Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[clawsa]

esplorando l'hard disk da ubuntu, alcune cartelle appaiono proprio vuote, ed alcuni file non riesce ad aprirli (e a copiarli)

ah e windows non si avvia più..

presumo siano corrotti no?

[Chill-Out]

Quote:

Originariamente inviato da clawsa

esplorando l'hard disk da ubuntu, alcune cartelle appaiono proprio vuote, ed alcuni file non riesce ad aprirli (e a copiarli)

ah e windows non si avvia più..

presumo siano corrotti no?

Strano, comunque per quanto concerne l'hd esterno dopo aver formattato il pc lo colleghi tenendo premuto il tasto SHIFT (è il tasto con la freccetta verso l'alto) per impedire l'esecuzione in Autoplay dopodichè lo verifichi con il parco software di sicurezza ha disposizione.

[pippus123]

Questa mattina mi è apparsa una brutta schermata di Avast che dice :

"E' stato identificato un oggetto nascosto sospetto (rootkit) nel vostro sistema.Potrebbe essere un'infezione virus.Si consiglia di rimuovere immediatamente l'oggetto.

Nome del file : MBR:\\.\PHYSICALDRIVE0
Tipo : Rootkit: settore boot nascosto "

Ho provato a rimuoverlo con Avast senza successo.

Navigando su Internet avrei trovato la procedura per rimuoverlo però dovrei entrare in modalità provvisoria.
Il problema è che quando premo il tasto F8 il virus non mi permette l'avvio in Modalità provvisoria; infatti quando premo F8, mi appaiono le varie opzioni tra cui la Modalità Provvisoria, ma se la seleziono, si riavvia il sistema e ritorno nuovamente nella schermata Modalità provvisoria - Modalità normale ecc..

L'unico modo consentito è quello di avviarlo in Modalità normale.Però in questo caso non riesco a rimuovere il virus.

Ero tentato di attivare la Modalita' provvisoria da Start->Esegui>msconfig>BOOT.INI poi spuntare l'opzione /SAFEBOOT

però ho paura che al riavvio il PC entri in Loop cioè che non si possa più riavviare in alcun modo.

Aiutoo, non so + cosa fare!

Grazie anticiapatamente.

P.S. S.O. Windows XP HOM

@Chill-Out riporto la discussione scritta nell'altro post.
La procedura da te indicate va bene per le prime 2 fasi ma alla fase 2 quando dovrei rimuovere il virus mi fermo visto che non riesco a riavviare in modalità provvisoria.

Aggiornamento dell'ultima ora :

Credo di aver capito quale sia la causa della mancata possibilità si riavvio in Modalità Provvisoria.
Cercando su internet pare sia il file "a347bus.sys" di Alcohol 120%. che crea problemi all'avvio.
Ho letto molti pareri su come risolvere il problema, ma non ho trovato una vera e propria procedura sicura per la risoluzione del problema.

C'è qualcuno che può darmi delle informazioni + dettagliate ?

Grazie.

Prima devo riuscire ad entrare in modalità porvvisoria poi penserò a rimuovere il virus

[Chill-Out]

La :: PRIMA FASE :: prevede la pubblicazione di due log, senza vederli tiriamo ad indovinare.

[ambra8891]

salve a tutti...
posto il mio problema in questa sezione in quanto il topic da me aperto è stato giustamente chiuso, visto che c'era già un argomento simile, anche se resta comunque un grosso intoppo (motivo per cui avevo aperto una discussione diversa):

nella guida ci sono i link da cui scaricare i programmi che servono, ma il mio problema è proprio quello!.
il computer mi fa aprire solo i siti tra i preferiti e quasi nessun altro.

l'antivirus segnala infatti un boot sector virus impossibile da rimuovere
(in questo topic avevo spiegato meglio il problema:
http://www.hwupgrade.it/forum/showth...5#post25646365)

come mi comporto?

