www.MegaLab.it

[utente1]

Allora premetto che NOD32 mi ha trovato e rimosso Win32/Mebroot.DC ,Win32/TrojanDownloader.Mebload.U. Entrambi situati in una cartella dell'account (creato dal virus) help assistant. A questo punto ho utilizzato il cd di windows e tramite la console di recupero ho dato il fixmbr. Tuttavia continuava a comparirmi questo log

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x0747059C4 !
PE file found in sector at 0x0747059DA !

Allora non contento ho utilizzato Mbwiz e con l'opzione /wipe=mbr ho azzerato l'mbr e con testdisk ho ripristinato la tabella delle partizioni e l'mbr.
Possibile che ancora quel log mi compaia? Cosa posso fare per accertarmi che il virus sia effettivamente scomparso?

Grazie

[xericcardo]

Ciao
anche a me appare il messaggio simile al tuo ma
Quelli della nod32 mi hanno detto che non è importante
ciao Riccardo

[Trinità]

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0E4FBFE2
malicious code @ sector 0x0E4FBFE5 !
PE file found in sector at 0x0E4FBFFB !

Ecco il mio problema, ho aftto tutti i passaggi, tranne l'azzeramento dei settori alla fine della partizione che mi è ancora poco chiara

Edit: Ho un solo HD da 115Gb con una sola partizione, qualcuno può dirmi che settori devo azzerare ?

[masterz3d]

Allora non contento ho utilizzato Mbwiz e con l'opzione /wipe=mbr ho azzerato l'mbr e con testdisk ho ripristinato la tabella delle partizioni e l'mbr.
Possibile che ancora quel log mi compaia?

E' ovvio, si annida alla fine del disco, non all'inizio, dove nessun programma convenzionale arriva. Se noti, una riga del messaggio è

Codice: Seleziona tutto

user & kernel MBR OK

che dice che il MBR è sano, perché l'hai sistemato.

Se volete risolvere il problema in modo veloce e cancellando solo i settori necessari dovete seguire le indicazioni in questo post e farmi vedere i master boot record. Allora potrò dirvi gli offset che dovete azzerare.

[Trinità]

Ecco il mio:
La cosa che più mi spaventa è la possibile infezione di un HD esterno Grazie a prescindere del tuo aiuto naturalmente!

[Uomo_Senza_Sonno]

La cosa che più mi spaventa è la possibile infezione di un HD esterno

Se hai letto tutti i post di questo argomento, probabilmente avrai letto anche che è sufficiente collegare i dischi per infettarli.. nel dubbio, è meglio verificare e procedere come è descritto nelle pagine precedenti per evitare nuovi "contagi".. ovviamente se l'HDD esterno non è stato collegato quando hai scoperto di avere il pc infetto, non corri rischi.

[masterz3d]

Trinità, non riesco a capire quanti settori abbia il tuo disco rigido. Non hai messo tutta la finestra di HxD nell'immagine, il numero totale è scritto a destra del campo "Settore X di ..." come ho fatto vedere in questo post.

Se lo vuoi fare da solo, devi leggere questo post e nella finestrella "Seleziona blocco" devi mettere per "Inizio" il numero 1C9F7FC400 e come "Fine" il numero dei settori totali del disco convertito in esadecimale meno 1. Comunque non mettere mai un numero minore di quello che ti ho detto.

@utente1, tu hai un disco da 1TB, giusto?

[Trinità]

La cosa che più mi spaventa è la possibile infezione di un HD esterno

Se hai letto tutti i post di questo argomento, probabilmente avrai letto anche che è sufficiente collegare i dischi per infettarli.. nel dubbio, è meglio verificare e procedere come è descritto nelle pagine precedenti per evitare nuovi "contagi".. ovviamente se l'HDD esterno non è stato collegato quando hai scoperto di avere il pc infetto, non corri rischi.

Allora ho sicuramente infettato un HD esterno e varie chiavette USB

@ masterz3d : I settori in tutto sono 240121728. Devo cancellare dal 1C9F7FC400 fino all' E4FF77F?

[masterz3d]

No. E4FF77F è il numero dei settori in esadecimale, e non è corretto, perché vogliamo l'offset in byte, convertito in esadecimale.
Il numero corretto è E4FF780 (240121728 decimale) moltiplicato 200h (512 decimale) che fa 1C9FEF0000, sottrai 1 e ottieni 1C9FEEFFFF, che è l'offset finale da inserire, ed è la dimensione totale del disco rigido in byte meno 1.

