Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » PC infettato da MEBROOT.CA.....!! Che faccio??

PC infettato da MEBROOT.CA.....!! Che faccio?? Opzioni
Topic Precedente · Topic Sucessivo
pakky
Inviato: Friday, September 04, 2009 11:43:16 PM
Rank: Newbie

Iscritto dal : 9/4/2009
Posts: 6
ciao ragazzi
sono una nuova iscritta
il mio nod32 di punto in bianco mi ha mostrato "finestra rossa" avvisandomi di un certo
MEBROOT.CA e non può in nessun modo eliminarlo...
il pc sembra funzionare correttamente ma già mi sembra un pò lento!!
Cosa mi è capitato??
ciao
Torna in alto
 
Sponsor
Inviato: Friday, September 04, 2009 11:43:16 PM

 
Torna in alto
 
enigmista63
Inviato: Friday, September 04, 2009 11:52:31 PM

Rank: AiutAmico

Iscritto dal : 4/28/2007
Posts: 1,976
Ciao purtroppo si tratta di un TROJAN che si insedia nel MASTER BOOT RECORD del pc il suo nome puo essere anche SINOWAL, se utilizzi il sistema di BANCA online evita di inserire dati sensibili fino a quando un esperto ti dara' consigli come eliminarlo.
Torna in alto
 
r16
Inviato: Friday, September 04, 2009 11:54:05 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Scarica MBR:EXE direttamente nella Directory C:\
http://www2.gmer.net/mbr/mbr.exe

Da Start - Esegui - digita C:\mbr.exe e clicca su OK
La scansione dura pochi secondi.
Posta il log che troverai in C:\

A proposito, che Sistema Operativo usi?
Torna in alto
 
pakky
Inviato: Saturday, September 05, 2009 1:57:09 AM
Rank: Newbie

Iscritto dal : 9/4/2009
Posts: 6
ciao r16 e grazie mille per l'aiuto, uso windows xp professional SP2..dai vostri commenti sembra un brutto cliente, eccovi il file di testo che ho trovato in c:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x81c125a0
\Driver\atapi -> 0x81f19ad8
\Device\Harddisk0\DR0 -> ParseProcedure -> 0x81c19060
NDIS: Scheda Fast Ethernet VIA compatibile -> SendCompleteHandler -> 0x81c793a0
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x0FFFAC44
malicious code @ sector 0x0FFFAC47 !
PE file found in sector at 0x0FFFAC5D !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
Torna in alto
 
r16
Inviato: Saturday, September 05, 2009 1:56:41 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
In effetti, non è un bel cliente.
Vediamo se riusciamo a farlo "sloggiare".
Il tool, lo hai scaricato correttamente? Ovvero in C:\
Entra in Modalità Provvisoria.

Start - Esegui - digita C:\mbr.exe -f e clicca su OK ( Per non sbagliare a digitare il comando, fai copia-incolla.)
Posta il log prodotto per il controllo e salvalo come MBR2
Torna in alto
 
pakky
Inviato: Monday, September 07, 2009 12:09:21 AM
Rank: Newbie

Iscritto dal : 9/4/2009
Posts: 6
PER r16:

ho lanciato gmer da c: in mod provv come indicato da te nel precedente post!
poi ho riavviato e rifatto gmer per crearmi il log...giusto? era questa la sequenza; l'unica cosa è che gmer non mi ha chiesto il salvataggio del log quindi non ho potuto rinominare il log con mbr2 come da te suggerito; comunque ho notato che il log era diverso dal precedente quindi penso che sia questo l'ultimo e quello corretto:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0FFFAC44
malicious code @ sector 0x0FFFAC47 !
PE file found in sector at 0x0FFFAC5D !

Volevo farti anche notare che nod32 ha smesso di visualizzarmi la finestra "rossa" di allarme virus...
ma non sò se significhi che il problema sia risolto!

ciao
Torna in alto
 
r16
Inviato: Monday, September 07, 2009 1:46:06 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Vediamo se ci sono ancora infezioni:
Scarica SYSTEM SCAN.

scaricalo sul desktop
http://www.suspectfile.com/systemscan
Aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now"
Finita la scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file.
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.

NB:
la durata della scansione può risultare lunga, potrebbe addirittura sembrare che il programma non stia lavorando, non preoccuparti non è così.
SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.
Torna in alto
 
pakky
Inviato: Tuesday, September 08, 2009 10:54:54 PM
Rank: Newbie

Iscritto dal : 9/4/2009
Posts: 6
Eccomi qua r16
allora ho fatto tutto come mi hai suggerito
questo è il file generato con Wikisend:

report.txt

attendo nuove notizie,ciao a presto
Torna in alto
 
r16
Inviato: Tuesday, September 08, 2009 11:38:38 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Perfetto.
Il Rootkit del MBR è stato eliminato.
Fai queste operazioni:
Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121

Elimina i tool che abbiamo scaricato, e i relativi log. (SystemScan, MBR.EXE)

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked

R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

Trova e cancella i file in rosso:
C:\kv958pmr.exe

Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
Nella schermata iniziale di CCleaner, clicca su Opzioni e poi Avanzate, togli il segno di spunta a: Cancella i file in Windows Temp solo se più vecchi di 48 ore. (poi esegui le pulizie)

Riavvia il pc.

