www.MegaLab.it

[Uomo_Senza_Sonno]

E' molto probabile che ti si impianti all'avvio o produca una bella schermata blu alla prima esecuzione di un'applicazione di sistema (che so, rundll32.exe...)

ok almeno so a che vado incontro.. quindi nuovamente sotto con ubuntu per salvare i files, e provo con un ripristino del sistema..
scusa l'insistenza ma non essendo mio il portatile e alla prima esperienza di virus sotto vista, sono un po' imbranato!! E poi, sono rimasto un po' indietro con le nuove tecnologie di infezione, e senza scontrarsi effettivamente con un problema non si impara a risolvere nulla. Almeno, fino a qualche anno fa, i virus non producevano tutta questa mole di danni, ed erano molto più semplici da rimuovere.

per tutto, come sempre

[Uomo_Senza_Sonno]

.. una domanda che non è inerente.. scusa ma ho appena riazzerato un disco e l'ho formattato con windows, poi l'ho riprovato sotto ubuntu e poi di nuovo in windows, e mi compare una nuova cartella di cestino

$RECYCLER.BIN

questa cartella è stata creata da linux giusto? nel caso la posso eliminare normalmente senza problemi o è meglio che la lasci?

Giusto perché per abitudine, ho sempre visto due cartelle nascoste nei dischi rigidi di archivio

RECYCLER
System Volume Information

Quindi che posso fare?

[Uomo_Senza_Sonno]

Ok, come promesso posto i settori del disco rigido del fisso. In realtà i dischi sono due ma ho preferito piallare quello di archivio (dopo preventivo backup) e ripristinare tutti i dati dopo una formattazione del disco sotto windows..

Settore 0_PC XP
Settore 60_PC XP
Settore 61_PC XP
Settore 62_PC XP
Settore 63_PC XP

Se servono altri settori li posto immediatamente

-----------------------------------------------------------------

SONO DAVVERO SENZA PAROLE!!! Il portatile, dopo aver provato ad azzerare i settori come mi hai indicato (e purtroppo mi ha negato l'accesso quando ho dato il comando dd if=/dev/zero of=/dev/sda bs=512 count=3761 seek=312578048) ho provato a riavviare perché tanto non avevo più nulla da perdere e, visto che anche i dati li ho recuperati e messi in salvo in un altro disco, ho aspettato il succedersi degli eventi... a parte la solita schermata di avviso che windows non è stato chiuso correttamente, gli ho dato avvia win normalmente e.....

MERAVIGLIA DELLE MERAVIGLIE, IL PORTATILE HA RIPRESO A FUNZIONARE COME SE NON FOSSE STATO ATTACCATO DAL QUEL TROJAN MALEDETTO, ma aspettandomi l'impossibilità di avviare qualcosa ho subito provato a lanciare alcuni comandi e tutto va... l'unica cosa che non mi è chiara è che quando clicco con il destro del mouse una qualsiasi cartella o partizione del disco come prima voce mi dice rinomina file audio poi gli altri comandi di default come apri, autoplay ecc ecc..
altra cosa non mi fa accedere a cartelle nascoste come "send to"(collegamento), "programmi" (collegamento) ecc ecc...
Sono i postumi del trojan.win32.VB.moa o adesso è tutto normale e c'è solo qualche cosetta da rimettere a posto in questo portatile (a parte capire perché mi da l'accesso negato quando voglio scrivere quei settori)?

ancora per tutto

[Uomo_Senza_Sonno]

Grazie ancora per il suggerimento, adesso i settori del portatile sono puliti... ora restano solo quelli del pc fisso e i primi settori sono giò postati...

rinomina file audio è una opzione di roxio a quanto ho capito, quindi penso che anche le altre impostazioni sono quelle di base di windows vista home premium.
Quindi il portatile è sano come un pesce!!

ancora per tutto sei un grande

[masterz3d]

Disinstalla qualche programma inutile, quindi prova ad esaminarlo con CCleaner; poi gli fai fare uno scandisk a tutti i drive e al riavvio lo deframmenti.

