Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[lalloghin]

OK. Adesso che il PrevX free è installato (unica variazione apportata al sistema) son tornati a funzionare anche gli streaming.
(sottolineo che non è stata effettuata nessuna ulteriore bonifica). Mistero.
Domanda: ma AVGantivirus (che evidentemente è un colabrodo) è sostituibile dalla versione free di PrevX. In altre parole potrei tentare di disinstallare AvG?

[Chill-Out]

Quote:

Originariamente inviato da lalloghin

OK. Adesso che il PrevX free è installato (unica variazione apportata al sistema) son tornati a funzionare anche gli streaming.
(sottolineo che non è stata effettuata nessuna ulteriore bonifica). Mistero.
Domanda: ma AVGantivirus (che evidentemente è un colabrodo) è sostituibile dalla versione free di PrevX. In altre parole potrei tentare di disinstallare AvG?

Direi di sostituire AVG con Avira Antivir Free al quale puoi affiancare Prevx in versione Free, comunque a tal proposito ti suggerisco la lettura di questo 3D http://www.hwupgrade.it/forum/showthread.php?t=2011681 dove puoi trovare tutte le info che ti necessitano.

[MaxX 84]

Ciao! Sono già passato di qua per il problema di un MBR rootkit che ho avuto (e poi risolto grazie a voi), ma ora ne ho un altro, ossia il pc si spegne IMPROVVISAMENTE da solo...quando vuole lui!!!! (e rimane spento, senza riavviarsi).
Prevx, norman e doctorweb non trovano niente, ma gmer trova dei file strani che non saprei dire se sono dei rootkit.
Questo è il log di mbr.exe: credo di essere infetto da qualcosa ma non so cosa...

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x02542D6C1
malicious code @ sector 0x02542D6C4 !
PE file found in sector at 0x02542D6DA !

Chillout confido in te! Grazie! :-)

[Chill-Out]

Quote:

Originariamente inviato da MaxX 84

Ciao! Sono già passato di qua per il problema di un MBR rootkit che ho avuto (e poi risolto grazie a voi), ma ora ne ho un altro, ossia il pc si spegne IMPROVVISAMENTE da solo...quando vuole lui!!!! (e rimane spento, senza riavviarsi).
Prevx, norman e doctorweb non trovano niente, ma gmer trova dei file strani che non saprei dire se sono dei rootkit.
Questo è il log di mbr.exe: credo di essere infetto da qualcosa ma non so cosa...

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x02542D6C1
malicious code @ sector 0x02542D6C4 !
PE file found in sector at 0x02542D6DA !

Chillout confido in te! Grazie! :-)

Ciao, se il PC si spegne da solo hai problemi alla Ram o all'alimentatore, potresti iniziare facendo questi Test http://www.hwupgrade.it/forum/showthread.php?t=1909033

[Klod21]

é un pò che scrivo sul forum il mio problema (v. ho tanto bisogno di aiuto mi sento un'analfabeta). Leggendo su internet ho scoperto che esiste questo virus che utilizza i driver atapi.sys e ACIP.sys che sono gli stessi che ho io nel mio pc nella cartella drivers.. non so se sia normale .. l'unica cosa che so è che il pc non va.. ho provato con tutti i mezzi possibili da voi descritti ma niente.. non vorrei essermi presa un TDL3.. sembra che non esistano soluzioni al mio problema..

[MIALLU]

salve a tutti

anche il mio pc è afflitto dai problemi di cui si parla qui
mi sono accorto del problema perchè ho notato un notevole rallentamento e per la comparsa della cartella HelpAssistant

il pc è dotato di un hard disk suddiviso in 2 partizioni con Windows 7 nella prima partizione e Xp nella seconda...xp è l'os che uso abitualmente.

Ho fatto le scansioni indicate nella guida del primo post riavviando il pc con windows 7.


Gmer e Prevx 3.0 non mi hanno trovato niente
Questi i log:

gylook0m.log
PREVXCSIFREE.log

Poi ho intrapreso la seconda fase riavviando Seven in modalità provvisoria e MBR:EXE mi ha trovato l'infezione ma facendo mbr.exe -f non me l'ha corretta.

