Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Anabolik]

Dunque, il Norman SinowalMBR Cleaner l'avevo già usato nei giorni passati e sembrava avesse ripulito l'infezione.(Trovata ed eliminata)

In effetti ora non trova nulla, nè sui bootsector, nè sui processi, nè sui file.

Anche Dr.Web non trova nulla. (A parte un Win32.HLLW.Medbod.121)

Mi stupisce però che MBR continui a trovare l'infezione......


Formattando potrei risolvere definitivamente?

[wjmat]

Quote:

Originariamente inviato da lupin87

ho fatto la scansione con Norman_Sinowal_Cleaner ma non la posso fare anche per l' unità D perchè qualsiasi programma che fa scansione di file in D: avast trova dei virus che non possono essere virus...devo farla per forza tutta?dopo la scansione dei file c' è qualche altro tipo di scansione?

comunque,all' avvio della scansione mi dice in rosso:
searching for sinowalMBR hooks failed...che vuol dire?

se disattivi momentaneamente avast?

[wjmat]

Quote:

Originariamente inviato da Anabolik

Dunque, il Norman SinowalMBR Cleaner l'avevo già usato nei giorni passati e sembrava avesse ripulito l'infezione.(Trovata ed eliminata)

In effetti ora non trova nulla, nè sui bootsector, nè sui processi, nè sui file.

Anche Dr.Web non trova nulla. (A parte un Win32.HLLW.Medbod.121)

Mi stupisce però che MBR continui a trovare l'infezione......


Formattando potrei risolvere definitivamente?

caricaci i log secondo le modalità

[Chill-Out]

Quote:

Originariamente inviato da Anabolik

Dunque, il Norman SinowalMBR Cleaner l'avevo già usato nei giorni passati e sembrava avesse ripulito l'infezione.(Trovata ed eliminata)

In effetti ora non trova nulla, nè sui bootsector, nè sui processi, nè sui file.

Anche Dr.Web non trova nulla. (A parte un Win32.HLLW.Medbod.121)

Mi stupisce però che MBR continui a trovare l'infezione......


Formattando potrei risolvere definitivamente?

Normale che Gmer rilevi tracce, allega il log di CureIt ed un nuovo log di Gmer, risolvi solo formattando a basso livello (low level format) ma non mi sembra il caso

[francesco636]

Salve, molto probabilmente sono infettato da Mbr Rootkit.
ho terminato la prima fase della guida e come suggerito allego i log di prevxCSI

http://www.fileqube.com/shared/gmyESmSTL67256

e gmer:

http://www.fileqube.com/shared/EQdZDH67258

Attendo una vostra risposta su come devo procedere..

grazie per la collaborazione
saluti
Francesco

[unreal2100]

Quote:

Originariamente inviato da wjmat

http://www.hwupgrade.it/forum/showthread.php?t=1180178

http://www.cgsecurity.org/wiki/Running_TestDisk

Tutto risolto ho fatto il bakup dei dati, ora se ci riesco ripristino le partizioni.
Grazie anche a te
Ciao

[unreal2100]

Quote:

Originariamente inviato da Chill-Out

L'infezione pare eradicata, dal log di Gmer si evince



che c'è del codice appeso in un altro settore, ma non vuol dire che sei infetto, per ovviare al problema bisognerebbe piallare tutto con una formattazione a basso livello (low level format) ma non mi sembra il caso.

Ma neanche se ipoticamente si formattasse in fat32?

[wjmat]

Quote:

Originariamente inviato da francesco636

Salve, molto probabilmente sono infettato da Mbr Rootkit.
ho terminato la prima fase della guida e come suggerito allego i log di prevxCSI

http://www.fileqube.com/shared/gmyESmSTL67256

e gmer:

http://www.fileqube.com/shared/EQdZDH67258

Attendo una vostra risposta su come devo procedere..

grazie per la collaborazione
saluti
Francesco

procedi con la seconda fase

[lupin87]

Quote:

Originariamente inviato da wjmat

se disattivi momentaneamente avast?

grazie proverò dopo aver disabiliato avast

[francesco636]

Quote:

Originariamente inviato da wjmat

procedi con la seconda fase

ho terminato la seconda fase. il log finale di mbr è:

http://www.fileqube.com/shared/SUhVd67414

il log di fixmebroot è:

http://www.fileqube.com/shared/nrzTiDBj67415

Fatemi sapere se vi servono anche i log di mbr generati nella parte della seconda fase che si svolge in modalità provvisoria.

Notate che eseguendo al termine della seconda fase una nuova scansione con prevxCSI, mi ssegnala sempre il pc infettato. allego il log:

http://www.fileqube.com/shared/QPanSXJJW67419

attendo vostri suggerimenti

sempre grazie per la collaborazione
ciao

[francesco636]

Quote:

Originariamente inviato da juninho85

sarebbe interessante anche raffrontare la cronologia del browser negli ultimi giorni di navigazione degli utenti rimasti infetti,giusto per capire dove si è annidato ultimamente

per quale che mi riguarda stavo navigando su http://www.mymovies.it/ quando improvvisamente il pc mi si è riavviato mostrandomi successivamente la schermata "avvio di windows non riuscito". Ho ripristinato l'ultima sessione funzionante, e fin qui il pc non presentava nessun sintomo.
Tentando però di fare qualsiasi oprazione bancaria (anche dal sito delle poste) mi compare una finestra "Advanced card verification" che mi manda in crash internet explorer a cui spesso fa seguito anche un crash dell'applicazione services.exe.
Il firewall mi rileva vai tentativi di connessione di services.exe a server di cui non ricordo l'ip...