Togli tutti i file temporanei Internet e i cookie quando usi CCleaner.

[Uomo_Senza_Sonno]

Ok seguo il tuo consiglio... per quanto riguarda l'altro pc? Che altri settori devo postare?

ancora per tutto

[masterz3d]

Solo lo 0.

[Uomo_Senza_Sonno]

L'avevo già postato, comunque eccolo

Settore 0_PC XP

nei miei ultimi post ci sono anche gli altri settori

ancora per tutto, ci sentiamo nei prossimi giorni (sicuramente da mercoledì)

[Uomo_Senza_Sonno]

Solo lo 0.

Ciao Masterz, scusa l'insistenza ma che devo fare con questo ultimo disco?

-----------------------------------------------------------------------------------------

Per quanto riguarda quella domanda sul tom tom, ho avuto risposta dal servizio assistenza, dicendomi che il navigatore non ha un sistema windows-like (e c'era da aspettarselo) ma che viene riconosciuto dai pc come semplice disco removibile esattamente come le pendrive.. che si comporta esattamente come le pendrive. In sostanza, se si volesse piallare tutti i settori della memoria del navigatore si può fare senza comprometterne il funzionamento.. buono a sapersi!!

ancora per tutto

[masterz3d]

Dai una controllata ai settori dall'1 al 62. Se sono tutti vuoti, e se il disco non ti dà problemi, direi che si può lasciar stare.

[Uomo_Senza_Sonno]

Ho controllato i settori dal primo al 62esimo.. dai log fatti con mbr.exe risultava ancora un'infezione in alcuni settori (ed infatti avevo postato tutti i log proprio per capire se era stato rimosso tutto quanto) e nel settore 32 ho trovato qualcosa con HxD...

log mbr.exe

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x017BD1417
malicious code @ sector 0x017BD141A !
PE file found in sector at 0x017BD1430 !

Settore 32_PC XP

Questo log è stato fatto dopo aver rimosso l'infezione, e dopo aver dato il comando start mbr.exe -f e dopo aver dato fixmbr dalla console di ripristino.. possibile che sia solo una traccia? Ma ad ogni modo, è sempre meglio eliminare ogni rimasuglio... e quindi in questo caso devo solo azzerare i primi 62 o è necessario verificare se ci sono altri settori dove può essersi infilato il rootkit?

ancora per la tua disponibilità e immensa pazienza

[masterz3d]

Codice: Seleziona tutto

dd if=/dev/zero of=/dev/sda bs=512 count=1 seek=32

per cancellare i rimasugli dal settore 32.

Poi usi il comando seguente per ripulire i settori finali:

Codice: Seleziona tutto

dd if=/dev/zero of=/dev/sda bs=512 seek=398267415

[Uomo_Senza_Sonno]

Ti ringrazio infinitamente per tutto, a questo punto è tutto concluso e finalmente si torna alla normalità... Sei un grande in questa odissea nessuno sarebbe tornato a casa, senza il tuo aiuto

[nelly369]

Ciao a tutti,
sto combattendo disperatamente con questo trojan.
Nod32, quando faccio partire la scansione, mi dice che "il settore MBR di 2. Disco fisico contiene cavallo di troia Win32/Mebroot.mbr.

Ho usato il comando "mbr.exe -f" per toglierlo, ma adesso quando faccio partire il programma mbr.exe dal prompt dei comandi mi compare questo:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, GMER - Rootkit Detector and Remover

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01D1C06C0
malicious code @ sector 0x01D1C06C3 !
PE file found in sector at 0x01D1C06D9 !

Da quello che sono riuscito a capire (sono un novellino ), ho pulito il trojan, ma è rimasta una copia dormiente.

Ho provato tutto gli antivirus possibili, ma rimane lì.

Ho letto il topic "Virus sul settore 1 MBR" e mi sa che il problema è simile.
Qualcuno può aiutarmi? perché ho letto il topic, ma non sono riuscito a capire cosa devo fare.
Avrei bisogno di istruzioni più terra terra.

