Trovato Rootkit,che devo fare?!

[Gablogan]

aiuto per favore,devo aver beccato un virus stranissimo,ieri sera d'improvviso il computer si è spento da solo(chiudendosi regolarmente,come se lo avessi spento io) e si è riavviato,al riavvio mi è apparsa una schermata del bios che non mi era mai apparsa dove una scritta in inglese diceva che ho preso un virus nell'hard disk e dovevo introdurre un floppy disk per tentare di toglierlo,o qualcosa del genere,poi penso di aver scoperto che si trattava dell'antivirus interno alla mia scheda madre asus(che avevo lasciato disattivato dal bios ma che deve essersi attivato nuovamente) cmq al riavvio il pc adesso è estremamente lento,sopratutto su internet dove le pagine si bloccano,non caricano,casca la linea ecc.ho fatto la scanzione approfondita con diversi antivirus,avast,a-squared free ma non mi hanno trovato nulla,ho anche provato a fare una scanzione online ma il sito mentre scandisce mi crasha,oggi dopo aver aggiornato avast mi compare questa scritta

E' STATO TROVATO UN ROOTKIT

NOME DEL FILE MBR:\\.\PHYSICALDRIVE0
TIPO ROOTKIT: FILE NASCOSTO

poi mi viene chiesto se voglio eliminarlo,clicco si il computer si riavvia,parte la scanzione di avast all'accenzione,prima dell'avvio del sistema,e finita la scanzione non trova nulla,e appena si avvia windows mi appare sempre questo messaggio e il virus non si cancella.Che devo fare,aiuto per favore! L'ho formattato da poco e non voglio rifarlo

[MeRiT10]

ho letto le vostre dicussioni.. tutte quelle riguardanti questo virus ho seguito alla lettera la guida per toglierlo.. ma niente.. il programma spagnolo dice
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
ovvero nn trova niente.. avenger nel report che da all'inizio m dice per tutte le stringhe che nn esistono... ho fatto il tool d kaspersky (lab) nn trova niente.. ho gli stessi sintomi descritti da tutti service.exe che succhia ram ciclo idlee ballerino.. il processore che elabora continuamente.. unica variante è che ogni tanto m da errore iexplorer e che il mio ruoter nn m fa cancellare delle porte che avevo aperto per il p2p. Appena formatto lo riprendo.. seppur i programmi installati so' sempre quelli. L'unico antivirus che m dice qualcosa è Dr web cureit che elimina un BackDoor.Maosboot <-- services.exe:944 di system32 ! che devo fare...???? considerando che m ha beccato due pc.. Ringrazio anticipatamente..

[Chill-Out]

Stamattina sei il secondo utente con lo stesso problema MBR Rootkit

Procedi con la Guida alla disinfezione (questo serve soprattutto per escledere altre infezione che il rootkit nasconde) allegando i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione


MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

● se il relativo txt generato è max 20 kb, allegato alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
● se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

Edit: allega secondo le modalità indicate un log di EliBagla, grazie.

[Chill-Out]

MBR Rootkit

Procedi con la Guida alla disinfezione (questo serve soprattutto per escledere altre infezione che il rootkit nasconde) allegando i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione


MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

● se il relativo txt generato è max 20 kb, allegato alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
● se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

Edit: tra l'altro se non ricordo male mesi addietro ti avrò detto almeno un paio di volte di sostituire Avast con Antivir

[xcdegasp]

ho unito i due thread essendo lo stesso problema e ancora in fase iniziale, spero gradiate

[MeRiT10]

http://www.fileup.itadib.com/downloa...NGq05GY3zaKO75

http://www.fileup.itadib.com/downloa...sLokSYZOsqMmJz

http://www.fileup.itadib.com/downloa...sPrrWReSyMpkaM

http://www.fileup.itadib.com/downloa...fXk9odqpcUDsvV

http://www.fileup.itadib.com/downloa...GOVg9HIlFExYU6

http://www.fileup.itadib.com/downloa...xkERwfWUtY8OVD

http://www.fileup.itadib.com/downloa...LAg0BQXfSjLBD8

Dai log noterete subito che sl uno dei software m ha individuato chiaramente il virus.. che è proprio quello che m dicevi ovviamente. Adesso come lo tolgo? Grazie

[c.m.g]

se ho capito bene si tratta del rootkit dell'Mbr, a questo punto, l'unico sistema che conosco per disinfettarlo è Prevx CSI.

