Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Guyon]

-----------------------------------------------------------------------------
Statistiche delle Scansioni
-----------------------------------------------------------------------------
Oggetti controllati: 81249
Trovati oggetti Infetti: 0
Trovato Oggetti modificati: 0
Trovato oggetti Sospetti: 0
Trovato Adware: 0
Trovato Dialer: 0
Trovato Joke: 0
Trovato Riskware: 0
Trovato Hacktool: 0
Oggetti curati: 0
Oggetti cancellati: 0
Oggetti rinominati: 0
Oggetti spostati: 0
Oggetti ignorati: 0
Velocità di scansione: 3600 Kb/s
Durata scansione: 00:14:27
-----------------------------------------------------------------------------

Ri - grazie ^

[J.Carter]

Salve a tutti,
anche un mio amico è rimasto vittima del rootkit in questione. Mi ha lasciato il pc perchè cercassi di risolvere il problema.
Ho seguito i seguenti passaggi:
Ho ripristinato il settore di avvio con fixmbr da console di ripristino e pare abbia funzionato.
prevX restituisce un log pulito sia avviandolo normalmente che in modalità provvisoria.
Gmer invece in modalità "normale" si blocca, mentre in modalità provvisoria restituisce il seguente log
log gmer

avvio quindi Stealth MBR rootkit detector che mi riporta il seguente log
log Stealth MBR Rootkit

Mi sembra ci sia ancora qualcosa, ma nessuno degli antivirus che ho provato riesce a scovare nulla.

Grazie per l'aiuto

[Guyon]

PS io ho eseguito le scansioni sia in modalità provvisoria che normale: era sufficiente quest'ultima?

[Chill-Out]

Quote:

Originariamente inviato da Guyon

PS io ho eseguito le scansioni sia in modalità provvisoria che normale: era sufficiente quest'ultima?

Direi di si

[Chill-Out]

Quote:

Originariamente inviato da J.Carter

Salve a tutti,
anche un mio amico è rimasto vittima del rootkit in questione. Mi ha lasciato il pc perchè cercassi di risolvere il problema.
Ho seguito i seguenti passaggi:
Ho ripristinato il settore di avvio con fixmbr da console di ripristino e pare abbia funzionato.
prevX restituisce un log pulito sia avviandolo normalmente che in modalità provvisoria.
Gmer invece in modalità "normale" si blocca, mentre in modalità provvisoria restituisce il seguente log
log gmer

avvio quindi Stealth MBR rootkit detector che mi riporta il seguente log
log Stealth MBR Rootkit

Mi sembra ci sia ancora qualcosa, ma nessuno degli antivirus che ho provato riesce a scovare nulla.

Grazie per l'aiuto

Devi fare questi passaggi da modalità provvisorai F8:

Quote:

2 - A questo punto sempre da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
Salvate il log prodotto per il controllo*
Esempio di MBR correttamente ripristinato:
Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit infection detected !
MBR INT 0x13 hook detected !
malicious code @ sector 0x12a14c00 size 0x1ca !
copy of MBR has been found in sector 62 !
original MBR restored successfully !

3 - Riavviate il PC in modalità normale
Da Start - Esegui - digitate C:\mbr.exe e cliccate su OK
Salvate il log prodotto per il controllo*
Esempio di MBR corretto:
Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Symantec Trojan.Mebroot Removal Tool -> Download
Compatibile: Windows XP
Caratteristiche: non necessita di installazione
Doppio click su FixMebroot.exe - cliccare su I Accept - cliccare su Start e seguire le istruzioni
Al termine della scansione verrà creato sul Desktop il log FixMebroot.log da allegare per il controllo*

mi raccomando salva i log 1 per volta ed allegali, leggi bene le istruzioni

[J.Carter]

Allego i file che mi hai richiesto:
fase 2
http://www.mediafire.com/?it9gmmudf5g
fase 3
http://www.mediafire.com/?hrnmvm12yue
symantec fixmebroot
http://www.mediafire.com/?is2xdywyhjh

Nota: fixmebroot.exe non è disponibile dal sito symantec, l'ho trovato con google. Che sia un problema di link?

[Chill-Out]

Quote:

Originariamente inviato da J.Carter

Allego i file che mi hai richiesto:
fase 2
http://www.mediafire.com/?it9gmmudf5g
fase 3
http://www.mediafire.com/?hrnmvm12yue
symantec fixmebroot
http://www.mediafire.com/?is2xdywyhjh

Nota: fixmebroot.exe non è disponibile dal sito symantec, l'ho trovato con google. Che sia un problema di link?

Mi hai allegato 2 volte lo stesso log che fà riferimento al 1 passaggio della :: Seconda Fase ::

Devi lancare il secondo passaggio da modalità provvisoria ovvero Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
salvare il log ed allegarlo
poi 3 passaggio ovvero Start - Esegui - digitate C:\mbr.exe e cliccate su OK salvare il log ed allegarlo

Se noti in funzione dei 3 passaggi i log sono diversi

[J.Carter]

Quote:

Originariamente inviato da Chill-Out

Mi hai allegato 2 volte lo stesso log che fà riferimento al 1 passaggio della :: Seconda Fase ::

Devi lancare il secondo passaggio da modalità provvisoria ovvero Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
salvare il log ed allegarlo
poi 3 passaggio ovvero Start - Esegui - digitate C:\mbr.exe e cliccate su OK salvare il log ed allegarlo

Se noti in funzione dei 3 passaggi i log sono diversi

Ho provveduto a rinominarli ad ogni passo per non creare confusione. Rifacendo i passaggi ottengo sempre lo stesso log per entrambi, con l'opzione -f che senza.


