[Equal1zer]

Cari amici voglio condividere con voi la mia esperienza, durata più o meno 2 giorni (di bestemmie), per quanto riguarda uno dei nuovi rootkit in circolazione, che mi sono beccato sul mio Windows 7 del computer aziendale.

Tale BOO/TDSS.o è un Rootkit davvero potente e cattivo.

Modalità d' infezione:
Niente di particolare, in realtà non so neanche io come l' ho preso. Non ho usato archivi rimovibili, nè pen drive/CD di altre persone, perciò la provenienza è sicuramente Internet. Oltretutto non ricordo neanche il sito, stavo semplicemente cercando in google immagini alcune icone che mi servivano per il software aziendale che sto creando, e ho aperto una cinquantina di schede (in firefox) per una successiva consultazione.

Sintomi:
Allucinanti. Tantissime finestre di errore tutte uguali in cascata, poi una mega finestra centrale con delle diciture preoccupanti riguardanti un errore di I/O sull' Hard Disk. Dopodicchè la graduale sparizione delle icone sulla barra delle applicazioni, quelle del desktop e il riavvio improvviso del pc. Al successivo accesso al desktop stessa cosa. Il computer risultava inutilizzabile.
In uno dei tanti riavvi ho provato ad aprire Firefox ma nel momento in cui ho cliccato sulla casetta (Home) invece di aprirmi Google mi reindirizzava su altri siti spam e simili, poi le diecimila finestre e di nuovo il riavvio del pc.

Primo intervento: virus debellato al 50%
Ho avviato in modalità provvisoria, il computer mi è sembrato utilizzabile, tanto che sono riuscito a scaricare ComboFix e fargli fare la scansione, sperando che il problema si risolvesse.
Il report finale mi indica qualche intervento di cancellazione sui seguenti file/directory:

Program data\AMMYY
Non so perchè l' ha rimosso, conosco e usiamo questo prog per connetterci in remoto coi clienti, ma cmq non fa niente, l' ho installerò nuovamente
WeLENlwmLQdP.exe
Questo eseguibile mi era già sembrato sospetto quando prima di avviare combofix ho dato uno sguardo al registro di sistema, nelle voci dei processi in esecuzione automatica. Sono sicuro che questo file abbia a che fare con il virus in questione.
System32/Test
Non creo cartelle gel genere in System32 perciò va bene che ComboFix l' abbia rimossa

Risultato:
Riavvio il pc e come avevo sperato le finestre di errore non compaiono più. Il computer risulta funzionante, però mi sono sparite le icone sulla barra di avvio veloce e in generale avverto un certo rallentamento del sistema, ogni tanto Firefox si chiude da solo e mi manda a quel paese...
Faccio una scansione con Avira Free e mi trova questo RootKit ancora presente nel master boot record del disco rigido... solo che per rimuoverlo devo comprare la versione professionale completa... grazie team di Avira, ottima mossa. Decido di sostituire l' antivirus con AVG Free e anche questo rileva il virus ma pare non riesca proprio ad effettuare la disinfezione.

Secondo intervento: definitivo ma fatale, virus rimosso ma pc senza sistema operativo
Questo intervento è durato più o meno 1 giorno e mezzo durante il quale ho provato qualsiasi tool disponibile in rete per la rimozione di questo dannato rootkit.
Mi sono ricordato che esiste un tool apposito per la rimozione dei rootkit TDSS, tale TDDSKiller.exe, già discusso in qualche topic sempre in questa sezione, una vera belva... se solo mi fosse partito!!!
Il virus in questione riconosce e blocca l' avvio di questo tool di Kaspersky e manomette il funzionamento di altri tool, come GMER, FixTDSS, Sophos, RootkitRemover della McAfee etc etc tutti provati e riprovati anche con l' utilizzo di un tool che si chiama RKill.exe, di bleepingcomputer, che a loro dire serve proprio per permettere il funzionamento di questi tool in presenza del rootkit maledetto.
In un forum sono venuto a conoscenza di un altro tool, tale verpatch, utile per cambiare le informazioni del file eseguibile TDSSKiller.exe.
Il virus riconosce il tool di rimozione tramite il nome del file e le info contenute al suo interno, come l' azienda sviluppatrice (Kaspersky), versione, nome del file originale, etc etc io mi domando perchè diavolo continuate a metterle ste informazioni se sapete che questo virus li legge, riconosce il programma e blocca la sua esecuzione? 
Cmq provo a cambiare le info ma niente da fare, Windows 7 non riconosce il file come eseguibile... lo faccio sul mio WinXP sul portatile, va a buon fine ma Windows 7 dice che non è un programma compatibile... Ho provato a fare la stessa cosa con ResourceHacker ma senza alcun risultato...
Decido di intraprendere un' altra strada, installo il RescueCD di Kaspersky sulla mia pendrive, tramite ubootnetin e lo lancio come boot all' avvio del pc. Riesco a fare una tanto sofferta scansione, mi trova il bastardo e con tanta ma propria tanta cattiveria spingo il tasto DISINFECT con rabbia e con 10 dita
Rifaccio la scansione per sicurezza e non mi trova nulla: "Perfetto!!!" ho pensato, tutto risolto... magari!!!
Riavvio il pc e mi compare la bruttissima scritta: "Missing operating system"...
Quindi grazie ad Avira ed ora anche a Kaspersky 