Questo il log:
mbr.log

Ho fatto la scansione con Norman SinowalMBR Cleaner ma non mi ha rilevato niente.
Tuttavia durante la scansione è comparsa la scritta rossa "Unable to scan for SinowalMBR hooks"

Log
NFix_2010-05-30_20-06-36.log


Help please

[Chill-Out]

Quote:

Originariamente inviato da MIALLU

salve a tutti

anche il mio pc è afflitto dai problemi di cui si parla qui
mi sono accorto del problema perchè ho notato un notevole rallentamento e per la comparsa della cartella HelpAssistant

il pc è dotato di un hard disk suddiviso in 2 partizioni con Windows 7 nella prima partizione e Xp nella seconda...xp è l'os che uso abitualmente.

Ho fatto le scansioni indicate nella guida del primo post riavviando il pc con windows 7.


Gmer e Prevx 3.0 non mi hanno trovato niente
Questi i log:

gylook0m.log
PREVXCSIFREE.log

Poi ho intrapreso la seconda fase riavviando Seven in modalità provvisoria e MBR:EXE mi ha trovato l'infezione ma facendo mbr.exe -f non me l'ha corretta.

Questo il log:
mbr.log

Ho fatto la scansione con Norman SinowalMBR Cleaner ma non mi ha rilevato niente.
Tuttavia durante la scansione è comparsa la scritta rossa "Unable to scan for SinowalMBR hooks"

Log
NFix_2010-05-30_20-06-36.log


Help please

Ciao, dai log non emerge nulla.

[MIALLU]

sembrerebbe che Dr.Web CureIt abbia trovato e risolto il guaio

questo il messaggio relativo all'infezione "Master Boot Record HDD1 infettato da BackDoor.MaosBoot.35"

al momento non sto avendo problemi e la cartella HelpAssistant non si è ricreata

grazie a tutti

[Chill-Out]

Quote:

Originariamente inviato da MIALLU

sembrerebbe che Dr.Web CureIt abbia trovato e risolto il guaio

questo il messaggio relativo all'infezione "Master Boot Record HDD1 infettato da BackDoor.MaosBoot.35"

al momento non sto avendo problemi e la cartella HelpAssistant non si è ricreata

grazie a tutti

Se alleghi il log, può tornare utile anche per altri utenti.

[MIALLU]

Pardon, eccolo:

CureIt.log

[Chill-Out]

Quote:

Originariamente inviato da MIALLU

Pardon, eccolo:

CureIt.log

Ciao, il log è incompleto, manca la parte inerente le Statistiche che evidenziano il file infetti rimossi, potresti riallegarlo?

[MIALLU]

Quote:

Originariamente inviato da Chill-Out

Ciao, il log è incompleto, manca la parte inerente le Statistiche che evidenziano il file infetti rimossi, potresti riallegarlo?

quello postato è l'unico file presente nella cartella creata da Doctorweb cure.it

[Chill-Out]

Quote:

Originariamente inviato da MIALLU

quello postato è l'unico file presente nella cartella creata da Doctorweb cure.it

Verifica nel percorso indicato in Guida, diversamente se non riscontri problema puoi passare al trattamento post infezione.

[reira83]

Ciao a tutti!
Sono di nuovo infettata dal virus MBR
Sintomi abbastanza "soft", lentezza del pc, di explorer e varie applicazioni, blocco dei menu a tendina, all'accensione stamattina risultava un ripristino per errore grave.
NOTA: lo scorso mese ero stata infettata dal virus My Security Engine (il falso antivirus). L'ho rimosso, ma da allora il pc è sempre stato lento, forse degli strascichi possono aver causato la nuova infezione?
Sistema: ho Windows XP professional 2002 SP3, disco fisso C con windows, disco slave D e disco esterno E

Log PRIMA FASE:
GMER: Edit
(ad un certo punto alla fine, nell'analisi di D, ha detto che c'era un settore danneggiato ed era necessario un chkdsk)
PREVX pre-rimozione: prevx.log
non ha trovato nulla, quindi sono andata avanti con la seconda fase

Log SECONDA FASE:
MBR: mbr.log
NORMANSINOWAL: NFix_2010-06-15_16-23-24.log

Grazie per qualsiasi aiuto/risposta!

