Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[genna84]

ma formattando un hd a basso livello della wd con il suo software apposito...e lo uso per clonarci(con ghost 11) dentro l'hd con questo virus helpassistant(su questo hd ho gia' usato combo,malwarebytes)...me lo porto con me l'mbr infettato???

[Mr.Buck]

Quote:

Originariamente inviato da Chill-Out

Passa alla Terza Fase, attendiamo il log di CureIt per il controllo.

Allora ho lanciato CureIt, che come vedrai dal log semplificato mi ha trovato il virus nel master boot del secondo HD. Dopo la scansione non ho porvato ad eliminare il virus (con o senza riavvio) come chiesto da CureIt. Che faccio ?
Provo?

Grazie mille.

Log CureIt filtrato http://wikisend.com/download/565618/

[footix84]

Ciao a tutti,

innanzitutto grazie per la guida che sto cercando faticosamente di seguire (si impalla tutto), volevo chiedervi consiglio intanto, perchè temo mi ci vorranno giorni..

Innanzitutto vi elenco i problemi che mi ha dato il pc (portatile):

a) Crash di Mozilla Firefox e Internet Explorer;

b) Spegnimento non regolare (si bloccava su spegnimento in corso)

c) Non andava in stand-by

d) Mi indicava "spazio libero insufficiente" quando invece ci doveva essere almeno 1 Gb.

Andando un po' alla cieca, e cercando info su internet, ho letto che poteva trattarsi di un virus che aveva infettato il rundll32 e così ho disattivato alcune opzioni da msconfi nella sezione dell'avvio. Da quel momento si è spento regolarmente.

Con una scansione con avira antivir mi ha rilevato il virus BOO Sinowall.E e ho seguito una guida simile alla seconda parte della vostra, in cui alla fine mi dicevano di rimuovere il virus col fixMebroot della Symantec. Facendo quelle operazioni il pc è tornato a funzionare regolarmente, anche se il fix non aveva trovato nulla, ma da allora avira non ha detto più nulla..

Tuttavia ieri sera (dopo una settimana di normalità, in cui però non ho spento il pc ma l'ho sempre messo in standby) si sono ripresentati i soliti problemi, anzi, il tutto è iniziato con un riavvio anomalo automatico e da allora:
- Crash di mozilla
- A tratti spazio insufficiente su HD
- Pc parzialmente impallato
Stavolta standby regolare, e avira antivir non ha trovato nulla.

Siccome ho due sistemi operativi (uno XP dove è il problema) e l'altro vista, ho provato ad eseguire la scansione da Vista, ma non ha comunque rilevato nulla. Ho provato a far girare gmer da Vista, ma non ha trovato voci "rosse".

Sono poi riuscito (in verità senza problemi) a far girare gmer una prima volta da Xp senza trovare voci rosse da nessuna parte. Non ho pensato di salvare il log. Quando poi ho seguito la vostra guida però, gmer ci ha messo 3 ore a fare la scansione e al momento di salvare il log si è crashato tutto.

Altra ed ultima cosa: ho provato dapprimare ad usare cureit e per ben due volte crash e riavvio del sistema.

Insomma, mi sa che sono un caso davvero disperato..

In questo momento sto provando una scansione con Prevx dopo aver fallito quella con gmer..

Grazie a tutti della disponibilità!

[grace75]

Avira ha fatto giustizia del trojan (più altri dieci o dodici che Cureit, Prevx e gli altri programmi non avevano rilevato).
Grazie per le guide esaustive ed utilissime e un grazie particolare a vjmat per la disponibilità e la gentilezza!

Grace

[Chill-Out]

Quote:

Originariamente inviato da Mr.Buck

Allora ho lanciato CureIt, che come vedrai dal log semplificato mi ha trovato il virus nel master boot del secondo HD. Dopo la scansione non ho porvato ad eliminare il virus (con o senza riavvio) come chiesto da CureIt. Che faccio ?
Provo?

Si, dopodichè configura Antivir come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 lo aggiorni, ripeti scansione completa ed alleghi il log.

[Chill-Out]

Quote:

Originariamente inviato da grace75

Avira ha fatto giustizia del trojan (più altri dieci o dodici che Cureit, Prevx e gli altri programmi non avevano rilevato).
Grazie per le guide esaustive ed utilissime e un grazie particolare a vjmat per la disponibilità e la gentilezza!

Grace

Sicura di aver fatto scansione completa con CureIt?

[g_u_e_s_s]

Quote:

Originariamente inviato da Chill-Out

Segui il suggerimento dato da wjmat, mi raccomando utilizza il PC solo ed esclusivamente per portare a termine la procedura di disinfezione onde evitare di scaricare altro codice nocivo.

ok!
grazie a wjmat e anche a te Chill-Out!!

Stasera faccio il controllo con CureIt, e poi vi posto il risultato!!
grazie per l'aiuto!

