Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

S.O.S. per Rimuovere mbr rootkit.

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

S.O.S. per Rimuovere mbr rootkit.

Messaggioda caper » sab ago 14, 2010 10:42 am

Dal log di Mbr.exe eseguito sul mio pc, sembra che i miei hd (4 in tutto: 2 con sistema oprativo installato e 2 solo di deposito dati) siano infetti da mbr rootkit. Anche se non riscontro anomalie visibili nel pc, vorrei fare "pulizia".
In questi hd, però ho anni di documenti e tutte cose importanti che non posso perdere, e cerco (se esiste) il modo di riportare l'mbr alla normalità, ma senza perdere i tutti dati salvati sugli hd.
Grazie a tutti quelli che vorranno aiutarmi. [ciao]

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 1 !
copy of MBR has been found in sector 62 !
Avatar utente
caper
 

Re: S.O.S. per Rimuovere mbr rootkit.

Messaggioda stevens » sab ago 14, 2010 11:17 am

ciao

inizia ad usare combofix per le prime pulizie

- disattiva l'antivirus

scaricalo da qui

esegui ComboFix.exe

- segui le instruzioni

- finita la scansione portati in C:\ e copia/incolla, nella tua prossima risposta, il contenuto del file di testo Combofix.txt
Avatar utente
stevens
Bronze Member
Bronze Member
 
Messaggi: 678
Iscritto il: mer feb 18, 2009 1:39 pm

Re: S.O.S. per Rimuovere mbr rootkit.

Messaggioda Uomo_Senza_Sonno » sab ago 14, 2010 11:20 am

Procediamo per gradi. Innanzitutto facciamo questa prova: da esegui dai questo comando

Codice: Seleziona tutto
start mbr.exe -f

e verifica che log genera, se rimane identico procediamo con un altro metodo.
Sarebbe meglio procedere con la pulizia dei dischi di archivio, in modo da scollegarli a pulizia effettuata, ma questo lo vediamo dopo. Nel frattempo esegui questo comando.

E come dice il buon stevens, un controllino con combofix non fa male [^]
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it


Re: S.O.S. per Rimuovere mbr rootkit.

Messaggioda caper » sab ago 14, 2010 3:48 pm

Ho risolto il problema, con la guida che mi avevi indicato tu uomo_senza_sonno, questa qui: qhttp://www.MegaLab.it/forum/viewtopic.php?f=33&t=60102&start=100#p453355
ho usato HxD, con una certa paura ma l'ho fatto e tutto è andato benissimo.
come dice la guida di masterz3d, ho azzerato i settori dal 2 al 62 compreso (nel 63 comincia l'NTFS, che si vede anche scritto).
e passando i settori che ho azzerato su tutti i 4 hd, ho scoperto delle cose:
1- la copia del mbr che segnalava mbr.exe (cioè l'errore) era solo sul disco con xp (che all'analisi di HxD quei settori da 2 a 62 che dovrebbero essere a zero, invece erano zeppi di numeri, lettere ecc), installato da molto tempo e ricordo che di virus ne ho presi alcuni, poi eliminati, ma si vede che avevano lasciato il segno nel mbr.
2- che anche se gli altri hd non avevano nessun dato scritto nei settori dal 2 al 62 (era tutto a zero), mbr.exe quando lo si fa lavorare ( ho fatto anche il comando start mbr.exe -f e anche in modalità provvisoria per essere più sicuro) prende sempre il valore di quello "sporco" diciamo, informazione che avevo anche trovato cercando in rete.
3- ho una certa sicurezza che ora il problema sia risolto, e che questi erano resti di qualche virus preso tempo fa e poi eliminato, perché ho fatto anche scansioni con: Gmer, Norman_Sinowal_Cleaner, Prevx 3.0, Malwarebytes' Anti-Malware, DoctorWeb e nessuno di questi ha trovato infezioni.

e ora il log di mbr.exe è questo e mi pare normale:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


mi resta solo una verifica da fare con combofix, ma non l'ho ancora fatta per un problema assurdo.
anche in modalità provvisoria combofix mi ha segnalato che avg che ho installato è ancora attivo e non devo andare avanti..e non sono andato avanti con combofix...allora vado per disintallare avg 9 e non si disinstalla...lancio disinstalla avg e dopo un po' mi resituisce un errore...neanche con il file di installazione di AVG si riesce, nè disistallarlo o aggiungere/rimuovere componenti o ripristinare....e il tool che danno sul sito avg per rimuovere è vecchio e funziona solo con le versioni fino alla 8...quindi per il momento non riesco a disinstallare avg, ma prima o poi troverò il modo e dopo farò una scansione con combofix....perché purtroppo avg non è disattivabile in windows come tutti gli altri antivirus (l'ho letto nella sua guida in linea).

