Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da bixio73

Vediamo se così va bene

Log prevx
http://www.fileqube.com/file/QQMEXnyQq171295

Log gmer
http://www.fileqube.com/file/xrmpbDbp171296

Qualcosa ha scritto in quei settori, ma non c'è traccia di infezione.

[BioShock3|)]

Quote:

Originariamente inviato da Chill-Out

@BioShock3|)



sei ok è corretta la tua interpretazione, per il resto perdonami ma qui siamo OT

Perdonami, ma non ho capito cosa vuoi dire con 'Sei ok' e 'Qui siamo OT'..Ti riferisci al post-scriptum?

Ho provato con C:\MBR.exe in modalità provvisoria e mi da questo log (scusami se non l'ho uppato su fileqube ma nn riesco ad accedervi):

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x98a412b size 0x1c8 !
copy of MBR has been found in sector 62 !

Se provo con C:\MBR.exe -f, stesso log di prima; nulla di diverso..

Anche lanciando l'exe in modalità normale tutto uguale. Come devo procedere??

[Chill-Out]

Quote:

Originariamente inviato da BioShock3|)

Perdonami, ma non ho capito cosa vuoi dire con 'Sei ok' e 'Qui siamo OT'..Ti riferisci al post-scriptum?

Ho provato con C:\MBR.exe in modalità provvisoria e mi da questo log (scusami se non l'ho uppato su fileqube ma nn riesco ad accedervi):

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x98a412b size 0x1c8 !
copy of MBR has been found in sector 62 !

Se provo con C:\MBR.exe -f, stesso log di prima; nulla di diverso..

Anche lanciando l'exe in modalità normale tutto uguale. Come devo procedere??

Non sei infetto, l'OT era riferito al PS

[BioShock3|)]

Quote:

Originariamente inviato da Chill-Out

Non sei infetto, l'OT era riferito al PS

Ok, grazie mille veramente. E' bello veder smentite le proprie fissazioni.

[bixio73]

Quote:

Originariamente inviato da Chill-Out

Qualcosa ha scritto in quei settori, ma non c'è traccia di infezione.

Grazie,allora vado tranquillo

[fab77]

vi posto i log:

prevx:
http://www.fileqube.com/file/yglDuwkn177531

gmer:
http://www.fileqube.com/file/NQqRUtk177532

che devo fare?

[wjmat]

Quote:

Originariamente inviato da fab77

vi posto i log:

prevx:
http://www.fileqube.com/file/yglDuwkn177531

gmer:
http://www.fileqube.com/file/NQqRUtk177532

che devo fare?

ciao

procedi pure

[fab77]

mbr1:
http://www.fileqube.com/file/kQzolvtZ177543

mbr2:
http://www.fileqube.com/file/IlGfqJZDH177544

mbr3:
http://www.fileqube.com/file/uHEAFkPH177545

fixmebroot:
http://www.fileqube.com/file/dJdhHGVsU177546

mbr1, mbr2 e mbr3 mi sembrano uguali...

aggiornamento1:
addirittura prevcsi ha dato un responso peggiore...
http://www.fileqube.com/file/kviqZNmn177548

aggiornamento2:
cureit non parte neanche....

una formattazione approfondita può funzionare?

[Chill-Out]

Ciao fab77 il tuo problema non è il MBR Rootkit, ti suggerisco di seguire passo passo la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, in una nuova discussione che andrai ad aprire qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! ***

[pennino]

Salve ho effettuato la prima fase e questi sono i log potreste, cortesemente, analizzarli, grazie:
http://www.fileqube.com/file/rLFiuy177731
http://www.fileqube.com/file/qYxuQyCjT177738

[Chill-Out]

Quote:

Originariamente inviato da pennino

Salve ho effettuato la prima fase e questi sono i log potreste, cortesemente, analizzarli, grazie:
http://www.fileqube.com/file/rLFiuy177731
http://www.fileqube.com/file/qYxuQyCjT177738

Sei Ok

[pennino]

Quote:

Originariamente inviato da Chill-Out

Sei Ok

e questa riga in gmer?

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x1d1c06c0 size 0x1ae
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

[Chill-Out]

Quote:

Originariamente inviato da pennino

e questa riga in gmer?

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x1d1c06c0 size 0x1ae
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

Vuol dire che c'è del codice appeso in quel settore, ma non ce traccia di infezione

[pennino]

Quote:

Originariamente inviato da Chill-Out

Vuol dire che c'è del codice appeso in quel settore, ma non ce traccia di infezione

k grazie gentilissimo

[Chill-Out]

Quote:

Originariamente inviato da pennino

k grazie gentilissimo

Prego

[enricobb]

Sono stato infettato da questo rootkit sinowal etc.
Ecco i log di Gmer e di PrevxCSI:

log PrevxCSI

log Gmer

Peraltro, Antivir rileva proprio un BOO/Sinowal.A boot sector virus nella pen drive,
che invece non risulta possibile analizzare con Gmer e PrevxCSI (mi sembra).
Questo è il log di Antivir, dove HD3 corrisponde alla pendrive:

log Antivir

D'altra parte, se stacco la pendrive e ripeto il controllo con Antivir,
non è rilevato nessun BOO/Sinowal.A boot sector virus.

