Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[albys]

Chill-Out, ho fatto come mi hai detto e ho riavviato il pc.
Purtroppo la cartella HelpAssistant c'è ancora.
Andando col solito percorso nelle sue proprietà ora non c'è più Administrators nel quadrante bianco; non c'è nulla. e l'utente risulta ancora disabilitato.
Però sta accidenti di cartella non se ne vuole andare...

Devo rimuoverla manualmente o fare altro?

[Chill-Out]

Quote:

Originariamente inviato da albys

Chill-Out, ho fatto come mi hai detto e ho riavviato il pc.
Purtroppo la cartella HelpAssistant c'è ancora.
Andando col solito percorso nelle sue proprietà ora non c'è più Administrators nel quadrante bianco; non c'è nulla. e l'utente risulta ancora disabilitato.
Però sta accidenti di cartella non se ne vuole andare...

Devo rimuoverla manualmente o fare altro?

Mi alleghi uno screenshot, utilizzando http://www.imageshack.us/

[albys]

Quote:

Originariamente inviato da Chill-Out

Mi alleghi uno screenshot, utilizzando http://www.imageshack.us/

Certo, ecco tutto nel dettaglio:

[Chill-Out]

Quote:

Originariamente inviato da albys

Certo, ecco tutto nel dettaglio:

Ok, mi indichi il peso della cartella Helpassistant in Documents and Settings

[albys]

Cartella HelpAssistant:
Dimensioni: 547 MB
Dimensioni su disco : 615 MB
Contenuto: 27515 files, 1395 cartelle

(la cartella del mio profilo personale è 10 giga)

[Chill-Out]

Quote:

Originariamente inviato da albys

Cartella HelpAssistant:
Dimensioni: 547 MB
Dimensioni su disco : 615 MB
Contenuto: 27515 files, 1395 cartelle

(la cartella del mio profilo personale è 10 giga)

Dire che possiamo eliminarla, riavvia il Pc e vediamo se ricrea (non dovrebbe) se succede evidentemente c'è un problema.

[mauri966]

Ciao, Avira mi ha trovato sul record master di avvio il seguente virus BOO/SINOWAL.E
ho seguito le istruzioni qui riportate ed allego i report avuti dopo la prima fase:

http://wikisend.com/download/590852/report gmer.txt
http://wikisend.com/download/445740/prevx pre-rimozione.log
http://wikisend.com/download/950506/prevx post-rimozione.log

sembra che il virus sia stato rimosso ed ho fatto una nuova scansione con Avira che non mi ha più trovato il virus.
Devo procedere comunque con la seconda fase?
Grazie per il vostro supporto

[xcdegasp]

Quote:

Originariamente inviato da mauri966

Ciao, Avira mi ha trovato sul record master di avvio il seguente virus BOO/SINOWAL.E
ho seguito le istruzioni qui riportate ed allego i report avuti dopo la prima fase:

http://wikisend.com/download/590852/report gmer.txt
http://wikisend.com/download/445740/prevx pre-rimozione.log
http://wikisend.com/download/950506/prevx post-rimozione.log

sembra che il virus sia stato rimosso ed ho fatto una nuova scansione con Avira che non mi ha più trovato il virus.
Devo procedere comunque con la seconda fase?
Grazie per il vostro supporto

direi di saltare alla terza fase, meglio una scansione in più per confermare la pulizia

[albys]

Quote:

Originariamente inviato da Chill-Out

Dire che possiamo eliminarla, riavvia il Pc e vediamo se ricrea (non dovrebbe) se succede evidentemente c'è un problema.

Fatto, riavviato e... SPARITA!

Grazie davvero per tutto, Chill-Out!

[mauri966]

Mi sembra tutto ok.
Mi ha dato solo questi risultati sospetti:

C:\WINDOWS\system32\PxSecure.dll probabile infezione da BACKDOOR.Trojan
e
>c:\programmi\prevx\prevx.exe/data003 probabile infezione da BACKDOOR.Trojan (che però è il programma usato per la rilevazione del virus e quindi presumo sia un falso positivo)

Sono da eliminare?

