Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Ingro]

Buongiorno! Da ieri il mio PC si comporta in modo strano e penso che questo sia il posto giusto dove chiedere una mano... Praticamente mi si è bloccato una prima volta, al successivo riavvio il BOOT MGR era corrotto. Ho fixato l'MBR da console e sembrava tutto ok. Successivamente si è bloccato di nuovo, e anche qui era impossibile avviare. Ho fixato di nuovo l'MBR. Adesso inizia a caricare windows poi ad un certo punto parte la schermata blu con STOP 0x00000F4...

Secondo voi la causa potrebbe essere un qualche virus che attacca l'MBR?

Grazie.

[Chill-Out]

Quote:

Originariamente inviato da Ingro

Buongiorno! Da ieri il mio PC si comporta in modo strano e penso che questo sia il posto giusto dove chiedere una mano... Praticamente mi si è bloccato una prima volta, al successivo riavvio il BOOT MGR era corrotto. Ho fixato l'MBR da console e sembrava tutto ok. Successivamente si è bloccato di nuovo, e anche qui era impossibile avviare. Ho fixato di nuovo l'MBR. Adesso inizia a caricare windows poi ad un certo punto parte la schermata blu con STOP 0x00000F4...

Secondo voi la causa potrebbe essere un qualche virus che attacca l'MBR?

Grazie.

Scarica TDSSKiller http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

[Cosimo85]

Ciao a tutti!
Ecco il problema.
Norton mi rileva boot.mebroot e dice che non riesce a risolvere il problema.

A quel punto ho provato:
Virit= non rileva nulla.
Combofix= non rileva nulla.
Tutta la vostra guida e nessun programma ha rilevato nulla.
Però Norton continua a rilevare il problema.
C'è qualcos'altro che posso fare?

Se per caso il rootkit si trova su un hard disk esterno, non collegato in questo momento, devo rifare le scansioni anche su quello?
Al massimo posto i log vari, anche se ogni programma ha rilevato zero problemi. Tant'è che che la seconda fase di Prevx non l'ho potuta fare perchè non mi rilevava niente da rimuovere. XD
Grazie! : )


PS. Attualmente sto facendo una scansione completa con Cureit ma non ha ancora finito.

PPS: faccio presente che non ho nessuno dei sintomi presentati da altri utenti. Il pc va benissimo e non ha rallentamenti di sorta. Anche perchè l'ho appena formattato (anche se il virus era presente anche prima del format, ovviamente-__-'') XD C'è "solo" il problema di questa presenza rilevata da Norton.

[Chill-Out]

Quote:

Originariamente inviato da Cosimo85

Ciao a tutti!
Ecco il problema.
Norton mi rileva boot.mebroot e dice che non riesce a risolvere il problema.

A quel punto ho provato:
Virit= non rileva nulla.
Combofix= non rileva nulla.
Tutta la vostra guida e nessun programma ha rilevato nulla.
Però Norton continua a rilevare il problema.
C'è qualcos'altro che posso fare?

Se per caso il rootkit si trova su un hard disk esterno, non collegato in questo momento, devo rifare le scansioni anche su quello?
Al massimo posto i log vari, anche se ogni programma ha rilevato zero problemi. Tant'è che che la seconda fase di Prevx non l'ho potuta fare perchè non mi rilevava niente da rimuovere. XD
Grazie! : )


PS. Attualmente sto facendo una scansione completa con Cureit ma non ha ancora finito.

PPS: faccio presente che non ho nessuno dei sintomi presentati da altri utenti. Il pc va benissimo e non ha rallentamenti di sorta. Anche perchè l'ho appena formattato (anche se il virus era presente anche prima del format, ovviamente-__-'') XD C'è "solo" il problema di questa presenza rilevata da Norton.

Ciao, allega i log di Gmer - Stealth MBR rootkit detector e CureIt secondo le modalità qui indicate http://www.hwupgrade.it/forum/showthread.php?t=1715546

[danirada]

Ciao a tutti...ho letto attentamente la guida consigliatami in prima pagina tuttavia appena mi appresto a seguire il primo passo e cioè la scansione con Gmer arriva la fatidica schermata blu di Windows.
Ho provato a rifar partire una scansione ma arrivato ad un certo punto la scansione si blocca e tempo 2 secondi esce la schermata blu...a questo punto non so cosa fare...ho fatto in tempo a copiare il Log di Gmer fino a quando non si è bloccato e nel frattempo ho fatto anche il log di Prev...cosa faccio? come mi comporto?

Vi ringrazio anticipatamente.

