Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da Pompolus

fatto,

specificando HardDisk1 succede esattamente quello che ho detto prima, ovvero niente.

l'ho fatto invece con HardDisk0 e sembra aver funzionato, ovvero sono apparse le scritte di avvertimento: "attenzione le partizioni possono fottersi e tante cose brutte blabla", ho confermato la scelta e in output mi è stato comunicato che il record di avvio è stato modificato.

Solo che ancora Grub risulta installato correttamente, sono riandato in modalità provvisoria e dopo 3 secondi di scansione Avir mi ha trovato nuovamente il Sinowal.E come se non fosse successo niente...

Come sopra impossibile

Quanti HDD hai quante partizioni e dove è installato Linux?

[Pompolus]

Quote:

Originariamente inviato da Chill-Out

Come sopra impossibile

Quanti HDD hai quante partizioni e dove è installato Linux?

ho 2 hard disk, uno SATA e uno non. Quello non SATA è solo per i dati ed ha un'unica partizione.

L'hard disk SATA è diviso in 3 partizioni, in una è installato windows, in una linux e la terza è solo per i programmi.

[Chill-Out]

Quote:

Originariamente inviato da Pompolus

ho 2 hard disk, uno SATA e uno non. Quello non SATA è solo per i dati ed ha un'unica partizione.

L'hard disk SATA è diviso in 3 partizioni, in una è installato windows, in una linux e la terza è solo per i programmi.

L'installazione di Linux risale a quando?

[Pompolus]

Quote:

Originariamente inviato da Chill-Out

L'installazione di Linux risale a quando?

circa un anno fa

[Chill-Out]

Quote:

Originariamente inviato da Pompolus

circa un anno fa

Allega un nuovo log di:

Stealth MBR rootkit detector
Avira

[Pompolus]

Quote:

Originariamente inviato da Chill-Out

Allega un nuovo log di:

Stealth MBR rootkit detector
Avira

ecco qua, freschi freschi appena finiti:

mbr4.txt

AVSCAN2.txt

[pincorossi]

Help
ecco i 2 log

http://wikisend.com/download/211876/prevx.log

http://wikisend.com/download/571574/gmer.log

[Chill-Out]

Quote:

Originariamente inviato da Pompolus

ecco qua, freschi freschi appena finiti:

mbr4.txt

AVSCAN2.txt

Secondo me sei a posto indipendentemente dal log che recita

Quote:

Warning: possible MBR rootkit infection !

Ultima cosa, Win è su C:\ mentre Linux su è E:\ ?

[Chill-Out]

Quote:

Originariamente inviato da pincorossi

Help
ecco i 2 log

http://wikisend.com/download/211876/prevx.log

http://wikisend.com/download/571574/gmer.log

Ciao, segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446 i log per il controllo andranno allegati dove appena indicato.

[Pompolus]

Quote:

Secondo me sei a posto indipendentemente dal log che recita

ma come fai a dire che sono a posto? Avir dice questo:

Codice:

Record master di avvio dell'Hard Disk 1
    [RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
    [NOTA]      Il settore di avvio non è stato riparato!

Avvio della scansione dei record di avvio:

Record di avvio 'C:\'
    [RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
    [NOTA]      Il settore di avvio non è stato riparato!
Record di avvio 'E:\'
    [RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
    [NOTA]      Il settore di avvio non è stato riparato!

Quote:

Ultima cosa, Win è su C:\ mentre Linux su è E:\ ?

A questo non so esattamente come risponderti.
In ambiente Windows ho 3 partizioni, 2 su un hard disk e 1 su un altro. Sul primo Hard disk ho C:\ (dove è installato windows) e E:\ (che è solo di dati), nell'altro hard disk ho F:\ (anche questa solo di dati.
Chiedendomi che lettera è linux mi metti in difficoltà visto ch ein ambiente windows non si vede e in ambiente linux non si chiama con lettere

[Chill-Out]

Quote:

Originariamente inviato da Pompolus

ma come fai a dire che sono a posto? Avir dice questo:

Codice:

Record master di avvio dell'Hard Disk 1
    [RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
    [NOTA]      Il settore di avvio non è stato riparato!

