Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[bartlebyscrivano]

Ciao chill-out e tutti,
Mi sembra che andiamo male... credo che Stealth MBR non sia riuscito a fare il suo lavoro. Ecco comunque i log:
http://www.fileqube.com/file/gqgbJcs151010
http://www.fileqube.com/file/FJzArow151009
http://www.fileqube.com/file/wVRpKHP151008
http://www.fileqube.com/file/pnmKTXcLx151007

[Chill-Out]

Quote:

Originariamente inviato da bartlebyscrivano

Ciao chill-out e tutti,
Mi sembra che andiamo male... credo che Stealth MBR non sia riuscito a fare il suo lavoro. Ecco comunque i log:
http://www.fileqube.com/file/gqgbJcs151010
http://www.fileqube.com/file/FJzArow151009
http://www.fileqube.com/file/wVRpKHP151008
http://www.fileqube.com/file/pnmKTXcLx151007

Procedi con la :Terza Fase: ed allega anche un log di gmer

[ziodavidino]

Quote:

Originariamente inviato da Chill-Out

Nel frattempo fai una scansione completa con Avira per conferma

Ricorda di allegare il log

Ecco il log di Avira: http://www.mediafire.com/?ext9eiyquv1

[Chill-Out]

Quote:

Originariamente inviato da ziodavidino

Ecco il log di Avira: http://www.mediafire.com/?ext9eiyquv1

Dovremmo essere OK

[ziodavidino]

Quote:

Originariamente inviato da Chill-Out

Dovremmo essere OK

Due domandine:

in un post precedente mi segnalavi questo:
Dal log di CureIt


Quote:
Master Boot Record HDD1 - Ok
Active OS/2 or WinNT Boot Sector HDD1 - Ok
Master Boot Record HDD2 infettato da BackDoor.MaosBoot
Active OS/2 or WinNT Boot Sector HDD2 - Ok
Master Boot Record HDD3 infettato da BackDoor.MaosBoot
Active OS/2 or WinNT Boot Sector HDD3 - Ok

Cosa vuol dire?

Poi, Dr.Web mi rileva trojan.startpage.1505
Lo elimino?
Grazie!

[Chill-Out]

Quote:

Originariamente inviato da ziodavidino

Due domandine:

in un post precedente mi segnalavi questo:
Dal log di CureIt


Quote:
Master Boot Record HDD1 - Ok
Active OS/2 or WinNT Boot Sector HDD1 - Ok
Master Boot Record HDD2 infettato da BackDoor.MaosBoot
Active OS/2 or WinNT Boot Sector HDD2 - Ok
Master Boot Record HDD3 infettato da BackDoor.MaosBoot
Active OS/2 or WinNT Boot Sector HDD3 - Ok

Cosa vuol dire?

Poi, Dr.Web mi rileva trojan.startpage.1505
Lo elimino?
Grazie!

Si infatti mi domandavo che azione avevi intrapreso in quanto i file infetti devono essere messi in quarantena tramite la funzione sposta, per quanto riguarda questo trojan.startpage.1505 nel log precedente non l'ho visto, hai fatto un'altra scansione?

[ziodavidino]

Quote:

Originariamente inviato da Chill-Out

Si infatti mi domandavo che azione avevi intrapreso in quanto i file infetti devono essere messi in quarantena tramite la funzione sposta, per quanto riguarda questo trojan.startpage.1505 nel log precedente non l'ho visto, hai fatto un'altra scansione?

Sto terminando adesso la scansione con Dr.web e mi rileva il trojan.startpage.1505.
Ho provveduto a curarlo e mi dice Azione: cancellato.

Per quanto riguarda i precedenti non ho fatto nessuna azione dedicata!
Che faccio?
Thanks.

[Chill-Out]

Quote:

Originariamente inviato da ziodavidino

Sto terminando adesso la scansione con Dr.web e mi rileva il trojan.startpage.1505.
Ho provveduto a curarlo e mi dice Azione: cancellato.

Per quanto riguarda i precedenti non ho fatto nessuna azione dedicata!
Che faccio?
Thanks.

Da Guida:

Quote:

Al termine di questa fase cliccate su Completa scansione e avviate cliccando sul triangolino verde
Gli eventuali malware rilevati è preferibile metterli in quarantena cliccando sul tasto Sposta
Dopo aver terminato la scansione allegare il log per il controllo che trovate in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb

[ziodavidino]

Tutto pulito!

Un doveroso ringraziamento a (in ordine di apparizione):

wimat & Chill-Out

Un salutone

[Chill-Out]

Quote:

Originariamente inviato da ziodavidino

Tutto pulito!