Ecco i Log:

log gmer.txt

log prima.log

[7pietre]

ciao, da diversi giorni eset mi segnala la presenza di mebroot
su vista hp sp2 32bit
anche da me a volte le scansioni sono state interrotte da uno schermo blu,
a volte la modalità provvisoria non era accessibile,
ho disintallato DTool, uT, acronis image qualcosa, e outpost


chiedo il vostro aiuto, ecco i log:
http://wikisend.com/download/825576/GMER log.txt
http://wikisend.com/download/158494/mbr.log
http://wikisend.com/download/443660/prevx.log
http://wikisend.com/download/457402/...3_17-05-28.log
http://wikisend.com/download/231382/....24.17_log.txt
http://wikisend.com/download/485396/mbam-log-2011-10-23 (18-45-36).txt
http://wikisend.com/download/506916/CureIt.log

[Chill-Out]

Quote:

Originariamente inviato da 7pietre

ciao, da diversi giorni eset mi segnala la presenza di mebroot
su vista hp sp2 32bit
anche da me a volte le scansioni sono state interrotte da uno schermo blu,
a volte la modalità provvisoria non era accessibile,
ho disintallato DTool, uT, acronis image qualcosa, e outpost


chiedo il vostro aiuto, ecco i log:
http://wikisend.com/download/825576/GMER log.txt
http://wikisend.com/download/158494/mbr.log
http://wikisend.com/download/443660/prevx.log
http://wikisend.com/download/457402/...3_17-05-28.log
http://wikisend.com/download/231382/....24.17_log.txt
http://wikisend.com/download/485396/mbam-log-2011-10-23 (18-45-36).txt
http://wikisend.com/download/506916/CureIt.log

Ciao, dai log non risulta nulla.

[danirada]

Ciao, sui miei che ho postato in precedenza sai dirmi qualcosa?!?

[7pietre]

Quote:

Originariamente inviato da Chill-Out

Ciao, dai log non risulta nulla.

purtroppo non so interpretare la tua osservazione, cosa faresti adesso al mio posto?

[Chill-Out]

Quote:

Originariamente inviato da 7pietre

purtroppo non so interpretare la tua osservazione, cosa faresti adesso al mio posto?

Dai log non emerge l'infezione rilevata dal Nod, potresti allegare il log?

[7pietre]

Quote:

Originariamente inviato da Chill-Out

Dai log non emerge l'infezione rilevata dal Nod, potresti allegare il log?

http://wikisend.com/download/258294/LOGGI.txt

purtroppo ho sostituito la versione dell'AV fra i tanti tentativi, perciò temo di non avere logs più vecchi

altre cose:
dopo l'ultimo arresto forzato su schermo blu, oggi al riavvio la ventola girava in modo molto rumoroso (per 2 riavvii)
ho disinstallato fra gli altri acronis trueimage, ma all'avvio continua a comparire su sfondo nero una proposta di avviare il suo loader con f11
il notebook è hp pav dv5 1105el, contiene la partizione di ripristino, io non ho mai creato i cd
il recupero di una immagine (dell'anno scorso) copiata proprio con acronis potrebbe essere una opzione risolutiva? e il downgrade a xp (dovendo preparare tutto)? non so stimare l'efficacia né il tempo che richiederebbe...

grazie di continuare

[Chill-Out]

Quote:

Originariamente inviato da 7pietre

http://wikisend.com/download/258294/LOGGI.txt

purtroppo ho sostituito la versione dell'AV fra i tanti tentativi, perciò temo di non avere logs più vecchi

altre cose:
dopo l'ultimo arresto forzato su schermo blu, oggi al riavvio la ventola girava in modo molto rumoroso (per 2 riavvii)
ho disinstallato fra gli altri acronis trueimage, ma all'avvio continua a comparire su sfondo nero una proposta di avviare il suo loader con f11
il notebook è hp pav dv5 1105el, contiene la partizione di ripristino, io non ho mai creato i cd
il recupero di una immagine (dell'anno scorso) copiata proprio con acronis potrebbe essere una opzione risolutiva? e il downgrade a xp (dovendo preparare tutto)? non so stimare l'efficacia né il tempo che richiederebbe...

grazie di continuare

Se ripristini il sistema con Acronis risolvi il problema.

