Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da Vanc3

Salve a tutti,

Settimana scorsa andando su internet ho preso un trojan che avast ha provveduto a terminare subito. Subito dopo il pc ha cominiciato a rallentare a crashare ect..
Personalmente ho agito con combofix che mi ha subito segnalato la presenza di rootkit. Finita la scansione combofix mette in quarantena un file atapi.sys.vir.
Il pc ora funziona come prima ma l'mbr rimane intaccato:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x057541440
malicious code @ sector 0x057541443 !
PE file found in sector at 0x057541459 !

Facendo la scansione con tutti i programmi della guida solo prevx mi trova dei file sospetti ma che apparentemente non centrano nulla col mio problema
http://img214.imageshack.us/img214/3161/prevx.png
So per certo che l'exe in questione è un utility della mia stampante
Facendo la scansione del primo file con virscan 2 antivirus lo segnalano come trojan:
nProtect 20091127.01 6396533 2009-11-27
Trojan-Dropper/W32.LJoiner.380928

VBA32 3.12.12.0 20091130.1546 2009-11-30
Trojan-Dropper.Win32.LJoiner.bi

Spero di essere stato abbastanza esaustivo e attendo risposte .

Quote:

Originariamente inviato da gabmac2

allora,avevo postato qualche giorno fa,avevo preso tempo fa questo virus, risolto formattando,dopo instabilità sistema,dopo circa un mese l' ho ripreso.....sui dischi nessun file infetto segnalato al tempo,se non un sinowal in un disco differente da dove c' è il sistema non tolto in tempo.....si possono trasmettere da dischi?dove si prendono in genere questi virus?

attuale responso FixMebroot

Symantec Trojan.Mebroot Removal Tool 1.0.1
Found drive \\.\PhysicalDrive0, analyzing MBR...
Found drive \\.\PhysicalDrive1, analyzing MBR...
Found drive \\.\PhysicalDrive2, analyzing MBR...
Found drive \\.\PhysicalDrive3, analyzing MBR...
Creating FixMebroot service driver
Running driver...
Trojan.Mebroot has not been found active on your computer.
Delete service driver
Delete driver file
End


The system requires a reboot but was not rebooted.
To clean up all remnants of the threat from the system it must be rebooted.


Sono a posto?

Ciao, leggete attentamente la Guida in prima pagina e mettete in pratica i suggerimenti.

[Vanc3]

Ripristino disattivato
Link log di gmer
http://wikisend.com/download/951408/Scan Gmer.txt

Risultati Prevx
http://img214.imageshack.us/img214/3161/prevx.png

[Gnappo90]

link log di gmer :http://wikisend.com/download/631840/scan.txt.txt

link log di prevx :http://wikisend.com/download/476348/scan 2.txt.log

[Gnappo90]

link del log Nfix : http://wikisend.com/download/547464/...7_13-43-44.log

ora posso procedere alla terza fase? aspetto una risposta grazie mille per l'aiuto

[Gnappo90]

scusa questo è il primo link della seconda fase quello del log di mbr. : http://wikisend.com/download/555416/mbr.log

adesso posso passare alla terza fase?

[xbeppex]

ciao a tt..tempo fa scrissi in questa discussione xke ero affetto da questo maledetto MBR.. provai a formattare e ualaaa..il pc era tornato perfetto, anzi meglio di prima..
oggi pero sono andato a fare una scansione con nod32..e mi dice questo:
Il settore MBR di 2 disco fisso contiene cavallo di troia Win32/Mebroot.mbr

ke devo fare? mi dice cosi xke ormai quella sezione è danneggiata? xke il pc nn mi da nessun problema..almeno fino ad oggi..

[xbeppex]

aggiornamento..ho fatto la scansione con un programma di nome Norman Sinowa Cleaner...e mi dice questo..

Number of infections found: 0
Number of infections removed: 0
Total scanning time: 1s 328ms


Scanning running processes and process memory...

Number of processes/threads found: 2102
Number of processes/threads scanned: 2102
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 1m 32s


Scanning file system...

Scanning: C:\*.*

Scanning: D:\*.*

D:\Incoming\Formattazione\File ricevuti\Programmi\real player v10 gold ita + crack.rar/real_player_10_premium-crack.rar/CMT (Error whilst scanning file: I/O Error)

D:\Incoming\Formattazione\File ricevuti\Programmi\VSO.ConvertXtoDVD.Multilanguage.v2.0.11.WinALL.Cracked-ENGiNE.rar/CMT (Error whilst scanning file: I/O Error)

D:\Incoming\Formattazione\File ricevuti\Programmi\VSO.ConvertXtoDVD.Multilanguage.v2.0.11.WinALL.Cracked-ENGiNE.rar/RR (Error whilst scanning file: I/O Error)


Running post-scan cleanup routine:

Number of files found: 60760
Number of archives unpacked: 287
Number of files scanned: 60730
Number of files not scanned: 30
Number of files skipped due to exclude list: 0
Number of infected files found: 0
Number of infected files repaired/deleted: 0
Number of infections removed: 0
Total scanning time: 21m 8s


Successivamente scarico DRweb..faccio la scansione..ed ecco..

c:\windows\winsxs\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.2600.5581_x-ww_dfbc4fc4\gdiplus.dll

infettato da BackDoor.MaosBoot

faccio la cura..riavvio..riprovo la scansione con nod32..e nn mi dice piu l errore iniziale..

