Rimozione di MBR trojan Rootkit

[Dadoo]

Ragazzi, da quando sono entrato accidentalmente dentro ad un sito che leggo da anni ma che firefox mi ha segnalato la settimana scorsa come malevolo il notebook in modalità normale non fa altro che andare in blocco do un po' di utilizzo. (purtroppo è automatico, metto da anni l'indirizzo ww.miosito.it etc... , non mi sono accorto del messaggio di malevolo di FF ed ho cliccato su continua)

Ho passato in sequenza malwerebytes, anti-malware, e varie scansioni online. è molto dura portare a termine una di queste attività ed i risultati migliori li ho avuti in modalità provvisoria.
non sono state trovate cose particolarmente significative. quel poco trovato da antimalware è stato messo in quarantena anche se falsi positivi (es: riferimenti a divxlib.dll per DIVX , Firefox e Opera plugin)

co hijackthis è uscito fuori giusto un .dll file missing relativo al sistema bluethoot del mio portatile. il resto ho fixato dei programmi all'avvio.

ora ora Combofix in modalità normale ha eseguito tutta la procedura segnalando una correzzione nel file system, ma al riavvio mentre eseguiva il report ci ha messo talmente tanto che il pc si è bloccato. adesso voglio rilanciarlo in modalità provvisoria.

mha! a me più che malware sembra qualcosa che abbia creato instabilità.
al momento di entrare in questo sito malevolo poi si è aperto un classico applet java di installazione che ho subito chiuso. anche nel pc ho provveduto ad eliminare tutte le vecchie installazioni di java ed ho messo l'ultima versione 6.0.21....

avete suggerimenti ulteriori ?
ripeto, in modalità provvisoria è "abbastanza" stabile, in modalità normale spesso si blocca già all'avvio quando carica Avira, Comodo e Antimalware. altre volte quando ci lavoro mentre eseguo i software di controllo.

Ora ho appena eseguito combofix in provvisoria e mi dice:
"The Master Boot Record is infected !!"
Make sure your antivirus program are disabled before cllicking OK

ho premuto OK perchè in provvisoria gli antivirus sono disabilitati e mi ha detto:
Combofix ha rilavate dei rootkit e sarà riavviato...

che faccio lo rieseguo combofix in provvisoria ?!

al momento combofix sembra riuscire a far poco anche in provvisoria
facendo c:\mbr.exe ho la seguente anche se faccio c:\mbr.exe -f:
....
copy of MBR has been found in sector 0x0DF937C1
malicious code sector 0x0DF937C4
PE file foubd in sector at 0x0DF937DA

[vicky67]

Prima di eseguire nuovamente combofix esegui questa operazione

Stealth MBR rootkit detector ->http://www2.gmer.net/mbr/mbr.exe
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
1 - Scarica MBR.EXE sul DeskTop e mettilo direttamente nella Directory C:\
Riavvia il Pc in modalità provvisoria F8
Da Start - Esegui - digita C:\mbr.exe e clicca su OK
Salva il log prodotto come MBR1 ed allegalo per il controllo

2 - A questo punto sempre da Start - Esegui - digitate C:\mbr.exe -f e clicca su OK
Salva il log prodotto come MBR2 ed allegalo per il controllo

3 - Riavvia il PC in modalità normale
Da Start - Esegui - digitate C:\mbr.exe e cliccate su OK
Salva il log prodotto come MBR3 ed allegalo per il controllo

[Dadoo]

eccolo...te lo avevo aggiunto sopra poco prima che rispondessi:

anche facendo c:\mbr.exe -f ottengo questo log
....
copy of MBR has been found in sector 0x0DF937C1
malicious code sector 0x0DF937C4
PE file foubd in sector at 0x0DF937DA

[vicky67]

ok,l'mbr è stata disinfettata.
Il log può rimanere sporco,ma l'importante è che l'infezione sia stata eliminata.
Adesso esegui combofix per un ulteriore controllo.

Disattiva il controllo real time del tuo antivirus,scarica combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe , salvalo sul desktop e disconnettiti dalla rete
Una volta scaricato il programma non devi cliccare sull'icona del programma, clicca il tasto windows(logo bandierina)+R e nello spazio bianco di esegui copia e incolla questo comando, cosi' com'e':

"%userprofile%\desktop\combofix.exe" /killall <==copia e incolla

Premi OK, dovrebbe partire la scansione che puo' durare molto, durante la scansione non fare assolutamente niente con il pc.dopo il riavvio allega il log C:\combofix.txt

[Dadoo]

a ok dici che è disinfettato l'mbr ?
ora ho lanciato combofix in provvisoria... quando farà il riavvio (spero) devo rientrare in provvisoria oppure faccio avviare il pc normalmente ?
chiedo questo perchè già una volta ho eseguito combofix, ed è li che mi ha dato il messaggio ed ho scoperto l' mbr infetto, ma all'avvio nel mio pc partono: Combofix, Avira Antivir, Kapersky virus removal tool...fortuna che ho disintallato la versione di prova di Antimalware.

ps: ma combofix quando termita da provvisoria da un messaggio prima di riavviare ? a me è arrivato alla fine, mi pare stage 50, ed è partito in automatico il riavvio... ho premuto F8 ed ora sono sempre in provvisoria e a quanto pare sta facendo "Preparazione del report"

finito. ecco il log==>

[vicky67]

Il rootkit che avevi sull'mbr è stato eliminato.Dal log di combofix non risulta esserci più alcun virus.Hai comunque una serie di driver installati che riguardano i numerosi software antivirus che hai usato.
Disinstalla tutto quello che hai precedentemente usato perchè non fanno altro che occupare risorse del sistema.