[7pietre]

Quote:

Originariamente inviato da Chill-Out

Se ripristini il sistema con Acronis risolvi il problema.

d'accordo, ho avviato il ripristino
ti chiedo allora di indirizzarmi diversamente

come ho scritto si tratta di un hp pav dv5 1105el che viene utilizzato essenzialmente per
file sharing e giochi fatti girare su unità virtuali
i suoi problemi cronici sono il surriscaldamento nella zona accensione-ventola, e una fastidiosa perdita del monitor (sfarfallano righe verticali, alternate allo sbiancamento) che riusciamo a far cessare solo spostandone l'inclinazione (...)

visto che ci sto perdendo tempo, vorrei puntare alle modifiche essenziali, più utili:
dovrei buttarmi nel downgrade? aggiornare bios e driver scheda grafica?
rivedere gli strumenti di protezione?
se puoi vorrei che mi consigliassi delle priorità ed eventualmente mi indirizzassi al topic più pertinente
grazie ancora

[Chill-Out]

Quote:

Originariamente inviato da 7pietre

visto che ci sto perdendo tempo, vorrei puntare alle modifiche essenziali, più utili:
dovrei buttarmi nel downgrade?

Dal mio punto di vista non ha senso downgradare ad XP, il supporto termina nel 2014, tra l'altro è attualmente il SO meno sicuro. Vista dal SP2 in poi è dicisamente + stabile

Quote:

Originariamente inviato da 7pietre

aggiornare bios e driver scheda grafica?

Dovresti trovare il 3D dedicato al tuo Note http://www.hwupgrade.it/forum/forumdisplay.php?f=117

Quote:

Originariamente inviato da 7pietre

rivedere gli strumenti di protezione?
se puoi vorrei che mi consigliassi delle priorità ed eventualmente mi indirizzassi al topic più pertinente
grazie ancora

Vedi http://www.hwupgrade.it/forum/showth...post&t=2011681

[Stratoblu]

Buongiorno...

Questo è il mio primo msg in questa discussione, quindi saluto con l'occasione i moderatori, particolarmente Chill-Out, quale recensore del primo articolo e tutti gli utenti che leggeranno il mio intervento, personale - ma di carattere generale.

Ignorante sull'argomento, ho letto il post n. 1 ed alcuni successivi, ma non ho letto tutto, quindi scusatemi nel caso riproponessi un argomento già trattato.

Non ho apparenti segnali di infezione, ma avendo come tutti una normale curiosità che mi porta a visitare siti sconosciuti (che sono del resto il 99,99%) che possono ospitare consapevolmente o meno exploit o altre tecniche di infezione, e scaricando di tanto in tanto qualcosa, mi piacerebbe scoprire - se questo computer è infettato con tecniche che riescono ad eludere, gli strumenti di protezione che utilizzo. (Comodo C.I.S. 5.8.213334.xxxx) e magari se convivo senza saperlo - chissà da quando - con qualche porcheria.

La seconda domanda è: "scansionando un disco/partizione con a bordo un S.O. - da un altro disco/partizione con altro S.O., con installato un antivirus aggiornato nel motore e nelle definizioni, si possono individuare con maggiore facilità le infezioni, più specificatamente quelle che utilizzano tecniche di mascheramento, come ad esempio i rootkits? Viene effettuata anche la scansione del MBR del disco oggetto di analisi ? Oppure occorre un prodotto specifico ? In caso affermativo quale ?

Il post n. 1 anche se è dichiaratamente applicabile a XP e Vista, è valido ed aggiornato per Seven ? Parimenti i link a cui si viene rimandati sono validi per Seven ?

Ricordo di aver utilizzato GMER in passato con XP, e ricordo - salvo errore - che GMER di sua iniziativa quindi senza l'intervento dell'utente , già nella prima scansione effettuò una "prima pulizia" che ha disabilitato/cancellato qualche funzione nativa del S.O. o di qualche SW. Non posso essere più specifico perché è passato del tempo... ma il risultato della scansione è stato parzialmente dannoso. Oggi è ancora così ?

#######

Mi scuso per la lunghezza, ho cercato di essere più chiaro possibile.
Grazie, Ciao

[Chill-Out]

Quote:

Originariamente inviato da Stratoblu

Buongiorno...

Questo è il mio primo msg in questa discussione, quindi saluto con l'occasione i moderatori, particolarmente Chill-Out, quale recensore del primo articolo e tutti gli utenti che leggeranno il mio intervento, personale - ma di carattere generale.

Ignorante sull'argomento, ho letto il post n. 1 ed alcuni successivi, ma non ho letto tutto, quindi scusatemi nel caso riproponessi un argomento già trattato.

Non ho apparenti segnali di infezione, ma avendo come tutti una normale curiosità che mi porta a visitare siti sconosciuti (che sono del resto il 99,99%) che possono ospitare consapevolmente o meno exploit o altre tecniche di infezione, e scaricando di tanto in tanto qualcosa, mi piacerebbe scoprire - se questo computer è infettato con tecniche che riescono ad eludere, gli strumenti di protezione che utilizzo. (Comodo C.I.S. 5.8.213334.xxxx) e magari se convivo senza saperlo - chissà da quando - con qualche porcheria.

