Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da Sciaracastro

Anche io ho lo stesso problema.
Sia Firefox che Explorer dopo pochi minuti (a volte anche secondi) iniziano a ciucciare memoria a go-go ed inoltre la memoria allocata è sempre MOLTO maggiore rispetto al totale dei processi.
Facendo una scansione con AntiVir in modalità provvisoria (perchè normalmente non mi scansiva nulla) mi nota boo\sinowal.e nel record master di avvio dell'hard disk 0 ed in ogni altro drive.
Ho provato ComboFix e mi ha eliminato solo alcuni problemi. (altri trojan credo).
Ho provato Gmer, e questo è il log
http://wikisend.com/download/898466/gmer.txt

Prevx mi trova 4 infezioni, ma per il log post-disinfezione mi chiede la licenza...
Il log PRE-disinfezione è questo
http://wikisend.com/download/437072/prevx pre.log

In precedenza avevo usato mbr.exe (come indicato, in modalità provvisoria e non), e mi trovava sia malicious code che PE file in due settori distinti, ma non mi diceva che aveva ripristinato correttamente l'MBR.

Come procedo?

Allega i log della SECONDA FASE + il log di Comfofix che trovi in C:\Combofix.txt

[Sciaracastro]

Quote:

Originariamente inviato da Chill-Out

Allega i log della SECONDA FASE + il log di Comfofix che trovi in C:\Combofix.txt

http://wikisend.com/download/564692/mbr.log
http://wikisend.com/download/595414/...0_18-28-02.log
http://wikisend.com/download/600130/ComboFix.txt

[nicoct]

Quote:

Originariamente inviato da Chill-Out

Dovremmo essere a posto.

....ok ti ringrazio mille per l'aiuto....
grazie...
un ultima cosa :
1)il file serscan che mi dice impossibile trovarlo a che serve?
2) di tutti questi programmi che ho scaricato che devo farne? io nel mio pc ho l antivirus avira che ho configurato seguendo la guida, in più ho uno zone alarm e il cleaner ; per rendere il mio pc piu sicuro come mi devo comprtare? c è il rischio che si creino conflitti fra l antivrus e cureit o fra zone alarm e previx e normal cleaner?

[lmvz]

ciao Chill-Out,
anch'io infestato da questo MBR ROOTKIT.
Ho fatto la prima fase e ti allego link dei log:

http://wikisend.com/download/439882/log_GMER.txt

http://wikisend.com/download/490408/log_prevx3_pre.txt

http://wikisend.com/download/556436/log_prevx3_post.txt

Ora cosa devo fare? aspetto tua risposta?
Il secondo scan di prevx 3.0 mi dice che MBR non c'è più.
Posso star tranquillo?

Grazie mille,

[Chill-Out]

Quote:

Originariamente inviato da Sciaracastro

http://wikisend.com/download/564692/mbr.log
http://wikisend.com/download/595414/...0_18-28-02.log
http://wikisend.com/download/600130/ComboFix.txt

Ok, produci il log di DrWeb CureIt (scansione completa)

[Chill-Out]

Quote:

Originariamente inviato da nicoct

....ok ti ringrazio mille per l'aiuto....
grazie...
un ultima cosa :
1)il file serscan che mi dice impossibile trovarlo a che serve?
2) di tutti questi programmi che ho scaricato che devo farne? io nel mio pc ho l antivirus avira che ho configurato seguendo la guida, in più ho uno zone alarm e il cleaner ; per rendere il mio pc piu sicuro come mi devo comprtare? c è il rischio che si creino conflitti fra l antivrus e cureit o fra zone alarm e previx e normal cleaner?

Potresti essere più dettagliato a propostito di serscan ? Il problema si presenta all'inserimento di una periferica ? Per il resto leggi la guida in prima pagina alla voce ==>> Suggerimenti

[Chill-Out]

Quote:

Originariamente inviato da lmvz

ciao Chill-Out,
anch'io infestato da questo MBR ROOTKIT.
Ho fatto la prima fase e ti allego link dei log:

http://wikisend.com/download/439882/log_GMER.txt

http://wikisend.com/download/490408/log_prevx3_pre.txt

http://wikisend.com/download/556436/log_prevx3_post.txt

Ora cosa devo fare? aspetto tua risposta?
Il secondo scan di prevx 3.0 mi dice che MBR non c'è più.
Posso star tranquillo?

Grazie mille,

Ciao, il log di Gmer è vuoto (0 B) in ogni caso passa alla Terza Fase ed allega il log di CureIt.

[nicoct]

Quote:

Originariamente inviato da Chill-Out

Potresti essere più dettagliato a propostito di serscan ? Il problema si presenta all'inserimento di una periferica ? Per il resto leggi la guida in prima pagina alla voce ==>> Suggerimenti

l ho letto nel file log gmer che ti AVEVO INVIATO...
nella sezione del log denominata kernel mi dava questa dicitura-...
? srescan.sys Impossibile trovare il file specificato. !
volevo sapere che significava..
ti riinvio il log per completezza...
http://www.mediafire.com/?zjhwizoyzoz
si la guida la sto leggendo molto interessannte grazie mille di nuovo...

[Chill-Out]

Quote:

Originariamente inviato da nicoct

l ho letto nel file log gmer che ti AVEVO INVIATO...
nella sezione del log denominata kernel mi dava questa dicitura-...
? srescan.sys Impossibile trovare il file specificato. !
volevo sapere che significava..
ti riinvio il log per completezza...
http://www.mediafire.com/?zjhwizoyzoz
si la guida la sto leggendo molto interessannte grazie mille di nuovo...