Ultimo intervento: computer funzionante e pulito
Se non parte il sistema operativo, e il virus si trovava nel master boot record, vuol dire che lo stesso o si è danneggiato, oppure non c' è più. Bisogna ripristinarlo.
Partono le bestemmie, nel mio ufficio non esiste una copia di Windows 7... o meglio c' è, ma è in formato ISO... basta masterizzarla? Ok... ma non ho dvd... ci sono solo CD... e il mio netbook non ha il masterizzatore...  andiamo bene... il tempo di fare qualche altra bestemmia che mi balena in testa un' idea

Ecco quello che ho fatto:
1) Mi sono scaricato una versione "Repair" di Windows 7 tramite torrent, con un peso di 300Mb o giù di lì.
2) Ho scaricato l' ultima versione di Ubuntu
3) Ho installato Ubuntu sulla pendrive tramite ubootnetin e gli ho copiato dentro la ISO di Win7, in una cartella a parte.
4) Ho avviato il pc tramite pendrive, e con Brasero sono riuscito a masterizzare il CD con la versione lite di Win7.
5) Riavvio il pc con questo CD e faccio partire il tool di riparazione automatico della Microsoft... niente da fare  opto quindi per la console di ripristino, dove eseguo questi comandi:

bootrec /fixboot
bootrec /fixmbr

entrambi andati a buon fine.
Riavvio il pc et voilà, Windows 7 pulito e ripristinato, senza quel maledettissimo rootkit nel mbr

Non appena posso vi posto tutti i link dei tool che ho nominato nel topic, cosicchè possiate trovarli con facilità 

[Nihilex]

io leggendo tutto questo ti ho immaginato con questa di sottofondo

[Equal1zer]

hahahah
posso dire che sarebbe stata perfetta! ma anche tipo Dictatorshit dei Sepultura sarebbe andata bene 

[Eone Nero]

Mi è capitato l'altro giorno tale virus.

Ho acceso il pc in modalità provvisoria poi ho dato l'ottimo Combofix che ha fatto tabula rasa. 

[Equal1zer]

Mi è capitato l'altro giorno tale virus.

Ho acceso il pc in modalità provvisoria poi ho dato l'ottimo Combofix che ha fatto tabula rasa. 

Infatti Combofix è un portento, ma purtroppo a me non è riuscito a togliere l' infezione dall' mbr. Mi sa tanto che, visto che se non ricordo male, Combofix fa uso di GMER per i rootkit, lo stesso non è riuscito a partire perchè il virus lo bloccava.
In questi casi TDSSKiller.exe è una belva, ma se non parte sono rootkit amari 

[Eone Nero]

Mi è capitato l'altro giorno tale virus.

Ho acceso il pc in modalità provvisoria poi ho dato l'ottimo Combofix che ha fatto tabula rasa. 

Infatti Combofix è un portento, ma purtroppo a me non è riuscito a togliere l' infezione dall' mbr. Mi sa tanto che, visto che se non ricordo male, Combofix fa uso di GMER per i rootkit, lo stesso non è riuscito a partire perchè il virus lo bloccava.
In questi casi TDSSKiller.exe è una belva, ma se non parte sono rootkit amari 

Neanche in modalità provvisoria senza rete sei riuscito?

