Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[AttilsNa]

scusatemi,ho scritto doppio
Cancellate pure

[AttilsNa]

Quote:

Originariamente inviato da AttilsNa

ho copiato entrambi i link per sicurezza ^^

http://wikisend.com/download/445970/gmer.txt
gmer.txt

http://www.hwupgrade.it/forum/showthread.php?t=1715546
prex1.log


questi sono i log,ieri avevo 38 file infetti per prex e così ho seguito il percorso e sono andato a cancellare i file che sono segnalati,ma come sempre non riesco a trovare nel percorso ( C:/document and setting/utente/impostazioni locali/temp/-temp/ e poi il file ) quì la cartella -temp non esiste in quel percorso,mentre quella che è in help assistent c'è e la cancello.Ma dopo un po mi ritornano i 38-39- a volte 42 file infetti...
Grazie mille,e colgo l'occasione per augurarvi un Buon Natale e felice anno nuovo a tutti

scusami chill se ripropongo,ma non avendo visto più risposte pensavo ti fosse scappato ^^
se già hai letto, è come non detto...^^ non voglio impegnarti più di quanto lo sei;quindi aspetto una vostra risposta ^^ grazie ancora

[Chill-Out]

Quote:

Originariamente inviato da neway

Ho scoperto dove sbagliavo ed ho risolto il problema SENZA formattare. Grazie a Chill-out per la sua gentilezza e disponibilità. Lo invito a leggere quanto segue.
La consolle di ripristino di windows riconosceva come predefinito un'altro disco rigido, quindi ripristinava il master boot record di un altro disco, non di quello con il sistema operativo! E' bastato quindi utilizzare il comando fixmbr completo, cioè, nel mio caso

Codice:

fixboot \Device\Harddisk1\Partition1

in cui specificavo di riparare la partizione interessata dal rootkit.

Per capire esattamente su quale partizione eseguire il fixmbr ho usato il comando map della consolle di ripristino.

Quote:

Originariamente inviato da neway

Anch'io credo di essere vittima del rootkit. Purtroppo prima di trovare questa guida ne ho seguite altre, ho dunque pasticciato un po' con i programmi di analisi e rimozione.

Mia configurazione: windows XP SP3. Ho due hard disk fisici: uno è C con windows, l'altro è partizionato in due (D, E). La cartella documenti di windows l'ho spostata nel drive D.

Ho letto, ma tu hai usato il comando fixboot per scrivere il nuovo codice del settore di avvio di Windows non fixmbr

[Chill-Out]

Quote:

Originariamente inviato da AttilsNa

scusami chill se ripropongo,ma non avendo visto più risposte pensavo ti fosse scappato ^^
se già hai letto, è come non detto...^^ non voglio impegnarti più di quanto lo sei;quindi aspetto una vostra risposta ^^ grazie ancora

Scusami, il tuo reply mi è sfuggito, potresti allegare nuovo log di Prevx.

[psykonaut]

Quote:

Originariamente inviato da Chill-Out

A me sembra che il tuo AV abbia fatto il suo dovere, per scrupolo allega il log della Seconda e Terza fase

come richiesto ecco i logs:

mbr.txt
NFix.txt
cureit filtrato.txt

attendo ulteriori istruzioni se necessarie..

spero di non andare troppo offtopic ma nel frattempo l'antivirus (symantec) ha cominciato a farmi le bizze, nel senso che:

- non riuscivo più ne a caricare ne scaricare il servizio
- non faceva più il liveupdate

ho provato a disinstallarlo e reinstallarlo ed ora il servizio si carica ma il liveupdate (anche se lo faccio manualmente) non parte e non da segni di vita.

presumo mi toccherà fare tutta la trafila della disinfezione che c'è qui molto ben illustrata sul vostro ottimo forum, e quasi quasi mi sa che provo a passare ad Avira.

[Chill-Out]

Quote:

Originariamente inviato da psykonaut

come richiesto ecco i logs:

mbr.txt
NFix.txt
cureit filtrato.txt

attendo ulteriori istruzioni se necessarie..

spero di non andare troppo offtopic ma nel frattempo l'antivirus (symantec) ha cominciato a farmi le bizze, nel senso che:

- non riuscivo più ne a caricare ne scaricare il servizio
- non faceva più il liveupdate

ho provato a disinstallarlo e reinstallarlo ed ora il servizio si carica ma il liveupdate (anche se lo faccio manualmente) non parte e non da segni di vita.

presumo mi toccherà fare tutta la trafila della disinfezione che c'è qui molto ben illustrata sul vostro ottimo forum, e quasi quasi mi sa che provo a passare ad Avira.

