Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[MaxX 84]

Quote:

Originariamente inviato da Chill-Out

Ciao, ripeti scansione con Prevx e procedi con il cleanup, successivamente allega i log inerenti la Seconda Fase.

Fatto.
Ripetuta la scansione mi dava 2 infezioni!!! (e prima una! boh, è preoccupante o può essere?)
Fatto sta che ho rimosso e questa volta non mi ha fatto riavviare il pc.
Poi: l'mbr detector l'ho fatto in modalità provvisioria come hai detto, ma i passi successivi li ho fatti in modalità normale e questi sono i log:

http://wikisend.com/download/697692/mbr.log
http://wikisend.com/download/536772/...1_23-44-16.log

Poi ho scaricato anche il cure.it e ha trovato 4 infezioni. Ho scelto "cura", ma non so se sono cancellate definitivamente. Ho salvato il log, ma poi ho notato che ne aveva salvato un altro automaticamente. Siccome ho notato che sono diversi, li linko tutti e 2:

http://wikisend.com/download/445348/DrWeb.csv
http://wikisend.com/download/497860/CureIt.log

A questo punto cosa faccio? Riavvio il pc? Per controllare se sono ancora infetto faccio una scansione con uno di questi programmi o uso il mio avg 8.5?
Le cartelle dell'help assistant le cancello manualmente?

[Chill-Out]

Quote:

Originariamente inviato da MaxX 84

Fatto.
Ripetuta la scansione mi dava 2 infezioni!!! (e prima una! boh, è preoccupante o può essere?)
Fatto sta che ho rimosso e questa volta non mi ha fatto riavviare il pc.
Poi: l'mbr detector l'ho fatto in modalità provvisioria come hai detto, ma i passi successivi li ho fatti in modalità normale e questi sono i log:

http://wikisend.com/download/697692/mbr.log
http://wikisend.com/download/536772/...1_23-44-16.log

Poi ho scaricato anche il cure.it e ha trovato 4 infezioni. Ho scelto "cura", ma non so se sono cancellate definitivamente. Ho salvato il log, ma poi ho notato che ne aveva salvato un altro automaticamente. Siccome ho notato che sono diversi, li linko tutti e 2:

http://wikisend.com/download/445348/DrWeb.csv
http://wikisend.com/download/497860/CureIt.log

A questo punto cosa faccio? Riavvio il pc? Per controllare se sono ancora infetto faccio una scansione con uno di questi programmi o uso il mio avg 8.5?
Le cartelle dell'help assistant le cancello manualmente?

Ok, procedi così:

Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer - Utenti e gruppi locali - Users


Tasto dx del mouse su HelpAssistant - Poprietà - metti il segno di spunta su Account disabilitato - apri il TAB Membro di se HelpAssistant è all'interno del box bianco selezionalo e rimuovilo cliccando sul tasto Rimuovi

Applica e OK

Riavvia il PC, elimina la cartella HelpAssistant ed allega nuovo log di Prevx, ciao.

[Enogar]

Ciao a tutti scusatemi se ieri ho aperto un'altra discussione anzichè postare qui.

Sintomi: crash del pc, lentezza, crash di firefox, crash di download di pochi mega, schermate blu di windows, crash di scan anti-rootkit anche in modalità provvisoria (prevx, norman sinowal, drweb), creazione cartella HelpAssistant in documents and settings.

Vi allego come da richiesto nella discussione poi chiusa i log di Gmer e Prevx

Gmer.txt

Prevx.log

Grazie a tutti per qualsiasi aiuto

[Chill-Out]

Quote:

Originariamente inviato da Enogar

Ciao a tutti scusatemi se ieri ho aperto un'altra discussione anzichè postare qui.

Sintomi: crash del pc, lentezza, crash di firefox, crash di download di pochi mega, schermate blu di windows, crash di scan anti-rootkit anche in modalità provvisoria (prevx, norman sinowal, drweb), creazione cartella HelpAssistant in documents and settings.

Vi allego come da richiesto nella discussione poi chiusa i log di Gmer e Prevx

Gmer.txt

Prevx.log

Grazie a tutti per qualsiasi aiuto

Procedi pure con la Seconda e Terza fase ed allega i log

[Enogar]

Quote:

Originariamente inviato da Chill-Out

Procedi pure con la Seconda e Terza fase ed allega i log

Putroppo non sono più in grado di riavviare il pc in modalità provvisoria (per poter usare Mbr.exe) da quando ho usato combofix perchè ha installato la console di rispristino, come posso fare?

[Chill-Out]

Quote:

Originariamente inviato da Enogar

Putroppo non sono più in grado di riavviare il pc in modalità provvisoria (per poter usare Mbr.exe) da quando ho usato combofix perchè ha installato la console di rispristino, come posso fare?

Leggi qui http://www.hwupgrade.it/forum/showpo...0&postcount=19

[Enogar]

Quote:

Originariamente inviato da Chill-Out

Procedi pure con la Seconda e Terza fase ed allega i log

Sono riuscito a riavviare in modalità provvisoria ecco i log della seconda fase:

mbr.log

NFix_2009-12-02_17-55-00.log

Non sono sicuro di riuscire a completare la terza fase perchè finora Dr.Web CureIt! crasha sempre prima di finire la scansione express...sia in modalità normale che provvisoria, comunque ci riprovo

[Enogar]

Confermo i crash quando avvio dr.web.
Questa volta appena clicco su avvia in modalità sia normale che provvisoria il pc si riavvia!!!