Un doveroso ringraziamento a (in ordine di apparizione):

wimat & Chill-Out

Un salutone

Prego eventualmente leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao

[wjmat]

Quote:

Originariamente inviato da ziodavidino

Tutto pulito!

Un doveroso ringraziamento a (in ordine di apparizione):

wimat & Chill-Out

Un salutone

di nulla, ciao

[VPaolo86]

Ciao, vi posto i miei log delle scansioni fatte. Il problema preciso è che all'avvio, specialmente "da freddo", durante il boot si pianta e si riavvia anche 6-7-8 volte. Anche in Windows può capitare il riavvio improvviso ma non accade spesso. Prima di seguire la vostra ottima guida, ho provato vari antivirus noti, tra i quali AVG che mi ha individuato un "hidden driver" -> driver nascosto in C:\windows\system32\drivers, chiamato anakoubs03.sys, il nome esatto non me lo ricordo, però è tipo questo ed è un .SYS, di questo sono sicuro. Bello però AVG che gli dici "rimuovi", riavvia e quando torni in windows ti dice che ha fatto un errore ed infatti, riscansionando non l'ha rimosso! Complimenti! Non per niente, lo odio! L'ho provato solo perché non sapevo più dove sbattere la testa.
Kaspersky Remover (quello della guida per gli infettati, per intenderci) non riesce a portare a termine la scansione (provato 3 volte) quindi ho lasciato perdere.

Di seguito i miei log nella speranza troviate qualcosa fuori posto!

LOG DI MBAM: http://www.hwupgrade.helloweb.eu/Par...2757371610.txt

LOG DI A2SCAN: http://www.hwupgrade.helloweb.eu/Par...2054575622.txt

LOG DI CUREIT: http://www.hwupgrade.helloweb.eu/Par...0071270418.txt

LOG DI HiJackThis: http://www.hwupgrade.helloweb.eu/Par...3101543832.txt

LOG DI SYSISPECTOR: http://www.hwupgrade.helloweb.eu/Par...-830562601.txt

LOG DI GMER: http://www.hwupgrade.helloweb.eu/Par...ut20473912.txt

LOG DI PREVCSI: http://www.hwupgrade.helloweb.eu/Par...6181506239.txt

Sono tutti stati passati con "lo SCREMATORE" Parser per Log...non sono in ordine rispetto alla guida, però io li ho lanciati rispettando la sequenza della guida per pc infetti. Ho postato quì perché avevo letto anche questa ed avevo fatto una prova con MBR.exe che però non aveva trovato nulla di anormale. Magari, poi vi allego un altro esito anche di quella.

Intanto grazie! Paolo.

[Chill-Out]

Quote:

Originariamente inviato da VPaolo86

Ciao, vi posto i miei log delle scansioni fatte. Il problema preciso è che all'avvio, specialmente "da freddo", durante il boot si pianta e si riavvia anche 6-7-8 volte. Anche in Windows può capitare il riavvio improvviso ma non accade spesso. Prima di seguire la vostra ottima guida, ho provato vari antivirus noti, tra i quali AVG che mi ha individuato un "hidden driver" -> driver nascosto in C:\windows\system32\drivers, chiamato anakoubs03.sys, il nome esatto non me lo ricordo, però è tipo questo ed è un .SYS, di questo sono sicuro. Bello però AVG che gli dici "rimuovi", riavvia e quando torni in windows ti dice che ha fatto un errore ed infatti, riscansionando non l'ha rimosso! Complimenti! Non per niente, lo odio! L'ho provato solo perché non sapevo più dove sbattere la testa.
Kaspersky Remover (quello della guida per gli infettati, per intenderci) non riesce a portare a termine la scansione (provato 3 volte) quindi ho lasciato perdere.

Di seguito i miei log nella speranza troviate qualcosa fuori posto!

LOG DI MBAM: http://www.hwupgrade.helloweb.eu/Par...2757371610.txt

LOG DI A2SCAN: http://www.hwupgrade.helloweb.eu/Par...2054575622.txt

LOG DI CUREIT: http://www.hwupgrade.helloweb.eu/Par...0071270418.txt

LOG DI HiJackThis: http://www.hwupgrade.helloweb.eu/Par...3101543832.txt

LOG DI SYSISPECTOR: http://www.hwupgrade.helloweb.eu/Par...-830562601.txt

LOG DI GMER: http://www.hwupgrade.helloweb.eu/Par...ut20473912.txt

LOG DI PREVCSI: http://www.hwupgrade.helloweb.eu/Par...6181506239.txt

Sono tutti stati passati con "lo SCREMATORE" Parser per Log...non sono in ordine rispetto alla guida, però io li ho lanciati rispettando la sequenza della guida per pc infetti. Ho postato quì perché avevo letto anche questa ed avevo fatto una prova con MBR.exe che però non aveva trovato nulla di anormale. Magari, poi vi allego un altro esito anche di quella.