[Chill-Out]

Quote:

Originariamente inviato da xbeppex

aggiornamento..ho fatto la scansione con un programma di nome Norman Sinowa Cleaner...e mi dice questo..



Successivamente scarico DRweb..faccio la scansione..ed ecco..

c:\windows\winsxs\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.2600.5581_x-ww_dfbc4fc4\gdiplus.dll

infettato da BackDoor.MaosBoot

faccio la cura..riavvio..riprovo la scansione con nod32..e nn mi dice piu l errore iniziale..

Ciao, leggi attentamente la Guida in prima pagina e mettete in pratica i suggerimenti.

[Chill-Out]

Quote:

Originariamente inviato da Vanc3

Ripristino disattivato
Link log di gmer
http://wikisend.com/download/951408/Scan Gmer.txt

Risultati Prevx
http://img214.imageshack.us/img214/3161/prevx.png

Allega il log di Prevx

[Chill-Out]

Quote:

Originariamente inviato da Gnappo90

scusa questo è il primo link della seconda fase quello del log di mbr. : http://wikisend.com/download/555416/mbr.log

adesso posso passare alla terza fase?

Allega il log di CureIt + nuovo log di Prevx

[Vanc3]

Quote:

Originariamente inviato da Chill-Out

Allega il log di Prevx

Scusami

Ecco http://wikisend.com/download/469942/Prevx log.log

[Chill-Out]

Quote:

Originariamente inviato da Vanc3

Scusami

Ecco http://wikisend.com/download/469942/Prevx log.log

Dai log non emergono tracce del Rootkit in questione, per scrupolo procedi con la Seconda e Terza fase, attendiamo i log.

PS: allega anche il log di Combo che hau fatto girare in precedenza lo trovi in C:\Combofix.txt

[Jestat]

controllino grazie sintomi computer portatile: molto lento

posto qua ma a dire il vero non ho idea se possano esserci problemi in generale

gmer: http://wikisend.com/download/561640/gmer.txt

csi: http://wikisend.com/download/476898/csi.log

[wjmat]

Quote:

Originariamente inviato da Jestat

controllino grazie sintomi computer portatile: molto lento

posto qua ma a dire il vero non ho idea se possano esserci problemi in generale

gmer: http://wikisend.com/download/561640/gmer.txt

csi: http://wikisend.com/download/476898/csi.log

ciao

non c'è nulla inerente a mbr rootkit

[Jestat]

Quote:

Originariamente inviato da wjmat

ciao

non c'è nulla inerente a mbr rootkit

grazie, meglio così, visto che ho un po di tempo faccio comunque tutti i controlli da capo per la disinfezione e posto i report da qualche parte, ciao

[wjmat]

Quote:

Originariamente inviato da Jestat

grazie, meglio così, visto che ho un po di tempo faccio comunque tutti i controlli da capo per la disinfezione e posto i report da qualche parte, ciao

di nulla, ciao

[Vanc3]

Quote:

Originariamente inviato da Chill-Out

Dai log non emergono tracce del Rootkit in questione, per scrupolo procedi con la Seconda e Terza fase, attendiamo i log.

PS: allega anche il log di Combo che hau fatto girare in precedenza lo trovi in C:\Combofix.txt

Il primo log di combofix putroppo non lo possiedo più ma avevo fatto un'altra scansione subito dopo la rimozione di quel file atapi.sys che ti parlavo.

http://wikisend.com/download/929218/ComboFix.txt

http://wikisend.com/download/613200/...0_12-02-55.log

http://wikisend.com/download/930032/cureit filtrato.txt

[Chill-Out]

Quote:

Originariamente inviato da Vanc3

Il primo log di combofix putroppo non lo possiedo più ma avevo fatto un'altra scansione subito dopo la rimozione di quel file atapi.sys che ti parlavo.

http://wikisend.com/download/929218/ComboFix.txt

http://wikisend.com/download/613200/...0_12-02-55.log

http://wikisend.com/download/930032/cureit filtrato.txt

E' passato qualche giorno quindi la situazione potrebbe essere mutata, comunque non vedo il log di Stealth MBR rootkit detector inoltre dal log di CureIt si evince che hai fatto scansione rapida, come indicato in Guida è opportuno fare scansione completa.

[vostro77]

Ho fatto partire la scansione con Gmer e tempo 10 secondi mi e' comparsa una spaventosa schermata blu dicendomi che il mio pc veniva riavviato per evitare danni peggiori... poi al riavvio il pc presentava i sintomi del qualche sto cercando di liberarmi cioe' cpu bloccata al 100% che mi blocca tutto il pc.. sto notando che quando mi capita se riavvio ho ancora il solito problema,se invece spengo il pc per 5 minuti e poi riaccendo sembra che funzioni.....
Ora riprovo a fare la scansione con gmer... speriamo in bene!!!

[Chill-Out]

Quote:

Originariamente inviato da vostro77

Ho fatto partire la scansione con Gmer e tempo 10 secondi mi e' comparsa una spaventosa schermata blu dicendomi che il mio pc veniva riavviato per evitare danni peggiori... poi al riavvio il pc presentava i sintomi del qualche sto cercando di liberarmi cioe' cpu bloccata al 100% che mi blocca tutto il pc.. sto notando che quando mi capita se riavvio ho ancora il solito problema,se invece spengo il pc per 5 minuti e poi riaccendo sembra che funzioni.....
Ora riprovo a fare la scansione con gmer... speriamo in bene!!!

Saltala tanto crasha ancora, passa a Prevx