Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[CliveSt]

E' veramente difficile comprende le dinamiche dell'informatica sopratutto dopo che ti sei smazzato millemila tool di rimozione, fatti girare in modalita' provvisoria, normale, ridicola etc etc......
Ad ogni modo, pur non potendo postare i Log per il momento (sono di nuovo in ufficio ) la situazione e' la seguente:

Ho eseguito tutti i tool elencati in questo thread, in modalita' provvisoria. Per lo meno quelli che funzionano in modalita' provvisoria.
Il risultato e' che, nonostante GMER continui a rivelare un
malicious code @ sector 0x1d1c06c0 size 0x1a8 !
copy of MBR has been found in sector 62 !
DrWEB non rivela nessuna infezione, trojan, malware, rootkit
PREvxCSI a sua volta mi da' sistema completamente pulito (di questo, come torno a casa postero' il log)

Ci tengo a precisare che dopo aver visto, per l'ennesima volta, che GMER rivelava sto' benedetto codice al settore 62, ho fatto anche FIXMBR dalla recovery console.
Il procedimento e' andato a buon fine, funziona tutto ma GMER continua a sentire quella porzione di codice che oramai, ne sono convinto dev'essere completamente inerte e lo testimonia il fatto che:

1 - ADaware 2008 aggiornato non sente nulla
2 - Spybot Search and Destroy lo stesso
3 - Ho installato Comodo Firewall che ha eseguito un check del sistema ed il responso e' stato sistema pulito
4 - Ho installato SP3+IE7+Patch di sicurezza critiche di IE (comunque io navigo sempre con Firefox Explorer serve a mia Madre dannato sito della Banca SanPaolo )

e il sistema e' veloce, nessun crash, nessun riavvio
Nessun processo oscuro o strano in Task Manager. A sistema fermo, l'unica cosa che succhia il 99% della CPU e' il ciclo idle, come dev'essere

Ah per la cronaca, se mai doveste reperire per quelle famose vie alternative un file come Subtitle 0.65 (programma per la modifica dei sottotitoli) sappiate che con il mulo c'e' un fortissimo rischio che proprio all'interno di quell'archivio si nasconda un fottutissimo Trojan. Difatti ADaware l'ha beccato ieri, durante la scansione e una volta eliminato il file e ridata la scansione il sistema é risultato pulito.



EDIT: Come promesso, ecco il log di PREvxCSI
PREvxCSI-FINALE.log

[papernik]

Anche a me succede la stessa cosa di clivest, tutto sembra ok, nessuna infezione rilevata, ma gmer continua a dare

Quote:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x98a412b size 0x1e4 !
copy of MBR has been found in sector 62 !

anche dopo FIXMBR.


ho solo c con windows xp e basta.

Saluti

Paper

[Chill-Out]

Quote:

Originariamente inviato da CliveSt

E' veramente difficile comprende le dinamiche dell'informatica sopratutto dopo che ti sei smazzato millemila tool di rimozione, fatti girare in modalita' provvisoria, normale, ridicola etc etc......
Ad ogni modo, pur non potendo postare i Log per il momento (sono di nuovo in ufficio ) la situazione e' la seguente:

Ho eseguito tutti i tool elencati in questo thread, in modalita' provvisoria. Per lo meno quelli che funzionano in modalita' provvisoria.
Il risultato e' che, nonostante GMER continui a rivelare un
malicious code @ sector 0x1d1c06c0 size 0x1a8 !
copy of MBR has been found in sector 62 !
DrWEB non rivela nessuna infezione, trojan, malware, rootkit
PREvxCSI a sua volta mi da' sistema completamente pulito (di questo, come torno a casa postero' il log)

Ci tengo a precisare che dopo aver visto, per l'ennesima volta, che GMER rivelava sto' benedetto codice al settore 62, ho fatto anche FIXMBR dalla recovery console.
Il procedimento e' andato a buon fine, funziona tutto ma GMER continua a sentire quella porzione di codice che oramai, ne sono convinto dev'essere completamente inerte e lo testimonia il fatto che:

1 - ADaware 2008 aggiornato non sente nulla
2 - Spybot Search and Destroy lo stesso
3 - Ho installato Comodo Firewall che ha eseguito un check del sistema ed il responso e' stato sistema pulito
4 - Ho installato SP3+IE7+Patch di sicurezza critiche di IE (comunque io navigo sempre con Firefox Explorer serve a mia Madre dannato sito della Banca SanPaolo )

e il sistema e' veloce, nessun crash, nessun riavvio
Nessun processo oscuro o strano in Task Manager. A sistema fermo, l'unica cosa che succhia il 99% della CPU e' il ciclo idle, come dev'essere

Ah per la cronaca, se mai doveste reperire per quelle famose vie alternative un file come Subtitle 0.65 (programma per la modifica dei sottotitoli) sappiate che con il mulo c'e' un fortissimo rischio che proprio all'interno di quell'archivio si nasconda un fottutissimo Trojan. Difatti ADaware l'ha beccato ieri, durante la scansione e una volta eliminato il file e ridata la scansione il sistema risulta pulito.

