www.MegaLab.it

[sangiran]

Ciao a tutti.

Qualche giorno fa NOD32 se ne esce col seguente messaggio: "win32/mebroot trojan horse". Il computer ha 4 o 5 istanze iexplorer.exe avviate (che mi provocano contiunui pop up). Ieri sono in qualche modo entrati nella mia mail mandando decine di messaggi a nome mio. Stamattina mi sveglio e windows mi chiede la password per accedere al sistema!! Che burloni! Una volta su due l'OS non si carica e mi dà varie schermate blu..

Ho letto l'articolo su questo forum viewtopic.php?f=33&t=60102 per la disinfezione dei rootkit ma purtroppo non ha dato buon esito. Credo di avere una forma rinvigorita di recente. GMER, Norman Cleaner, Cureit, Prevx, Malwarebytes, Combofix, il tool della Symantec ecc. non trovano nessuna minaccia. Il removeral tool della ESET lo rileva ma si dice incapace di rimuoverlo. Il punto principale è che MBR.exe nemmeno riesce a vederlo

MBR.exe mi dà il seguente log:

device: opened successfully
user: error reading MBR
kernel: MBR read successfully

Ho provato con fixmbr dalla consolle di ripristino ma mi dà immancabilmente schermata blu appena la carica.

Che posso fare? Sto terminando un lavoro con questo computer che devo conseganre a breve e se a un certo punto diventerà inutilizzabile sarò davvero incasinato! Aiuto!

[stevens]

ciao


puoi postare il log di combofix?

[Uomo_Senza_Sonno]

Ciao e benvenuto su MLI

di questa bestiaccia se n'è parlato qui e qui. Il primo segnalato è identico al tuo caso, nel secondo il si è riuscito a stanare il rootkit.

Come prima cosa, dal momento che devi fare alla svelta, esegui una copia di backup di tutti i dati del disco utilizzando una distribuzione live di GNU/linux come come questa; masterizzi, riavvi e fai fare il boot da questo cd. Selezioni la lingua e poi selezioni la voce prova ubuntu senza modificare il computer;
una volta caricato il desktop, vai in risorse e poi selezioni i dischi da montare; monti il disco infetto e un disco esterno, possibilmente vergine o comunque mai collegato al pc durante il rilevamento dell'infezione.
Come monti i dischi si apriranno le finestre dove vedrai tutti i files, compresi quelli di sistema; copi e incolli nel disco sano tutto quanto, così sei sicuro di aver fatto un backup completo.

Una volta terminata la copia dei files, smonti il disco dove hai effettuato il backup (click con il dx del mouse sull'icona del drive di backup-->unmount) e lo metti da parte. Se il pc si avvia almeno in modalità provvisoria, proviamo a fare qualche tentativo, altrimenti senza fare troppi giri si esegue uno zerofilling dei settori del disco. In questo modo sei sicuro che elimini l'infezione, ma con essi si cancellano definitamente i dati (motivo per cui come prima cosa da fare è eseguire un backup ).

[Uomo_Senza_Sonno]

puoi postare il log di combofix?

oltre a questo, che forse ci può aiutare, prova a fare questa prova scema: rinomina mbr.exe in un nome di fantasia, ad esempio monello.exe (per dirne una)

poi esegui il comando monello.exe -f e vedi se ti genera lo stesso log

[Uomo_Senza_Sonno]

AGGIORNAMENTO IMPORTANTE
Cercando per caso, ho trovato questa procedura:

scarica bootkit remover e salvalo sul desktop, poi estrai remover.exe sul desktop. Dopo averlo lanciato, vai su Start>Esegui> e copia/incolla questo comando:

"%userprofile%\Desktop\remover.exe" fix \\.\PhysicalDrive0

infine riavvia windows. E speriamo che tutto funzioni e si risolva il problema.

[Uomo_Senza_Sonno]

A scanso di ulteriori problemi, verifico questa procedura su una macchina virtuale

[Uomo_Senza_Sonno]

Test eseguito, ecco il risultato.

Ho eseguito il test su un windows 7 da macchina virtuale, e dopo averlo usato non si è avviato il sistema. Quindi ho inserito il cd di windows e ho usato la console di ripristino, dopo aver riscontrato alcuni errori ho cliccato su repair system e al successivo riavvio è ritornato tutto quanto. Quindi mi viene da pensare che viene compromesso il boot una volta effettuata la pulizia.

In XP virtuale invece dopo aver dato il comando si è riavviato normalmente dopo aver dato conferma positiva

Allora... il comando scritto nel precedente post potrebbe portare un messaggio di errore, per ovviare a questo è meglio salvalo in C:\ e da esegui lanciare questo comando

C:\remover.exe fix \\.\PhysicalDrive0

Al riavvio del pc non dovrebbe presentarsi nessun messaggio di errore, ma per ovviare a questo è necessario usare la console di ripristino e lanciare oltre a fixmbr anche fixboot

[sangiran]

Grazie mille ragazzi e scusate il ritardo. Allora Uomo senza sonno devo comunicarti che sei un grande!!

La procedura con il bootkit remover è stata limipidissima e la minaccia sembra debellata. Era più di una settimana che ci stavo impazzendo! Mai vista una cosa del genere, quest'affare era fatto davvero bene. Speriamo che non si ripresenti.

Adesso mbr (che ho anche rinominato monello.exe) mi dà:

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Evviva!

Adesso mi stavo domandando che fare con tutti dischi esterni che ho collegato a questo pc nel frattempo: un 2 pollici e mezzo da 350 g e una penna USB.

Grazie ancora comunque

[Uomo_Senza_Sonno]

prima verifica l'integrità dello stato dell'mbr dei dischi con mbr.exe;

lo copi/incolli su ogni disco e poi dai il comando da esegui

X:\start mbr.exe -f dove X indica la lettera del drive

poichè non è propriamente un rootkit, forse dovresti trovare tutto ok, ma non posso dirtelo per certo in quanto non ho fatto una prova su dischi esterni. Per certo so che alcune varianti di rootkit si replicano nei dischi non appena vengono collegati, di questo è tutto da verificare.

[sangiran]

fatto! mbr mi da un log che sembra pulito. A quanto pare questa verisone non si replica al collegamento.

Grazie mille ancora!