Accedi per seguire   
Seguaci 0
zio.frank

Rimozione Master Boot Record Rootkit - Mbr Rootkit

35 messaggi in questa discussione

Salve a tutti oggi il mio amato nod 32 costantemente aggiornato mi ha rilevato un'infezione causato da "mbr rootkit", ho cercato in rete, ho fatto vari scansioni, scaricato parecchi programmini per rimuoverlo, gli ho avviati anche in modalità provvisoria, pulendo tutto ed ora che ho finito "credo" che si sia risolto tutto, ma per maggior conferma vi posto il log di hijackthis, per poter ricevere una conferma su eventuali tracce ancora presenti, e/o altre minaccie.

ps: windows 7 home edition 64 bit, i3 530, 6gb, 640 di hd diviso due partizioni: C e D, la prima è per windows, l'altra è per i dati.

Ciao ragazzi grazie per l'aiuto :clapping1::thumbsup5:

hijackthis.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Zio Frank :thumbsup5:

Scaricare ed eseguire DDS

Ho bisogno di vedere alcune informazioni riguardo la vostra macchina. Si prega di eseguire quanto segue:

  • Scarica DDS by sUBs da uno dei seguenti links. Salvalo sul tuo desktop.

    [*]Doppio click sull'icona di DDS , per eseguirlo.[*]Verra' visualizzato a schermo un piccolo box, con all'interno tutte le spiegazioni circa il tool in esecuzione. Non e' necessario nessun intervento, la scansione è in esecuzione[*]Al termine si aprira' un blocco note con i risultati della scansione.[*]Seguire le istruzioni che compaiono per la pubblicazione dei risultati, quindi fare clic su Ok.[*]Si prega di salvare entrambi i file di log sul desktop , copia il contenuto di entrambi i log e postali nella tua prossima risposta

ATTENZIONE: Potrebbe essere necessario disabilitare temporaneamente tutte le protezioni, come AV e Firewall se la scansione non dovesse riuscire

Dopo il download del tool, disconnettersi da internet e disabilitare antivirus e firewall .

Eseguire la scansione.

Abilitare AV e FW e riconnettersi ad internet.

Informazioni sulla temporanea disabilitazione del AV si possono trovare QUI'

*******************************************************************************************************

Scarica ed installa GMER (segui questa guida http://forum.wininizio.it/index.php/topic/69219-gmer-il-rilevatore-di-rootkit/)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao guarda ho appena caricato i log di DDS inoltre GMER non rileva nessun file evidenziato in rosso allego anche il suo log ti ringrazio per l'aiuto :thumbup1: inoltre volevo chiederti se fosse attivo il virus potrebbe aver rubato le eventuali password immesse on line ? ciao grazie ancora :thumbsup5::thumbup:

Attach.txt

DDS.txt

gmer.log

Modificato da zio frank

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

zio frank, visto che "l'ospite" si annida nel MBR non è ancora possibile escludere nulla, ora come ora.

Sei a conoscenza del fatto che hai non una, ma ben 2 versioni di TeamViewer installate ed eseguite come servizio all'avvio del sistema?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao zio frank

Scarica MBR Rootkit detector e salvalo nella directory C:\

Da start, nel box "cerca file e programmi" digita : "C:\mbr.

Si aprira una finestra di Dos. Se non viene segnalato nulla allora l'MBR e' pulito. Al lavoro.

Rispondendo alle tue domande: Il mio consiglio e'

cambiare tutte le password , dove possibile , inoltre sarebbe saggio, mettersi in contatto con quelle stesse istituzioni finanziarie per informarli della situazione .

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao ragazzi, giorno..!

per Pike:

Spero di risolve in qualche modo, TeamViewer ogni tanto lo uso perchè ho bisogno di gestire da remoto un pc di un amico, quindi l'ho installato io, come posso risolvere? è dannoso/pericoloso? avevo la versione 6 poi ultimamente l'ho aggiornato alla 7..

per MR 4011:

Ciao guarda in basso trovi il log di mbr.exe che ho avviato come mi hai detto, dalla root del disco C: ora cambio le password ma penso sia meglio dal macbook o da iphone che dici ? perchè se le ricambio dal pc non cambia nulla in sostanza giusto ? :confused2: cmq ora nod 32 nn rileva piu nulla..non sò se può aiutare :scare1: cmq ragazzi grazie per tutto l'aiuto :cheers::laving4::thumbup: spero che analizzato il log non ci siano problemi, ma credo ci siano degli errori, aspetto vostre notizie..spero davvero di navigare tranquillo..!!

mbr.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao zio frank.

