Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Fenix247]

Ciao! ho anke io questo problema riguardante mebroot! dunque so ke ti dovrei mandare tutti i log ma ti posso gia dire ke prevx csi non mi ha trovato niente (il sistema è cleaned), fixmebroot mi dice che è tutto ok non ce nessun mbr, nod32 fa una scansione pulita ma dice chiaramente che (il settore MBR di 2. Disco fisico contiene cavallo di troia Win32/Mebroot.H), altri programmi come ad-aware, CCLeaner, Malwarebytes Anti-Malware e Spyware Doctor non trovano assolutamente niente MA gmer putroppo mi trova cmq un problema (ho messo di seguito l'allegato)! ho provato di tutto! ho cercato di seguire la tua guida al meglio possibile ma il problema non si è risolto. Ho provato anke a usare i comandi fixboot e fixmbr ma non hanno funzionato.. Ah a proposito oltre nod e gmer anke l'eseguibile di mbr da scaricare e mettere su C:\ mi rileva l'errore (è tutto nell'allegato)! ma mi dice sempre la stessa cosa! sia in modalita provvisoria ke in modalita normale ke con il comando -f alla fine.. Perfavore mi potresti aiutare? Ho dovuto formattare settimana scorsa per un altro tipo di problema e ora ke stavo rimettendo tutti gli aggiornamenti non ho tanta voglia di ricominciare daccapo! Grazie cmq! Buonagiornata

[Chill-Out]

Quote:

Originariamente inviato da Fenix247

Ciao! ho anke io questo problema riguardante mebroot! dunque so ke ti dovrei mandare tutti i log ma ti posso gia dire ke prevx csi non mi ha trovato niente (il sistema è cleaned), fixmebroot mi dice che è tutto ok non ce nessun mbr, nod32 fa una scansione pulita ma dice chiaramente che (il settore MBR di 2. Disco fisico contiene cavallo di troia Win32/Mebroot.H), altri programmi come ad-aware, CCLeaner, Malwarebytes Anti-Malware e Spyware Doctor non trovano assolutamente niente MA gmer putroppo mi trova cmq un problema (ho messo di seguito l'allegato)! ho provato di tutto! ho cercato di seguire la tua guida al meglio possibile ma il problema non si è risolto. Ho provato anke a usare i comandi fixboot e fixmbr ma non hanno funzionato.. Ah a proposito oltre nod e gmer anke l'eseguibile di mbr da scaricare e mettere su C:\ mi rileva l'errore (è tutto nell'allegato)! ma mi dice sempre la stessa cosa! sia in modalita provvisoria ke in modalita normale ke con il comando -f alla fine.. Perfavore mi potresti aiutare? Ho dovuto formattare settimana scorsa per un altro tipo di problema e ora ke stavo rimettendo tutti gli aggiornamenti non ho tanta voglia di ricominciare daccapo! Grazie cmq! Buonagiornata

Cortesemente i log in formato .txt, quindi se possibile allega il log di Gmer, il Nod32 oltre a rilevare l'infezione che cosa ti consente di fare? Allegami anche il log del Nod inerente la rilevazione, grazie.

[Fenix247]

Si scusami ti ho allegato tutto in formato .txt
Il nod non è ke faccia molto come vedrai dal report della scansione! lo rileva solo ma non lo trova secondo me.. boh non capisco
sei tutto cio ke mi rimane dal formattare di nuovo

[Fenix247]

azzo non me lo allega in formato .txt!
te lo zippo!

[wjmat]

Ti rielenco brevemente le modalità di pubblicazione dei log
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comodo comando Gestisci allegati nelle Opzioni aggiuntive.
Clicca su Gestisci allegati -> si aprirà una finestra -> Click su Sfoglia -> seleziona il file da caricare -> Click su Carica -> sotto allegati correnti vedrai il tuo log caricato -> Chiudi la finestra
Altrimenti caricali su [wikisend.com] o su [mediafire.com].
Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.
Le immagini più grosse (es. nel caso di PrevX) salvale in JPG, essendo più leggere, e caricale su fileqube.com che permette di visualizzarle direttamente online.

