Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[stelle]

Il log è completo , effettuato normarmente .
Cosa intendevi ?

[wjmat]

Quote:

Originariamente inviato da stelle

Il log è completo , effettuato normarmente .
Cosa intendevi ?

vedo eventi che vanno dal 23/10/09 al 30/10/09

[stelle]

Ho capito cosa intendevi, non vorrei che il log tenesse conto anche dei vecchi processi, oggi provo a cancellare i vecchi e rilancio tutto.
Ho fatto girare il norman malware sinowal remove , da provvisoria ,dopo 18 H , non mi ha trovato nessuna infezione ,bho.
Grazie di tutto

[Neofito]

ciao

grazie per la guida!

Il mio problema è che si crea ad ogni riavvio una copia della cartella Adminstrator in C/documents and settings. QUesta nuova cartella è chiamata HelpAssistant

Tutto il PC si è molto rallentato, soprattutto sull'esplorazione web. Spesso si blocca completamente e devo forzare lo spegnimento del PC.

Windows Live Messanger lancia un errore dopo 2 minuti dall'avvio

Quote:

Windows Live Communications Platform.
Si è verificato un errore in Windows Live Communications Platform. L'applicazione verrà chiusa.

Nella segnalazione di invio errore, dice

Quote:

AppName: wlcomm.exe AppVer: 14.0.8098.930 ModName: ntdll.dll
ModVer: 5.1.2600.3520 Offset: 00036f9b

ho eseguito gmer e prevx.
Quì i log

http://wikisend.com/download/494504/gmer.log

http://wikisend.com/download/585088/...rimo%20log.log

http://wikisend.com/download/674512/...ondo%20log.log

Prevx mi da questo file infetto, alla prima scansione (pre infezione) ma non me lo ridà dopo l'infezione.

Quote:

Originariamente inviato da Chill-Out

Mi consigliate di passare alla fase 2?

grazie

[wjmat]

Quote:

Originariamente inviato da stelle

Ho capito cosa intendevi, non vorrei che il log tenesse conto anche dei vecchi processi, oggi provo a cancellare i vecchi e rilancio tutto.
Ho fatto girare il norman malware sinowal remove , da provvisoria ,dopo 18 H , non mi ha trovato nessuna infezione ,bho.
Grazie di tutto

di nulla
ciao

[wjmat]

Quote:

Originariamente inviato da Neofito

ciao

grazie per la guida!

Il mio problema è che si crea ad ogni riavvio una copia della cartella Adminstrator in C/documents and settings. QUesta nuova cartella è chiamata HelpAssistant

Tutto il PC si è molto rallentato, soprattutto sull'esplorazione web. Spesso si blocca completamente e devo forzare lo spegnimento del PC.

Windows Live Messanger lancia un errore dopo 2 minuti dall'avvio



Nella segnalazione di invio errore, dice






ho eseguito gmer e prevx.
Quì i log

http://wikisend.com/download/494504/gmer.log

http://wikisend.com/download/585088/...rimo%20log.log

http://wikisend.com/download/674512/...ondo%20log.log

Prevx mi da questo file infetto, alla prima scansione (pre infezione) ma non me lo ridà dopo l'infezione.




Mi consigliate di passare alla fase 2?

grazie

ciao

prevx dobrebbe aver rimosso l'infezione
tu riscontri ancora problemi?

[Neofito]

Quote:

Originariamente inviato da wjmat

ciao

prevx dobrebbe aver rimosso l'infezione
tu riscontri ancora problemi?

dunque, la cartella HelpAssistant l'ho cancellata in modalità provvisoria e non è tornata più.
Anche messanger sembra funzionare. Però a me pare ancora lento.
Ma se uso comunque la fase 2, ci sono effetti collaterali?

[wjmat]

Quote:

Originariamente inviato da Neofito

dunque, la cartella HelpAssistant l'ho cancellata in modalità provvisoria e non è tornata più.
Anche messanger sembra funzionare. Però a me pare ancora lento.
Ma se uso comunque la fase 2, ci sono effetti collaterali?

seguila pure ma mbr non dobrebbe esserci più
fai anche la scansione con cureit della fase 3 che verifichiamo non ci sia dell'altro

[g_u_e_s_s]

Posto qui il mio dubbio, che è stato chiuso nell'altro post ( http://www.hwupgrade.it/forum/showthread.php?t=2076223 ):

avevo aperto un topic diverso, perchè non chiedevo informazioni su come rimuovere, bensì un chiarimento sulle conseguenze

ripeto comunque la domanda:
con una partizione Win e una Linux, con Grub nella partizione Linux.....
fixando il rootkit è possibile che vada persa almeno una delle due partizioni?