Vi ringrazio infinitamente per l'aiuto e la disponibilità, che hanno fatto si che primo, sono venuto a conoscenza di avere un problema che non sapevo di avere e secondo, per l'aiuto datomi per risolverlo. [ciao] [grazie] [MLI]
Avatar utente
caper
 

Re: S.O.S. per Rimuovere mbr rootkit.

Messaggioda stevens » sab ago 14, 2010 4:46 pm

Avatar utente
stevens
Bronze Member
Bronze Member
 
Messaggi: 678
Iscritto il: mer feb 18, 2009 1:39 pm

Re: S.O.S. per Rimuovere mbr rootkit.

Messaggioda Uomo_Senza_Sonno » sab ago 14, 2010 5:50 pm

Come ulteriore controllo, sarebbe meglio verificare i settori finali di ogni disco rigido. Per eseguire un controllo più rapido e per sapere dove andare a controllare, mi dovresti postare gli screen dei settori 0 dei dischi a cui hai rimosso il rootkit.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: S.O.S. per Rimuovere mbr rootkit.

Messaggioda caper » dom ago 15, 2010 12:00 am

si li ho fatti, ma non so come si fa per metterli qui, vedo che qui c'è un tasto con scritto img, ma dopo non so dove dovrei caricare le mie immagini per mettere il link li dentro....se per favore me lo insegni.
grazie.
ho lavorato sul pc, sia con xp e win 7, riavviato ecc...proprio per fare prove e il log di mbr.exe è sempre quello giusto e i settori dei dischi visti con HxD, dal settore 1 al 62, ora sono tutti puliti e candidi, senza nessun numero o lettera, tranne lo zero.

per stevens: quello che si scarica dal tuo link purtroppo è sempre quello che avevo scaricato io e non funziona con la versione 9 di avg perché è vecchio e sul sito avg non ce n'è ancora uno per la versione 9, ma ho risolto anche con avg...con un piccolo esplora risorse su floppy in dos, ho cancellato tutte le cartelle, poi in windows regedit ed eliminato le relative voci di registro più importanti e alla fine pulizia registro con ccleaner...l'ho reistallato e poi disinstallato (col suo disinstallatore) senza errori questa volta....comunque grazie lostesso....ho fatto scansione di combofix anche su xp e non è stato tovato nessun file virale e il log era buono...poi ho rimosso combofix con una utility apposita che si chiama OTC.exe (ho trovato che combofix dopo usato è meglio elinarlo con questo OTC, poi riavvia il pc e non c'è più nè combofix, nè otc), e purtroppo ha cancellato tutto, compreso il log che non lo avevo copiato da altra parte.
ma ho potuto leggere che non aveva rimosso niente nè file, nè voci registo...la cartella backup era vuota.
per il momento sono contento che ho risolto....se però fra qualche giorno ( e ora tengo controllato) il log di mbr.exe dovesse cambiare di nuovo, aggiungendo le 2 voci incriminate, allora non perdo più tempo e formatto a basso livello o zero filling, con il tool per i miei dischi seagate, che è Sea Tools su floppy in dos...infatti sul sito seagate, cercando la parola zero filling, esce nella pagine di faq, tutta la spiegazione per cui si arriva a fare una cosa del genere (cita anche il motivo per eliminare virus annidati nella mbr)...inoltre spiega come fare e cosa succede, facendo le 3 formattazioni che è possibile fare con Sea Tools: zero filling, normale, e cancella tutto (ossia a basso livello, che dura parecchio tempo).
ancora grazie [:)]
Avatar utente
caper
 

Re: S.O.S. per Rimuovere mbr rootkit.

Messaggioda Uomo_Senza_Sonno » dom ago 15, 2010 12:11 am

caper ha scritto:si li ho fatti, ma non so come si fa per metterli qui, vedo che qui c'è un tasto con scritto img, ma dopo non so dove dovrei caricare le mie immagini per mettere il link li dentro


Le immagini le carichi su http://www.imageshack.us, poi inserisci il codice forum nel tag img e così carichi l'immagine (controlla con la funzione anteprima prima di inviare)
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: S.O.S. per Rimuovere mbr rootkit.

Messaggioda caper » dom ago 15, 2010 2:28 am

ecco fatto....adesso sono in trepidazione, finchè non avrò il tuo responso...come quando si portano le analisi del sangue dal medico [:)]
ti ho messo gli screen degli hd con sistema operativo, perché gli altri di deposito dati, fin dall'inizio non avevano anomalie, nei settori presi in analisi.

[img][IMG]http://img805.imageshack.us/img805/5052/disco1.jpg[/img]

[img][IMG]http://img186.imageshack.us/img186/4378/disco2s.jpg[/img]

rimetto ancora una volta il log di mbr.exe, che finora non è ancora cambiato:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


[ciao]
Avatar utente
caper
 

Re: S.O.S. per Rimuovere mbr rootkit.

Messaggioda Uomo_Senza_Sonno » dom ago 15, 2010 11:19 am

Beh, a meno che tu non abbia i sistemi operativi in inglese, hai ancora l'infezione. In entrambi i dischi. Il fatto che mbr.exe non rilevi nulla può essere imputabile all'aver eliminato il codice presente nei primi 62 settori, dove è stata rilevata la copia dell'mbr. Poco male: prima verifichiamo la presenza di codice negli ultimi settori del disco e poi una volta ripulito dai fixmbr ai rispettivi sistemi operativi.

Il disco dove è presente Win7 è da 488397168 settori, circa 250GB, mi devi postare il settore 488392065.
Il disco dove è presente XP è lo stesso da circa 250GB, e mi devi postare sempre il settore 488392065.

Inoltre mostrami l'mbr dei dischi di archivio, è meglio iniziare con quelli per poi scollegarli una volta puliti.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: S.O.S. per Rimuovere mbr rootkit.

Messaggioda caper » dom ago 15, 2010 2:14 pm

i sistemi sono in italiano e questi 2 dischi da 250 gb.
queste le foto dei settori che mi hai chiesto:

[img][IMG]http://img23.imageshack.us/img23/2109/71757747.jpg[/img]

[img][IMG]http://img814.imageshack.us/img814/7903/50561885.jpg[/img]

per mbr dei dischi di archivio suppongo che intendi i log (altrimenti non ho capito).
disco 1 di archivio da 500 gb log:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


disco 2 di archivio da 250 gb log:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


ora ho capito cosa intendi per via che forse ho i sistemi in inlgese, il fatto è che io non li formatto o partiziono da windows in italiano, ma con il disco di avvio di paragon partition manager che è in inglese.
non uso windows per partizionare all'installazione del sistema, per il fatto che lascia un pezzo di hd vuoto e non usato ed invece io voglio usare tutto lo spazio disponibile.
quindi prima col disco di avvio di paragon preparo i dischi (partizone e formattazione di tutto lo spazio disponibile sul disco) e poi installo i sistemi operativi.
e poi vado avanti nel tempo con le immagini di acronis true image, ma adesso le immagini che avevo supponendo che siano infette le cancello e ne farò altre quando sono sicuro che tutto è pulito.
infatti sul settore 0 del disco di archivio da 250gb, le scritte sono in italiano, perché partizionato a suo tempo con partition magic in italiano (copio e incollo): lla delle partizioni non valida.Errore nel caricamento del sistema operativo.Sistema operativo mancante
invece sugli altri partizionati con paragon è scritto in inglese: ÃInvalid partition table.Error loading operating system.Missing operating system
anche ora che ho guardato, i 2 dischi di archivio nei settori da 1 a 62 è tutto vuoto a 0.
Avatar utente
caper
 

Re: S.O.S. per Rimuovere mbr rootkit.

Messaggioda Uomo_Senza_Sonno » dom ago 15, 2010 8:14 pm

Ok, era un controllo aggiuntivo qualora ci fosse l'infezione. E quindi penso proprio che te ne sei liberato, nei settori fuori dalla partizione non c'è traccia di rootkit. Puoi starte tranquillo, passa un buon ferragosto [^]
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: S.O.S. per Rimuovere mbr rootkit.

Messaggioda caper » dom ago 15, 2010 9:19 pm

Uomo_Senza_Sonno ha scritto:Ok, era un controllo aggiuntivo qualora ci fosse l'infezione. E quindi penso proprio che te ne sei liberato, nei settori fuori dalla partizione non c'è traccia di rootkit. Puoi starte tranquillo, passa un buon ferragosto [^]


In questo momento che ti rispondo il ferragosto è quasi passato, ma ti ricambio l'augurio di vero cuore.
La notizia che mi dai è molto buona, e da questo incoveniente e dal tuo articolo (che solo grazie a quello ho scoperto di avere questo problema nel pc), ho imparato diverse cose, e a me piace imparare cose nuove.
Senza voler sembrare mieloso, ti dico in estrema sincerità, che di persone come te con tanta disponibilità ad aiutare il prossimo, anche in giorni festivi come oggi, non se ne trovano molte di questi tempi.
Quindi non mi resta che rinnovarti il mio ringraziamento più sincero per l'aiuto, e la stima come esperto in queste cose e come persona.
Direi che possiamo ritenere la discussione chiusa, per problema risolto....a presto. [ciao] [grazie] [^]
Avatar utente
caper
 


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising