Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[VetroAlex]

Quote:

Originariamente inviato da Chill-Out

Cortesemente utilizza i Server remoti indicati nella Guida in prima pagima

Gmer

Prevx

A presto e grazie

[Chill-Out]

Quote:

Originariamente inviato da VetroAlex

Gmer

Prevx

A presto e grazie

Segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1984665

PS: non riallegare il log di Gmer utilizzo questo

[VetroAlex]

Quote:

Originariamente inviato da Chill-Out

Segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1984665

Devo seguire la guida anche se entrambi i test (alla voce "Sono infetto?") sono risultati negativi (cioè non hanno riscontrato una possibile infezione al Conficker)?!?!?

Grazie mille e non riuploado il file Gmer, tranky )

[Chill-Out]

Quote:

Originariamente inviato da VetroAlex

Devo seguire la guida anche se entrambi i test (alla voce "Sono infetto?") sono risultati negativi? Cioè non hanno riscontrato una possibile infezione al Conficker!?!?

Grazie mille e non riuploado il file Gmer, tranky )

Si

[VetroAlex]

Quote:

Originariamente inviato da Chill-Out

Si

Un paio di domandine

1) Quando faccio la scansione con bd rem tool si ferma al primo step, mi dice system clean e quindi non mi fa riavviare il pc..

2) Lancio ComboFix a macchina dedicata ma mi dice "installazione non riuscita" e poi "impossibile aprire il file nircmd.cfxxe" e mi chiede di selezionare un programma per aprire codesto file o fare una ricerca su internet :S

PS: vuoi che mi sposto in quella discussione con le risposte o posso proseguire quì?? Non vorrei creare confusione

[Chill-Out]

Quote:

Originariamente inviato da VetroAlex

Un paio di domandine

1) Quando faccio la scansione con bd rem tool si ferma al primo step, mi dice system clean e quindi non mi fa riavviare il pc..

2) Lancio ComboFix a macchina dedicata ma mi dice "installazione non riuscita" e poi "impossibile aprire il file nircmd.cfxxe" e mi chiede di selezionare un programma per aprire codesto file o fare una ricerca su internet :S

PS: vuoi che mi sposto in quella discussione con le risposte o posso proseguire quì?? Non vorrei creare confusione

Mi occorreva il log di Combo pre procedere all'eliminazione di:

Quote:

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] olzkadun

procedi così:

scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Quote:

Files to delete:
C:\WINDOWS\system32\gnbpbgl.dll

Drivers to delete:
olzkadun

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\olzkadun
HKLM\SYSTEM\ControlSet002\Services\olzkadun

clicca su Execute, al termine il Pc si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt + nuovo log di Gmer

[VetroAlex]

Quote:

Originariamente inviato da Chill-Out

Mi occorreva il log di Combo pre procedere all'eliminazione di:



procedi così:

scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco



clicca su Execute, al termine il Pc si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt + nuovo log di Gmer

Ho fatto quanto mi hai detto ma sono successe 2 cose strane/fastidiose

1) non sento più l'audio da firefox (mentre posso sentire la musica coi files mp3 nel mio pc)

2) Non mi parte più Gmer: la prima volta sono tornato a casa ed ho trovato il programma chiuso ed il messaggio "memoria virtuale insufficiente", la seconda volta mi si è riavviato il pc una volta inizializzato Gmer, e l'ultima volta si è chiuso durante la scansione (l'applicazione verrà terminata.. eccetera)..

Ti allego comunque il file avenger ma anche e

[Chill-Out]

Quote:

Originariamente inviato da VetroAlex

Ho fatto quanto mi hai detto ma sono successe 2 cose strane/fastidiose

1) non sento più l'audio da firefox (mentre posso sentire la musica coi files mp3 nel mio pc)

2) Non mi parte più Gmer: la prima volta sono tornato a casa ed ho trovato il programma chiuso ed il messaggio "memoria virtuale insufficiente", la seconda volta mi si è riavviato il pc una volta inizializzato Gmer, e l'ultima volta si è chiuso durante la scansione (l'applicazione verrà terminata.. eccetera)..

Ti allego comunque il file avenger ma anche e

Direi che siamo ok

Quote:

Driver "olzkadun" deleted successfully.

Fai pulizia con ATF Cleaner come indicato qui http://www.hwupgrade.it/forum/showthread.php?t=1599737

[VetroAlex]

Quote:

Originariamente inviato da Chill-Out

Direi che siamo ok



Fai pulizia con ATF Cleaner come indicato qui http://www.hwupgrade.it/forum/showthread.php?t=1599737

Ciao, un paio di domande:

1)Ho fatto pulizia con ATF Cleaner ma mi chiedevo se devo seguire tutta la kilometrica "Guida alla disinfezione" oppure basta far girare ATF??

