Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[neway]

Quote:

Computer - tasto dx del mouse Proprietà -Avanzate - Profilo utente - Impostazioni

elimina il profilo HelpAssistant e dovrebbe sparire anche la cartella.

Giusto per essere completi ho fatto una scansione completa con Malwarebytes' Anti-Malware che mi ha trovato nella cartella help assistant due file infetti dal rootkit e poi un trojan e un malware che non c'entravano niente. Allego il log per conoscenza.

Grazie mille chill-out, ho trovato il profilo utenete help assistant e l'ho eliminato. La cartella è sparita.

Grazie ancora!
Ciao

[neway]

Cavolo! Stamattina Firefox era di nuovo instabile, ho controllato in document and settings e la cartella help assistant si è ricreata!!!!
Che devo fare?

Grazie mille!

[wjmat]

Quote:

Originariamente inviato da neway

Cavolo! Stamattina Firefox era di nuovo instabile, ho controllato in document and settings e la cartella help assistant si è ricreata!!!!
Che devo fare?

Grazie mille!

hai seguito i consigli finali per proteggere meglio il pc o ce la possibilità che tu ti sia reinfettato?

[Chill-Out]

Quote:

Originariamente inviato da neway

Cavolo! Stamattina Firefox era di nuovo instabile, ho controllato in document and settings e la cartella help assistant si è ricreata!!!!
Che devo fare?

Grazie mille!

Sicuro che la cartella fosse sparita, perchè dal log di MBAM si evince il contrario.

[neway]

Quote:

hai seguito i consigli finali per proteggere meglio il pc o ce la possibilità che tu ti sia reinfettato?

E' improbabile perchè dopo aver eliminato il tutto ho spento il computer e non ho navigato più.

Quote:

Sicuro che la cartella fosse sparita, perchè dal log di MBAM si evince il contrario.

Si, era sparita. La scansione con MBAM l'avevo fatta prima di eliminare la cartella help assistant!

[Chill-Out]

Quote:

Originariamente inviato da neway

E' improbabile perchè dopo aver eliminato il tutto ho spento il computer e non ho navigato più.



Si, era sparita. La scansione con MBAM l'avevo fatta prima di eliminare la cartella help assistant!

La scansione è datata 25.12.09, comunque alleagami uno screenshot sia del profilo che della cartella HelpAssistant puoi utilizzare la funzione anteprima di http://imageshack.us/

[neway]

Quote:

La scansione è datata 25.12.09, comunque alleagami uno screenshot sia del profilo che della cartella HelpAssistant

Si è datata 25 dicembre perchè se guardi bene il messaggio l'ho postato alle 2:35 di notte, e la scansione era terminata una mezzora prima.

Ho capito bene o male come funziona la cosa: Se elimino il profilo helpassistant, si ricrea al successivo riavvio del computer dopo un paio di minuti (probabilmente il tempo di copiare i 250 e passa Mb che la compongono)
Bisognerebbe capire da dove arriva questo "comando"

Ecco il contenuto della cartella helpassistant


E lo screenshot che mostra document and setting e i profili utente



Piccola precisazione: su profili utente c'è scritto che HelpAssistant è grande 174 Mb, ma tra le proprietà di questa cartella la dimensione è di circa 260Mb

[Chill-Out]

Elimina Adriano\HelpAssistant

[neway]

Quote:

Elimina Adriano\HelpAssistant

E' proprio quello che faccio: così


Ma al riavvio HelpAssistant si ricrea automaticamente!

[Chill-Out]

Quote:

Originariamente inviato da neway

E' proprio quello che faccio: così


Ma al riavvio HelpAssistant si ricrea automaticamente!

Start - Pannello di controllo - Account Utente dimmi cosa vedi, dopodichè riavvia e vediamo.

[neway]

Ecco. Qui non c'è traccia dell'account help assistant (per ora ho cancellato il profilo e quindi la cartella è sparita)



Ho riavviato ed ecco il risultato: addirittura due cartelle!



Il mistero si infittisce

[unnoacaso]

ho usato tutti i programmi, ed ho anche formattato (era già in programma da tempo).
questo è il log di dottorweb cureit:
http://wikisend.com/download/883648/CureIt_log.txt
l'unica cosa è che mbr rootkit detector ancora mi segnala la presenza,
però da qualche parte ho letto che persiste a segnalarlo.
che dite? sono a posto secondo voi?

