Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da Fenix247

Ho eseguito tutto.. purtroppo gmer ancora rileva questo malicious code.. ma se non è un trojan horse mi metto il cuore in pace e lo lascio vivere nel mio pc (non mi da fastidio e non penso ke mi possa creare altri danni) dunque se mi confermi ke ora non corro piu pericoli non ti faccio piu perdere tempo e lascio tutto cosi!
Ti ringrazio davvero per l'aiuto! e ti offro una birra virtuale!!

Il Trojan è stato eliminato, se hai eseguito il correttamente il Fix del MBR è impossibile che Gmer rilevi malicious code.

[Gablogan]

Ragazzi aiutatemi per favore ,stavo scaricando un file da un programma tipo rapidshare(netfolder),quando internet si è bloccato di colpo,adesso va tutto lento,il pc trementamente scattoso in ogni operazione,il mouse scatta,l'audio scatta e gracchia e internet ogni tanto si collega e ogni tanto no,il modem si va spegnendo da solo,nulla barra delle applicazioni in basso a destra dove c'è l'icona del modem adsl compare (connessione adsl-nessun hardware) vi posto i log di tutti i programmi coi quali ho fatto la scansione

Kaspersky Virus Removal Tool
ci ha impiegato quasi 5 ore e non mi ha trovato nulla

Dr.Web CureIT
DrWeb.csv

ESET SysInspector
SysInspector.xml

HiJackThis
hijackthis.log

Gmer
gmer.log

PrevxCSI
niente neanche lui

gmer mi ha trovato questo

Codice:

---- Disk sectors - GMER 1.0.14 ----

Disk            \Device\Harddisk0\DR0  sector 61: malicious code @ sector 0xe4f8121 size 0x1ca
Disk            \Device\Harddisk0\DR0  sector 62: copy of MBR

---- EOF - GMER 1.0.14 ----

non so se sia grave,che mi consigliate di fare?

[Chill-Out]

Quote:

Originariamente inviato da Gablogan

Ragazzi aiutatemi per favore ,stavo scaricando un file da un programma tipo rapidshare(netfolder),quando internet si è bloccato di colpo,adesso va tutto lento,il pc trementamente scattoso in ogni operazione,il mouse scatta,l'audio scatta e gracchia e internet ogni tanto si collega e ogni tanto no,il modem si va spegnendo da solo,nulla barra delle applicazioni in basso a destra dove c'è l'icona del modem adsl compare (connessione adsl-nessun hardware) vi posto i log di tutti i programmi coi quali ho fatto la scansione

Kaspersky Virus Removal Tool
ci ha impiegato quasi 5 ore e non mi ha trovato nulla

Dr.Web CureIT
DrWeb.csv

ESET SysInspector
SysInspector.xml

HiJackThis
hijackthis.log

Gmer
gmer.log

PrevxCSI
niente neanche lui

gmer mi ha trovato questo

Codice:

---- Disk sectors - GMER 1.0.14 ----

Disk            \Device\Harddisk0\DR0  sector 61: malicious code @ sector 0xe4f8121 size 0x1ca
Disk            \Device\Harddisk0\DR0  sector 62: copy of MBR

---- EOF - GMER 1.0.14 ----

non so se sia grave,che mi consigliate di fare?

Ti risposi qui http://www.hwupgrade.it/forum/showpo...4&postcount=17
in ogni caso segui la Guida e produci i log come indicato

[Gablogan]

fatto,avira è già installato e aggiornato questo è il log che mi ha dato se serve

http://wikisend.com/download/522226/...3-814D73D2.LOG

questo è quello di gmer,righe rosse non ne vedo,(non so neanche dove dovrebbero apparire)cmq

http://wikisend.com/download/521976/gmer.log

questo non so se serve,è sempre con gmer

http://wikisend.com/download/521566/autostart.txt

[Chill-Out]

Quote:

Originariamente inviato da Gablogan

fatto,avira è già installato e aggiornato questo è il log che mi ha dato se serve

http://wikisend.com/download/522226/...3-814D73D2.LOG

questo è quello di gmer,righe rosse non ne vedo,(non so neanche dove dovrebbero apparire)cmq

http://wikisend.com/download/521976/gmer.log

questo non so se serve,è sempre con gmer

http://wikisend.com/download/521566/autostart.txt

Ma all'epoca e mi rifesrisco al mio reply precedente che cosa facesti?
Segui la Guida in prima pagina e produci i log come indicato

[Gablogan]

nessun problema,pensavo che non ti fossi accorto che finalmente l'ho installato ,cmq

PRIMA FASE

prevx csi non mi trova niente
http://img341.imageshack.us/img341/6749/54165359en0.jpg

gmer l'ho già postato prima

SECONDA FASE

mbr.exe mi rilascia sempre lo stesso log sia per mbr che mbr2 e mbr3(non so se è normale)

http://wikisend.com/download/602908/mbr.log

Symantec Trojan.Mebroot Removal Tool

http://wikisend.com/download/574548/FixMebroot.log

[Chill-Out]

Che hai finalmente installato Avira l'avevo visto, ti ho chiesto se all'epoca dell'infezione da MBR Rootkit avevi seguito la procedura indicata.

Fai girare questo tool http://download.norman.no/public/Nor...al_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_re...tools/52382/it

Al termine riallega anche un nuovo log di Gmer.

[Gablogan]

Quote:

Originariamente inviato da Chill-Out

Che hai finalmente installato Avira l'avevo visto, ti ho chiesto se all'epoca dell'infezione da MBR Rootkit avevi seguito la procedura indicata.

