Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da Danielix71

Ora sono al lavoro, quando torno a casa seguirò il tuo consiglio e ti farò sapere.
Ti faccio due domande:

2) GMER mi indica in rosso il rootkit:
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] qeikyqm

e mi da la possibiltà di cancellarlo. Sono un ignorante in materia ma capisco che è un file di sistema e quindi potrebbere sorgere problemi a cancellarlo, che ne pensi??

Grazie per il tuo gentilissimo aiuto.

Quote:

Originariamente inviato da Danielix71

ok, grazie!!

No, per il momento non eliminare nulla.

[arles10]

Allora
ricomincio da capo, speriamo che qualcuno riesca ad aiutarmi, altrimenti credo proprio che dovro' formattare. Dunque, credo proprio di essere infetto da questo maledetto malware, il sistema e' lentissimo, ho un giga di memoria allocata senza motivo, mozilla e IE ciucciano memoria a tonnellate, msn(anzi windows live platform crasha di continuo) e ho la cartella help assistant, mi sembrano tutti sitomi indicativi. HO usato un po tutti i programmi della guida pero' alla rinfusa perche' ho incontrato un po di problemi:

1) Non riesco a terminare la scansione con Gmer perche' mi da degli errori, le prime 2 volte si e' aperta una finestra con un conto alla rovescia di 1 minuto al termine del quale il pc si e' riavviato, la terza volta schermata blu, percio' non ho il log di Gmer

2) Sono passato a Prevx, ho fatto la scansione e mi ha trovato dei threats tutti relativi ad un programma che ho disinstallato, ora la scansione non rileva nulla, questo e' il log: log prevx.log

Per ora mi fermo qui in attesa di un consiglio

grazie

[g_u_e_s_s]

Quote:

Originariamente inviato da Chill-Out

Fai le seguenti verifiche:

1 Start - Pannello di controllo - Account utente -> controlla se presente un'Account denominato HelpAssistant

2 Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer - Utenti e gruppi locali -> controlla se presente un'Account denominato HelpAssistant

vediamo:
1) no, non c'è un utente chiamato HelpAssistant. Ci sono solo il mio utente e "Guest", che però è disabilitato
2) non ho una voce chiamata Utenti e gruppi locali in quella finestra....
allego schermata
2009-11-14_000108.png

[Sciaracastro]

Quote:

Originariamente inviato da Chill-Out

Da mod. normale, in che senso ignori le segnalazione del Sinowal?

nel senso che l'unica opzione possibile che mi dà l'antivirus è quella di eliminare il file, ma trattandosi dell'MBR credo non debba cancellarlo...

[panfilo81]

--------------------------------------------------------------------------------

Salve a tutti!
Dunque ho un problema con un personal computer di un mio cliente.
Nel suo computer è presente un virus mbr.
Facendo una scansione con prev csi me lo rileva, lo toglie (dice che deve simulare un bsod per farlo) si riavvia e il virus è sempre presente.
Facendo una scansione con mbr.exe lo rileva, faccio allora mbr.exe -f come da vostra guida ma il virus non sembra togliersi.
Provo a ripristinare il master boot record con fix mbr su console di ripristinio ma idem, il virus rimane.
Allego il log di mbr

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0DF937C1
malicious code @ sector 0x0DF937C4 !
PE file found in sector at 0x0DF937DA !

Come lo tolgo?

Nemmno con mbr.exe -f si toglie

[wjmat]

Quote:

Originariamente inviato da panfilo81

--------------------------------------------------------------------------------

Salve a tutti!
Dunque ho un problema con un personal computer di un mio cliente.
Nel suo computer è presente un virus mbr.
Facendo una scansione con prev csi me lo rileva, lo toglie (dice che deve simulare un bsod per farlo) si riavvia e il virus è sempre presente.
Facendo una scansione con mbr.exe lo rileva, faccio allora mbr.exe -f come da vostra guida ma il virus non sembra togliersi.
Provo a ripristinare il master boot record con fix mbr su console di ripristinio ma idem, il virus rimane.
Allego il log di mbr

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0DF937C1
malicious code @ sector 0x0DF937C4 !
PE file found in sector at 0x0DF937DA !

Come lo tolgo?

Nemmno con mbr.exe -f si toglie

riciao

carica anche gli altri log su un server remoto

[panfilo81]

Quote:

Originariamente inviato da wjmat

riciao

carica anche gli altri log su un server remoto

ecco il log di prevx csi

lui dice che lo ha tolto ma mbr.exe me lo individua sempre

Heuristics Settings: Age: 1, Pop: 1, Heu: 2 (Dir: 1)
Last Scan: Fri 2009-11-13 10:10:47 ora solare Europa occidentale. Number of Scans: 1. Last Scan Duration: 5 minutes 25 seconds.