[Trinità]

Allora appena ho tempo eseguo tutto, grazie

[Trinità]

Grande Masterz3d ho risolto Ora direi che si può passare all' HD esterno e alle chiavette

[Robino]

Mi ritrovo anchio con questo problema.
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x017BD52D8
malicious code @ sector 0x017BD52DB !
PE file found in sector at 0x017BD52F1 !

Ho letto un po i post precedenti tuttavia non mi è chiaro da quale settore devo cancellare fino alla fine.
L'mbr su traccia 0 è in inglese , mentre quello copiato nel settore 398283480 (Hex 17BD52D8 ) è in italiano.
Riassumendo mi pare di aver capito di
copiare l'mbr corretto su traccia 0
cancellare i settori da 1 a 62
cancellare da settore ? alla fine dei settori

Traducendo in Dec...
copy of MBR has been found in sector 0x017BD52D8 .........settore 398283480
malicious code @ sector 0x017BD52DB !........................settore 398283483
PE file found in sector at 0x017BD52F1 !.......................settore 398283505

Non so cosa sia PE file...

Chiedo aiuto grazie...il sistema sempre piu' instabile!

se masterz3d ritiene posso ingegnarmi a inviare i file immagine dei settori

[Trinità]

Dite che utilizzando Returnil ed inserendo la chiavetta si viene comunque infettati da questo malware?

@ Robino: posta la finestra del settore 0 di HxD.

[Uomo_Senza_Sonno]

Dite che utilizzando Returnil ed inserendo la chiavetta si viene comunque infettati da questo malware?

L'unico modo per non infettare i dischi è impiegare un sistema operativo come Linux, che è perfettamente immune a questo tipo di attacchi (questo detto in parole povere), altri metodi, programmi che corrono sotto windows sono sempre esposti ed è sufficiente il collegamento della periferica per veicolare il contagio. Esperienza personale...
Armati di tantissima pazienza e sterilizza tutto quanto, uno ad uno i dischi infetti.

[Robino]

Dite che utilizzando Returnil ed inserendo la chiavetta si viene comunque infettati da questo malware?

@ Robino: posta la finestra del settore 0 di HxD.

Ciao Trinità,
come faccio a inserire l'immagine dell'mbr come hai fatto tu?

...se vado su invia allegato e insersco l'immagine jpg non appare nulla.

boh provo

[crazy.cat]

come faccio a inserire l'immagine dell'mbr come hai fatto tu?

Così http://www.MegaLab.it/2995/2

[Robino]

ho pulito tutte le tracce, ogni tanto schermata blu ( ogni tanto anche prima con il virus ) e poi ultrawipe non wippa niente

[archi2000]

Riporto in vita la discussione per avere lumi.

Mia situazione

a) numero totale settori
625142448
b) tabella di partizione (intervallo 01BE - 01FD)
80 00 01 01 07 FE FF FF C1 3E 00 00 CC F2 34 0C 00 FE FF FF 0F FE FF FF 8D 31 35 0C 34 A5 0D 19
l'h.d. che interessa è quello di boot (80)


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x02542D6C1 (625137345)
malicious code @ sector 0x02542D6C4 ! (625137348)
PE file found in sector at 0x02542D6DA ! (625137370)

Ho studiato le preziose indicazioni di master3d e quindi:
1) copio mbr pulito da settore 625137345 a settore 0
2) metto a zero da settore 1 a settore 62
3) metto a zero da settore 625137345 a ????????

Il finale lo desumo dalla lettura dell'MBR?
Come si fa?
Ma in quei settori finali che dovrei cancellare, oltre al rootkit perdo altri dati?

Grazieeeeeeee

[masterz3d]

a) numero totale settori
625142448
b) tabella di partizione (intervallo 01BE - 01FD)
80 00 01 01 07 FE FF FF C1 3E 00 00 CC F2 34 0C 00 FE FF FF 0F FE FF FF 8D 31 35 0C 34 A5 0D 19

Dovresti postare il MBR visto da HxD, così si capisce poco.

l'h.d. che interessa è quello di boot (80)

Non è un disco rigido, ma una partizione. 80 è il flag che contrassegna la partizione di boot.

metto a zero da settore 1 a settore 62

Se hai Windows Vista o Windows 7 non è così semplice.

Ma in quei settori finali che dovrei cancellare, oltre al rootkit perdo altri dati?

No perché non sono indirizzati dal sistema operativo. Se li cancelli non perdi niente.

Questa è la procedura per cancellare una certa quantità di settori con HxD, ma prima dobbiamo vedere come sta il settore 0.
Questa è la procedura per trasferire il MBR sano sul settore 0.

[archi2000]

Sei un angelo.
Grazie per l'attenzione.
Ho le immagini. Come le posto?
Le vuoi via e-mail?
Grazie ancora

Dimenticavo ho xpsp3