Infeção Sinowal/ Mebroot/ Rootkit MBR/Bootkit

Setembro 2017




É uma infecção do tipo rootkit.

Este malware rouba as informações confidenciais, em particular senhas e dados bancários..
Será necessário alterar as senhas depois da desinfecção e verificar junto ao seu banco que nada aconteceu de anormal.
  • Nota importante para as máquinas Dell : a reparação do MBR pode retirar o acesso, para o usuário, do utilitário de restauração no estado de origem via a tecla de teclado, na inicialização. Existem alguns métodos para arranjar isto, mas eles são um tanto complexos. Se o risco parece muito sério, fica então desaconselhado deixar a ferramenta executar o comando « mbr -f » ou de executar esta última manualmente ; se for o caso, deve-se, então, restaurar a máquina no seu estado de origem (o que corresponde à formatação), ou, então, não fazer nada e conservar o Master Boot Record infestado (não recomendado) (Helper Mark de Zebulon).

Pode, também, acontecer para outras marcas de PC que contenha uma partição de restauração que risca de não funcionar mais depois da restauração do MRB, então, é melhor salvar seus dados e efetuar uma restauração de fábrica através dos DVD de restauração.
  • Nota importante: É preciso, em todos os casos, criar um DVD de reinstalação de seu computador seguindo o manual do construtor !

Primeiro método: Gmer

  • Baixe mbr.exe de Gmer no Desktop: mbr.exe
  • Desative suas proteções e corte a conexão.
  • No Windows XP : duplo clique em mbr.exe / Sous Windows Vista ou Seven, faça um clique direito em mbr.exe e escolha "Executar em tempo como administrador »
  • Será gerado um relatório: mbr.log
  • Em caso de infecção, a mensagem MBR rootkit code detected aparecerá no relatório. Digite o seguinte comando :
    • No XP : "%userprofile%\Bureau\mbr" -f
    • No Vista/Seven : "%userprofile%\Desktop\mbr" -f
  • No mbr.log, esta linha aparecerá: original MBR restored successfully !
  • Poste o relatório se solicitado por um helper no fórum Segurança.


Relance mbr.exe para verificar se a infecção não estiver mais presente e o novo relatório não deverá mais encontrar de rootkit.

Exemplo de relatório não infestado:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net                     

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

No Vista e Seven, não esqueçade lançar mbr.exe com um clique direito e "Executar como administrador."

Segundo método: antiboot de Kaspersky


Todo o procedimento está no seguinte link :

Terceiro método: Combofix


Para todos os leitores :

-- Este software não é para ser utilizado sem a orientação de um helper qualificado e formado nesta ferramenta.
-- Não utilizar em outra situação : PERIGOSO!
  • Fazer um clique direito aqui.
  • Escolher: Registrar o alvo do link em
  • Escolher o Desktop como destino.
  • No campo "Nome do arquivo », renomeie ComboFix.exe em CCM.exe por exemplo, depois registre.
  • Atenção ! A etapa de renomear é obrigatória, senão você vai receber a mensagem "ComboFix.exe não é uma aplicação win32 válida" e de torna-la, assim, totalmente inútil e ineficiente.
  • Desconecte-se e feche todas as aplicações e programas em aberto e sendo executados.
  • Duplo-clique em CCM.exe para lançar o fix (No Vista e Seven, é preciso clicar direito em CCM.exe e escolher "Executar como administrador ").
  • Aceite a mensagem de alerta e aceite a instalação do console de recuperação (No XP).
  • O relatório será criado na raiz: C:\Combofix.txt




Exemplo de infecção pelo Combofix :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net                     

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys PCTCore.sys ACPI.sys hal.dll atapi.sys spzt.sys >>UNKNOWN [0x86F80938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7749f28
\Driver\ACPI -> ACPI.sys @ 0xf7422cb8
\Driver\atapi -> atapi.sys @ 0xf739fb40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Broadcom NetLink (TM) Gigabit Ethernet -> SendCompleteHandler -> NDIS.sys @ 0xf72b5bb0
PacketIndicateHandler -> NDIS.sys @ 0xf72a4a0d
SendHandler -> NDIS.sys @ 0xf72b8b40
user & kernel MBR OK

Ou então:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net                     
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x12a14c0 size 0x1ad !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.