Grazie.
Ciao

[crazy.cat]

ho pulito il trojan

Purtroppo no, è ancora bello attivo e ogni volta che riavvii il pc è già pronto.

Avrei bisogno di istruzioni più terra terra.

Ho paura che non ci siano, la procedura di rimozione manuale è decisamente complessa, a meno che tu non voglia formattare a basso livello il tuo hd per ripulire il virus.

[nelly369]

Grazie della risposta.
Nell'altro topic ho letto che alla fine ci sono riusciti a eliminalo.
Masterz3d aveva fatto una mezza guida sul com eliminarlo del tutto.
Seguendola fin dove riuscivo a capire, avendo Windows xp pro sp3, ho scaricato ed installato Hxd (un po' poco? ).
Tuttavia non so come fare per scrivere sui settori infetti.
E non mi azzardo a fare tentativi perché non mi posso permettere errori (il disco infetto è quello di mia madre che lo usa per lavoro. A prendere il trojan è stata lei ).

Se potete indirizzarmi, penso di poterne uscire.

P.s.: se serve qualche altra informazione, ditemelo per favore.

[nelly369]

Ci avevo pensato che era meglio postarlo in "Virus sul settore 1 MBR".
Scusate l'errore.

Ho seguito la guida di Masterz3d, e mi rimane solo un ultimo dubbio.
Se pulire solo i tre settori infetti (488376000, 488376003 e 488376025) oppure se pulire tutti i settori dal 48376000 al 488376025. Non vorrei che con quest'ultima pulizia cancellassi più del dovuto.

Qualche consiglio?
Grazie

[masterz3d]

Hai già ricopiato il master boot record come scritto a pagina 6 del thread, dal settore 488376000 al settore 0? Il settore 488376000 non è infetto, è la copia del MBR fatta dal trojan. Devi seguire l'iter:

• riportare il MBR salvato dal dato copy of MBR has been found in sector XXXXXXXXXX;
• ripulire i settori da 1 a 62 come descritto alla pagina 6;
• ripulire tutti i settori dal 488376000 fino alla fine.

[nelly369]

Grazie della risposta.

Ho dato un'occhiata ai settori dal 1 al 62, sono tutti puliti (sfilze di 00), tranne il 32. http://img198.imageshack.us/img198/4003/settore32.png
Ho fatto un'immagine, se puoi dargli un'occhiata, da quello che leggevo forse è il kernel del trojan.

Per copiare il settore 488376000 sul settore 0, dimmi se sbaglio, seleziono il settore 488376000, copio, mi porto sul settore 0 (lo seleziono tutto o basta che mi metto all'inizio del settore?) ed incollo (sovrascrivi).

Comunque ho fatto delle immagini del settore 0 e del settore 488376000 ed ad occhio sembrano uguali.
Settore 0 - http://img198.imageshack.us/img198/5954/settore0.png
Settore 488376000 - http://img198.imageshack.us/img198/6194 ... 376000.png

Scusa se sono una piaga, ma ho una paura del diavolo .

P.s.: solo un ultimo enorme dubbio, ma seguendo le tue istruzioni, elimino il tojan, mantenendo intatto tutto il resto, giusto?

[masterz3d]

ma seguendo le tue istruzioni, elimino il tojan, mantenendo intatto tutto il resto, giusto?

Si.

• Il settore 32 è da pulire; puoi farlo direttamente con HxD, selezioni e sovrascrivi con zeri;
• il Master Boot Record è sano, non serve che lo ricopi dalla fine del disco;
• puoi direttamente pulire tutti i settori dal 488376000 fino alla fine.

Per sicurezza, controlla che il settore 488375999 inizi con una dicitura che contiene "NTFS", è il terminatore di filesystem che decreta l'ultimo settore dalla partizione, e dal successivo in poi puoi fare quello che ti pare. Postamelo per sicurezza.