Grazie a chi risponderà

[Neofito]

allora,

il log di MBR è questo

http://wikisend.com/download/521138/mbr.log

ma è così breve che lo posso riportare anche quì

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A18AC1
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA

e pare che abbia trovato un malicious code...


quì c'è il Norman SinowalMBR Cleaner, che pare non aver trovato nulla

http://wikisend.com/download/607136/...2_17-28-32.log

ed infine il Cure.it

http://wikisend.com/download/958684/CureIt.log

che pare abbia trovato solo file componenti di prevx.



e per questo non li ho rimossi. Cosa ne pensate?

[Chill-Out]

Quote:

Originariamente inviato da Neofito

allora,

il log di MBR è questo

http://wikisend.com/download/521138/mbr.log

ma è così breve che lo posso riportare anche quì

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A18AC1
malicious code @ sector 0x012A18AC4 !
PE file found in sector at 0x012A18ADA

e pare che abbia trovato un malicious code...


quì c'è il Norman SinowalMBR Cleaner, che pare non aver trovato nulla

http://wikisend.com/download/607136/...2_17-28-32.log

ed infine il Cure.it

http://wikisend.com/download/958684/CureIt.log

che pare abbia trovato solo file componenti di prevx.



e per questo non li ho rimossi. Cosa ne pensate?

Sei pulito indipendentemente dal log di Stealth MBR rootkit/Mebroot/Sinowal detector, con CureIt sei sicuro di aver fatto scansione completa.

[Neofito]

Quote:

Originariamente inviato da Chill-Out

Sei pulito indipendentemente dal log di Stealth MBR rootkit/Mebroot/Sinowal detector, con CureIt sei sicuro di aver fatto scansione completa.

meno male, grazie mille.

Mi chiedo chi e perchè si impegna a creare cose che crano problemi alla gente... ma saranno gli stessi che poi creano i programmi di pulizia?

[Chill-Out]

Quote:

Originariamente inviato da Neofito

meno male, grazie mille.

Mi chiedo chi e perchè si impegna a creare cose che crano problemi alla gente... ma saranno gli stessi che poi creano i programmi di pulizia?

No

Ciao

[giusyp87]

Ciao a tutti! Mi chiamo Giusy e credo di aver beccato un rootkit..questo è quello che il mio antivirus (Avira) ha trovato:

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[NOTA] Il settore di avvio non è stato riparato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[NOTA] Il settore di avvio non è stato riparato!
Record di avvio 'F:\'
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[NOTA] Il settore di avvio non è stato riparato!

Facendo delle ricerche su internet sono arrivata a voi, spero che possiate aiutarmi!! Per ora vi posto i log relativi alla prima fase!

LOG Gmer.txt
LOG Prevx.log

Questo è uno screen dell'infezione trovata da Prevx..che purtroppo richiede la licenza!

Edit

[wjmat]

Quote:

Originariamente inviato da giusyp87

Ciao a tutti! Mi chiamo Giusy e credo di aver beccato un rootkit..questo è quello che il mio antivirus (Avira) ha trovato:

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[NOTA] Il settore di avvio non è stato riparato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[NOTA] Il settore di avvio non è stato riparato!
Record di avvio 'F:\'
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[NOTA] Il settore di avvio non è stato riparato!

Facendo delle ricerche su internet sono arrivata a voi, spero che possiate aiutarmi!! Per ora vi posto i log relativi alla prima fase!