Exemplo de relatório de desinfecção:


(((((((((((((((((((((((((((((((((( Andere Verwijderingen
Outras coisas apagadas)))))))))))))))))))))))))))))))))))))))))))))))))
.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
(((((((((((((((((((( Bestanden Gemaakt van 2010-11-18 to 2010-12-18
Arquivos criados entre le 2010-11-18 et le 2010-12-18 ))))))))))))))))))))))))))))))

Quarto método : Bootkit Remover


Note: Você deve obrigatoriamente ter os arquivos remover.exe et BTKR_Runbox.exe no Desktop para que a ferramenta funcione corretamente.
  • Lance BTKR_Runbox depois selecione a opção n°3
  • Valide apoiando sobre "3" depois [Entre]
  • O PC reinicializará . No arranque, relance BTKR_Runbox selecionando a opção n°1
  • Se o procedimento funcionou bem , você deverá ler " OK [DOS/Win32 Boot code found] "

Quinto método: MBRCheck

  • Baixe MBRCheck no desktop.
  • Feche todas as aplicações.
  • Lance MBRCheck (para os usuários do Vista e Seven Fazer um clique direito no executável como administrador para lançá-lo.)
  • Se você obtém isso :

Found non-standard or infected MBR.


Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Digite a letra Y depois valide com a tecla [Entre]
  • Em seguida, você obterá isto :


Opções:

[1] Dump the MBR of a physical disk to file.

[2] Restore the MBR of a physical disk with a standard boot code.

[3] Exit.

Escolha a opção 2 (digite o número) e pressione [Entre]
  • Em seguida, você obterá isto :


Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel):

Digite o número 0 depois valide com [Entre]
  • Você obterá agora uma escolha para fazer, com códigos do MBR :


Available MBR codes:

[ 0] Default (Windows XP)

[ 1] Windows XP

[ 2] Windows Server 2003

[ 3] Windows Vista

[ 4] Windows 2008

[ 5] Windows 7

[-1] Cancel

Digite o número correspondente ao seu sistema operacional depois valide com [Entre]
  • Em seguida, você terá isto :


Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue:

Digite YES depois valide com [Entre]
  • Em princípio, você deverá ver isto, agora (adicionado no final da linha) :


Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code!
...suivi de "Please reboot your computer to complete the fix."
  • Continuando, reinicialize seu computador
  • Poste o relatório se você está sendo ajudado por um Helper.

Sexto método


Baixe aswMBR.exe, em seu Desktop, pelo link abaixo :
http://public.avast.com/~gmerek/aswMBR.exe

Duplo-clique em aswMBR.exe para o executar
Duplo-clique em aswMBR.exe presente no seu Desktop.(Clique direito -> "Executar como administrador " para VISTA / SEVEN)

Clique sobre o botão «Scan»

Clique sobre o botão "Fix" em caso de infecção

Clique sobre save log , Registre o relatório no Desktop
Poste o relatório na sua próxima resposta no fórum.

Sétimo método: ZhpFix

  • Se você utilizar ZhpDiag e que uma infecção deste tipo for encontrada como mostra o seguinte relatório :


---\\ Busca de infecção Master Boot Record (O80)
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
Run by Sabrina at 28/06/2010 18:29:00
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8410A328]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x8410a328
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x05D267C0
malicious code @ sector 0x05D267C3 !
PE file found in sector at 0x05D267D9 !

MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
Use "ZHPFix" command "MBRFix" to clear infection !
  • Lance ZHPFix a partir do atalho no Desktop (em modo administrador se Vista/W7) ou a partir ZhpDiag que contém o atalho para ZhpFix no ícone situado no alto,
  • Clique sobre o botão MBRfix situado na parte direita da tela (quadrado vermelho sobre a imagem),
  • Clique em 'Não' na mensagem que se exibe na tela,
  • Deixe a ferramenta trabalhar,
  • No final do tratamento, afixa-se um relatório
  • Copie este relatório se for solicitado fórum
  • Reinicialize o PC para considerar as modificações e verifique com Zhpdiag se a infecção não for mais encontrada.

