Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[TheKezOne]

Premetto che ho già usato Combofix, ma purtroppo Avira Free Antivirus continua a rilevare la minaccia Boo/tss.o (in entrambe le partizioni) del mio hd.
Così ho seguito i punti chiave del primo post e vi allego i 2 log :

Prev scan.log
Gmer scan.txt

inoltre il log di combofix :
ComboFix.txt

Che faccio? Passo alla seconda fase o è un falso positivo? (ammetto di non aver letto tutte le 175 pagine).
Vi ringrazio in anticipo e vi dico che ho già provato con Tdsskiller e nemmeno si apre.

[Chill-Out]

Quote:

Originariamente inviato da TheKezOne

Premetto che ho già usato Combofix, ma purtroppo Avira Free Antivirus continua a rilevare la minaccia Boo/tss.o (in entrambe le partizioni) del mio hd.
Così ho seguito i punti chiave del primo post e vi allego i 2 log :

Prev scan.log
Gmer scan.txt

inoltre il log di combofix :
ComboFix.txt

Che faccio? Passo alla seconda fase o è un falso positivo? (ammetto di non aver letto tutte le 175 pagine).
Vi ringrazio in anticipo e vi dico che ho già provato con Tdsskiller e nemmeno si apre.

- Scarica TDSSKiller http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

[aikifabio21]

Ciao a tutti, purtroppo sono incappato nel virus mbr, vi allego tutti i log delle scansioni che ho effettuato.
Ho eseguito emisoft anti malware, ma non mi è stato possibile spostare in quarantena due file:
Trojan.DOS.Sinowal!E2
Riskware.Hacktool.SFAFSB!E2.
Vi ringrazio anticipatamente.

http://www.filedropper.com/malwareby...-08-0914-03-26

http://www.filedropper.com/a2scan120809-180603

http://www.filedropper.com/fsecure

Scusate per il log di drweb cureit ma il link di parserlog non funziona

http://www.filedropper.com/cureit

Qui c'è la schermata finale di drweb, se può essere utile

http://www.filedropper.com/drweb

http://www.filedropper.com/sysinspec...85-120811-0927

http://www.filedropper.com/hijackthis

http://www.filedropper.com/gmer

http://www.filedropper.com/prevx3

[Chill-Out]

Quote:

Originariamente inviato da aikifabio21

Ciao a tutti, purtroppo sono incappato nel virus mbr, vi allego tutti i log delle scansioni che ho effettuato.
Ho eseguito emisoft anti malware, ma non mi è stato possibile spostare in quarantena due file:
Trojan.DOS.Sinowal!E2
Riskware.Hacktool.SFAFSB!E2.
Vi ringrazio anticipatamente.

http://www.filedropper.com/malwareby...-08-0914-03-26

http://www.filedropper.com/a2scan120809-180603

http://www.filedropper.com/fsecure

Scusate per il log di drweb cureit ma il link di parserlog non funziona

http://www.filedropper.com/cureit

Qui c'è la schermata finale di drweb, se può essere utile

http://www.filedropper.com/drweb

http://www.filedropper.com/sysinspec...85-120811-0927

http://www.filedropper.com/hijackthis

http://www.filedropper.com/gmer

http://www.filedropper.com/prevx3

- Scarica TDSSKiller http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

[aikifabio21]

Quote:

Originariamente inviato da Chill-Out

- Scarica TDSSKiller http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

Grazie mille della risposta, ecco qui il log:
http://www.filedropper.com/tdsskille...82012140921log

[Chill-Out]

Quote:

Originariamente inviato da aikifabio21

Grazie mille della risposta, ecco qui il log:
http://www.filedropper.com/tdsskille...82012140921log

Direi che siamo a posto.

[aikifabio21]

Quote:

Originariamente inviato da Chill-Out

Direi che siamo a posto.

