[Trojan] PSW.Sinowal.C.boot - Tabella partizione (MBR) è stata infettata!!

Aeon19 · 10-07-2008, 18:33

Ciao ragazzi avrei un problema.

Premetto che uso Windows XP PRO SP2

Le cose sono andate così:

ultimamente mi appare un messaggio del Firewall che mi chiede se voglio permettere Services.exe di connettersi in remoto, evidentemente causa Trojan...Al che io dico di NO...

Ho fatto un mega scan con AVG (versione non plus ultra) che mi ha trovato il file ntoskrnl.exe modificato... (punto e basta...nè infetto nè niente...solo modificato...)

Allora provo a Bootare da Windows Vista (altra partizione) e faccio uno scan da Vista, e mi trova un Virus nella partizone di Windows XP, e il virus si chiama:

PSW.Sinowal.C.boot (Trojan)

Virus trovato ma incancellabile.. (anche con Spybot e/o Avira non lo trova...).

Come faccio ad eliminarlo??

wjmat · 10-07-2008, 21:11

Ciao benvenuto nel pronto soccorso di HU.
Leggi le regole di sezione e poi segui la guida alla disinfezione per infetti ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità e nell'ordine indicato.

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner e cancellato gli asd con ADS Scanner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di A-squared scansione deep aggiornato ad oggi
log di F-Secure OnLine oppure di Kaspersky Virus Removal Tool scaricato oggi
log di Dr.Web CureIT scaricato ed aggiornato ad oggi
log di ESET SysInspector
log di HiJackThis
log di Gmer
log di PrevxCSI

In questa maniera, tu avrai un pc già parzialmente ripulito, e noi le informazioni necessarie per i restanti interventi.

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa è una brevissima guida alla pubblicazione dei log
Questo è un esempio preciso ed ordinato di come vorremmo tu caricassi i log

link utili a portata di click
caricamento log wikisend.com, mediafire.com
caricamento immagini fileqube

Aeon19 · 10-07-2008, 21:17

Quote:

Originariamente inviato da wjmat

6. log di Gmer

Guarda sei stato gentilissimo, però nel frattempo ho smanettato tutto il pomeriggio e leggendo quà e là ho beccato Gmer,

il quale mi ha trovato un Rootkit Like nel settore 0 dell' HardDisk.

Ho cliccato su restore, e ho riavviato il pc.

Gmer e gli altri antivirus, ora non rilevano più niente di anomalo e il pc è tornato a funzionare esattamente come prima...

Spero di aver risolto cosi e che chiunque abbia questo problema trovi questa mia soluzione rapida e utile.

Ps: nel caso non dovesse essere andato tutto a buon fine, ripostero con aggiornamenti

Grazie ancora wjmat

wjmat · 10-07-2008, 21:19

dove hai cliccato su restore??

per sicurezza segui qui la guida per la rimozione di MBR rootkit e posta in quella discussione tutti i log richiesti secondo le modalità .

Aeon19 · 10-07-2008, 21:29

Quote:

Originariamente inviato da wjmat

dove hai cliccato su restore??

per sicurezza segui qui la guida per la rimozione di MBR rootkit e posta in quella discussione tutti i log richiesti secondo le modalità .

Col tasto destro sull'unica voce in rosso...

Ok seguo il tuo consiglio

ragh · 25-10-2008, 02:46

Ciao, riprendo il topic perché ho avuto lo stesso problema. Due malware del genere trovati da AVG che non è riuscito a correggere l'errore. Ho seguito tutta la procedura di disinfezione, di seguito segnalo il link con tutti i log salvati.
Grazie mille in anticipo!

http://www.mediafire.com/?sharekey=9...cd8c7ac5eb7ef7
http://www.mediafire.com/?sharekey=9...cd8c7ac5eb7ef7

ragh · 25-10-2008, 15:05

Nessuno che si cimenti?

ragh · 26-10-2008, 21:00

Attendo speranzoso

**Chill-Out** · 26-10-2008, 21:12

Quote:

Originariamente inviato da ragh

Attendo speranzoso

I log non zippati per cortesia, se il problema è il medesimo ovvero Sinowal c'è una Guida specifica http://www.hwupgrade.it/forum/showthread.php?t=1715546

Ciao

10-07-2008, 18:33	#1
Aeon19 Senior Member Iscritto dal: Apr 2006 Messaggi: 1096	[Trojan] PSW.Sinowal.C.boot - Tabella partizione (MBR) è stata infettata!! Ciao ragazzi avrei un problema. Premetto che uso Windows XP PRO SP2 Le cose sono andate così: ultimamente mi appare un messaggio del Firewall che mi chiede se voglio permettere Services.exe di connettersi in remoto, evidentemente causa Trojan...Al che io dico di NO... Ho fatto un mega scan con AVG (versione non plus ultra) che mi ha trovato il file ntoskrnl.exe modificato... (punto e basta...nè infetto nè niente...solo modificato...) Allora provo a Bootare da Windows Vista (altra partizione) e faccio uno scan da Vista, e mi trova un Virus nella partizone di Windows XP, e il virus si chiama: PSW.Sinowal.C.boot (Trojan) Virus trovato ma incancellabile.. (anche con Spybot e/o Avira non lo trova...). Come faccio ad eliminarlo??

10-07-2008, 21:11	#2
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	Ciao benvenuto nel pronto soccorso di HU. Leggi le regole di sezione e poi segui la guida alla disinfezione per infetti ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità e nell'ordine indicato. Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner e cancellato gli asd con ADS Scanner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli): log di A-squared scansione deep aggiornato ad oggi log di F-Secure OnLine oppure di Kaspersky Virus Removal Tool scaricato oggi log di Dr.Web CureIT scaricato ed aggiornato ad oggi log di ESET SysInspector log di HiJackThis log di Gmer log di PrevxCSI In questa maniera, tu avrai un pc già parzialmente ripulito, e noi le informazioni necessarie per i restanti interventi. Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni. Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo... Questa è una brevissima guida alla pubblicazione dei log Questo è un esempio preciso ed ordinato di come vorremmo tu caricassi i log link utili a portata di click caricamento log wikisend.com, mediafire.com caricamento immagini fileqube __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

10-07-2008, 21:19	#4
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	dove hai cliccato su restore?? per sicurezza segui qui la guida per la rimozione di MBR rootkit e posta in quella discussione tutti i log richiesti secondo le modalità . __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

25-10-2008, 02:46	#6
ragh Junior Member Iscritto dal: Oct 2008 Messaggi: 18	Ciao, riprendo il topic perché ho avuto lo stesso problema. Due malware del genere trovati da AVG che non è riuscito a correggere l'errore. Ho seguito tutta la procedura di disinfezione, di seguito segnalo il link con tutti i log salvati. Grazie mille in anticipo! http://www.mediafire.com/?sharekey=9...cd8c7ac5eb7ef7 http://www.mediafire.com/?sharekey=9...cd8c7ac5eb7ef7

25-10-2008, 15:05	#7
ragh Junior Member Iscritto dal: Oct 2008 Messaggi: 18	Nessuno che si cimenti?

26-10-2008, 21:00	#8
ragh Junior Member Iscritto dal: Oct 2008 Messaggi: 18	Attendo speranzoso

Strumenti
Mostra una versione stampabile Invia questa pagina per email