Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[graziano_i]

Bastava fare salva oggetto o destinazione, comunque rieccoti i link, e grazie mille della disponibilità...
Avira non molla solo lui vede sto vitus.............

FixMebroot.html

mbr1.html

mbr2.html

mbr3.html

Grazie ancora

[wjmat]

la fase 1 prevede:
log di gmer
log di prevx

[graziano_i]

Già fatto e mi hanno segnalato di procedere con la guida completa di riferimento, ecco perchè sono alla fase 2.....

vedi il post iniziale di oggi

http://www.hwupgrade.it/forum/showthread.php?t=1829648

file della prima fase

apri il link per i log della prima fase


... Datemi una mano per favore nonostante sia alla fase due, Avira, l'ombrello dell'infelicità continua a segnalare il BOO/Sinowal.A mentre tutti i software da voi indicati ritengono il mio settore HD1 pulito, allora?? grazie e scusate se insisto..... se proprio non ne vengo a capo, compro un nuovo HDD, mi dispiace solo di aver perso una giornata, (chiaramente prendete questa mia osservazione con le pinze) nel leggere post e sotto-post del forum, guide ecc... per non risolvere poi un problema di questo genere, vabe pazienza, ma soprattutto un grazie a tutta la comunità, anche perchè non ero al corrente di tutte queste informazioni, almeno per me o meglio nel mio caso TEORICHE.

Distinti saluti

[wjmat]

gmer su c: non è completo, mi sembra solo lo scan veloce

Fai anche una scansione con Norman Sinowal Cleaner che trovi qui
Lancialo -> Accetta le condizioni
Sotto scan area seleziona C:\*.* e clicca su Remove, idem per altre eventuali lettere, relative ad altre partizioni (ci interessa solo la scansione della MBR)
Clicca su Start scan e attendi la scansione
In caso trovi l'infezione riavvia il pc se richiesto

Al termine allega il log NFix_xxxxxx.txt che trovi sul desktop secondo le modalità

[graziano_i]

Ora sto verificando ma comunque ho spuntato solo c oltre alle 11 caselle soprastanti, e ADS.
non vedo altre impostazioni, comunque ora gli sto facendo fare un'altra scansione

Di seguito:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-09-28 19:18:15
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT F7ED4C34 ZwCreateThread
SSDT F7ED4C20 ZwOpenProcess
SSDT F7ED4C25 ZwOpenThread
SSDT F7ED4C2F ZwTerminateProcess
SSDT F7ED4C2A ZwWriteVirtualMemory

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----

Se ci sono altre impostazioni, delucidami pure
Grazie

[wjmat]

dopo lo scan iniziale devi cliccare su scan

[graziano_i]

si, certo l'ho fatto ma il file è quello. ORA riprovo ancora! abbiate pazienza (Gmer)
NIENTE, il file (stringhe risultanti) è quello) non so perchè....

Ripeto il PC è stato appena formattato, non vi è nulla....

ok, procedo, il testo è poco quindi lo incollo.. e poi lo cancello subito

NFix_2008-09-28_19-23-30.log
________________________________

...ho accorciato il codice, tanto si vede l'eliminazione del siniwal..........

Number of sectors found: 2
Number of sectors scanned: 2
Number of sectors not scanned: 0
Number of infections found: 0
Number of infections removed: 1
Total scanning time: 1s 360ms


Scanning running processes and process memory...

Number of processes/threads found: 1207
Number of processes/threads scanned: 1207
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 16s


Scanning file system...


Running post-scan cleanup routine:

Number of files found: 0
Number of archives unpacked: 0
Number of files scanned: 0
Number of files not scanned: 0
Number of files skipped due to exclude list: 0
Number of infected files found: 0
Number of infected files repaired/deleted: 0
Number of infections removed: 0
Total scanning time: 0s 16ms

[graziano_i]

FORSE CI SIAMO, Avira non mi segnala più niente, ora la domanda sorge spontanea:

Sto tranquillo? o devo fare altro??

Veramente grazie è stato Nfix ad eliminare il VIRUS non tutti gli altri che chiaramente servivano solo per stanarlo anche se non mi ha chiesto dopo la scansione di riavviare il PC...

[Chill-Out]

Quote:

Originariamente inviato da graziano_i

FORSE CI SIAMO, Avira non mi segnala più niente, ora la domanda sorge spontanea:

Sto tranquillo? o devo fare altro??

Veramente grazie è stato Nfix ad eliminare il VIRUS non tutti gli altri che chiaramente servivano solo per stanarlo anche se non mi ha chiesto dopo la scansione di riavviare il PC...

Non è così come dici tu Norman ha eliminato il trojan ma la fase due ha ripristinato il MBR

[graziano_i]

Ok, Grazie

Ma ora posso stare tranquillo, posso riattivare il ripristino automatico, o prima devo fare altre operazioni?