[wjmat]

Quote:

Originariamente inviato da Enogar

Confermo i crash quando avvio dr.web.
Questa volta appena clicco su avvia in modalità sia normale che provvisoria il pc si riavvia!!!

dopo f8 scegli disattiva riavvio automatico in caso d'errore cos' ci puoi riportare il codice d'errore della schemata blu

[Enogar]

Quote:

Originariamente inviato da wjmat

dopo f8 scegli disattiva riavvio automatico in caso d'errore cos' ci puoi riportare il codice d'errore della schemata blu

Fatto, ma il pc sempre dopo qualche secondo dal click su avvia si comporta come se avessi schiacciato reset sul case...e riparte...nessuna schermata blu, la schermata blu mi appare solo se provo a giocare...(premetto che il pc ha solo 1 anno di vita...sigh)
Ho provato a far partire il file inserendolo in una penna usb sia in modalità normale che provvisoria, ma il risultato è lo stesso...

Sono riuscito a farlo partire solo qualche volta prima di scrivere nel forum, ma non finiva mai la scansione express se volete posto il log di quella scansione...però non è completa...

[crips]

Ciao visto i problemi con DrWeb perchè non provi con uno scansione con questo programma?
Lo lanci in modalità normale e con connessione internet attiva.
Nella versione free non elimina tutto ma se è hai un rootkit nel MBR dovrebbe aiutarti e ripulirlo.
http://www.prevx.com/homeandfamilyus...=free#boxxfree

Qui trovi una guida ben fatta:
http://www.hwupgrade.it/forum/showthread.php?t=1923599

Ciao

[Enogar]

Quote:

Originariamente inviato da crips

Ciao visto i problemi con DrWeb perchè non provi con uno scansione con questo programma?
Lo lanci in modalità normale e con connessione internet attiva.
Nella versione free non elimina tutto ma se è hai un rootkit nel MBR dovrebbe aiutarti e ripulirlo.
http://www.prevx.com/homeandfamilyus...=free#boxxfree
Ciao

Ti ringrazio molto, ma prevx l'ho già utilizzato e ho postato il log qualche post fa putroppo il problema permane

Chill-Out che cosa posso fare?
Si vede qualcosa dai log che ho postato?

[crips]

Che problemi ha il tuo pc adesso?
Te lo chiedo perchè anche io ho avuto Il settore MBR con il rootkit.
Ho fatto mille e mille scansioni con i più svariati tool, ma l'unico che mi dava ancora infetto il settore MBR era mbr.exe
Il mio computer va bene, ma se eseguo mbr.exe mi da ancora quel messaggio.
Può accadere che rimangano delle traccie nel MBR ma se il computer non ti da problemi potresti essere come hanno definito il sottoscritto: un portatore sano.

Fai alcune scansioni con:
[http://www.softpedia.com/get/Antivir...t-Buster.shtml
http://www.softpedia.com/get/Antivir...val-Tool.shtml
http://www.softpedia.com/get/Antivir...NT-2K-XP.shtml

e se dopo questi non trovi nulla io credo puoi stare tranquillo.

[crips]

Ah dimenticavo, anche io avevo HelpAssitant
Una procedura semplice ma utila dopo la disfenzione da HelpAssistant si è rivelata essere questa nel mio caso:

Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO


Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan.
Aspetta pazientemente la fine della scansione.
se venissero rilevati ADS, spunta tutte (senza paura) le caselline e clicca su Remove selected

Riavvia il pc.



Fai uno ScanDisk , e una deframmentazione del HD.

Il tuo antivirus riesce ad eseguire gli aggiornamenti?

[Enogar]

Quote:

Originariamente inviato da crips

Che problemi ha il tuo pc adesso?
Te lo chiedo perchè anche io ho avuto Il settore MBR con il rootkit.
Ho fatto mille e mille scansioni con i più svariati tool, ma l'unico che mi dava ancora infetto il settore MBR era mbr.exe
Il mio computer va bene, ma se eseguo mbr.exe mi da ancora quel messaggio.
Può accadere che rimangano delle traccie nel MBR ma se il computer non ti da problemi potresti essere come hanno definito il sottoscritto: un portatore sano.

Fai alcune scansioni con:
[http://www.softpedia.com/get/Antivir...t-Buster.shtml
http://www.softpedia.com/get/Antivir...val-Tool.shtml
http://www.softpedia.com/get/Antivir...NT-2K-XP.shtml

e se dopo questi non trovi nulla io credo puoi stare tranquillo.

Purtoppo il pc continua a bloccarsi in internet, ad essere lento, a crashare dopo qualche minuto dall'avvio di qualche programma...in definitiva dall'oggi al domani è diventato instabile...!

