Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT - Pagina 156

Doorman666 · 07-09-2010, 12:31

Si, ho ricontrollato, ho abilitato la visualizzazione dei file nascosti e di sistema. Per sostituirlo, considerato che non ho il cd di xp, posso prenderlo dal mio pc (sempre xp pro con service pack 3)?

**Chill-Out** · 07-09-2010, 12:43

Quote:

Originariamente inviato da Doorman666

Si, ho ricontrollato, ho abilitato la visualizzazione dei file nascosti e di sistema. Per sostituirlo, considerato che non ho il cd di xp, posso prenderlo dal mio pc (sempre xp pro con service pack 3)?

Si

Doorman666 · 07-09-2010, 13:50

Niente da fare, non riesco ad operare su ndis.sys per poterlo sostituire: accesso negato, anche in modalità provvisoria e tramite riga di comando.
Hai qualche idea o mi arrendo e formatto tutto?

EDIT
Ho fatto il boot tramite pendrive sulla quale avevo copiato ndis.sys dal mio pc (pulito), ho sostituito i 2 ndis.sys infetti del portatile, ho riavviato quest'ultimo e...prevx mi segnala il rootkit sempre in ndis.sys!
Roba da matti.

**Chill-Out** · 07-09-2010, 15:27

Quote:

Originariamente inviato da Doorman666

Niente da fare, non riesco ad operare su ndis.sys per poterlo sostituire: accesso negato, anche in modalità provvisoria e tramite riga di comando.
Hai qualche idea o mi arrendo e formatto tutto?

EDIT
Ho fatto il boot tramite pendrive sulla quale avevo copiato ndis.sys dal mio pc (pulito), ho sostituito i 2 ndis.sys infetti del portatile, ho riavviato quest'ultimo e...prevx mi segnala il rootkit sempre in ndis.sys!
Roba da matti.

Serve un nuovo log di Combofix + un log di Gmer.

Doorman666 · 08-09-2010, 08:56

Buongiorno. Appena terminate le nuove scansioni, ti allego i log.
Combofix: http://wikisend.com/download/484350/ComboFix.txt
Gmer: http://wikisend.com/download/595188/LogGmer.txt

**Chill-Out** · 08-09-2010, 09:15

Quote:

Originariamente inviato da Doorman666

Buongiorno. Appena terminate le nuove scansioni, ti allego i log.
Combofix: http://wikisend.com/download/484350/ComboFix.txt
Gmer: http://wikisend.com/download/595188/LogGmer.txt

Giorno

Il log di Gmer è in po corto, sicuro di averlo impostato come indicato in Guida? Dal log di Combofix i file risultano sostituiti correttamente, per scrupolo puoi disintallare Prevx, reinstallarlo e ripetere scanSione.

Doorman666 · 08-09-2010, 09:42

Quote:

Originariamente inviato da Chill-Out

Giorno

Il log di Gmer è in po corto, sicuro di averlo impostato come indicato in Guida? Dal log di Combofix i file risultano sostituiti correttamente, per scrupolo puoi disintallare Prevx, reinstallarlo e ripetere scanSione.

Si, ho impostato Gmer come da Guida ed il log è proprio quello. Per scrupolo l'ho rilanciato ed il risultato è stato lo stesso.
Comunque ho rifatto il boot da pendrive ed ho trovato un'altra ricorrenza di ndis.sys (che le ricerca sotto xp non rilevava) in c:\windows\ERDNT\cache. Sostituito anche questo (oltre ai 2 noti) con una versione pulita, riavviato, reinstallato prevx, rilanciata la scansione...e pare che non ci siano più tracce del maledetto!
Ore reinstallo l'antivirus, spengo l'alieno, lo restituisco al proprietario e porgo infiniti ringraziamenti a te ed alla tua pazienza :-)

**Chill-Out** · 08-09-2010, 09:50

Quote:

Originariamente inviato da Doorman666

Si, ho impostato Gmer come da Guida ed il log è proprio quello. Per scrupolo l'ho rilanciato ed il risultato è stato lo stesso.
Comunque ho rifatto il boot da pendrive ed ho trovato un'altra ricorrenza di ndis.sys (che le ricerca sotto xp non rilevava) in c:\windows\ERDNT\cache. Sostituito anche questo (oltre ai 2 noti) con una versione pulita, riavviato, reinstallato prevx, rilanciata la scansione...e pare che non ci siano più tracce del maledetto!
Ore reinstallo l'antivirus, spengo l'alieno, lo restituisco al proprietario e porgo infiniti ringraziamenti a te ed alla tua pazienza :-)

Per quanto concerne l'AV suggerisco Antivir configurato come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684

suggersico inoltre la lettura di http://www.hwupgrade.it/forum/showthread.php?t=1726383 e http://www.hwupgrade.it/forum/showth...post&t=2011681

Ciao

Doorman666 · 08-09-2010, 10:07

Quote:

Originariamente inviato da Chill-Out

Per quanto concerne l'AV suggerisco Antivir configurato come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684

Perfetto, stavo scaricando proprio quello. Ho stampato la guida, ora provvedo alla configurazione.

Quote:

suggersico inoltre la lettura di http://www.hwupgrade.it/forum/showthread.php?t=1726383 e http://www.hwupgrade.it/forum/showth...post&t=2011681

Eh, girerò i tuoi link al proprietario dell'alieno, con la raccomandazione di leggerli attentamente e di mettere in pratica quanto scritto...ma ho poca fiducia, creare una cultura informatica (in particolare in questo paese...) è estremamente difficile.

Quote:

Ciao

Ciao e grazie di nuovo.

bunny777 · 10-09-2010, 00:18

Ciao Chiil-Out, torno a scriverti perchè dopo la pulizia dal Rootkit di qualche giorno fa, ho cominciato ad avere un problema col mouse (mai avuto prima). Scrivo qui in questo 3D perchè penso che il problema possa essere un effetto collaterale del Rootkit o forse delle cure applicate.
In pratica, dopo aver acceso il pc il mouse funziona regolarmente finchè all'improvviso comincia ad andare a scatti fino a bloccarsi definitivamente e l'unico sistema di ripristinarlo è riavviare (in un'occasione ho dovuto riavviare 2 volte consecutive per riattivarlo).
Ti riepilogo i software usati:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7
Norman_Sinowal_Cleaner
Gmer
Prevx
CureIt
Combofix
OTC

I movimenti che ho fatto successivamente sono stati:
- configurazione di Avira seguendo la guida di juninho85 e quindi settando al massimo la protezione dell'antivirus. Rilevando i problemi col mouse ho poi reimpostato tutto sui valori predefiniti, ma il problema col mouse persiste.
- disinstallazione di Prevx

Oltre al mouse, mi capita talvolta di trovare scomparsa l'icona del Mirc sul desktop (è un link).
Puoi aiutarmi ancora?
Grazie.

**Chill-Out** · 10-09-2010, 09:35

Quote:

Originariamente inviato da bunny777

Ciao Chiil-Out, torno a scriverti perchè dopo la pulizia dal Rootkit di qualche giorno fa, ho cominciato ad avere un problema col mouse (mai avuto prima). Scrivo qui in questo 3D perchè penso che il problema possa essere un effetto collaterale del Rootkit o forse delle cure applicate.
In pratica, dopo aver acceso il pc il mouse funziona regolarmente finchè all'improvviso comincia ad andare a scatti fino a bloccarsi definitivamente e l'unico sistema di ripristinarlo è riavviare (in un'occasione ho dovuto riavviare 2 volte consecutive per riattivarlo).
Ti riepilogo i software usati:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7
Norman_Sinowal_Cleaner
Gmer
Prevx
CureIt
Combofix
OTC

I movimenti che ho fatto successivamente sono stati:
- configurazione di Avira seguendo la guida di juninho85 e quindi settando al massimo la protezione dell'antivirus. Rilevando i problemi col mouse ho poi reimpostato tutto sui valori predefiniti, ma il problema col mouse persiste.
- disinstallazione di Prevx

Oltre al mouse, mi capita talvolta di trovare scomparsa l'icona del Mirc sul desktop (è un link).
Puoi aiutarmi ancora?
Grazie.