[Gablogan]

ecco i miei log

adsr
http://www.fileup.itadib.com/downloa...FfZjC5n49f6nCy
a-squared
http://www.fileup.itadib.com/downloa...nFtfApm8wIO4BN
gmer
http://www.fileup.itadib.com/downloa...xTwCOkne5fdzfX
hijackthis
http://www.fileup.itadib.com/downloa...NZZS9npvsGmFZN
prevxcsi
http://www.fileup.itadib.com/downloa...qE7I7xaSFnU5pB

mi pare che l'unico che abbia trovato qualcosa sia prevxcsi ma non me la fa eliminare,perchè vuole il numero di licenza

[xcdegasp]

Quote:

Originariamente inviato da MeRiT10

http://www.fileup.itadib.com/downloa...NGq05GY3zaKO75

http://www.fileup.itadib.com/downloa...sLokSYZOsqMmJz

http://www.fileup.itadib.com/downloa...sPrrWReSyMpkaM

http://www.fileup.itadib.com/downloa...fXk9odqpcUDsvV

http://www.fileup.itadib.com/downloa...GOVg9HIlFExYU6

http://www.fileup.itadib.com/downloa...xkERwfWUtY8OVD

http://www.fileup.itadib.com/downloa...LAg0BQXfSjLBD8

Dai log noterete subito che sl uno dei software m ha individuato chiaramente il virus.. che è proprio quello che m dicevi ovviamente. Adesso come lo tolgo? Grazie

in gmer controlla di non aver voci in rosso, ovviamente essendo il log in formato txt la visualizzazione dei colori si perde nella formattazione..
rifai la scansione e controlla nella finestra del programma in caso trovi righe rosse mi raccomando copiale qui nella discussione.


dal log di HiJackThis vedo che devi assolutamente aggiornare cose realmente molto critiche!
disinstalla Acrobat 5.0 in favore del gratuito-potente-veloce ed esente da falle critiche -> Foxitreader

disinstalla Java 1.6.0_03 e scarica la nuova 1.6.0_05 (devi isinstallarla altrimenti rimane attiva anche la vecchia versione).


per prevxCSI invece:

Codice:

C:\WINDOWS\system32\drivers\klif.sys	InMem: 0	Det [u]	MD5: 214B9713C850A8C798AD76147F82EDF7	PX5: 13E0634510B595D40C5802FB042F50007F4FBFC1
	REGSERVICE - \REGISTRY\Machine\SYSTEM\ControlSet001\Services\klif - ImagePath [C:\WINDOWS\system32\drivers\klif.sys]


ROOTKIT-\\.\PhysicalDrive0\MBR - [512] >> Hidden Disk Sectors

[c.m.g]

sarei curioso di sapere come l'avete preso!!!

[xcdegasp]

io sono dubbioso...
MeRiT10, sei sicuro che facendo una scansione completa avira non identifica il problema nel MBR ?

[xcdegasp]

@ Gablogan:
disinstalla l'obsoleto Acrobat 7.0 in favore di FoxitReader

[c.m.g]

Quote:

Originariamente inviato da xcdegasp

io sono dubbioso...
MeRiT10, sei sicuro che facendo una scansione completa avira non identifica il problema nel MBR ?

forse non ha attivato la rilevazione rootkit in expert mode e c'è anche l'opzione per scansionare il settore di avvio (MBR)

[eraser]

Quote:

Originariamente inviato da xcdegasp

io sono dubbioso...
MeRiT10, sei sicuro che facendo una scansione completa avira non identifica il problema nel MBR ?

