Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da altrimeridiani

http://wikisend.com/download/614776/GMER 1.0.15.15020 [gmer.exe].loghttp://wikisend.com/download/529404/logfile prevx3.log

Ripeti la scansione con Gmer avendo cura di spuntare sul pannello di destra tutte le caselle, oltre al nuovo log di Gmer allega anche uno screenshot di Prevx 3.0

Esempio http://img245.imageshack.us/i/prevx30.jpg/ utilizzando lo stesso servizio di hosting http://imageshack.us/

[blindzoom]

Salve a tutti.
Da un paio di giorni sto lottando con diversi virus,rilevati da Antivir:
TR/Rootkit.Gen
TR/Trash.Gen
TR/Dldr.FraudLo.sxm
che vanno ad infettare diversi file:
wisdstr.exe
braviax.exe
[]\install[1] (2,3 etc etc).exe


All'inizio avevo trovato guida su un altra pagina,ho fatto quindi scansioni con combofix, in seguito ccleaner, e poi malwarebytes, il tutto tenendo il pc offline dato che l'infezione si era diffusa e se entravo online dopo poco si riavviava il pc.
A seguito di un'ultima scansione con malwarebytes, in cui non ha trovato nulla, ho ricollegato il cavo di rete e dopo poco antrivir ha ripreso a segnalare la presenza di virus.

Quindi ho trovato la guida di questa sezione, e mi sono deciso a sguirla, per cui ho disattivato il ripristino e scansionato con prevx e gmer, al momento sono ancora online, e nonostante avira segnali i vius, il pc non si riavvia più da solo.
Ecco i log, spero possiate aiutarmi
prevxlog.log
gmerlog.log

Windows xp, sp2
Antivir
Google Chrome

Edit: allego anche clip di prex dopo la scansione:

[Chill-Out]

Ciao questa Guida è dedicata alla rimozione del MBR Rootkit, nel tuo caso è opportuno seguire esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post in una nuova discussione che andrai ad prire qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125

[blindzoom]

Quote:

Originariamente inviato da Chill-Out

Ciao questa Guida è dedicata alla rimozione del MBR Rootkit, nel tuo caso è opportuno seguire esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post in una nuova discussione che andrai ad prire qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125

Mi sono fatto trarre in inganno dal nome "rootkit" del virus, grazie comunque, provvederò a seguire la guida per infetti.

[paco21]

Ciao a tutti, sono mancato per un po' per la salute, ma la salute del pc dice ancora NO.
Sto cercando di rimuovere un " Mebroot.k. " ID: BOO/Sinowal.C.
Lo vedono soltanto Eset, Alwil ed Avira.
Ho provato con la formattazione ma mi sa che dovrò riparare il settore.
Ali ingegneri più esperti, mi sapreste indicare come posso fare ? Devo agira a freddo dall'esterno ? Ci sta un programma ?
L'altro giorno ho scaricato un tool che non posso usare perchè mi chiede di inserire un CD nell'unità, ma non so che vuole.
Sapete non ricordo beno dove ma ho letto anche che questi maledetti Trojan sono presenti sui computer server, cioè nei dischi Fisici.
In sostanza sono delle restrizioni !
Cosa mi dite ?
Un salutone.

[Chill-Out]

Quote:

Originariamente inviato da paco21

Ciao a tutti, sono mancato per un po' per la salute, ma la salute del pc dice ancora NO.
Sto cercando di rimuovere un " Mebroot.k. " ID: BOO/Sinowal.C.
Lo vedono soltanto Eset, Alwil ed Avira.
Ho provato con la formattazione ma mi sa che dovrò riparare il settore.
Ali ingegneri più esperti, mi sapreste indicare come posso fare ? Devo agira a freddo dall'esterno ? Ci sta un programma ?
L'altro giorno ho scaricato un tool che non posso usare perchè mi chiede di inserire un CD nell'unità, ma non so che vuole.
Sapete non ricordo beno dove ma ho letto anche che questi maledetti Trojan sono presenti sui computer server, cioè nei dischi Fisici.
In sostanza sono delle restrizioni !
Cosa mi dite ?
Un salutone.