Ciao, il problema al mouse non è imputabile ad un Virus sempre ed in gni caso, la prima cosa da fare è sostituirlo con un altro.

bunny777 · 11-09-2010, 16:46

Quote:

Originariamente inviato da Chill-Out

Ciao, il problema al mouse non è imputabile ad un Virus sempre ed in gni caso, la prima cosa da fare è sostituirlo con un altro.

Mi sono fatto prestare temporaneamente un mouse USB (avevo un PS2) ed è tutto ok.
Ciao e grazie di nuovo.

**Chill-Out** · 11-09-2010, 20:18

Quote:

Originariamente inviato da bunny777

Mi sono fatto prestare temporaneamente un mouse USB (avevo un PS2) ed è tutto ok.
Ciao e grazie di nuovo.

Prego, ciao.

Bigiox · 22-09-2010, 11:45

Ciao Chill-Out! complimenti innanzitutto per le guide di sicurezza e per quello che fai per noi infetti

stavolta mi trovo arreso. nel pc in ufficcio il norton 2010 mi segnala, ogni volta che avvio il pc, la rilevazione di boot.mebroot. Segnala la rilevazione del boot, la rimuove e come per magia ogni volta che riavvio il pc rieccomi punto e a capo. la rimuove ma ritorna sempre.

ho fatto una scansione con prevx ma dice che il sistema è pulito. allora ho scaricato gmer e lanciato la scansione ma arrivato ad un certo punto il pc si riavvia. ho riprovato ma il pc si è riavviato di nuovo

adesso ho lanciato norman sinowal e vedo cosa succede.

la cosa che non mi torna è la non rilevazione di prevx all'avvio o in scansione. secondo te è possibile che all'avvio del pc norton rilevi il boot, lo metta in quarantena e cosi non risulti più nel sistema fino al riavvio?

**Chill-Out** · 22-09-2010, 15:30

Quote:

Originariamente inviato da Bigiox

Ciao Chill-Out! complimenti innanzitutto per le guide di sicurezza e per quello che fai per noi infetti

stavolta mi trovo arreso. nel pc in ufficcio il norton 2010 mi segnala, ogni volta che avvio il pc, la rilevazione di boot.mebroot. Segnala la rilevazione del boot, la rimuove e come per magia ogni volta che riavvio il pc rieccomi punto e a capo. la rimuove ma ritorna sempre.

ho fatto una scansione con prevx ma dice che il sistema è pulito. allora ho scaricato gmer e lanciato la scansione ma arrivato ad un certo punto il pc si riavvia. ho riprovato ma il pc si è riavviato di nuovo

adesso ho lanciato norman sinowal e vedo cosa succede.

la cosa che non mi torna è la non rilevazione di prevx all'avvio o in scansione. secondo te è possibile che all'avvio del pc norton rilevi il boot, lo metta in quarantena e cosi non risulti più nel sistema fino al riavvio?

Ciao, cortesemente allega i log come indicato in guida.

Bigiox · 22-09-2010, 15:57

Ho lanciato Cureit appena rientrato in ufficio e mi ha rilevato Backdoor master boot record. L'ho curato e adesso anche il norton non rileva più niente. faccio qualche altra scansione?

**Chill-Out** · 22-09-2010, 16:00

Quote:

Originariamente inviato da Bigiox

Ho lanciato Cureit appena rientrato in ufficio e mi ha rilevato Backdoor master boot record. L'ho curato e adesso anche il norton non rileva più niente. faccio qualche altra scansione?

Dire di no

Bigiox · 22-09-2010, 16:18

Quote:

Originariamente inviato da Chill-Out

Dire di no

Grazie mille Chill-Out, merito della tua guida per infetti

Gmer mi riavviava sempre il pc, norman e prevx nemmeno rilevavano il boot. Cureit è stato fenomenale, ha subito scovato il backdoor...quasi quasi la metto come security suite al posto di norton

**Chill-Out** · 22-09-2010, 16:26

Quote:

Originariamente inviato da Bigiox

Grazie mille Chill-Out, merito della tua guida per infetti

Gmer mi riavviava sempre il pc, norman e prevx nemmeno rilevavano il boot. Cureit è stato fenomenale, ha subito scovato il backdoor...quasi quasi la metto come security suite al posto di norton

CureIt è ottimo come tool standalone, lascia tranquillamente il Norton.

