Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[cabernet]

e quello di norman sinowalMBR cleaner
NFix_2012-04-02_15-45-41.txt

[Chill-Out]

Quote:

Originariamente inviato da cabernet

ecco il log di tdssrootkit:
http://www.mediafire.com/?pfy7cgy0pdeats7

Nuova scansione con TDSSKiller ed allega il log

[cabernet]

Quote:

Originariamente inviato da Chill-Out

Nuova scansione con TDSSKiller ed allega il log

Ecco:
http://www.mediafire.com/?34epvi1ihgh5vu1

[Chill-Out]

Quote:

Originariamente inviato da cabernet

Ecco:
http://www.mediafire.com/?34epvi1ihgh5vu1

Fai girare questo tool http://download.bleepingcomputer.com/grinler/unhide.exe

[cabernet]

Quote:

Originariamente inviato da Chill-Out

Fai girare questo tool http://download.bleepingcomputer.com/grinler/unhide.exe

ecco il log:

Quote:

Unhide by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2012 BleepingComputer.com
More Information about Unhide.exe can be found at this link:
http://www.bleepingcomputer.com/forums/topic405109.html

Program started at: 04/02/2012 06:20:57 PM
Windows Version: Windows 7

Please be patient while your files are made visible again.

Processing the C:\ drive
Finished processing the C:\ drive. 280766 files processed.

Processing the D:\ drive
Finished processing the D:\ drive. 10851 files processed.

Restoring the Start Menu.
* 1 Shortcuts and Desktop items were restored.


Searching for Windows Registry changes made by FakeHDD rogues.
- Checking HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
- Checking HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
- Checking HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
* Start_TrackDocs was set to 0! It was set back to 1!
* Start_TrackProgs was set to 0! It was set back to 1!

Program finished at: 04/02/2012 06:22:28 PM
Execution time: 0 hours(s), 1 minute(s), and 31 seconds(s)

[cabernet]

Quote:

Originariamente inviato da Chill-Out

Fai girare questo tool http://download.bleepingcomputer.com/grinler/unhide.exe

allora,dopo aver riavviato è tornato tutto normale,ho riavviato tutti i programmi presenti in prima pagina e nessuno rileva qualcosa.
quindi credo di aver risolto.
vorrei fare una domanda,
sono un utente abbastanza attento ed erano almeno 5-6 anni che non prendevo qualcosa, ed utilizzo solamente avast per la protezione.
Questo rootkit mi ha molto infastidito, e non vorrei che capitasse di nuovo, credi che sia causa il browser internet? in questo caso opera(?)
Nel mio pc girano solo mie chiavette,pulite e nessuno lo usa perc cui mi sto chiedendo come ha fatto ad entrarmi quel odioso rootkit.
Ho visto che Prevx mi è partito all'avvio e mi rimane come processo in esecuzione,pensavo di disinstallarlo ma ho visto che offre protezione in tempo reale, quasi quasi lo lascio, serve a molto?
grazie mille per il supporto non so come ringraziare

[nV 25]

noto sempre con piacere che questa piaga continua a colpire in tutta la sua virulenza...

Ma un pò di cautela prima di eseguire qualcosa no, eh?

Allo stesso tempo, vista in particolare la complessità della rimozione, attribuisco una funzione sociale a questo malware:
infatti, a meno di non essere totalmente folli, sono convinto che coloro che ne sono rimasti vittime siano forzati a guardare con più circospezione la rete...

Ben venga, allora...

[xcdegasp]

svolge una funzione educativa qualora la contro parte (chi sta seduto davanti al monitor) si rimbocchi le maniche e si adoperi per risolvere il problema capendone le cause.
su 100 che chiedono aiuto qui in sezione il 50% è completamente collaborativo seguendo scrupolosamente e minuziosamente le indicazioni aggiungo che sono loro stessi a trovare la guida degli infetti, svolgere tutte le scansioni correttamente e poi pubblicare correttamente i report.
del restante 50% possiamo identificare un buon 25-30% che si dimostra collaborativo solo in seconda istanza (vuoi perchè prima ha seguito una linea tutta sua e vorrebbe proseguire da quella, vuoi perchè la trova noiosa e lunga, vuoi che non vuole "sporcare ulteriormente il proprio pc installando tools che non conosceva fino a 30secondi prima, vuoi per varie ed eventuali), infine il gruppo rimanente sono coloro che nonostante le indicazioni fanno cio che vogliono e nel modo che vogliono, talvolta scompaiono per formattare il pc la classica panacea di tutti ..