Per quel che concerne il MBR Rootkit siamo a posto.

[psykonaut]

Quote:

Originariamente inviato da Chill-Out

Per quel che concerne il MBR Rootkit siamo a posto.

perfetto, grazie mille

ultima domanda poi giuro non ti stresso più
dai logs si è evidenziato qualche altro problema ?
comunque farò tutta la procedura di disinfezione, ma in caso ci siano problemi specifici vedo di concentrarmi su quelli.

[Chill-Out]

Quote:

Originariamente inviato da psykonaut

perfetto, grazie mille

ultima domanda poi giuro non ti stresso più
dai logs si è evidenziato qualche altro problema ?
comunque farò tutta la procedura di disinfezione, ma in caso ci siano problemi specifici vedo di concentrarmi su quelli.

Direi di no.

[neway]

Quote:

Ho letto, ma tu hai usato il comando fixboot per scrivere il nuovo codice del settore di avvio di Windows non fixmbr

Mille scuse, ho sbagliato semplicemente a scrivere nel post. Volevo dire

Codice:

fixmbr \Device\Harddisk1\Partition1

Il fixboot non si scriverebbe neanche così ma così: fixboot d:

In ogni caso grazie mille per l'aiuto e buon anno a tutti!

[Chill-Out]

Quote:

Originariamente inviato da neway

Mille scuse, ho sbagliato semplicemente a scrivere nel post. Volevo dire

Codice:

fixmbr \Device\Harddisk1\Partition1

Il fixboot non si scriverebbe neanche così ma così: fixboot d:

In ogni caso grazie mille per l'aiuto e buon anno a tutti!

Ok, hai fatto un mix con il comando diskpart, buon anno anche a te.

[Maverikbj]

Ciao a tutti

ho tribolato un po' (per usare un eufemismo) anch'io con questo MBR rottkit.

Un po' ho già sbrigliato la situazione ma ho l'impressione che mi sono rimaste delle code o tracce o altro che impediscono alcune funzionalità

La situazione attuale è la seguente:

Prevx 3.0 mi da situazione pulita
sthealt MBR mi da tutto OK
Norman Cleaner mi dic che non sono conensso come amministratore (annche se lo sono) e poi mi da Unable to scan for SinowalMBR ma poi fa la scansione dei dischi e trova tutto pulito.
Trend Micro Rootkit buster mi dice tutto OK.
Per sicurezza ho fatto anche un fixmbr da console di ripristino.
Ho rimosso le cartelle Helpassistant
Ho ripulito la directory temp
Ho rispistinato la chiave di registro che bloccava la visualizzazione della scheda di ripristino configurazione di sistema anche come amministratore (quindi ora tutto OK per questo)
Ho ripristinato gli attributi corretti alle cartelle degli utenti (in documents & settings) che risultavano come +h +s e quindi erano nascoste ora compaiono correttemente

Cosa non funziona ancora

1) CureIt! non parte -> schermata verde di avvio -> click su avvia scansione e rimane lì inchiodato e blocca il pc.

2) avviando il sistema normalmente non da problemi, ma avviando da modalità provvisoria -> BSOD errore 0x0000007E

3) GMER si avvia ma poi da subito BSOD BAD_POOL_HEADER errore 0x00000019

4) il norton ghost ha smesso di funzionare-> schermata gialla di avvio e si inchioda lì on un processo vproconsole che appare duplicato e assorbe nelle due istanze quasi il 100% delle risorse CPU (provato a reinstallare Norton Ghost 14 ma non risolve)

5) alle volte skype si apre da solo (si apre la schermata mentre è residente)
Aggiornato skype ma è uguale.

Per i motivi 2+3 ho reinstallato il service pack 3 di XP e me lo ha installato senza problemi dopo di che ho fatto fare tutti gli aggiornamenti in automatico

La velocità del PC non sembra compromessa
Altre cose non funzionanti non mi sembra ci siano.
Navigazione internet sembra normale.

Un aiuto sarebbe molto gradito.....

[AttilsNa]

Quote:

Originariamente inviato da Chill-Out

Scusami, il tuo reply mi è sfuggito, potresti allegare nuovo log di Prevx.

sisi non preoccuparti,adesso mi da 19 infezioni mentre prima ne erano 38,
Ho cancellato i file a uno a uno dove mi dava il percorso,mentre il percorso di questi altri 19 quasi alla fine non trovo la cartella: -temp .(che se nn sbaglio sono gli stessi file,ma si trovano uno in impostazioni locali e l'altro in help assistant,una cosa del genere)..cmq ecco il log

http://wikisend.com/download/208376/prex 29.12.09
prex 29.12.09

[wjmat]

Quote:

Originariamente inviato da Maverikbj

Ciao a tutti

ho tribolato un po' (per usare un eufemismo) anch'io con questo MBR rottkit.

