Backdoor.Win32.Sinowal.br

[jackweb]

Salve...ho preso questo trojan:
Backdoor.Win32.Sinowal.br

Kaspersky lo ha trovato attualmente in: \device\Harddisk\DR1
(cosa vuol dire DR1? Io ho 2 hard disk nel pc più un terzo esterno quasi sempre spento...si riferisce a quello col sistema operativo?)

Ho anche fatto formattare il pc in assistenza togliendo la vecchia partizione e già alla prima accensione ho trovato questo trojan...ma non essendo esperto non capisco nè dove sia dislocato nè come agire.

Il problema è che Kaspersky lo riconosce, lo disinfetta ma ad ogni riavvio si ripresenta!

Ho fatto anche lo scan on line con Bit Defender e Panda, che non trovano assolutamente nulla.

Leggendo su alcuni forum ho visto che bisogna ricreare il mbr...che non so cosa sia.

Ma come è possibile che formattarlo non sia servito a nulla?

Spero possiate darmi una mano voi...

[hell's bells]

Scarica questo programma

http://www2.gmer.net/mbr/mbr.exe

lo devi posizionare in c:\ senza inserirlo in alcuna cartella
poi da start>esegui digita c:\mbr.exe

alla fine ti verrà rilasciato un report che troverai in c:\ postalo sul forum.

[jackweb]

Grazie Hell del tuo appoggio.
Sono proprio in alto mare, contando poi che su D avevo fatto il backup di 380Gb di file spero proprio che non stia lì...

Ecco qui il report ...

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x1749ddc1 size 0x1a8 !

[hell's bells]

Ha trovato l'infezione, ora, l'mbr è la prima porzione del disco in cui risiede il sistema operativo, quindi se hai dei dati importanti da salvare, sarebbe opportuno tu lo facessi prima di procedere, questa è la procedura per rimuovere il cliente:

1) disconnesso da internet, disattiva il tuo antivirus e eventuali altri programmi tipo anti-spyware in modalità real time

2)ricontrolla che il file mbr.exe sia ancora in c:\ se no scaricalo di nuovo

3) da start>esegui digita c:\mbr.exe -f

nota bene dopo .exe c'e' uno spazio vuoto

poi fatta l'operazione riposta il report che troverai in c:\

[jackweb]

Perciò da quel capisco è in C e non in D, vero?
Visto che C lo avevo formattato non ho alcun problema allora...
Scusa la paranoia ma in D ho tutto il mio lavoro.

[hell's bells]

Se il tuo sistema operativo è in c:\ si trova sui primi settori dell'hard disk, se d:\ è un secondo hard disk questo non viene interessato dalla procedura.

[jackweb]

mi ha ridato:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x1749ddc1 size 0x1a8 !

[hell's bells]

Ma hai seguito questa procedura:

1) disconnesso da internet, disattiva il tuo antivirus e eventuali altri programmi tipo anti-spyware in modalità real time

2)ricontrolla che il file mbr.exe sia ancora in c:\ se no scaricalo di nuovo

3) da start>esegui digita c:\mbr.exe -f

nota bene dopo .exe c'e' uno spazio vuoto

poi fatta l'operazione riposta il report che troverai in c:\

[jackweb]

Fatto...ma con stesso risultato.

- Disconnesso, ho anche tolto la penna per il wi-fi e chiuse tutte le finestre.

- Riscaricato e sovrascritto il file mbr.exe

- Copiato e incollato il tuo codice

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x1749ddc1 size 0x1a8 !

L'unica cosa che mi viene in mente è la scansione on line fatta stamattina con bitDefender, se per caso ci entra qualcosa...

[jackweb]

C'entra nulla il Service Pack 3 che mi hanno appena installato in assistenza?
Antispyware io non ne ho messii.
Tra i software installati non ne vedo...
Windows Firewall è disattivato.

Provo a riavviare il pc...