Rimozione di MBR trojan Rootkit

[pippus123]

Questa mattina mi è apparsa una brutta schermata di Avast che dice :

"E' stato identificato un oggetto nascosto sospetto (rootkit) nel vostro sistema.Potrebbe essere un'infezione virus.Si consiglia di rimuovere immediatamente l'oggetto.

Nome del file : MBR:\\.\PHYSICALDRIVE0
Tipo : Rootkit: settore boot nascosto "

Ho provato a rimuoverlo con Avast senza successo.

Navigando su Internet avrei trovato la procedura per rimuoverlo però dovrei entrare in modalità provvisoria.
Il problema è che quando premo il tasto F8 il virus non mi permette l'avvio in Modalità provvisoria; infatti quando premo F8, mi appaiono le varie opzioni tra cui la Modalità Provvisoria, ma se la seleziono, si riavvia il sistema e ritorno nuovamente nella schermata Modalità provvisoria - Modalità normale ecc..

L'unico modo consentito è quello di avviarlo in Modalità normale.Però in questo caso non riesco a rimuovere il virus.

Ero tentato di attivare la Modalita' provvisoria da Start->Esegui>msconfig>BOOT.INI poi spuntare l'opzione /SAFEBOOT

però ho paura che al riavvio il PC entri in Loop cioè che non si possa più riavviare in alcun modo.

Aiutoo, non so + cosa fare!

Grazie anticiapatamente.

P.S. S.O. Windows XP HOME

[dubo]

scarica questo http://www.softpedia.com/get/Antivir...val-Tool.shtml sul desktop
- doppio click su FixMebroot.exe
- clicca su I Accept
- clicca su Start e segui le istruzioni
Al termine della scansione verrà creato il log FixMebroot.log allegalo al prossimo post come spiegato qui http://forum.swzone.it/showthread.php?t=52573

[JohnnyD. Luna]

E' un virus del settore di avvio:
Scarica questo software:
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

è un tool che non si installa.

e non va in conflitto con Avast.


Scarica il programma (circa 11 mb)
Doppio click su cureit.exe e clicca sull'opzione "Avvia" ti chiederà se vuoi effettuare un controllo rapido, tu clicca ok (sì)

Finita la scansione, metti il flag nella casella "completa scansione" clicca sul tasto "Play" per far partire la scansione,(cancella quello che trova).

ops, in contemporanea..fai quello che ti dice Dubo

[pippus123]

Credo di aver capito quale sia la causa della mancata possibilità si riavvio in Modalità Provvisoria.
Cercando su internet pare sia il file "a347bus.sys" di Alcohol 120%. che crea problemi all'avvio.
Ho letto molti pareri su come risolvere il problema, ma non ho trovato una vera e propria procedura sicura per la risoluzione del problema.

C'è qualcuno che può darmi delle informazioni + dettagliate ?

Grazie.

Prima dovrei risolvere il problema dell'avvio in Modalità provvisoria, poi posso procedere alla rimozione del virus.
Grazie ancora.

[dubo]

Credo di aver capito quale sia la causa ......

C'è qualcuno che può darmi delle informazioni + dettagliate ?

Grazie.

Prima dovrei risolvere il problema dell'avvio in Modalità provvisoria, poi posso procedere alla rimozione del virus.
Grazie ancora.

se il problema del riavvio in modalita' provvisoria lo crea Alcohol 120% disinstallalo.
a quel punto la soluzione piu' efficace e' usare Stealth MBR rootkit detector che ha bisognodi agire appunto in modalita' provvisoria. altrimenti procedi come ti ho detto sopra.

[pippus123]

se il problema del riavvio in modalita' provvisoria lo crea Alcohol 120% disinstallalo.
a quel punto la soluzione piu' efficace e' usare Stealth MBR rootkit detector che ha bisognodi agire appunto in modalita' provvisoria. altrimenti procedi come ti ho detto sopra.

Se fosse cosi facile.....

Anche disinstallando Alcohol non si riesce a riavviare la Modalità provvisoria.
Ci sono un sacco di post in merito su internet ma pare che nessuno abbia risolto se non formattando il PC.

Ciao

[peppinocacace1]

Ho questa situazione e non riesco a liberarmi.
Come posso
eliminare quel malicious code?

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, GMER - Rootkit Detector and Remover

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x06FC78E4
malicious code @ sector 0x06FC78E7 !
PE file found in sector at 0x06FC78FD !

