Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da prometheus

@ Chill

Il virus si chiama welcomB. E' un trojan che fotte l'MBR.

Sono riuscito ad utilizzare windows PE per salvare i dati, ma ora permane il problema che non riesco ad avviare il pc in nessuna modalità.
Non posso mettere in atto la procedura di disinfezione.
Posso solo aggiungere che gmer ha confermato questo:
Disk \device\harddisk0\dr0 sector 06: copy of MBR

Cosa mi consigli di fare? Come posso procedere?
PS. DrWeb live cd ha un bug (conosciuto dai programmatori) che non mi fa usare mouse e tastiera, quindi non posso usarlo...

Stai parlando di un Virus che ha + di 10 anni.

[prometheus]

Quote:

Originariamente inviato da Chill-Out

Stai parlando di un Virus che ha + di 10 anni.

Ok, vuoi dire che non esiste un tool di rimozione perché troppo vecchio?
Non rimane che formattare?

[Chill-Out]

Quote:

Originariamente inviato da prometheus

Ok, vuoi dire che non esiste un tool di rimozione perché troppo vecchio?
Non rimane che formattare?

No secondo me è impossibile che si tratti di quel virus.

[prometheus]

Quote:

Originariamente inviato da Chill-Out

No secondo me è impossibile che si tratti di quel virus.

E' molto probabile che tu abbia ragione, ti faccio il punto della situazione:
1. Dr Web Live CD (aggiornatissimo) ha beccato col suo scan 2 virus e altri file sospetti, ma non so altro perché ho dovuto usare la versione text/console e non so la sintassi dei comandi per creare un log, né disinfettare.
2. Antivir System Rescue (fresco di giornata) ha fallito clamorosamente. Nessun detect.
3. Avast (versione superata) ha beccato il WelcomB nel pagefile.sys
4. Gmer (aggiornato) ha sgamato un rootkit/malware nell'MBR.

Qualche idea su come procedere?

[Chill-Out]

Quote:

Originariamente inviato da prometheus

E' molto probabile che tu abbia ragione, ti faccio il punto della situazione:
1. Dr Web Live CD (aggiornatissimo) ha beccato col suo scan 2 virus e altri file sospetti, ma non so altro perché ho dovuto usare la versione text/console e non so la sintassi dei comandi per creare un log, né disinfettare.
2. Antivir System Rescue (fresco di giornata) ha fallito clamorosamente. Nessun detect.
3. Avast (versione superata) ha beccato il WelcomB nel pagefile.sys
4. Gmer (aggiornato) ha sgamato un rootkit/malware nell'MBR.

Qualche idea su come procedere?

La nota positiva è che sei riuscito ad utilizzare CureIt quindi hai la possibilità di salvare i dati, sarebbe opportuno vedere il log di Gmer.

[bunny777]

Salve a tutti.
Credo di avere un problema di MBR. E' da qualche giorno che il pc mi si avvia ma mi obbliga a riavviarlo prima ancora di caricare l'XP.
Ho fatto una scansione generale con Avira - aggiornato quotidianamente - e mi ha rilevato nelle 2 partizioni C e D il "BOO/Sinowal.C".
Ho fatto le scansioni con Gmer e Prevx 3.0 anche se, diversamente dalla guida, Prevx non mi ha permesso la pulizia, chiedendomi l'acquisto del codice. Ho proceduto allora con la 2° fase, avviando in F8 e dando "mbr.exe -f", che sembra aver in parte risolto qualcosa dicendomi che l'MBR originario è stato ripristinato.
Dunque, dopo il trattamento 'mbr.exe -f' Avira non mi rileva più il Sinowal e anche Gmer rileva meno della precedente scansione ma continua tuttavia a rilevare files minacciosi per l'MBR e anche Prevx (come Gmer) continua a rilevarmi un file ewvarhb.sys in C:\windows\system32\drivers che qualifica 'Malware component'.
In allegato trovate i log gmer1 e gmer2 nonchè prevx1 e prevx2 rispettivamente prima e dopo l'esecuzione del file mbr.exe e ovviamente il log dello stesso mbr.exe. In particolare nel log prevx2 non c'è più questa riga:
[G] c:\$mbr.0 [PX5: 9E66FF84003CACE801A60073FB11D700EA282924]
che invece compare nel log prevx1.
Ho successivamente eseguito una scansione parziale di Norman (ho stoppato data la tarda ora e rinviato la scansione completa) e Gmer nel log gmer2 (ottenuto dopo mbr.exe e dopo Normal parziale) rileva qualcosa ancora in meno rispetto al log successivo al solo mbr.exe.
Un'ultima cosa: Ad-aware mi rileva di continuo tentativi di services.exe di connettersi a siti internet non sicuri (cosa che finora non mi era mai capitata).
Vi ringrazio in anticipo per l'aiuto che vorrete darmi.