da sola l'infezione educherebbe veramente pochissime persone perchè nessuno di questi si porrebbe la domanda corretta. tutti si chiedono qual'è stato il file, nessuno però si domanderebbe qual'è stato il mio comportamento a causare il danno. anche l'antivirus viene spesso incolpato come inutile ma non si pongono minimamente il quesito se sia stato impostato correttamente, la causa insomma è sempre "esterna", un'entità meticolosa che si aggira fulminea a colpire con estrema collera chi è innocente e l'unica sua colpa se proprio si deve trovare è il possedere un pc..

quindi anche se risolvessero una volta, stai pur certo che poco dopo ci cadrebbe ulteriormente

[Chill-Out]

Quote:

Originariamente inviato da cabernet

vorrei fare una domanda,
sono un utente abbastanza attento ed erano almeno 5-6 anni che non prendevo qualcosa, ed utilizzo solamente avast per la protezione.
Questo rootkit mi ha molto infastidito, e non vorrei che capitasse di nuovo, credi che sia causa il browser internet? in questo caso opera(?)
Nel mio pc girano solo mie chiavette,pulite e nessuno lo usa perc cui mi sto chiedendo come ha fatto ad entrarmi quel odioso rootkit.

SO non aggiornato, dov'è il SP1?

Quote:

Originariamente inviato da cabernet

Ho visto che Prevx mi è partito all'avvio e mi rimane come processo in esecuzione,pensavo di disinstallarlo ma ho visto che offre protezione in tempo reale, quasi quasi lo lascio, serve a molto?
grazie mille per il supporto non so come ringraziare

Lo puoi disinstallare

[Chill-Out]

Quote:

Originariamente inviato da rolant

vi posto i miei log...ho un mebroot che non riesco a togliere

i sintomi sono lentezza esasperante del pc, minuti per aprire un file di office.

grazie mille

prevx: non trova nulla prevx.log

gmer: trova win32MBroot gmer.log

- Scarica TDSSKiller http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

[Chill-Out]

Quote:

Originariamente inviato da rolant

ecco a te: TDSSKiller.2.7.29.0_18.04.2012_22.43.30_log.txt

non trova niente


grazie

Mi alleghi il log del Nod32 [ESET]

[Chill-Out]

Quote:

Originariamente inviato da rolant

nod.txt

non trova nulla

grazie ciao

Vedi prima pagina:

Stealth MBR rootkit detector -> Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
Scaricate MBR:EXE sul DeskTop e mettetelo direttamente nella Directory C:\
Riavviate il Pc in modalità provvisoria F8
Da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
Salvate il log prodotto come MBR ed allegatelo per il controllo

[malatodihardware]

Ho collegato un HD infetto al mio pc e Avira mi ha rilevato il virus BOO/TDss.O. nell'MBR di tale disco.
Quindi l'ho subito rimosso per evitare danni. E' possibile che si sia infettato anche il mio pc?
Non noto rallentamenti particolari o errori. mbr.exe purtroppo non funziona in quanto è un W7 64bit con Grub (dual boot win+ubuntu).
Ho lanciato combofix ma non ha rilevato niente di particolare, così come prevx.
C'è un modo di verificare con certezza se è infetto anche questo pc?
Ho anche provato a collegare una chiavetta su questo pc, poi metterla in un XP, fare qualche riavvio e lanciare mbr.exe che dà tutto a posto..
E' forse uno dei casi in cui l'uso di un utente non admin connesso all'UAC mi ha parato?
Grazie

[Chill-Out]

Quote:

