Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da ARGOFANTE

mi dispiace ma non ho buone notizie,
ho eseguito la tua procedura fino a creare il nuovo sistema operativo, ma al momento di riavviare si presenta sempre lo stesso problema, dopo la schermata nera con la scritta "Windows XP" appare rapidissimo lo schemro blu e si riavvia, anche il nuovo sistema operativo si avvia solo in "modalità provvisoria".
Se possono essere di aiuto questi sono i file di boot, prima e dopo la modifica:
http://www.filedropper.com/bootpre_1
http://www.filedropper.com/bootpost_1

In pratica avviando Windows XP 2, stesso problema?

[ARGOFANTE]

Quote:

Originariamente inviato da Chill-Out

In pratica avviando Windows XP 2, stesso problema?

si, entrambi i sistemi danno lo stesso problema ed è possibile avviare solo in modalità provvisoria.

[Chill-Out]

Quote:

Originariamente inviato da ARGOFANTE

si, entrambi i sistemi danno lo stesso problema ed è possibile avviare solo in modalità provvisoria.

Per cui non è un problema legato ad un ipotetico Virus.

[ARGOFANTE]

Quote:

Originariamente inviato da Chill-Out

Per cui non è un problema legato ad un ipotetico Virus.

Io purtroppo non me ne intendo molto di software, dai primi sintomi sembrava un virus, non saprei dire se un virus può causare un problema di questo tipo.
Forse mi dovrei rassegnare a reinstallare tutto di nuovo, ma è un'operazione che odio perchè ho molti programmi installati e con impostazioni complesse, mi aspetterebbero giorni di passione.
Voglio comunque ringraziarti per il tempo che mi hai dedicato e non voglio neanche approfittare troppo della tua disponibilità, ti chiedo solo un'altro consiglio: per quello che hai potuto capire, dalle informazioni che ti ho inviato, vale la pena tentare ancora di recuperare il sistema? Magari esite qualche software di diagnostica.

[qwerty159]

Quote:

Originariamente inviato da ARGOFANTE

Io purtroppo non me ne intendo molto di software, dai primi sintomi sembrava un virus, non saprei dire se un virus può causare un problema di questo tipo.
Forse mi dovrei rassegnare a reinstallare tutto di nuovo, ma è un'operazione che odio perchè ho molti programmi installati e con impostazioni complesse, mi aspetterebbero giorni di passione.
Voglio comunque ringraziarti per il tempo che mi hai dedicato e non voglio neanche approfittare troppo della tua disponibilità, ti chiedo solo un'altro consiglio: per quello che hai potuto capire, dalle informazioni che ti ho inviato, vale la pena tentare ancora di recuperare il sistema? Magari esite qualche software di diagnostica.

Controlla se la RAM è danneggiata usando Memtest86+

[ARGOFANTE]

Quote:

Originariamente inviato da qwerty159

Controlla se la RAM è danneggiata usando Memtest86+

Grazie del consiglio,
ho controllato ma non ha rilevato errori.

[ARGOFANTE]

Sono riuscito finalmente a risolvere il problema che è descritto nei miei precedenti messaggi, intendo condividere con gli altri lettori di questo forum la procedura per risolverlo.
Ci tengo a sottolineare che io non sono un esperto e che questa non è una guida, è semplicemente la procedura che mi ha fatto risolvere il problema, quindi potrebbero esserci dei passi inutili o controproducenti, lascio agli esperti la valutazione e invito i meno esperti a chiedere consiglio prima di seguirla.
Quello che volevo evitare era di reinstallare tutti i programmi, quindi dopo aver appurato che non fosse un problema hardware mi sono concentrato sul SO.
1) Mediante la procedura di installazione di windows xp, con il disco originale, ho effettauto la riparazione del SO. La procedura si è bloccata più volte ma dopo diversi tentativi sono riuscito a portarla a termine.
A questo punto il sistema permetteva il riavvio in modalità normale ma presentava alcuni problemi: non funzionava internet explorer e windows update.
2) Ho installato manualmente windows explorer 8
3) Ho effettuato una scansione con Malware Bytes e ripulito da alcuni virus.
4) Ho effettuato una scansione con Super AntiSpyware e ripulito da alcuni virus.
5) Ho effettuato una scansione con Set Online Scanner e ripulito da alcuni virus.
A questo punto windows update ancora non funzionava.
6) Ho seguito la procedura quì riportata: http://pieter.wigleven.com/it/archives/94
7) Ho eseguito le procedure di aggiornamento con windows update.

Ringrazio ancora gli utenti che sono intervenuti nel tentavivo di aiutarmi.
Un saluto a tutti.

