Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[lupin87]

Quote:

Originariamente inviato da wjmat

prova a riscaricare e reinstallare

già provato ma continua a non funzionare

[wjmat]

Quote:

Originariamente inviato da lupin87

già provato ma continua a non funzionare

Fai una scansione con Norman Sinowal Cleaner che trovi qui
Lancialo -> Fallo scansionare -> Riavvia il pc se richiesto -> Al termine allega il log secondo le modalità

[CapitanoCrias]

Vorrei delle delucidazioni per capire meglio.
Premetto che ho gia letto 5-6 pagine di questo thread.
Sono uno di quelli infettati.
ho letto da qualche parte di usare fixmbr,che basta scriverlo poi riavviare e si risolve.
è cosi?
Ci sono pericoli?
Io da niubbo direi faccio questo e risolvo di sicuro,ma purtroppo non sara cosi



Nel pc infettato ho 3 hd,
L'hd di avvio ha due partizioni,rischio di perdere i file?
Se li trasferisco rischio di infettare altri hd? o l'infezione è solo in quel settore nella partizione del hd di avvio?

Inoltre vorrei installare winxp su un altro hd(uno di quelli attualmente installati nello stesso pc infettato) risolvo capre e cavoli cosi giusto o no?
il virus e' sempre presente?
Scusate ma non ho capito bene come funziona ,so solo che se si formatta non si risolve nulla.
Ciao

[wjmat]

comincia a caricare i log della prima fase
poi procediamo con la pulizia, nessun file sarà rovinato tranquillo

[unreal2100]

oddio oddio sono una testa di
Ho usato cureit mi ha trovato dei bakdoor.maos ecc. su d: (non vi e' installato il sistema operativo,una volta si ma ho formattato(pero l'ho lasciato come partizione primaria) il so e' su c:
ho fatto curali e riavvia.
Premetto ho tre hd con 5 partizioni.
Dopo il riavvio si vede solo L'd principale con due partizioni e d: ce mi da da non formattato... Le altre partizioni non esistono piu'
Ditemi che non ho perso tutto c'erano dati impotanti
Premetto che non ricordo la password di administrator,non quella dell'utente,quella che si mette per fare il fixmbr

[Chill-Out]

Quote:

Originariamente inviato da unreal2100

oddio oddio sono una testa di
Ho usato cureit mi ha trovato dei bakdoor.maos ecc. su d: (non vi e' installato il sistema operativo,una volta si ma ho formattato(pero l'ho lasciato come partizione primaria) il so e' su c:
ho fatto curali e riavvia.
Premetto ho tre hd con 5 partizioni.
Dopo il riavvio si vede solo L'd principale con due partizioni e d: ce mi da da non formattato... Le altre partizioni non esistono piu'
Ditemi che non ho perso tutto c'erano dati impotanti
Premetto che non ricordo la password di administrator,non quella dell'utente,quella che si mette per fare il fixmbr

Inizia ad allegare i log richiesti tanto per capire la situazione

[unreal2100]

Ne posso fare altri,Perche quelli li avevo salvati su un l'altro hd.
Per adesso quei hd li ho staccati
Appena finito le scansioni li posto.
Cmq il problema era uguale a quello di tara84 http://www.hwupgrade.it/forum/showth...715546&page=12
tutto uguale anche i log di gmer(tranne per il fatto rootkit detected spuntava solo malicius code e copy in sector 62 of mbr) ed il fatto che fixmbr-f non funzionava,solo che non ho potuto fare fixmbr perche' non ricordo la password

[wjmat]

i dati dovresti averli tutti ancora, è solo saltata la tabella delle partizioni
io ho provato a recuperarla con Acronis Disk Director oppure PartitionTableDoctor

però prima sistemiamo l'infezione e poi pensiamo a dati

[Chill-Out]

Senza vedere i log tiriamo ad indovinare

[unreal2100]

Prevx http://www.fileqube.com/shared/vSJyQIXN67062
gmer http://www.fileqube.com/shared/LarEE67065

[Chill-Out]

Quote:

Originariamente inviato da unreal2100

Prevx http://www.fileqube.com/shared/vSJyQIXN67062
gmer http://www.fileqube.com/shared/LarEE67065

Per scrupolo fai girare questo tool:

http://download.norman.no/public/Nor...al_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_re...tools/52382/it

allega il log

[unreal2100]

Quote:

Originariamente inviato da Chill-Out

Per scrupolo fai girare questo tool:

http://download.norman.no/public/Nor...al_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_re...tools/52382/it

allega il log

http://www.fileqube.com/shared/BCdsMfDZM67097

[Chill-Out]

Quote:

Originariamente inviato da unreal2100

http://www.fileqube.com/shared/BCdsMfDZM67097

L'infezione pare eradicata, dal log di Gmer si evince

Quote:

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x98a7fec size 0x1fd
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

che c'è del codice appeso in un altro settore, ma non vuol dire che sei infetto, per ovviare al problema bisognerebbe piallare tutto con una formattazione a basso livello (low level format) ma non mi sembra il caso.

[unreal2100]

ok cmq io mi ero accorto del problema perche' zoneallarm mi era andato in tilt(segnalazioni continue di allarmi anche se poche di alto livello)
Cmq per tentare di recuperare i dati apro un thread nuovo? Non vorrei sbagliare pure ad usare quei programmi...
Ciao e grazie

[wjmat]

Quote:

Originariamente inviato da unreal2100

ok cmq io mi ero accorto del problema perche' zoneallarm mi era andato in tilt(segnalazioni continue di allarmi anche se poche di alto livello)
Cmq per tentare di recuperare i dati apro un thread nuovo? Non vorrei sbagliare pure ad usare quei programmi...
Ciao e grazie

dai un'occhiata al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

per quel problema la sezione indicata sarebbe quella dei problemi di win ma se riusciamo risolviamo qui...
dammi ntempo per vedere se ci sono dei tool gratuiti per quel problema e se chill ha altre idee

[wjmat]

http://www.hwupgrade.it/forum/showthread.php?t=1180178

http://www.cgsecurity.org/wiki/Running_TestDisk

[lupin87]

ho fatto la scansione con Norman_Sinowal_Cleaner ma non la posso fare anche per l' unità D perchè qualsiasi programma che fa scansione di file in D: avast trova dei virus che non possono essere virus...devo farla per forza tutta?dopo la scansione dei file c' è qualche altro tipo di scansione?

comunque,all' avvio della scansione mi dice in rosso:
searching for sinowalMBR hooks failed...che vuol dire?

[unreal2100]

Quote:

Originariamente inviato da wjmat

http://www.hwupgrade.it/forum/showthread.php?t=1180178

http://www.cgsecurity.org/wiki/Running_TestDisk

Grazie ora provo

[Anabolik]

Buongiorno a tutti,

anche io ho preso questa brutta bestia.

Ho già provato il "fixmbr" ma non ha dato i frutti sperati.

Mi affido a chi è riuscito a debellare la minaccia.

da GMER:

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x12a18ac1 size 0x1fe
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR


Mentre CSI sembra non aver trovato nulla.

Serve che alleghi i file di log? Sono da 300KB l'unoe non si possono allegare.

Grazie, aspetto speranzoso notizie.

P.S. Un bel format potrebbe risolvere la situazione?

[Chill-Out]

Quote:

Originariamente inviato da Anabolik

Buongiorno a tutti,

anche io ho preso questa brutta bestia.

Ho già provato il "fixmbr" ma non ha dato i frutti sperati.

Mi affido a chi è riuscito a debellare la minaccia.

da GMER:

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x12a18ac1 size 0x1fe
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR


Mentre CSI sembra non aver trovato nulla.

Serve che alleghi i file di log? Sono da 300KB l'unoe non si possono allegare.

Grazie, aspetto speranzoso notizie.

P.S. Un bel format potrebbe risolvere la situazione?

Ciao fai girare questo tool:

http://download.norman.no/public/Nor...al_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_re...tools/52382/it

Successivamente scansione di controllo con Drweb CureIt come indicato in Guida

Allega entrambi i log