Spero che queste info possano esservi utili.

[wjmat]

Quote:

Originariamente inviato da francesco636

ho terminato la seconda fase. il log finale di mbr è:

http://www.fileqube.com/shared/SUhVd67414

il log di fixmebroot è:

http://www.fileqube.com/shared/nrzTiDBj67415

Fatemi sapere se vi servono anche i log di mbr generati nella parte della seconda fase che si svolge in modalità provvisoria.

Notate che eseguendo al termine della seconda fase una nuova scansione con prevxCSI, mi ssegnala sempre il pc infettato. allego il log:

http://www.fileqube.com/shared/QPanSXJJW67419

attendo vostri suggerimenti

sempre grazie per la collaborazione
ciao

Fai una scansione con Norman Sinowal Cleaner che trovi qui
Lancialo -> Fallo scansionare -> Riavvia il pc se richiesto -> Al termine allega il log secondo le modalità

[francesco636]

Quote:

Originariamente inviato da wjmat

Fai una scansione con Norman Sinowal Cleaner che trovi qui
Lancialo -> Fallo scansionare -> Riavvia il pc se richiesto -> Al termine allega il log secondo le modalità

il log della scansione con norman:
http://www.fileqube.com/shared/cTLZduRdJ67506

come suggerito in alcuni post precedenti ho disinstallato e reinstallato prevxCSI ed eseguito un'altra scansione. questo è il log:
http://www.fileqube.com/shared/CiZJsVT67510

che mi dite riguardo al MBR rootkit?
e come mai mi vede il mirc come malicious software?

grazie
ciao

[lupin87]

Quote:

Originariamente inviato da wjmat

se disattivi momentaneamente avast?

ho provato anche a disabilitare avast ma nada...ma questi software sono compatibili su vista 64 bit?non c' è un altro modo per rilevare sti rootkit mbr?

[Chill-Out]

Quote:

Originariamente inviato da francesco636

il log della scansione con norman:
http://www.fileqube.com/shared/cTLZduRdJ67506

come suggerito in alcuni post precedenti ho disinstallato e reinstallato prevxCSI ed eseguito un'altra scansione. questo è il log:
http://www.fileqube.com/shared/CiZJsVT67510

che mi dite riguardo al MBR rootkit?
e come mai mi vede il mirc come malicious software?

grazie
ciao

Ciao Francesco sei pulito, è normale che Prevx Csi veda Mirc come malicious non è il solo, termina la procedura allegando il log di CureIt mi raccomando scansione completa.

[francesco636]

Quote:

Originariamente inviato da Chill-Out

Ciao Francesco sei pulito, è normale che Prevx Csi veda Mirc come malicious non è il solo, termina la procedura allegando il log di CureIt mi raccomando scansione completa.

ciao Chill-Out grazie per la risposta.
cureit mi ha fornito come log:
http://www.fileqube.com/shared/wUZmfd67517

che ho ricavato a partire dal file drweb.csv:
http://www.fileqube.com/shared/UfFGaB67516

ve li ho riportati entrambi in quanto non son sicuro che i csv si aprano col blocco note.

grazie!

[Chill-Out]

Quote:

Originariamente inviato da francesco636

ciao Chill-Out grazie per la risposta.
cureit mi ha fornito come log:
http://www.fileqube.com/shared/wUZmfd67517

che ho ricavato a partire dal file drweb.csv:
http://www.fileqube.com/shared/UfFGaB67516

ve li ho riportati entrambi in quanto non son sicuro che i csv si aprano col blocco note.

grazie!

Il file di log lo trovi qui:
Dopo aver terminato la scansione allegare il log per il controllo che trovate in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb

[francesco636]

Quote:

Originariamente inviato da Chill-Out

Il file di log lo trovi qui:
Dopo aver terminato la scansione allegare il log per il controllo che trovate in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb

eccolo, è un pò pesantino...son quasi 38 mb:

http://www.fileqube.com/shared/insFPl67524

fatemi sapere!

[wjmat]

Quote:

Originariamente inviato da francesco636

eccolo, è un pò pesantino...son quasi 38 mb:

http://www.fileqube.com/shared/insFPl67524

fatemi sapere!

pulito
il pc come sta?

[francesco636]

Quote:

Originariamente inviato da wjmat

pulito
il pc come sta?

ok ottimo, il pc sta bene in particolare non compare più la finestra "Advanced card verification" quando tento di fare un'operazione bancaria.
Un particolare ringraziamento a wjmat e Chill-Out!!

approfitto della vostra preziosa collaborazione per porvi un'altro quesito: da un pò di tempo il firewall (sygate personal firewall pro)mi blocca delle intrusioni dell'applicazione svchost.exe. qualcuno sa di cosa si tratta? aggiungo che nessun antivirus (neppure quelli che ho usato per eliminare il rootkit) rileva nulla.
vi allego il log del firewall in cui potete vedere l'host:

http://www.fileqube.com/shared/qpRsXEFw67654

se sono OT ditemi dove postare.

grazie