www.MegaLab.it

[nelly369]

Ho controllato, il settore 488375999 inizia con ntfs.
Comunque l'immagine la trovi qui http://img13.imageshack.us/img13/6048/s ... 375999.png

Tra poco inizio lo sterminio .
Se entro stasera non posto, vendicatemi!

[peppinocacace1]

Sono stato colpito da questa piaga, la differenza fra mè e gli altri che hanno postato stà nel fatto che nel tentativo di rimuovere i virus sono saltate le partizioni (3) presenti sull'Hard Disk e non ho più avuto la possibilità di accedervi.
Ho formattato ma il problema e sempre li presente, MBR.exe mi segnala:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !


E possibile avere un aiuto per eliminare il problema?

[nelly369]

Ciao, anche tu del club.
Io ho seguito le istruzioni date da Masterz3d a pagina 6, ed adesso mbr.exe mi dice tutto ok.
Ho usato HxD ed ho pulito i settori da 1 a 62 ed i finali.

Tuttavia Nod32 mi continua a dire che il "settore MBR del disco fisico 1 - Win32/Mebroot.mbr trojan horse".
Qualche idea? (che non sia formattare il disco ).

Masterz3d aiutaci tu!

[nelly369]

Ho controllato con Hxd.
Ogni volta che riavvio, si ricrea nel settore 32.
Nod32 se ne accorge e me lo segnala (ma non riesce a pulirlo).

Per mbr è tutto ok.

Sto provando a fare una scansione in modalità provvisoria, ma non credo di risolvere così.

Qualche consiglio?

Grazie

[masterz3d]

Formattare non serve a nulla. Hai cancellato tutti i settori dal 488376000 fino alla fine? Hai fatto la scansione antivirus con NOD32 su tutti i file, hai fatto il wipe dello spazio libero con UltraWipe, hai deframmentato e fatto lo scandisk come consigliato nei miei primi post?

[nelly369]

Ho cancellato tutti i settori dal 488376000 (compreso) fino alla fine.
Ho fatto la scansione di Nod32, che mi segnala "settore MBR del disco fisico 1 - Win32/Mebroot.mbr trojan horse", ma che se gli do il comando "pulisci" mi dice che non è possibile.
Ho deframmentato.

Scandisk non l'ho fatto, perché quando lo faccio mi dice "Impossibile ottenere accesso esclusivo ad alcuni file di Windows sul disco. Il controllo del disco non può pertanto essere effettuato. È possibile accedere ai file soltanto riavviando Windows. Pianificare il controllo del disco al prossimo riavvio del sistema?". Comunque appena posso ci provo.

Ultrawipe non l'ho ancora provato.

In un altro forum consigliavano di dare il comando fixmbr dalla windows recovery console. Che ne dici?

[peppinocacace1]

Sono stato costretto a formattare.
Anche staccando fisicamente l'hard disk e collegandolo ad altro pc non mi è stato possibile accedere all'interno dell'hard disk.
Ho notato che c'è una differenza nel log degli altri colpiti e in quello che MBR rilascia a mè, manca la riga "copy of MBR has been found in sector .........."

[peppinocacace1]

Chiedo scusa, probabilmente mi sono inserito in una discussione già in atto.
Non era mia intenzione disturbare.

[maiandra]

Scusate se mi intrometto, pensavo di aver risolto invece leggendo questo post mi accorgo che forse il portatile di mia figlia è ancora infetto, rimando per brevità a questo post topic58244.html - adesso il log di mbr è questo:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0253EABF
malicious code @ sector 0x0253EAC2 !
PE file found in sector at 0x0253EAD8 !

Nel frattempo ho scaricato e installato Hxd, se masterz3d mi da una mano a risolvere.
Grazie e ciao a tutti.

[nelly369]

A quanto pare questa brutta bestia sta mietendo vittime.
Qualcuno ha capito come lo si prende questo trojan?

[nelly369]

Sto facendo lo scandisk (quello completo con correzione del file system e ricerca e ripristino dei settori danneggiati).

Se non funziona, passo al windows recovery console. Che ne dici Masters3d?

Ragazzi non vi arrendete, per formattare c'è sempre tempo.

[nelly369]

Vittoria

Usando la Windows recovery console ed il comanda fixmbr, nod32 non mi segnala più l'infezione.

Beccati questo trojan .

Grazie ancora Masterz3d per l'aiuto.

[peppinocacace1]

masterz3d, mi potresti aiutare a capire, come ho gi scritto in un post precedente, il log che mi viene rilasciato da mbr e diverso da quello che viene rilasciato agli altri.
Ho già seguito parte della procedura che hai indicato a pag 6 di questo lungo lavoro, ho cancellato i settori da 1 a 62 ma mi sono dovuto fermare perché non sò dove prendere la copia ....

Ho seguito le tue istruzioni, ho fatto il defrag, lo scadisk ed ultrawide.
Dove sbaglio?

[peppinocacace1]

masterz3d
Ho ragonato su quello che hai scritto in tutti i post precedenti, ho rischiato ed ho trovato la soluzione.

Ho cancellato i settori dal 156296388 al 156296410 ed il codice maligno non si vede per il momento.

Onori e meriti sono tutti tuoi grazie

[nelly369]

Continuano ad aumentare le persone ed i computer salvati da Masterz3d.

Domani tutti in piazza: Masterz3d for president

[xericcardo]

Ciao
ho letto con molta attenzione i vostri post perché anche io ho avuto problemi con il mebroot.mbr
dopo aver disabilitato e cancellato l'utente helpassistance dopo aver utilizzato mbr.exe e seguito i vostri consigli
dei vari tools
mi sono fermato sulla cancellazione dei settori del HD anche perché il computer che utilizzo è quello
del posto in cui lavoro ed avevo paura di rovinare tutto
allora ho chiamato il suporto tecnico della Eset- nod32 perché avevo un hd infettato (non il principale)
mi hanno inviato un tool con le spiegazioni su come eliminare il trojan ed ha funzionato
il tool non è ancora ufficiale
ma chi ha questo problema ed ha una licenza di nod32 può chiamare la Eset per farsi aiutare a rimuovere il trojan
Masterz3d ti devo ringraziare per l'ottima guida che mi ha permesso di bloccare il trojan
l'unica cosa che mi fa arrabbiare è:come cavolo è entrato nel mio computer?
Saluti Riccardo

[crazy.cat]

l'unica cosa che mi fa arrabbiare è:come cavolo è entrato nel mio computer?

La versione precedente di questo virus l'avevo trovata su delle pagine web fatte ad arte, appena le aprivi ti aprivano automaticamente un eseguibile che era il virus stesso.
Per proteggersi era necessario un buon software hips che segnalava subito l'esecuzione sospetta.

a un nome questo tool non ufficiale?

[xericcardo]

Ciao
il tool si chiama MbrFix.exe
ciao

[crazy.cat]

Ciao il tool si chiama MbrFix.exe
ciao

Ciao ex-mestrino.

In attesa del tool ufficiale, sul sito americano c'è questo.
http://download.eset.com/special/EMebRemover.exe

Magari se qualcuno lo prova, faccia sapere se funziona.
Grazie

[xericcardo]

Ciao
avevo provato quel tool(la versione 1.7) ma con me non ha funzionato mi diceva che aveva trovato il virus
che era inattivo ma non riusciva a rimuoverlo
bisogna vedere se funziona prima di aver utilizzato mbr.exe
ciao