Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[conduzione]

Noto con preoccupazione che uno (mbr) mi dice che c'è ancora "malicious code @ sector" e l'altro "Unable to scan for SinowalMBR hooks"

Eccoli comunque ed a te il pallino (e grazie) NFix_2010-02-17_10-46-00.log e poi mbr.log

[Chill-Out]

Quote:

Originariamente inviato da conduzione

Noto con preoccupazione che uno (mbr) mi dice che c'è ancora "malicious code @ sector" e l'altro "Unable to scan for SinowalMBR hooks"

Eccoli comunque ed a te il pallino (e grazie) NFix_2010-02-17_10-46-00.log e poi mbr.log

Il log può rimanere "sporco" ma sulla base di cosa pensi di essere infetto?

[conduzione]

"prima" ne ero sicuro: PC lento, FF che si incasinava, notifiche del SO di aumento della memoria virtuale mai avvenute nel passato e non giustificate da situazioni particolari. Può essere che con i miei smanettamenti autonomi (sempre però seguendo la guida del forum) sia riuscito a cancellare il rootkit, vorrei però esserne sicuro e, leggendo i log, non ho questa certezza. E' per questo che ho richiesto aiuto.

E' possibile avere una ragionevole certezza che il virus non ci sia più?

[Chill-Out]

Quote:

Originariamente inviato da conduzione

"prima" ne ero sicuro: PC lento, FF che si incasinava, notifiche del SO di aumento della memoria virtuale mai avvenute nel passato e non giustificate da situazioni particolari. Può essere che con i miei smanettamenti autonomi (sempre però seguendo la guida del forum) sia riuscito a cancellare il rootkit, vorrei però esserne sicuro e, leggendo i log, non ho questa certezza. E' per questo che ho richiesto aiuto.

E' possibile avere una ragionevole certezza che il virus non ci sia più?

Per scrupolo fai scansione con DrWeb CureIt ed allega il log.

[tharoty]

Ciao a tutti!
E' un bel pò che non scrivo sul forum ma questa volta avrei bisogno del vostro aiuto!
Le ho provate tutte, non ne posso più di questo Backdoor.Win32.Sinowal.gcu
Kaspersky continua a rilevarlo in Device\Harddisk1\DR1 e pur disinfettandolo continua a ritornare :-(

DOMANDA 1: avendo 2 Hard disk, C di sistema - E per i dati, con "Device\Harddisk1\DR1" intenderà il disco C o quello E?
(mi pare che a volte il primo disco sia Harddisk0 o sbaglio?)

DOMANDA 2: ma questo backdoor ci sarà veramente o no, e se c'è si potrà eliminare?

Ho già seguito tutte le procedure di pulizia e controllo e mi pare non venga rilevato nulla (sotto posto i link ai log)
Ultimamente la connessione internet è rallentata e più che altro mi sono state rubate 50 euro dalla postepay
quindi immagino sia possibile che questo Sinowal attivi un keylogger o qualcosa del genere...
(provissoriamente sto usando la tastiera vituale per inserire le password)

ECCO I MIEI LOG:

-La scansione con GMER mi pare non rilevi nulla (ma non sono molto pratica a interpretare bene i log) : http://wikisend.com/download/466578/GMER log.txt

-Con Prevx nemmeno: http://wikisend.com/download/470678/Prevx log.log

-Con Stealth MBR rootkit detector sembra ci sia un avviso di "maliciuos code", potreste confermarmi? : http://wikisend.com/download/178828/MBR.log

-Con Norman mi pare che non rileva nulla:http://wikisend.com/download/525032/NFix log.log

-CureIt mi ha eliminato un file nella system32 ma non è collegato col Backdoor Sinowal.gcu che continua a persistere: http://wikisend.com/download/963534/cureit_ripulito.txt

Altre operazioni da me effettuate:

- Analisi e rimozione con Combofix (ha eliminato il file iasna_1CF6F2E3.dll) ma il caro Sinowal non se ne è andato
- Ho provato a riscrivere più volte l'MBR dalla consolle di ripristino con il comando FIXMBR, ma il caro Sinowal non se ne è andato

Dal sito di supporto Kaspersky in inglese un utente che aveva lo stesso problema dice di averlo risolto riscrivendo l'MBR
con il supporto di un piccolo EXE, MbrFix (ma non ho capito se è la stessa cosa di usare il comandao FIXMBR dalla consolle di rispristino)
Questo è il post e il suo intervento è il penultimo: http://forum.kaspersky.com/index.php?showtopic=58147
e il link all'utility è questo: http://www.ambience.sk/fdisk-master-...ilo-fixmbr.php