[albys]

Ciao colleghi Rootkittati!

Ieri sera ho contratto uno o più virus navigando.
Di colpo ho sentito l'hard disk ravanare di brutto e una improvvisa finestrella di explorer con una fatale scritta "...updating" comparire e subito scomparire.
Poco dopo si è impallato tutto con un suono sinistro dall'hardware e ho dovuto resettare.
Al riavvio non funzionavano più Outlook express e IE, mentre Firefox andava a tratti ma poi si impallava e l'hard disk friggeva di continuo.
Fra un crash e l'altro riesco a scaricare e installare l'antivirus di Microsoft (Security Essential ) visto che ho deciso di mandare a quel paese quel cavolo di AVG che mai mi ha bloccato un virus.
L'antivirus di Microsoft mi trova ed elimina il Trojan Downloader Win32/Matcash.gen!A
Bene, mi dico.
Però il pc ha ancora problemi, outlook express funziona a strappi mentre explorer ancora no.
Inoltre c'è la fatidica cartella HelpAssistant in C:\Documents and settings.

Convinto anche e soprattutto dalle vostre splendide discussioni di avere imbarcato un MBR rootkit, scarico mbr.exe e lo avvio da modalità provvisoria.
Infatti, eccolo lì nel mbr.log (ve lo copio qui perché sono davvero corti, se non dovevo farlo lo stesso mi scuso e non lo farò più! ):

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
copy of MBR has been found in sector 0x02542D6C1
malicious code @ sector 0x02542D6C4 !
PE file found in sector at 0x02542D6DA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Eseguo il comando C:\mbr.exe -f sempre da modalità provvisoria e alla fine il log mi dice bene:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
copy of MBR has been found in sector 0x02542D6C1
malicious code @ sector 0x02542D6C4 !
PE file found in sector at 0x02542D6DA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

Riavvio e il pc funziona normalmente, tutto è tornato ad andare regolarmente. Sto facendo girare il Normal SinowalMBR cleaner (da 1 ora) per darvi anche questo suo log.
Ma posso già dirvi che nei bootsectors non ha trovato nulla.

Se anche questo programma non trova nulla posso considerarmi pulito anche se la cartella HelpAssistant è lì ancora in Documents and settings?
Devo comunque eliminarla, vero?
E lo faccio manualmente da modalità provvisoria o anche da windows normale?

Grazie, siete grandi!

[Chill-Out]

Sarebbe opportuno allegare i log della PRIMAFASE su uno dei Server Remoti indicati in Guida

PS: per quanto concerne HelpAssistant verifica prima in Pannello di controllo - Account utente se presente l'account HelpAssistant

[albys]

Quote:

Originariamente inviato da Chill-Out

Sarebbe opportuno allegare i log della PRIMAFASE su uno dei Server Remoti indicati in Guida

PS: per quanto concerne HelpAssistant verifica prima in Pannello di controllo - Account utente se presente l'account HelpAssistant

In pannello di controllo - account utente ho soltanto il mio normale e poi uno chiamato Guest, con sotto scritto Account Guest non attivato.
Non c'è altro.
Significa che posso quindi cancellare la cartella intera HelpAssistant?


Per quanto riguarda i log della prima fase, purtroppo non li ho perchè Gmer mi crashava durante lo scan, e PrevX3.0 non sono riuscito a scaricarlo perchè non mi funzionava più internet.
Sono quindi dovuto passare direttamente a mbr.exe, che ero riuscito a scaricare.
Ecco i log di Normal SinowalMBR cleaner http://wikisend.com/download/605846/...5_20-10-08.txt
e di Prevx 3.0 http://wikisend.com/download/715858/Prevx 3.0.txt
fatti entrambi dopo la disinfestazione.

Posso considerarmi a posto?
(nota: Prevx 3.0 ha trovato come infetto texmod, ma è un falso allarme, è un programmino per modificare textures nei giochi che uso da 1 anno e che è notoriamente rilevato sospetto da molti antiv. ma è sano)
E posso/devo cancellare la cartella HelpAssistant?

Grazie!

[grace75]

Quote:

Originariamente inviato da Chill-Out

Sicura di aver fatto scansione completa con CureIt?

Sì, ho fatto sia la scansione superficiale, sia quella completa, e CureIt non rileva più nulla! E' il caso che faccia qualche altro test o sono a posto?

[Chill-Out]

Quote:

Originariamente inviato da albys

In pannello di controllo - account utente ho soltanto il mio normale e poi uno chiamato Guest, con sotto scritto Account Guest non attivato.
Non c'è altro.
Significa che posso quindi cancellare la cartella intera HelpAssistant?


