www.MegaLab.it

[yeah782000]

Ciao ragazzi, ho sottomano il portatile di un collega che era infetto da un bel po' di schifezze varie tra cui il falso antivirus 2010, ecc ecc
Ora scansionando a destra e sinistra e seguendo anche le vostre guide sono riuscito a ripulire il sistema. Per lo meno agli "occhi" di Kaspersky, SuperAntiSpyware, Malwarebytes' Anti-Malware, ecc

Quello che non mi convince è il log di mbr.exe, ve lo posto:

Codice: Seleziona tutto

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x0923CA0C !
PE file found in sector at 0x0923CA22 !


Leggendo un po' in rete ho trovato pareri discordanti. A detta di qualcuno l'MBR è OK ma il rootkit ha lasciato qualche danno, comunque sarebbe inoffensivo e si può lasciare così. Da altre parti ho letto che il rootkit starebbe "dormendo" negli ultimi settori del disco e potrebbe infettare eventuali dischi esterni collegati al pc.

Volevo provare il comando fixmbr da console di ripristino ma non vorrei perdere la tabella delle partizioni, devo fare prima un bel backup.

Voi cosa mi consigliate di fare? E sopratutto ... è ancora infetto il pc?

Grazie

[Uomo_Senza_Sonno]

Da altre parti ho letto che il rootkit starebbe "dormendo" negli ultimi settori del disco e potrebbe infettare eventuali dischi esterni collegati al pc.

Questo è il parere a cui prestare attenzione. E adesso vediamo come rimuovere il rootkit.

1. Segui questa guida per postare gli screenshot dei settori del disco
2. posta i settori 0, 60, 61, 62, 63, 153340425, 153340428 e 153340450

Volevo provare il comando fixmbr da console di ripristino ma non vorrei perdere la tabella delle partizioni, devo fare prima un bel backup.

il comando fixmbr dalla consolle di ripristino non comporta la perdita della tabella delle partizioni, ma ad ogni modo la cosa più sicura è sempre fare un backup preventivo dei dati, utilizzando una distribuzione live di GNU/linux.

[yeah782000]

Da altre parti ho letto che il rootkit starebbe "dormendo" negli ultimi settori del disco e potrebbe infettare eventuali dischi esterni collegati al pc.

Questo è il parere a cui prestare attenzione. E adesso vediamo come rimuovere il rootkit.

Grazie, domani provo e posto le immagini

[yeah782000]

Ecco le immagini dei vari settori:

http://img828.imageshack.us/g/settore153340450.jpg/

Il pc è un notebook Dell 6400 con disco da 80 GB e SO Win Xp Media Center.
Premetto anche che il sistema risulta pulito a KIS 2011, Malwarebytes, SUPERAntiSpyware, ComboFix, HijackThis, ecc

Grazie per l'aiuto

[Uomo_Senza_Sonno]

Per cortesia potresti ripostarle con la finestra di HxD completa? Si deve vedere sia l'inizio che la fine dei settori. Nel frattempo, scarica e masterizza una distribuzione live di GNU/linux, ci servirà per le pulizie.

[yeah782000]

Per cortesia potresti ripostarle con la finestra di HxD completa?

Scusami, procedo subito ... per non sbagliare intendi "completa" come quella postata qui?

viewtopic.php?f=33&t=60102&start=40#p452536

Nel frattempo, scarica e masterizza una distribuzione live di GNU/linux, ci servirà per le pulizie.

Ok grazie

[Uomo_Senza_Sonno]

Scusami, procedo subito ... per non sbagliare intendi "completa" come quella postata qui?

Si

[yeah782000]

Eccomi qua .. allora, spero di aver fatto bene le "foto" adesso

Settore 0

Settore 60

Settore 61

Settore 62

Settore 63

Settore 153340425

Settore 153340428

Settore 153340450

Grazie

[Uomo_Senza_Sonno]

Eccomi qua .. allora, spero di aver fatto bene le "foto" adesso

Certamente

Allora, procediamo con la rimozione del rootkit. PRIMA di procedere, è bene sempre fare un backup di sicurezza sotto distribuzione linux, e poi procedere con la rimozione.

1. Inserisci il cd bootabile della tua distribuzione live, fai caricare il desktop e esegui il backup dei dati del disco in un altro che non sia stato collegato al pc infetto;
2. esegui da terminale questo comando

Codice: Seleziona tutto

sudo sfdisk -l /dev/sda

e accertati che il disco sia sda;
3. una volta fatto questo accertamento, esegui questi due comandi,

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sda bs=512 count=62 seek=1

per azzerare i primi settori e

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sda bs=512 seek=153340425

per azzerare tutti i settori oltre la partizione;
4. dalla consolle di ripristino di windows, esegui il comando fixmbr e fixboot, e poi riavvia;
5. infine, fai un controllo con mbr.exe e verifica che il log sia pulito.