Riesegui il tool questa volta tasto destro "esegui come amministratore.

PS Cambia le pass da un altro dispositivo. Ti dico questo perche' dopo tutti i tool che hai usato non vorrei che alla fine avevi un backdoor, quindi per sicurezza usa un'altro dispositivo per cambiare tutte le tue pass.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao guarda ho rieseguito mbr e il log è lo stesso eccolo:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net

Windows 6.1.7601

device: opened successfully

user: error reading MBR

error: Read Handle non valido.

kernel: error reading MBR

ho eseguito anche una scansione completa con http://housecall.trendmicro.com/it/ sono al 70% e non ha rilevato nulla ma poco fà nod 32 mi ha dato questo avviso:

28/02/2012 13:07:19 Real-time file system protection file C:\Users\monster\AppData\Local\Temp\HouseCall\VS609RRR.18E probably a variant of Win32/Agent.GDBSDLB trojan cleaned by deleting - quarantined monster-PC\monster Event occurred on a new file created by the application: C:\Users\monster\AppData\Local\Temp\HouseCall\housecall.bin.

le psw le ho cambiate con iphone :thumbsup5: ragazzi, voglio risolvere, sto col patema d'animo finchè non navigo tranquillo ! :(:ciao2::medical2:

Modificato da zio frank

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Zio Frank, principalmente è importante che tu sappia che sia installato.

Il modo come è attualmente configurato per me non è per niente logico, ma questo non significa che io sia dalla parte della ragione o che conosca meglio di te le tue esigenze.

:)

Per il tuo MBR, proviamo a fare test "laterali".

Il test del MasterBootRecord GMER evidentemente non riesce ad operare.

Il primo test potrebbe essere quello di usare BlackLight

http://www.f-secure....oval/blacklight

Per individuare altri rootkit.

Se hai un altro PC (o un amico disponibile) potresti tentare di usare il Rescue Disk di F-Secure (é uno dei tanti, potresti usare quello di Avira o di BitDefender)

Qui c'è la guida all'uso

http://www.f-secure....de.20110923.pdf

E qui dove puoi trovare il rescue CD.

http://www.f-secure....-3.14-44905.iso

La versione di F-Secure richiede di essere collegata ad internet, durante l'uso, per ricevere gli aggiornamenti.

Se preferisci una versione con le definizioni aggiornate, il rescue cd di AVG è una scelta "precotta"

http://www.avg.com/i...cue-cd-download

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Pike, allora guarda ho disinstallato TeamViewer 7, e disabilitato i servizi di entrambi 6 e 7 tanto per essere sicuro :thumbsup5:

ora sto scaricando BlackLight ed il rescue cd di AVG, ma questo CD lo devo far partire facendo il boot all'avvio del pc giusto?

cmq appena ho novità ti aggiorno, ps questa mattina accendendo il pc, ho notato che ci ha impiegato molto piu tempo del solito ad accendersi :censored: non so se centra qualcosa..sicuramente si, però te l'ho fatto presente..ciao grazie come sempre di tutto..! :clapping1::clapping1:

Modificato da zio frank

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Pike ho un problema con BlackLight ti posto un screenshot e allego il log

immagineon.jpg

è un problema di contabilità, l'ho avviato come amministratore e ho provato la compatibilità anche con xp ecc ma nnt..forse perchè ho win 7 a 64 bit..

fsbl-20120229094050.log

Modificato da zio frank

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Scusami, non ho fatto a dovere i controlli del caso. Non usare BlackLight, è compatibile con le versioni a 32 bit e non a 64 dei sistemi operativi Windows Vista e Windows 7.