Fai girare questo tool http://download.norman.no/public/Nor...al_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_re...tools/52382/it

Al termine riallega anche un nuovo log di Gmer.

caspita,purtroppo non riesce a completare la scansione,appena scansiona con norma sinowal dopo qualche minuto appare una scritta in rosso che dice "errore fatale impossibile continuare la scansione" e il pc si blocca completamente,all'epoca avevo semplicemente formattato il pc,non so è il problema si era tolto ma quanto meno non si faceva sentire che virus bastardo,mai preso uno così,ti ringrazio tantissimo per l'aiuto spero mi consigli qualcos'altro per evitare di formattare

[Chill-Out]

Al punto 2 della seonda fase hai seguito correttamente le istruzioni, ovvero
2 - A questo punto sempre da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK

mi confermi che hai digitato questo comando C:\mbr.exe -f cosi come lo vedi f compresa

[Gablogan]

Quote:

Originariamente inviato da Chill-Out

Al punto 2 della seonda fase hai seguito correttamente le istruzioni, ovvero
2 - A questo punto sempre da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK

mi confermi che hai digitato questo comando C:\mbr.exe -f cosi come lo vedi f compresa

si esatto,e mi ha dato lo stesso log del 1

[Chill-Out]

Quote:

Originariamente inviato da Gablogan

si esatto,e mi ha dato lo stesso log del 1

Dal log di Gmer si evince che c'è del codice appeso nel settore 61, risultato del precedente format, che problemi riscontri perchè dai log sembra non emergere nulla.

[Gablogan]

praticamente il pc va molto lento in qualunque applicazione e a scatti,l'audio va gracchiando e a singhiozzo,il mouse sembra frenato,inoltre internet va lentissimo,non nell'apertura della pagine ma più che altro nello scarico,stranamente a volte su un sito ci impiega 1 secondo a entrare e se ci ritorno dopo qualche minuto non ci va più(devo tentare di entrarci più volte,e alla fine riesce ad entrarci),i due televisorini in basso accanto l'orologio spesso rimangono entrambi spenti,per poi riaccendersi di improvviso in maniera irregolare,come se non ci fosse banda, non so,tutto questo succedde in maniera irregolare,cioè per alcuni minuti il pc e internet sembrano funzionare regolarmente per poi diventare lenti subito dopo.Inoltre all'accenzione stranamente il modem rimane spento(la lucetta rossa nn si accende) se invece lo stacco manualmente dall'attacco usb e lo ricollego si accende anche se dopo diversi minuti.Ho controllato nel task manager e l'utlizzo della cpu è alquanto strano passa da 5% anche a 80-90% semplicemente aprendo una pagina di internet a arriva anche a 100% aprendo un'applicazione più pesante(programma di disegno,un film in dvd che va anche a scatti) il tutto si è verificato d'improvviso mentre scaricavo un file da rapidshare,ho provato anche a vedere la temperatura dei componenti(processore,ventole,hard disk) e tutto sembra apposto,ho anche fatto un test per vedere lo stato di salute dell'hard disk e dopo un test non mi ha trovato settori dannegiati

[Chill-Out]

Questo è successo durante lo scaricamento di 1 file, immagino che tu il file l'abbia eseguito dopo averlo scaricato.

[Gablogan]

Quote:

Originariamente inviato da Chill-Out

Questo è successo durante lo scaricamento di 1 file, immagino che tu il file l'abbia eseguito dopo averlo scaricato.

no,no,non sono riuscito a completarlo mentre scaricava si è bloccato al 17%(non scaricava oltre) così ho annullato lo scarico,il pc ha incominciato ad andare lento e pure internet e da allora non l'ha più finita

[Chill-Out]

Quote:

Originariamente inviato da Gablogan

no,no,non sono riuscito a completarlo mentre scaricava si è bloccato al 17%(non scaricava oltre) così ho annullato lo scarico,il pc ha incominciato ad andare lento e pure internet e da allora non l'ha più finita

Mi sembra una cosa piuttosto strana

Fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

[Gablogan]

ecco qua

http://wikisend.com/download/540474/log.txt

intanto ho riscontrato un altro sintomo,ho cercato di salvare alcuni dati,e il masterizzatore ci ha impiegato più di 30 minuti per copiare un dvd,pazzesco

[Chill-Out]

Quote:

Originariamente inviato da Gablogan

ecco qua

http://wikisend.com/download/540474/log.txt

intanto ho riscontrato un altro sintomo,ho cercato di salvare alcuni dati,e il masterizzatore ci ha impiegato più di 30 minuti per copiare un dvd,pazzesco

NB: ripristino configurazione sistema disattivato

Fai pulizia con CCleaner come indicato qui al Punto 4
http://www.hwupgrade.it/forum/showthread.php?t=1726383

Apri il Blocco Note copia e incolla queste righe:

Quote:

File::
C:\WINDOWS\TEMP\78.tmp

Registry::
[-HKEY_LOCAL_MACHINE\system\ControlSet002\Services\{DEF85C80-216A-43ab-AF70-1665EDBE2780}]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

[aboccia69]

salve, vi leggo da diverso tempo e (haime) il mio primo post è per una richiesta (se possibile) di chiarimento circa l'eventuale presenza dimbr rootkit. Allora oggi ho notato rallentamenti ad intermittenza durante l'utilizzo del media player, ho lanciato una scansione col nod32 il quale mi ha segnalato (come ad altri utenti che hanno postato prima di me) "Il settore MBR di 2. Disco fisico contiene cavallo di troia Win32/Mebroot.H" ... ho letto la guida alla prima pagina di questo 3d e -al momento- la situazione è la seguente: prevx csi dopo aver scansionato il sistema segnala: system clear, invece gmer da il seguente che allego

...vorrei solo sapere se devo proseguire con le fasi due e tre descritte a pagina 1...

grazie...

[wjmat]

si procedi pure

[Gablogan]

fatto tutto,ecco qua

http://wikisend.com/download/612580/log2.txt