LOG Gmer.txt
LOG Prevx.log

Questo è uno screen dell'infezione trovata da Prevx..che purtroppo richiede la licenza!

http://i34.tinypic.com/2nv5rmp.png

ciao

non mi sembra di vedere mbr rootkit nei log, segui la fase 3 e vediamo se cureit elimina il file segnalato da prevx

[giusyp87]

Quote:

Originariamente inviato da wjmat

ciao

non mi sembra di vedere mbr rootkit nei log, segui la fase 3 e vediamo se cureit elimina il file segnalato da prevx

Ciao, grazie per la risposta!
Ho effettuato una scansione con cureit, questo è il log!

cureit.log

[wjmat]

Quote:

Originariamente inviato da giusyp87

Ciao, grazie per la risposta!
Ho effettuato una scansione con cureit, questo è il log!

cureit.log

non mi sembra tu abbia fatto la scansione completa
il log inoltre sarà più pesante e dovrai filtrarlo come indicato

[frogger]

Quote:

Originariamente inviato da Chill-Out

Sei pulito indipendentemente dal log di Stealth MBR rootkit/Mebroot/Sinowal detector, con CureIt sei sicuro di aver fatto scansione completa.

sto ripulendo il pc di un amico e penso di essere nella stessa situazione di neofito
in attesa che drweb finisca la scansione completa mi preoccupa la voce di mbr rootkit sul codice maligno ancora nel mbr (ho fatto un paio di volte l'mbrfix dalla console di ripristino)

può essere che drweb sia un pelo troppo aggressivo?
possibile che abbia trovato un trojan nell'installer di una vecchia versione di spywareblaster?

ma la cosa che mi preoccupa di più e come sto pc si sia infettato in questa maniera... antivir è stato inutile
che dite posso rimuovere da questo pc spybot? a me sembra tanto inutile.. personalmente non m'ha mai aiutato quando c'erano problemi su pc infetti

ps.
anche qui c'è l'account helpassistant
la devo rimuovere?

[wukassa]

Ciao a tutti!
Qualche problemino col pc mi ha portato qui da voi.
Persone diverse accedono a questo pc con profili diversi e volevo capire se la prima fase della guida può essere eseguita da uno qualsiasi di questi profili.

La cartella helpassistant che viene ricreata ogni volta è la copia di uno dei profili esistenti. E' una scelta che viene fatta casualmente o a a che fare con l'utente che si è beccato il problema? Tra l'altro se accedo col mio account il pc si blocca, mentre se prima accedo con un altro e in seguito col mio va tutto liscio.

Comunque ecco i due log...."purtroppo" mi pare che sia tutto pulito (prevx ha trovato un problema che ho rimosso anche se in realtà non credo fosse davvero un worm). Dico purtroppo perchè i sintomi da infezione ci sono tutti.
Cercando di non far apparire la cartella helpassistant giorni fa avevo disabilitato assistenza e desktop remoto dai servizi. La butto lì...può essere per quello che non trova niente?

log gmer http://wikisend.com/download/920632/gmer.txt
log prevx http://wikisend.com/download/496384/prevx.txt

Grazie!

[wjmat]

Quote:

Originariamente inviato da wukassa

Ciao a tutti!
Qualche problemino col pc mi ha portato qui da voi.
Persone diverse accedono a questo pc con profili diversi e volevo capire se la prima fase della guida può essere eseguita da uno qualsiasi di questi profili.

La cartella helpassistant che viene ricreata ogni volta è la copia di uno dei profili esistenti. E' una scelta che viene fatta casualmente o a a che fare con l'utente che si è beccato il problema? Tra l'altro se accedo col mio account il pc si blocca, mentre se prima accedo con un altro e in seguito col mio va tutto liscio.

Comunque ecco i due log...."purtroppo" mi pare che sia tutto pulito (prevx ha trovato un problema che ho rimosso anche se in realtà non credo fosse davvero un worm). Dico purtroppo perchè i sintomi da infezione ci sono tutti.
Cercando di non far apparire la cartella helpassistant giorni fa avevo disabilitato assistenza e desktop remoto dai servizi. La butto lì...può essere per quello che non trova niente?

log gmer http://wikisend.com/download/920632/gmer.txt
log prevx http://wikisend.com/download/496384/prevx.txt

Grazie!

ciao

non mi sembra di vedere mbr nei log

fai la scansione con cureit che trovi nella 3° fase

fai controllare su www.virustotal.com e su http://virscan.org/

Codice:

c:\windows\downloaded program files\iphonactrl.dll

Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollali nella discussione
Se ti verrà segnalato che il file è già stato controllato, fallo analizzare comunque perchè le firme virali dei vari motori di scansione potrebbero essere stati aggiornati.

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema