Problema MBR

[Pipetto]

Ho seguito quanto era stato detto di fare in altro post a proposito di MBR e ho scoperto che qualcosa non andava.....Ho seguito la procedura suggerita ma questo é quanto si é verificato:

Quando provo ad avviare la console di ripristino questa si apre ma dopo poco compare una schermata blu con una scritta poco rassicurante che dice:

"Si é verificato un problema e windows é stato arrestato....ecc. ecc............Rimuovere i virus....ecc.ecc.......

Eseguire CHKDSK/F per verificare che il disco rigido non sia danneggiato

*** STOP: 0x0000007B (0xF78DA63C, 0x0000034, 0x00000000, 0x00000000)"

A questo punto devo spegnere il pc con il tastino.

Ho rifatto la prcedura di Bootkit e dopo quanto ti ho scritto prima dice ancora:

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot boot sector:
remove.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command: remover.exe fix <device_name>

Un apiccola aggiunta: Combofix all'inizio mi ha detto di chiudere tutto e così ho fatto ma poi insisiteva nel dire che dovevo rimuovere anche Antivir Desktop....cosa che non mi risulta avere e che non ho trovato da nessuna parte.

Avevo mandato questo ad Amvinfe in PM ma penso sia bello cotto dagli orari di lavori. Marco.....non me ne volere....sei sempre il mio oracolo!!!

[menatwork]

ciao Pipetto

per ora Amnife non e' online se ti accontenti posso provare a darti una mano

hai gia' utilizzato combofix? se si puoi postare il suo log?

[Pipetto]

Certo....era una battuta la mia.

Allora prima faccio una scansione con Combofix?

[menatwork]

Allora prima faccio una scansione con Combofix?

si ma prima di farla disattiva l'antivirus e ricorda di riattivarlo alla fine della scansione

se ti chiede di installare la recovery console clicca su NO

disconnettiti dalla rete ed esegui combofix

alla fine carica ill rapporto su un server, non incollarlo

[Pipetto]

Eccolo:

http://wikisend.com/download/474776/ComboFix.txt

ComboFix.txt

Non so mai quale devo mettere dei due.

P.S.: Se mi vedi sempre online é perché ho 2 pc quindi quando faccio scansioni con uno mi collego con l'altro.

[menatwork]

combofix non segnala niente riguardo l'mbr infetto.....riesco solo a vedere un file che dopo analizzaremo

ora fai questo controllo

scarica mbr.exe in C:\

Riavvia il computer in modalità provvisoria:

all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8. Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^

Da Start - Esegui - digita C:\mbr.exe e clicca su OK

Posta il log che troverai in C:\ come mbr.log

[amvinfe]

Originariamente inviato da Pipetto
.......................

Avevo mandato questo ad Amvinfe in PM ma penso sia bello cotto dagli orari di lavori. Marco.....non me ne volere....sei sempre il mio oracolo!!!

Figurati

Appena trovo il tempo, fra domani e, al massimo, lunedì mattina rispondo via mail alle domande relative agli altri problemi.

Ciao

[Pipetto]

Amvin ....lo sai....no problem....quando puoi e se puoi....bene....altrimenti si pazienta.


Manatwork :

Ecco il log:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Ieri ho fatto fare una scandione approfondita a Nod32 e mi aveva beccato questo:

C:\System Volume Information\_restore{63F94202-1402-403F-8AF8-12B492080B4A}\RP23\A0005743.exe probabilmente una variante di Win32/Genetik trojan horse


Manatwork....quello che mi hai detto di fare l'ho fatto come utenete.....Dovevo farlo come amministratore? Ho visto che mi chiedeva una password ma non ricordo di averne mai messa una.

[menatwork]

perche' dici di avere dei problemi nel m.b.r.? nel log non c'e' niente e' a posto

Ieri ho fatto fare una scandione approfondita a Nod32 e mi aveva beccato questo: C:\System Volume Information\_restore{63F94202-1402-403F-8AF8-12B492080B4A}\RP23\A0005743.exe probabilmente una variante di Win32/Genetik trojan horse

e' relativo al ripristino per eliminarlo basta disattivarlo

Start --> programmi --> accessori --> utilita' di sistema --> ripristino configurazioni di sistema --> impostazioni ripristino configurazioni di sistema --> Disattiva ripristino!

riavvia il pc

riattivalo e crea un nuovo punto

mi dici che problemi riscontri al momento?

[Pipetto]

Nei post di altro problema relativo ad altro utente dicevi che con Bootkit deve venire fuori la scritta verde che dice Ok riguardo a all'Mbr mentre invece a me viene fuori come ho scritto all'inizio questo:

Unknown boot code in giallino e poi sotto questo:

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot boot sector:
remove.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command: remover.exe fix <device_name>



Intanto riavvio e poi mi dici come creare un nuovo punto di ripristino.

Ho il forte sospetto di avere una sorta di controllo di quello che faccio nel pc e con Marco é da un po' che dobbiamo dobbiamo eliminare un file o una chiave di registo sospetta ma ce non riusciamo a trovare.