Ciao, segui passo passo la Guida in prima pagina

[picei]

salve a tutti, ho un problema, quando faccio la scansione con avira mi segnala che ho 2 Boo/sinowal.a, ma seguendo la guida e facendo la scansione con Prevx e gmer non risulta esserci niente; invece provando con Dr.Web CureIt me li segnala. cosa devo fare? grazie in anticipo per la risposta

[wjmat]

Quote:

Originariamente inviato da picei

salve a tutti, ho un problema, quando faccio la scansione con avira mi segnala che ho 2 Boo/sinowal.a, ma seguendo la guida e facendo la scansione con Prevx e gmer non risulta esserci niente; invece provando con Dr.Web CureIt me li segnala. cosa devo fare? grazie in anticipo per la risposta

ciao

comincia a caricare i log richiesti nella prima fase

[picei]

ecoo i log:
prevx http://www.mediafire.com/file/tmmkfmmntnm
gmer http://www.mediafire.com/file/anh3mont4mu

[Chill-Out]

Quote:

Originariamente inviato da picei

ecoo i log:
prevx http://www.mediafire.com/file/tmmkfmmntnm
gmer http://www.mediafire.com/file/anh3mont4mu

Fai girare questo tool http://download.norman.no/public/Nor...al_Cleaner.exe

Istruzioni: http://www.norman.com/Virus/Virus_re...tools/52382/it

successivamente come indicato in Guida fai girare DrWeb CureIt ed allega entrambi i log.

[picei]

allora ho fatto un mezzo casino, ho scansionato con norman in modalità normale ed ho stoppato e questo è il log
http://www.mediafire.com/file/hzmyanmydmk
poi ho scansionato in modalità provvisoria
log http://www.mediafire.com/file/mxe2e5orqrn
con il log di dr.web ho usato parserlog come dice la guida, ma quel che ne risulta è una pagina bianca, ho sbagliato ad usare parserlog?
cmq il log di dr.web è questo http://www.mediafire.com/file/dmynmjnzmqz

[diegomayer]

Mi sono appena iscritto. Mi date una mano a rimuovere MASTER BOOT RECORD ROOTKIT Grazie.

Ho seguito queste indicazioni ma ho ancora qualche problema Edit

questi sono i risultati.

1a fase) prevx.log
Gmer si blocca sia in modalità normale che provvisoria, ma nel precedente tentavo era uscito

Disk \Device\Harddisk0\DR0 sector 60: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 61: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR




2a fase) mbr1.log
mbr2.log
mbr3.log

FixMebroot.log

3a fase prevx2.log

CureIt.log


ComboFix.txt

[Chill-Out]

Quote:

Originariamente inviato da picei

allora ho fatto un mezzo casino, ho scansionato con norman in modalità normale ed ho stoppato e questo è il log
http://www.mediafire.com/file/hzmyanmydmk
poi ho scansionato in modalità provvisoria
log http://www.mediafire.com/file/mxe2e5orqrn
con il log di dr.web ho usato parserlog come dice la guida, ma quel che ne risulta è una pagina bianca, ho sbagliato ad usare parserlog?
cmq il log di dr.web è questo http://www.mediafire.com/file/dmynmjnzmqz

Dal log di DrWeb CureIt non sembra tu abbia fatto scasione completa, potresti inoltre allegare il log di Avira, thx.

[Chill-Out]

Quote:

Originariamente inviato da diegomayer

Mi sono appena iscritto. Mi date una mano a rimuovere MASTER BOOT RECORD ROOTKIT Grazie.

Ho seguito queste indicazioni ma ho ancora qualche problema Edit

questi sono i risultati.

1a fase) prevx.log
Gmer si blocca sia in modalità normale che provvisoria, ma nel precedente tentavo era uscito

Disk \Device\Harddisk0\DR0 sector 60: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 61: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR




2a fase) mbr1.log
mbr2.log
mbr3.log

FixMebroot.log

3a fase prevx2.log

CureIt.log


ComboFix.txt

Gentilmente snellisci il log di CureIt come indicato in Guida http://hwupgrade.blogspot.com/2008/1...tilissimo.html se possibile sarrebbe necessario vedere un log completo di Gmer.

[diegomayer]

cureit filtrato.txt

questo sopra è il cureit filtrato.
Purtroppo una scansione completa con Gmer non riesco a farla: o si spegne il pc o mi segnala un errore, chiudendomi poi il programma

[Chill-Out]

Quote:

Originariamente inviato da diegomayer

cureit filtrato.txt

questo sopra è il cureit filtrato.
Purtroppo una scansione completa con Gmer non riesco a farla: o si spegne il pc o mi segnala un errore, chiudendomi poi il programma

Da log di CureIt non emerge nulla, come detto sopra sarebbe importante vedere un log di Gmer completo, potendo visionare solo questa parte

Quote:

Disk \Device\Harddisk0\DR0 sector 60: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 61: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR

dalla quale si evince che qualcosa ha scritto in quel settore, ma non ci sono tracce del Rootkit.