Previously Detected Files:
[B<00200000>] c:\$mbr.0 [PX5: 2B882DE300DC9207019100C03094A6001C87981C] Malware Group: Rootkit.MBR


Prevx v3.0.5.10 Cleanup Log for 13/11/2009 10:11

Cleanup Complete
=====================================

Heuristics Settings: Age: 1, Pop: 1, Heu: 2 (Dir: 1)
Last Scan: Fri 2009-11-13 10:25:18 ora solare Europa occidentale. Number of Scans: 2. Last Scan Duration: 9 minutes 47 seconds.

Previously Detected Files:
[B<00200000>] c:\$mbr.0 [PX5: 2B882DE300DC9207019100C03094A6001C87981C] Malware Group: Rootkit.MBR


Prevx v3.0.5.10 Cleanup Log for 13/11/2009 10:26

Cleanup Complete
=====================================

Gmer non lo vede! mi dice che è tutto a posto!
forse mbr.exe si sbaglia?
Ho avira come antivirus

[wjmat]

Quote:

Originariamente inviato da panfilo81

ecco il log di prevx csi

lui dice che lo ha tolto ma mbr.exe me lo individua sempre

Heuristics Settings: Age: 1, Pop: 1, Heu: 2 (Dir: 1)
Last Scan: Fri 2009-11-13 10:10:47 ora solare Europa occidentale. Number of Scans: 1. Last Scan Duration: 5 minutes 25 seconds.

Previously Detected Files:
[B<00200000>] c:\$mbr.0 [PX5: 2B882DE300DC9207019100C03094A6001C87981C] Malware Group: Rootkit.MBR


Prevx v3.0.5.10 Cleanup Log for 13/11/2009 10:11

Cleanup Complete
=====================================

Heuristics Settings: Age: 1, Pop: 1, Heu: 2 (Dir: 1)
Last Scan: Fri 2009-11-13 10:25:18 ora solare Europa occidentale. Number of Scans: 2. Last Scan Duration: 9 minutes 47 seconds.

Previously Detected Files:
[B<00200000>] c:\$mbr.0 [PX5: 2B882DE300DC9207019100C03094A6001C87981C] Malware Group: Rootkit.MBR


Prevx v3.0.5.10 Cleanup Log for 13/11/2009 10:26

Cleanup Complete
=====================================

caricalo completo, grazie

[panfilo81]

cosa devo fare per caricarlo completo?

[wjmat]

Quote:

Originariamente inviato da panfilo81

cosa devo fare per caricarlo completo?

caricali su uno dei server remoti previsti nelle regole di sezione
www.wikisend.com o www.fileqube.com per esempio

[panfilo81]

si ma dove lo trovo il log completo?
che procedure devo fare?
aspetta sono in provvisoria...

Ecco il log di gmer

gmer.log

tra poco il log di sinowal mbr remove tool (che per ora non ha trovato nulla!)

[wjmat]

Quote:

Originariamente inviato da panfilo81

si ma dove lo trovo il log completo?
che procedure devo fare?
aspetta sono in provvisoria...

è scritto tutto in guida

[panfilo81]

log di sinowal

NFix_2009-11-13_10-32-30.log

Per ora l'unico che rileva qualcosa è mbr.exe

che sia un falso positivo?

il pc va bene!

log di prevx

prevx.log


mbr.exe vede minaccie, gli altri no...

il pc va benissimo

[wjmat]

Quote:

Originariamente inviato da panfilo81

log di sinowal

NFix_2009-11-13_10-32-30.log

Per ora l'unico che rileva qualcosa è mbr.exe

che sia un falso positivo?

il pc va bene!

tutti i log, grazie

alcuni ti segnaleranno infetto anche se non lo sei più

[panfilo81]

I log ci sono tutti!
scorri in alto!
grazie cmq dell'aiuto

[reira83]

Ciao a tutti.
Probabilmente avrò un problema già trattato diffusamente, però purtroppo ho il pc davvero instabile e non ho il tempo di leggere tutte le discussioni, in caso spero potrete indirizzarmi nel topic giusto.
Premetto che ho Windows XP Home Edition, ho scansionato con AVG che ha trovato "solo" alcuni cookies infetti.