• Scarica Ccleaner CCleaner - Optimization and Cleaning - Free Download

durante l’installazione deseleziona l’opzione per la barra di Yahoo, lo apri, vai in Opzioni>Avanzate, togli la spunta a “Cancella file temp di windows solo se più vecchi di 48 ore”, poi avvialo, seleziona "Analizza" ed alla fine dell'analisi premi "Avvia pulizia''


clicca su Registro, nella pagina successiva clicca Trova problemi, poi al termine dello scan clicca su Ripara selezionati , risposndi di sì alla richiesta di salvare il backup (salvalo in una cartella a piacimento) poi ripara tutti gli elementi trovati.

Scarica OTC by OldTimer sul desktop per rimuovere combofix
doppio clic per eseguirlo
clicca su "CleanUP" > "Yes" > "Yes"
riavvia.
http://oldtimer.geekstogo.com/OTC.exe

ciao

[Dadoo]

ottimo!
ccleaner l'ho sempre usato giornalmente da anni.
piccola precisazione che la spunta della versione 2.34.1200 è relativa a "Cancella file temp di windows solo se più vecchi di 24 ore" e non 48 !

poi il trova problemi nei registri di ccleaner trova sempre qualcosa da criparare anche se lo si rilancia. ad esempio la prima volta 43 voci di registro da riparare, la seconda volta 4 voci , la terza 2 voci, dalla quarta in poi mi ripropone sempre una sola voce relativa allo stesso HKCR\{80b8c23c-16e0-.........

nn voglio cantar vittoria troppo presto ma adesso sembra andare sto benedetto pc...
ho solo verificato che mi si è riattivato il Windows Firewall. me ne sono accorto perchè mentro lancio i software di lavoro mi ha dato un messaggio Window Firewall di bloccaggio pur avendo Comodo free installato...in il Windows XP Firewall l'ho sempre tenuto disabilitato. è probabile che sia stato combofix a riattivarlo ?

curiosità: ma combofix devo per forza cancellarlo ?

[vicky67]

si è normale che Ccleaner trova problemi ogni volta.Infatti lo devi rilanciare fino a che non ti dà tutto pulito.L'ultima voce non è importante.
Per quanto riguarda il windows firewall è stato combofix a riattivarlo.Lo devi di nuovo disabilitare.
Combofix dura 7 giorni e non ha senso tenerlo,anche perchè è un programma molto delicato che va usato sotto il controllo di qualche esperto.Il suo log non è di facile interpretazione per chiunque.Ciao

[Dadoo]

Che dirti vicky.... grazie davverdo per il supporto.
2 giorni a seguire una guida di un altro forum "concorrente" solo perchè rispetto a questa di swzone aiutava in modalità passo passo (1. malwarebytes, 2. antimalware, 3 kypersky, etc....) successivamente, dopo risultati un po' pessimi ed il pc che continuava a bloccarsi dopo pochi minuti e nessun rootkit e virus trovati in particolare, mi son ricordato di swzone e di quando tempo fa con combofix avessi risolto su un pc di un familiare infettato da alert di falsi virus. pensavo combofix non centrasse nulla ad aiutarmi stavolta invece.

mi scuso se ho detto inesattezze (magari combofix è "integrato" in altri tool di contorllo come gmer.exe che è quello che più di tutti si bloccava durante i controlli) ma ho solo esposto la mia seqenza dei fatti !

[vicky67]

sono contento che il problema è stato risolto.Però metti forum.swzone tra i preferiti cosi' la prossima volta non lo scordi ,anche se per la sicurezza ti auguro che non ti serva più.

[Dadoo]

sono contento che il problema è stato risolto.Però metti forum.swzone tra i preferiti cosi' la prossima volta non lo scordi ,anche se per la sicurezza ti auguro che non ti serva più.

ho oltre 400 messaggi in swzone...non sono molti ma neanche pochi ed swzone è sempre la tappa fissa!
il fatto è che la guida di swzone non aveva gli step da seguire passo passo ma solo una serie di consigli e per praticità e velocità di soluzione mi serviva qualcosa passo passo. un po' il pc si bloccava sempre, un po' le scansioni in provvisoria lunghissime mi han fatto tardare nel postare su swzone. ;-)

[il pazzo]

Scarica OTC by OldTimer sul desktop per rimuovere combofix
doppio clic per eseguirlo
clicca su "CleanUP" > "Yes" > "Yes"
riavvia.
http://oldtimer.geekstogo.com/OTC.exe
Cancella la cartella C:\qboox relativa a combofix.ciao

Fammi capire una cosa : fin'ora quando sporadicamente usavo combofix, poi cancellavo le cartelle relative in c: e trascinavo nel cestino Combofix.

Ora ho voluto usare, come da te spiegato, OTC, l'ho eseguito, il pc è ripartito e.... OTC è sparito pure lui !..... E' normale ? Cioè questo programma, oltre a pulire il pc da tools di rimozione, si autocancella pure lui ?....

Grazie.

[vicky67]

si' Il pazzo,si autoelimina.E' un ottimo software di pulizia per i vari tool antivirus usati.
La corretta eliminazione di combofix va effettuata usando OTC in quanto l'uso di combofix lascia dei file nel sistema.ciao e alla prossima.

[il pazzo]

Grazie.

[theDUBBER]

Purtroppo combofix funziona solo sul 2000 e su xp
di un hd ho cancellato la partizione ricreata ma sto virus ce sempre. non ce un modo con hd esterno di fare proprio un reset completo tipo come se fosse appena aquistato?