Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[pcinforma]

Ciao Chill-out e ancora grazie.
Ho eseguito la 2a e 3a fase, ma ho fatto confusione con il report di Dr.Web.
Ho provato ad eliminare Help assistant, ma è rimasto in C:\Documents and Settings.
Intanto ti ho allegato i log di mbr (che ha trovato qualcosa) e Nfix.

mbr.log
NFix_2010-04-09_13-30-01.log

MI sta prendendo l' infarto perchè dopo la scansione di Dr.Web ho cancellato il report e ora devo rifare la scansione.
Dr.Web aveva trovato questo backdoor.

Master Boot Record HDD1;;BackDoor.MaosBoot.35;Curato.;
Master Boot Record HDD1;;BackDoor.MaosBoot.35;Curato.;


A presto.

[VetroAlex]

Ciao ragazzi,
sono passato al pc dell'ufficio.. ho fatto girare Gmer (qui il log) e prevx. Quest'ultimo non ha trovato nulla ma eccovi comunque il log.. A questo punto forse il mio pc è apposto e, davvero nn so come sia possibile perchè non lo formatto da circa 5 anni e c'ho girato su e giù per il web!! Attendo news e ditemi se comunque devo scansionare il pc lo stesso con Norman dato che è una bestia e potrebbe rilevare qualke altro virus

[Chill-Out]

Quote:

Originariamente inviato da pcinforma

Ciao Chill-out e ancora grazie.
Ho eseguito la 2a e 3a fase, ma ho fatto confusione con il report di Dr.Web.
Ho provato ad eliminare Help assistant, ma è rimasto in C:\Documents and Settings.
Intanto ti ho allegato i log di mbr (che ha trovato qualcosa) e Nfix.

mbr.log
NFix_2010-04-09_13-30-01.log

MI sta prendendo l' infarto perchè dopo la scansione di Dr.Web ho cancellato il report e ora devo rifare la scansione.
Dr.Web aveva trovato questo backdoor.

Master Boot Record HDD1;;BackDoor.MaosBoot.35;Curato.;
Master Boot Record HDD1;;BackDoor.MaosBoot.35;Curato.;


A presto.

Potresti allegare anche il log di CureIt, inoltre indicami il SO in uso.

[corridori]

stavo seguindo la guida ma al momento di installare prevx non mi fa procedere e mi dice che è necessario essere aministratori per installare prevx, ora il punto è che io sono l'unico utente di xp e ovviamente sono anche amministratore (ho persino verificato su pannello di controllo e anche li risulto amministratore) la scansione fatta con gmer mi sa che conferma che sono infetto:
http://wikisend.com/download/476276/gmerlog.txt

cosa mi consigliate di fare?

[johntitor2]

ciao a tutti, scusate se disturbo, da ieri mi sono beccato questo rootkit...ho letto tutta la discussione ma non son riuscito a risolvere...ho provato col tool di rimozione della Eset e quello della Symantec ma non è servito, ho anche provato con mbr.exe -f ma non me lo fixa, me lo rileva solo, potreste aiutarmi per favore? grazie e scusate ancora...vi prego sono disperato...ho tanti giga di roba sul pc e non vorrei perderla...grazie

[Chill-Out]

Quote:

Originariamente inviato da corridori

stavo seguindo la guida ma al momento di installare prevx non mi fa procedere e mi dice che è necessario essere aministratori per installare prevx, ora il punto è che io sono l'unico utente di xp e ovviamente sono anche amministratore (ho persino verificato su pannello di controllo e anche li risulto amministratore) la scansione fatta con gmer mi sa che conferma che sono infetto:
http://wikisend.com/download/476276/gmerlog.txt

cosa mi consigliate di fare?

Tasto dx del mouse ->> Esegui come

[Chill-Out]

Quote:

Originariamente inviato da johntitor2

ciao a tutti, scusate se disturbo, da ieri mi sono beccato questo rootkit...ho letto tutta la discussione ma non son riuscito a risolvere...ho provato col tool di rimozione della Eset e quello della Symantec ma non è servito, ho anche provato con mbr.exe -f ma non me lo fixa, me lo rileva solo, potreste aiutarmi per favore? grazie e scusate ancora...vi prego sono disperato...ho tanti giga di roba sul pc e non vorrei perderla...grazie

Ciao, hai letto la Guida in prima pagina?

