Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da Mr.Buck

Salve,

innanzitutto complimenti per il servizio utilissimo che date, siete veramente eccezionali

Circa un mese fa mi accorgo che di punto in bianco il computer (un portatile vaio) da di matto. Non va piu niente, tutto si blocca.
Oramai disperato (stavo per andare a cambiare la scheda madre!) aggiorno Avira che mi da il messaggio del virus rootkit, il famigerato BOO/Sinowal.E.
Trovo questa immensa guida, faccio partire Prevx che immediatamente trova il virus e riesco ad eliminarlo. Il computer si riprende. Esulto.....per poco .
Il computer in effetti si è ripreso ma a cadenza costante l'hard disk inizia a dare dei tichettii costanti, insomma capisco che qualcosa li dentro duole ancora .

Riscansione tutto con Avira aggiornato che mi ritrova lo stesso rootkit nell'altra partizione dell'HD principale D: (credo di comprendere dal log) e su entrambe le partizione del secondo HD sempre presente nel portatile H:, I:

Prevx, essendo la versione free lavora solo su C: e infatti dal log (che vi allego) non risulta nulla.

Per precisione Avira trova nel "record master di avvio" il virus in Hard Disk 1 (sarebbe?) e poi lo trova nei "record di avvio" in H: e I: avvisandomi che "il record non è stato scritto!"

Come da vostra indiczione sono ripartito con Prevx (che non mi ha trovato niente) e con Gmer (non capisco se ha trovato qualcosa)

Prima di passare all fase 2 vi posto i log.
Ancora Grazie

Avira Log http://wikisend.com/download/485008/

Prevx Log http://wikisend.com/download/556748/

Gmer Log http://wikisend.com/download/933212/

Gmer e Prevx sono ok, passa alla SECONDA FASE

NB: per quanto concerne Norman aggiungi al controllo tutti i dischi

[Chill-Out]

Quote:

Originariamente inviato da Arcangelo_88

Ah ho capito e quindi secondo te da cosa potrebbe dipendere il problema?probabilmente già lo sai ma praticamente nn riesco ad entrare su msn xkè mi da l'errore di platform e mi rallenta anke internet...navigando ho riscontrato ke questi problemi erano dovuti al MBR ROOTKIT.
In pratica l'esecuzione del programma va in contrasto con un file chiamato ntdll.dll, e che in base a questo file sono risalito a questo scontro dovuto dal rootkit.Non ci capisco più niente uff...

I problemi che lamenti hanno poca attinenza con il Rootkit in questione, l'impossibilità ad accedere a MSN in merito a questa libreria di sistema ntdll.dll dipendono da altro.

[Arcangelo_88]

Quote:

Originariamente inviato da Chill-Out

I problemi che lamenti hanno poca attinenza con il Rootkit in questione, l'impossibilità ad accedere a MSN in merito a questa libreria di sistema ntdll.dll dipendono da altro.

va bene grazie comunque x l'aiuto...cercherò di rimediare in altro modo

[wukassa]

Quote:

Originariamente inviato da wjmat

il log è pulito
non so da dove avevi diagnosticato l'infezione...

evidentemente ho preso un abbaglio. su un sito ho letto che un'errore che ho trovato nel registro eventi (wlcomm.exe con ntdll.dll), oltre al rallentamento del pc e difficoltà nello spegnimento potevano essere dovuti a mbr rootkit.

Sono nella stessa situazione di Arcangelo_88 a cui ha appena risposto Chill-Out.
Idee???
Grazie comunque per l'aiuto!

[wjmat]

Quote:

Originariamente inviato da wukassa

evidentemente ho preso un abbaglio. su un sito ho letto che un'errore che ho trovato nel registro eventi (wlcomm.exe con ntdll.dll), oltre al rallentamento del pc e difficoltà nello spegnimento potevano essere dovuti a mbr rootkit.

Sono nella stessa situazione di Arcangelo_88 a cui ha appena risposto Chill-Out.
Idee???
Grazie comunque per l'aiuto!

ntdll.dll per esempio è relativa alla scheda video io chiederei nella sezione windows o schede video

[g_u_e_s_s]

eccomi, finalmente riesco a postare i log di Gmer e Prevx, come descritto nel primo passo della guida....

