PDA

Visualizza versione completa : rootkit nel settore d'avvio - mbr.exe


mazingerobot
14-04-2010, 00.07.57
Ciao a tutti :)
sono approdato a questo forum che sembra molto ben fornito, ho un grave problema purtroppo. Ho beccato un virus su un pc che mi serve per lavorare, ho molti giga conservati che non vorrei perdere, il virus è mbr, quello che si installa nel settore d'avvio. Ho già provato con mbr.exe ma non me lo ha tolto, potreste aiutarmi per favore? grazie :)

Semi.genius
14-04-2010, 00.11.46
Ciao a tutti :)
sono approdato a questo forum che sembra molto ben fornito, ho un grave problema purtroppo. Ho beccato un virus su un pc che mi serve per lavorare, ho molti giga conservati che non vorrei perdere, il virus è mbr, quello che si installa nel settore d'avvio. Ho già provato con mbr.exe ma non me lo ha tolto, potreste aiutarmi per favore? grazie :)

Un virus da MBR deve essere ristretto nei primi 446 byte (poi due byte è l'mbr executive e gli altri 64 la tabella delle partizioni) del primo settore del disco.

Perciò in base al sistema operativo, puoi efficacemente eliminare questa tipologia di virus, ripristinando il boot manager del disco a FREDDO del sistema.

Che sistema operativo hai installato?

mazingerobot
14-04-2010, 00.21.11
grazie per la risposta ^_^

dunque ho Windows Xp, posso eliminare questo virus con la console di ripristino di xp...facendo partire il pc dal lettore cd come se volessi reinstallare xp sopra?
Per la cronaca ho seguito la prima procedura di questo link :

http://stuff.forumcommunity.net/?t=16153330

senza risultato però

Semi.genius
14-04-2010, 00.28.25
sì esatto.

Dovrebbe bastare il commando fixmbr: http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/bootcons_fixmbr.mspx?mfr=true

Non continuare se ti dà quel messaggio delo schema di partizione non standard che ti indico come copiare la tabella di partizione tramite dd , fai il fix mbr e ripristini la tabella. Sennò rischi di perdere il record delle partizioni

mazingerobot
14-04-2010, 00.37.11
grazie ancora, ora provo, comunque per la cronaca il rootkit/virus/malware si kiama " mebroot ", ho anche fatto la scansione con mbr.exe, ecco il log :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x02542D6C1
malicious code @ sector 0x02542D6C4 !
PE file found in sector at 0x02542D6DA !

Semi.genius
14-04-2010, 00.44.48
copy of MBR has been found in sector 0x02542D6C1
malicious code @ sector 0x02542D6C4 !
PE file found in sector at 0x02542D6DA !

Siccome il rootkit deve permettere comunque l'avvio di sistema e può non starci in soli 446 byte (anzi è sicuro che non ci sta), quel che fa è mettere nel MBR un salto in un altro settore ed eseguire un file che consiste nel rootkit, risaltare nel MBR e completare l'esecuzione da punto dove l'ha lasciato.

Se ricrei l'MBR, la carica del rootkit è inefficace. Poi puoi pulire quel settore direttamente da windows senza che l'MBR sia attivo.

ps. se pero' hai un infezione su windows, potrebbe ritornare perchè la reinstalla.

mazingerobot
14-04-2010, 00.55.37
quindi devo comunque ricreare l'MBR dal cd? o c'è un altro metodo per toglierlo senza questa procedura? grazie per le delucidazioni ^_^

Semi.genius
14-04-2010, 00.57.54
quindi devo comunque ricreare l'MBR dal cd? o c'è un altro metodo per toglierlo senza questa procedura? grazie per le delucidazioni ^_^
Il problema è che adesso dentro windows, quel rootkit è attivo. Se prima non distruggi la base di innesco, cioè l'MBR corrente non puoi agire liberalmente.E per farlo non devi avviare l'hard disk, perciò avvia da cd

Appena eliminata quella minaccia con il procedimento prima, ricontrolla se hai l'infenzione. Se sei fortunato, hai già risolto. Sennò, rifai la procedura, VAI in modalità provvisoria e fai controlli tramite gmer lì dentro.

mazingerobot
14-04-2010, 01.10.52
sì esatto.

Dovrebbe bastare il commando fixmbr: http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/bootcons_fixmbr.mspx?mfr=true

Non continuare se ti dà quel messaggio delo schema di partizione non standard che ti indico come copiare la tabella di partizione tramite dd , fai il fix mbr e ripristini la tabella. Sennò rischi di perdere il record delle partizioni

mi dice quel messaggio che rischio di perdere il record delle partizioni, come posso procedere per favore? grazie ancora per la pazienza :)

Semi.genius
14-04-2010, 09.33.43
mi dice quel messaggio che rischio di perdere il record delle partizioni, come posso procedere per favore? grazie ancora per la pazienza :)
Allora ci sono vari modi per farlo.
L'hard disk è collegato tramite PATA? Se sì, potresti fare un floppy di boot (http://msdos7.hit.bg/dosware/mdos71bd.zip) di MS-DOS, copiare anche ptedit (ftp://ftp.symantec.com/public/english_us_canada/tools/pq/utilities/ptedit.zip) ed eseguirlo. Ti dà la condizione attuale della tabella di partizione. Scrivi queste informazioni su un foglio (e qui possibilmente). E fai pure fixmbr. Quando hai fatto fixmbr, conferma pure per il fatto non standard e riavvia. Se non si avvia più, rimetti il floppy, riavvia ptedit e riscrivi le informazioni dello schema.

(ripeto, il virus da MBR dopo aver riparato l'executive code del MBR c'è ancora ma non è attivo, perciò poi si può eliminare tranquillamente il settore 60,61,62 della partizione dove dovrebbe rimanere la copia del MBR e il rootkit. Se pero' è attivo da MBR, non puoi eliminarlo, perciò è la prima cosa che ti faccio fare).

ps. puoi controllare con GMER se ti dice Sector00: MBR Rootkit Detected? Magari è già stato disinfestato e va solo pulito quei settori

mazingerobot
14-04-2010, 09.44.33
provo a fare come mi dici, però PATA che significa? non ho idea di come sia collegato l'hd interno...

Semi.genius
14-04-2010, 10.36.05
provo a fare come mi dici, però PATA che significa? non ho idea di come sia collegato l'hd interno...

Start-->Esegui-->devmgmt.msc

Vai su controller disco. Ti dice controller SATA?

mazingerobot
14-04-2010, 10.42.05
dunque mi dice controller disco floppy standard, poi controller ide ata/atapi-canale primario ide 2 volte - canale secondario ide 2 volte

Semi.genius
14-04-2010, 10.51.50
dunque mi dice controller disco floppy standard, poi controller ide ata/atapi-canale primario ide 2 volte - canale secondario ide 2 volte

Ok allora è PATA. Vai pure