[diegomayer]

come mai non riesco a fare la scansione? ho disattivato pure nod32, magari un conflitto... comunque questa è il poco che gmer mi comunica:

GMER 1.0.15.15077 [gmer.exe] - http://www.gmer.net
Rootkit quick scan 2009-09-02 15:12:35
Windows 5.1.2600 Service Pack 3


---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x98a412b size 0x1a8
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys

---- EOF - GMER 1.0.15 ----

[Chill-Out]

Come detto sopra non ci sono tracce del Rootkit, per quanto concerne Gmer a volte può crashare.

[PIPPO6000]

Buongiorno a tutti sperando di aver postato nel posto giusto.

All'avvio di una scansione NOD32 mi segnala che:

"Il settore MBR di 1. Disco fisico contiene cavallo di troia Win32/mebroot.CA", quindi penso di aver preso un Rootkit.
Premetto che il Pc, su cui è installato Xp Sp3 completo di aggiornamenti, non ha dato alcun segno di instabilità
o di malfunzionamenti, comunque seguendo le indicazioni della guida ho proceduto nel modo seguente:.

- Dopo aver disattivato il ripristino configurazione di sistema ho eseguito le scansioni con: Malwarebytes Anti-Malware,
A-Squared Free, di cui allego i log.

http://www.mediafire.com/file/t0no5z...log-2009-09-04 (11-57-31).txt
http://www.mediafire.com/file/lwmnon...904-140057.txt

- Eseguito una scanzione con Prevx non ha evidenziato niente, allego il file di log.

http://www.mediafire.com/file/zdze4wm0jnh/Prevx.log

- Fatto una scansione con Gmer di cui allego il log
http://www.mediafire.com/file/vukhjnmntqy/Gmer.log

- Fatto scansione con SysInspector Tool di cui allego il log
http://www.mediafire.com/file/t3vlwz...90904-1941.xml

- Riavviato in modalità provvisoria e da C:\ ho lanciato un controllo con MBR rootkit detector di cui allego il file log "MBR1.log."
Ho poi eseguito il comando C:\mbr.exe -f e salvato il file di log "MBR2.log".
Ho poi riavviato normalmente e rieseguito e da start eseguito C:\mbr.exe il cui file di log è "MBR3.log".

I tre files di log di MBR sono perfettamente identici

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x025429800
PE file found in sector at 0x025429819 !

non viene segnalata la presenza di rootkit ma, nella mia ignoranza le ultime due righe non mi convincono e mi fanno pensare che
il settore di boot sia danneggiato.

Quindi avvio il Pc da cd di XP in console di ripristino di emergenza per eseguire FIXMBR ma mi esce il messaggio che il settore di
boot non è standard e che una sua riscrittura potrebbe danneggiare la partizione, ecc., quindi mi sono fermato.

Lancio FixMebroot il cui log è:
Symantec Trojan.Mebroot Removal Tool 1.0.1
Found drive \\.\PhysicalDrive0, analyzing MBR...
Found drive \\.\PhysicalDrive1, analyzing MBR...
Found drive \\.\PhysicalDrive2, analyzing MBR...
Creating FixMebroot service driver
Running driver...
Trojan.Mebroot has not been found active on your computer.
Delete service driver
Delete driver file
End

A questo punto faccio una scansione con Dr.Web CureIT e viene evidenziato che:

il file " c:\windows\winsxs\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.2600.5581_x-ww_dfbc4fc4\gdiplus.dll
è infettato da virus "BackDoor.MaosBoot" che ha danneggiato MBR di HDD1.
Quando viene chiesto dal programma se curare il file rispondo di si ma alla successiva domanda se riscrivere "il settore di boot standard"
rispondo di no per quanto già successo in precedenza nell'esecuzione di FIXMBR da console di ripristino di emergenza.
Non mi sono fidato a far riscrivere il settore di boot per non correre il rischio di ritrovarmi con un HD inutilizzabile.

Il log di Cureit: http://www.mediafire.com/file/mgmmhud3zhy/cureit filtrato.txt

Cosa mi consigliate di fare? Posso procedere con la cura di Dr.Web CureIT o con FIXMBR, oppure no?

[Chill-Out]

Allega il log del Nod, grazie.