Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[renaccio]

Quote:

Originariamente inviato da Chill-Out

E ci riproviamo

Da Start - Esegui - digita INF

all'interno della cartella C:\WINDOWS\inf cerca il file denominato sr

tasto dx del mouse su sr e clicca su installa

Terminata l'installazione riavvia il PC, successivamente da Start - Esegui - digita services.msc e controlla che il servizio denominato Servizio Riprtistino configurazione di sistema sia Avviato - Automatico

Fatto tutto, ma ho trovato il servizio non avviato (con però l'avvio automatico)
A quel punto, ho cercato di avviarlo manualmente, ma mi è comparso questo avviso

http://wikisend.com/download/508526/Immagine.JPG

[Pompolus]

Ecco il log di PRevx:

prevx.log

e quello di Gmer:

Gmer.log

poi ho eseguito tutte le indicazioni con mbr (in modalità provvisoria prima e dopo con senza -f, in modalità normale, ho messo in C: blabla) ma il log è sempre uguale:

mbr.log

e questo è quello di FixMebRoot:

FixMebroot.log

Sembra che non riescano a trovare il rootkit o che il rootkit stesso impedisca l'accesso a tali programmi.

[renaccio]

Quote:

Originariamente inviato da renaccio

Fatto tutto, ma ho trovato il servizio non avviato (con però l'avvio automatico)
A quel punto, ho cercato di avviarlo manualmente, ma mi è comparso questo avviso

http://wikisend.com/download/508526/Immagine.JPG

Caro Chill-Out,
un po' scoraggiato dai risultati, mi sono chiesto cos'altro si potesse fare o rifare.
Quindi, non chiedermi perchè, ho deciso di eseguire di nuovo la procedura forzata di System Restore Repair e.......MIRACOLO!!!.....tutto è tornato a funzionare alla perfezione!!!
Posso attivare/disattivare il Ripristino dalla relativa scheda delle Proprietà delle Risorse del Computer e posso, inoltre, farlo partire da Start > Programmi.
Ti scrivo, quindi, per ringraziarti della costante assistenza e del grande aiuto che mi hai dato. Senza di te ed i tuoi suggerimenti non sarei mai venuto a capo di questo inghippo.....GRAZIE!!!
Ora penso che lascerò attivo il Ripristino, ma non lo userò mai più: "mai svegliare il can che dorme"...

[Chill-Out]

Quote:

Originariamente inviato da renaccio

Caro Chill-Out,
un po' scoraggiato dai risultati, mi sono chiesto cos'altro si potesse fare o rifare.
Quindi, non chiedermi perchè, ho deciso di eseguire di nuovo la procedura forzata di System Restore Repair e.......MIRACOLO!!!.....tutto è tornato a funzionare alla perfezione!!!
Posso attivare/disattivare il Ripristino dalla relativa scheda delle Proprietà delle Risorse del Computer e posso, inoltre, farlo partire da Start > Programmi.
Ti scrivo, quindi, per ringraziarti della costante assistenza e del grande aiuto che mi hai dato. Senza di te ed i tuoi suggerimenti non sarei mai venuto a capo di questo inghippo.....GRAZIE!!!
Ora penso che lascerò attivo il Ripristino, ma non lo userò mai più: "mai svegliare il can che dorme"...

Perfetto, sono felice tu abbia risolto, il reinstallare il Ripristino da sr ha permesso l'uso di System Restore Repair con esito positivo

[Chill-Out]

Quote:

Originariamente inviato da Pompolus

Ecco il log di PRevx:

prevx.log

e quello di Gmer:

Gmer.log

poi ho eseguito tutte le indicazioni con mbr (in modalità provvisoria prima e dopo con senza -f, in modalità normale, ho messo in C: blabla) ma il log è sempre uguale:

mbr.log

e questo è quello di FixMebRoot:

FixMebroot.log

Sembra che non riescano a trovare il rootkit o che il rootkit stesso impedisca l'accesso a tali programmi.

Fai girare DrWeb CureIt esattamente come indicato in Guida

Riepilolog da allegare:
DrWeb CureIt
Nuovo log Prevx

[Pompolus]

ecco qua:

cureit filtrato.txt

e la seconda scansione con prevx

prevx2.log

[Chill-Out]

Quote:

Originariamente inviato da Pompolus

ecco qua:

cureit filtrato.txt

e la seconda scansione con prevx

prevx2.log

Dai log non emergono tracce del MBR Rootkit, analizzando quello di Prevx vedo che hai provveduto a contrarre altre infezioni, configura Avira come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 aggiornalo e produci log di una scansione completa. In questo modo verifichiamo l'eventuale segnalazione inerente BOO/Sinowal.E inoltre utilizza questo PC solo per portare a termine la procedura di disinfezione altrimenti non se ne esce più.