Per quanto riguarda i log della prima fase, purtroppo non li ho perchè Gmer mi crashava durante lo scan, e PrevX3.0 non sono riuscito a scaricarlo perchè non mi funzionava più internet.
Sono quindi dovuto passare direttamente a mbr.exe, che ero riuscito a scaricare.
Ecco i log di Normal SinowalMBR cleaner http://wikisend.com/download/605846/...5_20-10-08.txt
e di Prevx 3.0 http://wikisend.com/download/715858/Prevx 3.0.txt
fatti entrambi dopo la disinfestazione.

Posso considerarmi a posto?
(nota: Prevx 3.0 ha trovato come infetto texmod, ma è un falso allarme, è un programmino per modificare textures nei giochi che uso da 1 anno e che è notoriamente rilevato sospetto da molti antiv. ma è sano)
E posso/devo cancellare la cartella HelpAssistant?

Grazie!

Per scrupolo fai scansione con Cureit ed allega il log, mentre per HelpAssistant procedi così:

Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer

Utenti - tasto dx del mouse su HelpAssistant e disabilitalo

[Chill-Out]

Quote:

Originariamente inviato da grace75

Sì, ho fatto sia la scansione superficiale, sia quella completa, e CureIt non rileva più nulla! E' il caso che faccia qualche altro test o sono a posto?

Dal log non sembrava, comunque direi che siamo ok

[cagnaluia]

Codice:

C:\>mbr.exe -f
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x85b65b00
NDIS: Intel(R) PRO/100 VE Network Connection -> SendCompleteHandler -> 0x85ba220
0
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

C:\>

ho provato con mbr.exe -f

ma non capisco se è andato a buon fine...

Norman non trova niente...
PrevX trova ma non corregge...

[wjmat]

Quote:

Originariamente inviato da genna84

ma formattando un hd a basso livello della wd con il suo software apposito...e lo uso per clonarci(con ghost 11) dentro l'hd con questo virus helpassistant(su questo hd ho gia' usato combo,malwarebytes)...me lo porto con me l'mbr infettato???

ciao

con la formattazione a basso livello mbr sparisce

[wjmat]

Quote:

Originariamente inviato da grace75

Avira ha fatto giustizia del trojan (più altri dieci o dodici che Cureit, Prevx e gli altri programmi non avevano rilevato).
Grazie per le guide esaustive ed utilissime e un grazie particolare a vjmat per la disponibilità e la gentilezza!

Grace

di nulla
ciao

[Chill-Out]

Quote:

Originariamente inviato da cagnaluia

Codice:

C:\>mbr.exe -f
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x85b65b00
NDIS: Intel(R) PRO/100 VE Network Connection -> SendCompleteHandler -> 0x85ba220
0
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

C:\>

ho provato con mbr.exe -f

ma non capisco se è andato a buon fine...

Norman non trova niente...
PrevX trova ma non corregge...

Sembrerebbe di si, allega il log di Gmer e Prevx esattamente come indicato nella PRIMA FASE

[wjmat]

Quote:

Originariamente inviato da cagnaluia

Codice:

C:\>mbr.exe -f
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x85b65b00
NDIS: Intel(R) PRO/100 VE Network Connection -> SendCompleteHandler -> 0x85ba220
0
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

C:\>

ho provato con mbr.exe -f

ma non capisco se è andato a buon fine...

Norman non trova niente...
PrevX trova ma non corregge...

carica tutti i log

[Babbilu]

Ciao mi chiamo Andrea e sono nuovo, ho seguito le prima fase come hai detto e ti allego i link dei log che ho uplodato su wikisend

GMER
http://wikisend.com/download/496756/log gmer.txt

PREVX
http://wikisend.com/download/564464/log prevx3.log

piccolo intoppo però...in prevx non ho potuto fare il "freecleanup" perchè mi richiedeva sempre la licenza e in più la stringa estratta per il file MBR non mi compare?! ma io so che è lui il virus del mio computer...se ti può essere d'aiuto qualche giorno fa ho cancellato un'altro virus "della stessa razza" che è il csrcs.exe ...

bho spero mi puoi aiutare che il pc mi sta diventando sempre più lento

[wjmat]

Quote:

Originariamente inviato da Babbilu

Ciao mi chiamo Andrea e sono nuovo, ho seguito le prima fase come hai detto e ti allego i link dei log che ho uplodato su wikisend

GMER
http://wikisend.com/download/496756/log gmer.txt

PREVX
http://wikisend.com/download/564464/log prevx3.log

piccolo intoppo però...in prevx non ho potuto fare il "freecleanup" perchè mi richiedeva sempre la licenza e in più la stringa estratta per il file MBR non mi compare?! ma io so che è lui il virus del mio computer...se ti può essere d'aiuto qualche giorno fa ho cancellato un'altro virus "della stessa razza" che è il csrcs.exe ...

bho spero mi puoi aiutare che il pc mi sta diventando sempre più lento

ciao

procedi con 2 e 3 fase