[ambra8891]

aggiungo una nota:
ho provato a formattare il volume ma mi dice che è impossibile completare la formattazione...

[luchettu]

Ciao a tutti questi sono i link

http://wikisend.com/download/643214/prevx.log

http://wikisend.com/download/961696/gmer.log

Tenete presente che ho 2 sistemi operativi installati (xp-ubuntu con ubuntu installato dopo quindi alla partenza mi si apre il grub) e che al grub mi suona la campanella e mi compare il messaggio ChipAwayVirus...

Grazie per l'aiuto
Luca

[Chill-Out]

Quote:

Originariamente inviato da luchettu

Ciao a tutti questi sono i link

http://wikisend.com/download/643214/prevx.log

http://wikisend.com/download/961696/gmer.log

Tenete presente che ho 2 sistemi operativi installati (xp-ubuntu con ubuntu installato dopo quindi alla partenza mi si apre il grub) e che al grub mi suona la campanella e mi compare il messaggio ChipAwayVirus...

Grazie per l'aiuto
Luca

Fai girare questo tool http://download.norman.no/public/Nor...al_Cleaner.exe

Istruzioni: http://www.norman.com/Virus/Virus_re...tools/52382/it

Allega log di Norman Sinowal Cleaner + nuovo log di Gmer

[luchettu]

ho fatto il Norman Sinowal Cleaner mi ha chiesto di riavviare il computer e al riavvio non mi arriva al grub si ferma prima e dice DISK BOOT FAILURE che faccio?

[luchettu]

Quote:

Originariamente inviato da Chill-Out

Fai girare questo tool http://download.norman.no/public/Nor...al_Cleaner.exe

Istruzioni: http://www.norman.com/Virus/Virus_re...tools/52382/it

Allega log di Norman Sinowal Cleaner + nuovo log di Gmer

ho fatto il Norman Sinowal Cleaner mi ha chiesto di riavviare il computer e al riavvio non mi arriva al grub si ferma prima e dice DISK BOOT FAILURE che faccio? Sono entrato con knoppix e dice che l'hard disk è tutto libero possibile che mi ha formattato tutto?

[Chill-Out]

Quote:

Originariamente inviato da luchettu

ho fatto il Norman Sinowal Cleaner mi ha chiesto di riavviare il computer e al riavvio non mi arriva al grub si ferma prima e dice DISK BOOT FAILURE che faccio?

Come è possibile? Dal Bios F10 imposta l'hdd come First Boot Device salvi le impostazioni ed esci

[luchettu]

Quote:

Originariamente inviato da Chill-Out

Come è possibile? Dal Bios F10 imposta l'hdd come First Boot Device salvi le impostazioni ed esci

niente non funziona è come se avesse cancellato l'mbr e il grub come faccio a reinstallare l'mbr?

[Chill-Out]

Quote:

Originariamente inviato da luchettu

Sono entrato con knoppix e dice che l'hard disk è tutto libero possibile che mi ha formattato tutto?

No impossibile

Quote:

Originariamente inviato da luchettu

niente non funziona è come se avesse cancellato l'mbr e il grub come faccio a reinstallare l'mbr?

* Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS
* Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY
* Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive
* A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows
* Premi F10 per confermare ed uscire
* Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
* Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
* Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, 1) X:\Windows quindi premere 1 e confermare con OK
* Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.
* Al prompt dei comandi digita FIXMBR e clicca su Y per confermare
* Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows


Mi viene qualche dubbio su dove e come è installato Ubuntu

[luchettu]

Quote:

Originariamente inviato da Chill-Out

No impossibile



* Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS
* Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY
* Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive
* A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows
* Premi F10 per confermare ed uscire
* Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
* Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
* Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, 1) X:\Windows quindi premere 1 e confermare con OK
* Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.
* Al prompt dei comandi digita FIXMBR e clicca su Y per confermare
* Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows


Mi viene qualche dubbio su dove e come è installato Ubuntu

Ho reinstallato l'mbr ora tutto ok ho dovuto reinstallare grub per rivedere linux all'avvio... Comunque non mi da piu' il segnale di virus all'avvio questo è l'importante ciao grazie

[Chill-Out]

Quote:

Originariamente inviato da luchettu

Ho reinstallato l'mbr ora tutto ok ho dovuto reinstallare grub per rivedere linux all'avvio... Comunque non mi da piu' il segnale di virus all'avvio questo è l'importante ciao grazie

Prego di nulla, anche se per un attimo ho temuto il peggio, saresti cortese da allegare il log di Norman e Gmer, grazie

[luchettu]

Quote:

Originariamente inviato da Chill-Out

Prego di nulla, anche se per un attimo ho temuto il peggio, saresti cortese da allegare il log di Norman e Gmer, grazie

questo è il nuovo log di gmer http://wikisend.com/download/682810/gmer.log

purtroppo non posso allegarti il Norman perchè ho scordato di salvarlo comunque ricordo che mi aveva riparato 2 errori tipo hd0 e hd1 e poi mi ha chiesto di riavviare il computer... Posso prendere qualche precauzione per il futuro contro questi rootkit?

[Chill-Out]

Quote:

Originariamente inviato da luchettu

questo è il nuovo log di gmer http://wikisend.com/download/682810/gmer.log

purtroppo non posso allegarti il Norman perchè ho scordato di salvarlo comunque ricordo che mi aveva riparato 2 errori tipo hd0 e hd1 e poi mi ha chiesto di riavviare il computer... Posso prendere qualche precauzione per il futuro contro questi rootkit?

Beh ti suggerisco la lettura degli approfondimenti linkati in prima pagina in modo da avere una visione più chiara del problema, in linea di massima non conoscendo il tuo parco software di sicurezza sotto Win puoi leggere qui http://www.hwupgrade.it/forum/showthread.php?t=1726383, importante l'uso di account limitato e browser alternativo ad IE meglio se sandboxato.
A livello software ti posso consiglare il nuovo Prevx Edge che controlla in tempo reale anche l'integrita del MBR

[mikedoonesbury]

Salve a tutti.
Il mio problema ha a che vedere con il malefico rootkit BOO/Sinowal.A rilvato da Avira.
Ieri avevo provato a rimuoverlo con il tool di rimozione di Avira, ma oggi me l'ha beccato di nuovo e allora ho provato con Prevxcsi e gmer come da voi consigliato.
Allego i log, sperando di aver copiato tutto correttamente.
Prevxcsi non rileva però nessun problema.
E' un falso positivo allora?
Qui i link:
http://www.mediafire.com/?sharekey=5...db6fb9a8902bda
Grazie per la risposta

[wjmat]

Quote:

Originariamente inviato da mikedoonesbury

Salve a tutti.
Il mio problema ha a che vedere con il malefico rootkit BOO/Sinowal.A rilvato da Avira.
Ieri avevo provato a rimuoverlo con il tool di rimozione di Avira, ma oggi me l'ha beccato di nuovo e allora ho provato con Prevxcsi e gmer come da voi consigliato.
Allego i log, sperando di aver copiato tutto correttamente.
Prevxcsi non rileva però nessun problema.
E' un falso positivo allora?
Qui i link:
http://www.mediafire.com/?sharekey=5...db6fb9a8902bda
Grazie per la risposta

ciao

prevx è pulito, idem per gmer ma non so se hai cliccato su scan per la scansione lunga, il log mi sembra un pò troppo corto

[mikedoonesbury]

Quote:

Originariamente inviato da wjmat

ciao

prevx è pulito, idem per gmer ma non so se hai cliccato su scan per la scansione lunga, il log mi sembra un pò troppo corto

Si, ho cliccato su "Scan", ho provato adesso anche a rifare una scansione, ma non mi ha dato un log molto più lungo.