjAcIa28225

Chiedo scusa per il file zip di prima.

Al Punto 2 dell Seconda fase hai dgitato C:\mbr.exe -f

Bellissima guida. Non mi è chiaro però che segni tangibili dia l'infezione.

Bellissima guida. Non mi è chiaro però che segni tangibili dia l'infezione.

Un rootkit, (lett. attrezzatura da root, nel senso di amministratore) è una tecnologia software in grado di occultare la propria presenza, relativa a un oggetto malevolo (processo, file, chiave di registro, porta di rete) all'utente o all'amministratore del computer, all'interno del sistema operativo.

http://it.wikipedia.org/wiki/Rootkit
http://www.pcalsicuro.com/main/2008/01/il-master-boot-record-rootkit-e-in-the-wild
http://www.pcalsicuro.com/main/2008/03/mbr-rootkit-nuovi-aggiornamenti

Al Punto 2 dell Seconda fase hai dgitato C:\mbr.exe -f
Si! esattamente mbr.exe -f...Perché non va?
Grazie per la risposta

Si! esattamente mbr.exe -f...Perché non va?
Grazie per la risposta

Se c'è scritto perchè non dovrebbe andare, allegami un nuovo log di Gmer ed il lnk per visualizzare il risultato di Prevx CSI* (*leggere le istruzioni in Guida)

Se c'è scritto perchè non dovrebbe andare, allegami un nuovo log di Gmer ed il lnk per visualizzare il risultato di Prevx CSI* (*leggere le istruzioni in Guida)

Io ho provato proprio con quel comando..
Ho disinstallato e reinstallato la versione più recente di prevx csi ma no riesco a prendere il log! Non c'è nessuna icona vicino la barra dove c'è l'orologio. In più ora non rileva nessun malware..pero Gmer si ..questo è il log:
http://www.fileqube.com/shared/IUgvNPIW28235

mentre questo è quello che risulta da mrb.exe adesso:
http://www.fileqube.com/shared/RlpsfsIlF28236

Ho riletto tutta la guida e ritentato..ma niente!

Io ho provato proprio con quel comando..
Ho disinstallato e reinstallato la versione più recente di prevx csi ma no riesco a prendere il log! Non c'è nessuna icona vicino la barra dove c'è l'orologio. In più ora non rileva nessun malware..pero Gmer si ..questo è il log:
http://www.fileqube.com/shared/IUgvNPIW28235

mentre questo è quello che risulta da mrb.exe adesso:
http://www.fileqube.com/shared/RlpsfsIlF28236

Ho riletto tutta la guida e ritentato..ma niente!

Fai girare questo tool
http://www.trendmicro.com/download/rbuster.asp

Fai girare questo tool
http://www.trendmicro.com/download/rbuster.asp

questo è il risultato
http://www.fileqube.com/shared/yJCwqD28618

Però il log di mrb è sempre questo
http://www.fileqube.com/shared/eytZZAm28621

Mi dici la lettera corrispondente all'installazione del SO, forse D?

ma il tool della symantec da dove si scarica?

ma il tool della symantec da dove si scarica?

và ad intermittenza, sembra stiano facendo aggiornamenti.

Edit: l'ho uppato qui http://www.fileqube.com/shared/XOaoorPz28674

Mi dici la lettera corrispondente all'installazione del SO, forse D?
Si xp è su d ed è quello che uso..credo che l'abbia preso proprio qui

Si xp è su d ed è quello che uso..credo che l'abbia preso proprio qui

Metti Stealth Rootkit detector in D:\
digitare D:\mbr.exe -f e cliccate su OK

salve ho fatto la scansione e mi ha trovato un virus nella cartella C:\Programmi\Macrogaming\SweetIMBarForIE e il file infetto era toolbar.dll....dopo aver corretto il file ora si kiama toolbar.crc.......ke dici?e un altra cosa,come posso difendermi da un eventuale attacco di questo rootkit?aspetto vostre risposte....e in + vi ringrazio ad avermi aiutato a sconfiggere questo rootkit,siete unici e impagabili....complimenti a ki mi ha dato una mano.....GRAZIE MILLE :D :D

salve ho fatto la scansione e mi ha trovato un virus nella cartella C:\Programmi\Macrogaming\SweetIMBarForIE e il file infetto era toolbar.dll....dopo aver corretto il file ora si kiama toolbar.crc.......ke dici?e un altra cosa,come posso difendermi da un eventuale attacco di questo rootkit?aspetto vostre risposte....e in + vi ringrazio ad avermi aiutato a sconfiggere questo rootkit,siete unici e impagabili....complimenti a ki mi ha dato una mano.....GRAZIE MILLE :D :D

Vorrei vedere il log se possibile

ma è normale che dopo aver usato mbr.exe a scopo di rilevazione nel pc ci siano queste voci?