2) In caso che io debba seguire tutta la procedura, è scritto nella guida che per evitare tutte quelle innumerevoli operazioni basterebbe far girare PrevxCSI.. Confermi oppure ho capito male io!?!?

Grazie ancora per la tua disponibilità

[Chill-Out]

Quote:

Originariamente inviato da VetroAlex

Ciao, un paio di domande:

1)Ho fatto pulizia con ATF Cleaner ma mi chiedevo se devo seguire tutta la kilometrica "Guida alla disinfezione" oppure basta far girare ATF??

2) In caso che io debba seguire tutta la procedura, è scritto nella guida che per evitare tutte quelle innumerevoli operazioni basterebbe far girare PrevxCSI.. Confermi oppure ho capito male io!?!?

Grazie ancora per la tua disponibilità

No, mi riferivo solo ed esclusivamente ad ATF Cleaner

[VetroAlex]

Quote:

Originariamente inviato da Chill-Out

No, mi riferivo solo ed esclusivamente ad ATF Cleaner

Ok ho fatto pulizia con AFT Cleaner.. Il mio pc è sempre impallatissimo ugualmente.. Ma per adesso è un altro il problema che mi preme:

Prima di iniziare a seguire le guide (sia quella sulla rimozione MBR Rootkit che l'utilissimo trattamento post disinfezione) l'audio mi andava benissimo.
Ora invece funziona quando apro un file audio presente tra le mie cartelle, mentre tutto tace quando vado su youtube o qualunque altro sito con un player (ho provato a reinstallare flash player), tutto tace con l'avvio di windows (prima funzionava l'audio sia per l'avvio che per l'arresto del sistema).
Smanettando tra le proprietà audio ho visto che non mi lasciava scegliere l'hardware per la riproduzione dei midi (ora sono riuscito a settare soundmax), addirittura quando andavo a scegliere il tono per l'avvio di windows (tanto per provare se le casse funzionavano) il pulsante dell'anteprima audio non era nemmeno cliccabile (prima volta che mi succede nella mia vita)!!! In più: Anche se attivo mostra l'icona volume sulla barra delle applicazioni, non mi compare.. Insomma pare che ci sia un conflitto o non so che!!
Ho porvato persino a bloccare da "msconfig" l'avvio di SoundMax temendo un conflitto..
Scusa se sono stato molto dettagliato ma volevo cercare di darti un quadro il più possibile completo..
Posto che abito al 4° piano, puoi aiutarmi onde evitare che mi butti dal balcone!?

[Chill-Out]

Quote:

Originariamente inviato da VetroAlex

Ok ho fatto pulizia con AFT Cleaner.. Il mio pc è sempre impallatissimo ugualmente.. Ma per adesso è un altro il problema che mi preme:

Prima di iniziare a seguire le guide (sia quella sulla rimozione MBR Rootkit che l'utilissimo trattamento post disinfezione) l'audio mi andava benissimo.
Ora invece funziona quando apro un file audio presente tra le mie cartelle, mentre tutto tace quando vado su youtube o qualunque altro sito con un player (ho provato a reinstallare flash player), tutto tace con l'avvio di windows (prima funzionava l'audio sia per l'avvio che per l'arresto del sistema).
Smanettando tra le proprietà audio ho visto che non mi lasciava scegliere l'hardware per la riproduzione dei midi (ora sono riuscito a settare soundmax), addirittura quando andavo a scegliere il tono per l'avvio di windows (tanto per provare se le casse funzionavano) il pulsante dell'anteprima audio non era nemmeno cliccabile (prima volta che mi succede nella mia vita)!!! In più: Anche se attivo mostra l'icona volume sulla barra delle applicazioni, non mi compare.. Insomma pare che ci sia un conflitto o non so che!!
Ho porvato persino a bloccare da "msconfig" l'avvio di SoundMax temendo un conflitto..
Scusa se sono stato molto dettagliato ma volevo cercare di darti un quadro il più possibile completo..
Posto che abito al 4° piano, puoi aiutarmi onde evitare che mi butti dal balcone!?

Il problema legato all'audio non è inerente l'infezione, chiedi in sezione idonea http://www.hwupgrade.it/forum/forumdisplay.php?f=19 previa lettura di http://www.hwupgrade.it/forum/showthread.php?t=1639417

[gnlp]

la procedura suggerita funziona anche su sistema Windows Server???
Grazie

[Chill-Out]

Quote:

Originariamente inviato da gnlp

la procedura suggerita funziona anche su sistema Windows Server???
Grazie

Ciao, sulla base di cosa pensi che il problema sia questo?