Un po' ho già sbrigliato la situazione ma ho l'impressione che mi sono rimaste delle code o tracce o altro che impediscono alcune funzionalità

La situazione attuale è la seguente:

Prevx 3.0 mi da situazione pulita
sthealt MBR mi da tutto OK
Norman Cleaner mi dic che non sono conensso come amministratore (annche se lo sono) e poi mi da Unable to scan for SinowalMBR ma poi fa la scansione dei dischi e trova tutto pulito.
Trend Micro Rootkit buster mi dice tutto OK.
Per sicurezza ho fatto anche un fixmbr da console di ripristino.
Ho rimosso le cartelle Helpassistant
Ho ripulito la directory temp
Ho rispistinato la chiave di registro che bloccava la visualizzazione della scheda di ripristino configurazione di sistema anche come amministratore (quindi ora tutto OK per questo)
Ho ripristinato gli attributi corretti alle cartelle degli utenti (in documents & settings) che risultavano come +h +s e quindi erano nascoste ora compaiono correttemente

Cosa non funziona ancora

1) CureIt! non parte -> schermata verde di avvio -> click su avvia scansione e rimane lì inchiodato e blocca il pc.

2) avviando il sistema normalmente non da problemi, ma avviando da modalità provvisoria -> BSOD errore 0x0000007E

3) GMER si avvia ma poi da subito BSOD BAD_POOL_HEADER errore 0x00000019

4) il norton ghost ha smesso di funzionare-> schermata gialla di avvio e si inchioda lì on un processo vproconsole che appare duplicato e assorbe nelle due istanze quasi il 100% delle risorse CPU (provato a reinstallare Norton Ghost 14 ma non risolve)

5) alle volte skype si apre da solo (si apre la schermata mentre è residente)
Aggiornato skype ma è uguale.

Per i motivi 2+3 ho reinstallato il service pack 3 di XP e me lo ha installato senza problemi dopo di che ho fatto fare tutti gli aggiornamenti in automatico

La velocità del PC non sembra compromessa
Altre cose non funzionanti non mi sembra ci siano.
Navigazione internet sembra normale.

Un aiuto sarebbe molto gradito.....

ciao

gmer e cureit capita che diano problemi con alcuni pc se hai già riprovato più volte lasciali perdere

log non ne abbiamo visto ma da quello che hai scritto sembrta che mbr non ci sia più

per gli altri problemi specifici di win direi di chiedere qui
http://www.hwupgrade.it/forum/forumdisplay.php?f=33

[Maverikbj]

Quote:

Originariamente inviato da wjmat

ciao

gmer e cureit capita che diano problemi con alcuni pc se hai già riprovato più volte lasciali perdere

log non ne abbiamo visto ma da quello che hai scritto sembrta che mbr non ci sia più

per gli altri problemi specifici di win direi di chiedere qui
http://www.hwupgrade.it/forum/forumdisplay.php?f=33

Aggiornamento situazione.

Scusa ma continuo qui perchè il problema sembra correlato all'attività del rootkit che avevo come sotto spiego.

Ho trovato su questo 3ad (pag 96) un utente che ha avuto un problema simile ma non trovo la soluzione (o almeno non l'ha postata) riguardo al bad_pool_header connesso a Gmer.

poi ho anche trovato questo

http://community.norton.com/norton/b...cending&page=2

Che rimanda a questa soluuzione

http://community.norton.com/norton/b...d=44373#M44373

Ovvero il problema sembra associato alla corruzione del SYMEFA database

Ora ho seguito le istruzioni passo a passo del post sopra ma mi si presenta un altro problema che prima non avevo notato

Pur accedendo come administrator e avendo messo l'opzione di visualizzazione cartelle nascoste e visualizzazione cartelle di sistema la cartella System Volume Infomation ancora non è visibile (pur avendo verificato che esiste).

Allora ho tentato lo stesso sistema che avevo provato prima per le cartelle degli utenti che non si vedevano (e che aveva funzionato)

Console di ripristino

Attrib -H -S System Volume Information

Da parametro non corretto

Attrib -H -S "System Volume Information"

Ancora Parametro non corretto.