Prima Antivir rilevava questo boot virus anche in tutti gli altri hard disk,
ora invece non più dopo che ho seguito le vostre istruzioni per la disinfezione.

Prima di tutto vorrei sapere se tutti gli hard disk sono effetivamente puliti e sicuri.

Se invece rimanessero dubbi sulla pen drive, c'è un modo per ripulirla?

Se non ci fosse un modo sicuro per la pen drive, alla fine sarebbe anche meglio cambiarla.
Considerando il fatto che costa 20 euro e che però potrebbe recare danni per tanti più soldi.

gRAZIE.

[Chill-Out]

Quote:

Originariamente inviato da enricobb

Sono stato infettato da questo rootkit sinowal etc.
Ecco i log di Gmer e di PrevxCSI:

log PrevxCSI

log Gmer

Peraltro, Antivir rileva proprio un BOO/Sinowal.A boot sector virus nella pen drive,
che invece non risulta possibile analizzare con Gmer e PrevxCSI (mi sembra).
Questo è il log di Antivir, dove HD3 corrisponde alla pendrive:

log Antivir

D'altra parte, se stacco la pendrive e ripeto il controllo con Antivir,
non è rilevato nessun BOO/Sinowal.A boot sector virus.

Prima Antivir rilevava questo boot virus anche in tutti gli altri hard disk,
ora invece non più dopo che ho seguito le vostre istruzioni per la disinfezione.

Prima di tutto vorrei sapere se tutti gli hard disk sono effetivamente puliti e sicuri.

Se invece rimanessero dubbi sulla pen drive, c'è un modo per ripulirla?

Se non ci fosse un modo sicuro per la pen drive, alla fine sarebbe anche meglio cambiarla.
Considerando il fatto che costa 20 euro e che però potrebbe recare danni per tanti più soldi.

gRAZIE.

Ciao i log sono OK, ti suggerisco di configurare Avira come da Guida http://www.hwupgrade.it/forum/showth...post&t=1514684

Per quanto concerne la chiavetta USB formattala utilizzando questa utility http://files.filefront.com/SP27608ex.../fileinfo.html

[dandy07]

Tutto è iniziato con il fatto di non riuscire a fare lo scandisk in winxp sp3 neanchè in console di ripristino ove mi appare "il volume contiene uno o più errori irreversibili"
Non riesco ad entrare in modalità provvisoria e non riesco a reinstallare il sistema operativo...a parte queste "piccole cose"... il pc sembra funzionare bene

Ho rilevato con PrevX Csi il terribile mbr rootkit e leggendo l'ottima guida di Chillout ho lanciato mbr della Gmer sotto windows è mi da il seguente msg: "device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
MBR rootkit code detected !
malicious code @ sector 0x2e933e00 size 0x1ac !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix."

ho provato a lanciare in alternativa il tool della symantec ma non ha dato risultato (come in precedenza avevo fatto per tutti gli altri RootkitBuster della Trend, F-secure BlackLight ect..)

ecco il mio problema è che non riesco ad andare in modalità provvisoria (cioè parte ma il disco fisso lavora per ore con il cursore bianco in alto a lampeggiare!!) per lanciare mbr da lì (come dice la guida di Chill)..per provare quindi l'ultima strada dopo di che ...faccio volare il pc dal 4 piano!!
un grazie anticipato a chi saprà aiutarmi
ps si accettano biglietti per lourdes

[Chill-Out]

Quote:

Originariamente inviato da dandy07

Tutto è iniziato con il fatto di non riuscire a fare lo scandisk in winxp sp3 neanchè in console di ripristino ove mi appare "il volume contiene uno o più errori irreversibili"
Non riesco ad entrare in modalità provvisoria e non riesco a reinstallare il sistema operativo...a parte queste "piccole cose"... il pc sembra funzionare bene

Ho rilevato con PrevX Csi il terribile mbr rootkit e leggendo l'ottima guida di Chillout ho lanciato mbr della Gmer sotto windows è mi da il seguente msg: "device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
MBR rootkit code detected !
malicious code @ sector 0x2e933e00 size 0x1ac !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix."

ho provato a lanciare in alternativa il tool della symantec ma non ha dato risultato (come in precedenza avevo fatto per tutti gli altri RootkitBuster della Trend, F-secure BlackLight ect..)

ecco il mio problema è che non riesco ad andare in modalità provvisoria (cioè parte ma il disco fisso lavora per ore con il cursore bianco in alto a lampeggiare!!) per lanciare mbr da lì (come dice la guida di Chill)..per provare quindi l'ultima strada dopo di che ...faccio volare il pc dal 4 piano!!
un grazie anticipato a chi saprà aiutarmi
ps si accettano biglietti per lourdes

Ciao allega i log inerenti la :: PRIMA FASE :: ovvero Prevx CSI e Gmer

[dandy07]

Quote:

Originariamente inviato da Chill-Out

Ciao allega i log inerenti la :: PRIMA FASE :: ovvero Prevx CSI e Gmer

Eccoli:
log Prevx CSI
http://www.fileqube.com/file/ijBPznwe178312

log Gmer
http://www.fileqube.com/file/MfHnNMmm178313

Attendo trepidante la diagnosi.
Grazie Chill per l'interessamento.