Grazie mille. Ora internet funziona correttamente.
Ho notato una cosa dopo la pulizia. Innanzi tutto l'avvio di windows è diventato molto più lento di prima, e anche il modem ci mette molto più tempo ad allinearsi (è un vecchio ipm dataway usb di telecom, ma prima in un minuto si connetteva), c'è qualcosa che dovrei controllare?

[Chill-Out]

Quote:

Originariamente inviato da aikifabio21

Grazie mille. Ora internet funziona correttamente.
Ho notato una cosa dopo la pulizia. Innanzi tutto l'avvio di windows è diventato molto più lento di prima, e anche il modem ci mette molto più tempo ad allinearsi (è un vecchio ipm dataway usb di telecom, ma prima in un minuto si connetteva), c'è qualcosa che dovrei controllare?

Vedi http://www.hwupgrade.it/forum/showthread.php?t=1726383

[ARGOFANTE]

Un saluto a tutti,
avrei bisogno di un aiuto perchè credo di essee infetto da un Master Boot Record Rootkit.
Mentre navigavo con explorer si è bloccato il sistema mostrando la shermata blu per una frazione di secondo, dopo di che il sistema non si riavviava più, dopo alcuni tentativi sono riuscito ad avviare in modalità provvisoria ed ho eseguito la fase preliminare e la prima fase della guida di Chill-Out.
Questi i log:
http://wikisend.com/download/178294/GMER.txt
http://wikisend.com/download/422320/PREVX.txt

Vi ringrazio anticipatamente per il prezioso aiuto e spero di non aver commesso errori nelle procedure.

Saluti

[Chill-Out]

Quote:

Originariamente inviato da ARGOFANTE

Un saluto a tutti,
avrei bisogno di un aiuto perchè credo di essee infetto da un Master Boot Record Rootkit.
Mentre navigavo con explorer si è bloccato il sistema mostrando la shermata blu per una frazione di secondo, dopo di che il sistema non si riavviava più, dopo alcuni tentativi sono riuscito ad avviare in modalità provvisoria ed ho eseguito la fase preliminare e la prima fase della guida di Chill-Out.
Questi i log:
http://wikisend.com/download/178294/GMER.txt
http://wikisend.com/download/422320/PREVX.txt

Vi ringrazio anticipatamente per il prezioso aiuto e spero di non aver commesso errori nelle procedure.

Saluti

- Scarica TDSSKiller http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

[ARGOFANTE]

Quote:

Originariamente inviato da Chill-Out

- Scarica TDSSKiller http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

Grazie mille per la pronta risposta
ecco il log:
http://www.filedropper.com/tdsskille...92012110314log

[ARGOFANTE]

Mi sono accorto ora che il sistema si riavvia solo in modalità provvisoria, se provo a riavviare normalmente appare la schermata blu velocissima e ricomincia la procedura per il riavvio.
Fino ad ora ero in modalità provvisoria.

Scusami se aggiungo il messaggio prima della tua risposta ma credo sia un elemento utile.

[Chill-Out]

Quote:

Originariamente inviato da ARGOFANTE

Grazie mille per la pronta risposta
ecco il log:
http://www.filedropper.com/tdsskille...92012110314log

Strano

Quote:

Originariamente inviato da ARGOFANTE

Mi sono accorto ora che il sistema si riavvia solo in modalità provvisoria, se provo a riavviare normalmente appare la schermata blu velocissima e ricomincia la procedura per il riavvio.
Fino ad ora ero in modalità provvisoria.

Scusami se aggiungo il messaggio prima della tua risposta ma credo sia un elemento utile.

Fai una scansione con HitmanPro 3.6

http://www.surfright.nl/en

non prevede installazione e la prima rimozione di eventuali infezioni è gratuita.


NB: allega il log

[ARGOFANTE]

Quote:

Originariamente inviato da Chill-Out

Strano



Fai una scansione con HitmanPro 3.6

http://www.surfright.nl/en

non prevede installazione e la prima rimozione di eventuali infezioni è gratuita.


