Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[supertyson]

Ciao, ho seguito il consiglio di ChillOut dopo aver postato al seguente link http://www.hwupgrade.it/forum/showthread.php?t=2116783 il mio problema.

Ok la fase preliminare,

la fase 1 non sono riuscito a farla completamente in quanto il programma G Mer mi dà lo stesso errore che avevo segnalato nel link sopra:
Si è verificato un errore in GMER, Potrebbe essersi verificata la perdita di dati su cui si stava lavorando, L'applicazione verrà chiusa.

Prevx sembra aver risolto il problema, qui sotto trovate i post prima e dopo la pulizia:

Prima Prevx.log
Dopo Prevxpost.log

Ora che devo fare?

Mi sono spinto un po' più in là lanciando anche Stealth MBR rootkit detector.

E' successa una cosa un po' strana, sono andato in modalità provvisoria e lanciato il programma come dice la guida, però è apparsa la finestra in stile DOS per un breve secondo senza darmi la possibilità di salvare il log. Sono riuscito a strappare solo questo screenshot: [img=http://img222.imageshack.us/img222/6310/mbrn.th.jpg]

Sembra che il problema persista. Devo proseguire con la fase 2?
PErchè GMER non funziona?

Grazie

[Chill-Out]

Quote:

Originariamente inviato da supertyson

Ciao, ho seguito il consiglio di ChillOut dopo aver postato al seguente link http://www.hwupgrade.it/forum/showthread.php?t=2116783 il mio problema.

Ok la fase preliminare,

la fase 1 non sono riuscito a farla completamente in quanto il programma G Mer mi dà lo stesso errore che avevo segnalato nel link sopra:
Si è verificato un errore in GMER, Potrebbe essersi verificata la perdita di dati su cui si stava lavorando, L'applicazione verrà chiusa.

Prevx sembra aver risolto il problema, qui sotto trovate i post prima e dopo la pulizia:

Prima Prevx.log
Dopo Prevxpost.log

Ora che devo fare?

Mi sono spinto un po' più in là lanciando anche Stealth MBR rootkit detector.

E' successa una cosa un po' strana, sono andato in modalità provvisoria e lanciato il programma come dice la guida, però è apparsa la finestra in stile DOS per un breve secondo senza darmi la possibilità di salvare il log. Sono riuscito a strappare solo questo screenshot: [img=http://img222.imageshack.us/img222/6310/mbrn.th.jpg]

Sembra che il problema persista. Devo proseguire con la fase 2?
PErchè GMER non funziona?

Grazie

Fai girare Norman SinowalMBR Cleaner, successivamente passa alla Terza Fase.

[supertyson]

Quote:

Originariamente inviato da Chill-Out

Fai girare Norman SinowalMBR Cleaner, successivamente passa alla Terza Fase.

Come detto in precedenza sono passato alla seconda fase:

Screenshot Stealth MBR rootkit detector http://img222.imageshack.us/i/mbrn.jpg/
Log Norman SinowalMBR Cleaner NFix_2010-01-04_11-59-29.log

Sono poi passato alla terza fase ma senza successo, perchè come già accaduto in fase di diagnosi della disinfezione, il programma CureIT Dr Web mi dà errore...in allegato lo screenshot dell'errore di DR WEB, e dell'errore che mi dava in precedenza GMER. Inoltre mi appare ogni tanto nella barra delle applicazioni il triangolo giallo con punto esclamativo che allego negli screenshot. http://img690.imageshack.us/gal.php?g=cureit.jpg

Tutto ciò dipende per caso dal virus/malware??

Tra l'altro ho notato che nella barra delle applicazioni l'orologio mostra l'ora in formato americano anzichè europeo e no riesco a sistemarlo.

Devo passare all'eliminazione della cartella helpassistant o prima devo sistemare quanto sopra?

Scusate se rompo l'anima ma per me è importante che torni tutto come prima..

grazie di nuovo..

[Chill-Out]

Quote:

Originariamente inviato da supertyson

Come detto in precedenza sono passato alla seconda fase:

Screenshot Stealth MBR rootkit detector http://img222.imageshack.us/i/mbrn.jpg/
Log Norman SinowalMBR Cleaner NFix_2010-01-04_11-59-29.log

Sono poi passato alla terza fase ma senza successo, perchè come già accaduto in fase di diagnosi della disinfezione, il programma CureIT Dr Web mi dà errore...in allegato lo screenshot dell'errore di DR WEB, e dell'errore che mi dava in precedenza GMER. Inoltre mi appare ogni tanto nella barra delle applicazioni il triangolo giallo con punto esclamativo che allego negli screenshot. http://img690.imageshack.us/gal.php?g=cureit.jpg

Tutto ciò dipende per caso dal virus/malware??