[Fenix247]

Quote:

Originariamente inviato da wjmat

Ti rielenco brevemente le modalità di pubblicazione dei log
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comodo comando Gestisci allegati nelle Opzioni aggiuntive.
Clicca su Gestisci allegati -> si aprirà una finestra -> Click su Sfoglia -> seleziona il file da caricare -> Click su Carica -> sotto allegati correnti vedrai il tuo log caricato -> Chiudi la finestra
Altrimenti caricali su [wikisend.com] o su [mediafire.com].
Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.
Le immagini più grosse (es. nel caso di PrevX) salvale in JPG, essendo più leggere, e caricale su fileqube.com che permette di visualizzarle direttamente online.

non va bene se le metto in doc o pdf? in txt non riesco a caricarle (non so perke, non me le prende), ho zippato il txt perke l'ho visto in gestisci allegati tra le estensioni compatibili per uppare! cmq se è un problema ci riprovo

[Fenix247]

http://www.mediafire.com/?j0bfyyogcxf

[Chill-Out]

Quote:

Originariamente inviato da Fenix247

http://www.mediafire.com/?j0bfyyogcxf

Allegami un log di questo tool

http://www.trendmicro.com/download/rbuster.asp

[Fenix247]

non ha trovato niente.. non riesco davvero a capire..
http://www.mediafire.com/?7xtnznixd02

[Chill-Out]

Quote:

Originariamente inviato da Fenix247

non ha trovato niente.. non riesco davvero a capire..
http://www.mediafire.com/?7xtnznixd02

Fai girare questo tool http://download.norman.no/public/Nor...al_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_re...tools/52382/it

Al termine riallega anche log di Gmer.

[Fenix247]

norman rileva un errore e lo corregge ma poi gmer rovina tutto.. pare ci sia ancora..

http://www.mediafire.com/?ag221ukdx9x

[Fenix247]

attenzione!!!! nod non rileva pero piu l'errore!!! lo rileva solo gmer!!! è una notizia positiva no? non vorrei esultare troppo presto
cosa devo fare ora?

[Chill-Out]

Quote:

Originariamente inviato da Fenix247

attenzione!!!! nod non rileva pero piu l'errore!!! lo rileva solo gmer!!! è una notizia positiva no? non vorrei esultare troppo presto
cosa devo fare ora?

Mi alleghi un log di Gmer esattamente come indicato in Guida

[Fenix247]

certo! ekkolo..

http://www.mediafire.com/?fynmiyonyyq

kosa ne pensi?

[Chill-Out]

Quote:

Originariamente inviato da Fenix247

certo! ekkolo..

http://www.mediafire.com/?fynmiyonyyq

kosa ne pensi?

Penso che l'infezione sia stata rimossa ma dal log di Gmer si evince che del codice è appeso nel settore 61, dovresti seguire alla lettere questa fase così come indicato in Guida, come vedi questa fase è composta da 3 passaggi al termine di ogni passagio salvi il log prodotto dal tool (MBR1 - MBR2 - MBR3) al termine alleghi separatamente tutti e tre i log

Esegui il tutto disconnesso dalla rete, disabilitando i software di sicurezza es: Nod32...etc....


Download tools necessari per la rimozione/disinfezione:

Stealth MBR rootkit detector -> Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
1 - Scaricate MBR:EXE sul DeskTop e mettetelo direttamente nella Directory C:\
Riavviate il Pc in modalità provvisoria F8
Da Start - Esegui - digitate C:\mbr.exe e cliccate su OK
Salvate il log prodotto come MBR1 ed allegatelo per il controllo*
Esempio di MBR infetto:
Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit infection detected !
MBR INT 0x13 hook detected !
malicious code @ sector 0x12a18ac1 size 0x1e8 !
copy of MBR has been found in sector 62 !

2 - A questo punto sempre da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
Salvate il log prodotto come MBR2 ed allegatelo per il controllo*
Esempio di MBR correttamente ripristinato:
Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit infection detected !
MBR INT 0x13 hook detected !
malicious code @ sector 0x12a14c00 size 0x1ca !
copy of MBR has been found in sector 62 !
original MBR restored successfully !