Temo di avere un'infezione del rootkit, da qualche giorno al caricamento di Windows mi si apre continuamente la schermata blu di errore nel sistema, con denominazione "BAD_POOL_HEADER" o "PAGE_FAULT_IN NONPAGED_AREA".
Inoltre negli scorsi giorni, la connessione a Explorer andava in crash, spesso con un messaggio che mi avvisava di un qualche Script che doveva essere disattivato perchè causava rallentamenti.
Inoltre mi si aprono messaggi di errore del tipo:
-NTVDM errore sistema (in particolare quando tento di collegare al pc l'hard disk esterno, al quale non riesco ad accedere)
-avgnsx.exe
-Windows Live Communications Platform (che mi blocca MSN)

Ho provato a seguire il procedimento della guida di questo topic, ma appena lancio GMER (anche rinominato), al primo tentativo, è andato tutto in crash e mi è riapparsa la solita schermata blu (PAGE_FAULT_IN NONPAGED_AREA), con altri tentativi mi si blocca subito la scansione con il messaggio "si è verificato un errore in gmer.exe, l'applicazione verrà chiusa". Può essere colpa del rootkit?

Spero possiate aiutarmi, grazie!

[gabryflash]

ciao per poterti aiutare abbiamo bisogno che tu segua punto per punto la guida a questo indirizzo

http://www.hwupgrade.it/forum/showthread.php?t=1599737


alla fine di tutto questo inserisci i log nei modi e sui server richiesti e ti verrà data la cura per il tuo pc... qui ci son tanti buoni dottori ...

[arles10]

Quote:

Originariamente inviato da arles10

Allora
ricomincio da capo, speriamo che qualcuno riesca ad aiutarmi, altrimenti credo proprio che dovro' formattare. Dunque, credo proprio di essere infetto da questo maledetto malware, il sistema e' lentissimo, ho un giga di memoria allocata senza motivo, mozilla e IE ciucciano memoria a tonnellate, msn(anzi windows live platform crasha di continuo) e ho la cartella help assistant, mi sembrano tutti sitomi indicativi. HO usato un po tutti i programmi della guida pero' alla rinfusa perche' ho incontrato un po di problemi:

1) Non riesco a terminare la scansione con Gmer perche' mi da degli errori, le prime 2 volte si e' aperta una finestra con un conto alla rovescia di 1 minuto al termine del quale il pc si e' riavviato, la terza volta schermata blu, percio' non ho il log di Gmer

2) Sono passato a Prevx, ho fatto la scansione e mi ha trovato dei threats tutti relativi ad un programma che ho disinstallato, ora la scansione non rileva nulla, questo e' il log: log prevx.log

Per ora mi fermo qui in attesa di un consiglio

grazie

ma devo fare qualcosa di particolare per riuscire a farmi dare un piccolo aiuto?

[reira83]

Quote:

Originariamente inviato da gabryflash

ciao per poterti aiutare abbiamo bisogno che tu segua punto per punto la guida a questo indirizzo

http://www.hwupgrade.it/forum/showthread.php?t=1599737


alla fine di tutto questo inserisci i log nei modi e sui server richiesti e ti verrà data la cura per il tuo pc... qui ci son tanti buoni dottori ...

Eccomi. Ho fatto un po' di confusione, seguendo i passi della disinfezione, perchè come dicevo prima, GMER si rifiuta di fare la scansione, A-Squared Free non sono riuscita a scaricarlo (impossibile scaricare uno degli exe di cui è costituito). Quindi purtroppo ciò che ho fatto non è completo, ma quello che è certo è che ho il rootkit, perchè Dr.Web l'ha trovato. Andando perciò con ordine:

-Malawarebytes: 0 file infetti, cmq log: malawarebytes-mbam-log-2009-11-14 (15-27-27).txt
-A-Squared Free: non me lo fa scaricare
-F-Secure Online Scanner: Online Scanner - Scanning Report - Saturday, November 14, 2009 181329.mht
-Dr Web CureIT: cureit filtrato.txt
-Eset Sysinspector: SysInspector-WORKING-2084B72-091114-1907.xml
-Hjackthis: hijackthis.log
-Gmer impossibile fare scan
-Prevx: stamp risultato prevx stamp.doc
Log (non posso fare clean up perchè è tutto a pagamento) log prevx.log


Spero sia sufficiente, grazie ai dottori che potranno aiutarmi!

[Chill-Out]

Quote:

Originariamente inviato da arles10

ma devo fare qualcosa di particolare per riuscire a farmi dare un piccolo aiuto?

Ciao, allega i log inerenti la Seconda Fase