[wjmat]

Quote:

Originariamente inviato da Enogar

Fatto, ma il pc sempre dopo qualche secondo dal click su avvia si comporta come se avessi schiacciato reset sul case...e riparte...nessuna schermata blu, la schermata blu mi appare solo se provo a giocare...(premetto che il pc ha solo 1 anno di vita...sigh)
Ho provato a far partire il file inserendolo in una penna usb sia in modalità normale che provvisoria, ma il risultato è lo stesso...

Sono riuscito a farlo partire solo qualche volta prima di scrivere nel forum, ma non finiva mai la scansione express se volete posto il log di quella scansione...però non è completa...

avevo capito male io in che momento si riavviava
disabilita il riavvio automatico su XP
Pannello di controllo -> Sistema -> Avanzate -> Avvio e ripristino -> Impostazioni
togli il segno di spunta da "riavvia automaticamente in caso di errore"

[wjmat]

Quote:

Originariamente inviato da crips

Che problemi ha il tuo pc adesso?
Te lo chiedo perchè anche io ho avuto Il settore MBR con il rootkit.
Ho fatto mille e mille scansioni con i più svariati tool, ma l'unico che mi dava ancora infetto il settore MBR era mbr.exe
Il mio computer va bene, ma se eseguo mbr.exe mi da ancora quel messaggio.
Può accadere che rimangano delle traccie nel MBR ma se il computer non ti da problemi potresti essere come hanno definito il sottoscritto: un portatore sano.

Fai alcune scansioni con:
[http://www.softpedia.com/get/Antivir...t-Buster.shtml
http://www.softpedia.com/get/Antivir...val-Tool.shtml
http://www.softpedia.com/get/Antivir...NT-2K-XP.shtml

e se dopo questi non trovi nulla io credo puoi stare tranquillo.

Quote:

Originariamente inviato da crips

Ah dimenticavo, anche io avevo HelpAssitant
Una procedura semplice ma utila dopo la disfenzione da HelpAssistant si è rivelata essere questa nel mio caso:

Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO


Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan.
Aspetta pazientemente la fine della scansione.
se venissero rilevati ADS, spunta tutte (senza paura) le caselline e clicca su Remove selected

Riavvia il pc.



Fai uno ScanDisk , e una deframmentazione del HD.

Il tuo antivirus riesce ad eseguire gli aggiornamenti?

ciao

c'è una guida già ben collaudata, perchè andare a fare altre operazioni inutili per questo specifico problema?

[crips]

Ciao.
Sì ho letto la guida molto ben fatta come del resto le altre in questo forum.
Cercavo soltanto di aiutare un amico in difficoltà portando la mia diretta esperienza avendo avuto lo stesso suo problema e non è detto che siano operazioni inutili.

Fixmbr non ha avuto successo, l'ha fatto partire ma il trojan è sempre là. Allora significa che c'è qualcos'altro che dà linfa al codice del MBR.
Il MBR (Master Boot Record) è il settore più importante del disco rigido, è il settore 0 (il primo settore), misura 512 byte e al suo interno risiedono il primo stadio del bootloader (446 byte), la tabella di partizione (64 byte), che è la mappatura delle partizioni primarie del disco su cui è fisicamente installato e la signature della tabella di partizione (2 byte, solitamente sempre 55AA per sistemi PC).
Per questo gli ho suggerito intanto di fare una deframmentazione al disco infetto. Dopo la deframmentazione un controllo del disco con scandisk. Il trojan non ha bisogno di filesystem per vivere, e quindi non lo puoi nè vedere nè cancellare. Sembrano stupidate, ma se facciamo lavorare il disco c'è una probabilità che il settore infetto (25 byte di dimensione) venga sovrascritto. Se ho ragione, e i settori infetti vengono sovrascritti, sovrascriverai il rootkit, e tanti saluti. Poi, senza riavviare il sistema rifai fixmbr e mbr.exe -f.

Se così non funziona si potrebbe provare un wiper per ripulire lo spazio non utilizzato da file:
http://www.snapfiles.com/get/ultrawipe.html
Si installa, si apre clic su "Advanced Functions", seleziona il disco in cui sta il rootkit, fai clic su "Wipe free space" e premi OK. Ci starà un po' di tempo ma vediamo quello che succede.

[Enogar]

Quote:

Originariamente inviato da wjmat

avevo capito male io in che momento si riavviava
disabilita il riavvio automatico su XP
Pannello di controllo -> Sistema -> Avanzate -> Avvio e ripristino -> Impostazioni
togli il segno di spunta da "riavvia automaticamente in caso di errore"

ehm...fatto ma si spegne e riparte lo stesso come prima, sempre dopo qualche secondo dopo aver cliccato su avvia del programma dr.web...

[wjmat]

Quote:

Originariamente inviato da Enogar

ehm...fatto ma si spegne e riparte lo stesso come prima, sempre dopo qualche secondo dopo aver cliccato su avvia del programma dr.web...

i log di gmer e prevx mi sembravano puliti
chill ti ha consigliato di proseguire sia per prassi che per scrupolo
dal log di mbr si vede qualcosa ma non è detto che mbr sia ancora infetto, potrebbero essere tracce di un infezione passata

i tuoi problemi non possono essere riconducibili a problemi hardware?