Buonasera a tutti, mi sono beccato un altro rootkit a distanza di un paio di mesi :cry: (http://www.hwupgrade.it/forum/showthread.php?t=2201853&page=3).

Malwarebytes Anti-Malware: non rileva nulla
L'ottimo Dr.Web: non ha trovato nulla, neppure in modalità personalizzata (più approfondita su C)
Antivir trova nulla se lo lancio.
Norman Sinowal Cleaner: fa scattare antivir, gli dico CANCELLA ma poi tutto ritorna come prima.

PrevX3.0 trova appena avvio il PC ma non me lo fa cancellare (per cancellare è richiesta la licenza).
Su questo sito c'è scritto "NB: Prevx oltre a rilevare l'infezione, ci permette di rimuoverla gratuitamente (F = Free to cleanup) per farlo è sufficiente ripetere la scansione e cliccare su Cleanup Now dopo aver disabilitato l'antivirus, importante salvare entrambi i log pre e post rimozione."
Ma io quando premo F, dopo aver disabilitato antivir non succede nulla.
FOTO PREVX 3.0 (http://yfrog.com/0jnuovaimmdaginej)

L'unico che sembra rilevare alla grande il tutto è GMER. Ma attenzione. Li rileva, mi chiede se voglio fare una scansione completa, io dico SI e dopo pochi secondi che è partita la scansione si riavvia il pc (provato già 3 volte).

FOTO GMER (http://img38.imageshack.us/img38/4952/nuovaimrmagine1.jpg)

Come posso procedere?
GRAZIE

PrevX3.0 trova appena avvio il PC ma non me lo fa cancellare (per cancellare è richiesta la licenza).
Su questo sito c'è scritto "NB: Prevx oltre a rilevare l'infezione, ci permette di rimuoverla gratuitamente (F = Free to cleanup) per farlo è sufficiente ripetere la scansione e cliccare su Cleanup Now dopo aver disabilitato l'antivirus, importante salvare entrambi i log pre e post rimozione."
Ma io quando premo F, dopo aver disabilitato antivir non succede nulla.
FOTO PREVX 3.0 (http://yfrog.com/0jnuovaimmdaginej)

La rimozione gratuita è inerente quella infezione nello specifico, come puoi notare tu stesso nello Status puoi leggere L = License required to clean


Come posso procedere?
GRAZIE

ti suggerisco di seguire esattamente nell'ordine indicato la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

PS:
servono i log in formato testo di tutti i tool indicati in Guida, prima di ripetere scansione con MBAM premurati di aggiornare il database delle signature virali, DrWeb CureIt lo devi riscaricare.

Ciao Chill-out ;) , ecco i primi log dopo oltre 2 ore di scansione.

Adesso vado avanti con Dr.Web e MBAM.

FOTO GMER (http://img38.imageshack.us/img38/4952/nuovaimrmagine1.jpg)
LOG GMER (http://wikisend.com/download/479318/GMER.log) (confermo che se gli dico fai scansione a tutto il sistema si riavvia il PC dopo pochi secondi).

FOTO PrevX (http://yfrog.com/0jnuovaimmdaginej)
LOG PrevX (http://wikisend.com/download/585278/PrevX.log)

LOG hijackthis (http://wikisend.com/download/451526/hijackthis.log)

LOG Norman Sinowal Cleaner (http://wikisend.com/download/679878/Norman_Sinowal_Cleaner.log)

RETTIFICA: facendo la scansione completa con Malwarebytes trova 1 file infetto nel filesystem. Gli dico cancella, lui dice che è necessario riavviare il pc ma dopo, appena riavviato, PrevX subito rileva lo stesso rootkit.

LOG MBAM (http://wikisend.com/download/488398/mbamlog.txt)

Adesso lancio Dr.Web, poi io dovrei aver finito e aspetto tue indicazioni. GRAZIE

LOG Dr.WEB scansione lunga su tutto C (http://wikisend.com/download/458402/cureit%20filtrato.txt)
Ha trovato 1 trojan, gli ho detto di eliminarlo ma poi al riavvio è tutto come prima (PrevX trova il rootkit)

Mi sono permesso di seguire la strada mbr.exe, ma ad ogni successiva scansione, anche dalla modalità provvisoria il risultato è sempre:

C:\>mbr.exe
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x04A891C1
malicious code @ sector 0x04A891C4 !
PE file found in sector at 0x04A891DA !

Quindi c'è qualcosa che non va? (il rootkit rimane ma mi sembra non nell'MBR). Che diavolo ho? Cosa fare?

Quindi c'è qualcosa che non va? (il rootkit rimane ma mi sembra non nell'MBR). Che diavolo ho? Cosa fare?

Quanto indicato qui http://www.hwupgrade.it/forum/showpost.php?p=32787347&postcount=2