Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da conduzione

Ecco il mio problema:

sintomi
l'accensione di XP richiede 3 tentativi, i primi due si bloccano, sempre, allo stesso punto
durante la navigazione (con Chrome) mi compare, saltuariamente, un pop-up di un antivirus che mi propone la scansione del PC (che rifiuto, ovviamente)
rilevo, ad ogni accensione, dei file infettati, creati nello stesso giorno (28/8) che cancello. Ovviamente ad ogni successiva partenza di XP trovo sempre un file di nome diverso.

la particolarità
la scansione con Gmer mi segnala la presenza di un rootkit
http://wikisend.com/download/527432/gmer1.log

mentre Prevx non mi rileva la presenza di nessun rootkit, e quindi, ovviamente, non mi offre la possibilità di rimuoverlo. Nel log allegato sono evidenziati dei falsi positivi (li ho da sempre) ed uno di quei malware di cui parlavo prima (il file taskmgr)
http://wikisend.com/download/539920/prevx1.log

allego anche il log di mbr
http://wikisend.com/download/917492/mbr.log

il solito, enorme grazie anticipato

Ciao, scarica questo file http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

successivamente segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446

PS: ricorda di allegare anche il log di TDSSKiller

[bunny777]

Quote:

Originariamente inviato da Chill-Out

Personalmente ritengo sia necessario fare una scansione completa con CureIt, pertanto disinstalla Combofix

Start -->> esegui -->> digita combofix /uninstall e premi invio., successivamente elimina le cartelle C:\ComboFix - C:\Qoobox

Non ho trovato in C la cartella Combofix ma dopo l'uninstall il sistema ha creato in C la cartella 32788R22FWJFW con vari files tra cui alcuni di Combofix (Prevx mi vede combofix.sys come minaccia, ma forse è un falso positivo).
Inoltre AdAware mi rileva un processo pev.exe (ne ho 3 nel task manager oltre ad un processo cmd.cfxxe.exe) che prova a modificare le associazioni nel registro.
Cancello 32788R22FWJFW e termino questi exe nel taskmanager prima di avviare CureIt?

[Chill-Out]

Quote:

Originariamente inviato da bunny777

Non ho trovato in C la cartella Combofix ma dopo l'uninstall il sistema ha creato in C la cartella 32788R22FWJFW con vari files tra cui alcuni di Combofix (Prevx mi vede combofix.sys come minaccia, ma forse è un falso positivo).
Inoltre AdAware mi rileva un processo pev.exe (ne ho 3 nel task manager oltre ad un processo cmd.cfxxe.exe) che prova a modificare le associazioni nel registro.
Cancello 32788R22FWJFW e termino questi exe nel taskmanager prima di avviare CureIt?

Falsi positivi, facciamo così scarica questo tool

http://oldtimer.geekstogo.com/OTC.exe

connesso ad Internet fai doppio click su OTC.exe

clicca su CleanUp

se il Firewall ti allerta che OTC.exe vuole connettersi, acconsenti, al termine ti verrà chiesto di riavviare.

Poi lancia questa benedetta scansione con CureIt

[bunny777]

Quote:

Originariamente inviato da bunny777

Non ho trovato in C la cartella Combofix ma dopo l'uninstall il sistema ha creato in C la cartella 32788R22FWJFW con vari files tra cui alcuni di Combofix (Prevx mi vede combofix.sys come minaccia, ma forse è un falso positivo).

Aggiungo che Combofix mi avvisa in finestra che è attivo Avira e dovrei disattivarlo con Combofix in esecuzione. Sembra che anzichè disinstallarlo l'abbia attivato per una nuova scansione. E' possibile che Combofix non fosse installato nel sistema e così stia partendo una nuova scansione? Cosa faccio?

[Chill-Out]

Quote:

Originariamente inviato da bunny777

Aggiungo che Combofix mi avvisa in finestra che è attivo Avira e dovrei disattivarlo con Combofix in esecuzione. Sembra che anzichè disinstallarlo l'abbia attivato per una nuova scansione. E' possibile che Combofix non fosse installato nel sistema e così stia partendo una nuova scansione? Cosa faccio?

No, ti ho risposto sopra.

[bunny777]

Quote:

Originariamente inviato da Chill-Out

Poi lancia questa benedetta scansione con CureIt

Ho lanciato OTC ed eseguito poi CureIt con scansione completa ma saltando la rapida (l'ho interrotta), pensando che la completa includesse anche la rapida. Ti allego il log: se è incompleto, rifaccio la scansione rapida.
Vorrei chiederti:
1. nelle proprietà di Risorse del computer si è automaticamente riattivato il ripristino configurazione sistema. Lascio così?
2. Cancello la cartella "DoctorWeb"?
Grazie ancora.

cureit filtrato.txt

[conduzione]

Quote:

Originariamente inviato da Chill-Out

Ciao, scarica questo file http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

successivamente segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446

PS: ricorda di allegare anche il log di TDSSKiller

Successo !!! E' la seconda volta che mi "curi" !!!