Oitavo método : console de recuperação e fixmbr


Você deve ter em sua possessão o CD do Windows.
Inicialize no console de recuperação como está explicado aqui : http://support.microsoft.com/kb/307654/pt-br

Quando estiver no console de recuperação, digite o seguinte comando:
fixmbr \device\harddisk0 depois valide pela tecla [Entre] de seu teclado.
Se isso não acontecer, digite fixmbr c:

Digite exit para sair
Retire Cd de windows
Reinicialize o PC

Nono método : MBR Repair

  • Desative suas proteções
  • Baixe MBR_Repair (par gen-hackman) aqui: http://dl.dropbox.com/u/21363431/Mbr_Repair.exe
  • registre-o no Desktop,
  • Lance-o, escolha "Repair"
  • Escolha seu sistema operacional : "Windows XP, Vista ..."
  • Seu PC vai inicializar
  • Relance MBR_Repair depois clique a opção "Verify"
  • MBR_Verify.txt se colocará em seu Desktop, poste o relatório no fórum, se for o caso.

Décimo método : Avira AntiVir Boot Sector Repair Tool


Décimo primeiro método: MBR_Repair


MBR_Repair permite restaurar o MBR no Vista e Seven 32/64 bits unicamente

é ema espécie de "Upgrader" de MBR , e que, em último caso permite de desinfectar

a arquitetura 32/64 é detectada automaticamente

ATENÇÃO AO PC DE MARCA, A REPARAÇÃO DO MBR PODE PROVOCAR A PERDA DA PARTIÇÃO RECOVERY EXISTENTE

NÃO UTILIZE SEM A OPINIÃO DE UM HELPER CONFIRMADO !!

baixe aqui :

http://dl.dropbox.com/u/21363431/Mbr_Repair.exe

registre-o no Desktop,

lance-o, escolha « Repair »

escolha "Windows Vista ou windows 7"

seu PC vai reiniciar

na volta de seu PC, relance MBR-Repair depois faça a opção "Verify"

MBR_Verify.txt se colocará no seu Desktop. Poste no fórum se está se fazendo ajudar.

Décimo segundo método: Hitman pro


Outros métodos


Os seguintes softwares não são todos atualizados, mas podem ser eficientes.

1- MacAfee antirootkit
Mcafee Viruscan

2- Sophos Anti rootkit
Sophos Anti-Rootkit

3- F Secure Black Light Contrôle a integridade do servidor Eliminator
http://www.f-secure.com/...

4- Avira AntiRootkit
http://www.free-av.com/fr/outils/4/avira_antirootkit_tool.html

5- Vba32 AntiRootkit
http://www.anti-virus.by/en/vba32arkit.shtml

6- G Data Remover
G Data Remover

7- Panda AntiRootkit
[http://br.ccm.net/download/baixaki-12453-panda-anti-rootkit Anti-Rootkit
Panda antivirus

Depois da limpeza ou formatação

  • Para verificar que não restou nada, o melhor é passar um antivirus online ou verificar com seu antivírus que nada é detectado.
  • Se depois da formação a infecção resiste é, provavelmente, porque você não utilizou a restauração do PC (que deve ter sido criada na compra o PC, se um CD de restauração não tenha sido fornecido).

Salvar seu MBR


Informações complementares


http://www.symantec.com/...
http://www.sophos.com/support/disinfection/mbrvir.html
http://www.commentcamarche.net/...
http://teodulle.blogspot.com/2009/04/supprimer-le-virusrootkit-sinowal.html
http://forum.malekal.com/viewtopic.php?f=58&t=10139
http://www.commentcamarche.net/faq/14963-supprimer-les-rootkits

Artigo original publicado por Jlpjlp

Tradução feita por Ana Spadari

Veja também

Artigo original publicado por jak58. Tradução feita por ninha25. Última modificação: 28 de setembro de 2013 às 09:46 por ninha25.
Este documento, intitulado 'Infeção Sinowal/ Mebroot/ Rootkit MBR/Bootkit', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.