Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da conduzione

correggo e posto nella sezione opportuna

Ok

[Chill-Out]

Quote:

Originariamente inviato da bunny777

Ok, ti ringrazio ancora per l'aiuto indispensabile che mi hai prestato.
Posso considerare allo stato attuale il mio pc liberato dal rootkit, ad esempio per l'accesso ai dati bancari?
Grazie di nuovo.

Direi di si, mi raccomando leggi la Guida che ti ho linkato

[bunny777]

Quote:

Originariamente inviato da Chill-Out

Direi di si, mi raccomando leggi la Guida che ti ho linkato

Ok. Non posso che ringraziarti ancora della tua assistenza. Bye!

[Chill-Out]

Quote:

Originariamente inviato da bunny777

Ok. Non posso che ringraziarti ancora della tua assistenza. Bye!

Prego, ciao.

[Doorman666]

Buongiorno. Mi è arrivato tra le mani un portatile di un amico, che sopra aveva letteralmente di tutto. Dopo esser riuscito a ripulirlo da svariate decine di virus, malware e spyware, mi è rimasto su un maledetto mbr rootkit che non riesco a debellare. Prevx me lo rileva in c:\windows\system32\drivers\ndis.sys, ma la versione free non mi permette la rimozione. Allego i log di gmer e dello stesso prevx, se qualcuno volesse darci un'occhiata...
Grazie!

Log Gmer : http://wikisend.com/download/552230/gmer-log.log
Log prevx: http://wikisend.com/download/443660/prevxlog.log

[Chill-Out]

Quote:

Originariamente inviato da Doorman666

Buongiorno. Mi è arrivato tra le mani un portatile di un amico, che sopra aveva letteralmente di tutto. Dopo esser riuscito a ripulirlo da svariate decine di virus, malware e spyware, mi è rimasto su un maledetto mbr rootkit che non riesco a debellare. Prevx me lo rileva in c:\windows\system32\drivers\ndis.sys, ma la versione free non mi permette la rimozione. Allego i log di gmer e dello stesso prevx, se qualcuno volesse darci un'occhiata...
Grazie!

Log Gmer : http://wikisend.com/download/552230/gmer-log.log
Log prevx: http://wikisend.com/download/443660/prevxlog.log

Ciao, Prevx non ti consente di rimuoverlo in quanto rileva:

Quote:

[Z<00110020>] c:\windows\system32\drivers\ndis.sys [PX5: AABA5D7880A23B4137ED034A038EE300289534B1] Malware Group: Malware Component

fai girare DrWeb CureIt ed allega il log.

[Doorman666]

Ciao e grazie per la risposta. Ho fatto girare drweb, mi ha trovato sempre in ndis.sys una backdoor.bulknet.507, ti allego il log
http://wikisend.com/download/949030/cureit filtrato.

Chiedo scusa, il log postato era riferito alla scansione rapida. Sto ultimando ora quella completa, appena terminata posterò il log corretto.

[Chill-Out]

Quote:

Originariamente inviato da Doorman666

Ciao e grazie per la risposta. Ho fatto girare drweb, mi ha trovato sempre in ndis.sys una backdoor.bulknet.507, ti allego il log
http://wikisend.com/download/949030/cureit filtrato.

Chiedo scusa, il log postato era riferito alla scansione rapida. Sto ultimando ora quella completa, appena terminata posterò il log corretto.

Hai riavviato al termine della scansione rapida?

[Doorman666]

Si, ho riavviato il portatile e poi rilanciato la scansione completa, che è ancora in corso.

[Chill-Out]

Quote:

Originariamente inviato da Doorman666

Si, ho riavviato il portatile e poi rilanciato la scansione completa, che è ancora in corso.

Perfetto

[Doorman666]

Ok, scansione completa terminata, allego il log:
http://wikisend.com/download/602130/cureit filtrato.txt

[Chill-Out]

Quote:

Originariamente inviato da Doorman666

Ok, scansione completa terminata, allego il log:
http://wikisend.com/download/602130/cureit filtrato.txt

Ciao, ripeti una scansione Rapida perchè dal log non si comprende che azione hai intrapreso.

[Doorman666]

Buongiorno. Ho rieffettuato la scansione rapida e riavviato il pc, ti allego il nuovo log: http://wikisend.com/download/191722/cureit filtrato.txt
Grazie per la pazienza!

[Chill-Out]

Quote:

Originariamente inviato da Doorman666

Buongiorno. Ho rieffettuato la scansione rapida e riavviato il pc, ti allego il nuovo log: http://wikisend.com/download/191722/cureit filtrato.txt
Grazie per la pazienza!