[yeah782000]

Ti ringrazio per la disponibilità e per la guida. Devo aspettare domani perché il pc è di un collega ;)

Intanto ne approfitto per chiederti alcune cose:
1) dal log di MBR.exe e dalle foto che ti ho postato cosa hai visto? Cioè, anche per imparare, il rootkit è ancora "vivo"? O puliamo tutto tanto per stare più tranquilli?
2) se facessi una semplice formattazione tramite cd di Xp, l'MBR resterebbe comunque infetto giusto? E formattando a basso livello?

Grazie 1000

[Uomo_Senza_Sonno]

1. mbr.exe ha localizzato i settori dove è presente l'infezione. Con HxD ne abbiamo la conferma, esattamente nei settori indicati da mbr.exe (è sufficiente convertire la notazione da esadecimale in decimale per avere il settore corrispondente). Quindi stiamo pulendo per necessità, non per eccesso di scrupolo
2. la normale formattazione lascia intatto l'mbr, e quindi anche l'infezione. Una formattazione a basso livello consentirebbe la completa pulizia del disco, ma comporta la perdita definitiva dei dati, alla stessa stregua di uno zerofilling sotto distribuzione GNU/linux

Fammi sapere gli sviluppi, a domani.

[yeah782000]

1. mbr.exe ha localizzato i settori dove è presente l'infezione. Con HxD ne abbiamo la conferma, esattamente nei settori indicati da mbr.exe (è sufficiente convertire la notazione da esadecimale in decimale per avere il settore corrispondente). Quindi stiamo pulendo per necessità, non per eccesso di scrupolo

Perfetto, grazie per la spiegazione.

2. la normale formattazione lascia intatto l'mbr, e quindi anche l'infezione. Una formattazione a basso livello consentirebbe la completa pulizia del disco, ma comporta la perdita definitiva dei dati, alla stessa stregua di uno zerofilling sotto distribuzione GNU/linux

Fammi sapere gli sviluppi, a domani.

Ho capito .. grazie ancora, a domani

[yeah782000]

Ah, ancora una cosa scusami ... sempre per capire ... ha un "nome" quel rootkit? Che azioni può compiere?
Te lo chiedo anche perché sotto infezione è stata collegata una pen drive, la quale è stata collegata almeno ad un paio di pc ... su uno mbr.exe non ha trovato nulla e quindi dovrei stare tranquillo no? Per controllare la pen drive? Immagino che anche per quella un eventuale formattazione "normale" non risolverebbe ... grazie e scusa per tutte queste domande

[Trinità]

Le mie pen-drive collegate ad un Pc infetto da questo rootkit non hanno infettato altri Pc, poi non so gli altri. Inoltre l'utilizzo di programmi di deframmentazione o come Ultrawipe diminuisce drasticamente la vita della pendrive!

[Uomo_Senza_Sonno]

A me è capitato, per controllare la pendrive utilizza mbr.exe; e poi, una formattazione a basso livello in una pendrive non prende molto tempo, l'importante è non sbagliare il drive da formattare.

[yeah782000]

5. infine, fai un controllo con mbr.exe e verifica che il log sia pulito.

Fatto tutto, adesso il log di MBR è pulito! Adesso devo verificare la pen drive ..

Grazie 1000 per l'aiuto !!

[yeah782000]

Per controllare la pen drive ho messo il file mbr.exe nella root della pen drive e lanciato il solito comando. Il log risulta pulito ma non sono sicuro se il controllo è stato fatto sulla pen drive o sul disco rigido ... ho fatto bene?

Grazie di nuovo

[Uomo_Senza_Sonno]

Se hai messo mbr.exe nella pendrive e poi da dos hai dato il comando X:\start mbr.exe (X è la letterda della pendrive), e ti ha generato un log nella stessa, hai fatto tutto correttamente.

[yeah782000]

Se hai messo mbr.exe nella pendrive e poi da dos hai dato il comando X:\start mbr.exe (X è la letterda della pendrive), e ti ha generato un log nella stessa, hai fatto tutto correttamente.

Si, ho fatto così ma senza dare il comando start .. ho dato direttamente mbr.exe e ha generato il log ..

[Uomo_Senza_Sonno]

se il log che ha generato è relativo allo stato dell'mbr della pendrive ed è tutto ok direi che hai terminato