Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[wjmat]

Quote:

Originariamente inviato da crips

Ciao.
Sì ho letto la guida molto ben fatta come del resto le altre in questo forum.
Cercavo soltanto di aiutare un amico in difficoltà portando la mia diretta esperienza avendo avuto lo stesso suo problema e non è detto che siano operazioni inutili.

Fixmbr non ha avuto successo, l'ha fatto partire ma il trojan è sempre là. Allora significa che c'è qualcos'altro che dà linfa al codice del MBR.
Il MBR (Master Boot Record) è il settore più importante del disco rigido, è il settore 0 (il primo settore), misura 512 byte e al suo interno risiedono il primo stadio del bootloader (446 byte), la tabella di partizione (64 byte), che è la mappatura delle partizioni primarie del disco su cui è fisicamente installato e la signature della tabella di partizione (2 byte, solitamente sempre 55AA per sistemi PC).
Per questo gli ho suggerito intanto di fare una deframmentazione al disco infetto. Dopo la deframmentazione un controllo del disco con scandisk. Il trojan non ha bisogno di filesystem per vivere, e quindi non lo puoi nè vedere nè cancellare. Sembrano stupidate, ma se facciamo lavorare il disco c'è una probabilità che il settore infetto (25 byte di dimensione) venga sovrascritto. Se ho ragione, e i settori infetti vengono sovrascritti, sovrascriverai il rootkit, e tanti saluti. Poi, senza riavviare il sistema rifai fixmbr e mbr.exe -f.

Se così non funziona si potrebbe provare un wiper per ripulire lo spazio non utilizzato da file:
http://www.snapfiles.com/get/ultrawipe.html
Si installa, si apre clic su "Advanced Functions", seleziona il disco in cui sta il rootkit, fai clic su "Wipe free space" e premi OK. Ci starà un po' di tempo ma vediamo quello che succede.

non so se sei stato curato o sei il "curatore" di megalab
però wipe e deframmentazioni in questo caso non servono a nulla

[Enogar]

Quote:

Originariamente inviato da wjmat

i tuoi problemi non possono essere riconducibili a problemi hardware?

Non credo proprio anche perchè da un giorno all'altro sono iniziati i problemi...da quando sono entrato in un sito e nod32 mi ha rilevato un virus, ho eseguito la procedura consigliata da nod e poi quando il giorno dopo ho riacceso il pc mi sono trovato tutti questi bei problemi compresa l'incompatibilità con windows messenger live che crashava ad ogni avvio e l'ho dovuto disintallare...è una settimana che combatto con sto problema e non ne vango a capo...avevo pensato di formattare, ma il problema non verrebbe risolto quindi seguo passo passo ciò che gli esperti mi consigliano

[crips]

Curato
ma non direttamente soltanto leggendo e mettendo in pratica quello che ho letto.
Il Curatore è molto molto più professionale e bravo
Guarda che la mia non era una polemica bene inteso, ma soltanto cercavo di aiutare.

[Enogar]

Anche perchè mi trovo una carinissima cartella HelpAssistant che continua a ricrearsi dopo che la cancello...

[wjmat]

Quote:

Originariamente inviato da crips

Curato
ma non direttamente soltanto leggendo e mettendo in pratica quello che ho letto.
Il Curatore è molto molto più professionale e bravo
Guarda che la mia non era una polemica bene inteso, ma soltanto cercavo di aiutare.

ho letto cose interessanti in quel 3d ma anche tanti tentativi "a caso" diciamo
ho capito che non era polemica

[wjmat]

Quote:

Originariamente inviato da Enogar

Anche perchè mi trovo una carinissima cartella HelpAssistant che continua a ricrearsi dopo che la cancello...

il fix mbr da console non l'hai ancora provato se non sbaglio vero?

[Enogar]

Quote:

Originariamente inviato da wjmat

il fix mbr da console non l'hai ancora provato se non sbaglio vero?

non ancora...

[Enogar]

si esegue da console di ripristino vero?

[wjmat]

Quote:

Originariamente inviato da Enogar

si esegue da console di ripristino vero?

accedi la console di ripristino di Windows XP
digita il comando:
FIXMBR e premi Y per confermare
al termine digita Exit (invio), togli il cd e vediamo come va il seguente riavvio

[Enogar]

Quote:

Originariamente inviato da wjmat

accedi la console di ripristino di Windows XP
digita il comando:
FIXMBR e premi Y per confermare
al termine digita Exit (invio), togli il cd e vediamo come va il seguente riavvio

eccomi qui tutto fatto, sembra un pò più veloce al riavvio, come faccio per sapere se ho risolto?

