| Autore |
 Discussione  |
|
|
Belial
New Member
39 Messaggi |
 Inserito il - 08/11/2009 : 09:59:08
|
Salve, il mio S.O. è Windows XP SP3
Pochi giorni fa, navigando su un sito, mozzilla mi ha avvertito della pericolosità dello stesso, ma essendo un sito di un'amica che frequento da anni ho ignorato l'avviso e mi sono beccato un virus Mbroot.ck
Il nod32 all'inizio me l'ha bloccato subito ma l'infame ha incasinato l'mbr ed il pc mi si bloccava e spesso dava la famosa schermata blu.
Ho disabilitato il ripristino di winzoz XP dal pannello di controllo ed ho fatto lo scan con vari tool consigliati dalla rete, fixmebroot della symantec, prevx, gmer, norman sinowal cleaner, fixmbr,cureit ed il vostro bitdefender online.
All'inizio ho trovato un bel po di infezioni ma nell'ultimo giro di scan con i tool sopracitati il pc sembra pulito. Per sicurezza ho anche ripristinato l'MBR tramite console di ripristino con il cd originale di XP.
Putroppo però, se faccio una prova con il programma mbr.exe sul disco C: mi da il seguente log
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, htt*://[www].gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0E4FBFE2
malicious code  sector 0x0E4FBFE5 !
PE file found in sector at 0x0E4FBFFB !
ma ho provato tutti i tool su descritti e il pc in teoria risulta pulito e non mi si blocca più, ne da più schermate blu...
che devo fare? vi posto pure il log di hijackthis
htt*://wikisend[.com]/download/856186/hijackthis.txt
Grazie in anticipo a chi mi darà una mano 
i report si postano come da regolamento e non in forma estesa. death
|
Modificato da - death in Data 08/11/2009 10:36:48
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 08/11/2009 : 10:41:43
|
Buon giorno, non è la prima volta che un virus sul mbr lascia quel tipo di tracce, l'infezione non è piu' presente ma viene segnalata la sua presenza, trovo molto strano che dopo la procedura con la console di ripristino ti siano rimaste tracce infettive, direi che dopo il ripristino ti sei infettato nuovamente. Il log di hijackthis è pulito, ti consiglio di disinstallare la ask toolbar e la toolbar di winamp, poi ho dei dubbi sui tuoi protocolli di connessione
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A9EB78C-524C-4C85-BB50-DE04EFECDB90}: NameServer = 1.253.128.30,213.156.54.81
O17 - HKLM\System\CCS\Services\Tcpip\..\{F71FA46E-0FB0-4D04-98A7-AD5261905D22}: NameServer = 83.103.25.250,62.101.93.101
verifica che siano legittimi, detto questo se il pc non presenta problemi ti consiglio di utilizzarlo normalmente, se un domani deciderai di ripulirlo e di formattarlo rieseguirai nuovamente la procedura con la console di ripristino. Ti consiglio di avvisare la tua amica e di fargli ripulire immediatamente il suo sito web. |
 |
|
|
Belial
New Member
39 Messaggi |
Inserito il - 08/11/2009 : 10:56:46
|
Citazione:
Messaggio inserito da death
Buon giorno, non è la prima volta che un virus sul mbr lascia quel tipo di tracce, l'infezione non è piu' presente ma viene segnalata la sua presenza, trovo molto strano che dopo la procedura con la console di ripristino ti siano rimaste tracce infettive, direi che dopo il ripristino ti sei infettato nuovamente.
ma se ho ancora disabilitato il ripristino da backup dal pannello di controllo ed ho fatto il ripristino da cd stamane e ho rifatto tutti gli scan con esito negativo eccetto mbr che ho riportato sopra, potrebbe essere un falso positivo?
Citazione:
Il log di hijackthis è pulito, ti consiglio di disinstallare la ask toolbar e la toolbar di winamp,
seguirò il consiglio, tanto sono disattivate tra i componenti di firefox... tanto vale disinstallarle thx
Citazione:
poi ho dei dubbi sui tuoi protocolli di connessione
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A9EB78C-524C-4C85-BB50-DE04EFECDB90}: NameServer = 1.253.128.30,213.156.54.81
O17 - HKLM\System\CCS\Services\Tcpip\..\{F71FA46E-0FB0-4D04-98A7-AD5261905D22}: NameServer = 83.103.25.250,62.101.93.101
verifica che siano legittimi, detto questo
come connessione ho fastweb, non so come posso verificare se siano legittimi o meno?
Citazione:
se il pc non presenta problemi ti consiglio di utilizzarlo normalmente, se un domani deciderai di ripulirlo e di formattarlo rieseguirai nuovamente la procedura con la console di ripristino.
forse prenderò la palla al balzo proprio per cambiare hdd per uno più capiente e forse passare a Windows7
Citazione:
Ti consiglio di avvisare la tua amica e di fargli ripulire immediatamente il suo sito web.