Questo è il log di TDSSKiller http://wikisend.com/download/206516/....24.13_log.txt . Non ho più nessuno dei sintomi prima elencati e Gemr e Stealth MBR segnalano tutto pulito.

Ti chiederei ora (scusami) qualche info aggiuntiva (lo so, sono invadente, ma...)
1) posso evitare gli ulteriori controlli della guida http://www.hwupgrade.it/forum/showthread.php?t=1789446
2) il sistema è ora stabile ed affidabile oppure è più predente salvare (con calma) le mie cose e ripristinare la partizione di sistema con un'immagine che avevo salvato (non più aggiornatissima) ?
per ultimo:
3) che tipo di rootkit avevo (Prevx non me lo segnalava, non c'era lo user HelpAssistant...) ?

Grazie ancora con la sincera speranza di poterti offrire, un giorno, un caffè non solamente virtuale

[Chill-Out]

Quote:

Originariamente inviato da conduzione

Successo !!! E' la seconda volta che mi "curi" !!!

Questo è il log di TDSSKiller http://wikisend.com/download/206516/....24.13_log.txt . Non ho più nessuno dei sintomi prima elencati e Gemr e Stealth MBR segnalano tutto pulito.

Ti chiederei ora (scusami) qualche info aggiuntiva (lo so, sono invadente, ma...)
1) posso evitare gli ulteriori controlli della guida http://www.hwupgrade.it/forum/showthread.php?t=1789446

Io al tuo posto li farei

Quote:

Originariamente inviato da conduzione

2) il sistema è ora stabile ed affidabile oppure è più predente salvare (con calma) le mie cose e ripristinare la partizione di sistema con un'immagine che avevo salvato (non più aggiornatissima) ?

Se il sistema è stabile non vedo il motivo per cui ripristinare

Quote:

Originariamente inviato da conduzione

per ultimo:
3) che tipo di rootkit avevo (Prevx non me lo segnalava, non c'era lo user HelpAssistant...) ?

TDL3 Rootkit - Whistler Bootkit, non c'era Helpassistant perchè non si tratta della stessa infezione, proprio per questo ti ho invitato a seguire in successione questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446

Quote:

Originariamente inviato da conduzione

Grazie ancora con la sincera speranza di poterti offrire, un giorno, un caffè non solamente virtuale

Prego

[conduzione]

Quote:

Originariamente inviato da Chill-Out

Io al tuo posto li farei

OK, mi metto al lavoro. Ritengo che, se tutto va bene, non serva che ti posti i vari log. Fammi sapere se non condividi.

[Chill-Out]

Quote:

Originariamente inviato da conduzione

OK, mi metto al lavoro. Ritengo che, se tutto va bene, non serva che ti posti i vari log. Fammi sapere se non condividi.

Come preferisci, ma condividere i log serve sempre ed in ogni caso, sia a noi che prestiamo assitenza sia a coloro che possono avere lo stesso problema.

[bunny777]

Ciao Chill Out, ti riscrivo qui il post che ti ho scritto ieri sera sul tardi.
Grazie.

Quote:

Originariamente inviato da bunny777

Ho lanciato OTC ed eseguito poi CureIt con scansione completa ma saltando la rapida (l'ho interrotta), pensando che la completa includesse anche la rapida. Ti allego il log: se è incompleto, rifaccio la scansione rapida.
Vorrei chiederti:
1. nelle proprietà di Risorse del computer si è automaticamente riattivato il ripristino configurazione sistema. Lascio così?
2. Cancello la cartella "DoctorWeb"?
Grazie ancora.

cureit filtrato.txt

[Chill-Out]

Quote:

Originariamente inviato da bunny777

Ciao Chill Out, ti riscrivo qui il post che ti ho scritto ieri sera sul tardi.
Grazie.

Il Ripristino non è mai stato disattivato

Quote:

C:\System Volume Information\_restore{603B8A87-C9AC-4919-83C9-47CAF9A57B56}\RP1\A0001030.reg infettato da Trojan.StartPage.1505 - cancellato
C:\System Volume Information\_restore{603B8A87-C9AC-4919-83C9-47CAF9A57B56}\RP1\A0001166.reg infettato da Trojan.StartPage.1505 - cancellato
C:\System Volume Information\_restore{603B8A87-C9AC-4919-83C9-47CAF9A57B56}\RP1\A0001396.reg infettato da Trojan.StartPage.1505 - cancellato

comunque lo puoi lasciare attivato, leggi attentamente questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 troverai tutte le info che ti necessitano. Devi aggiornare il SO e i software complementari perchè obsoleti, quindi vulnerabili, inoltre è necessario rivedere il tuo parco software di sicurezza.