[xcdegasp]

Quote:

Originariamente inviato da mauri966

Mi sembra tutto ok.
Mi ha dato solo questi risultati sospetti:

C:\WINDOWS\system32\PxSecure.dll probabile infezione da BACKDOOR.Trojan
e
>c:\programmi\prevx\prevx.exe/data003 probabile infezione da BACKDOOR.Trojan (che però è il programma usato per la rilevazione del virus e quindi presumo sia un falso positivo)

Sono da eliminare?

tranquillo sono falsi allarmi:
http://www.hrppw.com.cn/report/0693c...613561abf.html

magari se riesci a segnalarlo a dr.web come falso positivo sarebbe ottimo ma non mi rircordo se lo potevi fare direttamente dalla finestra del programma..

[xbeppex]

salve a tutti..ciao chill out..ieri non vi avevo piu risposto..in quanto mi ero molto incazzato!
non andava piu niente..e quindi ho formattato..§(non a basso livello)..
da oggi il pc sembra tornato in forma..va alla grande..
è solo una cosa temporanea o sono salvo?
pero ancora nn ho reinstallato msn...

[xcdegasp]

Quote:

Originariamente inviato da xbeppex

salve a tutti..ciao chill out..ieri non vi avevo piu risposto..in quanto mi ero molto incazzato!
non andava piu niente..e quindi ho formattato..§(non a basso livello)..
da oggi il pc sembra tornato in forma..va alla grande..
è solo una cosa temporanea o sono salvo?
pero ancora nn ho reinstallato msn...

devi migliorare il muro difensivo rispetto a prima altrimenti è solo questione di tempo.

[Chill-Out]

Quote:

Originariamente inviato da albys

Fatto, riavviato e... SPARITA!

Grazie davvero per tutto, Chill-Out!

Ottimo, felice di essere stato di aiuto

[nicoct]

ciao ti illustro il problema che poi è lo stesso di molti altri;
mi collego ad msn (windows live msn 2009) e dopo un po mi compare la scritta con l errore relativo del conflitto e mi fa chiudere l applicazione;
quindi ho dei rallentamenti al pc e al browser di internet explore (ho ancora la versione 6);invece con firefox tutto ok.(inoltre trovo la cartella incriminata)
ho eseguito i tuoi passaggi e ho riscontarto dei problemi:
1) installo e faccio partire Gmer ma il sistema di chrashia e mi da un errore con schermata bluMULTIPLR_IRP:COMPLETE_REQUEST
2) installo e faccio partire prevx 3.0 e mi da il log che ti invio fra poco in allegato
in cui non mi sembra in apparenza che ci siano errori (l ho nominato prevx_logfile);

dimmi tu quando posso passare alla seconda fase di rimozione eventuali malware se necessario

[nicoct]

allora per ovviare al problema con il gmer sto effettuando la scansione passo dopo passo (non so se è la cosa corretta però in questi casi ) nella speranza che il pc non vada in crash; appena finito ti posto i log relativi; ti dico subito che quando scansiono il section mi da due errori o pseudo tali secondo me

AttachedDevice \Driver\Tcpip \Device\Tcp pxrts.sys (Prevx Realtime Security/Prevx)

srescan.sys Impossibile trovare il file specificato. !

[nicoct]

e allora eseguendo le prove ad una ad una ho visto che il componente che mi manda in errore è in device; almeno stando finora quindi ti posto i log dei singoli componenti in modo da vedere se ne puoi capire qualcosa in più di me;
MA COME FACCIO AD INVIARTI I LOg???
IO VADO SUL SITO WIKISEND MI sn registrato vado su upload inserisco il file e dopo non mi da il codice da inserire per fartelo scaricare?? che succede?

[nicoct]

senti sto impazzendo:
allora il file prevx non me lo fa allegare; in più l opzione del clean dello stesso programma mi richiede una licenza che è a pagamento;
sono andato avanti con la tua guida;
ti posto ora i file di mbr edi normal cleaner

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
copy of MBR has been found in sector 0x012A14C00
malicious code @ sector 0x012A14C03 !
PE file found in sector at 0x012A14C19 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.


