|
|||||||
|
|
|
 |
|
|
Strumenti |
20-05-2012, 22:24
|
#1 |
|
Senior Member
Iscritto dal: Mar 2011
Messaggi: 2764
|
Un giorno di ordinaria follia... (MBR infetto)
Ecco cosa mi è successo su un computer infetto da un MBR.
Sintomi: -lentezza nell'avviarsi, alcune volte si bloccava con una schermata nera. -lentezza nel disconnettersi, alcune volte si bloccava in chiusura windows. -problemi anche nell'avviare windows in modalità provvisoria -ogni tanto si bloccava il broser o qualche altro programma... - qualche volta appariva una connessione UDP strana in uscita verso un indirizzo ip ignoto. Sistema: windows XP con comodo internet security = contratta l'infezione MBR senza batter ciglio. Ogni tanto comodo segnalava un problema al defence + che veniva disattivato automaticamente. Altre volte spariva un modulo di rilevamento. Provo prevx 3...niente. Cambio dell'antivirus in modalità provvisoria: installato avast 7 = si installava, ma veniva disabilitato subito. La scansione rilevata in windows un possibile virus sul file winstart.bat dentro c://windows/ Altre volte il file winstart non c'era. Oltre a questo avast ha rimosso altri due file forse infetti con BOO/TDss.M (ma non posizionati in C://). Noto che con avast (ed anche con avira dopo) la CPU è irrequieta. Senza far nulla appena caricata di solito sta fra gli 0 ed i 8%, invece ora ondeggiava fra vari processi fra 10 e 25% con picchi a 100%. Disinstallato avast installato Avira, scansione veloce e rileva subito due file infetti nascosti con BOO/Mebroot.A, impossibili da eliminare anche in modalità provvisoria. Bene, si tratta di un virus MBR, quindi 1) disattivo il ripristino configurazione di sistema 2) scarico MBRcheck.exe MBRcheck trova che nel computer, l'MBR è infettato con Whistler / block internet. Provo a curare l'infezione scrivendo un nuovo MBR, non cura niente... riavviando riappare il virus (faccio il backup dell'MBR infetto). Provo con TDSSKiller di Kaspersky. Avvio, individua l'infezione rootkit.boot.sinowal.B. Metto prima in quarantena una copia e poi procedo alla cura. Reinstallo antivirus e firewall, malfunzionanti. Eseguo una scansione e non trovo più niente. Analisi Virustotal Analisi Virscan Da notare che ogni antivirus dà un nome diverso all'infezione (non bello se devi trovare un removal tool corretto)... Veramente ostico come malware. Dite che ci sia qualcos'altro da rimuovere? provo con qualche altro anti-malware a vedere se ci son ancora residui? Ultima modifica di TheQ. : 20-05-2012 alle 22:26. |
|
|
|
21-05-2012, 19:55
|
#2 |
|
Bannato
Iscritto dal: Apr 2012
Messaggi: 569
|
Mah... io non mi darei tanta pena: Windows funziona bene anche in queste circostanze, ci vuol ben altro per causare problemi.
|
|
|
|
|
22-05-2012, 09:11
|
#3 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Hai omesso l'unico log rilevante, ovvero quello di TDSSKiller.
__________________
Try again and you will be luckier.
|
|
|
|
|
23-05-2012, 22:31
|
#4 |
|
Senior Member
Iscritto dal: Mar 2011
Messaggi: 2764
|
 si scusate, ho già cancellato il log e non lo recupero nemmeno con drive rescueGMER non trova nient'altro. Non noto più malfunzionamenti o connessioni strane. Hijackthis rileva gli MBR? Rimango sorpreso del fatto che comodo antivirus non rilevasse nulla di attivo. D'ora in poi mi sa che sandboxo tutto  Mancherebbe una scansione con malwarebytes, che dovrei reinstallare... |
|
|
|
|
24-05-2012, 14:18
|
#5 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
prova anche con hitmanpro!
|
|
|
|
|
26-05-2012, 10:43
|
#6 |
|
Senior Member
Iscritto dal: Mar 2011
Messaggi: 2764
|
Malwarebytes = zero found
Hitman pro (scan veloce) = zero found Hitman pro (scansione normale) = zero infetti (2 tracce) solo che dopo 2 h e mezza (a 99% cpu) l'ho chiuso e non mi ha mostrato i risultati. (ha fatto l'upload cloud di un po' di software che non conosceva  )
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 07:45.