[crips]

Quote:

Originariamente inviato da wjmat

ho letto cose interessanti in quel 3d ma anche tanti tentativi "a caso" diciamo
ho capito che non era polemica

Onestamente non so quali fossero i tentativi a caso e/o quelli interessanti, certamente è una procedura non semplice ma sembra piutttosto efficace sopratutto quando anche fixmbr da cd non funziona.
Grazie per aver capito

[crips]

Quote:

Originariamente inviato da Enogar

eccomi qui tutto fatto, sembra un pò più veloce al riavvio, come faccio per sapere se ho risolto?

Io credo che la cosa da fare sia ripetere la scansione che ti dava "malato" e poi tieni d'occhio la cartella C/documents & settings se ti si ricrea l'utente HelpAssistant.

Comunuqe io farei una scansione completa con:

DrWeb se ti funziona
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
e con:
http://www.softpedia.com/get/Antivir...val-Tool.shtml

E poi infine cambierei AVG con Avira!

[Enogar]

Quote:

Originariamente inviato da crips

Io credo che la cosa da fare sia ripetere la scansione che ti dava "malato" e poi tieni d'occhio la cartella C/documents & settings se ti si ricrea l'utente HelpAssistant.

Comunuqe io farei una scansione completa con:

DrWeb se ti funziona
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
e con:
http://www.softpedia.com/get/Antivir...val-Tool.shtml

E poi infine cambierei AVG con Avira!

Allora ho provato a far partire dr.web ed è partito questa volta solo che a metà scansione express mi ha dato questo errore : Si è verificato un errore in 7396tXP.exe. L'applicazione verrà chiusa.

[crips]

Hai provato ad eseguire la scansione in provvisoria?
Non so che sia quell'errore, se vuoi aspetta wjmat

[wjmat]

Quote:

Originariamente inviato da crips

Onestamente non so quali fossero i tentativi a caso e/o quelli interessanti, certamente è una procedura non semplice ma sembra piutttosto efficace sopratutto quando anche fixmbr da cd non funziona.
Grazie per aver capito

i tentativi inutili sono la deframmentazione e il wipe
la cosa interessante era l'edit manuale dei settori del disco, se non ho visto male
il fix da cd deve funzionare sempre

[wjmat]

Quote:

Originariamente inviato da Enogar

eccomi qui tutto fatto, sembra un pò più veloce al riavvio, come faccio per sapere se ho risolto?

nuovi log di gmer, prevx e fixmbr.exe -f

[crips]

Quote:

Originariamente inviato da wjmat

i tentativi inutili sono la deframmentazione e il wipe
la cosa interessante era l'edit manuale dei settori del disco, se non ho visto male
il fix da cd deve funzionare sempre

Dovrebbe ... a me per esempio da errore ancora adesso

[wjmat]

Quote:

Originariamente inviato da crips

Dovrebbe ... a me per esempio da errore ancora adesso

che errore?

[Anakin85]

Ciao a tutti, purtroppo credo di essere stato infettato... Ieri stavo navigando e ad un certo punto avira mi ha beccato 2 virus. Niente di problematico, ho fatto elimina e tutto è andato apposto. Dopp 10 minuti però, mentre ero in msn, il pc si è spento.

Al riavvio tutto mi è sembrato molto + lento, soprattutto explorer ed messenger e windows live mail non funzionano più, dandomi un problema al ntdll riscontrato in windows live comunication platform. Ho anche due cartelle help assistant in document and settings, le elimino?

Dopo varie ricerche ho trovato la vostra guida, ho fatto tutto quello che c'è scritto (vi allego i log) ma purtroppo il problema non è risolto.

Ecco il log di gmer: log gmer.txt

Log di prevx3 (non segnala anomalie, ma oggi pomeriggio indicava un errore in un file di coreldraw): prevx3.log

Log mbr stealth rootkit: mbr.txt

Non so proprio più che fare....

Grazie!

[wjmat]

Quote:

Originariamente inviato da Anakin85

Ciao a tutti, purtroppo credo di essere stato infettato... Ieri stavo navigando e ad un certo punto avira mi ha beccato 2 virus. Niente di problematico, ho fatto elimina e tutto è andato apposto. Dopp 10 minuti però, mentre ero in msn, il pc si è spento.

Al riavvio tutto mi è sembrato molto + lento, soprattutto explorer ed messenger e windows live mail non funzionano più, dandomi un problema al ntdll riscontrato in windows live comunication platform. Ho anche due cartelle help assistant in document and settings, le elimino?

Dopo varie ricerche ho trovato la vostra guida, ho fatto tutto quello che c'è scritto (vi allego i log) ma purtroppo il problema non è risolto.

Ecco il log di gmer: log gmer.txt

Log di prevx3 (non segnala anomalie, ma oggi pomeriggio indicava un errore in un file di coreldraw): prevx3.log

Log mbr stealth rootkit: mbr.txt

Non so proprio più che fare....

Grazie!

ciao

i log sono puliti
procedi con i restanti punti

se non risolvi segui qui
http://www.hwupgrade.it/forum/showpo...postcount=2169