Norman SinowalMBR Cleaner
Copyright © 1990 - 2008, Norman ASA. Built 2008/05/13 16:21:18

Norman Scanner Engine Version: 5.92.04
Nvcbin.def Version: 5.92.00, Date: 2008/05/13 16:21:18, Variants: 0

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Home 5.1.2600 Service Pack 3
Logged on user: PC-NICO\nico


Scan started: 07/11/2009 16:42:07

Scanning bootsectors...

No SinowalMBR hooks found

Number of sectors found: 1
Number of sectors scanned: 1
Number of sectors not scanned: 0
Number of infections found: 0
Number of infections removed: 0
Total scanning time: 1s 422ms


Scanning running processes and process memory...

Number of processes/threads found: 1803
Number of processes/threads scanned: 1803
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 33s


Scanning file system...

Scanning: C:\*.*

C:\Documents and Settings\HelpAssistant\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\ikutpm6l.default\Cache\8B615746d01/unknown0 (Error whilst scanning file: I/O Error)

C:\Documents and Settings\HelpAssistant\Impostazioni locali\Temporary Internet Files\Content.IE5\9S1ON17J\ivdf_fusebundle_nt_en[1].zip/aebb.dll (Error whilst scanning file: I/O Error)


Running post-scan cleanup routine:

Number of files found: 78740
Number of archives unpacked: 493
Number of files scanned: 78611
Number of files not scanned: 129
Number of files skipped due to exclude list: 0
Number of infected files found: 0
Number of infected files repaired/deleted: 0
Number of infections removed: 0
Total scanning time: 31m 58s

avevo provato anche a fare l ultimo programma il cureit doctor ma niente da fare mi fa riavviare il pc;adesso sono nelle tue mani;
NB: mi scuso per non aver allegato ma mi sa o che sono totalmente incapace o mi è impazzito il pc; dopo 10 tentativi non me li fa inviare

http://www.mediafire.com/logrichiesti

[g_u_e_s_s]

Quote:

Originariamente inviato da Chill-Out

Ciao, allega un nuovo log di Prevx, dopo affrontiamo il discorso HelpAssistant

ok!
ecco qui il log.....i malware sembrano aumentare....
prevx_3.txt

Ho usato anche Spybot S&D e Malware Bytes, ma non hanno trovato nulla!
Rispetto all'altra volta mi semrba che i file infetti siano altri!!
grazie ancora per il supporto!!!!!!!!

[flashe]

sotto segnalazione di gabryflash lo posto anche qui:

Mi è capitato un problema un po strano. Ultimamente ho visto un paio di pc con il rootkit MBR "helpassistant" ..... e quando ho visto questo, pensavo fosse la solita solfa.... invece no.
Questo pc non si avvia, si blocca immediatamente dopo il bios boot, schermo nero e pc freezato.

Ho provato ad accedere in consolle di ripristino, e ho tentato di fixare l'MBR. E' stata trovata corrotta, come nel caso del rootkit di cui sopra. Provo a riavviare, rientro in consolle e faccio un chkdsk. Penso che è fatta, riavvio la macchina... e il caricamento di windows si ferma lamentando l'assenza di qualche file dentro la cartella di sistema.

Torno in consolle.... faccio per digitare cd windows... e ottengo accesso negato.

Ho tentato il comando SET (allowallpath) ... ma è impostato su FALSE e non riesco a impostarlo TRUE ... (per farlo dovrei, da windows, abilitare lo snap-in ecc ecc bla bla bla..... ma come faccio se non si avvia windows?)

Segnalo inoltre che tutte le volte che sono entrato in consolle di ripristino da questa macchina.... non mi è MAI stato chiesto a quale installazione di win volessi accedere.

Idee?

grazie

ps... collegare il disco ad un altro pc e da windows riassegnare i permessi?