Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da nicoct

ok ecco fatto qui c è il file di scansione........
http://www.mediafire.com/?jtktmgmnmml
e di seguito ecco la pagina di virus total
http://www.virustotal.com/it/analisi...1e1-1258008621
che mi condsigli di fare con questo file?io l ho spostato manualmente (copia-incolla)in quarantena.....lo elimino?

Il file in questione ovvero c:\documents and settings\nico\doctorweb\quarantine\clickme.exe è nella quarantena di DrWeb Cureit quindi sei a posto.

[Danielix71]

Quote:

Originariamente inviato da wjmat

controlla il link di prevx che non porta a nulla
cureit va già di suo filtrato, non basta?

Scusa se insisto, ieri avevo postato nella pagina precedente tutti i report riguardante il mio problema tranne quello di cure it che non riesco a produrlo filtrato, (li trovi nella pagina precedente), mi puoi dare un aiutino per favore??

Grazie e ciao.

[arles10]

Quote:

Originariamente inviato da Chill-Out

Allega il solo log di Prevx

ho fatto la scansone con prevx ma non posso fare il cleanup, perce' i threats che mi ha trovato hanno la L vicino: license required to cleanup

cmq questo e' i log


log prevx.log

[nicoct]

Quote:

Originariamente inviato da Chill-Out

Il file in questione ovvero c:\documents and settings\nico\doctorweb\quarantine\clickme.exe è nella quarantena di DrWeb Cureit quindi sei a posto.

ok che dirti grazie mille ancora

[danilo201081]

Quote:

Originariamente inviato da Chill-Out

Controllo nel Registro eventi e riporta nel prossimo post l'errore per esteso.

Il mio problema è che il pc ad un certo punto si blocca e devo solo farlo ripartire.
Al riavvio però il monitor mi dice assenza di segnale ma il pc è in funzione,devo passare alla modalità provvisoria e farlo ripartire normale.
Ora ti allego il log di hijackthis magari può aiutarti ha trovare il problema.

grazie

http://wikisend.com/download/440108/hijackthis.log

[Sciaracastro]

Quote:

Originariamente inviato da Chill-Out

Ok, produci il log di DrWeb CureIt (scansione completa)

http://wikisend.com/download/939418/cureit filtrato.txt

alcune note:
1) nel cureit.log originale (non filtrato) mi dice "Totale virus records: 772776" dopo aver scansito la cartella Temp
2) mi si è riavviato in automatico il pc durante la prima scansione con CureIt, quindi il log originale (dimmi se serve) ha una parte ripetuta due volte
3) Avevo letto online che questo tipo di virus creava una periferica visibile nel pannello di controllo con nome UAC+caratteri random, periferica che io non ho. In compenso, Prevx mi trova un driver chiamat tcpip.sys , con relative entry nel registro.
4) Non ho ancora ri-provato, ma Antivir in modalità provvisoria mi trovava un virus nell'MBR, cosa che invece nessun altro tool mi ha trovato. Il virus è ancora lì?
5) Già da ora le prestazioni sono migliorate tantissimo
6) Ho ancora la cartella Help Assistant tra i profili, ma non c'è nei profili di Windows (non c'è mai stato lì, a dire il vero)

[g_u_e_s_s]

Quote:

Originariamente inviato da Chill-Out

1 Abilita la visualizzazione dei files nascosti



e controlla su http://virscan.org/ e http://www.virustotal.com/it/ il seguenti file:

ntcmd_int.dll che trovi in c:\windows\system32\

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione

2 Disinstalla i seguenti software:

boilsoft video splitter
error repair professional
fontviewer


Al termine allega nuovo log di Prevx

Allora.....ho disinstallato i programmi

il file ntcmd_int.dll mi è stato trovato ed eliminato da A-squared, nella versione usb portable di emergenza.
Quindi non posso allegare l'analisi...

Ora Prevx non rileva altri file infetti...finalmente!!!

La cartella HelpAssistant, però,è ancora in Documents And Settings --> Users
Come posso eliminarla?

Chill-Out GRAZIE MILLE per l'appoggio!

[Chill-Out]

Quote:

Originariamente inviato da danilo201081

Il mio problema è che il pc ad un certo punto si blocca e devo solo farlo ripartire.
Al riavvio però il monitor mi dice assenza di segnale ma il pc è in funzione,devo passare alla modalità provvisoria e farlo ripartire normale.
Ora ti allego il log di hijackthis magari può aiutarti ha trovare il problema.

grazie

http://wikisend.com/download/440108/hijackthis.log

Danilo non ti ho chiesto il log di HJT per il quale esiste un 3D dedicato.