Sei pulito nonostante il log di Gmer

[Chill-Out]

Quote:

Originariamente inviato da papernik

Anche a me succede la stessa cosa di clivest, tutto sembra ok, nessuna infezione rilevata, ma gmer continua a dare



anche dopo FIXMBR.


ho solo c con windows xp e basta.

Saluti

Paper

Allega il log di Gmer

[cupido77]

SPETTACOLARE!!!grazie tante....La guida è stata perfetta

[Marce77]

Salve, arrivo un po' in ritardo e spero di aver postato nella discussione corretta

Sono stato infettato la settimana scorsa dal virus rootkit BOO/sinowal.a rilevato da AVIRA antivir, che mi ha infettato il Master boot record HD1....
non avendo ancora letto niente a riguardo ho proseguito alla formattazione del disco fisso, che, ovviamente, non è servita perchè credo che il virus si sia rigenerato da solo.....fattosta che l'avevo ancora segnalato.

Mi sono scaricato poi i vari GMER, MBR.EXE, Panda rootkit, Norman sinowal remover e PREVXCSI...

Ho eseguito MBR.EXE in modalità provvisoria e normale e non sono cmq riuscito a togliere il virus, che mi veniva ancora rilevato...
Ho provato poi con FIXMBR dalla console di ripristino e qualcosa è successo:

AVIRA non me lo rileva più, Panda, Norman e PREVXCSI nemmeno, ma i log di GMER e MBR sono rimasti identici.......
a questo punto non so più cosa pensare.....sono veramente libero dal sinowal o è ancora li??

allego i log di GMER e MBR come sono ora:
**************
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x2641881 size 0x1cb !
copy of MBR has been found in sector 62 !
***************

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-06-15 20:03:34
Windows 5.1.2600 Service Pack 2


---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x2641881 size 0x1cb
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----

Grazie a tutti ..... spero qualcuno riesca ad aiutarmi!

PS. se non rispondo velocemente ai post è perchè magari non sono sempre al pc...!
PS2. leggendo uno degli ultimi post.....mi sto ricredendo...magari sono pulito veramente anche io!! .....il PC funziona normalmente...

[Chill-Out]

Quote:

Originariamente inviato da Marce77

Salve, arrivo un po' in ritardo e spero di aver postato nella discussione corretta

Sono stato infettato la settimana scorsa dal virus rootkit BOO/sinowal.a rilevato da AVIRA antivir, che mi ha infettato il Master boot record HD1....
non avendo ancora letto niente a riguardo ho proseguito alla formattazione del disco fisso, che, ovviamente, non è servita perchè credo che il virus si sia rigenerato da solo.....fattosta che l'avevo ancora segnalato.

Mi sono scaricato poi i vari GMER, MBR.EXE, Panda rootkit, Norman sinowal remover e PREVXCSI...

Ho eseguito MBR.EXE in modalità provvisoria e normale e non sono cmq riuscito a togliere il virus, che mi veniva ancora rilevato...
Ho provato poi con FIXMBR dalla console di ripristino e qualcosa è successo:

AVIRA non me lo rileva più, Panda, Norman e PREVXCSI nemmeno, ma i log di GMER e MBR sono rimasti identici.......
a questo punto non so più cosa pensare.....sono veramente libero dal sinowal o è ancora li??

allego i log di GMER e MBR come sono ora:
**************
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x2641881 size 0x1cb !
copy of MBR has been found in sector 62 !
***************

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-06-15 20:03:34
Windows 5.1.2600 Service Pack 2


---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x2641881 size 0x1cb
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----

Grazie a tutti ..... spero qualcuno riesca ad aiutarmi!

PS. se non rispondo velocemente ai post è perchè magari non sono sempre al pc...!
PS2. leggendo uno degli ultimi post.....mi sto ricredendo...magari sono pulito veramente anche io!! .....il PC funziona normalmente...

Da quello che vedo sei pulito, certo che se alleghi i log è meglio, procedi con le scansioni di controllo che male non fanno, ovvero Prevx CSI e CureIt, ciao.

[Marce77]

Ciao

intanto grazie!!

PREVX CSI l'ho già utilizzato e non mi trova niente.....proverò anche con cure it.... ma quindi quelle due righe segnalate da gmer e mbr sono destinate a restare così anche se sono pulito?

E già che ci sono, mi chiedevo se davvero questi tipi di rootkit potrebbero riuscire EFFETTIVAMENTE a fregarmi le password e i certificati dell'home banking, e magari pure a spostare i soldi???
Non mi fido di sicuro a tenermi un rootkit così, ma dall'altro lato mi chiedo se siano veramente cosi efficaci!!

grazie di nuovo........spero di non avere più bisogno del tuo aiuto ma nel caso passerò di qui sicuramente!!

[Chill-Out]

Quote:

Originariamente inviato da Marce77

Ciao

intanto grazie!!

PREVX CSI l'ho già utilizzato e non mi trova niente.....proverò anche con cure it.... ma quindi quelle due righe segnalate da gmer e mbr sono destinate a restare così anche se sono pulito?