Ti indico questa serie di tools portentosi, c'è da fare un monumento al programmatore.

Poi magari apro un post dove spiegarne il funzionamento.

http://www.sarducd.it/

[Equal1zer]

Mi è capitato l'altro giorno tale virus.

Ho acceso il pc in modalità provvisoria poi ho dato l'ottimo Combofix che ha fatto tabula rasa. 

Infatti Combofix è un portento, ma purtroppo a me non è riuscito a togliere l' infezione dall' mbr. Mi sa tanto che, visto che se non ricordo male, Combofix fa uso di GMER per i rootkit, lo stesso non è riuscito a partire perchè il virus lo bloccava.
In questi casi TDSSKiller.exe è una belva, ma se non parte sono rootkit amari 

Neanche in modalità provvisoria senza rete sei riuscito?

Ti indico questa serie di tools portentosi, c'è da fare un monumento al programmatore.

Poi magari apro un post dove spiegarne il funzionamento.

http://www.sarducd.it/

No purtroppo no, anche in modalità provvisoria addirittura TDSSKiller.exe non mi partiva. Forse il rootkit che ho beccato io è stata una variante a dir poco distruttiva. Non ne ho idea, ricordo che ho avuto già a che fare con Rootkit ed effettivamente ComboFix li rilevava e mi faceva riavviare per la rimozione/riparazione, stavolta però non è successo.
Grazie per la segnalazione, metto il link tra i preferiti

[Eone Nero]

Riguardo Sarducd a corredo c'è una nutrita serie di antivirus e di tools eccezionali.

Leggo qua che la variante che avete beccato è veramente tosta.

http://www.megalab.it/forum/topic75127.html

[Creedence]

Alt.
Se è come penso io me lo son preso ieri!
Di botto venti finestrelle con icona "alert" gialla e poi icona rossa con la scritta Hard Disk Failure!
Dal desktop son partiti un casino di file, scomparsi nel nulla come cancellati..giusto?

[Eone Nero]

Alt.
Se è come penso io me lo son preso ieri!
Di botto venti finestrelle con icona "alert" gialla e poi icona rossa con la scritta Hard Disk Failure!
Dal desktop son partiti un casino di file, scomparsi nel nulla come cancellati..giusto?

Esattamente 

Segui i consigli di Equal e quelli descritti nel thread di Megalab.

[Creedence]

Io ho risolto cosi.
Prima ho visto quali erano i servizi attivi ed ho trovato delle .dll con nomi strani tipo W€ddese€fe3.dll E c'era anche un .exe

Ho spento, riavviato in provvisoria e mi sono andato a togliere quei file maledetti dall'avvio.
Poi ho riavviato. Non funzionavano diverse cosette. tra cui firefox. L'ho disinstallato.
Poi sono andato su documenti e c'erano le cartelle ma non c'erano i file dentro.

..a quel punto ho mangiato la foglia...ho fatto "visualizza file nascosti" e c'era tutto. Ho quindi fatto modificare tutti i file con l'attirbuto corretto, ho reinstallato firefox ed ora sembra a posto...

[Eone Nero]

Io ho risolto cosi.
Prima ho visto quali erano i servizi attivi ed ho trovato delle .dll con nomi strani tipo W€ddese€fe3.dll E c'era anche un .exe

Ho spento, riavviato in provvisoria e mi sono andato a togliere quei file maledetti dall'avvio.
Poi ho riavviato. Non funzionavano diverse cosette. tra cui firefox. L'ho disinstallato.
Poi sono andato su documenti e c'erano le cartelle ma non c'erano i file dentro.

..a quel punto ho mangiato la foglia...ho fatto "visualizza file nascosti" e c'era tutto. Ho quindi fatto modificare tutti i file con l'attirbuto corretto, ho reinstallato firefox ed ora sembra a posto...

Questo non vuol dire che il virus sia eliminato 

Se si tratta di quello citato da Equal1zer si registra in una traccia del disco non accessibile al sistema operativo.

Prova a dare Combofix dopo aver disabilitato l'antivirus.

http://www.bleepingcomputer.com/combofix/it/come-usare-combofix

[Creedence]

ok, now downloading

[Geremia]

ok, now downloading

Col mac non ho questi problemi

[Creedence]

ok, now downloading

Col mac non ho questi problemi

...però io altervista lo vedo