[Chill-Out]

Quote:

Originariamente inviato da Sciaracastro

http://wikisend.com/download/939418/cureit filtrato.txt

alcune note:
1) nel cureit.log originale (non filtrato) mi dice "Totale virus records: 772776" dopo aver scansito la cartella Temp
2) mi si è riavviato in automatico il pc durante la prima scansione con CureIt, quindi il log originale (dimmi se serve) ha una parte ripetuta due volte
3) Avevo letto online che questo tipo di virus creava una periferica visibile nel pannello di controllo con nome UAC+caratteri random, periferica che io non ho. In compenso, Prevx mi trova un driver chiamat tcpip.sys , con relative entry nel registro.
4) Non ho ancora ri-provato, ma Antivir in modalità provvisoria mi trovava un virus nell'MBR, cosa che invece nessun altro tool mi ha trovato. Il virus è ancora lì?
5) Già da ora le prestazioni sono migliorate tantissimo
6) Ho ancora la cartella Help Assistant tra i profili, ma non c'è nei profili di Windows (non c'è mai stato lì, a dire il vero)

Allega il log di una scansione completa fatta con Antivir

[Chill-Out]

Quote:

Originariamente inviato da g_u_e_s_s

Allora.....ho disinstallato i programmi

il file ntcmd_int.dll mi è stato trovato ed eliminato da A-squared, nella versione usb portable di emergenza.
Quindi non posso allegare l'analisi...

Ora Prevx non rileva altri file infetti...finalmente!!!

La cartella HelpAssistant, però,è ancora in Documents And Settings --> Users
Come posso eliminarla?

Chill-Out GRAZIE MILLE per l'appoggio!

Fai le seguenti verifiche:

1 Start - Pannello di controllo - Account utente -> controlla se presente un'Account denominato HelpAssistant

2 Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer - Utenti e gruppi locali -> controlla se presente un'Account denominato HelpAssistant

[Sciaracastro]

Quote:

Originariamente inviato da Chill-Out

Allega il log di una scansione completa fatta con Antivir

in modalità provvisoria?
ed ignoro le segnalazioni di infeziobne dell'mbr?

[annairene]

Quote:

Originariamente inviato da annairene

Un saluto a tutti, sono un nuovo utente, appena registrata. Purtroppo, mi presento con un problema per me grandissimo, visto che non sono particolarmente esperta, anzi diciamo che sono a digiuno di informatica, solo qualche nozione di base per usufruire del computer.
Vengo al dunque. Venerdì scorso, mio marito ha acceso il computer ed è apparsa una schermata nera con la seguente dicitura:
""""Trend ChipAwayVirus has detected a boot virus on your hard disk!
Press (Enter) for more information (recomended)
(C) to continue booting
"Complete Virus Protection for the Enterprise"
Trend Micro - http://www.antivirus.com""""

Panico! non sapevo dove mettere le mani, poi ho continuato come suggerito per continuare il booting e ho cominciato una serie di operazioni; prima di tutto ho scansionato il computer con l'antivirus Avira; poi ho continuato con Malwarebytes; infine ho usato HiJackThis. Nessun riscontro, nessun virus, e la schermata si presenta ad ogni accensione.
Premetto che ho XP Professional regolare, con WGA, regolarmente aggiornato con Windows Update e, considerato che uso le normali precauzioni (non aprire allegati mail, non visitare siti sconosciuti ecc.) mi sentivo al sicuro, ma, purtroppo, il pc viene usato anche dai miei figli e da mio marito; vero è che da un mese ho notato uno strano comportamento di Avira, come difficoltà nell'autoaggiornamento, errore nel Registro Eventi, Crypt 32, tanto è che ho disinstallato l'antivirus pensando a un malfunzionamento: con molta preoccupazione mi sono resa conto che, togliendo Avira, non appariva lo scudetto rosso che avrebbe dovuto avvertirmi che il Pc poteva essere sottoposto a minacce. Sono andata a controllare il centro sicurezza Pc e ho notato che, secondo lui, il computer pur essendo sprovvisto dell' antivirus normale era protetto da un altro antivirus: ma quale ?
In conclusione ho girato per google fino a quando mi sono imbattuta nel vostro forum, senza registrarmi però; ho scaricato Gmer e Prevxt e ho eseguito la scansione, però, non potendo loggare il report, a me è sembrato che non ci fosse nulla di sospetto, quindi non ho continuato. Ora mi chiedo se la scansione andasse fatta in modalità provvisoria, tenendo conto che la scansione veniva fatta su C\ e non sulla partizione nascosta del disco. Comunque ne capisco poco, ho preferito chiedere aiuto a qualcun altro che mi ha convinto che il disco si è infettato con il virus MBR.Rootkit. Vi chiede se devo eseguire alla lettera la guida, la procedura del primo post di questo thread, se devo eseguire i programmi Gmer e Prevxt in modalità provvisoria e se, una volta fatta la scansione, devo riavviare il pc. Un'altra cosa: come posso postare gli eventuali log, i report dei programmi?
Scusate, sono stata prolissa, ma vi chiedo la cortesia di rispondere come si farebbe a un bambino delle elementari .