Avvio della scansione dei record di avvio:

Record di avvio 'C:\'
    [RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
    [NOTA]      Il settore di avvio non è stato riparato!
Record di avvio 'E:\'
    [RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
    [NOTA]      Il settore di avvio non è stato riparato!

Nessuno dei tool rilevava nulla, abbiamo ripristinato il MBR, quindi Antivir sfarlocca

[Pompolus]

Quote:

Originariamente inviato da Chill-Out

Nessuno dei tool rilevava nulla, abbiamo ripristinato il MBR, quindi Antivir sfarlocca

Ehm, avir sfarloccherà ma quando ho preso il virus, il pc mi si è riavviato da solo proprio come fanno fare i rootkit. Da quel momento in poi internet non funziona bene, msn da errore, e tutto è rallentato. In più vengono le schermate blu (un'altra è venuta anche in modalità provvisoria durante l'ultima scansione con Avir) ed ho cominciato a prendere virus solo restando collegato.

Insomma, non mi sembra proprio una situazione in cui "tutto è a posto" visto che prima che il pc si riavviasse andava a meraviglia....

E quei tool non hanno mai trovato nulla, quindi manco a dire che ora non lo trovano perchè è stato tolto mentre avir sfarlocca e ancora lo vede...

[Chill-Out]

Quote:

Originariamente inviato da Pompolus

Ehm, avir sfarloccherà ma quando ho preso il virus, il pc mi si è riavviato da solo proprio come fanno fare i rootkit.

Non funziona proprio così comunque non ha importanza.

Quote:

Insomma, non mi sembra proprio una situazione in cui "tutto è a posto" visto che prima che il pc si riavviasse andava a meraviglia....

Te l'ho già detto hai contratto altre infezioni http://www.hwupgrade.it/forum/showpo...postcount=1407

Quote:

E quei tool non hanno mai trovato nulla, quindi manco a dire che ora non lo trovano perchè è stato tolto mentre avir sfarlocca e ancora lo vede...

Ci sono 70 pagine di Thread a dimostrazione che i tool qualcosa trovano, suvvia, ricordo inoltre che se i tool falliscono, il ripristino del MBR con fixmbr risolve.

Edit: una cortesia, postresti allegare il Report inerente la rilevazione di Avira che ha dato inizio al problema.

[Pompolus]

Quote:

Originariamente inviato da Chill-Out

Non funziona proprio così comunque non ha importanza.



Te l'ho già detto hai contratto altre infezioni http://www.hwupgrade.it/forum/showpo...postcount=1407



Ci sono 70 pagine di Thread a dimostrazione che i tool qualcosa trovano, suvvia, ricordo inoltre che se i tool falliscono, il ripristino del MBR con fixmbr risolve.

Mi stai quindi dicendo che il computer si è riavviato per caso E sempre per caso esattamente dopo il riavvio avira ha trovato quel rootkit? E che tutti i problemi che ho riscontrato col pc sono avvenuti per i virus che ho contratto DOPO (infatti nelle precedenti scansioni non c'erano)?

Quindi togliendo i virus dovrebbe tornare tutto come prima e devo convivere con questo allarme di questo inesistente BOO/sinowal.E?


Inoltre ho appena rifatto la scansione con PRevx e risulta questo:
[b] c:\windows\system32\hook.dll [PX5: B7DDC9A000A95046805903E5BB17F200A88A142E] Malware Group: High Risk Information Stealer
[b] c:\gmouse20\gmouse.exe [PX5: 2A4236FB00FF44DDC20403EAA2DC8500C6092921] Malware Group: High Risk Worm
[b] c:\windows\system32\cncs32.dll [PX5: 1DA693F800092F06A0CC020743F860002BE80D1A] Malware Group: High Risk Banking Info Stealer

ma Gmouse.exe è un programma che uso da anni e sono sicuro sia pulito, è un bot e viene sempre riconosciuto come viurs.

cncs32.dll mi dice che è un "HIgh Risk Banking Info Stealer" ma leggendo qua e là sulla rete sembra che sia un falso positivo.