Originariamente inviato da malatodihardware

Ho collegato un HD infetto al mio pc e Avira mi ha rilevato il virus BOO/TDss.O. nell'MBR di tale disco.
Quindi l'ho subito rimosso per evitare danni. E' possibile che si sia infettato anche il mio pc?
Non noto rallentamenti particolari o errori. mbr.exe purtroppo non funziona in quanto è un W7 64bit con Grub (dual boot win+ubuntu).
Ho lanciato combofix ma non ha rilevato niente di particolare, così come prevx.
C'è un modo di verificare con certezza se è infetto anche questo pc?
Ho anche provato a collegare una chiavetta su questo pc, poi metterla in un XP, fare qualche riavvio e lanciare mbr.exe che dà tutto a posto..
E' forse uno dei casi in cui l'uso di un utente non admin connesso all'UAC mi ha parato?
Grazie

Allega un log di Gmer ---> vedi prima pagina

[malatodihardware]

Non rileva niente di strano, l'unica cosa è che alcuni flag in alto a destra sono disabilitati (la stessa cosa succede però su un altro WIN7 64bit sicuramente non infetto)
EDIT: Da quello che ho letto non supporta i 64bit poichè funziona ancora a 16bit. Come posso procedere?

[Chill-Out]

Quote:

Originariamente inviato da malatodihardware

Non rileva niente di strano, l'unica cosa è che alcuni flag in alto a destra sono disabilitati (la stessa cosa succede però su un altro WIN7 64bit sicuramente non infetto)
EDIT: Da quello che ho letto non supporta i 64bit poichè funziona ancora a 16bit. Come posso procedere?

Non è pienamente supportato, ma per quelle che dobbiamo appurare noi va bene, allega il log.

[malatodihardware]

Niente di che..
Nessun rosso e tre riferimenti a questa chiave e tre a quella sotto:
HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\70f395d0705d
HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\70f395d0705d
(scusa ma ho fatto prima così che a uploadare il log da qualche parte)

[malatodihardware]

Non so se è inerente, ma ho stavo facendo gli aggiornamenti di windows update e quello di defender è fallito con errore 8007007E
Potrebbe essere collegato?

[numatu]

Ciao a tutti,

avevo seguito una discussione

( http://www.hwupgrade.it/forum/showth...1#post37413561 )

pensando che il mio problema con l'hard disk fosse analogo. La ragazza che aveva iniziato la discussione credo abbia risolto, infatti non l'ha più continuata.
Ho proceduto con la guida alla disinfezione da infetti, ma l'unico intoppo è stato la scansione con GMER. in pratica GMER mi rilevava modifiche al sistema dovute ad un rootkit ma non mi lasciava il log e mi riavviava il pc.

Non sapendo che fare ma sapendo che avevo a che fare con un rootkit ho provato la scansione con tdsskiller.exe il quale mi ha trovato delle modifiche all'MBR che se anche gli ho indicato di "curarle" secondo me non ha risolto.

Quindi ho proceduto con stealth mbr , che mi ha riscontrato un mbr modificato.
per ora sto procedendo con norman Sinovalmbr cleaner .

Allego tutto quello che secondo la guida dovrebbe essere utile tranne GMER xchè non me lo dà.

http://wikisend.com/download/413694/mbam-log-2012-04-23

http://wikisend.com/download/807948/...424-110600.txt

http://wikisend.com/download/312106/...428-203951.txt

http://wikisend.com/download/442148/...429-195042.txt

http://wikisend.com/download/197608/ESET 24042012 2326.txt

http://wikisend.com/download/296632/DrWeb 27042012.txt

http://wikisend.com/download/413488/F-Secure Online 27042012.txt

http://wikisend.com/download/126604/...20427-2249.xml

http://wikisend.com/download/539920/hijackthis

http://wikisend.com/download/247148/Prevx28042012.txt

http://wikisend.com/download/447670/....00.16_log.txt

http://wikisend.com/download/966674/mbr mar 08052012.txt

http://wikisend.com/download/239920/...8_13-32-17.txt

[Chill-Out]

Quote:

Originariamente inviato da numatu

Ciao a tutti,

avevo seguito una discussione

( http://www.hwupgrade.it/forum/showth...1#post37413561 )

Prosegui qui http://www.hwupgrade.it/forum/showpo...1&postcount=35