[corridori]

bene grazie, sono riuscito a fare le scansioni ecco i log:

http://wikisend.com/download/526716/prevxlog.log
http://wikisend.com/download/476276/gmerlog.txt



mi sa che sono infetto secondo gmer anche se prevx dice di no

che faccio chill-out?

[johntitor2]

ciao, si ho letto la guida, ho scaricato gmer e prevx, gmer ha fatto la scansione e subito mi ha rilevato una cosa in rosso, poi dopo un pò l'ho fermata perchè erano davvero tantissimi files ma credo che quello rompiscatole lo abbia individuato bene, poi ho fatto la scansione con prevx, mi ha trovato due files infetti ma non mi fa salvare il log, e non mi fa neanche disinfettare i files, comunque allego i log di tutti e due (prevx mi son segnato io le due cose infette, a mano) :

anzi ora vero che qui non mi fa allegare 2 files, vi scrivo a mano quello che ha rilevato prevx :

botdklive.dll in c:\programmi\messenger plus! live\scripts\live...
livenotifier.dll in c:\programmi\messenger plus! live\scripts\live...

[Chill-Out]

Quote:

Originariamente inviato da johntitor2

ciao, si ho letto la guida, ho scaricato gmer e prevx, gmer ha fatto la scansione e subito mi ha rilevato una cosa in rosso, poi dopo un pò l'ho fermata perchè erano davvero tantissimi files ma credo che quello rompiscatole lo abbia individuato bene, poi ho fatto la scansione con prevx, mi ha trovato due files infetti ma non mi fa salvare il log, e non mi fa neanche disinfettare i files, comunque allego i log di tutti e due (prevx mi son segnato io le due cose infette, a mano) :

anzi ora vero che qui non mi fa allegare 2 files, vi scrivo a mano quello che ha rilevato prevx :

botdklive.dll in c:\programmi\messenger plus! live\scripts\live...
livenotifier.dll in c:\programmi\messenger plus! live\scripts\live...

Per poter essere aiutati è necessario seguire esattamente la Guida, altrimenti tiriamo ad indovinare, allega su uno dei Server Remoti indicati i log completi di Prevx e Gmer.

[Chill-Out]

Quote:

Originariamente inviato da corridori

bene grazie, sono riuscito a fare le scansioni ecco i log:

http://wikisend.com/download/526716/prevxlog.log
http://wikisend.com/download/476276/gmerlog.txt



mi sa che sono infetto secondo gmer anche se prevx dice di no

che faccio chill-out?

Fase 2 e 3 attendo i log, tutti in 1 unico Post, grazie.

[johntitor2]

Quote:

Originariamente inviato da Chill-Out

Per poter essere aiutati è necessario seguire esattamente la Guida, altrimenti tiriamo ad indovinare, allega su uno dei Server Remoti indicati i log completi di Prevx e Gmer.

hai ragione chiedo scusa per la mia incompetenza..

spero di aver fatto bene le cose ora :

http://wikisend.com/download/453240/log di gmer.log

http://wikisend.com/download/431056/log prevx.log

[corridori]

fase due: riavviato in modalità provvisoria ma mbr detector non si avvia, compare una finestra per un attimo e sparisce, il normal invece fornisce il seguente log

http://wikisend.com/download/833944/...4_13-11-47.log


a questo punto che faccio? perchè mbr detector non si avvia?

[Chill-Out]

Quote:

Originariamente inviato da johntitor2

hai ragione chiedo scusa per la mia incompetenza..

spero di aver fatto bene le cose ora :

http://wikisend.com/download/453240/log di gmer.log

http://wikisend.com/download/431056/log prevx.log

Procedi così:

1 Scarica questo file http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovare in C:\TDSSKiller..................log.txt

2 Scarica questo software http://www.surfright.nl/en/hitmanpro lancia la scansione, trovando tracce dell'infezione ti consentirà la rimozione gratutita

3 ComboFix - Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Doppio click su ComboFix.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza

Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt

4 Fai scansione completa con DrWeb CureIt eattamanete come indicato al Punto 5 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

Riepilogo log da allegare:
TDSSKiller
ComboFix
CureIt
Nuovo log di Gmer

NB: i log andranno allegati in una nuova discussione che andrai ad aprire qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125

[Chill-Out]

Quote:

Originariamente inviato da corridori

fase due: riavviato in modalità provvisoria ma mbr detector non si avvia, compare una finestra per un attimo e sparisce, il normal invece fornisce il seguente log

http://wikisend.com/download/833944/...4_13-11-47.log


a questo punto che faccio? perchè mbr detector non si avvia?