Avendole provate tutte volevo tentare anche questa modalità ma non sono stata capace :-(
Cioè, dalla consolle di ripristino passo da C:\WINDOWS> a C:\> con il comando CHDIR C:\
poi inserendo come dice il programma il comando C:\> MbrFix /DRIVE 0 FIXMBR / mi dice però che non lo riconosce....
Qualcuno saprebbe dirmi cosa sbaglio? (MbrFix.exe l'ho copiato in C: senza sottocartelle) chi se ne intende di consolle di ripristino? E più che altro servirebbe a qualcosa?

Qualcuno ha qualche idea di come disfarmi una volta per tutte dell'indesiderato ??
RAGAZZI confido in un vostro aiuto!
GRAZIE GRAZIE

tharoty

[Chill-Out]

Quote:

Originariamente inviato da tharoty

Ciao a tutti!
E' un bel pò che non scrivo sul forum ma questa volta avrei bisogno del vostro aiuto!
Le ho provate tutte, non ne posso più di questo Backdoor.Win32.Sinowal.gcu
Kaspersky continua a rilevarlo in Device\Harddisk1\DR1 e pur disinfettandolo continua a ritornare :-(

DOMANDA 1: avendo 2 Hard disk, C di sistema - E per i dati, con "Device\Harddisk1\DR1" intenderà il disco C o quello E?
(mi pare che a volte il primo disco sia Harddisk0 o sbaglio?)

DOMANDA 2: ma questo backdoor ci sarà veramente o no, e se c'è si potrà eliminare?

Ho già seguito tutte le procedure di pulizia e controllo e mi pare non venga rilevato nulla (sotto posto i link ai log)
Ultimamente la connessione internet è rallentata e più che altro mi sono state rubate 50 euro dalla postepay
quindi immagino sia possibile che questo Sinowal attivi un keylogger o qualcosa del genere...
(provissoriamente sto usando la tastiera vituale per inserire le password)

ECCO I MIEI LOG:

-La scansione con GMER mi pare non rilevi nulla (ma non sono molto pratica a interpretare bene i log) : http://wikisend.com/download/466578/GMER log.txt

-Con Prevx nemmeno: http://wikisend.com/download/470678/Prevx log.log

-Con Stealth MBR rootkit detector sembra ci sia un avviso di "maliciuos code", potreste confermarmi? : http://wikisend.com/download/178828/MBR.log

-Con Norman mi pare che non rileva nulla:http://wikisend.com/download/525032/NFix log.log

-CureIt mi ha eliminato un file nella system32 ma non è collegato col Backdoor Sinowal.gcu che continua a persistere: http://wikisend.com/download/963534/cureit_ripulito.txt

Altre operazioni da me effettuate:

- Analisi e rimozione con Combofix (ha eliminato il file iasna_1CF6F2E3.dll) ma il caro Sinowal non se ne è andato
- Ho provato a riscrivere più volte l'MBR dalla consolle di ripristino con il comando FIXMBR, ma il caro Sinowal non se ne è andato

Dal sito di supporto Kaspersky in inglese un utente che aveva lo stesso problema dice di averlo risolto riscrivendo l'MBR
con il supporto di un piccolo EXE, MbrFix (ma non ho capito se è la stessa cosa di usare il comandao FIXMBR dalla consolle di rispristino)
Questo è il post e il suo intervento è il penultimo: http://forum.kaspersky.com/index.php?showtopic=58147
e il link all'utility è questo: http://www.ambience.sk/fdisk-master-...ilo-fixmbr.php

Avendole provate tutte volevo tentare anche questa modalità ma non sono stata capace :-(
Cioè, dalla consolle di ripristino passo da C:\WINDOWS> a C:\> con il comando CHDIR C:\
poi inserendo come dice il programma il comando C:\> MbrFix /DRIVE 0 FIXMBR / mi dice però che non lo riconosce....
Qualcuno saprebbe dirmi cosa sbaglio? (MbrFix.exe l'ho copiato in C: senza sottocartelle) chi se ne intende di consolle di ripristino? E più che altro servirebbe a qualcosa?

Qualcuno ha qualche idea di come disfarmi una volta per tutte dell'indesiderato ??
RAGAZZI confido in un vostro aiuto!
GRAZIE GRAZIE

tharoty

Quote:

C:\WINDOWS\system32\mga.exe infettato da BackDoor.Update.50 - cura negata dall'utente

Ciao ripeti scansione con DrWeb CureIt e sposta in quarantena il file sopra quotato, allega anche il log del Kaspersky.