Quote:

Originariamente inviato da unnoacaso

ciao a tutti, ho colto l'occasione per registrarmi al forum che ho letto spesso.
ieri ho preso (presumo) questo mbr rootkit mentre navigavo, mi è apparso subito un avviso di antivir, ho bloccato l'accesso ma è passato lo stesso perchè dopo un pò c'è stato un riavvio spontaneo del pc e ho cominciato a riscontrare problemi nella navigazione (indirizzi che non si aprivano più, cliccando sul destro sui link cerca di aprire pagine strane). ho anche visto che nella cartello documents and settings era apparso l'utente helpassistant.
come l'utente che ha scritto un paio di messaggi sopra prima di trovare questa ottima guida, ne ho seguite altre più incasinate e ho pasticciato un pò con i programmi/tool indicati. adesso il problema durante la navigazione sembra essere sparito, però non mi fido molto e vorrei seguire la vostra procedura da capo, quindi linko i primi log:

http://wikisend.com/download/808274/gmer_log.txt

http://wikisend.com/download/446580/prevx_log.txt


prevx mi trova un problema ma per toglierlo dice che occorre la licenza.
devo procedere con la fase2?

1)nel computer ho due hard disk, entrambi con sistema operativo xp, devo controllare anche l'altro (che non mi dà problemi)?
2)nel caso valuto anche la possibilità di formattare, visto che la cosa era in programma per dare una pulita, però ho letto che potrebbe anche non togliersi. dovrei attaccare un hard disk esterno per salvare i dati, rischio che si infetti anche quello attaccandolo?

[unnoacaso]

scusate per i post multipli ma questa infezione mi sta facendo impazzire
al momento la situazione è questa:
1) computer appena formattato (in maniera normale, non a basso livello)
due hard disk interni
e:\ hard disk in master con sistema operativo xp sp2 e avira antivir
f:\ hard disk in slave con solamente i dati
il pc non manifesta nessun problema, apparentemente sembra funzionare tutto bene e non è presente la cartella help assistant in documents and settings
2) stranamente però mbr.exe continua a segnalarmi l'infezione,
questo è il log: mbr.log
e anche norman sinowal si comporta stranamente dicendomi: "unable to scan for sinowalmbr hooks";
inoltre in strumenti di amministrazione-gestione computer-utenti e gruppi locali-users ancora vedo l'utente helpassistant con sopra una x rossa cioè disabilitato; posso cliccare sul destro e fare elimina?
3) qualora volessi colleare l'hard disk esterno (finora mi sono astenuto dal farlo) per salvare i dati e conseguentemente snellire le scansioni rischio che venga infettato dall'mbr rootkit?
4) come richiesto dalla fase 1 della procedura (che vorrei iniziare da capo) allego:
- log di gmer gmer.txt
- log di prevx prevx.txt

ringrazio anticipatamente chi si prenderà la briga di aiutarmi in questa ingarbugliata vicenda

Quote:

Originariamente inviato da unnoacaso

ciao a tutti, ho colto l'occasione per registrarmi al forum che ho letto spesso.
ieri ho preso (presumo) questo mbr rootkit mentre navigavo, mi è apparso subito un avviso di antivir, ho bloccato l'accesso ma è passato lo stesso perchè dopo un pò c'è stato un riavvio spontaneo del pc e ho cominciato a riscontrare problemi nella navigazione (indirizzi che non si aprivano più, cliccando sul destro sui link cerca di aprire pagine strane). ho anche visto che nella cartello documents and settings era apparso l'utente helpassistant.
come l'utente che ha scritto un paio di messaggi sopra prima di trovare questa ottima guida, ne ho seguite altre più incasinate e ho pasticciato un pò con i programmi/tool indicati. adesso il problema durante la navigazione sembra essere sparito, però non mi fido molto e vorrei seguire la vostra procedura da capo, quindi linko i primi log:

http://wikisend.com/download/808274/gmer_log.txt

http://wikisend.com/download/446580/prevx_log.txt


prevx mi trova un problema ma per toglierlo dice che occorre la licenza.
devo procedere con la fase2?

1)nel computer ho due hard disk, entrambi con sistema operativo xp, devo controllare anche l'altro (che non mi dà problemi)?
2)nel caso valuto anche la possibilità di formattare, visto che la cosa era in programma per dare una pulita, però ho letto che potrebbe anche non togliersi. dovrei attaccare un hard disk esterno per salvare i dati, rischio che si infetti anche quello attaccandolo?