Prevx CSI non ha sbagliato

Guarda il log di Gmer:

Codice:

---- Threads - GMER 1.0.14 ----

Thread          4:544                                        85ED1BF6
Thread          4:548                                        85ED39A0
Thread          4:552                                        85ECBE5C
Thread          4:556                                        85ED1F38
Thread          4:1628                                      85ECB886
Thread          4:1676                                       85ECB886
Thread          4:2972                                      85F040A0
Thread          4:2976                                      85EF11A0
Thread          4:2980                                       85F39DD0
Thread          4:2984                                       85EDD220
Thread          4:3136                                       85ED1D22

PAGE            CLASSPNP.SYS!ClassInitialize + F4               F78764B2 4 Bytes  [ 7E, 18, ED, 85 ]
PAGE            CLASSPNP.SYS!ClassInitialize + FF               F78764BD 4 Bytes  [ 28, C4, EC, 85 ]
PAGE            CLASSPNP.SYS!ClassInitialize + 10A             F78764C8 4 Bytes  [ 90, 18, ED, 85 ]
PAGE            CLASSPNP.SYS!ClassInitialize + 111             F78764CF 4 Bytes  [ 84, 18, ED, 85 ]
PAGE            CLASSPNP.SYS!ClassInitialize + 118             F78764D6 4 Bytes  [ 8A, 18, ED, 85 ]

L'infezione da MBR rootkit è presente

[xcdegasp]

a questo punto mettiamo il link alla Guida per configurare Avira correttamente:
http://www.hwupgrade.it/forum/showthread.php?t=1514684

avast non so come si comporti con i rootkit quindi facciamo fare il test a MeRiT10



@ eraser:
infatti ero dubbioso solo sul fatto che non incollassero le voci rosse di gmer e che Avira non si attivasse con pop-up rossi fuoco.
era un modo vellutato per risvegliare l'attenzione agli utenti

sono sempre molto contento di leggerti da queste parti

[c.m.g]

Quote:

Originariamente inviato da xcdegasp

[...]

sono sempre molto contento di leggerti da queste parti

beh ovviamente mi associo, non è da tutti i forum avere un grande ricercatore di malware italiano che posta nel nostro/suo forum

[Chill-Out]

@Gablogan
@MeRiT10

MBR confermato in attesa della scansione con Avira Antivir correttamente configurato come da Guida già linkata, ripetete la scansione con questa versione di Gmer http://www2.gmer.net/beta/gmer.exe allegate sia il log per intero, sia le eventuali righe rosse.

@MeRiT10 dov'è il tuo antivirus?
@Gablogan direi che è arrivato il momento di installarlo questo Antivir

[Chill-Out]

Quote:

Originariamente inviato da c.m.g

sarei curioso di sapere come l'avete preso!!!

Ciao, probabilmente
Microsoft Data Access Components (MDAC) Function vulnerability (MS06-014)
AOL SuperBuddy ActiveX Control Code Execution vulnerability (CVE-2006-5820)
Online Media Technologies NCTsoft NCTAudioFile2 ActiveX Buffer Overflow (CVE-2007-0018)
GOM Player "GomWeb3" ActiveX Control Buffer Overflow (CVE-2007-5779)
Microsoft Internet Explorer WebViewFolderIcon setSlice (CVE-2006-3730)
Yahoo! JukeBox datagrid.dll AddButton() Buffer Overflow
DirectAnimation.PathControl KeyFrame vulnerability (CVE-2006-4777)
Microsoft DirectSpeechSynthesis Module Remote Buffer Overflow

[c.m.g]

Quote:

Originariamente inviato da Chill-Out

Ciao, probabilmente
Microsoft Data Access Components (MDAC) Function vulnerability (MS06-014)
AOL SuperBuddy ActiveX Control Code Execution vulnerability (CVE-2006-5820)
Online Media Technologies NCTsoft NCTAudioFile2 ActiveX Buffer Overflow (CVE-2007-0018)
GOM Player "GomWeb3" ActiveX Control Buffer Overflow (CVE-2007-5779)
Microsoft Internet Explorer WebViewFolderIcon setSlice (CVE-2006-3730)
Yahoo! JukeBox datagrid.dll AddButton() Buffer Overflow
DirectAnimation.PathControl KeyFrame vulnerability (CVE-2006-4777)
Microsoft DirectSpeechSynthesis Module Remote Buffer Overflow

grazie per la tua agenzia (ansa)!!!

[Chill-Out]

Quote:

Originariamente inviato da c.m.g

grazie per la tua agenzia (ansa)!!!

come dicevo al Mod. prima o poi avremmo visto i primi utenti alle prese con questo maledetto