[Chill-Out]

Quote:

Originariamente inviato da ARGOFANTE

Sono riuscito finalmente a risolvere il problema che è descritto nei miei precedenti messaggi, intendo condividere con gli altri lettori di questo forum la procedura per risolverlo.
Ci tengo a sottolineare che io non sono un esperto e che questa non è una guida, è semplicemente la procedura che mi ha fatto risolvere il problema, quindi potrebbero esserci dei passi inutili o controproducenti, lascio agli esperti la valutazione e invito i meno esperti a chiedere consiglio prima di seguirla.
Quello che volevo evitare era di reinstallare tutti i programmi, quindi dopo aver appurato che non fosse un problema hardware mi sono concentrato sul SO.
1) Mediante la procedura di installazione di windows xp, con il disco originale, ho effettauto la riparazione del SO. La procedura si è bloccata più volte ma dopo diversi tentativi sono riuscito a portarla a termine.
A questo punto il sistema permetteva il riavvio in modalità normale ma presentava alcuni problemi: non funzionava internet explorer e windows update.
2) Ho installato manualmente windows explorer 8
3) Ho effettuato una scansione con Malware Bytes e ripulito da alcuni virus.
4) Ho effettuato una scansione con Super AntiSpyware e ripulito da alcuni virus.
5) Ho effettuato una scansione con Set Online Scanner e ripulito da alcuni virus.
A questo punto windows update ancora non funzionava.
6) Ho seguito la procedura quì riportata: http://pieter.wigleven.com/it/archives/94
7) Ho eseguito le procedure di aggiornamento con windows update.

Ringrazio ancora gli utenti che sono intervenuti nel tentavivo di aiutarmi.
Un saluto a tutti.

Ottimo

[Mr.Gamp]

Avast mi ha rilevato questo problema che però non è possibile risolvere dallo stesso antivirus. Non riesco ad utilizzare ne GMER ne tdss. Ho provato ad utilizzare mbr.exe di Gmer ma non rileva nulla.

Qualcuno mi potrebbe consigliare la strategia adatta?
Premetto che non ho letto tutte le 100 pagine di discussione, quindi mi scuso se il problema era già stato affrontato.

[Il pc in questione utilizza Windows 7 a 64 bit]

[Chill-Out]

Quote:

Originariamente inviato da Mr.Gamp

Avast mi ha rilevato questo problema che però non è possibile risolvere dallo stesso antivirus. Non riesco ad utilizzare ne GMER ne tdss. Ho provato ad utilizzare mbr.exe di Gmer ma non rileva nulla.

Qualcuno mi potrebbe consigliare la strategia adatta?
Premetto che non ho letto tutte le 100 pagine di discussione, quindi mi scuso se il problema era già stato affrontato.

[Il pc in questione utilizza Windows 7 a 64 bit]

Utilizza HitmanPro 3.6 http://www.surfright.nl/it/downloads/

[Mr.Gamp]

Alla fine sono riuscito a risolvere utilizzando TDSSKILLER, all'inizio non funzionava, ho dovuto rinominarlo con un nome diverso e lungo parecchi caratteri, tipo "fddsfsdfsfsdgdsfsdfsdfdsf". Rinominandolo, credo a causa della lunghezza del nome, il virus non è riuscito a bloccarlo (penso perché non progettato per gestire input di caratteri così lunghi), TDSSKILLER è riuscito a rimuovere l'infezione. Poi ho fatto un'altra scansione con Avast per rimuovere i file infetti.
Ed ora posso navigare senza che il mio traffico venga ridiretto e che Avast mi bombardi di notifiche "url maligno bloccato".

Spero che il mio post possa essere utile a qualcun altro.
Grazie.

[remofragolino]

primo.txt

PREV.log

POST.log

nell'ordine sono

1) Gmer
2)Prevx 3.0 Pre
3)Prevx 3.0 Post

[Chill-Out]

Quote:

Originariamente inviato da remofragolino

primo.txt

PREV.log

POST.log

nell'ordine sono

1) Gmer
2)Prevx 3.0 Pre
3)Prevx 3.0 Post

Ciao, fai un controllo con HitmanPro http://www.hwupgrade.it/forum/showthread.php?t=2539794

[gyonny]

Salve ragazzi, voglio segnalare che anch'io io credo di esser stato vittima del mbr rootkit....

Premettendo che in questo momento in cui sto postando sono fresco di formattone , dico che prima non conoscevo nemmeno l'esistenza di questo specifico malware.

Vi racconto la mia esperienza (molto) negativa:

Circa 3 giorni fa d'improvviso avevo notato delle anomalie su Windows 7 x64, il primo sintomo era stato quello di aver visto la finestra dei preferiti di IE9 "modificata", nel senso che non si vedevano più i bordi, e quindi credendo che si trattasse di un problemino momentaneo avevo riavviato il sistema ma dopo il riavvio continuavo a notare questo particolare problema, e da qui cominciavo a sospettare di essermi beccato qualche malware e quindi avevo cominciato a fare scansioni antivirus che non rilevavano un bel nulla, poi feci un controllo dei processi con ProcessExplorer ma anche qui notai una anomalia: la finestra di ProcessExplorer era in parte oscurata e quindi non riuscivo a vedere tutti i processi in esecuzione; poi dopo quest'altro inconveniente cominciavo già a pensare di tagliare subito la testa al toro e fare un restore di immagine di sistema, ma prima di formattare volevo provare un'ultima soluzione, scaricare Malwarebytes e fare una scansione.
Dopo aver installato Malwarebytes non riuscivo ad avviarlo perchè mi veniva bloccato dal malware; fatto questo avevo subito provveduto per una formattazione e un ripristino di immagine di sistema, ma a quanto pare non era bastato perchè notavo che il sistema continuava ad andare lento (forse anche l'immagine di sistema era infetta), troppo lento per le prestazioni del mio computer, e da qui cominciavo già a pensare di essermi beccato qualche brutta bestia tipo il mbr rootkit (questo lo cominciavo a sospettare solo dopo aver fatto ricerche in rete e quindi essere stato indirizzato da google in questo thread).

