PDA

Visualizza versione completa : Backdoor.Win32.Sinowal.bn


rohn
18-05-2008, 13.25.19
Ciao a tutti,
Ad ogni avvio della scansione e anche solo all"avvio della protezione automatica di kaspersky IS 7, mi vengono rilevati sempre questi 4 virus:

Troijan program Backdoor.Win32.Sinowal.bn Settore disco fisico: \Device\Harddisk4\DR4
Troijan program Backdoor.Win32.Sinowal.bn Settore disco fisico: \Device\Harddisk4\DR2
Troijan program Backdoor.Win32.Sinowal.bn Settore disco fisico: \Device\Harddisk4\DR1
Troijan program Backdoor.Win32.Sinowal.bn Settore disco fisico: \Device\Harddisk4\DR0

Me li disinfetta regolarmente, ma ad ogni riavvio successivo me li rileva nuovamente.
E" possibile eliminare definitivamente queste minacce?

Grazie a tutti ciao

rohn
18-05-2008, 13.25.58
Ho fatto una scansione con mbr.exe, lanciando mbr.exe -f e mi è sparito il quarto, quello individuato in DR0. Ma gli altri tre continuano ad essere individuati ad ogni scansione

gore
18-05-2008, 16.55.31
Ho fatto una scansione con mbr.exe, lanciando mbr.exe -f e mi è sparito il quarto, quello individuato in DR0. Ma gli altri tre continuano ad essere individuati ad ogni scansione

anch'io ho avuto un problema simile, con trojan e backdoor..
forse se vai a leggerti la discussione "aiuto!!! virus winserv.exe" trovi qualcosa che può tornarti utile!

leofelix
18-05-2008, 18.46.58
prova con questo

http://forum.wintricks.it/showthread.php?t=133604

rohn
18-05-2008, 23.42.49
provato, ma non mi ha trovato niente. Pensavo (ditemi se sbaglio) dato che non riesco a trovare un removal tool efficace, di backuppare tutti gli hd su dvd, anche se sarà un lavoro lungo, e formattare l'intero pc. Vi chiedo solo, per formattare a basso livello gli hd su cui non ho il sistema operativo, come faccio? Se lo faccio da windows il virus non scompare... già provato su uno

leofelix
19-05-2008, 00.15.08
provato, ma non mi ha trovato niente. Pensavo (ditemi se sbaglio) dato che non riesco a trovare un removal tool efficace, di backuppare tutti gli hd su dvd, anche se sarà un lavoro lungo, e formattare l'intero pc. Vi chiedo solo, per formattare a basso livello gli hd su cui non ho il sistema operativo, come faccio? Se lo faccio da windows il virus non scompare... già provato su uno


è ovvio che è una rootkit che intacca i settori di avvio, perché non provi prima di formattare anche con queste removal tool che cercano anche quel tipo di rootkit

ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe

http://www.trendmicro.com/download/rbuster.asp

e anche questa della Symantec

http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixMebroot.exe

tentar non nuoce..

EDIT: dimenticavo il RootAlizer che è in fase di preview ma lo trovo già molto ben fatto

http://forums.spybot.info/showthread.php?t=24185

P.S hai disattivato il ripristino di sistema prima di iniziare queste operazioni?

rohn
19-05-2008, 09.06.23
ho fatto una scansione con tutti e 4 e non mi è stato rilevato nulla. L'unico che continua imperterrito a individuarmeli e kaspersky. Temo che la formattazione si presenti sempre più come la soluzione migliore. Per quanto riguarda la formattazione appunto, mi sapete dire come formattare a basso livello non da windows tutti gli hd senza il sistema operativo?

leofelix
19-05-2008, 19.09.37
per la formattazione a basso livello ci sono dei tool appositi forniti da alcune case che producono HDD volendo. Basta sapere che HD si usa e cercare nel sito del produttore.