Quindi l'unico vero virus che potrei avere (anche se su questo ci sono pareri constrastanti) è questo Hook.dll... Quindi tutto sto casino lo starebbe facendo lui??


EDIT: ho letto solo ora, purtroppo non credo di aver salvato il report della prima scansione in assoluto di Avir, questa è la più vecchia che ho, che risale all'altro ieri però http://wikisend.com/download/563384/AVSCAN.txt

[Chill-Out]

Quote:

Originariamente inviato da Pompolus

Mi stai quindi dicendo che il computer si è riavviato per caso E sempre per caso esattamente dopo il riavvio avira ha trovato quel rootkit? E che tutti i problemi che ho riscontrato col pc sono avvenuti per i virus che ho contratto DOPO (infatti nelle precedenti scansioni non c'erano)?

No, non ti ho detto questo, ti ho semplicemente detto che successivimente hai contratto altre infezioni.

Edit: non parlo del log, in Panoramica - Report trovi il log generato nel momento in cui si è verificato questo evento

Quote:

Originariamente inviato da Pompolus

Salve a tutti,

Oggi stavo navigando quando ad un certo punto Avir mi avevrte che ha trovato un virus nei file temporanei di internet, gli dico di eliminarlo e sembra tutto ok, quando dopo pochi minuti mi si riavvia il pc.

[Pompolus]

Quote:

Originariamente inviato da Chill-Out

No, non ti ho detto questo, ti ho semplicemente detto che successivimente hai contratto altre infezioni.

Edit: non parlo del log, in Panoramica - Report trovi il log generato nel momento in cui si è verificato questo evento

Li ho trovati in Panoramica - eventi, credo tu intenda questi.

Questi sono i primi 3 eventi registrati

Evento1.txt
Evento2.txt
Evento3.txt

dopo 9 minuti il pc si è riavviato e questo è quello che ha trovato immediatamente dopo il riavvio:

Evento4.txt
Evento5.txt
Evento6.txt

[Chill-Out]

Si era quello che desideravo vedere, ribadisco se hai seguito alla lettera le istruzioni lanciando il comando fixmbr il problema se c'è, si risolve.

[Pompolus]

Quote:

Originariamente inviato da Chill-Out

Si era quello che desideravo vedere, ribadisco se hai seguito alla lettera le istruzioni lanciando il comando fixmbr il problema se c'è, si risolve.

Ok ho capito perchè non si è risolto nulla con fixmbr.

Sono appena rientrato nella console di ripristino e mi sono accorto che le lettere delle partizioni non corrispondono.

Come avevo detto ho 2 hard disk, il SATA su cui è installato XP e UBUNTU, mentre il secondo non SATA su cui sono solo immagazzinati dati vari. Quando entro nella console di ripristino, C:\ non è la partizione in cui è installato windows, bensì la partizione del disco non SATA.
Ho provato ad accedere alle altre partizioni (digitando a: , b:, c: , d:... e così via fino a z ma le uniche in cui riesco ad accedere sono C:\, D:\ e A:\, dove la prima è quella che ho appena detto, D:\ è quella del cd di windows e A:\ è il floppy.

Come faccio ad accedere nell'hard disk giusto?

[Pompolus]

credo di aver capito, il problema è proprio che l'hard disk è SATA e non lo riconosce. Cerco un dischetto con i driver giusti e provo a rifare l'operazione.

[Pompolus]

Perfetto era quello il problema, ho installato i driver SATA durante il caricamento del cd di installazione di Win xp e la console di ripristino stavolta mi ha riconosciuto la giusta partizione dove è installato xp, ho fatto fixmbr e stavolta sembra esser andato in porto.

Ho fatto una scansione con Avir e non trova più traccia del rootkit, visto che quei Tool non sono poi così precisi, chill? ^_*

Ti ringrazio infinitamente per l'aiuto e per il tempo che hai perso per starmi dietro, anche se stavi per lasciarmi solo con il mio rootkit! :P

Ah, per disinfettare quell'Hook.dll, continuo a postare qui o nell'altra sezione?

Grazie ancora