render · 29-09-2010, 17:21

salve Chill-Out sono nuovo del forum e mai scritto mi perdonerete eventuali errori,intanto complimenti per la competenza e disponibilità che avete

ho un problema ultimamente ho avuto dei problemi al pc che mi aveva costretto spesso a riavviare,ho pulito poi interno del case e sembra a posto.
Temendo anche infezioni da virus,non segnalatomi da
avg
Malwarebytes
ad aware

ho fatto un controllo con gmer (avevo letto la vostra ottima guida antivirus),e mi ha segnalato modifiche al sistema causate da un rootkit
ho disinstallato gli antivirus sopraelencati che non avevanno segnalato, e installato microsoft security essential che mi ha rilevato alcuni troyan e rimossi ho pulito poi il registro con ccleaner,

ricontrollato con mbr.exe e con gmer mi hanno segnalato la stessa infezione
ho scansionato con Prevx Scan che mi ha trovato il pc pulito,ma ricontrollando con i precedenti due sempre uguale,
vi invio i log di gmer e prevx
invio anche 2 screen ,di gmer dove si evidenzia il rosso e altri nomi a destra di file, e quello di mbr.exe fatto con il prompt dei comandi

attualmente il pc non mi segnala anomalie funzionali ma temo per l'mbr e non ho provato a ripristinarlo con fixmbr da consolle perchè
non so se perderei le partizioni e poi non avvierei piu il pc,

mi potete aiutare a scoprire se sono veramente infetto e come fare a liberarmene?

http://www.pctunerup.com/up/image.ph...160520_mbr.jpg
immagine mbr

http://www.pctunerup.com/up/image.ph...9_Immagine.JPG
immagine gmer

http://www.filedropper.com/gmer111
GMER log

http://www.filedropper.com/29-09
Prevx Scan log

ho fatto una scansione rapida anche con dr.web cureit,mi ha trovato il file host modificato,non ho proceduto al ripristino richiesto in attesa
magari di vostre istruzioni,allego uno screen
http://www.pctunerup.com/up/image.ph...5122_cure1.jpg

grazie

07-09-2010, 13:50	#3103
Doorman666 Junior Member Iscritto dal: Sep 2010 Messaggi: 16	Niente da fare, non riesco ad operare su ndis.sys per poterlo sostituire: accesso negato, anche in modalità provvisoria e tramite riga di comando. Hai qualche idea o mi arrendo e formatto tutto? EDIT Ho fatto il boot tramite pendrive sulla quale avevo copiato ndis.sys dal mio pc (pulito), ho sostituito i 2 ndis.sys infetti del portatile, ho riavviato quest'ultimo e...prevx mi segnala il rootkit sempre in ndis.sys! Roba da matti. Ultima modifica di Doorman666 : 07-09-2010 alle 15:23.

29-09-2010, 17:21	#3120
render Junior Member Iscritto dal: Jul 2009 Messaggi: 16	salve salve Chill-Out sono nuovo del forum e mai scritto mi perdonerete eventuali errori,intanto complimenti per la competenza e disponibilità che avete ho un problema ultimamente ho avuto dei problemi al pc che mi aveva costretto spesso a riavviare,ho pulito poi interno del case e sembra a posto. Temendo anche infezioni da virus,non segnalatomi da avg Malwarebytes ad aware ho fatto un controllo con gmer (avevo letto la vostra ottima guida antivirus),e mi ha segnalato modifiche al sistema causate da un rootkit ho disinstallato gli antivirus sopraelencati che non avevanno segnalato, e installato microsoft security essential che mi ha rilevato alcuni troyan e rimossi ho pulito poi il registro con ccleaner, ricontrollato con mbr.exe e con gmer mi hanno segnalato la stessa infezione ho scansionato con Prevx Scan che mi ha trovato il pc pulito,ma ricontrollando con i precedenti due sempre uguale, vi invio i log di gmer e prevx invio anche 2 screen ,di gmer dove si evidenzia il rosso e altri nomi a destra di file, e quello di mbr.exe fatto con il prompt dei comandi attualmente il pc non mi segnala anomalie funzionali ma temo per l'mbr e non ho provato a ripristinarlo con fixmbr da consolle perchè non so se perderei le partizioni e poi non avvierei piu il pc, mi potete aiutare a scoprire se sono veramente infetto e come fare a liberarmene? http://www.pctunerup.com/up/image.ph...160520_mbr.jpg immagine mbr http://www.pctunerup.com/up/image.ph...9_Immagine.JPG immagine gmer http://www.filedropper.com/gmer111 GMER log http://www.filedropper.com/29-09 Prevx Scan log ho fatto una scansione rapida anche con dr.web cureit,mi ha trovato il file host modificato,non ho proceduto al ripristino richiesto in attesa magari di vostre istruzioni,allego uno screen http://www.pctunerup.com/up/image.ph...5122_cure1.jpg grazie Ultima modifica di render : 02-10-2010 alle 15:24.