3 - Riavviate il PC in modalità normale
Da Start - Esegui - digitate C:\mbr.exe e cliccate su OK
Salvate il log prodotto come MBR3 ed allegatelo per il controllo*
Esempio di MBR corretto:
Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

[Fenix247]

fatto! ma come l'altra volta mi da lo stesso messaggio per tutti e 3..
sono sicuro di avere fatto tutto bene..

http://www.mediafire.com/?meod3qtvdxm

e tra l'altro su mediafire essendo il log identico agli altri due non me li uppa ma mi da lo stesso link
te li metto uno sotto l'altro in formato jpeg

http://www.mediafire.com/imageview.p...y32zsj&thumb=4

[Chill-Out]

Quote:

Originariamente inviato da Fenix247

fatto! ma come l'altra volta mi da lo stesso messaggio per tutti e 3..
sono sicuro di avere fatto tutto bene..

http://www.mediafire.com/?meod3qtvdxm

e tra l'altro su mediafire essendo il log identico agli altri due non me li uppa ma mi da lo stesso link
te li metto uno sotto l'altro in formato jpeg

http://www.mediafire.com/imageview.p...y32zsj&thumb=4

Se i log li avessi rinominati come indicato in MBR1 - MBR2 e MBR3 te li avrebbe caricati, in definitiva mi stai dicendo che in modalità provvisoria eseguendo il passaggio 2 ovvero C:\mbr.exe -f il log rilasciato è sempre questo:

Quote:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x17bd1417 size 0x1a8 !
copy of MBR has been found in sector 62 !

mi dici quante e quali sono le partizione e dove è installato il SO (in C:\ secondo me)

[Fenix247]

Si eseguendo i primi due comandi in modalità provvisoria senza reti e l'ultimo in modalità normale mi da sempre lo stesso responso.
Ho 2 hd (C e D) di cui C ha una subpartition che è E, il sistema operativo è su C!
Cmq per dovere di cronaca (non penso c'entri ma non si sa mai), ti spiego ke problema ho avuto prima.. mi si è spento il pc e non mi partiva piu il sistema operativo, quindi ho dovuto fare in D un nuovo sistema operativo per salvare i dati di C ke se no sarebbero andati persi se avessi formattato! fortunatamente non ce stato bisogno xke quando ho inserito il cd di windows ho eseguito la console di ripristino ke mi ha sovrascritto i dati del vekkio windows in C e da li poi ho sistemato tutto e cancellato il sistema operativo in D per averne solo uno in C.. ti ripeto probabilmente non c'entra niente ma stavo pensando ad un errore nel codice dovuto a questo.. anke se il mebroot non poteva comparire cosi da un giorno all'altro..... sono in crisi

[Chill-Out]

Quote:

Originariamente inviato da Fenix247

Si eseguendo i primi due comandi in modalità provvisoria senza reti e l'ultimo in modalità normale mi da sempre lo stesso responso.
Ho 2 hd (C e D) di cui C ha una subpartition che è E, il sistema operativo è su C!
Cmq per dovere di cronaca (non penso c'entri ma non si sa mai), ti spiego ke problema ho avuto prima.. mi si è spento il pc e non mi partiva piu il sistema operativo, quindi ho dovuto fare in D un nuovo sistema operativo per salvare i dati di C ke se no sarebbero andati persi se avessi formattato! fortunatamente non ce stato bisogno xke quando ho inserito il cd di windows ho eseguito la console di ripristino ke mi ha sovrascritto i dati del vekkio windows in C e da li poi ho sistemato tutto e cancellato il sistema operativo in D per averne solo uno in C.. ti ripeto probabilmente non c'entra niente ma stavo pensando ad un errore nel codice dovuto a questo.. anke se il mebroot non poteva comparire cosi da un giorno all'altro..... sono in crisi

ammazza che rovescio, pero adesso mi è più chiaro ecco perchè dai log vedevo due MBR se Nod32 non rileva più l'infezione sei OK, se desideri ripristinare il record di avvio principale (MBR) segui questa Guida:

• Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS
  
• Entrata nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY
  
• Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive
  
• A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows
  
• Premi F10 per confermare ed uscire
  
• Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
  
• Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
  
• Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, nel tuo caso 1) C:\Windows quindi premere 1 e confermare con OK
  
• Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.
  
• Al prompt dei comandi digita FIXMBR e clicca su Y per confermare
  
• Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows

NB: per muoverti all'inteno del BIOS e selezionare i parametri indicati segui le istruzioni sui tasti funzione che vedi a video

[Fenix247]

Ho eseguito tutto.. purtroppo gmer ancora rileva questo malicious code.. ma se non è un trojan horse mi metto il cuore in pace e lo lascio vivere nel mio pc (non mi da fastidio e non penso ke mi possa creare altri danni) dunque se mi confermi ke ora non corro piu pericoli non ti faccio piu perdere tempo e lascio tutto cosi!
Ti ringrazio davvero per l'aiuto! e ti offro una birra virtuale!!