La seconda domanda è: "scansionando un disco/partizione con a bordo un S.O. - da un altro disco/partizione con altro S.O., con installato un antivirus aggiornato nel motore e nelle definizioni, si possono individuare con maggiore facilità le infezioni, più specificatamente quelle che utilizzano tecniche di mascheramento, come ad esempio i rootkits? Viene effettuata anche la scansione del MBR del disco oggetto di analisi ? Oppure occorre un prodotto specifico ? In caso affermativo quale ?

Il post n. 1 anche se è dichiaratamente applicabile a XP e Vista, è valido ed aggiornato per Seven ? Parimenti i link a cui si viene rimandati sono validi per Seven ?

Ricordo di aver utilizzato GMER in passato con XP, e ricordo - salvo errore - che GMER di sua iniziativa quindi senza l'intervento dell'utente , già nella prima scansione effettuò una "prima pulizia" che ha disabilitato/cancellato qualche funzione nativa del S.O. o di qualche SW. Non posso essere più specifico perché è passato del tempo... ma il risultato della scansione è stato parzialmente dannoso. Oggi è ancora così ?

#######

Mi scuso per la lunghezza, ho cercato di essere più chiaro possibile.
Grazie, Ciao

Quote:

Originariamente inviato da Stratoblu

La seconda domanda è: "scansionando un disco/partizione con a bordo un S.O. - da un altro disco/partizione con altro S.O., con installato un antivirus aggiornato nel motore e nelle definizioni, si possono individuare con maggiore facilità le infezioni, più specificatamente quelle che utilizzano tecniche di mascheramento, come ad esempio i rootkits? Viene effettuata anche la scansione del MBR del disco oggetto di analisi ? Oppure occorre un prodotto specifico ? In caso affermativo quale ?

Ciao, la risposta alla prima domanda è NO, alla seconda è SI. Puoi utilizzare Gmer.

Quote:

Originariamente inviato da Stratoblu

Il post n. 1 anche se è dichiaratamente applicabile a XP e Vista, è valido ed aggiornato per Seven ? Parimenti i link a cui si viene rimandati sono validi per Seven ?

Si

Quote:

Originariamente inviato da Stratoblu

Ricordo di aver utilizzato GMER in passato con XP, e ricordo - salvo errore - che GMER di sua iniziativa quindi senza l'intervento dell'utente , già nella prima scansione effettuò una "prima pulizia" che ha disabilitato/cancellato qualche funzione nativa del S.O. o di qualche SW. Non posso essere più specifico perché è passato del tempo... ma il risultato della scansione è stato parzialmente dannoso. Oggi è ancora così ?

Ricordi male, Gmer ti avvisa solo della presenza di eventuali Rootkit.

[ulcera86]

Ciao a tutti, avrei bisogno di qualche informazione. Ho dato un occhiata all'ottima guida (che seguirò alla lettera) ma ho un dubbio a cui (forse c'è scritto in una delle 100 pagine di discussion) non ho trovato risposta. Se ho un messaggio di errore del tipo "Trend Chip AntiVirus has detected a boot virus...." può essere dovuto alla batteria del pc che si è scaricata?(l'ho trovata in altri forum)Inoltre per seguire la vostra guida devo riuscire ad accedere al SO, mi fido a farlo visto che mi viene detto che se continuo nel boot rischio di perdere i dati?Visto che il pc non è mio e la cosa importante è il recupero dei dati voglio essere sicuro di quello che faccio..grazie per le vostre risposte, e complimenti.

[Chill-Out]

Quote:

Originariamente inviato da ulcera86

Ciao a tutti, avrei bisogno di qualche informazione. Ho dato un occhiata all'ottima guida (che seguirò alla lettera) ma ho un dubbio a cui (forse c'è scritto in una delle 100 pagine di discussion) non ho trovato risposta. Se ho un messaggio di errore del tipo "Trend Chip AntiVirus has detected a boot virus...." può essere dovuto alla batteria del pc che si è scaricata?(l'ho trovata in altri forum)Inoltre per seguire la vostra guida devo riuscire ad accedere al SO, mi fido a farlo visto che mi viene detto che se continuo nel boot rischio di perdere i dati?Visto che il pc non è mio e la cosa importante è il recupero dei dati voglio essere sicuro di quello che faccio..grazie per le vostre risposte, e complimenti.

Non credo sia la batteria, allega i log per il controllo

[ulcera86]

ok, appena lo eseguo lo posto..una cosa..non rischio a continuare nel boot vero?grazie mille, molto gentili!

[Chill-Out]

Quote:

Originariamente inviato da ulcera86

ok, appena lo eseguo lo posto..una cosa..non rischio a continuare nel boot vero?grazie mille, molto gentili!

No