Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[wjmat]

Quote:

Originariamente inviato da diavolo80

preso dallo sconforto io ho formattato......

ma non si risolve nemmeno così!!!!!!!! dai, ma è allucinante!!!!!

mi si blocca ancora poco dopo l'accensione (e in virtù di questo non ho "tempo" di scandire con prevx e gmer) e parte ancora una sirena "interna" all'hardware,come fosse di allarme.....

è possibile che a furia di spegnimenti "brutali" del pc, procedure di scandisk saltate al riavvio, e varie operazioni "forzate" in genere io abbia danneggiato definitivamente il disco C: ????

cosa devo fare????? sono in panico!!!

windows l'hai reinstallato?

[Chill-Out]

Quote:

Originariamente inviato da Cube88

Ho ripristinato il MBR tramite la guida che mi hai postato: ora effettivamente non compare più il messaggio di avviso durante il boot, e il sistema non sembra neanche più bloccarsi come prima. E' risolto o devo fare qualche altra cosa?

Risolto, in ogni caso ti suggerisco la lettura di questo 3D http://www.hwupgrade.it/forum/showthread.php?t=1726383

[Chill-Out]

Quote:

Originariamente inviato da diavolo80

preso dallo sconforto io ho formattato......

ma non si risolve nemmeno così!!!!!!!! dai, ma è allucinante!!!!!

mi si blocca ancora poco dopo l'accensione (e in virtù di questo non ho "tempo" di scandire con prevx e gmer) e parte ancora una sirena "interna" all'hardware,come fosse di allarme.....

è possibile che a furia di spegnimenti "brutali" del pc, procedure di scandisk saltate al riavvio, e varie operazioni "forzate" in genere io abbia danneggiato definitivamente il disco C: ????

cosa devo fare????? sono in panico!!!

Avresti dovuto formattare a basso livello.

[Cube88]

Quote:

Originariamente inviato da Chill-Out

Risolto, in ogni caso ti suggerisco la lettura di questo 3D http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ok. Allora grazie di tutto sia a te che a wjmat, mi avete salvato il pc.

[wjmat]

Quote:

Originariamente inviato da Cube88

Ok. Allora grazie di tutto sia a te che a wjmat, mi avete salvato il pc.

di nulla
ciao

[SCHUMINO]

finito il passo 1, allego i file LOG e attendo una risposta da un gentilissimo esperto.
GRASSIE

gmer.log

prevx.log

[Chill-Out]

Quote:

Originariamente inviato da SCHUMINO

finito il passo 1, allego i file LOG e attendo una risposta da un gentilissimo esperto.
GRASSIE

gmer.log

prevx.log

Ripeti scansione con Prevx al termine procedi con la rimozione gratuita, solo dopo aver dosabilitato il tuo AV F = free to cleanup

[SCHUMINO]

Quote:

Originariamente inviato da Chill-Out

Ripeti scansione con Prevx al termine procedi con la rimozione gratuita, solo dopo aver dosabilitato il tuo AV F = free to cleanup

fatto, mi ha simulato una schermata blu e sembra che abbia tolto tutto, però non capisco la tua citazione "solo dopo aver dosabilitato il tuo AV F = free to cleanup"

[Chill-Out]

Quote:

Originariamente inviato da SCHUMINO

fatto, mi ha simulato una schermata blu e sembra che abbia tolto tutto, però non capisco la tua citazione "solo dopo aver dosabilitato il tuo AV F = free to cleanup"

Dovevi disabilitare l'AV prima di la eseguire la rimozione gratutita F = free to cleanup, allega nuovo log di Prevx

[diavolo80]

Quote:

Originariamente inviato da wjmat

windows l'hai reinstallato?

si, ma anche con windows "nuovo", pulito, il pc mi si blocca dopo pochi minuti.....meno di un paio diciamo....quindi non riesco a farci nulla....

non riesce manco a completare per bene l'installazione di tutti i tool acer (eRecovery, ecc.....) che crea di default dopo una formattazione....

[diavolo80]

Quote:

Originariamente inviato da Chill-Out

Avresti dovuto formattare a basso livello.

lo so ma non ho mai provato.....
è una cosa complicata?
non sono assolutamente una capra col pc, ma non sono neanche super-esperto.....e ormai in questa situazione ho paura di cadere dalla padella alla brace ogni cosa che faccio...

[Bukozzi]

Salve a tutti,
purtroppo credo di essere vittima del MBR ROOTKIT.

Ho seguito la guida degli "infetti" passo passo, scaricando e inizializzando tool dopo tool, ma praticamente senza che nessuno di questi, o quasi, mi vedesse l'infezione.

Premetto che la mia infezione si manifesta creando cartelle/profili cloni di quella principale, chiamandole HelpAssistant.
Ovvero, in Document & Settings ho copie del mio account a dismisura, ogni riavvio della macchina è una nuova copia "HelpAssistant.NOMEUTENTE1" poi utente2 ecc ec.

Dopo aver passato ogni tipo di tool proposti nella guida del forum (anche quello della symantec specifico) senza riscontrare nulla, l'unico ad accorgersi di qualcosa (a parte me ) è stato, come dicevo, l'mbr.exe.

Ho provato a fare il fix con lui con mbr.exe -f ma il tool stesso mi ha poi risposto: "Use "Recovery Console" command "fixmbr" to clear infection !"

Bene, ho quindi preso il mio CD di Windows e, grazie alla guida di questo forum, ho ricostruito l'mbr.

Peccato che, dopo il riavvio e un nuovo passaggio di mbr.exe il problema non risulti debellato:
http://wikisend.com/download/476842/mbr.log

Ho provato a ripassare con il Symantec Tools ma continua a non vedere niente, idem il Prevx.