Se faccio un dir la cartella appare con attributi +d +h +s

Sto cercando di risolvere la situazione comnuque a sto punto per me è evidente che il virus ha modificato qualcosa negli attributi / diritti dell'amministratore

E questo spiega anche la risposta del tool Norman cleaner (non sei connesso come amministratore) e forse anche il comportamento di norton ghost (che ovviamente richiederà dei privilegi di amministratore per essere eseguito)
Non so se questo sia legato alla corruzione del database EFA

Io è la prima volta che sento parlare di questo problema di corruzione del database SYMEFA

Che vi pare?

[Maverikbj]

Allora è confemrato che il rookit ha fatto un casino coi diritte dell'amministratore.

Infatti in prprietà risulta che l'amministratore non ha diritti di controllo su molte cartelle

Ho ristabilito la situazione sulle cartelle (tra cui appunto la system volume infoirmation)

Inoltre ho riscontrato un'altra situazione assurda

Se vado opzioni cartelle mi ritrovo selezionati intrambe le ozioni (che dovrebbero essere alternative) di Cartelle e file nascosti
Se seleziono una delle due opzioni e poi faccio applikca e Ok sembra vada a psot.
Ma poi richiudendo e poi ripetendo la procedura mi ritrobo nella situazione di entrambe le opzioni selezionate.

Anche questa mi sembra chiaramente un effto del rootkit che ha cambiato qualcosa.

[Chill-Out]

Quote:

Originariamente inviato da Maverikbj

Allora è confemrato che il rookit ha fatto un casino coi diritte dell'amministratore.

Infatti in prprietà risulta che l'amministratore non ha diritti di controllo su molte cartelle

Ho ristabilito la situazione sulle cartelle (tra cui appunto la system volume infoirmation)

Inoltre ho riscontrato un'altra situazione assurda

Se vado opzioni cartelle mi ritrovo selezionati intrambe le ozioni (che dovrebbero essere alternative) di Cartelle e file nascosti
Se seleziono una delle due opzioni e poi faccio applikca e Ok sembra vada a psot.
Ma poi richiudendo e poi ripetendo la procedura mi ritrobo nella situazione di entrambe le opzioni selezionate.

Anche questa mi sembra chiaramente un effto del rootkit che ha cambiato qualcosa.

Il problema che stai riscontrando non dipende dal rootkit in questione, ma può dipendere da un'altra infezione o dall'utilizzo errato del comando Attrib.

[Maverikbj]

Quote:

Originariamente inviato da Chill-Out

Il problema che stai riscontrando non dipende dal rootkit in questione, ma può dipendere da un'altra infezione o dall'utilizzo errato del comando Attrib.

Credo proprio di no perchè prima dell'infezione il problema non si presentava sono sicuro.

Altre infezioni in corso ragionevoltmente presumo non ce ne sono avendo fatto scansione completa dell HD con mcafee e prevx.

Utilizzo del comando attrib non credo perchè cambia solo gli attributi delle cartelle e comunque non avevo dato nessun comando del genere su alcune cartelle in cui invece ho riscontrato il problema.

[Chill-Out]

Quote:

Originariamente inviato da Maverikbj

Utilizzo del comando attrib non credo perchè cambia solo gli attributi delle cartelle e comunque non avevo dato nessun comando del genere su alcune cartelle in cui invece ho riscontrato il problema.

Appunto, ti suggerisco scansione completa con il tool indicato al Punto 2 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

[Maverikbj]

Scansione completa effettuata e nulla di anomalo trovato

Comunque ho risolto il problema delle cartelle nascoste.

Il rootkit (o un altro virus che il rootkit a scaricato) ha modificato questa chiave di registro

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"CheckedValue"=dword:00000001


Ho messo il valore da 1 a 2 e tutto è andato a posto

Ora proseguo nel tentativo di risoluzione del problema del BSOD con GMER come suggerito nel posto che ho evidenziato sopra... vediamo che succede..

[Chill-Out]

Quote:

Originariamente inviato da Maverikbj

Scansione completa effettuata e nulla di anomalo trovato

Comunque ho risolto il problema delle cartelle nascoste.

Il rootkit (o un altro virus che il rootkit a scaricato) ha modificato questa chiave di registro

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"CheckedValue"=dword:00000001


Ho messo il valore da 1 a 2 e tutto è andato a posto

Ora proseguo nel tentativo di risoluzione del problema del BSOD con GMER come suggerito nel posto che ho evidenziato sopra... vediamo che succede..

Potresti allegare il log di MBAM