Si

Quote:

E già che ci sono, mi chiedevo se davvero questi tipi di rootkit potrebbero riuscire EFFETTIVAMENTE a fregarmi le password e i certificati dell'home banking, e magari pure a spostare i soldi???

Il Rootkit in se per se no, ma puo nascondere ad esempio un Trojan che si fà carico di rubare password è quant'altro

Quote:

Non mi fido di sicuro a tenermi un rootkit così, ma dall'altro lato mi chiedo se siano veramente cosi efficaci!!

Purtroppo sono molto efficaci in ogni caso ti ribadisco che sei pulito.

Quote:

grazie di nuovo........spero di non avere più bisogno del tuo aiuto ma nel caso passerò di qui sicuramente!!

Prego

[yliharma]

Salve a tutti, spero possiate aiutarmi (ed evitarmi la formattazione.... )!
Ieri pomeriggio il pc si è riavviato da solo...e ovviamente la cosa mi ha insospettito....poi Avast mi ha informato che avevo preso un ROOTKIT e mi ha consigliato di cancellare il file e fare una scansione al riavvio. Ovviamente gli ho dato retta e la scansione non ha rilevato nulla.
Ho provato anche la scansione online di TrendMicro che mi ha solo consigliato di risolvere alcune vulnerabilità del sistema, così mi sono decisa ad installare il SP3 per Win XP.
Oggi però un collega esperto mi ha detto di non fidarmi e di provare con il nod32....che ha rilevato ancora il settore di memoria infetto, ma non mi consente di eliminarlo in alcun modo. Per fortuna che con Google sono approdata qui...
Ho seguito la prima fase della procedura e quindi posto i link dei log:
logPrevx.txt
logGmer.txt

Attendo istruzioni.......
Grazie!

[Chill-Out]

I log sono entrambi puliti, mi indicheresti che cosa rileva Nod32 allegando il log, grazie.

[marci45]

Salve e bentrovati.
Anche io, a quanto pare, mi sono beccato il malefico mebroot ... almeno, così dice il NOD32 ...
Trovato il vostro sito, ho seguito le istruzioni della fase preliminare, della prima e della seconda fase fino al punto 2 (mbr.exe -f) compreso ...
a questo punto mi sono fermato perche i log derivanti dal primo e dal secondo comando mbr sono risultati identici : la frase "original MBR restored successfully" purtroppo non appare ...
ho preferito fermarmi a questo punto e attendere lumi da chi può fornirne ...
Nel rispondermi vi prego di essere il più possibile elementari, mettendo in conto un certo rincoglionimento dovuto all'età (63) ... grazie in anticipo

[Chill-Out]

Quote:

Originariamente inviato da marci45

Salve e bentrovati.
Anche io, a quanto pare, mi sono beccato il malefico mebroot ... almeno, così dice il NOD32 ...
Trovato il vostro sito, ho seguito le istruzioni della fase preliminare, della prima e della seconda fase fino al punto 2 (mbr.exe -f) compreso ...
a questo punto mi sono fermato perche i log derivanti dal primo e dal secondo comando mbr sono risultati identici : la frase "original MBR restored successfully" purtroppo non appare ...
ho preferito fermarmi a questo punto e attendere lumi da chi può fornirne ...
Nel rispondermi vi prego di essere il più possibile elementari, mettendo in conto un certo rincoglionimento dovuto all'età (63) ... grazie in anticipo

Allega il log di Prevx CSI

[marci45]

scusa il ritardo, ho dovuto uscire
ecco il log del prevxcsi
http://www.hotshare.net/file/62930-28824203bd.html

[Chill-Out]

Quote:

Originariamente inviato da marci45

scusa il ritardo, ho dovuto uscire
ecco il log del prevxcsi
http://www.hotshare.net/file/62930-28824203bd.html

Il log è pulito fai girare questo tool

http://download.norman.no/public/Nor...al_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_re...tools/52382/it

successivamente procedi con Dr.Web CureIt! (trovi le indicazioni in prima pagina) al termine nuova scansione col Nod32 e vediamo se e cosa rileva.

Riepilogo log da allegare:

Norman Sinowal Cleaner
CureIt
Nod32

NB: dove hostare i log è inidcato in prima pagina

[marci45]

ecco il log del Norman
http://www.fileqube.com/shared/GVoXL42482
adesso passo Dr.Web CureIt

[wjmat]

Quote:

Originariamente inviato da marci45

ecco il log del Norman
http://www.fileqube.com/shared/GVoXL42482
adesso passo Dr.Web CureIt

anche questo log è pulito

[yliharma]

Quote:

Originariamente inviato da Chill-Out

I log sono entrambi puliti, mi indicheresti che cosa rileva Nod32 allegando il log, grazie.

Ecco qui: logNod32.txt

Grazie dell'aiuto!

[marci45]

ed ecco il log del dr.Web CureIt (37 Mb ?!?)

http://www.fileqube.com/shared/IdBPS42653

e sempre grazie per la pazienza

vado col NOD32

[marci45]

ed ecco il log del Nod32

http://www.fileqube.com/shared/sOUaAv42706

buona partita