[6694]

Ciao, volevo sapere, questa guida è efficace per rimuovere boo\sinowal.e ?
Ho provato a cercare in tutti i forum boo\sinowal.e e non mi ha dato nessun risultato. Per la parola sinowal invece dà molti risultati, fra cui questo tread ma cercare in 60 pagine è un po' lungo. Inoltre ho notato che c'è differenza fra i vari sinowal.a, sinowal.b etc... Altri tipi non danno segni visibili se non le scansioni antivirus, mentre sinowal.e mi ha completamente mandato in pappa il pc.
Ho cominciato a fare la procedura descritta in questo tread ma è molto lunga, anche perchè il virus mi blocca tutto il computer dopo pochi minuti. Non vorrei fare l'ennesima procedura senza risultati visto che ho già provato innumerevoli anti spyware, antimalware, cd di ripristino di vari antivirus per tentare di togliere il virus "fuori" da windows, ma niente ...
Fra l'altro ho notato una cosa: praticamente tutti quelli che sono stati infettati avevano come antivirus avira. Mi confermate? Perchè l'avira non riesce a porre rimedio a questa cosa? A saperlo mica installavo questo antivirus, per intenderci... Io l'ho preso credo da una pagina che si è aperta automaticamente su un forum, ma che però avira mi aveva bloccato!

[Chill-Out]

Quote:

Originariamente inviato da 6694

Ho cominciato a fare la procedura descritta in questo tread ma è molto lunga, anche perchè il virus mi blocca tutto il computer dopo pochi minuti. Non vorrei fare l'ennesima procedura senza risultati visto che ho già provato innumerevoli anti spyware, antimalware, cd di ripristino di vari antivirus per tentare di togliere il virus "fuori" da windows, ma niente ...

Ciao e benvenuto, l'unico modo per tentare di risolvere il problema è seguire la Guida in prima pagina strutturata in Fasi, al momento procedi con la :: FASE PRELIMINARE :: e :: PRIMA FASE ::

Quote:

Fra l'altro ho notato una cosa: praticamente tutti quelli che sono stati infettati avevano come antivirus avira. Mi confermate?

No, tuttora Avira è uno dei migliori Av in commercio.

[6694]

Grazie della risposta. Appena tornato a casa riprenderò per l'appunto la procedura.

Ieri avevo anche mandato una mail al supporto di Prevx 3.0. Loro assicurano che con la versione a pagamento il rootkit si può rimuovere, ma c'è da fidarsi?
Le condizioni di rimborso sono assurde: possibilità per un assistente al supporto di accedere in remoto al pc e verificare che davvero il malware non sia removibile. Praticamente impossibile visto che il pc si impalla per nulla: il gatto che si morde la coda.

[Chill-Out]

Quote:

Originariamente inviato da 6694

Grazie della risposta. Appena tornato a casa riprenderò per l'appunto la procedura.

Ieri avevo anche mandato una mail al supporto di Prevx 3.0. Loro assicurano che con la versione a pagamento il rootkit si può rimuovere, ma c'è da fidarsi?
Le condizioni di rimborso sono assurde: possibilità per un assistente al supporto di accedere in remoto al pc e verificare che davvero il malware non sia removibile. Praticamente impossibile visto che il pc si impalla per nulla: il gatto che si morde la coda.

Prevx è un ottimo software così come il supporto tecnico, ed in versione free rimuove una variante del MBR Rootkit, comunque in Guida utilizziamo la versione free.

[Pompolus]

Quote:

Originariamente inviato da Chill-Out

Dai log non emergono tracce del MBR Rootkit, analizzando quello di Prevx vedo che hai provveduto a contrarre altre infezioni, configura Avira come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 aggiornalo e produci log di una scansione completa. In questo modo verifichiamo l'eventuale segnalazione inerente BOO/Sinowal.E inoltre utilizza questo PC solo per portare a termine la procedura di disinfezione altrimenti non se ne esce più.

E' quel che dicevo io, i vari softaware non sembrano trovare la minaccia, solo Avir vede questo Sinowal.E.
Tutti i virus che vedi riportati da Prevx e che nella precdente scansione non venivano rilevati, li ho presi semplicemente stando collegato ad internet in modalità provvisoria, ormai questo pclo uso o solo tramite ubuntu oppure tramite modalità provvisoria di Windows con supporto per rete, in modalità normale non ci entro da giorni visto che è inutilizzabile.