Ciao

[bunny777]

Quote:

Originariamente inviato da Chill-Out

comunque lo puoi lasciare attivato, leggi attentamente questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 troverai tutte le info che ti necessitano. Devi aggiornare il SO e i software complementari perchè obsoleti, quindi vulnerabili, inoltre è necessario rivedere il tuo parco software di sicurezza.

Ciao

Quindi il log di CureIt era ok? Posso quindi considerare il pc pulito e sicuro e accedere ai miei dati bancari?
Quali sono i software complementari? Per la sicurezza attualmente ho installato: Avira, AdAware, Spybot e Prevx. Il primo e l'ultimo credo di aver capito vadano bene, ma gli antispyware sono adatti?
Inoltre, posso cancellare la cartella 'DoctorWeb'?
Ancora grazie.

[fabrilas]

salve, potete dare un'occhiata a questi log? Grazie!

http://www.filedropper.com/log-gmer

http://www.filedropper.com/log-prevx

[xcdegasp]

@ fabrilas: possiedi già un thread perchè non continui su quello?

[Chill-Out]

Quote:

Originariamente inviato da bunny777

Quindi il log di CureIt era ok? Posso quindi considerare il pc pulito e sicuro e accedere ai miei dati bancari?
Quali sono i software complementari? Per la sicurezza attualmente ho installato: Avira, AdAware, Spybot e Prevx. Il primo e l'ultimo credo di aver capito vadano bene, ma gli antispyware sono adatti?
Inoltre, posso cancellare la cartella 'DoctorWeb'?
Ancora grazie.

Trovi tutte le info nel 3D ivi indicato http://www.hwupgrade.it/forum/showpo...postcount=3106

[conduzione]

Quote:

Originariamente inviato da Chill-Out

Come preferisci, ma condividere i log serve sempre ed in ogni caso, sia a noi che prestiamo assitenza sia a coloro che possono avere lo stesso problema.

con tale disponibilità...ecco i log

http://wikisend.com/download/510856/mbam-log-2010-09-02 (19-49-15).txt
http://wikisend.com/download/595080/...902-211820.txt
http://wikisend.com/download/493700/cureit filtrato.txt
http://wikisend.com/download/485506/hijackthis.log

ho fatto bene a fare anche quest'ultimo ciclo di controlli poichè mbam ha trovato dei residui del rootkit. Inoltre, cosa che mi preoccupa, una cartella VUOTA, che ha marchiato come "stolen data": cosa ci sarà stato dentro quella cartella? E' vuota poichè, dopo aver trasmesso il contenuto, è stato cancellato ?

Grazie ancora

[Chill-Out]

Quote:

Originariamente inviato da conduzione

con tale disponibilità...ecco i log

http://wikisend.com/download/510856/mbam-log-2010-09-02 (19-49-15).txt
http://wikisend.com/download/595080/...902-211820.txt
http://wikisend.com/download/493700/cureit filtrato.txt
http://wikisend.com/download/485506/hijackthis.log

ho fatto bene a fare anche quest'ultimo ciclo di controlli poichè mbam ha trovato dei residui del rootkit. Inoltre, cosa che mi preoccupa, una cartella VUOTA, che ha marchiato come "stolen data": cosa ci sarà stato dentro quella cartella? E' vuota poichè, dopo aver trasmesso il contenuto, è stato cancellato ?

Grazie ancora

I log andavano pubblicati nel 3D di comptenza, comunque non hai eseguito correttamente quanto indicato, ovvero:

- dal log di MBAM si evince che hai fatto scansione rapida ->> Quick scan inoltre dal log risulta che non hai eliminato nulla ->> No action taken

Quote:

Registry Keys Infected:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\HiSoft\CrackDownloader (CrackTool.Agent) -> No action taken.

- stesso discorso per a-squared/Emsi Anti malware la versione corrente è la 5 tu hai usato la 4.5 senza aggiornare il database delle firme virali, inoltre non hai messi in quarantena gli elementi infetti

- DrWeb CureIt non hai fatto scansione completa

aiutateci ad aiutarvi, grazie.

[bunny777]

Quote:

Originariamente inviato da Chill-Out

Trovi tutte le info nel 3D ivi indicato http://www.hwupgrade.it/forum/showpo...postcount=3106

Ok, ti ringrazio ancora per l'aiuto indispensabile che mi hai prestato.
Posso considerare allo stato attuale il mio pc liberato dal rootkit, ad esempio per l'accesso ai dati bancari?
Grazie di nuovo.

[conduzione]

Quote:

Originariamente inviato da Chill-Out

aiutateci ad aiutarvi, grazie.

orca miseria, che cazziata ! purtroppo meritata !

Vero per le versioni e per gli "scan brevi" ma...i log sono stati fatti PRIMA che io facessi le eliminazioni

correggo e posto nella sezione opportuna