www.MegaLab.it

[maux]

Da quello che segnali ti invito a leggere quest'articolo ed a provare il tool per la rimozione, ma prima effettua un controllo con questo rescue disk
(in aggiunta a quanto già consigliato )

Utilizzando i due programmi consigliati da hashcat, i problemi che avevo sono rientrati.
Mi consigli comunque di utilizzare il rescue disk ?

[Uomo_Senza_Sonno]

No, a questo punto non serve a molto, al massimo per un controllo di sicurezza. Tuttavia non sono così convinto che la componente rootkit sia stata eliminata senza grossi sforzi, effettua un controllo con il tool segnalato nell'articolo linkato nel mio post precedente e controlla se lo status del MBR è ok

[maux]

No, a questo punto non serve a molto, al massimo per un controllo di sicurezza. Tuttavia non sono così convinto che la componente rootkit sia stata eliminata senza grossi sforzi, effettua un controllo con il tool segnalato nell'articolo linkato nel mio post precedente e controlla se lo status del MBR è ok

Segnalo un'imprecisione a quanto ho riportato precedentemente.
Il rootkit "Rootkit.Win32.Tdss!e2 \\.\PhysicalDrive0" non è stato rimosso dal tool EmsisoftAntiMalwareSetup.
Ho notato ora che mi ha riportato questo messaggio: "Rootkit can't be removed automatically" e ciò avvalora la tua tesi sul fatto che fosse ancora presente nel sistema.

Adesso provo con rescue disk.
Per quanto riguarda l'articolo che hai messo dove spiega come funziona il tool di rimozione, se non ho capito male serve un cd di windows originale.
Io ho windows xp home edition installato ma non ho un cd di installazione vero e proprio perché tale funzionalità viene svolta da una partizione nascosta nel pc che può essere richiamata per formattare il pc.
Come posso ovviare a ciò ?

[Uomo_Senza_Sonno]

Il cd di Windows servirà per utilizzare la console di ripristino, ma a questo punto procediamo in questo modo: leggi quest'altro articolo e postami il settore 0 del disco fisico facendo uno screenshot di tutta la finestra del programma, possibilmente a tutto schermo in modo da vedere bene gli estremi dei settori. Una volta eseguito, caricale su un sito di hosting come http://www.imageshack.us/ ed utilizza il tag IMG per inserire le immagini (va altrettanto bene se posti il link dell'immagine).

Seguendo le mie istruzioni non avrai bisogno di formattare il pc, anche perché, sarebbe un'operazione del tutto inutile (il motivo è spiegato ampiamente nell'articolo).

[maux]

Il cd di Windows servirà per utilizzare la console di ripristino, ma a questo punto procediamo in questo modo: leggi quest'altro articolo e postami il settore 0 del disco fisico facendo uno screenshot di tutta la finestra del programma, possibilmente a tutto schermo in modo da vedere bene gli estremi dei settori. Una volta eseguito, caricale su un sito di hosting come http://www.imageshack.us/ ed utilizza il tag IMG per inserire le immagini (va altrettanto bene se posti il link dell'immagine).

Seguendo le mie istruzioni non avrai bisogno di formattare il pc, anche perché, sarebbe un'operazione del tutto inutile (il motivo è spiegato ampiamente nell'articolo).

Ecco il Link dell'immagine.
Nel frattempo che mi rispondevi ho provato con rescue cd ma non riesco ad utilizzarlo perché appena si avvia il cd da boot mi compare una schermata rossa con scritte illeggibili (penso sia dovuto ad una incompatibilità con la scheda video).

[Uomo_Senza_Sonno]

Perfetto, ti ringrazio. Ti chiedo però, la cortesia di caricare le prossime immagini con una risoluzione maggiore, in modo che i numeri siano ben chiari
Hai un disco da circa 80 GB diviso in 3 partizioni, più una nascosta.
Postami i settori 62, 63, 156296384, 156296385 e 156301488, poi procediamo con la pulizia.

[maux]

Perfetto, ti ringrazio. Ti chiedo però, la cortesia di caricare le prossime immagini con una risoluzione maggiore, in modo che i numeri siano ben chiari
Hai un disco da circa 80 GB diviso in 3 partizioni, più una nascosta.
Postami i settori 62, 63, 156296384, 156296385 e 156301488, poi procediamo con la pulizia.