NB: allega il log

Grazie per la tua disponibilità,
mi sono dimenticato di dirti che appena sono riuscito a riavviare in modalità provvisoria la prima cosa che ho fatto è una scansione con Combofix.

ecco il log di HitmanPro:
http://www.filedropper.com/hitmanpro201209041647

[Chill-Out]

Quote:

Originariamente inviato da ARGOFANTE

Grazie per la tua disponibilità,
mi sono dimenticato di dirti che appena sono riuscito a riavviare in modalità provvisoria la prima cosa che ho fatto è una scansione con Combofix.

ecco il log di HitmanPro:
http://www.filedropper.com/hitmanpro201209041647

Allega anche il log di Combo

[ARGOFANTE]

Quote:

Originariamente inviato da Chill-Out

Allega anche il log di Combo

in realtà ho fatto due scansioni con combofix,
ho trovato entrambi i log, almeno credo:

quello di ieri
http://www.filedropper.com/combofixieri

quello di oggi
http://www.filedropper.com/combofixoggi

grazie

[Chill-Out]

Quote:

Originariamente inviato da ARGOFANTE

in realtà ho fatto due scansioni con combofix,
ho trovato entrambi i log, almeno credo:

quello di ieri
http://www.filedropper.com/combofixieri

quello di oggi
http://www.filedropper.com/combofixoggi

grazie

La prima esecuzione di Combo risale al 28 Agosto, comunque dai log non si evince il motivo per cui il PC non si avvia in modalità normale. Necessito di ulteriori info sull'accaduto per suggerirti come procedere, senza amettere nulla non posso tirare ad indovinare.

[ARGOFANTE]

Quote:

Originariamente inviato da Chill-Out

La prima esecuzione di Combo risale al 28 Agosto, comunque dai log non si evince il motivo per cui il PC non si avvia in modalità normale. Necessito di ulteriori info sull'accaduto per suggerirti come procedere, senza amettere nulla non posso tirare ad indovinare.

Innanzitutto grazie della collaborazione, scusa se non sono stato abbastanza chiaro nell'esposizione ma preso dall'ansia e dal nervosismo può essermi sfuggito qualcosa.
Se fossi così gentile da dedicarmi ancora qualche minuto proverò a riassumere quanto accaduto.
Ieri sera, mentre navigavo con explorer, mi è apparso un messagio di errore che diceva che explorer veniva chiuso, immediatamente dopo è apparsa la schermata blu con delle scritte per una frazione di secondo ed il sistema si è arrestato, il riavvio non si è completato perchè dopo la schermata nera con la scritta "Windows XP" lo schermo è rimasto nero. Inizialmente non si riusciva a riavviare ne in "modalità provvisoria" ne in "modalità ripristino servizi directory" ma dopo alcuni tentativi sono riuscito a riavviare in "modalità provvisoria".
La prima cosa che ho fatto è stata una scansione con Combofix (il log di ieri, se trovi qualche data precedente può essere perchè è stato stato scaricato precedentemente).
Questa mattina ho eseguito una scansione con GMER e con PREVX (vedi i log che ho inviato).
Successivamente ho fatto un'altra scansione con Combofix (il log di oggi). Una cosa che volevo segnalare, anche se non so se ha importanza: questa mattina, come da procedura, ho disabilitato il "ripristino configurazione di sistema" e oggi pomeriggio l'ho trovato riattivato.
Tutto questo l'ho fatto in "modalità provvisoria", se tento di avviare in "modalità normale" dopo la schermata nera "Windows XP" appare la schermata blu con delle scritte per una frazione di secondo e il PC si riavvia nuovamente, sono riuscito con una telecamera a riprendere le scritte che quì riporto:

