Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[LionelHutz]

Quote:

Originariamente inviato da Chill-Out

Ciao, sulla base di cosa pensi di aver contratto questo Virus?

ciao, in passato ho già avuto a che fare con degli mbr, ma era un altra piattaforma
ora sto avendo problemi di schermate blu continue, non voglio escludere nessuna ipotesi, infatti in modalità provvisoria avevo trovato dei trojan
ho eseguito la scansione completa con cureit e non mi ha trovato niente di rilevante
ah, ho avuto parecchi problemi immagino di conflitti di sistema a 64 bit con adobe flash player e browser
ti ringrazio anticipatamente
aspetto tuoi consigli

[Chill-Out]

Quote:

Originariamente inviato da LionelHutz

ciao, in passato ho già avuto a che fare con degli mbr, ma era un altra piattaforma
ora sto avendo problemi di schermate blu continue, non voglio escludere nessuna ipotesi, infatti in modalità provvisoria avevo trovato dei trojan
ho eseguito la scansione completa con cureit e non mi ha trovato niente di rilevante
ah, ho avuto parecchi problemi immagino di conflitti di sistema a 64 bit con adobe flash player e browser
ti ringrazio anticipatamente
aspetto tuoi consigli

Se desideri fare un controllo approfondito ad ampio raggio ti suggerisco la Guida alla disinfezione.

[LionelHutz]

Quote:

Originariamente inviato da Chill-Out

Se desideri fare un controllo approfondito ad ampio raggio ti suggerisco la Guida alla disinfezione.

ok procedo, meglio togliermi ogni dubbio a livello software prima di procedere con testing definitivo della parte hardware
ho appena chiesto nella sezione di hijack nel caso spuntasse qualcosa
con prevx sembrava risolto ma i rischi che mi identifica sembrano aver a che fare con i driver audio?!

ti ringrazio

[coolintel]

Qualcuno mi può dire se sono infetto da questo rootkit????

Post il log di gmer:
http://wikisend.com/download/602488/log01.log

Grazie mille.

[Chill-Out]

Quote:

Originariamente inviato da coolintel

Qualcuno mi può dire se sono infetto da questo rootkit????

Post il log di gmer:
http://wikisend.com/download/602488/log01.log

Grazie mille.

Dal log di Gmer non emerge nulla.

[coolintel]

Grazie mille per la tua risposta tempestiva....

Vi posto anche il log di prevx:

http://wikisend.com/download/455022/logprev.log

------------------------

Il fatto è che l'utilizzo cpu è sempre al 100% qualunque cosa faccio o qualunque programma apro..... Non so più che pensare.....

[Chill-Out]

Quote:

Originariamente inviato da coolintel

Grazie mille per la tua risposta tempestiva....

Vi posto anche il log di prevx:

http://wikisend.com/download/455022/logprev.log

------------------------

Il fatto è che l'utilizzo cpu è sempre al 100% qualunque cosa faccio o qualunque programma apro..... Non so più che pensare.....

Pulito

Per scrupolo fai scansione completa con DrWeb CureIt come indicato in guida.

[dimmi]

Mi scuso per aver aperto un post nella sezione, posto qui il problema:
_____________________

Ciao ragazzi, ho sottomano il portatile di un collega che era infetto da un bel pò di schifezze varie tra cui il falso antivirus 2010, ecc ecc
Ora scansionando a destra e sinistra e seguendo anche le vostre guide sono riuscito a ripulire il sistema. Per lo meno agli "occhi" di Kaspersky, SuperAntiSpyware, Malwarebytes' Anti-Malware, ecc

Quello che non mi convince è il log di mbr.exe, ve lo posto:

Codice:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
malicious code @ sector 0x0923CA0C !
PE file found in sector at 0x0923CA22 !

Leggendo un pò in rete ho trovato pareri discordanti. A detta di qualcuno l'MBR è OK ma il rootkit ha lasciato qualche danno, cmq sarebbe inoffensivo e si può lasciare così. Da altre parti ho letto che il rootkit starebbe "dormendo" negli ultimi settori del disco e potrebbe infettare eventuali dischi esterni collegati al pc.

Volevo provare il comando fixmbr da console di ripristino ma non vorrei perdere la tabella delle partizioni, devo fare prima un bel backup.

Voi cosa mi consigliate di fare? E sopratutto ... è ancora infetto il pc?

Grazie

[Chill-Out]

Quote:

Originariamente inviato da dimmi

Mi scuso per aver aperto un post nella sezione, posto qui il problema:
_____________________

Ciao ragazzi, ho sottomano il portatile di un collega che era infetto da un bel pò di schifezze varie tra cui il falso antivirus 2010, ecc ecc
Ora scansionando a destra e sinistra e seguendo anche le vostre guide sono riuscito a ripulire il sistema. Per lo meno agli "occhi" di Kaspersky, SuperAntiSpyware, Malwarebytes' Anti-Malware, ecc

Quello che non mi convince è il log di mbr.exe, ve lo posto:

Codice:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
malicious code @ sector 0x0923CA0C !
PE file found in sector at 0x0923CA22 !

Leggendo un pò in rete ho trovato pareri discordanti. A detta di qualcuno l'MBR è OK ma il rootkit ha lasciato qualche danno, cmq sarebbe inoffensivo e si può lasciare così. Da altre parti ho letto che il rootkit starebbe "dormendo" negli ultimi settori del disco e potrebbe infettare eventuali dischi esterni collegati al pc.

Volevo provare il comando fixmbr da console di ripristino ma non vorrei perdere la tabella delle partizioni, devo fare prima un bel backup.

Voi cosa mi consigliate di fare? E sopratutto ... è ancora infetto il pc?

Grazie

Ti ho già risposto, http://www.hwupgrade.it/forum/showpo...63&postcount=2 il log può rimanere sporco, in ogni caso per scrupolo segui la guida in prima pagina.

[emmeerre]

su un altro thread mi è stato detto che sono infettato da BackDoor.MaosBoot.35. Ho ripetuto la scansione con do DrWeb e questo è il nuovo log filtrato:

http://www.filedropper.com/cureitfiltrato_1

Purtroppo Dr web non mi ha chiesto di riavviare il pc per rimuovere l'infezione come previsto.
Che faccio seguo la guida passo passo?

[Chill-Out]

Quote:

Originariamente inviato da emmeerre

su un altro thread mi è stato detto che sono infettato da BackDoor.MaosBoot.35. Ho ripetuto la scansione con do DrWeb e questo è il nuovo log filtrato:

http://www.filedropper.com/cureitfiltrato_1

Purtroppo Dr web non mi ha chiesto di riavviare il pc per rimuovere l'infezione come previsto.
Che faccio seguo la guida passo passo?

Il log non mostra più l'infezione, adesso dovresti essere in grado di aggiornare sia MBAM che Emsi Antimalware e ripetere scansione completa.

[prometheus]

Il mio pc, subito dopo il boot del bios, mi restituisce la schermata nera.
Come faccio ad applicare tutto l'ambaradan della procedura di disinfezione senza poter nemmeno accedere alla modalità provvisoria?
:\

Qualche aiutino?

[Chill-Out]

Quote:

Originariamente inviato da prometheus

Il mio pc, subito dopo il boot del bios, mi restituisce la schermata nera.
Come faccio ad applicare tutto l'ambaradan della procedura di disinfezione senza poter nemmeno accedere alla modalità provvisoria?
:\

Qualche aiutino?

Ciao, prima bisognerebbe capire il perchè pensi si tratti del MBR Rootkit.

[prometheus]

Quote:

Originariamente inviato da Chill-Out

Ciao, prima bisognerebbe capire il perchè pensi si tratti del MBR Rootkit.

La mia è una speranza , perché almeno saprei come orientarmi e anche perché saprei giustificare la moria di 3 pc (diversi, lontani e senza parentela l'uno con l'altro) con stessi sintomi in 2 giorni.

Hai ragione, allora riformulo la domanda:
La schermata nera dopo il boot del bios può essere determinata da un MBR corrotto?
La corruzione del MBR può essere avvenuta a causa di un virus (es. MRB Rootkit)?

Sono sempre più triste

[Chill-Out]

Quote:

Originariamente inviato da prometheus

La schermata nera dopo il boot del bios può essere determinata da un MBR corrotto?

Si, ma può non essere l'unico motivo

Quote:

Originariamente inviato da prometheus

La corruzione del MBR può essere avvenuta a causa di un virus (es. MRB Rootkit)?

"Una volta che il dropper viene eseguito, sovrascrive il master boot record con il proprio codice e memorizza una copia del mbr originale al settore 62 del disco, appendendo il vecchio mbr a del codice proprio. Codice del malware viene aggiunto anche nei settori 60 e 61. Il driver del rootkit viene poi scritto in uno spazio libero e inutilizzato dell’hard disk, solitamente gli ultimi settori del disco. Il codice scritto nel MBR sarà responsabile del caricamento del driver vero e proprio nel sistema.
Al successivo riavvio del sistema (il malware può programmare un reboot automaticamente) il codice scritto nel master boot record prende il controllo dell’Int 13h in modo tale da poter controllare qualunque cosa venga caricata dal sistema operativo. Questa posizione gli permette di poter modificare il kernel on-the-fly non appena viene letto dall’hard disk......."

[prometheus]

@ Chill

Ok, molto bene.
Cosa faresti nel mio caso? Come potrei procedere?

Creare un disco di boot con antivir rescue system servirebbe a qualcosa?
Mi permetterebbe di aggirare l'eventuale MBR corrotto e caricarmi un ambiente in cui poter almeno eseguire un back dei dati recenti?

Brancolo nel buio

[Chill-Out]

Quote:

Originariamente inviato da prometheus

@ Chill

Ok, molto bene.
Cosa faresti nel mio caso? Come potrei procedere?

Creare un disco di boot con antivir rescue system servirebbe a qualcosa?
Mi permetterebbe di aggirare l'eventuale MBR corrotto e caricarmi un ambiente in cui poter almeno eseguire un back dei dati recenti?

Brancolo nel buio

In questo caso utilizzerei il LiveCD di DrWeb http://www.freedrweb.com/livecd/?lng=en

[prometheus]

Quote:

Originariamente inviato da Chill-Out

In questo caso utilizzerei il LiveCD di DrWeb http://www.freedrweb.com/livecd/?lng=en

Grazie per l'aiuto, ora vado a studiarmi il manuale.
Cheers

[Chill-Out]

Quote:

Originariamente inviato da prometheus

Grazie per l'aiuto, ora vado a studiarmi il manuale.
Cheers

Prego

[prometheus]

@ Chill

Il virus si chiama welcomB. E' un trojan che fotte l'MBR.

Sono riuscito ad utilizzare windows PE per salvare i dati, ma ora permane il problema che non riesco ad avviare il pc in nessuna modalità.
Non posso mettere in atto la procedura di disinfezione.
Posso solo aggiungere che gmer ha confermato questo:
Disk \device\harddisk0\dr0 sector 06: copy of MBR

Cosa mi consigli di fare? Come posso procedere?
PS. DrWeb live cd ha un bug (conosciuto dai programmatori) che non mi fa usare mouse e tastiera, quindi non posso usarlo...