Prosegui con CureIt

[Nimrod1991]

Salve ragazzi, io mi trovo in una situazione un pò strana. Vi spiego

Ieri mentre navigavo, ho ricevuto tramite avira antivirus, una segnalazione di virus da una pagina web che stavo visitando. Non sapendo come comportarmi ho chiuso tramite Ctrl+Alt+Canc. SUccessivamente ho riavviato Mozilla, non pensando però al fatto che questo browser in caso di crash, ripropone le stesse pagine. Allora velocissimamente sono tornato alla homepage (google). Pochi minuti dopo il computer si riavvia da solo. E da li sono iniziati i problemi.

Riacceso il computer, ho ripreso a lavorare al pc e a un certo punto il sistema diventa piu lento. Stavo lavorando dentro una cartella, e per rendermi conto di quello che stava succedendo (in pratica quando volete verificare se il pc si è freezato o no) ne ho aperta un'altra. La seconda cartella si è aperta tranquillamente ma dopodichè mi è risultato impossibile compiere qualsiasi altra azione. Il mouse si muoveva tranquillamente su tutto lo schermo e anche il pulsante Start si illuminava. Il bloc num si accendeva e si spegneva e i pulsanti di "riduci a icona" "ingrandisci",.. si illuminavano ma cliccando su qualunque cosa era come se il pc fosse bloccato. In parole povere un "freeze" dove il muose si muoveva tranquillamente.

Spaventato,ho riavviato (era anche l'unica cosa possibile) e sembrava tutto normale. Dopo 5 minuti circa il computer si blocca proprio e comincia ad emettere un fischio tipo sirena molto forte, impossibile anche qui ogni altra azione. Alchè ho dovuto riavviare.

Stamattina ho riacceso tutto sperando di non trovare problemi, ma , ahimè, il problema persisteva.La prima volta che l'ho acceso sono riuscito a scaricare ivari programmi per controllare le temperature (Tutte oK) e i vari voltaggi. Ho smontato il pc e l'ho spolverato, ho elminato vecchi programmi, ho effettuato la pulitura del registro e dei Temporary Internet Files.Ma il problema restava. Alchè ho cominciato a pensare che si trattasse di un virus.

Navigando per il web sono riuscito a trovare un post in inglese in cui si parlava di un certo antivirus "Dr Web" suggerito a un tizio che aveva gli stessi miei problemi.

L'ho scaricato, e subito ha trovato questo virus "Master Boot REcord Hdd1" "backdoor.maosboot.35".Finita la scansione rapida glil'ho fatto elminare. Successivamente il problema (fin'ora ) non si è piu presentato.

Però, incuriosito da questo virus, l'ho cercato con google e ho trovato questo post. Ora, la mia domanda è questa:

Leggendo la guida iniziale, io mi sono reso conto di aver fatto solo 1 delle tante fasi per eliminare questo virus; visto che il virus, in una seconda scansione (sempre rapida, ora sto facendo quella completa) non risulta, è necessario che io compia dall'inizio tutte le varie fasi per la sua rimozione?

Grazie anticipatamente delle risposte

[Chill-Out]

Se desideri fugare ogni dubbio segui la Guida in prima pagina, ti suggerisco inoltre la Guida al tuo AV http://www.hwupgrade.it/forum/showthread.php?t=1514684 così in caso di infezione saprai come comportarti.

[Nimrod1991]

ok allora le farò tutte. Ora ho appena fatto un'analisi con HijackThis e sto provando a farla analizzare da quel sito che lo fa automaticamente solo che pare non funzionare

[Chill-Out]

Quote:

Originariamente inviato da Nimrod1991

ok allora le farò tutte. Ora ho appena fatto un'analisi con HijackThis e sto provando a farla analizzare da quel sito che lo fa automaticamente solo che pare non funzionare

Come puoi notare tu stesso HJT non è contemplato nella Guida, in quanto per questa infezione è irrelevante.

[Nimrod1991]

Ah ok. Nel frattempo la scansione completa di Dr Web ha rilevato (oltre ad altri file infetti che si trovavano nella cartella quarantena di Avira ma che ho comunque fatto spostare) quest'altro virus "infettato da BackDoor.MaosBoot.41" mi sa che cè ancora!