Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[mexcal]

Quote:

Originariamente inviato da Chill-Out

Log puliti, se desideri fare un controllo approfondito segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

NB: i log andranno allegati in una nuova discussione che andrai ad aprire qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125

Avevo aperto la nuova discussione con i log di mbr.exe, ma sembra che sia stata cancellata. Ho seguito alla lettera la seconda parte della guida, cosa ho sbagliato? scusate ma devo riuscire a togliere questo maledetto virus!

[Chill-Out]

Quote:

Originariamente inviato da mexcal

Avevo aperto la nuova discussione con i log di mbr.exe, ma sembra che sia stata cancellata. Ho seguito alla lettera la seconda parte della guida, cosa ho sbagliato? scusate ma devo riuscire a togliere questo maledetto virus!

Segui la Guida alla disinfezione ed allega i log nella discussione da te aperta, ovvero http://www.hwupgrade.it/forum/showthread.php?t=2074533

[mexcal]

Quote:

Originariamente inviato da Chill-Out

Segui la Guida alla disinfezione ed allega i log nella discussione da te aperta, ovvero http://www.hwupgrade.it/forum/showthread.php?t=2074533

log allegati nella discussione. Speriamo di risolvere!

[Cube88]

Quote:

Originariamente inviato da wjmat

riavvia e segui la seconda fase della guida

Fatto, posto i log:

http://wikisend.com/download/477664/MBR1.log
http://wikisend.com/download/518876/MBR2.log
http://wikisend.com/download/595414/MBR3.log
http://wikisend.com/download/564692/FixMebroot.log

In ogni caso non credo di aver risolto, addirittura Symantec Trojan.Mebroot Removal Tool mi dice di non aver trovato nessun Trojan.Mebroot nel sistema...

Attendo altre istruzioni.

[Chill-Out]

Procedi con la TERZA FASE

[Cube88]

Quote:

Originariamente inviato da Chill-Out

Procedi con la TERZA FASE

Non riesco a capire perchè, ma Cureit non si avvia: clicco, appare la clessidra, e dopo pochi secondi scompare.
Comunque con la seconda scansione di Prevx è apparso lo stesso rootkit $mbr.0, altre soluzioni?

[wjmat]

Fai una scansione con Norman Sinowal Cleaner che trovi qui
Lancialo -> Accetta le condizioni
Sotto scan area seleziona C:\*.* e clicca su Remove, idem per altre eventuali lettere, relative ad altre partizioni (ci interessa solo la scansione della MBR)
Clicca su Start scan e attendi la scansione
In caso trovi l'infezione riavvia il pc se richiesto
Al termine allega il log NFix_xxxxxx.txt che trovi sul desktop secondo le modalità

+ log di prevx, se ancora infetto riprova con il clean di prevx

[diavolo80]

Quote:

Originariamente inviato da wjmat

ciao

prevx dovrebbe proporti la rimozione di mbr alla fine della scansione

premetto che questo virus a me blocca totalmente il pc (un notebook acer) dopo circa 10 min che è acceso (e a volte parte pure una rumorosissima sirena che mi sembra, come dire, "interna" all'hardware)....insomma devo spegnere brutalmente.....

il problema è che se faccio "cleanup now" come mi suggerisci, prevx prima di rimuovere riparte con la scansione.....
questa scansione dovrebbe durare un paio di minuti no? (anche ieri a me è durata effettivamente 2 minuti)

invece per l'appunto ora mi si blocca tutto, anche prima dei "canonici" 10 minuti...il computer è come "freezato" (anche l'orologio di windows è bloccato)

ora sto riprovando ma la vedo dura...al limite passo alla "seconda fase" della procedura?

[diavolo80]

Quote:

Originariamente inviato da diavolo80

premetto che questo virus a me blocca totalmente il pc (un notebook acer) dopo circa 10 min che è acceso (e a volte parte pure una rumorosissima sirena che mi sembra, come dire, "interna" all'hardware)....insomma devo spegnere brutalmente.....

il problema è che se faccio "cleanup now" come mi suggerisci, prevx prima di rimuovere riparte con la scansione.....
questa scansione dovrebbe durare un paio di minuti no? (anche ieri a me è durata effettivamente 2 minuti)

invece per l'appunto ora mi si blocca tutto, anche prima dei "canonici" 10 minuti...il computer è come "freezato" (anche l'orologio di windows è bloccato)

ora sto riprovando ma la vedo dura...al limite passo alla "seconda fase" della procedura?

di male in peggio....ora appena si avvia windows vien fuori la schermata blu "della morte" e rimane fissa....anche qui son costretto a spegnere brutalmente no? o c'è un altro modo?

il problema è che sul quel pc non ho ancora salvato mbr.exe e quindi non posso neanche iniziare la seconda fase della procedura dalla modalità provvisoria......

[Chill-Out]

Quote:

Originariamente inviato da diavolo80

di male in peggio....ora appena si avvia windows vien fuori la schermata blu "della morte" e rimane fissa....anche qui son costretto a spegnere brutalmente no? o c'è un altro modo?

il problema è che sul quel pc non ho ancora salvato mbr.exe e quindi non posso neanche iniziare la seconda fase della procedura dalla modalità provvisoria......

Potresti allegare i log di Gmer e Prevx esattamente come indicato in Guida

[diavolo80]

Quote:

Originariamente inviato da wjmat

riavvia e segui la seconda fase della guida

li avevo già postati ieri....

rieccoli

http://wikisend.com/download/606484/...di%20prevx.log
http://wikisend.com/download/122620/...0di%20gmer.txt

[Cube88]

Quote:

Originariamente inviato da wjmat

Fai una scansione con Norman Sinowal Cleaner che trovi qui
Lancialo -> Accetta le condizioni
Sotto scan area seleziona C:\*.* e clicca su Remove, idem per altre eventuali lettere, relative ad altre partizioni (ci interessa solo la scansione della MBR)
Clicca su Start scan e attendi la scansione
In caso trovi l'infezione riavvia il pc se richiesto
Al termine allega il log NFix_xxxxxx.txt che trovi sul desktop secondo le modalità

+ log di prevx, se ancora infetto riprova con il clean di prevx

Ecco, ho fatto la scansione escludendo entrambi i miei HDD (ne ho due, C: e G:), questo è il log:

http://wikisend.com/download/961696/...7_21-23-10.log

Comunque non mi ha trovato nessuna infezione, e Prevx rileva ancora lo stesso rootkit $mbr.0. Come procedo?

[Chill-Out]

Quote:

Originariamente inviato da diavolo80

li avevo già postati ieri....

rieccoli

http://wikisend.com/download/606484/...di%20prevx.log
http://wikisend.com/download/122620/...0di%20gmer.txt

Intendevo aggiornati, presta attenzione con i quote altrimenti non si capisce più nulla.

[Chill-Out]

Quote:

Originariamente inviato da Cube88

Ecco, ho fatto la scansione escludendo entrambi i miei HDD (ne ho due, C: e G, questo è il log:

http://wikisend.com/download/961696/...7_21-23-10.log

Comunque non mi ha trovato nessuna infezione, e Prevx rileva ancora lo stesso rootkit $mbr.0. Come procedo?

E' necessario ripristinare il master boot record del disco di avvio seguendo questa procedura

Quote:

* Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS
* Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY
* Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive
* A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows
* Premi F10 per confermare ed uscire
* Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
* Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
* Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, 1) X:\Windows quindi premere 1 e confermare con OK
* Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.
* Al prompt dei comandi digita FIXMBR e clicca su Y per confermare
* Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows

[diavolo80]

scusatemi....ma dato che non partiva nemmeno la modalità provvisoria ho combinato un ulteriore casino e ora sono nel panico....per farla breve non mi si avvia più nulla perchè non trova "hal.dll" (ho fatto casino con BOOT.INI.....)

so che posso recuperare hal.dll dal cd di windows.......solo che non ce l'ho!!!

o meglio....ho un cd di windows xp vecchio, mentre per il computer in questione
ho solo un dvd di ripristino che mi ero creato appena acquistato il pc e che ovviamente ha dentro xp (media center)

....ma se inserisco quest'ultimo (che contiene anche tutte le "configurazioni" acer) non è che parte un bel format e non riesco invece a dargi il comando di avvio della "console di ripristino" che mi serve per recuperare hal.dll?

vi prego, lo so che ho sviato dall'oggetto della discussione, ma sto impazzendo!