Per concludere il discorso ho risolto con una live cd di Linux (GParted) cancellando prima il mbr tramite un tool preinstallato su questa utility e poi, sempre tramite un tool preinstallato su questa utility, con una formattazione a basso livello per mettermi al sicuro (che era durata 2 ore circa).

Stavo già cominciando a pensare di cestinare il disco rigido e acquistarne uno nuovo...ma fortunamente la formattazione a basso livello mi ha dato la certezza assoluta di aver eliminato tutte le tracce di questa brutta bestia

Non so se realmente mi sia beccato il mbr rootkit o qualche sua variante sconosciuta...io non ne capisco una mazza di queste cose, comunque quello che volgio dire ad alta voce è che quei programmatori che creano certi virus andrebbero mandati direttamente in galera.

* Io raramente mi becco dei malware, ma quelle poche volte che me li becco li prendo davvero tosti.
Mi sentivo furbo e ceredevo di essere immune...ma evidentemente mi sbagliavo di grosso e ora ho capito che non esiste protezione che tenga (nemmeno i più paranoici moduli HIPS garantisono una adeguata protezione contro certi tipi di minacce avanzate)

[gyonny]

Quote:

Originariamente inviato da gyonny

...Per concludere il discorso ho risolto con una live cd di Linux (GParted)...

Mi correggo, la live CD non è GParted ma si chiama PartedMagic:

E' una live CD su base Linux che contiene tantissimi tools tra cui GParted che serve per partizionare il disco rigido, TestDisk che serve per recuperare intere partizioni (e funziona davvero!), EraseDisk che serve per fare cancellazioni sicure ovvero le cosiddette "formattazioni a basso livello", un antivirus con tanto di aggiornamento definizioni che serve per scansionare il disco su cui è installato Windows...e tantissimi altri utili tools di diagnostica e recupero dati.

C'è installato anche Firefox per navigare in internet...insomma un vero e proprio sistema operativo utile per cercare di risolvere i disastri di Windows come appunto quello che è successo a me.

[Clooster]

Ciao
c'è qualcuno che gentilmente mi aiuta a risolvere problemi con il pc, non so se ho zzeccato il 3d giusto
ho seguito la gudia alla disinfezione e allego i log:
http://wikisend.com/download/255134/HiJackFree.log
http://wikisend.com/download/192174/MBAM-log-2013-09-04 (11-54-46).txt
http://wikisend.com/download/558964/gmer.log
http://wikisend.com/download/444404/PREVx.log
http://wikisend.com/download/128214/...30904-1821.zip

[Chill-Out]

Quote:

Originariamente inviato da Clooster

Ciao
c'è qualcuno che gentilmente mi aiuta a risolvere problemi con il pc, non so se ho zzeccato il 3d giusto
ho seguito la gudia alla disinfezione e allego i log:

Evita di postare ovunque http://www.hwupgrade.it/forum/showthread.php?t=2592971

[Clooster]

Ciao vi segnalo questa anomalia riscontrata nell'installazione di Prevx. E' normale? il programma l'ho scaricato dal sito consigliato nella guida per infetti..
monitor.JPG

[Clooster]

Quote:

Originariamente inviato da [Claudio]

Evidentemente non è stata aggiornata la Guida (lo faranno di certo).
Prevx è stato sostituto da Webroot SecureAnywhere.
Quindi scarica quello.

Ciao, grazie Claudio, ho scaricato SecureAnywhere ed ho effettuato la scansione, allego i posto di Gmer ed appunto S.A. prima e dopo la pulizia del malware che ha riscontrato, attendo risposta per procedere con la guida di questo 3d
http://wikisend.com/download/494994/GMER.txt
http://wikisend.com/download/135458/PREVX.log

http://wikisend.com/download/136494/prevxafter.log

[Chill-Out]

Quote:

Originariamente inviato da Clooster

Ciao, grazie Claudio, ho scaricato SecureAnywhere ed ho effettuato la scansione, allego i posto di Gmer ed appunto S.A. prima e dopo la pulizia del malware che ha riscontrato, attendo risposta per procedere con la guida di questo 3d
http://wikisend.com/download/494994/GMER.txt
http://wikisend.com/download/135458/PREVX.log

http://wikisend.com/download/136494/prevxafter.log

Fai un controllo con HitmanPro http://www.hwupgrade.it/forum/showthread.php?t=2539794