[Chill-Out]

Manca il log di Gmer al suo posto hai allegato l'eseguibile del software stesso, successivamente procedi come indicato in Guida con CureIt.

[reira83]

Ops, chiedo scusa per l'errore!

Log Gmer: log gmer.txt
Dr Web Cureit: cureit filtrato.txt


Domanda: Prevx sta ancora girando, avendolo usato per la scansione.
Ebbene, mi blocca la homepage di Google segnalandola come non sicura e mi appare questo messaggio da Prevx:
High Risk: Hosts file redirection to unapproved web site or IP address.
The request to visit this web site has been redirected by an entry in your hosts file. We strongly suggest that you close your browser window now to avoid possibile infection or information capture. You should also inspect and verify your hosts file contents.
Premetto di aver osservato da un po' strani comportamenti di google, come lentezza esasperante, e link nei preferiti che ogni tanto funzionava, ogni tanto invece mi dava "page not found".
Cosa devo fare? Sempre colpa del virus?

[Chill-Out]

Quote:

Originariamente inviato da reira83

Ops, chiedo scusa per l'errore!

Log Gmer: log gmer.txt
Dr Web Cureit: cureit filtrato.txt

Dai log non emergono tracce del Rootkit in questione

Quote:

Originariamente inviato da reira83

Domanda: Prevx sta ancora girando, avendolo usato per la scansione.
Ebbene, mi blocca la homepage di Google segnalandola come non sicura e mi appare questo messaggio da Prevx:
High Risk: Hosts file redirection to unapproved web site or IP address.
The request to visit this web site has been redirected by an entry in your hosts file. We strongly suggest that you close your browser window now to avoid possibile infection or information capture. You should also inspect and verify your hosts file contents.
Premetto di aver osservato da un po' strani comportamenti di google, come lentezza esasperante, e link nei preferiti che ogni tanto funzionava, ogni tanto invece mi dava "page not found".
Cosa devo fare? Sempre colpa del virus?

No, trattasi solo della SOL Safe On Line, qui trovi la Guida dedicata a Prevx http://www.hwupgrade.it/forum/showthread.php?t=1923599

[gilgames]

Ciao Chill-Out.

Sono gil e la mia macchina ha OS Win7 (OS aggiornato alla fiamma)

Sono un'altro con il problema Win32/Mebroot.mbr

L'ho diagnosticato con NOD32 (ver.5206) (su tutti e due gli HD):
Il settore MBR di 1. Disco fisico contiene cavallo di troia Win32/Mebroot.mbr.
Il settore MBR di 2. Disco fisico contiene cavallo di troia Win32/Mebroot.mbr.

Ti allego i vari log:

MBR:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0747059C1
malicious code @ sector 0x0747059C4 !
PE file found in sector at 0x0747059DA !

GMER:
http://www.hwupgrade.it/forum/attach...1&d=1276882704

Inutile dirti che le ho provate tutte:
Gmer
Prevx
MBR
Norman SinowalMBR Clean
. . . . nulla.

Ho visto alcuni post di altri forum che parlano di azzerare settori . . . ma non mi permetto se non guidato da una guida autorevole
Ho scaricato anche HxDSetupIT ma, come detto sopra ho paura a modificare qualcosa.

Ti sarei grato se potresti darmi qualche aiuto.

THK in ADV

Gil

[Chill-Out]

Quote:

Originariamente inviato da gilgames

Ciao Chill-Out.

Inutile dirti che le ho provate tutte:
Gmer
Prevx
MBR
Norman SinowalMBR Clean
. . . . nulla.

Ciao, per poterti aiutare è necessario vedere i log richiesti in Guida.

[gilgames]

Quote:

Originariamente inviato da Chill-Out

Ciao, per poterti aiutare è necessario vedere i log richiesti in Guida.

Pardon. . .

NOD32 - http://wikisend.com/download/462388/gil_NOD32.jpg
Gmer Log - http://wikisend.com/download/533132/gil_Gmer.log
Prevx Log - http://wikisend.com/download/641778/gil_Prevx.log
MBR - http://wikisend.com/download/560820/gil_mbr.log
HxD disk1 - http://wikisend.com/download/518876/gil_disk1.jpg
HxD disk2 - http://wikisend.com/download/437554/gil_disk2.jpg

Manca qualcosa?

THK

Gil