RootkitBuster di Trendmicro ha lo stesso problema..

http://free.antivirus.com/rootkit-buster/

Proviamo con il vecchio Stinger di McAfee..

http://www.mcafee.com/us/downloads/free-tools/stinger.aspx

Stinger è estremamente lento nel fare la scansione, tienine conto prima di lanciarla.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Scusate se mi intrometto, sarebbe il caso di far lavorare in live Hiren's BCD? la proposta è rivolta a chi ti ha ottimamente assistito fino ad ora, aspetta una loro risposta prima di usarlo.

Saluti

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Grazie Pike sto facendo lavorare Stinger ora vediamo come và :rolleyes: ancora grazie..!

Beylerbeyi ho scaricato il rescue CD di AVG http://www.avg.com/i...cue-cd-download non può andar bene lo stesso?

quando finisco con Stringer masterizzo l'iso e avvio il cd di avg che ne dite ? :thumbsup5:

Grazie a tutti ragazzi..per l'aiuto..!

Modificato da zio frank

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Scusate se mi intrometto, sarebbe il caso di far lavorare in live Hiren's BCD? la proposta è rivolta a chi ti ha ottimamente assistito fino ad ora, aspetta una loro risposta prima di usarlo.

Saluti

HBCD è un eccellente strumento, ma potenzialmente devastante, se mal gestito...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Pike eccomi Stinger ha appena finito..! mi ha rilevato 5 virus e ne ha rimosso 4 ti posto il log !

non avrei mai pensato che i pokesav che usavo per mio cugino fossero infetti spero che non sia un falso positivo, cmq ho rimosso tutto, procedo con il cd di bootando il CD di AVG ? :thumbsup5:

stinger.txt

Modificato da zio frank

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Prima il log di Stinger, poi procedi pure con il RescueDisc di AVG.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Purtroppo nel MBR non ha trovato nulla... Può darsi che i file possano essere dei falsi positivi; Virustotal può aiutarti a capire se i file sono realmente infetti oppure no.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Grazie Pike sto facendo lavorare Stinger ora vediamo come và :rolleyes: ancora grazie..!

Beylerbeyi ho scaricato il rescue CD di AVG http://www.avg.com/i...cue-cd-download non può andar bene lo stesso?

quando finisco con Stringer masterizzo l'iso e avvio il cd di avg che ne dite ? :thumbsup5:

Grazie a tutti ragazzi..per l'aiuto..!

Continua a seguire le indicazioni che stai ricevendo, che ribadisco sono ottime. Il mio intervento era più un mio orientamento che un consiglio da dare a te e/o a chi ti sta seguendo. Non voglio inquinare oltre il 3d, continuerò a seguirlo con attenzione visto che è molto ben gestito. Bye.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Pike come mi avevi detto ora sto esegueno il cd di avg che ho bootato dal pc mentre ti scrivo dal macbook, una volta finito vediamo cosa rileva e ti dico, no ma non preoccuparti ormai i file li ho rimossi, non mi importa di ciò che posso riscaricare, forse nemmeno li riscarico, l'importate ora è risolvere..grazie a tutti per l'aiuto, non smetterò mai di dirlo ehehe.. :clapping1:

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ehy Pike, ho eseguito il cd di AVG e non ha rilevato nulla nelle partizioni di C: e D: ora sto analizzando anche un partizione da 100mega che non so cosa sia :confused2: :confused2: :confused2: e dopo analizzo la partizione di ripristino..che ne dici ? :rolleyes2::rolleyes1:

Modificato da zio frank

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Che su queste ultime applicherei le correzioni con moooooooooooooooolta cautela.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
:no: :no: oddio non mi dire così senno lascio perdere tanto, le partizioni c: e d: già le ha analizzate, ma il virus mbr rootkit che cerchiamo potrebbe stare in queste da 100mb e da 15gb?:confused2: sto a pezzi :medical2: non vedo l'ora di risolvere :thumbsup5: :thumbsup5:

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ti spiego la "molta cautela".

Non so come sono costruite esattamente queste partizioni, non so che cosa contengono e non posso immaginare se il rescue disk può trovare dei falsi positivi.

Di conseguenza, se ti propone di cancellare dei file in questi dischi, almeno per il momento, segnati solo i nomi dei file e non fare nulla.

Nei dischi C: e D: in linea di massima non ci dovrebbe essere nulla, nel MasterBootRecord il controllo è già stato effettuato.

Per essere "a pezzi"... un po' d'attaccatutto? :D

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0