Grazie, ce l'ho fatta!! ho eliminato il Rootkit e, cosa eccezionale, a parte il Rootkit.mbr non ho trovato altre infezioni.
Volevo chiedervi solo un chiarimento su una stranezza: ho notato che, dopo tutta la pulizia, l'orologio sulla barra segna l'ora in inglese, cioè, adesso, 11:36, anche se io ho impostato 23:36. Da che dipende?

[Chill-Out]

Quote:

Originariamente inviato da Sciaracastro

in modalità provvisoria?
ed ignoro le segnalazioni di infeziobne dell'mbr?

Da mod. normale, in che senso ignori le segnalazione del Sinowal?

[Danielix71]

Capisco che siete presi di impegni sia nel forum che per i fatti vostri, due giorni fa avevo chiesto gentilmente un parere, ma mi avete solo parzialmente risposto.
Se non potete farlo vi ringrazio lo stesso per il tempo dedicatomi.

[wjmat]

Quote:

Originariamente inviato da Danielix71

Scusa, ma non sono riuscito a filtrare cureit, sarò io che non ci riesco, c'è un metodo per farlo?

Ti mando per riepilogo e per facilitarti il lavoro tutti i report fatti dopo la disinfestazione,
MBR:
http://www.mediafire.com/download.php?31mazwdormm

GMER:
http://www.mediafire.com/download.php?uzuumyytrm2

Prevx:
http://www.mediafire.com/download.php?y3jjzmmch2g

Norman Sinowal Cleaner:
http://www.mediafire.com/download.php?gkyhgjmzlzm

hai per caso problemi a collegarti con siti di antivirus e microsoft?
mbr sembra non ci sia ma si vede dell'altro

[Danielix71]

Quote:

Originariamente inviato da wjmat

hai per caso problemi a collegarti con siti di antivirus e microsoft?
mbr sembra non ci sia ma si vede dell'altro

Con quali siti dovrei collegarmi??? E dove si vede che c'è qualcosa che non va?

[wjmat]

Quote:

Originariamente inviato da Danielix71

Con quali siti dovrei collegarmi??? E dove si vede che c'è qualcosa che non va?

prova ad eseguire i test di questa guida
nel log di gmer si vede la robaccia

[Danielix71]

Quote:

Originariamente inviato da wjmat

prova ad eseguire i test di questa guida
nel log di gmer si vede la robaccia

Ora sono al lavoro, quando torno a casa seguirò il tuo consiglio e ti farò sapere.
Ti faccio due domande:

1)Mi potresti fare capire (sono ignorantissimo in materia) dov'è la robaccia nel log di GMER?

2) GMER mi indica in rosso il rootkit:
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] qeikyqm

e mi da la possibiltà di cancellarlo. Sono un ignorante in materia ma capisco che è un file di sistema e quindi potrebbere sorgere problemi a cancellarlo, che ne pensi??

Grazie per il tuo gentilissimo aiuto.

[Chill-Out]

Quote:

Originariamente inviato da Danielix71

Con quali siti dovrei collegarmi??? E dove si vede che c'è qualcosa che non va?

Quote:

Originariamente inviato da wjmat

prova ad eseguire i test di questa guida
nel log di gmer si vede la robaccia

Segui la Guida indicata da wjmat, attendiamo il log per il controllo nel 3D indicato.

[Danielix71]

Quote:

Originariamente inviato da Chill-Out

Segui la Guida indicata da wjmat, attendiamo il log per il controllo nel 3D indicato.

ok, grazie!!