[tharoty]

Quote:

Originariamente inviato da Chill-Out

Ciao ripeti scansione con DrWeb CureIt e sposta in quarantena il file sopra quotato, allega anche il log del Kaspersky.

Grazie per l'attenzione ChillOut

NO NO, il file mga.exe individuato da Cureit l'avevo lasciato solo momentaneamente in sospeso...
dopo aver controllato cosa fosse l'ho spostato in quarantena!

Il log completo di Kasper non riesco a farlo, cioè l'ho impostato per memorizzare solo gli eventi critici quindi dopo la scansione completa trovo solo questo:

RILEVATO: 18/02/2010 8.43.00 \Device\Harddisk1\DR1 Trojan program: Backdoor.win32.Sinowal.gcu
DISINFETTATO: 18/02/2010 8.43.10 \Device\Harddisk1\DR1 Trojan program: Backdoor.win32.Sinowal.gcu

Questo è lo sceenshot del rilevamento (che disinfetto ma con successiva scansiona anche senza riavviare il PC il Sinowal riappare nuovamente..quindi non ha disinfettato un bel niente...)
http://wikisend.com/download/492332/kaspersky - Sinowal.gcu.jpg

...come posso procedere?
GRAZIE

[Chill-Out]

Dal log di CureIt si evince che il file non è stato spostato in quarantena

Quote:

Statistiche delle Scansioni
-----------------------------------------------------------------------------
Oggetti controllati: 9103
Trovati oggetti Infetti: 1
Trovato Oggetti modificati: 0
Trovato oggetti Sospetti: 0
Trovato Adware: 0
Trovato Dialer: 0
Trovato Joke: 0
Trovato Riskware: 0
Trovato Hacktool: 0
Oggetti curati: 0
Oggetti cancellati: 0
Oggetti rinominati: 0
Oggetti spostati: 0
Oggetti ignorati: 0
Velocità di scansione: 968 Kb/s
Durata scansione: 00:23:49

[tharoty]

Quote:

Originariamente inviato da Chill-Out

Dal log di CureIt si evince che il file non è stato spostato in quarantena

Scusami, grazie per la disponibilità ma non è che dico le cose così per dire...
Il file è in quarantena! Semplicemente prima ho salvato il log, poi ho fatto le ricerche sulla dll e poi l'ho messa in quarantena...
Ti allego lo sceen: http://wikisend.com/download/445482/CAPT000.jpg

..mi interesserebbe di più capire come riscrivere l' MBR con la procedura segnalata da quell'utente del forum di kaspersky se qualcuno può aiutarmi...

[Chill-Out]

Quote:

Originariamente inviato da tharoty

Scusami, grazie per la disponibilità ma non è che dico le cose così per dire...

Neppure io, l'unico strumento che abbiamo per comprendere la situazione sono i log ed i log di CureIt recita:

Quote:

Statistiche delle Scansioni
-----------------------------------------------------------------------------
Oggetti controllati: 9103
Trovati oggetti Infetti: 1
Trovato Oggetti modificati: 0
Trovato oggetti Sospetti: 0
Trovato Adware: 0
Trovato Dialer: 0
Trovato Joke: 0
Trovato Riskware: 0
Trovato Hacktool: 0
Oggetti curati: 0
Oggetti cancellati: 0
Oggetti rinominati: 0
Oggetti spostati: 0
Oggetti ignorati: 0
Velocità di scansione: 968 Kb/s
Durata scansione: 00:23:49

Hai fatto questo passaggio? Mi riferisco al comando C:\mbr.exe -f

Stealth MBR rootkit detector
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
Scaricate MBR:EXE sul DeskTop e mettetelo direttamente nella Directory C:\
Riavviate il Pc in modalità provvisoria F8
Da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
Salvate il log prodotto come MBR ed allegatelo per il controllo

[conduzione]

Quote:

Originariamente inviato da Chill-Out

Per scrupolo fai scansione con DrWeb CureIt ed allega il log.

ho fatto la scansione ma non posso allegare il log poichè DrWeb mi dice che non ha trovato nessun file infetto.

Deduco quindi che, come avevi detto tu, abbia solamente lasciato la traccia del suo passaggio. Per eliminare anche quella mi chiedo (meglio, TI chiedo): il log dell'mbr.exe mi dice:

malicious code @ sector 0x0A9FBE9A !
PE file found in sector at 0x0A9FBEB0 !