Intanto grazie! Paolo.

Ciao Paolo perchè ti sei accodato a questo 3D dedicato alla rimozione del MBR Rootkit? Comunque riallega i log correttamente l'unico da parsare (snellire) è quello di DrWeb CureIt, rimaniamo in attesa

[VPaolo86]

OK, vi riallego i log "lisci" con DrWeb scremato:

SYSISPECTOR: http://www.hwupgrade.helloweb.eu/Par...81122-1010.txt

A2SCAN: http://www.fileqube.com/file/QVUehtR152204

MBAM: http://www.hwupgrade.helloweb.eu/Par...log-2008-11-21 (14-50-30).txt

HIJACKTHIS: http://www.hwupgrade.helloweb.eu/Par...hijackthis.log

GMER: www.hwupgrade.helloweb.eu/ParserLog/log/gmer.log

CUREIT (ridotto): http://www.hwupgrade.helloweb.eu/Par...5822975973.txt

PREVCSI: http://www.hwupgrade.helloweb.eu/Par...g/PrevxCSI.log

Dovrebbero funzionare tutti.

Mi sono accodato a questo post per non aprirne un altro ed oltretutto, sono convinto di essere affetto da un problema al MBR, dato che ripristini e formattazione non contano nulla. Il problema persiste. Fatto sta che da questi scan mi pare che sia pulito. Però, da come va, non si direbbe proprio.
Saluti!

[Chill-Out]

VPaolo86

L'unico log allegato correttamente è quello di A2, ripeto devi scremare solo quello di CureIt

[VPaolo86]

Quote:

Originariamente inviato da Chill-Out

VPaolo86

L'unico log allegato correttamente è quello di A2, ripeto devi scremare solo quello di CureIt

Ho usato il Parser anche per fare il caricamento remoto, non li ho scremati (non gli ho messo la spunta) a parte CureIt. Vorrà dire che li caricherò con Fileqube.

Intanto, ti dico che questa mattina, mio padre ha acceso il pc e c'era un macello assurdo: tutti gli eseguibili erano senza icona e non lanciabili (come se fossero file a cui bisognava associare un applicativo per essere aperti...tipo Apri con...). Non potevo aprire nulla: Outlook, Explorer, AntiVirus & Co, niente di niente.

Formattato e Reinstallato (ma tanto a breve saremo daccapo).
Ho fatto uno scan approfondito con Avira Free. Mi ha rimosso dei file in System Volume Information. Ti ho allegato il log.

Ora dovrò con pazienza rifare tutte le scansioni e ripostare tutto. Quando avrò tutto, le posto. Scusa ancora, alla prossima.

[VPaolo86]

PrevCSI log: http://www.fileqube.com/file/VIpggZDeG152626
GMER log: http://www.fileqube.com/file/NdMRZRfLw152625
Dovremo esserci

[wjmat]

Quote:

Originariamente inviato da VPaolo86

PrevCSI log: http://www.fileqube.com/file/VIpggZDeG152626
GMER log: http://www.fileqube.com/file/NdMRZRfLw152625
Dovremo esserci

i log sono puliti
dai un occhio al trattamento in firma per mettere al sicuro il "nuovo" pc
ciao

[bartlebyscrivano]

ecco i tre log della terza fase:
http://www.fileqube.com/file/kPbyov152991
http://www.fileqube.com/file/BwkjvX152993
http://www.fileqube.com/file/fIuhJJxb152992

... e complimenti per la nomination... appena ho finito con questa sciocca macchina vi voto!

[Chill-Out]

Quote:

Originariamente inviato da bartlebyscrivano

ecco i tre log della terza fase:
http://www.fileqube.com/file/kPbyov152991
http://www.fileqube.com/file/BwkjvX152993
http://www.fileqube.com/file/fIuhJJxb152992

... e complimenti per la nomination... appena ho finito con questa sciocca macchina vi voto!

Snellisci il log di Cureit come indicato qui http://hwupgrade.blogspot.com/2008/1...tilissimo.html

Quote:

... e complimenti per la nomination... appena ho finito con questa sciocca macchina vi voto!

che vuol dire?