Confermo le 3 partizioni piu quella nascosta.
Scusami per la precedente risoluzione, spero ora possa essere piu leggibile

Settore 62
Settore 63
Settore 156296384
Settore 156296385
Settore 156301488

Ho notato che il settore 156301488 non esiste, anche se lo segnala nella textbox sector.
L'ultimo settore è il 156301487

[Uomo_Senza_Sonno]

Ora era perfetta, possiamo procedere con la pulizia. Come puoi notare, nell'ultimo settore c'è qualcosa che non dovrebbe esserci, ovvero la parte finale del codice rootkit in stato latente pronto ad infettare il disco al successivo riavvio di pc.

Metti da parte il cd di windows, servirà alla fine per fare il fixmbr e fixboot.
Prima di tutto riprendi il mio articolo nella parte riguardante la pulizia dei settori infetti, ed inserisci nei campi i seguenti valori

Settori 1-62 (estremi compresi): inizio 200 fine 7DFF;
Settori 156296385-156301488 (estremi compresi): inizio 12A1C98200 fine 12A1F15FFF;

Al termine dell'azzeramento salva, poi riavvia il pc inserendo il cd di windows ed avvia la console di ripristino per dare fixmbr e fixboot (ti chiederà di confermare ogni volta).

Una volta eseguito tutto questo, controlla se è rimasta traccia di qualcosa

[maux]

Al termine dell'azzeramento salva, poi riavvia il pc inserendo il cd di windows ed avvia la console di ripristino per dare fixmbr e fixboot (ti chiederà di confermare ogni volta).

Non ho un cd di windows....

[Uomo_Senza_Sonno]

Nessun problema, è pronta la soluzione

[maux]

Nessun problema, è pronta la soluzione

Ho scaricato la iso (da 4MB) di super grub e masterizzata su cd rw.
Mi confermi la correttezza dei seguenti passi?
1) Effettuo l'azzeramento dei settori infetti, con i valori da te indicati
2) Riavvio il pc facendo partire il boot da cd
3) con riferimento a questa guida, seleziono la voce "boot windows" (o devo selezionare la voce "ripara boot di windows"??)
4) quando mi viene richiesto, scelgo di ripristinare l'installazione di windows utilizzando la console di ripristino
5) lancio prima il comando fixboot seguito da invio (e conferma con "s") poi fixmbr seguito da invio (e conferma con "s").

Ultima curiosità: ho eseguito ora un controllo con Stealth Rootkit Detector e il risultato del log è il seguente:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: HTS541080G9AT00 rev.MB4OA60A -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Mi aspettavo di riscontrare in coda al log un messaggio di questo tipo di settore infetto

copy of MBR has been found in sector 9!
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4!
PE file found in sector at 0x0950E4DA!

invece non trovo nulla....

[Uomo_Senza_Sonno]

La procedura è corretta, ma al di là del log aggiornato dello Stealth Rootkit Detector la rilevazione c'è ancora o è andata via?
Se non hai ancora proceduto, ti invito ad ogni modo a farla, almeno siamo sicuri che eventuali residui di infezione vadano via definitivamente.

[maux]

Ho proceduto con l'azzeramento dei settori da te indicati e salvato.
Ho riavviato il pc e al boot è partito supergrub ma non riesco ad attivare la console di ripristino.
Con supergrub ho scelto l'opzione "boot windows" ma la schermata successiva mi avvisa che proseguendo verranno sovrascritti tutti i dati contenuti nell'unità c:
Mi potresti gentilmente indicare in quale voce di supergrub devo andare per far partire la console di ripristino e poter dare i comandi fixboot e fixmbr ?
Grazie

[Uomo_Senza_Sonno]

In super grub disk non c'è un comando che ti reindirizza alla console di ripristino di windows, ma solo l'opzione ripara windows

Ma lasciamo perdere SGD, a scanso di errori utilizza Easybcd seguendo questa videoguida

[maux]

In super grub disk non c'è un comando che ti reindirizza alla console di ripristino di windows, ma solo l'opzione ripara windows

Ma lasciamo perdere SGD, a scanso di errori utilizza Easybcd seguendo questa videoguida

Ora Windows si è avviato correttamente.
Ti ringrazio per tutto l'aiuto che mi hai dato!

[Uomo_Senza_Sonno]

Bene, sono contento che tu abbia risolto
Per qualsiasi cosa, siamo sempre qui