Ti ringrazio per l'interessamento
Ora devo uscire, lascio la scansione con drWeb posto il log appena possibile

[J.Carter]

DrWeb non ha rivelato nulla allego comunque il log della scanzione se può esser utile

25mb di log
http://www.mediafire.com/?d1jdvvvo3ey

[Chill-Out]

Quote:

Originariamente inviato da J.Carter

DrWeb non ha rivelato nulla allego comunque il log della scanzione se può esser utile

25mb di log
http://www.mediafire.com/?d1jdvvvo3ey

Allega anche un log di Gmer http://www2.gmer.net/beta/gmer.exe

[J.Carter]

Ecco il log di gmer 1.0.14.14316
log gmer

[Chill-Out]

Quote:

Originariamente inviato da J.Carter

Ecco il log di gmer 1.0.14.14316
log gmer

Dal log di Gmer

Quote:

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x1bf5de1 size 0x1ce
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

Allega un log di riscontro con questo tool http://www.trendmicro.com/download/rbuster.asp

[J.Carter]

nessun riscontro nemmeno con il tool trend micro rootkit buster
allego comunque il log qui

[Chill-Out]

Quote:

Originariamente inviato da J.Carter

nessun riscontro nemmeno con il tool trend micro rootkit buster
allego comunque il log qui

Il log è pulito, ricordi il messaggio rilasciato dopo il comando FIXMBR?

[J.Carter]

La procedura è terminata correttamente, con il comando fixmbr.
Mi viene in mente un'idea, salvo l'mbr su un file. poi sovrascrivo i primi 446 settori con degli zeri e poi riprovo con fixmbr

[J.Carter]

Niente nulla di risolto...
Credo formatterò

[Chill-Out]

Quote:

Originariamente inviato da J.Carter

Niente nulla di risolto...
Credo formatterò

Immaginavo allega un log di gmer per favore

[MissF1]

Buongiorno a tutti!
Allora Prevx CSI l'altro giorno mi ha individuato il Rootkit PhysicalDrive0\MBR
Ho seguito le istruzioni della prima fase.......ma dopo lo scanning con PrevX non riesco a salvare il log e non so perchè, quindi scrivo per filo e per segno quello che leggo da Prevx!

ROOTKIT \\.\PhysicalDrive0\MBR Hidden Disk Sectors

Vi allego il log di Gmer e aspetto prima di passare alla fase 2.......sembra un piano di battaglia detta così !

http://www.fileup.itadib.com/downloa...7doSnMjpscoSo8

Non so se possa c'entrare ma domenica il pc si è spento all'improvviso.......al riavvio cliccando sull'icona sul desktop di Alice mi era impossibile accedere alla finestra di connessione......lo stesso dalle connessioni di rete! Ma potevo cmq navigare in internet, ho aperto una discussione apposita e su consiglio di un utnte ho controllato lo stato del modem......che risulta impostato sulla modalità Bridged-Router x la connessione automatica...anche se io non ho cambiato le impostazioni......non so se può essere un sintomo della presenza del rootkit!

Grazie già da ora x l'aiuto!
Buona giornata a todos!!

MissF1

[Chill-Out]

Quote:

Originariamente inviato da MissF1

Buongiorno a tutti!
Allora Prevx CSI l'altro giorno mi ha individuato il Rootkit PhysicalDrive0\MBR
Ho seguito le istruzioni della prima fase.......ma dopo lo scanning con PrevX non riesco a salvare il log e non so perchè, quindi scrivo per filo e per segno quello che leggo da Prevx!

ROOTKIT \\.\PhysicalDrive0\MBR Hidden Disk Sectors

Vi allego il log di Gmer e aspetto prima di passare alla fase 2.......sembra un piano di battaglia detta così !

http://www.fileup.itadib.com/downloa...7doSnMjpscoSo8

Non so se possa c'entrare ma domenica il pc si è spento all'improvviso.......al riavvio cliccando sull'icona sul desktop di Alice mi era impossibile accedere alla finestra di connessione......lo stesso dalle connessioni di rete! Ma potevo cmq navigare in internet, ho aperto una discussione apposita e su consiglio di un utnte ho controllato lo stato del modem......che risulta impostato sulla modalità Bridged-Router x la connessione automatica...anche se io non ho cambiato le impostazioni......non so se può essere un sintomo della presenza del rootkit!

Grazie già da ora x l'aiuto!
Buona giornata a todos!!

MissF1

Un log anche di questo tool http://www.trendmicro.com/download/rbuster.asp Thx.

[MissF1]

Ecco il Log che mi hai chiesto Chill-Out!
Grazie!