Gmer_log.txt

Prevx_prima.txt
Prevx_dopo.txt

questa è l'ultima schermata di Prevx.....devo comprare una licanza!??!
ditemi di no....
Prevx_shot.png

Grazie per l'aiuto!

[Mr.Buck]

Quote:

Originariamente inviato da Chill-Out

Gmer e Prevx sono ok, passa alla SECONDA FASE

NB: per quanto concerne Norman aggiungi al controllo tutti i dischi

Ok seconda fase eseguita, di seguito i log (speriamo bene)

log mbr http://wikisend.com/download/460038/

log Norman http://wikisend.com/download/502476/

Ancora Grazie

[wjmat]

Quote:

Originariamente inviato da g_u_e_s_s

eccomi, finalmente riesco a postare i log di Gmer e Prevx, come descritto nel primo passo della guida....

Gmer_log.txt

Prevx_prima.txt
Prevx_dopo.txt

questa è l'ultima schermata di Prevx.....devo comprare una licanza!??!
ditemi di no....
Prevx_shot.png

Grazie per l'aiuto!

ciao

prevx ha fatto il suo dovere per la parte inerente a mbr
passa alla terza fase e vediamo se cureit trova infette le altre voci rilevate da prevx

[Chill-Out]

Quote:

Originariamente inviato da g_u_e_s_s

eccomi, finalmente riesco a postare i log di Gmer e Prevx, come descritto nel primo passo della guida....

Gmer_log.txt

Prevx_prima.txt
Prevx_dopo.txt

questa è l'ultima schermata di Prevx.....devo comprare una licanza!??!
ditemi di no....
Prevx_shot.png

Grazie per l'aiuto!

Quote:

Originariamente inviato da wjmat

ciao

prevx ha fatto il suo dovere per la parte inerente a mbr
passa alla terza fase e vediamo se cureit trova infette le altre voci rilevate da prevx

Segui il suggerimento dato da wjmat, mi raccomando utilizza il PC solo ed esclusivamente per portare a termine la procedura di disinfezione onde evitare di scaricare altro codice nocivo.

[Chill-Out]

Quote:

Originariamente inviato da Mr.Buck

Ok seconda fase eseguita, di seguito i log (speriamo bene)

log mbr http://wikisend.com/download/460038/

log Norman http://wikisend.com/download/502476/

Ancora Grazie

Passa alla Terza Fase, attendiamo il log di CureIt per il controllo.

[grace75]

Ciao a tutti.
Anche i miei pc sono stati infettati, ma mi ritrovo con un problema che non riesco a risolvere. Ho ripulito il portatile seguendo le istruzioni della vostra guida (fantastica, aggiungo), e il processo è andato a buon fine al primo colpo.
Diverso il discorso per il pc fisso (winXP pro con licenza e cd di installazione disponibili)

Alla fase 1 mi ritrovo con gli stessi problemi segnalati al portatile da Gmer, mentre Prevx non trova il rootkit, e invece segnala un altro virus che non mi permette di ripulire:

- log gmer
- log prevx

Ho provato comunque ad eseguire la procedura di pulizia:

- log mbr
- log norman cleaner

Ma quando ho provato a fare la scansione di controllo, Gmer trova di nuovo il rootkit e CureIt individua altri file potenzialmente infetti, che però sono i file messi in quarantena da Prevx, o almeno così mi pare di capire.

- scansione di controllo gmer
- log cureit

Ergo... che faccio?
Grazie infinite a chiunque mi darà lumi...

Grace

[wukassa]

Quote:

Originariamente inviato da wjmat

ntdll.dll per esempio è relativa alla scheda video io chiederei nella sezione windows o schede video

per non parlare della cartella helpassistant che riappare ad ogni riavvio anche se ho disabilitato assistenza e desktop remoto!

[Mr.Buck]

Quote:

Originariamente inviato da Chill-Out

Passa alla Terza Fase, attendiamo il log di CureIt per il controllo.

Allora ho lanciato CureIt, che come vedrai dal log semplificato mi ha trovato il virus nel master boot del secondo HD. Dopo la scansione non ho porvato ad eliminare il virus (con o senza riavvio) come chiesto da CureIt. Che faccio ?
Provo?

Grazie mille.

Log CureIt filtrato http://wikisend.com/download/565618/

[cagnaluia]

domanda: se io ho collegato via USB il disco affetto da virus sul MBR.. in un altro PC

quindi non più a caldo sul portatile o sul pc... cosa devo fare?

