www.MegaLab.it

[niko95omejo]

è il trojan piu tosto che abbia mai visto. scarica prevx e fagli fare una scansione ( devi stare collegato con internet , perché il suo database è online) vedi se trova la minaccia ( prevx lo trovi qui http://info.prevx.com/downloadcsi.asp ). Anche se è la versione free, è in grado di rimuovere i mbr rootkit e gli spyware\adware.
P.s. stavo pensando, Avast ha la possibilità di scansionare l'avvio, con l'apposita Scansione All'avvio, che fa una scan prima del caricamento del sistema operativo, dove risiede il rootkit. Ti sto facendo installare una marea di programmi... ma tentar non nuoce. Scarica avast, installalo e aggiorna le firme antivirus, successivamente apri il centro di controllo, vai dove sta scritto " scansione computer" , vedi la voce scansione all'avvio, vai su dettagli e vedi se ci sono opzioni, setta l'intero computer da scansionare, dopodichè clikka su "pianifica scansione al prossimo riavvio" o una cosa del genere. Riavvia il tuo sistema e dovresti vede partire una scansione di Avast. se prevx e avast non riescono a rimuovere l'infezione, ci vuole una formattazione totale di basso livello..

[niko95omejo]

per curiosità, vai su > C > programmi> Documents and Settings e vedi se c'è la voce Help Assistant...

[Pierodoctor]

ciao niko,
allora help assistant non c'e'. oggi pomeriggio provo prevx e avast....e vediamo un po'

[Uomo_Senza_Sonno]

allora il pc ha girato tutta la notte per fare defrag e consolidate, poi stamattina ultrawipe.....riavvio e mbr.exe -t non rilascia log.....

il pc ha chiesto il riavvio? O hai riavviato tu di proposito? Poi ovviamente se questo rootkit continua a nascondersi e a non essere rilevato da mbr.exe, anzi, adesso il comando start mbr.exe -t o start mbr.exe -f non genera nessun log, l'unica soluzione è la forza bruta (formattazione a basso livello o zerofilling da distro GNU/Linux).

Prima di passare al peggio, proviamo anche a dare il comando fixmbr dalla console di ripristino. Quando ti verrà chiesto di continuare metti si. Poi riavvia e verifica di nuovo se start mbr.exe -f genera qualche log. Per usare la console di ripristino devi avere sotto mano il cd di windows xp, e quando appare la schermata di selezione delle operazioni clicca R. Quando la console è pronta, dai fixmbr e conferma, dopodichè exit per riavviare.

Se questo tentativo nuovamente non porta risultati, l'unico modo per eliminare definitivamente tutto è azzerare tutti i settori del disco, e con essi cancellare definitivamente tutti i dati senza possibilità di recupero alcuna. Ora, se devi salvare tutti i dati presenti nel disco rigido il mio consiglio è scaricarti una distribuzione live linux (come questa) e trasferire sotto linux tutti i dati in un altro disco, possibilmente vergine o comunque mai collegato al tuo pc durante il rilevamento dell'infezione, in quanto anche un semplice trasferimento dati sotto windows da un disco ad altro può veicolare l'infezione, anzi in genere basta anche di meno, come collegare e avviare un nuovo disco. Sotto linux i trasferimenti sono del tutto sicuri perché (mettiamola così) sotto questo sistema operativo questo rootkit non trova terreno fertile.

Masterizzi su un cd, riavvi e fai fare il boot da questo cd. Selezioni la lingua e poi selezioni la voce prova ubuntu senza modificare il computer;
una volta caricato il desktop, vai in risorse e poi selezioni i dischi da montare;
monti il disco infetto e quello sano, si apriranno due finestre;
a questo punto ti basta selezionare tutto quello che hai nel disco infetto e copiare/incollare nel disco sano;

scarica prevx e fagli fare una scansione. Anche se è la versione free, è in grado di rimuovere i mbr rootkit e gli spyware\adware

Io ho usato prevx in un paio di occasioni per motivi simili, e non rimuove gli mbr rootkit. Esegue solo la scansione, almeno la versione gratuita si comporta così.

[Uomo_Senza_Sonno]

Faccio un'aggiornamento, e spero che questo risolva il problema senza fare tutto quello che ho scritto nel post precedente.
Cercando per caso, ho trovato questa procedura:

scarica bootkit remover e salvalo sul desktop, poi estrai remover.exe sul desktop. Dopo averlo lanciato, vai su Start>Esegui> e copia/incolla questo comando:

"%userprofile%\Desktop\remover.exe" fix \\.\PhysicalDrive0

infine riavvia windows. E speriamo che tutto funzioni e si risolva il problema.

[Pierodoctor]

ciao, il software lo ho scaricato e lanciato, ma il comando:
"%userprofile%\Desktop\remover.exe" fix \\.\PhysicalDrive0
non funziona.....dice che non e' corretto come comando.....
e' sbagliato il comando???? o e' il rootkit che non lo fa partire???

[Uomo_Senza_Sonno]

Faccio una verifica su una macchina virtuale, per evitare problemi indesiderati.

[Uomo_Senza_Sonno]

Ho eseguito il test su un windows 7 da macchina virtuale, e dopo averlo usato non si è avviato il sistema. Quindi ho inserito il cd di windows e ho usato la console di ripristino, dopo aver riscontrato alcuni errori ho cliccato su repair system e al successivo riavvio è ritornato tutto quanto. Quindi mi viene da pensare che viene compromesso il boot una volta effettuata la pulizia.

In XP virtuale invece dopo aver dato il comando si è riavviato normalmente dopo aver dato conferma positiva

Allora... prova così:

salvalo in C:\ e da esegui lancia questo comando

C:\remover.exe fix \\.\PhysicalDrive0

Al riavvio del pc non dovrebbe presentarsi nessun messaggio di errore, ma per ovviare a questo è necessario usare la console di ripristino e lanciare oltre a fixmbr anche fixboot

[Pierodoctor]

ciao, purtroppo non il cd di windows......ne consegue che non provero' questa opzione....
comunque domani formatto, sperando di riuscire ad eliminarlo definitivamente.
grazie ancora a tutti per il supporto, dopo la formattazione mi rifaro' vivo per confermare
che tutto sia risolto.
ciao.

[Uomo_Senza_Sonno]

è bene che ti avvisi che anche formattando normalmente l'infezione non sparisce. E se devi formattare devi avere per forza il cd di windows. Prima di formattare, esegui questa prova che ti evita di formattare inutilmente, poi se anche questo non funziona allora procedi con una formattazione a basso livello oppure uno zerofilling da distribuzione GNU/linux.

[Pierodoctor]

attenzione attenzione!!!!
ho effettuato questa [procedura, ho riavviato, il PC mi ha chiesto di riavviare una seconda volta,
ed ora....sembra che non ci sia piu'!!!! Sul task manager ixplore.exe non c'e' piu'.....ora aspetto un attimo e poi vi tengo aggiornati.
nel frattempo c'e' qualcosa da fare, da provare per esserne certi???
uomo senza sonno, se veramente abbiamo evitato una formattazione del pc.......

[Uomo_Senza_Sonno]

come prima cosa esegui mbr.exe e vedi se genera un log positivo (MBR & kernel OK), poi effettua una scansione con nod32, che a quanto pare è l'unico che ha rilevato il virus

[crazy.cat]

Ho eseguito il test su un windows 7 da macchina virtuale, e dopo averlo usato non si è avviato il sistema. Quindi ho inserito il cd di windows e ho usato la console di ripristino, dopo aver riscontrato alcuni errori ho cliccato su repair system e al successivo riavvio è ritornato tutto quanto. Quindi mi viene da pensare che viene compromesso il boot una volta effettuata la pulizia.
In XP virtuale invece dopo aver dato il comando si è riavviato normalmente dopo aver dato conferma positiva
Allora... prova così:
salvalo in C:\ e da esegui lancia questo comando
C:\remover.exe fix \\.\PhysicalDrive0
Al riavvio del pc non dovrebbe presentarsi nessun messaggio di errore, ma per ovviare a questo è necessario usare la console di ripristino e lanciare oltre a fixmbr anche fixboot

Se anche altri ti confermano che la cosa funziona ti chiederei di metterla per iscritto sotto forma di un articolo.
Ovviamente con tutte le avvertenze del caso necessarie visto che si tratta di una procedura che comporta sempre un certo rischio.

Le prove le puoi fare dalle tue macchine virtuali prendendo tutti gli screenshot necessari.

[Pierodoctor]

dunque, nod non trova piu' nulla, fatta la scansione completa e nada.....tutto regolare,
il PC l'ho riavviato diverse volte (per la rimozione dei 10000 software installati in questa serrimana di travaglio),
mbr.exe: allora si trova in C:\\ e quando do il comando da esegui, parte una finestra dos nera, velocissima, che subito scompare,
il log dove lo salva??? se lo riesco a trovare lo posto. comunque il PC sembra andare bene, ixplore.exe non corre piu', l'udio nn scompare, e le pagine explorer non partono piu'.....non so cosa dire. Avevo perso le speranze, volevo ancora ringraziare tutti coloro hanno partecipato e cercato di aiutarmi.
grazie 1000 a tutti.
:)

[crazy.cat]

mbr.exe: allora si trova in C:\\ e quando do il comando da esegui, parte una finestra dos nera, velocissima, che subito scompare,
il log dove lo salva??? :)

Dovresti aprire un prompt di msdos, sempre da start esegui digitando cmd e poi invio.
dalla finestra nera scrivi cd\ poi invio e poi mbr e invio
allora riesci a leggere i risultati.

[Uomo_Senza_Sonno]

Se anche altri ti confermano che la cosa funziona ti chiederei di metterla per iscritto sotto forma di un articolo.

C'è un altro thread dove sono presenti gli stessi problemi, aperto ieri mattina, ma ancora la procedura non è stata provata. Se diventa una procedura standard per la rimozione di questo bootkit mi ritaglio un po' di tempo e ci provo, ma nel caso mi spieghi in che modo devo procedere, oltre a quello che mi hai indicato.

[crazy.cat]

Se diventa una procedura standard per la rimozione di questo bootkit mi ritaglio un po' di tempo e ci provo, ma nel caso mi spieghi in che modo devo procedere, oltre a quello che mi hai indicato.

In caso ci risentiamo in privato e ti spiego meglio.
questo vermicello è diventato una vera rogna, se si trova una procedura valida è bene metterla per iscritto.

[gio!]

Sono contento che sei finalmente riuscito a risolvere evitandola formattazione
Ma quindi in definitiva non si è ancora ben capito come agisce questo fastidioso rootkit. Si annida nell'mbr ma che processi avvia e come viene riconosciuto dalle varie case antivirus?

[Uomo_Senza_Sonno]

Ma quindi in definitiva non si è ancora ben capito come agisce questo fastidioso rootkit. Si annida nell'mbr ma che processi avvia e come viene riconosciuto dalle varie case antivirus?

In questo caso non è un MBR rootkit (e quindi le procedure per la pulizia dell'MBR sono totalmente inefficaci, a parte una soluzione estrema come lo zerofilling), ma un Bootkit.

Qui i campanelli di allarme sono:

istanze fantasma multiple di iexplorer.exe;
disabilitazione della scheda audio;
BSOD;
impossibilità di accedere al sistema operativo;

variano molto dai rootkit perché almeno quelli vengono rilevati con i tools appositi, ma ciò che li accomuna è la incredibile resistenza alla rimozione.

[Pierodoctor]

Grazie Gio', anche per il tuo aiuto!!!!Uomo senza sonno alla fine ha avuto ragione di questo Bootkit (o come diavolo si chiama).
Se avessi dovuto formattare, (cosa che non sembrava semplice...io di linux so solo che era un fumetto...LOL) sarei dovuto tornare in USA solo per riavere i software che ho installato. Il PC va una bomba, anche meglio di prima che rimanessi infettato, forse tutti i defrag e whiping atc etc, hanno avuto un buon effetto sulla macchina! ancora grazie a tutti, e in particolare a crazy cat e a tuti quelli che non i hanno mandato a .....vista la mia completa ignoranza in materia!!!!