[PGR79]

ciao a tutti,

ieri mentre navigavo (windows7 x64) mi son venuti fuori diversi popup di avira, tempo un secondo schermata blu con scritto qualcosa tipo "unknown disk error" o "hard disk error", e dal riavvio successivo sempre appena parte il caricamento di windows, schermata blu con errore

0x000007b ( 0xfffff880009a9928 0xffffffffc0000034 0x000000000000
0x0000000000000000)

che cercando un attimo sotto win7 ma anche sotto xp e' un problema
all' MBR, dovuto moooolto probabilmente nel mio caso a un virus nel
settore di avvio

ora... non riesco ad accedere a windows in alcun modo per poter utilizzare i programmi della guida del primo post: il ripristino di windows non va, modalita'
provvisoria nemmeno (ricade nella schermata blu vista sopra)... riesco solo a bootare con una live distro di linux

grazie per l 'aiuto

[PGR79]

aggiornamento, dopo MOLTA fatica son riuscito con SARDU boot disk e programma TESTDISK a rilevare una micro partizione creata dal virus che non doveva esserci, eliminata, riscritto l' MBR dalla console di repristino di windows.

Avviato finalmente win 7, scan rapido con avira e malwarebytes che hanno trovato un totale di 10 files infetti da diverse cose brutte:
dal log di avira:

TR/Kazy.13325' [trojan]
TR/Crypt.XPACK.Gen3' [trojan].
'TR/Pirminay.clx' [trojan
TR/Meredrop.A.3559' [trojan].

dal log di malwarebytes:

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Icozaxifivu (Trojan.Agent.U) -> Value: Icozaxifivu -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JP595IR86O (Trojan.FakeAlert) -> Value: JP595IR86O -> Quarantined and deleted successfully.

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
c:\Users\asd\AppData\Local\Temp\aeroscmxnw.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

ho quindi provato a partire con la guida ma GMER mi da l' errore
C:\windows\system32\config\system impossibile trovare il file specificato
presumo perche' non compatibile con 7 64bit?

la scansione con prevxcsifree invece mi da pc pulito (serve che alleghi il log cmq?)

come procedo?
grazie 1000!

[Chill-Out]

Quote:

Originariamente inviato da PGR79

aggiornamento, dopo MOLTA fatica son riuscito con SARDU boot disk e programma TESTDISK a rilevare una micro partizione creata dal virus che non doveva esserci, eliminata, riscritto l' MBR dalla console di repristino di windows.

Avviato finalmente win 7, scan rapido con avira e malwarebytes che hanno trovato un totale di 10 files infetti da diverse cose brutte:
dal log di avira:


come procedo?
grazie 1000!

Scarica questo file http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

successivamente segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446

Allegha i log dove appena indicato, compreso TDSSKiller.

[PGR79]

ciao, ecco tutto!

http://wikisend.com/download/789774/mbam-log-2011-02-25 (09-46-21).txt
http://wikisend.com/download/537604/hijackthisLOG.txt
http://wikisend.com/download/590308/CureIt.log
http://wikisend.com/download/460438/quarantine.txt
http://wikisend.com/download/389308/....51.38_log.txt
http://wikisend.com/download/226664/Prevx 3.0 log

tutto questo per il primo hd, il secondo l' ho scollegato (vi sono solo partizioni dati e sembra avere anche lui problemi all' MBR...)

come procedo? grazie 10000000!!!!

[sasha80]

Ciao,
il pc della mia ragazza ha un fastidiosissimo mbr rootkit, avast lo rileva, mi dice di fare una scansione all'avvio, la faccio ma questa non trova nulla.

mi potete dire quali sono i programmi per fare scansioni per poter postare poi i log?

grazie.

[Chill-Out]

Quote:

Originariamente inviato da PGR79

ciao, ecco tutto!

http://wikisend.com/download/789774/mbam-log-2011-02-25 (09-46-21).txt
http://wikisend.com/download/537604/hijackthisLOG.txt
http://wikisend.com/download/590308/CureIt.log
http://wikisend.com/download/460438/quarantine.txt
http://wikisend.com/download/389308/....51.38_log.txt
http://wikisend.com/download/226664/Prevx 3.0 log

tutto questo per il primo hd, il secondo l' ho scollegato (vi sono solo partizioni dati e sembra avere anche lui problemi all' MBR...)

come procedo? grazie 10000000!!!!

Direi che siamo ok, per il secondo HDD scegli se fare del FIX del MBR da Console di ripristino oppure TDSSKiller etc....