Continua a rilevare quanto segue?

Quote:

[Scan path] C:\WINDOWS\system32
C:\WINDOWS\system32\dllcache\ndis.sys infettato da BackDoor.Bulknet.507 - verrà curato dopo il riavvio del sistema
C:\WINDOWS\system32\drivers\ndis.sys infettato da BackDoor.Bulknet.507 - verrà curato dopo il riavvio del sistema

[Doorman666]

Si, durante la scansione drweb mi segnala sempre BackDoor.Bulknet.507 in ndis.sys, ma anche dopo il riavvio non riesce a risolvere il problema.

[Chill-Out]

Quote:

Originariamente inviato da Doorman666

Si, durante la scansione drweb mi segnala sempre BackDoor.Bulknet.507 in ndis.sys, ma anche dopo il riavvio non riesce a risolvere il problema.

Disabilita il Ripristino conf.sistema, successivamente fai girare Combofix esattamente come indicato al Punto 3 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1984665

[Doorman666]

Ok, ho disattivato il ripristino di sistema (che continua a riattivarsi...) ed ho operato con combofix. Ti allego il solito log...
http://wikisend.com/download/941734/ComboFix.txt

[Chill-Out]

Quote:

Originariamente inviato da Doorman666

Ok, ho disattivato il ripristino di sistema (che continua a riattivarsi...) ed ho operato con combofix. Ti allego il solito log...
http://wikisend.com/download/941734/ComboFix.txt

Ma che razza di disastro è questo PC, comunque proviamo a risolvere il problema:

- abilita la visualizzazione dei file nascosti mettendo il segno di spunta su Visualizza cartelle e file nascosti - Togli la spunta da nascondi files protetti di sistema - Applica - OK

Start - Cerca digita ndis.sys

riportami per esteso tutti i percorsi dove viene trovato il file in questione, comunque dovresti trovarlo qui: c:\windows\ServicePackFiles\i386

PS: mi indichi per curiosità quali software hai fatto girare per eliminare questa infezione?

[Doorman666]

Si, questo portatile è un inferno, mai visto roba simile. Allora, considerando che è da venerdì che ho in mano questo alieno, per quel che ricordo ho iniziato da malwarebytes, che mi ha trovato 760 Chiavi di registro infette, 15 valori di registro infetti, 4 Voci infette nei dati di registro ed 83 File infetti. Ho quindi installato AVG (prima non ci riuscivo), che ha fatto un altro po' di pulizia, poi sono passato a Norman, mbr.exe, spydllremover, gmer & combofix, fino ad arrivare a prevx ed arrendermi a questo rootkit
Ho effettuato la ricerca, ndis.sys è in c:\windows\system32\dllcache ed in c:\windows\system32\drivers (più varie ricorrenze di btwdndis.sys, che credo sia qualcosa per il bluetooth), mentre la cartella c:\windows\ServicePackFiles non c'è proprio...
Oh, grazie per la pazienza!

[Chill-Out]

Quote:

Originariamente inviato da Doorman666

Si, questo portatile è un inferno, mai visto roba simile. Allora, considerando che è da venerdì che ho in mano questo alieno, per quel che ricordo ho iniziato da malwarebytes, che mi ha trovato 760 Chiavi di registro infette, 15 valori di registro infetti, 4 Voci infette nei dati di registro ed 83 File infetti. Ho quindi installato AVG (prima non ci riuscivo), che ha fatto un altro po' di pulizia, poi sono passato a gmer & combofix, fino ad arrivare a prevx ed arrendermi a questo rootkit
Ho effettuato la ricerca, ndis.sys è in c:\windows\system32\dllcache ed in c:\windows\system32\drivers (più varie ricorrenze di btwdndis.sys, che credo sia qualcosa per il bluetooth), mentre la cartella c:\windows\ServicePackFiles non c'è proprio...
Oh, grazie per la pazienza!

Lo so che è nei percorsi da te indicati

Quote:

C:\WINDOWS\system32\dllcache\ndis.sys infettato da BackDoor.Bulknet.507 - verrà curato dopo il riavvio del sistema
C:\WINDOWS\system32\drivers\ndis.sys infettato da BackDoor.Bulknet.507 - verrà curato dopo il riavvio del sistema

purtroppo è infetto e lo dobbiamo sostituire, sicuro di aver abilitato la visualizzazione dei file nascosti come indicato ?