già fatto è un forum di anime e molti degli utenti l'hanno già avvisata mille grazie per l'aiuto!!! |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 08/11/2009 : 11:07:10
|
| Buon giorno, per i protocolli di rete, se hai fastweb dovrebbe essere legittimo, avevo già trovato riscontro in altri reports di hijackthis, il problema mbr non è quello di un falso positivo, è da circa 1 anno che ci sono virus che provocano questo problema e per ora ne qui ne su altri forum si è trovato il programma o il tool per correggere il problema. Solo per conoscenza tua futura, disattivando i punti di ripristino del sistema escludi la possibilità in caso di ripristino di ricaricarti files e chiavi di registro infette ma se si è infettato mbr serve a poco, la cosa fondamentale in questi casi è trovare il file o i files richiamati nell'infezione ed eliminarli. |
|
|
|
Belial
New Member
39 Messaggi |
Inserito il - 08/11/2009 : 11:18:37
|
Citazione:
Messaggio inserito da death
il problema mbr non è quello di un falso positivo, è da circa 1 anno che ci sono virus che provocano questo problema e per ora ne qui ne su altri forum si è trovato il programma o il tool per correggere il problema. Solo per conoscenza tua futura, disattivando i punti di ripristino del sistema escludi la possibilità in caso di ripristino di ricaricarti files e chiavi di registro infette ma se si è infettato mbr serve a poco, la cosa fondamentale in questi casi è trovare il file o i files richiamati nell'infezione ed eliminarli.
quindi nemmeno con il ripristino del mbr da cd originale sono sicuro... per essere sicuro dovrei proprio fare un bel formattone? ma se facessi backup solo di dati (es. , documenti, foto, video, font, pennelli di photoshop, ecc...) e poi li reinstallassi, rischio di portarmi dietro il virus?
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 08/11/2009 : 12:30:39
|
| Buon giorno di nuovo, cerco di spiegarmi meglio..se i files che venivano utilizzati dall'infezione sono stati eliminati e continui ad avere segnalazioni sul mbr è molto probabile come ti ho già detto che non vi sia alcuna infezione in atto, al momento che deciderai per la formattazione, pulirai per bene il mbr con la console di ripristino e poi passerai ad una nuova installazione pulita, continuo a sostenere che quel pc sia pulito e tu sia uno di quei tanti casi per ora irrisolti. |
|
|
|
Belial
New Member
39 Messaggi |
Inserito il - 08/11/2009 : 12:39:19
|
Citazione:
Messaggio inserito da death
al momento che deciderai per la formattazione, pulirai per bene il mbr con la console di ripristino e poi passerai ad una nuova installazione pulita, continuo a sostenere che quel pc sia pulito e tu sia uno di quei tanti casi per ora irrisolti.
e qui casca l'asino, cioè io ... come faccio a pulire per bene l'mbr? ho già provato con il comando MBRFIX dalla console di ripristino con il cd di XP inserito... se formattassi l'HDD e reinstallassi windowsXP non starei apposto? Dovrei cmq prima cercare di pulire l'mbr? e in che modo visto che ne il cd di xp e ne i vari tool elencati ce l'hanno fatta? se non risolvessi nemmeno formattando dovrei cambiare hdd?
perdonami se abuso della tua pazienza e grazia ancora  |
Modificato da - Belial in data 08/11/2009 12:40:39 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 08/11/2009 : 12:45:49
|
Buon giorno, cerco di spiegarti cosa può essere successo così ti fai un quadro della situazione:
1) hai pulito mbr con la console di ripristino e fin qui manovra perfetta se l'hai eseguita correttamente
2) al primo riavvio il file che ha infettato mbr era ancora presente ed era ovviamente richiamato da qualche file in esecuzione automatica e quindi ti ha nuovamente infettato
qui i casi sono solamente 2 o hai ancora effettivamente il file infetto a bordo del pc, ma tu lo escludi viste le scansioni oppure il fix del mbr con la console di ripristino non è andato a buon fine, a questo punto visto che hai macellato quel pc vediamo se questa scansione trova qualcosa:
scarica ComboFix salvalo in c:\
Riavvia il computer in modalità provvisoria (segui lo specchietto)
Citazione:
[Windows XP e Windows 2003
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows XP o Windows 2003.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
Se hai delle icone di collegamento a programmi sul desktop, crea una cartella apposita e spostale al suo interno
Doppio click su combofix.exe (o nome nuovo) e segui le istruzioni passo a passo, ricordati di dare invio se richiesto dopo i vari passaggi
Quando avrà finito creerà il log C:\combofix.txt salvalo e postalo come gli altri report.
Nota bene : durante la scansione verranno creati dei file sul desktop e scompariranno le icone, potrebbe succedere che qualche programma ti chiede cosa fare per la rimozione dei drivers, in questo caso accossenti, si tratta probabilmente di drivers infetti.
Il programma creerà la cartella C:\QooBox ed all'interno della stessa verrà posizionato un backup dei files rimossi ed un file di backup del registro di windows chiamato Hiv-backup.
Disattiva l'antivirus e i programmi anti-spyware
Disconnetti il pc da internet
NON TOCCARE mouse e tastiera mentre combofix lavora
Posta il report così come hai fatto con quello di hijackthis. |
|
|
|
Belial
New Member
39 Messaggi |
Inserito il - 08/11/2009 : 18:14:03
|
htt*://wikisend[.com]/download/230770/ComboFix.txt
ma se formattassi dovrei lo stesso riparare l'mbr?
p.s non so se il log è valido... perchè dopo aver fatto la scansione degli stage in modalità provvisoria mi si è riavviato il pc ed il log è stato creato dal programma in modalità normale... provo a rifarlo...
ecco il log fatto in teoria bene... htt*://wikisend[.com]/download/561730/ComboFix.txt |
Modificato da - Belial in data 08/11/2009 18:59:26 |
|
|
| |
Discussione |
|
|
|
Virus "MBROOT.CK"
Forum Bloccato