Tra l'altro ho notato che nella barra delle applicazioni l'orologio mostra l'ora in formato americano anzichè europeo e no riesco a sistemarlo.

Devo passare all'eliminazione della cartella helpassistant o prima devo sistemare quanto sopra?

Scusate se rompo l'anima ma per me è importante che torni tutto come prima..

grazie di nuovo..

Le istruzioni inerenti la cartella HelpAssistant le trovi qui http://www.hwupgrade.it/forum/showpo...postcount=2142

gli altri problemi non dipendono dal rootkit in questione.

[supertyson]

Quote:

Originariamente inviato da Chill-Out

Le istruzioni inerenti la cartella HelpAssistant le trovi qui http://www.hwupgrade.it/forum/showpo...postcount=2142

gli altri problemi non dipendono dal rootkit in questione.

ok per la cartella helpassistant

ma gli altri problemi allora da cosa dipendono?
ho seguito tutte le guide e le indicazioni che mi avete dato ma i problemi persistono...posso lasciarli stare (se non generano casini a lungo andare) o lidevo rimuovere con altri tools?

[Chill-Out]

Quote:

Originariamente inviato da supertyson

ok per la cartella helpassistant

ma gli altri problemi allora da cosa dipendono?
ho seguito tutte le guide e le indicazioni che mi avete dato ma i problemi persistono...posso lasciarli stare (se non generano casini a lungo andare) o lidevo rimuovere con altri tools?

Gmer e DrWeb su alcuni sistemi a volte crashano, tutto qui.

[supertyson]

Quote:

Originariamente inviato da Chill-Out

Gmer e DrWeb su alcuni sistemi a volte crashano, tutto qui.

ok rimossa anche helpassistant, grazie ChillOut per il tuo contributo determinante!

[Chill-Out]

Quote:

Originariamente inviato da supertyson

ok rimossa anche helpassistant, grazie ChillOut per il tuo contributo determinante!

Prego

[supertyson]

scusa , l'ultima cosa

ma è normale che MBR stealth dia ancora questo messaggio?

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A14C00
malicious code @ sector 0x012A14C03 !
PE file found in sector at 0x012A14C19 !

[Chill-Out]

Quote:

Originariamente inviato da supertyson

scusa , l'ultima cosa

ma è normale che MBR stealth dia ancora questo messaggio?

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A14C00
malicious code @ sector 0x012A14C03 !
PE file found in sector at 0x012A14C19 !

Si il log può rimanere "sporco"

[Maverikbj]

Quote:

Originariamente inviato da Chill-Out

Potresti allegare il log di MBAM

Arieccomi....

La situazione si è ulteriormente incasinata all'inverosimile...
per la serie i guai non vengono mai soli ma in nutrita compagnia.

Allora vi avevo lasciato con il problema delle cartelle nascoste risolto modificando la chiave di registro

orbene fatto ciò mi è venuta la pessima idea di fare gli aggiornamenti con windows update (ricordo che avevo appena reinstallato il service pack 3 senza problemi)

Mi ha fatto ben 33 aggioramnti senza problemi. Sul 34 si è incartato per 8 ore.
Passato tale tempo ho pensato che valesse la pena di resettare.

Al riavvio BSOD page fault in non paged area errore 0x00000050

Provo in safe mode -> schermo nero con cursore lampeggiante...

bensisimo!

Allora i tentativi (infruttosi) per risolvere la faccenda sono stati nell'ordine

1) verificare le RAM -> tutto OK
2) chkdsk /r
3) ancora fixmbr
4) inserito disco floppy avvio di win98 -> fdisk /MBR
5) fixboot da console di ripristino
6) riavvio con ultima configurazione funzionante (ancora BSOD)
7) controllato il boot.ini che sembra a posto.
8) controllato che NON è il caso riportato qua:
http://support.microsoft.com/?kbid=894278&sd=RMVP

E dunque reinstallato con installazione di ripristino (non recovery console) XP con SP3 già integrato (anche installando i driver NVIDIA Sata tramite dischetto -F6 all'avvio) -> non cambia nulla sempre lo stesso BSOD

A questo punto non credo si tratti più di virus ma di qualche driver che si è irrimediabilmente incasinato (forse a causa del virus). Già ma quale?

Se devo continuare la discussione da un'altra parte fatemi sapere dove... (in quale sezione)

Comunque sono attualmente bloccato su questo BSOD

Si potesse almeno avere un log di cosa carica e quindi dove si blocca ma non riesco ad avere il ntbtlog.txt
non me lo produce in nessun tipo di avvio anche avviando im modalità provvisioria: si vede che carica un bel numero di driver prima del BSOD

Mi viene in mente ora di smontare l'HD e sottoporlo a MBAM con un altro PC servirebbe? Ma mi sa che avrò esito negativo...

Qualcuno ha altre idee?

(una volta mi pare che c'era il riavvio im modalità provvisoria con conferma passo a passo... ma non lo trovo più.. si postesse fare capirei che driver è che che incasina il tutto..)

[Chill-Out]

Quote:

Originariamente inviato da Maverikbj

Se devo continuare la discussione da un'altra parte fatemi sapere dove... (in quale sezione)

Sezione Microsoft Windows

[omissam]

Bene Chill....Ho seguito le istruzioni seguendo alla lettera le indicazioni con Gmer e Prevx.Allego link per log (spero di farlo in maniera esatta..scusandomi per eventuali errori) per vedere se ora il problema è risolto (sembra che comunque vada già meglio!!) Grazie

http://wikisend.com/download/509626/Gmer1.txt.log
http://wikisend.com/download/547464/prevx.txt
http://wikisend.com/download/464550/Prevx2.txt

[AttilsNa]

Quote:

Originariamente inviato da AttilsNa

sisi non preoccuparti,adesso mi da 19 infezioni mentre prima ne erano 38,
Ho cancellato i file a uno a uno dove mi dava il percorso,mentre il percorso di questi altri 19 quasi alla fine non trovo la cartella: -temp .(che se nn sbaglio sono gli stessi file,ma si trovano uno in impostazioni locali e l'altro in help assistant,una cosa del genere)..cmq ecco il log

http://wikisend.com/download/208376/prex 29.12.09
prex 29.12.09

mi riquoto..Scusate per l'insistenza,ma se mi dite che state già controllando già mi rilasso col pensiero,grazie ancora

[Chill-Out]

Quote:

Originariamente inviato da AttilsNa

sisi non preoccuparti,adesso mi da 19 infezioni mentre prima ne erano 38,
Ho cancellato i file a uno a uno dove mi dava il percorso,mentre il percorso di questi altri 19 quasi alla fine non trovo la cartella: -temp .(che se nn sbaglio sono gli stessi file,ma si trovano uno in impostazioni locali e l'altro in help assistant,una cosa del genere)..cmq ecco il log

http://wikisend.com/download/208376/prex 29.12.09
prex 29.12.09

Quote:

Originariamente inviato da AttilsNa

mi riquoto..Scusate per l'insistenza,ma se mi dite che state già controllando già mi rilasso col pensiero,grazie ancora

In formato .txt, grazie.

[Chill-Out]

Quote:

Originariamente inviato da omissam

Bene Chill....Ho seguito le istruzioni seguendo alla lettera le indicazioni con Gmer e Prevx.Allego link per log (spero di farlo in maniera esatta..scusandomi per eventuali errori) per vedere se ora il problema è risolto (sembra che comunque vada già meglio!!) Grazie

http://wikisend.com/download/509626/Gmer1.txt.log
http://wikisend.com/download/547464/prevx.txt
http://wikisend.com/download/464550/Prevx2.txt

Passa direttamente alla Teza Fase della presente Guida

[supertyson]

Quote:

Originariamente inviato da Chill-Out

Si il log può rimanere "sporco"

ok , un'altra cosa..

dopo aver fatto la disinfezione ho notato che è cambiato, oltre al formato dell'ora... boh??, anche il colore del nome dei file nelle cartelle del pc.

Alcuni sono blu altri normalmente neri...come mai?

[FabioBi]

Ciao,
anch'io ho questo problema del mbr rootkit. Ho seguito la prima fase e nonostante mbr continui a dirmi che c'è un malicius code, ho visto che il pc ora lavora correttamente mentre prima si piantava in continuo e non mi compare più un messaggio di allarme su messenger.

comunque allego i log:

http://wikisend.com/download/891358/mbr.log
http://wikisend.com/download/478412/logPrevx.log

grazie della disponibilità.

[Chill-Out]

Quote:

Originariamente inviato da supertyson

ok , un'altra cosa..

dopo aver fatto la disinfezione ho notato che è cambiato, oltre al formato dell'ora... boh??, anche il colore del nome dei file nelle cartelle del pc.

Alcuni sono blu altri normalmente neri...come mai?

Non dipende dal rootkit

[Chill-Out]

Quote:

Originariamente inviato da FabioBi

Ciao,
anch'io ho questo problema del mbr rootkit. Ho seguito la prima fase e nonostante mbr continui a dirmi che c'è un malicius code, ho visto che il pc ora lavora correttamente mentre prima si piantava in continuo e non mi compare più un messaggio di allarme su messenger.

comunque allego i log:

http://wikisend.com/download/891358/mbr.log
http://wikisend.com/download/478412/logPrevx.log

grazie della disponibilità.

La prima fase prevede il log di Gmer + due log di Prevx