Però tornando alla rootkit potresti tentare copiando il file "mbr.exe" in ogni root per unità, quindi oltre alla C: anche su D: e così via per tutti i dischi rigidi compromessi, quindi riavviare di nuovo in modalità provvisoria e ripetere disco per disco gli stessi comandi:
D:\mbr.exe - f; E:\mbr.exe - f; F:\mbr.exe - f

E' la cosa più banale e ovvia, forse per questo nessuno di noi ci aveva pensato prima;)

fammi sapere se funziona cortesemente, ciao

rohn
19-05-2008, 20.46.00
già provato... ahimè anche quel tentativo si è dimostrato vano

rohn
19-05-2008, 21.01.56
del resto, non è che mbr mi abbia tolto i virus da un hd in particolare, mi ha tolto quello che attaccava il DR0. Gli altri 3 ci sono in tutti gli altri 5 hd, compreso quello esterno!

leofelix
20-05-2008, 00.29.08
del resto, non è che mbr mi abbia tolto i virus da un hd in particolare, mi ha tolto quello che attaccava il DR0. Gli altri 3 ci sono in tutti gli altri 5 hd, compreso quello esterno!

sto cercando ovunque informazioni in merito..
ma non è che abbia trovato molto sino a ora a parte questa descrizione

http://www.viruslist.com/en/weblog?weblogid=187634800


e consigli che avrei dato anche io..
un log col solito HiJackThis, un giro con Gmer al sistema, una scansione on line su http://www.bitdefender.com/scan8/ie.html (con IE).. anche l'utilizzo di Navilog1 http://www.steven.altervista.org/files/tools1.html (istruzioni e download)

ma al momento se non si tratta solo di quella rootkit mi viene in mente anche che KAV forse lo rileva ancora perché forse lo hai lasciato come copia di backup in quarantena, proverei a eliminare l'infezione se presente nel backup del KAV e controllerei se il Kasperky lo rileva ancora.

Come extrema ratio inoltre tenterei con lo scaricare l'ultima versione di AVAST HOME 4.8 che ora ha anche un antispyware e antirookit integrati e sostituirla temporaneamente al KAV, quindi farlo girare anche al riavvio.

Altro strumento che si è rivelato molto efficace per moltissimi generi di infezioni (non solo rootkit, ma molto altro malware che altri antivirus non riescono a far fuori) è il MalwareBytes' AntiMalware

http://www.besttechie.net/tools/mbam-setup.exe


come puoi vedere crazy.cat su Megalab.it (R) (http://www.megalab.it/articoli.php?id=1257&pagina=3) ne ha tratto delle conclusioni molto favorevoli provandolo su sistemi infetti.

al momento proprio non mi viene in mente altro :wall:

leofelix
20-05-2008, 02.01.25
ti segnalo questa utility che non richiede installazione di recente rilasciata dalla ESET (è gratuita)

http://www.eset.com/download/sysinspector.php

"Integrated Anti-Stealth technology allows discovering hidden objects (e.g. rootkits) in MBR, registry entries, drivers, services and processes"

che possa fare al caso tuo anche?

[EDIT] l'ho provato poco fa, non è così intuitivo, certo non rimuove niente da se'.. e bisogna fare molta attenzione a dove mettere le mani.
A questo punto quanto ti è stato suggerito nella sezione Windows2000/XP/Vista penso sia la cosa migliore da fare

rohn
20-05-2008, 09.08.01
grazie a tutti dell'aiuto... adesso provo tutti i removal che mi avete postato e incrocio le dite... grazie ancora

Bluelace
03-06-2008, 17.50.27
Ciao! Per caso, giusto oggi ho risolto lo stesso problema (stesso virus, anche se aveva infettato una sola sezione dei settori di avvio anzichè 4 come nel tuo caso) a casa di un amico.

La soluzione, alquanto banale, consiste nel servirti di un semplicissimo disco di emergenza (io ne ho creato uno tramite Kasperky, a mio parere l'antivirus per eccellenza!) bootabile, che puoi ottenere scaricandoti l'applicazione Bart Pe (3.1.3 o successiva).
Il vantaggio di questo metodo è che il disco di emergenza si crea un mini-sistema operativo nella tua RAM, potendo disinfettare quindi qualsiasi virus in qualsiasi settore della tua memoria, senza avviare alcun sistema operativo già infetto (nel tuo caso windows!)

Quindi, riassumendo:

1)Scarica ed installa Bart Pe 3.1.3 o successivo
2)Utilizza l'apposita opzione di Kaspersky Antivirus 7 "Crea disco di emergenza" per creare una immagine ISO
3)Masterizza questa ISO su un qualsiasi CD
4)Spegni tutto e riavvia (ovviamente prima assicurati che il BIOS del tuo pc preveda la lettura dell'unità CD prima dei dischi rigidi, altrimenti entra nel BIOS e modifica tale ordine di lettura)
5)Attendi che il mini-sistema operativo Bart Pe si carichi e lancia una mega-scansione con il Kaspersky che sarà incluso nel mini-sistema operativo!

Spero di esserti stato utile... e di averti evitato la solita formattazione-ultima ratio :)