[Chill-Out]

Quote:

Originariamente inviato da neway

Ecco. Qui non c'è traccia dell'account help assistant (per ora ho cancellato il profilo e quindi la cartella è sparita)



Ho riavviato ed ecco il risultato: addirittura due cartelle!



Il mistero si infittisce

Elimina le cartelle, riavvia il PC e dimmi se il profilo HelpAssistant si ricrea.

[Chill-Out]

Quote:

Originariamente inviato da unnoacaso

scusate per i post multipli ma questa infezione mi sta facendo impazzire

Ciao, comprenderai perfettamente che questo è uno Forum e non una chat, tra l'altro questi sono giorni di festa, quindi si tratta di avre un pochino di pazienza, comunque dai log non emege nulla

[neway]

Quote:

Elimina le cartelle, riavvia il PC e dimmi se il profilo HelpAssistant si ricrea.

Si, si ricrea di continuo, l'ho cancellata 3 o 4 volte, ma al riavvio si ricrea sempre.

ho provato di nuovo dalla consolle di ripristino i comandi fixmbr e fixboot (entrambi eseguiti con successo), ho avviato in modalità provvisoria, cancellato la cartella HelpAssistant, poi riavviato in modalità normale e la cartella si è ricreata puntualmente.

E' incredibile, tutti gli anti rootkit, GMER compreso non rilevano niente, solo Stealth MBR RootKit detector è continua a segnalarmi il problema. Anche la consolle di ripristino all'atto di fare il fixmbr mi diceva che il MBR era non standard.


Allego qui perchè il log è molto corto

Codice:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x896BD740]<< 
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x896bd740
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> 0x8922e060
Warning: possible MBR rootkit infection !
user & kernel MBR OK 
copy of MBR has been found in sector 0x0E4FBFE2 
malicious code @ sector 0x0E4FBFE5 !
PE file found in sector at 0x0E4FBFFB !
Use "Recovery Console" command "fixmbr" to clear infection !

[Chill-Out]

Come chiesto in precedenza il profilo si è ricreato? Allegami uno screen di tasto dx del mouse su "Risorse Del Computer"

[unnoacaso]

forse mi sono spiegato male, i post multipli non erano frutto di impazienza, sono io che ho fatto varie cose diverse (tra cui la formattazione) e quindi poi mi sentivo in dovere di postare la situazione aggiornata.
venendo al succo...veramente a me sembra che il log di mbr che ho postato dica che sono ancora infetto...o sbaglio?
e poi perchè norman sinowal si comporta stranamente dicendomi: "unable to scan for sinowalmbr hooks"?
poi vorrei anche sapere se in questi casi si può attaccare un hard disk esterno senza problemi...

Quote:

Originariamente inviato da Chill-Out

Ciao, comprenderai perfettamente che questo è uno Forum e non una chat, tra l'altro questi sono giorni di festa, quindi si tratta di avre un pochino di pazienza, comunque dai log non emege nulla

[Chill-Out]

Quote:

Originariamente inviato da unnoacaso

venendo al succo...veramente a me sembra che il log di mbr che ho postato dica che sono ancora infetto...o sbaglio?

Sbagli

Quote:

Originariamente inviato da unnoacaso

e poi perchè norman sinowal si comporta stranamente dicendomi: "unable to scan for sinowalmbr hooks"?

Non ho visto il log

Quote:

Originariamente inviato da unnoacaso

poi vorrei anche sapere se in questi casi si può attaccare un hard disk esterno senza problemi...

Si

[unnoacaso]

mi spieghi perchè sbaglio per il log di mbr
mbr.log
mi sembra che dica ancora "malicius code ecc.. ecc..", aiutami a capire...
per quanto riguarda il norman sinowal questo è il log:
NFix_2009-12-26_23-32-17.log
come vedi c'è quella frase incriminata che dicevo, "unable to scan for sinowalmbr hooks" ed inoltre a chiusura del programma mi chiedeva anche di riavviare il computer (ma lo fa ogni volta mi pare, anche se non ne capisco il motivo).
grazie ancora del supporto

Quote:

Originariamente inviato da Chill-Out

Sbagli



Non ho visto il log



Si