Speravo vivamente di risolvere con il ripristino del mbr ma evidentemente il problema è più grave del previsto

Cosa posso fare secondo voi??

Grazie a tutti!

PS: Questi sono i log pre-ripristino mbr di hijackthis e combofix:
- http://wikisend.com/download/468210/hijackthis.log
- http://wikisend.com/download/448712/ComboFix.txt

[wjmat]

Quote:

Originariamente inviato da Bukozzi

Salve a tutti,
purtroppo credo di essere vittima del MBR ROOTKIT.

Ho seguito la guida degli "infetti" passo passo, scaricando e inizializzando tool dopo tool, ma praticamente senza che nessuno di questi, o quasi, mi vedesse l'infezione.

Premetto che la mia infezione si manifesta creando cartelle/profili cloni di quella principale, chiamandole HelpAssistant.
Ovvero, in Document & Settings ho copie del mio account a dismisura, ogni riavvio della macchina è una nuova copia "HelpAssistant.NOMEUTENTE1" poi utente2 ecc ec.

Dopo aver passato ogni tipo di tool proposti nella guida del forum (anche quello della symantec specifico) senza riscontrare nulla, l'unico ad accorgersi di qualcosa (a parte me ) è stato, come dicevo, l'mbr.exe.

Ho provato a fare il fix con lui con mbr.exe -f ma il tool stesso mi ha poi risposto: "Use "Recovery Console" command "fixmbr" to clear infection !"

Bene, ho quindi preso il mio CD di Windows e, grazie alla guida di questo forum, ho ricostruito l'mbr.

Peccato che, dopo il riavvio e un nuovo passaggio di mbr.exe il problema non risulti debellato:
http://wikisend.com/download/476842/mbr.log

Ho provato a ripassare con il Symantec Tools ma continua a non vedere niente, idem il Prevx.

Speravo vivamente di risolvere con il ripristino del mbr ma evidentemente il problema è più grave del previsto

Cosa posso fare secondo voi??

Grazie a tutti!

PS: Questi sono i log pre-ripristino mbr di hijackthis e combofix:
- http://wikisend.com/download/468210/hijackthis.log
- http://wikisend.com/download/448712/ComboFix.txt

la prima fase prevede di caricare i log di gmer e prevx

i log di gmer e mbr possono rimanere sporchi anche dopo la pulizia

[wjmat]

Quote:

Originariamente inviato da diavolo80

si, ma anche con windows "nuovo", pulito, il pc mi si blocca dopo pochi minuti.....meno di un paio diciamo....quindi non riesco a farci nulla....

non riesce manco a completare per bene l'installazione di tutti i tool acer (eRecovery, ecc.....) che crea di default dopo una formattazione....

la modalità provvisoria funziona meglio?

[SCHUMINO]

Quote:

Originariamente inviato da Chill-Out

Dovevi disabilitare l'AV prima di la eseguire la rimozione gratutita F = free to cleanup, allega nuovo log di Prevx

Allora, ho rieseguito prevx e non mi ha trovato nulla. Allego cmq il log.

Ho proseguito con il MBR di cui allego i due log, non mi sembra che abbia pulito qualcosa....

prevx2.log

mbr1.txt

mbr2.txt

[wjmat]

Quote:

Originariamente inviato da SCHUMINO

Allora, ho rieseguito prevx e non mi ha trovato nulla. Allego cmq il log.

Ho proseguito con il MBR di cui allego i due log, non mi sembra che abbia pulito qualcosa....

prevx2.log

mbr1.txt

mbr2.txt

prosegui fino in fondo
il log di mbr può rimanere sporco anche se il rootkit non c'è più

[SCHUMINO]

Quote:

Originariamente inviato da wjmat

prosegui fino in fondo
il log di mbr può rimanere sporco anche se il rootkit non c'è più

ok proseguo.

allego il file log del symantec removal tool che sembra non abbia trovato nulla
FixMebroot.log

THANKS VERY MUCH

[Bukozzi]

Quote:

Originariamente inviato da wjmat

la prima fase prevede di caricare i log di gmer e prevx

i log di gmer e mbr possono rimanere sporchi anche dopo la pulizia

Scusami non ho capito quindi, faccio comunque una nuova scansione con Gmer e Prevx considerando che anche prima la pulizia cmq non segnalavano grandi cose?

Anche il fatto che dopo la pulizia i log di mbr possono rimanere sporchi non l'ho capito molto. Cancello il log di mbr e lo ripasso?

Eventualmente potrei vedere se sono ancora infetto semplicemente cancellando le directory clone che mi ha creato e vedere se le ricrea.

Grazie

[simo125]

Quote:

Originariamente inviato da Chill-Out

Procedi pure con la seconda fase

ho allegato un solo file mbr in quanto tutte e tre le prove con mbr.exe (sia modalità provvisoria, sia quella normale) restituivano la medesima schermata.
Posto anche il log filtrato di dr.web
http://wikisend.com/download/758702/cureit filtrato.txt
Alle richieste di dr.web di "curare" le minacce ho dato risposta affermativa, come letto nella guida; spero che tutto sia andato per il verso giusto.
grazie per l'attenzione

[Chill-Out]

Quote:

Originariamente inviato da simo125

ho allegato un solo file mbr in quanto tutte e tre le prove con mbr.exe (sia modalità provvisoria, sia quella normale) restituivano la medesima schermata.
Posto anche il log filtrato di dr.web
http://wikisend.com/download/758702/cureit filtrato.txt
Alle richieste di dr.web di "curare" le minacce ho dato risposta affermativa, come letto nella guida; spero che tutto sia andato per il verso giusto.
grazie per l'attenzione

Aggiorna Antivir, ripeti scansione completa ed allega il log.