Autoruns

mbr File not found: C:\DOCUME~1\UTENTE\IMPOST~1\Temp\mbr.sys




---- Kernel code sections - GMER 1.0.14 ----


? C:\DOCUME~1\UTENTE\IMPOST~1\Temp\mbr.sys Impossibile trovare il file specificato. !

---- EOF - GMER 1.0.14 ----

chiavi nel registro

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mbr]
"Type"=dword:00000001
"ErrorControl"=dword:00000001
"Start"=dword:00000003


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mbr\Enum]
"0"="Root\\LEGACY_MBR\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001



Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\mbr]
"Type"=dword:00000001
"ErrorControl"=dword:00000001
"Start"=dword:00000003


tra l'altro mi appaiono pure dei problemi durante il caricamento delle impostazioni del bios, problemi che assomigliano a quelli che si verificano quando la batteria tampone è scarica ma che sono apparsi dopo aver eseguito mbr.exe

tempo fa avevo avuto un problema simile ma che era causato, credo, da driver, ma dopo aver formattato e reinstallato tutto il problema era sparito, ora il problema riappare dopo un anno, proprio il giorno dopo aver eseguito mbr.exe

strana coincidenza o mbr.exe ha pasticciato qualcosa?

ma è normale che dopo aver usato mbr.exe a scopo di rilevazione nel pc ci siano queste voci?

Autoruns

mbr File not found: C:\DOCUME~1\UTENTE\IMPOST~1\Temp\mbr.sys




---- Kernel code sections - GMER 1.0.14 ----


? C:\DOCUME~1\UTENTE\IMPOST~1\Temp\mbr.sys Impossibile trovare il file specificato. !

---- EOF - GMER 1.0.14 ----

chiavi nel registro

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mbr]
"Type"=dword:00000001
"ErrorControl"=dword:00000001
"Start"=dword:00000003


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mbr\Enum]
"0"="Root\\LEGACY_MBR\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001



Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\mbr]
"Type"=dword:00000001
"ErrorControl"=dword:00000001
"Start"=dword:00000003


tra l'altro mi appaiono pure dei problemi durante il caricamento delle impostazioni del bios, problemi che assomigliano a quelli che si verificano quando la batteria tampone è scarica ma che sono apparsi dopo aver eseguito mbr.exe

tempo fa avevo avuto un problema simile ma che era causato, credo, da driver, ma dopo aver formattato e reinstallato tutto il problema era sparito, ora il problema riappare dopo un anno, proprio il giorno dopo aver eseguito mbr.exe

strana coincidenza o mbr.exe ha pasticciato qualcosa?

Che ci siano è normale che possa aver dato problemi non lo escludo a priori, certo però che la coincidenza è strana.

con i computer le coincidenze non sono mai troppo strane

ma basta qualche cambiamento e tac viene fuori un errore, una schermata blu, un comportamento strano

un pc è fatto di pezzi eterogenei e basta un niente a mandare a donnine allegre tutto l'ambaradan

appena integro il sp 3 reinstallo tutto e vedo se il problema sparisce anche questa volta

comunque mbr.exe non dovrebbe andare a toccare il bios

in teoria un problema di checksum del bios dovrebbe derivare 9 volte su 10 da problemi della batteria ed una formattazione e reinstallazione non dovrebbe quindi risolvere nulla, giusto?

con i computer le coincidenze non sono mai troppo strane

ma basta qualche cambiamento e tac viene fuori un errore, una schermata blu, un comportamento strano

un pc è fatto di pezzi eterogenei e basta un niente a mandare a donnine allegre tutto l'ambaradan

esatto non sono mai troppo strane

appena integro il sp 3 reinstallo tutto e vedo se il problema sparisce anche questa volta

Ok

comunque mbr.exe non dovrebbe andare a toccare il bios

in teoria un problema di checksum del bios dovrebbe derivare 9 volte su 10 da problemi della batteria ed una formattazione e reinstallazione non dovrebbe quindi risolvere nulla, giusto?

Direi proprio di no

ecco il log di cureIt...scusa del ritardo ma non sapevo dove si era messo il documento....scusami...

http://wikisend.com/download/570324/CureIt.log

allora?ke dici? :) :) :)

il log è pulito ma la scansione non è completa o sbaglio?

il log è pulito ma la scansione non è completa o sbaglio?


la scansione completa la devo fare sempre con cureIt?o dimmi te?grazie...:)

si con cureit devi fare quella completa

si con cureit devi fare quella completa

ok...ora la faccio e vi farò sapere tramite il mio log.