Se con un editor esadecimale modifico una parte dei due settori segnalati (ma forse anche un solo bit) l'antivirus mbr non dovrebbe più riconoscere il modello del "malicious code" e del "PE file".

E' corretto il mio ragionamento?
Posso intervenire su quei settori senza combinare guai?

[Chill-Out]

Quote:

Originariamente inviato da conduzione

Posso intervenire su quei settori senza combinare guai?

Io personalmente eviterei

[conduzione]

OK, eviterò. Grazie dell'aiuto e della guida.

[Chill-Out]

Quote:

Originariamente inviato da conduzione

OK, eviterò. Grazie dell'aiuto e della guida.

Di nulla, ciao.

[panfilo81]

Ragazzi sul pc di un mio cliente ho un maledetto virus mbr che non si toglie

Dunque prevx non parte nemmeno, mi da un errore v911
con il comando mbr.exe e poi mbr.exe -f non toglie proprio niente mi da sempre infezione
gmer non lo riconosce e dice che è tutto ok
malware bytes tutto ok
Ho anche provato con il comando di windows fixmbr, fixboot c:
ma lui rimane sempre...
Sapete se per caso c'è ultimente un virus del genere?
Che non si toglie con mbr-f e che che da noia a prevx?, poichè prevx da errore v911 errore di licenza.

[wjmat]

Quote:

Originariamente inviato da panfilo81

Ragazzi sul pc di un mio cliente ho un maledetto virus mbr che non si toglie

Dunque prevx non parte nemmeno, mi da un errore v911
con il comando mbr.exe e poi mbr.exe -f non toglie proprio niente mi da sempre infezione
gmer non lo riconosce e dice che è tutto ok
malware bytes tutto ok
Ho anche provato con il comando di windows fixmbr, fixboot c:
ma lui rimane sempre...
Sapete se per caso c'è ultimente un virus del genere?
Che non si toglie con mbr-f e che che da noia a prevx?, poichè prevx da errore v911 errore di licenza.

ciao

se sovrascrivi il MBR da console di ripristino il rootkit deve sparire a meno che ci sia qualcos'altro che continua a reinfettarti
quali sono i sintomi e chi ti segnala l'infezione?

[franchetiello]

buonasera, spiego brevemente il problema;mi contatta un amico che, con malwarebytes, scopre di essere infetto da mbr rootkit; gli dico della guida, prova a seguirla ma in maniera confusa.Pocanzi entro in possesso del pc e, non disponendo di un monitor, lo attacco tramite usb al mio, verificando con Gdata l'eventuale presenza di virus (non rilevati).trovassi il log di gdata lo posterei..


Riesco a recuperare il log di steath detector ma non gmer.Cosa mi consigliate di fare, scansione con gmer del solo hd in questione?grazie mille

http://wikisend.com/download/524764/mbr.log

[Chill-Out]

Quote:

Originariamente inviato da franchetiello

buonasera, spiego brevemente il problema;mi contatta un amico che, con malwarebytes, scopre di essere infetto da mbr rootkit; gli dico della guida, prova a seguirla ma in maniera confusa.Pocanzi entro in possesso del pc e, non disponendo di un monitor, lo attacco tramite usb al mio, verificando con Gdata l'eventuale presenza di virus (non rilevati).trovassi il log di gdata lo posterei..


Riesco a recuperare il log di steath detector ma non gmer.Cosa mi consigliate di fare, scansione con gmer del solo hd in questione?grazie mille

http://wikisend.com/download/524764/mbr.log

Segui la Guida in prima pagina

[franchetiello]

Quote:

Originariamente inviato da Chill-Out

Segui la Guida in prima pagina

grazie chill (se riesco a trovarli posto i vari log delle scansione he il mio amico ha già fatto), mi metto subito a lavoro, ma un grande dubbio, le scansioni con prevx gmer le faccio dell'intero hd ,quindi anche del mio pc, o solo di quello che ho collegato?grazie

[Chill-Out]

Quote:

Originariamente inviato da franchetiello

grazie chill (se riesco a trovarli posto i vari log delle scansione he il mio amico ha già fatto), mi metto subito a lavoro, ma un grande dubbio, le scansioni con prevx gmer le faccio dell'intero hd ,quindi anche del mio pc, o solo di quello che ho collegato?grazie

Solo del PC del tuo amico