si è verificato un problema e windows è stato arrestato per impedire danni al computer.
Se è la prima volta che appare la schermata di errore relativa all'arresto, riavviare il computer. Se la schermata riappare, procedere come segue:
Eseguire il controllo diagnostico del sistema fornito dal produttore dell'hardware. in particolare, effettuare una verifica della memoria, accertando l'esistenza di errori o mancate corrispondenze.
Provare a cambiare la scheda video.
Disattivare o rimuovere l'ardware e i driver di nuova instalazione.
Se occorre utilizzare la modalità provvisoria, per rimuovere o disattivare componenti, riavviare il computer, premere F8 per selezionare le opzioni di avvio avanzate, quindi selezionare la modalità provvisoria.
Informazioni tecniche:
*** STOP 0x0000007F (0x00000008,0x80042000,0x00000000,0x00000000)

della prima parte dei numeri non sono del tutto sicuro perchè l'immagine era un po' sfocata.
Questo è tutto quello che è accaduto da quando si è manifestato il problema.

[Chill-Out]

Quote:

Originariamente inviato da ARGOFANTE

Innanzitutto grazie della collaborazione, scusa se non sono stato abbastanza chiaro nell'esposizione ma preso dall'ansia e dal nervosismo può essermi sfuggito qualcosa.
Se fossi così gentile da dedicarmi ancora qualche minuto proverò a riassumere quanto accaduto.
Ieri sera, mentre navigavo con explorer, mi è apparso un messagio di errore che diceva che explorer veniva chiuso, immediatamente dopo è apparsa la schermata blu con delle scritte per una frazione di secondo ed il sistema si è arrestato, il riavvio non si è completato perchè dopo la schermata nera con la scritta "Windows XP" lo schermo è rimasto nero. Inizialmente non si riusciva a riavviare ne in "modalità provvisoria" ne in "modalità ripristino servizi directory" ma dopo alcuni tentativi sono riuscito a riavviare in "modalità provvisoria".
La prima cosa che ho fatto è stata una scansione con Combofix (il log di ieri, se trovi qualche data precedente può essere perchè è stato stato scaricato precedentemente).
Questa mattina ho eseguito una scansione con GMER e con PREVX (vedi i log che ho inviato).
Successivamente ho fatto un'altra scansione con Combofix (il log di oggi). Una cosa che volevo segnalare, anche se non so se ha importanza: questa mattina, come da procedura, ho disabilitato il "ripristino configurazione di sistema" e oggi pomeriggio l'ho trovato riattivato.
Tutto questo l'ho fatto in "modalità provvisoria", se tento di avviare in "modalità normale" dopo la schermata nera "Windows XP" appare la schermata blu con delle scritte per una frazione di secondo e il PC si riavvia nuovamente, sono riuscito con una telecamera a riprendere le scritte che quì riporto:

si è verificato un problema e windows è stato arrestato per impedire danni al computer.
Se è la prima volta che appare la schermata di errore relativa all'arresto, riavviare il computer. Se la schermata riappare, procedere come segue:
Eseguire il controllo diagnostico del sistema fornito dal produttore dell'hardware. in particolare, effettuare una verifica della memoria, accertando l'esistenza di errori o mancate corrispondenze.
Provare a cambiare la scheda video.
Disattivare o rimuovere l'ardware e i driver di nuova instalazione.
Se occorre utilizzare la modalità provvisoria, per rimuovere o disattivare componenti, riavviare il computer, premere F8 per selezionare le opzioni di avvio avanzate, quindi selezionare la modalità provvisoria.
Informazioni tecniche:
*** STOP 0x0000007F (0x00000008,0x80042000,0x00000000,0x00000000)

della prima parte dei numeri non sono del tutto sicuro perchè l'immagine era un po' sfocata.
Questo è tutto quello che è accaduto da quando si è manifestato il problema.