07-09-2010, 12:31	#3101
Doorman666 Junior Member Iscritto dal: Sep 2010 Messaggi: 16	Si, ho ricontrollato, ho abilitato la visualizzazione dei file nascosti e di sistema. Per sostituirlo, considerato che non ho il cd di xp, posso prenderlo dal mio pc (sempre xp pro con service pack 3)?

08-09-2010, 08:56	#3105
Doorman666 Junior Member Iscritto dal: Sep 2010 Messaggi: 16	Buongiorno. Appena terminate le nuove scansioni, ti allego i log. Combofix: http://wikisend.com/download/484350/ComboFix.txt Gmer: http://wikisend.com/download/595188/LogGmer.txt

10-09-2010, 00:18	#3110
bunny777 Junior Member Iscritto dal: Aug 2010 Messaggi: 19	Ciao Chiil-Out, torno a scriverti perchè dopo la pulizia dal Rootkit di qualche giorno fa, ho cominciato ad avere un problema col mouse (mai avuto prima). Scrivo qui in questo 3D perchè penso che il problema possa essere un effetto collaterale del Rootkit o forse delle cure applicate. In pratica, dopo aver acceso il pc il mouse funziona regolarmente finchè all'improvviso comincia ad andare a scatti fino a bloccarsi definitivamente e l'unico sistema di ripristinarlo è riavviare (in un'occasione ho dovuto riavviare 2 volte consecutive per riattivarlo). Ti riepilogo i software usati: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 Norman_Sinowal_Cleaner Gmer Prevx CureIt Combofix OTC I movimenti che ho fatto successivamente sono stati: - configurazione di Avira seguendo la guida di juninho85 e quindi settando al massimo la protezione dell'antivirus. Rilevando i problemi col mouse ho poi reimpostato tutto sui valori predefiniti, ma il problema col mouse persiste. - disinstallazione di Prevx Oltre al mouse, mi capita talvolta di trovare scomparsa l'icona del Mirc sul desktop (è un link). Puoi aiutarmi ancora? Grazie.

22-09-2010, 11:45	#3114
Bigiox Junior Member Iscritto dal: Aug 2010 Messaggi: 27	Ciao Chill-Out! complimenti innanzitutto per le guide di sicurezza e per quello che fai per noi infetti stavolta mi trovo arreso. nel pc in ufficcio il norton 2010 mi segnala, ogni volta che avvio il pc, la rilevazione di boot.mebroot. Segnala la rilevazione del boot, la rimuove e come per magia ogni volta che riavvio il pc rieccomi punto e a capo. la rimuove ma ritorna sempre. ho fatto una scansione con prevx ma dice che il sistema è pulito. allora ho scaricato gmer e lanciato la scansione ma arrivato ad un certo punto il pc si riavvia. ho riprovato ma il pc si è riavviato di nuovo adesso ho lanciato norman sinowal e vedo cosa succede. la cosa che non mi torna è la non rilevazione di prevx all'avvio o in scansione. secondo te è possibile che all'avvio del pc norton rilevi il boot, lo metta in quarantena e cosi non risulti più nel sistema fino al riavvio?

22-09-2010, 15:57	#3116
Bigiox Junior Member Iscritto dal: Aug 2010 Messaggi: 27	Ho lanciato Cureit appena rientrato in ufficio e mi ha rilevato Backdoor master boot record. L'ho curato e adesso anche il norton non rileva più niente. faccio qualche altra scansione?

Strumenti
Mostra una versione stampabile Invia questa pagina per email