[Chill-Out]

Quote:

Originariamente inviato da diavolo80

scusatemi....ma dato che non partiva nemmeno la modalità provvisoria ho combinato un ulteriore casino e ora sono nel panico....per farla breve non mi si avvia più nulla perchè non trova "hal.dll" (ho fatto casino con BOOT.INI.....)

so che posso recuperare hal.dll dal cd di windows.......solo che non ce l'ho!!!

o meglio....ho un cd di windows xp vecchio, mentre per il computer in questione
ho solo un dvd di ripristino che mi ero creato appena acquistato il pc e che ovviamente ha dentro xp (media center)

....ma se inserisco quest'ultimo (che contiene anche tutte le "configurazioni" acer) non è che parte un bel format e non riesco invece a dargi il comando di avvio della "console di ripristino" che mi serve per recuperare hal.dll?

vi prego, lo so che ho sviato dall'oggetto della discussione, ma sto impazzendo!

Ciao segui questa procedura, mi raccomando prestare attenzione alle istruzioni:

• Inserisci il CD di XP e riavvia il PC eseguendo il Boot da Cd
• Ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
• Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
• Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, nel tuo caso 1) C:\Windows quindi premere 1 e confermare con OK
• Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO
• Digita il comando bootcfg /rebuild
• Premere S per accettare la domanda Aggiungere installazione
  all'elenco sistemi operativi all'avvio? (Sì/No/Tutti)
• Alla domanda Inserire l'identificatore di caricamento scrivi Windows XP 2
• Premi Invio alla domanda Inserire l'identificatore di
  caricamento
• Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare Exit al prompt dei comandi, quindi premere Invio dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows
  
• Adesso abbiamo creato un nuovo sistema operativo nel comando di avvio di boot.ini quindi quando apparirà la schermata per scegliere quale sistema operativo avviare scegli quello appena creato ovvero Windows XP 2, se hai fatto tutto correttamente Windows si dovrebbe finalmente avviare
  
• Una volta avviato Windows clicca con il tasto destro su Risorse del computer ==>> Proprietà ==>> Avanzate ==>> Avvio e ripristino ==>> Impostazion ==>> Modifica dovresti vedere qualcosa del genere:

Quote:

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=Windows XP 2

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Nome sistema operativo originario" /fastdetect /NoExecute=OptIn /safeboot:minimal

- quindi provvedi ad eliminare la riga contenete il nuovo sistema operativo appena creato, ovvero Windows XP 2
- mentre dalla riga del sistema operativo originale devi cancellare solo /safeboot:minimal
A questo punto chiudere boot.ini, salvare le modifiche e cliccare su Ok

Ora non rimane altro che fare un riavvio, tutto dovrebbe essere ritornato alla normalità.

[simo125]

Salve a tutti,
come ho visto nei post di altre persone avira ha trovato un virus (BOO/Sinowal.E) nel Record master di avvio. Vi incollo parte del report di avira:
Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 1
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[AVVISO] Impossibile riparare il settore di avvio! Per maggiori informazioni consultare il servizio di assistenza.

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!
Record di avvio 'D:\'
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[NOTA] Il record non è stato scritto!
Record di avvio 'E:\'
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[NOTA] Il record non è stato scritto!

Posto i log della prima fase di disinfestazione che ho seguito sulla vostra guida.
Grazie
http://wikisend.com/download/447200/gmerlog.log
http://wikisend.com/download/533912/Prevxlog.log

[Chill-Out]

Procedi pure con la seconda fase

[Cube88]

Quote:

Originariamente inviato da Chill-Out

E' necessario ripristinare il master boot record del disco di avvio seguendo questa procedura

Ho ripristinato il MBR tramite la guida che mi hai postato: ora effettivamente non compare più il messaggio di avviso durante il boot, e il sistema non sembra neanche più bloccarsi come prima. E' risolto o devo fare qualche altra cosa?

[diavolo80]

preso dallo sconforto io ho formattato......

ma non si risolve nemmeno così!!!!!!!! dai, ma è allucinante!!!!!

mi si blocca ancora poco dopo l'accensione (e in virtù di questo non ho "tempo" di scandire con prevx e gmer) e parte ancora una sirena "interna" all'hardware,come fosse di allarme.....

è possibile che a furia di spegnimenti "brutali" del pc, procedure di scandisk saltate al riavvio, e varie operazioni "forzate" in genere io abbia danneggiato definitivamente il disco C: ????

cosa devo fare????? sono in panico!!!