http://wikisend.com/download/885418/gmer1.txt
http://wikisend.com/download/444782/gmer2.txt
http://wikisend.com/download/560820/prevx1.log
http://wikisend.com/download/605102/prevx2.log
http://wikisend.com/download/380342/mbr.log

[Chill-Out]

Quote:

Originariamente inviato da bunny777

Salve a tutti.
Credo di avere un problema di MBR. E' da qualche giorno che il pc mi si avvia ma mi obbliga a riavviarlo prima ancora di caricare l'XP.
Ho fatto una scansione generale con Avira - aggiornato quotidianamente - e mi ha rilevato nelle 2 partizioni C e D il "BOO/Sinowal.C".
Ho fatto le scansioni con Gmer e Prevx 3.0 anche se, diversamente dalla guida, Prevx non mi ha permesso la pulizia, chiedendomi l'acquisto del codice. Ho proceduto allora con la 2° fase, avviando in F8 e dando "mbr.exe -f", che sembra aver in parte risolto qualcosa dicendomi che l'MBR originario è stato ripristinato.
Dunque, dopo il trattamento 'mbr.exe -f' Avira non mi rileva più il Sinowal e anche Gmer rileva meno della precedente scansione ma continua tuttavia a rilevare files minacciosi per l'MBR e anche Prevx (come Gmer) continua a rilevarmi un file ewvarhb.sys in C:\windows\system32\drivers che qualifica 'Malware component'.
In allegato trovate i log gmer1 e gmer2 nonchè prevx1 e prevx2 rispettivamente prima e dopo l'esecuzione del file mbr.exe e ovviamente il log dello stesso mbr.exe. In particolare nel log prevx2 non c'è più questa riga:
[G] c:\$mbr.0 [PX5: 9E66FF84003CACE801A60073FB11D700EA282924]
che invece compare nel log prevx1.
Ho successivamente eseguito una scansione parziale di Norman (ho stoppato data la tarda ora e rinviato la scansione completa) e Gmer nel log gmer2 (ottenuto dopo mbr.exe e dopo Normal parziale) rileva qualcosa ancora in meno rispetto al log successivo al solo mbr.exe.
Un'ultima cosa: Ad-aware mi rileva di continuo tentativi di services.exe di connettersi a siti internet non sicuri (cosa che finora non mi era mai capitata).
Vi ringrazio in anticipo per l'aiuto che vorrete darmi.

http://wikisend.com/download/885418/gmer1.txt
http://wikisend.com/download/444782/gmer2.txt
http://wikisend.com/download/560820/prevx1.log
http://wikisend.com/download/605102/prevx2.log
http://wikisend.com/download/380342/mbr.log

Ciao, allega anche il log di Stealth MBR rootkit detector successivamente fai girare DrWeb CureIt esattamente come indicato.

Riepilogo log:
Stealth MBR
CureIt
Nuovo log di Gmer

[bunny777]

Quote:

Originariamente inviato da Chill-Out

Ciao, allega anche il log di Stealth MBR rootkit detector successivamente fai girare DrWeb CureIt esattamente come indicato.

Se intendi il log che mi dà al termine della procedura in modalità provvisoria F8 col comando "mbr.exe -f", l'ho già allegato, è l'ultimo dell'elenco sopra: http://wikisend.com/download/380342/mbr.log.
Altrimenti forse non ho capito bene qual è il log.
Intanto faccio la scansione completa con Norman che ho stoppato questa notte.
Ti ringrazio.

[Chill-Out]

Quote:

Originariamente inviato da bunny777

Se intendi il log che mi dà al termine della procedura in modalità provvisoria F8 col comando "mbr.exe -f", l'ho già allegato, è l'ultimo dell'elenco sopra: http://wikisend.com/download/380342/mbr.log.
Altrimenti forse non ho capito bene qual è il log.
Intanto faccio la scansione completa con Norman che ho stoppato questa notte.
Ti ringrazio.

Il log è quello che ti avevo chiesto, non mi interessa Norman procedi come indicato.

[bunny777]

Quote:

Originariamente inviato da Chill-Out

Il log è quello che ti avevo chiesto, non mi interessa Norman procedi come indicato.