Allora fai riferimento a srescan.sys non a serscan

Quote:

Originariamente inviato da nicoct

.
1)il file serscan che mi dice impossibile trovarlo a che serve?

è relativo a ZoneAlarm

[IoriY]

ciao a tutti

anche dopa aver formattato il programma mrb mi presenta problemi sull'mbr, ho gia eseguito tutte le scansioni consigliate ma il problema non si risolve

log

gmer.txt
prevx.txt
mbr.txt
Norman.txt
CureIt.txt

grazie a chi mi aiuterà

[Danielix71]

Ciao a tutti, ho beccato pure io il rootkit Help Assistant, ho utilizzato mbr per la pulizia e MrWeb cure it per la scansione che mi ha trovato il troyan packed.680 e un altra infezione in Office.
Il log di mbr non mi dà piu' l'infezione da rootkit ( o sbaglio?)

http://www.mediafire.com/download.php?nuhdtnml3wn

mentre GMER me la dà ancora:

http://www.mediafire.com/download.php?wnziz2ntgng

qualcuno può aiutarmi?? Grazie!

[wjmat]

Quote:

Originariamente inviato da Danielix71

Ciao a tutti, ho beccato pure io il rootkit Help Assistant, ho utilizzato mbr per la pulizia e MrWeb cure it per la scansione che mi ha trovato il troyan packed.680 e un altra infezione in Office.
Il log di mbr non mi dà piu' l'infezione da rootkit ( o sbaglio?)

http://www.mediafire.com/download.php?nuhdtnml3wn

mentre GMER me la dà ancora:

http://www.mediafire.com/download.php?wnziz2ntgng

qualcuno può aiutarmi?? Grazie!

ciao

carica anche quello di prevx e cureit

[nicoct]

Quote:

Originariamente inviato da Chill-Out

Allora fai riferimento a srescan.sys non a serscan



è relativo a ZoneAlarm

ok grazie mille..ancora...
un ultima cosa mi ha rilevato con prevx un file spyw<ARE AD ALTO RISCHIO nel mio hd esterno; che devo fare? il problema è che il file in questione è il file click me che mi permette di entrare nel mio hd pacward bell; èensi che lo posso eliminare? ho rifatto la scansione con avira e non mi ha rilevato nulla; adesso rifaccio la scansione con previx 3.0 e ti posto il log; poi se vuoi rifaccio con cureit e ti invio anche quella; ciao

[Chill-Out]

Quote:

Originariamente inviato da nicoct

ok grazie mille..ancora...
un ultima cosa mi ha rilevato con prevx un file spyw<ARE AD ALTO RISCHIO nel mio hd esterno; che devo fare? il problema è che il file in questione è il file click me che mi permette di entrare nel mio hd pacward bell; èensi che lo posso eliminare? ho rifatto la scansione con avira e non mi ha rilevato nulla; adesso rifaccio la scansione con previx 3.0 e ti posto il log; poi se vuoi rifaccio con cureit e ti invio anche quella; ciao

Fai controllare il file in questione su VirusTotal

Per visualizzare è sufficiente riportare ne prossimo post l'URL rilasciata da VT a fine scansione.

[Chill-Out]

Quote:

Originariamente inviato da IoriY

ciao a tutti

anche dopa aver formattato il programma mrb mi presenta problemi sull'mbr, ho gia eseguito tutte le scansioni consigliate ma il problema non si risolve

log

gmer.txt
prevx.txt
mbr.txt
Norman.txt
CureIt.txt

grazie a chi mi aiuterà

Con CureIt è necessario fare scansione completa, comunque dai log non emerge nulla, a quale problema ti riferisci?

[IoriY]

Mi riferisco al log di mbr

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x04A85300
malicious code @ sector 0x04A85303 !
PE file found in sector at 0x04A85319 !


come posso eliminare il codice maligno?

[Chill-Out]

Quote:

Originariamente inviato da IoriY

Mi riferisco al log di mbr

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x04A85300
malicious code @ sector 0x04A85303 !
PE file found in sector at 0x04A85319 !


come posso eliminare il codice maligno?

Indipendente da ciò non vuol dire che sei infetto, il log può rimanere "sporco"

[arles10]

ciao a tutti
ho sicuramente il malware, con gli antivirus non ho risolto niente e allora mi sono addentrato su internet alla ricerca di soluzioni fino a giungere qui; ho un log di systemscan, posto il link? puo' servire a qualcosa? oppure passo gia' ad altre azioni?
vi ringrazio in anticipoper l'aiuto che mi darete

[nicoct]

Quote:

Originariamente inviato da Chill-Out

Fai controllare il file in questione su VirusTotal

Per visualizzare è sufficiente riportare ne prossimo post l'URL rilasciata da VT a fine scansione.

ti allega per completezza il log di cureit fatto solo sul disco esterno..vedi se ci sono anomalie...in ogni caso l ho postato sul sito che mi hai dato tu;ti faccio sapere che dice grazie...
http://www.mediafire.com/?mlqzkmmjzan
io intanto i file sospetti li ho messi in quarantena...
qui c è il link c on i risultati..ma non so decifrare....
http://www.virustotal.com/it/analisi...601-1257955932

[Chill-Out]

Quote:

Originariamente inviato da nicoct

ti faccio sapere che dice grazie...

Chi il disco?

Dire che siamo ok, manca il report di VT