Ecco la nuova scansione di Avir, grazie per il tempo che dedicate ^^

AVSCAN.txt

[Chill-Out]

Quote:

Originariamente inviato da Pompolus

E' quel che dicevo io, i vari softaware non sembrano trovare la minaccia, solo Avir vede questo Sinowal.E.
Tutti i virus che vedi riportati da Prevx e che nella precdente scansione non venivano rilevati, li ho presi semplicemente stando collegato ad internet in modalità provvisoria, ormai questo pclo uso o solo tramite ubuntu oppure tramite modalità provvisoria di Windows con supporto per rete, in modalità normale non ci entro da giorni visto che è inutilizzabile.

Ecco la nuova scansione di Avir, grazie per il tempo che dedicate ^^

AVSCAN.txt

Inutilizzabile per quale motivo?

[Pompolus]

Quote:

Originariamente inviato da Chill-Out

Inutilizzabile per quale motivo?

Perchè è lento, si impalla e internet non va, msn da problemi ed in più è anche uscita una bella schermatona blu della morte.

E tutto questo nelle uniche 2 volte che sono entrato in modalità normale, ovvero la prima dopo che il rootkit ha riavviato il sistema e un'altra in questi giorni per fare la scansione con mbr.exe

[Chill-Out]

Quote:

Originariamente inviato da Pompolus

Perchè è lento, si impalla e internet non va, msn da problemi ed in più è anche uscita una bella schermatona blu della morte.

E tutto questo nelle uniche 2 volte che sono entrato in modalità normale, ovvero la prima dopo che il rootkit ha riavviato il sistema e un'altra in questi giorni per fare la scansione con mbr.exe

E' necessario ripristinare il master boot record del disco di avvio seguendo questa procedura

Quote:

* Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS
* Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY
* Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive
* A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows
* Premi F10 per confermare ed uscire
* Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
* Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
* Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, 1) X:\Windows quindi premere 1 e confermare con OK
* Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.
* Al prompt dei comandi digita FIXMBR e clicca su Y per confermare
* Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows

potrebbe essere necessario reinstallare Grub, successivamente bisogna intraprendere una procedura di dinsifezione per rimuovere ciò che si accumulato in questi giorni.

[Pompolus]

Quote:

Originariamente inviato da Chill-Out

E' necessario ripristinare il master boot record del disco di avvio seguendo questa procedura

fatto, sono entrato nella console di ripristino dal cd di windows xp, ho digitato fixmbr ma sembra non fare niente. Il rootkit è ancora presente e non ho neanche dovuto reinstallare GRUB, cosa che mi sembra alquanto strano visto che appena dai la possibilità a windows di mettere le mani sull' MBR lo sovrascrive completamente...

[Chill-Out]

Quote:

Originariamente inviato da Pompolus

fatto, sono entrato nella console di ripristino dal cd di windows xp, ho digitato fixmbr ma sembra non fare niente. Il rootkit è ancora presente e non ho neanche dovuto reinstallare GRUB, cosa che mi sembra alquanto strano visto che appena dai la possibilità a windows di mettere le mani sull' MBR lo sovrascrive completamente...

Impossibile

[Pompolus]

Quote:

Originariamente inviato da Chill-Out

Impossibile

impossibile cosa?

forse ho sbagliato qualcosa...

riassumo ciò che ho fatto:

ho messo il cd di windows xp professional
ho riavviato
ho selezionato come boot il cd
mi entra nella schermata di installazione di windows
premo r
mi porta sul prompt

mi trovo in questa situazione:

C:\

digito fixmbr

il prompt riconosce il comando (infatti non scrive "command not valid use HELP blablabla").

neanche un secondo di elaborazione e mi torna a

C:\


ho fatto tutto questo 2-3 volte, poi digito exit.


che ho sbagliato?

[Chill-Out]

Ripeti quanto qui http://www.hwupgrade.it/forum/showpo...postcount=1415 indicato digitando

fixmbr \Device\HardDisk1

[Pompolus]

Quote:

Originariamente inviato da Chill-Out

Ripeti quanto qui http://www.hwupgrade.it/forum/showpo...postcount=1415 indicato digitando

fixmbr \Device\HardDisk1

fatto,

specificando HardDisk1 succede esattamente quello che ho detto prima, ovvero niente.

l'ho fatto invece con HardDisk0 e sembra aver funzionato, ovvero sono apparse le scritte di avvertimento: "attenzione le partizioni possono fottersi e tante cose brutte blabla", ho confermato la scelta e in output mi è stato comunicato che il record di avvio è stato modificato.

Solo che ancora Grub risulta installato correttamente, sono riandato in modalità provvisoria e dopo 3 secondi di scansione Avir mi ha trovato nuovamente il Sinowal.E come se non fosse successo niente...