Poi:
Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO
Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:(esclusivamente, su partizioni in NTFS):
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan.
Aspetta pazientemente la fine della scansione.
se venissero rilevati ADS, spunta tutte (senza paura) le caselline e clicca su Remove selected

Posta un nuovo log di HJT
Torna in alto
 
wolfestein
Inviato: Wednesday, September 09, 2009 1:12:57 AM

Rank: AiutAmico

Iscritto dal : 2/15/2009
Posts: 15,948
Non so se sei d'accordo r16 ma io gli farei installare anche il service pack3.Scusa l'intromissione.
Ciao pakky benvenuta in aiutamici.
Torna in alto
 
r16
Inviato: Wednesday, September 09, 2009 1:17:30 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
wolfestein ha scritto:
Non so se sei d'accordo r16 ma io gli farei installare anche il service pack3.Scusa l'intromissione.
Ciao pakky benvenuta in aiutamici.


Altrochè se sono daccordo, amico mio.
Era una cosa che avevo in mente di fargli fare, ma poi .........mi stava scappandoBrick wall
Ti ringrazio di averlo segnalato.

@pakky
Finite le operazioni che ti ho indicato:
Installa il service pack3 di Windows XP :

http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&DisplayLang=it

E quando lo hai installato posta un log di HJT:
http://www.aiutaamici.com/software?ID=11175
Torna in alto
 
pakky
Inviato: Friday, September 11, 2009 3:15:43 PM
Rank: Newbie

Iscritto dal : 9/4/2009
Posts: 6
Allora r16
ho fatto tutto!!! Fino al service pack3...
questo eil log di hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.14.29, on 11/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [egui] "C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 3502 bytes

ciao fammi sapere...
Torna in alto
 
r16
Inviato: Friday, September 11, 2009 3:25:26 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Tutto pulito. (a parte un particolare)

Ho notato che il log, dice che ci sono problemi con il Nod:

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe (file missing)

Guarda nei Servizi( per andare nei Servizi, fai: Start\Esegui\ e digita services.msc ) se lo vedi "disattivato" o "Manuale".
Se lo vedi cosi, riportalo in "Automatico.
Oppure lo disistalli, fai una pulizia con CCleaner e riavvia il pc.
Poi lo reistalli.
Se non riscontri problemi, direi che sei a posto.
Ultimo consiglio:
Come software di difesa, vedo che hai solo il NOD32.
A mio avviso, dovresti "rafforzarlo" con un antispyware, con Malwarebytes, e un Firewall.
http://www.aiutamici.com/software?ID=80346
http://www.aiutamici.com/software?ID=80361
http://www.aiutamici.com/software?ID=11397

Ricordati di Riattivare il Ripristino Configurazione Sistema.
Torna in alto
 
pakky
Inviato: Friday, September 11, 2009 7:46:22 PM
Rank: Newbie

Iscritto dal : 9/4/2009
Posts: 6
ok..meno male...
siete stati gentilissimi e disponibilissimi!
Mi avete risolto un bel problema...
voi fate parte di quei pochi siti utili della rete, vista l'immondizia che circola!!!!
Faccio le ultime operazioni e ..se non mi sentirete vorrà tutto ok!!!
Ciao e grazie ancora
Torna in alto
 
fazzo72
Inviato: Monday, November 16, 2009 11:58:26 PM
Rank: Newbie

Iscritto dal : 11/16/2009
Posts: 9
Ciao r16,
anche io stesso probelma di pakky: ho seguito tutti le indicazioni fino al SystemScan con questi risultati :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A14C00
malicious code @ sector 0x012A14C03 !
PE file found in sector at 0x012A14C19 !

file report : report.txt

Puoi dare un'occhiata e dirmi come far sparire Mebroot dal mio PC ?
Grazie.
Torna in alto
 
r16
Inviato: Tuesday, November 17, 2009 12:14:15 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Scarica MBR.EXE direttamente nella Directory C:\ (è importante che venga scaricato in C:\ )
http://www2.gmer.net/mbr/mbr.exe
Clicca Start

Clicca Esegui...

Digita: cmd

si apre la finestra DOS, digita: CD \

premi invio

digita: mbr -f (fai il copia-incolla)

premi invio

Poi digita: exit

premi invio

Riavvia il pc

Posta qui il contenuto del log C:\mbr.log

Fai una nuova scansione con Systemscan e posta il log.
Torna in alto
 
fazzo72
Inviato: Wednesday, November 18, 2009 8:53:22 PM
Rank: Newbie

Iscritto dal : 11/16/2009
Posts: 9
r16 ha scritto:
Scarica MBR.EXE direttamente nella Directory C:\ (è importante che venga scaricato in C:\ )
http://www2.gmer.net/mbr/mbr.exe
Clicca Start

Clicca Esegui...

Digita: cmd

si apre la finestra DOS, digita: CD \

premi invio

digita: mbr -f (fai il copia-incolla)

premi invio

Poi digita: exit

premi invio

Riavvia il pc

Posta qui il contenuto del log C:\mbr.log

Fai una nuova scansione con Systemscan e posta il log.


Ecco il risultato di MBR:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A14C00
malicious code @ sector 0x012A14C03 !
PE file found in sector at 0x012A14C19 !

ed il link del log di SystemScan : report.txt

Grazie mille per l'aiuto.
Torna in alto
 
r16
Inviato: Wednesday, November 18, 2009 9:45:26 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao fazzo72 .
Il pc dovrebbe avere anche delle altre infezioni.
Apri un nuovo topic, (per evitare confusione) e ti seguirò lì.
Torna in alto
 
fazzo72
Inviato: Wednesday, November 18, 2009 10:40:58 PM
Rank: Newbie

Iscritto dal : 11/16/2009
Posts: 9
r16 ha scritto:
Ciao fazzo72 .
Il pc dovrebbe avere anche delle altre infezioni.
Apri un nuovo topic, (per evitare confusione) e ti seguirò lì.


Nuovo topic : Virus Mebroot su partizione primaria
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » PC infettato da MEBROOT.CA.....!! Che faccio??


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.