[wjmat]

Quote:

Originariamente inviato da cagnaluia

domanda: se io ho collegato via USB il disco affetto da virus sul MBR.. in un altro PC

quindi non più a caldo sul portatile o sul pc... cosa devo fare?

ciao
Fai una scansione con Norman Sinowal Cleaner che trovi qui
Lancialo -> Accetta le condizioni
Sotto scan area seleziona C:\*.* e clicca su Remove, idem per altre eventuali lettere, relative ad altre partizioni (ci interessa solo la scansione della MBR)
Clicca su Start scan e attendi la scansione
In caso trovi l'infezione riavvia il pc se richiesto
Al termine allega il log NFix_xxxxxx.txt che trovi sul desktop secondo le modalità

[cagnaluia]

Quote:

Originariamente inviato da wjmat

ciao
Fai una scansione con Norman Sinowal Cleaner che trovi qui
Lancialo -> Accetta le condizioni
Sotto scan area seleziona C:\*.* e clicca su Remove, idem per altre eventuali lettere, relative ad altre partizioni (ci interessa solo la scansione della MBR)
Clicca su Start scan e attendi la scansione
In caso trovi l'infezione riavvia il pc se richiesto
Al termine allega il log NFix_xxxxxx.txt che trovi sul desktop secondo le modalità

però.. questo se ho il disco con windows sopra... acceso.



io ho il disco in mano...

[wjmat]

Quote:

Originariamente inviato da grace75

Ciao a tutti.
Anche i miei pc sono stati infettati, ma mi ritrovo con un problema che non riesco a risolvere. Ho ripulito il portatile seguendo le istruzioni della vostra guida (fantastica, aggiungo), e il processo è andato a buon fine al primo colpo.
Diverso il discorso per il pc fisso (winXP pro con licenza e cd di installazione disponibili)

Alla fase 1 mi ritrovo con gli stessi problemi segnalati al portatile da Gmer, mentre Prevx non trova il rootkit, e invece segnala un altro virus che non mi permette di ripulire:

- log gmer
- log prevx

Ho provato comunque ad eseguire la procedura di pulizia:

- log mbr
- log norman cleaner

Ma quando ho provato a fare la scansione di controllo, Gmer trova di nuovo il rootkit e CureIt individua altri file potenzialmente infetti, che però sono i file messi in quarantena da Prevx, o almeno così mi pare di capire.

- scansione di controllo gmer
- log cureit

Ergo... che faccio?
Grazie infinite a chiunque mi darà lumi...

Grace

ciao

se l'infezione è stata precedentemente rimossa il log di gmer rimarrà sempre sporco
cureit segnala solo parti di prevx quindi tutto ok

fai controllare su www.virustotal.com e su http://virscan.org/
il file che ti segnala prevx

Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollali nella discussione
Se ti verrà segnalato che il file è già stato controllato, fallo analizzare comunque perchè le firme virali dei vari motori di scansione potrebbero essere stati aggiornati.

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema

[wjmat]

Quote:

Originariamente inviato da cagnaluia

però.. questo se ho il disco con windows sopra... acceso.
io ho il disco in mano...

se è esterno aggiungi l'indirizzo dell'unità

[cagnaluia]

Quote:

Originariamente inviato da wjmat

se è esterno aggiungi l'indirizzo dell'unità

ottimo..

però leggerà anche l'MBR ??


voglio dire.. se io aggiungo l'unità, si vedranno solo quelle visibili...
Qualche partizione invece può essere invisibile.. e l'MBR? come fa a leggerla....

[grace75]

Quote:

Originariamente inviato da wjmat

ciao

se l'infezione è stata precedentemente rimossa il log di gmer rimarrà sempre sporco
cureit segnala solo parti di prevx quindi tutto ok

fai controllare su www.virustotal.com e su http://virscan.org/
il file che ti segnala prevx

Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollali nella discussione
Se ti verrà segnalato che il file è già stato controllato, fallo analizzare comunque perchè le firme virali dei vari motori di scansione potrebbero essere stati aggiornati.

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema

Grazie infinite per la dritta.
Virus Total mi dà questo risultato;

Virscan invece quest'altro.

Suggerimenti? (Nel frattempo sto rimuovendo Avast e installando Avira sul portatile. Appena sistemato il fisso lo farò anche su quello).
Grazie ancora!