[dubo]

discussione unita ad una gia' esistente per un problema molto simile, per il futuro sei pregato di utilizzare la funzione S W Z O N E F O R U M - Cerca nei forum prima di aprire una nuova discussione.
procedi cosi':
disattiva il ripristino http://service1.symantec.com/SUPPORT...20823151930924
scarica Stealth MBR rootkit detector==> http://www2.gmer.net/mbr/mbr.exe e mettilo direttamente nella Directory C:\ ,
riavvia il pc in modalita' provvisoria http://www.megalab.it/articoli.php?id=817 una volta in modalita' provvisoria ,premi start, scegli esegui nello spazio bianco copia ed incolla questo comando
C:\mbr.exe <==copia ed incolla e premi OK (al termine del controllo verra' prodotto il primo log MBR1) .
appena terminato premi nuovamente start, scegli esegui, copia ed incolla nello spazio bianco questo comando
C:\mbr.exe -f e premi OK ( verra prodotto il secondo log MBR2) .
riavvia il pc in modalita' normale ed esegui nuovamente la prima operazione descritta( verra' prodotto i terzo log MBR3)
allega i tre log con estensione *.txt al prossimo post.

p.s. i comandi vanno scritti esattamente come sono rispettando gli spazi.

[peppinocacace1]

Chiedo scusa non mi ero accorto del post simile al mio.
Ho effettuato le tre fasi in modalità provvisoria e da amministratore i log sono identici:


mbr1.txt
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, GMER - Rootkit Detector and Remover

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x06FC78E4
malicious code @ sector 0x06FC78E7 !
PE file found in sector at 0x06FC78FD !


mbr2.txt
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, GMER - Rootkit Detector and Remover

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x06FC78E4
malicious code @ sector 0x06FC78E7 !
PE file found in sector at 0x06FC78FD !


mbr3.txt
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, GMER - Rootkit Detector and Remover

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x06FC78E4
malicious code @ sector 0x06FC78E7 !
PE file found in sector at 0x06FC78FD !



mbr3

[dubo]

non hai eseguito la procedura correttamente, sei sempre stato collegato, ci hai messo troppo poco, da quando ti ho scritto il da farsi ma forse e' un altro pc.... rileggi bene il mio post e ripeti la procedura, avendo cura di eseguirla in modalita' provvisoria e di scrivere i comandi correttamente.

[peppinocacace1]

Ho 2 pc, il portatile ha il problema.
Ho seguito la seguente procedura:
Ho cancellato mbr.exe e i files di testo dalla directory c
ho spento e riavviato in modalità provvisoria con rete
ho riscaricato mbr.exe posizionandolo direttamente su c:\
start esegui c:\mbr.exe ecc. ecc.
il risultato e identico
provo a fare in modalita provvisoria senza rete?

[dubo]

non hai seguto la procedura, sono particolari ma importanti: il tool devi metterlo in radci C:\ da modalita' normale, poi riavviare in modalita provvisoria, senza rete, ed operare.
il secondo log mbr2 dovreebbe rilasciare un log di avvenuta o tentata pulizia, il tuo non dice nulla di cio' quindi probabilmente non hai eseguito bene il secondo comando che e'
C:\mbr.exe -f mentre per gli altri due step e' C:\mbr.exe

se la cosa non dovesse funzionare esegui il tool descritto nel post#2

[peppinocacace1]

niente da fare, ho provato a far partire mbr exe in vari modi (da modalità normale a provvisoria, normale e provvisoria ecc. tutto quello che mi poteva passare per la testa ma mbr -f non và) il risultato non cambia.
Ho provato Stealth MBR rootkit detector e trojan mebroot removal e mi dicono che non ci sono infezioni.

[dubo]

una cosa non ho capito: aldila' della segnalazione di GMER , che potrebbe anche sbagliare, ed in virtu' del fatto che gli altri software danno il pc come pulito, il pc presenta dei problemi?

fai comunque una scansione completa del sistema con la versione free, il tool e' stand alone, di DrWeb Dr.Web ANTI-VIRUS - Italia Official Partner - Dr.Web CureIt! in fondo alla pagina premi Clicca quì per scaricare Dr.WEB CureIt! ed allegane il report.

[peppinocacace1]

Il pc ha problemi, ho notato da task manager che si aprono due file WUAUCLT.EXE, uno lavora regolarmente l'altro comincia ad impegnare la RAM in modo spropositato, termino il file e al suo posto viene fuori un file svchost che impegna la RAM in egual modo, chiuso anche questo il pc lavora in modo perfetto ed anche velocemente.