Quindi è giusto il log che ti ho riportato?
Sto procedendo con CureIt e Gmer come mi hai chiesto.

[Chill-Out]

Quote:

Originariamente inviato da bunny777

Quindi è giusto il log che ti ho riportato?

Si

[bunny777]

Ho fatto la scansione con CureIt ma c'è un problema: arrivato al driver ewvarhb.sys in C:\WINDOWS\system32\drivers si arresta il sistema, compare una schermata blu dove si parla di un altro file .sys che non ho fatto in tempo a leggere (inizia con la "k") e che ogni tanto mi rileva anche Prevx in background. Tra l'altro, anche Gmer non mi permette di fare la scansione completa dopo la prima rilevazione, se ci provo compare la stessa schermata blu e si riavvia il sistema.
Di conseguenza non ho il log di CureIt.
Come posso procedere?

[Chill-Out]

Quote:

Originariamente inviato da bunny777

Ho fatto la scansione con CureIt ma c'è un problema: arrivato al driver ewvarhb.sys in C:\WINDOWS\system32\drivers si arresta il sistema, compare una schermata blu dove si parla di un altro file .sys che non ho fatto in tempo a leggere (inizia con la "k") e che ogni tanto mi rileva anche Prevx in background. Tra l'altro, anche Gmer non mi permette di fare la scansione completa dopo la prima rilevazione, se ci provo compare la stessa schermata blu e si riavvia il sistema.
Di conseguenza non ho il log di CureIt.
Come posso procedere?

Disabilita o disinstalla Prevx e ripeti scansione completa con CureIt, diversamente fai girare combofix come indicato al Punto 3 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1984665

[bunny777]

Quote:

Originariamente inviato da Chill-Out

Disabilita o disinstalla Prevx e ripeti scansione completa con CureIt, diversamente fai girare combofix come indicato al Punto 3 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1984665

Ho interrotto il monitoraggio di Prevx e ripetuto la scansione con CureIt ma stesso risultato: giunto al driver ewvarhb.sys arresta e riavvia il sistema.
Ho provato Combofix alle condizioni indicate nel topic (niente finestre, tutti i programmi disabilitati e cavo di rete sconnesso): in mod. normale è partita solo la barra verde di progressione iniziale ma il programma non si è attivato. Ho riavviato in mod. provvisoria e lì è partito ma mi ha dato subito dopo una semplice finestra di errore e ha riavviato il sistema. Dopo il riavvio è comparsa una finestra a riga di comando che ha eseguito la scansione e rilasciato il log, che ti allego. Ho fatto Gmer ma mi dà ancora presenti i 2 driver incriminati.

ComboFix.txt
gmer3.txt

[Chill-Out]

Quote:

Originariamente inviato da bunny777

Ho interrotto il monitoraggio di Prevx e ripetuto la scansione con CureIt ma stesso risultato: giunto al driver ewvarhb.sys arresta e riavvia il sistema.
Ho provato Combofix alle condizioni indicate nel topic (niente finestre, tutti i programmi disabilitati e cavo di rete sconnesso): in mod. normale è partita solo la barra verde di progressione iniziale ma il programma non si è attivato. Ho riavviato in mod. provvisoria e lì è partito ma mi ha dato subito dopo una semplice finestra di errore e ha riavviato il sistema. Dopo il riavvio è comparsa una finestra a riga di comando che ha eseguito la scansione e rilasciato il log, che ti allego. Ho fatto Gmer ma mi dà ancora presenti i 2 driver incriminati.

ComboFix.txt
gmer3.txt

Apri il Blocco note e copia ed incolla questa righe:

Quote:

Driver::
elebqp
ewvarhb

File::
c:\windows\system32\drivers\ewvarhb.sys

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\elebqp]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ewvarhb]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt + nuovo log di Gmer.

[bunny777]

Quote:

Originariamente inviato da Chill-Out

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

Forse abbiamo risolto.
Dopo la 2° scansione Combofix con i dati che mi hai indicato, pare che il sistema sia stato ripulito. Gmer non mi rileva nessuna minaccia e mi fa finalmente la scansione completa senza arrestarsi (ti allego i log completi di entrambe le partizioni C e D). Ho fatto una verifica anche con Prevx e Avira e non rilevano nulla.
Ho notato che il file elebqp.sys risiede ancora fisicamente nella cartella dei drivers in system32, ma ora è attaccabile e ho pensato bene di cancellarlo definitivamente.
Non so perchè nei nuovi log di Gmer risulta ancora caricato il driver kwqdqpob.sys che risiederebbe nella Temp delle mie Impostazioni locali ma non lo vedo e non so se sia una minaccia ancora latente. Devo fare qualcosa per eliminarlo?
Cosa posso fare per accertarmi che il pc sia realmente pulito?
Non posso che ringraziarti per il tuo preziosissimo aiuto.

