Identificazione e Rimozione MBR rootkit - Mebroot - Sinowal .... della serie "a volte ritornano"

Già diversi mesi fa si era visto il propagarsi di questa infezione che colpisce il Master Boot Record: si può eliminare il malware portatore dell'infezione ma l'MBR rimane infetto e sopravvive anche alla formattazione se non è eseguita a basso livello. ”immagine
Ultimamente il Sinowal si è ripresentato modificato e molto più nascosto di prima (qui info tecniche), cosicchè per i normali antivirus è decisamente difficile individuarlo: si può ipotizzare di esserne stati colpiti se:

  • Il PC si è riavviato improvvisamente mentre eravate in Internet
  • Il PC si è molto rallentato, fino quasi a non riuscire ad aprire programmi e cartelle
  • I browser fanno molta fatica ad aprire le pagine
  • Avete errori su vari programmi, primi fra tutti Outlook, MSN o Emule, ma generalmente qualsiasi programma può congelarsi o dare errori vari
  • Sentite che l'Hard Disk lavora incessantemente
  • Nel Visualizzare Cartelle e files nascosti vi siete ritrovati in Documents and Settings un nuovo utente di nome HelpAssistant


COME SI IDENTIFICA:

Con Combofix
(disabilitate l'antivirus, lanciate il tool, se potete installate la Recovery Console se ve lo chiede, non toccate nulla mentre lavora (sia prima che dopo il riavvio programmato del PC)

Siete infetti se nel log è presente qualcosa di simile a questo
Codice:
Only registered members can view code.



Con
Stealth MBR rootkit detector
Scaricate i tool e copiatelo direttamente in C:\
Da Start esegui digitate C:\mbr.exe -t e date l'Ok
Troverete il log in C:\mbr.log

Siete infetti se il log è simile a questo
Codice:
Only registered members can view code.



COME RIMUOVERLO:

-Il primo tentativo da fare è proprio quello indicato da MBR Rootkit Detector:
Da Start esegui digitate C:\mbr.exe -f e date l'Ok
Troverete il log sempre in C:\mbr.log
(per sicurezza eliminate prima il vecchio log di verifica)
In questa discussione
Errore windows live communications platform è stato sufficiente

-In casi particolarmente ostici si dovrà ricorrere alla Console di Ripristino, utilizzando il comando FIXMBR al prompt dei comandi


VERIFICHE:

-Le verifiche sono date in primis dai log dei programmi sopracitati, fatti prima e dopo la rimozione (potete aprire una discussione nella sezione Help&Assistant se volete aiuto per l'interpretazione)

- E' assolutamente consigliabile anche una scansione con
Dr.Web CureIt!
(Completata la scansione veloce fatta in automatico all'avvio del programma, dovete però impostare la "Scansione Completa": il log si troverà in C:\Documents and Settings\nomeutente\DoctorWeb

MBR Rootkit Detector spesso continua a rilevare l'infezione anche quando nè PrevXDr.Web la trovano più e il PC è tornato vivace come prima


ELIMINARE L'UTENTE "HELPASSISTANT" E RELATIVA CARTELLA

Start Pannello di Controllo Strumenti di Amministrazione Gestione Computer
(img2) Aprite Utenti e Gruppi Utenti selezionate l'utente HelpAssistant nella finestra di destra con il tasto destro Proprietà e impostate "Account disabilitato"

Immagine ridotta


L'account apparirà quindi disabilitato, ma per sicurezza andate ancora su Proprietà tab "Membro di" e se nel box appare Amministratore, selezionatelo e premete il tasto "Rimuovi": in questo modo si esclude l'account HelpAssistant dal gruppo Amministratori

Immagine ridotta


Adesso potrete eliminare la cartella dell'account fasullo in Documents and Settings








Questo/a opera è pubblicato sotto una Licenza Creative Commons.