Ciao segui questa procedura, mi raccomando prestare attenzione alle istruzioni:


Inserisci il CD di XP e riavvia il PC eseguendo il Boot da Cd
Ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, nel tuo caso 1) C:\Windows quindi premere 1 e confermare con OK
Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO
Digita il comando bootcfg /rebuild
Premere S per accettare la domanda Aggiungere installazione
all'elenco sistemi operativi all'avvio? (Sì/No/Tutti)
Alla domanda Inserire l'identificatore di caricamento scrivi Windows XP 2
Premi Invio alla domanda Inserire l'identificatore di
caricamento
Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare Exit al prompt dei comandi, quindi premere Invio dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows

Adesso abbiamo creato un nuovo sistema operativo nel comando di avvio di boot.ini quindi quando apparirà la schermata per scegliere quale sistema operativo avviare scegli quello appena creato ovvero Windows XP 2, se hai fatto tutto correttamente Windows si dovrebbe finalmente avviare

Una volta avviato Windows clicca con il tasto destro su Risorse del computer ==>> Proprietà ==>> Avanzate ==>> Avvio e ripristino ==>> Impostazion ==>> Modifica dovresti vedere qualcosa del genere:

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=Windows XP 2

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Nome sistema operativo originario" /fastdetect /NoExecute=OptIn /safeboot:minimal

- quindi provvedi ad eliminare la riga contenete il nuovo sistema operativo appena creato, ovvero Windows XP 2
- mentre dalla riga del sistema operativo originale devi cancellare solo /safeboot:minimal
A questo punto chiudere boot.ini, salvare le modifiche e cliccare su Ok

Ora non rimane altro che fare un riavvio, tutto dovrebbe essere ritornato alla normalità.

[ARGOFANTE]

Quote:

Originariamente inviato da Chill-Out

Ciao segui questa procedura, mi raccomando prestare attenzione alle istruzioni:


Inserisci il CD di XP e riavvia il PC eseguendo il Boot da Cd
Ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, nel tuo caso 1) C:\Windows quindi premere 1 e confermare con OK
Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO
Digita il comando bootcfg /rebuild
Premere S per accettare la domanda Aggiungere installazione
all'elenco sistemi operativi all'avvio? (Sì/No/Tutti)
Alla domanda Inserire l'identificatore di caricamento scrivi Windows XP 2
Premi Invio alla domanda Inserire l'identificatore di
caricamento
Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare Exit al prompt dei comandi, quindi premere Invio dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows

Adesso abbiamo creato un nuovo sistema operativo nel comando di avvio di boot.ini quindi quando apparirà la schermata per scegliere quale sistema operativo avviare scegli quello appena creato ovvero Windows XP 2, se hai fatto tutto correttamente Windows si dovrebbe finalmente avviare

Una volta avviato Windows clicca con il tasto destro su Risorse del computer ==>> Proprietà ==>> Avanzate ==>> Avvio e ripristino ==>> Impostazion ==>> Modifica dovresti vedere qualcosa del genere:

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=Windows XP 2

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Nome sistema operativo originario" /fastdetect /NoExecute=OptIn /safeboot:minimal

- quindi provvedi ad eliminare la riga contenete il nuovo sistema operativo appena creato, ovvero Windows XP 2
- mentre dalla riga del sistema operativo originale devi cancellare solo /safeboot:minimal
A questo punto chiudere boot.ini, salvare le modifiche e cliccare su Ok

Ora non rimane altro che fare un riavvio, tutto dovrebbe essere ritornato alla normalità.

mi dispiace ma non ho buone notizie,
ho eseguito la tua procedura fino a creare il nuovo sistema operativo, ma al momento di riavviare si presenta sempre lo stesso problema, dopo la schermata nera con la scritta "Windows XP" appare rapidissimo lo schemro blu e si riavvia, anche il nuovo sistema operativo si avvia solo in "modalità provvisoria".
Se possono essere di aiuto questi sono i file di boot, prima e dopo la modifica:
http://www.filedropper.com/bootpre_1
http://www.filedropper.com/bootpost_1