ComboFix2.txt
gmer4.txt
gmer4bis.txt

[Chill-Out]

Quote:

Originariamente inviato da bunny777

Forse abbiamo risolto.
Dopo la 2° scansione Combofix con i dati che mi hai indicato, pare che il sistema sia stato ripulito. Gmer non mi rileva nessuna minaccia e mi fa finalmente la scansione completa senza arrestarsi (ti allego i log completi di entrambe le partizioni C e D). Ho fatto una verifica anche con Prevx e Avira e non rilevano nulla.
Ho notato che il file elebqp.sys risiede ancora fisicamente nella cartella dei drivers in system32, ma ora è attaccabile e ho pensato bene di cancellarlo definitivamente.
Non so perchè nei nuovi log di Gmer risulta ancora caricato il driver kwqdqpob.sys che risiederebbe nella Temp delle mie Impostazioni locali ma non lo vedo e non so se sia una minaccia ancora latente. Devo fare qualcosa per eliminarlo?
Cosa posso fare per accertarmi che il pc sia realmente pulito?
Non posso che ringraziarti per il tuo preziosissimo aiuto.

ComboFix2.txt
gmer4.txt
gmer4bis.txt

kwqdqpob.sys è il driver di Gmer, nulla di cui preoccuparsi, il passo successivo è far girare CureIt.

[bunny777]

Quote:

Originariamente inviato da Chill-Out

kwqdqpob.sys è il driver di Gmer, nulla di cui preoccuparsi, il passo successivo è far girare CureIt.

Ho eseguito CureIt e dopo la scansione rapida ho fatto quella completa ma giunto all'esame della cartella Qoobox (quella creata da Combofix, mi pare, e che contiene i file in quarantena), CureIt rileva un file BILANCIA.TTF.vir quarantenato da Combofix e lì si è bloccato. Ho dovuto riavviare. In ogni caso ti posto il log fin dove ha fatto la scansione, già filtrato.
E' necessario rifare lo scan completo e magari devo cancellare la cartella della quarantena Qoobox (che contiene anche il driver quarantenato ewvarhb.sys.vir)?

cureit filtrato.txt

[conduzione]

Ecco il mio problema:

sintomi
l'accensione di XP richiede 3 tentativi, i primi due si bloccano, sempre, allo stesso punto
durante la navigazione (con Chrome) mi compare, saltuariamente, un pop-up di un antivirus che mi propone la scansione del PC (che rifiuto, ovviamente)
rilevo, ad ogni accensione, dei file infettati, creati nello stesso giorno (28/8) che cancello. Ovviamente ad ogni successiva partenza di XP trovo sempre un file di nome diverso.

la particolarità
la scansione con Gmer mi segnala la presenza di un rootkit
http://wikisend.com/download/527432/gmer1.log

mentre Prevx non mi rileva la presenza di nessun rootkit, e quindi, ovviamente, non mi offre la possibilità di rimuoverlo. Nel log allegato sono evidenziati dei falsi positivi (li ho da sempre) ed uno di quei malware di cui parlavo prima (il file taskmgr)
http://wikisend.com/download/539920/prevx1.log

allego anche il log di mbr
http://wikisend.com/download/917492/mbr.log

il solito, enorme grazie anticipato

[Chill-Out]

Quote:

Originariamente inviato da bunny777

Ho eseguito CureIt e dopo la scansione rapida ho fatto quella completa ma giunto all'esame della cartella Qoobox (quella creata da Combofix, mi pare, e che contiene i file in quarantena), CureIt rileva un file BILANCIA.TTF.vir quarantenato da Combofix e lì si è bloccato. Ho dovuto riavviare. In ogni caso ti posto il log fin dove ha fatto la scansione, già filtrato.
E' necessario rifare lo scan completo e magari devo cancellare la cartella della quarantena Qoobox (che contiene anche il driver quarantenato ewvarhb.sys.vir)?

cureit filtrato.txt

Personalmente ritengo sia necessario fare una scansione completa con CureIt, pertanto disinstalla Combofix

Start -->> esegui -->> digita combofix /uninstall e premi invio., successivamente elimina le cartelle C:\ComboFix - C:\Qoobox