Ancora grazie

[Chill-Out]

Quote:

Originariamente inviato da graziano_i

Ok, Grazie

Ma ora posso stare tranquillo, posso riattivare il ripristino automatico, o prima devo fare altre operazioni?

Ancora grazie

Fai girare DrWeb per ulteriore scrupolo, ti chiedeo inoltre di llegare i log su i server remoti indicati in Guida, thx.

[gtv]

Mi sa che mi sono beccato un bell'MBR Rootkit...

il mio ntbtlog.txt (anche se non richiesto) è il seguente:
http://www.fileqube.com/shared/iDqdPB116521

il mio log di gmer è il seguente:
http://www.fileqube.com/shared/DUeXRb116527


Poiché il portatile non parte più nemmeno in modalità provvisoria non ho potuto disabilitare il Ripristino Configurazione di Sistema e non ho nemmeno potuto eseguire PrevX CSI poiché è eseguibile solo in Win, mentre Gmer l'ho eseguito da DOS e il risultato è il suddetto.
Per altre informazioni sullo stato del mio pc vi posto altre due discussioni che ho avviato altrove
http://www.hwupgrade.it/forum/showthread.php?t=1809023
http://www.hwupgrade.it/forum/showthread.php?t=1806292

Vi prego, aiutatemi...grazie in anticipo

[Chill-Out]

Non vedo infezione da MBR secondò me si è incasinato qualcosa, fai questo tentativo

Da DOS digita il seguente comando e premi INVIO:
sfc /scannow

[gtv]

Adesso provo....ma quindi quei file dove Gmer dice "Rootkit!" non sono infetti?

Parlo di USBSTOR.sys, Volsnap.sys e disk.sys

...un altro errore me lo dava sul file ntfs.sys

[wjmat]

X: è un altra partizione/disco con so installato?

hai cliccato su scan o ti sei limitato alla scansione veloce di gmer?

[gtv]

Sì è vero, X: è l'indirizzo della partizione dove è installata la console di ripristino sui portatili, cosicché i produttori non danno il Recovery Disk di Vista, ma parte quel drive X: con gli strumenti di ripristino....e da lì ho avviato Gmer...quindi forse quella non è la scansione di C:, bensì solo di X:....mmmm....
Ho cliccato su Scan ma ricordo che non mi faceva scegliere se X: C: oppure D:....mi sembra la facesse solo su X:

e come potrei fare per eseguire un controllo di Gmer su un HD che non parte?

Adesso ho collegato solo l'HD a un pc che funziona però come HD secondario....c'è qualche controllo che posso fare?

Quando rimetto l'HD nel portatile faccio sfc /scannow

[gtv]

Quote:

Originariamente inviato da Chill-Out

Non vedo infezione da MBR secondò me si è incasinato qualcosa, fai questo tentativo

Da DOS digita il seguente comando e premi INVIO:
sfc /scannow

Quando lo faccio mi dice: "Windows Resource Protection could not perform the requested operation"

Tutto questo avviando il prompt dei comandi da X: e considerando che ho Win Vista....non mi funziona nemmeno PrevxCSI oppure Gmer su un HD diverso da X:

Come potrei fare???

[Chill-Out]

Quote:

Originariamente inviato da gtv

Quando lo faccio mi dice: "Windows Resource Protection could not perform the requested operation"

Tutto questo avviando il prompt dei comandi da X: e considerando che ho Win Vista....non mi funziona nemmeno PrevxCSI oppure Gmer su un HD diverso da X:

Come potrei fare???

Perchè da X

[gtv]

Perché è il sistema che parte automaticamente da X: quando non riesce a partire da C: e c'è qualche problema...io non posso scegliere

Ho provato anche a utilizzare il Vista Recovery Disk e quindi a partire da CD, ma il risultato è lo stesso messaggio di errore, credo perché mi si visualizzano esattamente gli stessi strumenti che ho sulla preinstallata partizione di X:, però cambia che adesso sto su F:



Resta il fatto che il prompt parte su X:, ma ovviamente io digito

C:

e poi

C:\ sfc /scannow

...e niente!

[wjmat]

Quote:

Originariamente inviato da gtv

Perché è il sistema che parte automaticamente da X: quando non riesce a partire da C: e c'è qualche problema...io non posso scegliere

Ho provato anche a utilizzare il Vista Recovery Disk e quindi a partire da CD, ma il risultato è lo stesso messaggio di errore, credo perché mi si visualizzano esattamente gli stessi strumenti che ho sulla preinstallata partizione di X:, però cambia che adesso sto su F:

Prova con il rescue cd di avira
Tutte le info le trovi qui
http://www.hwupgrade.it/forum/showthread.php?t=1689812