Danielix71
11-11-2009, 08:35
Ciao a tutti!!
Non so come ho beccato un MBR Rootkit, mi portava alla crezione di cartelle Help Assistant nella cartella document and settings, non mi funzionava pių mesn messenger e avevo qualche problemini durante la navigazione.
Ho eseguito quello che consigliate in questo forum per la disinfestazione, utilizzando mbr.exe e poi doctorweb cure it, che ha segnalato la presenza di un Troyan (cancellato) e di virus in Office messi in quarantena e poi rimossi.
Ho cancellato lle cartelle Help Assistant, e tutto funziona bene anche se il log di MBR mi da questo rėsultato:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x03A380D80
malicious code @ sector 0x03A380D83 !
PE file found in sector at 0x03A380D99 !
la differenza tra quello prima dell'infezione e questo č che non mi da probabile infezione da rootkit mentre prima lo segnalava.
Ho fatto la scansione con GMER che invece me la da ancora probabile:
GMER 1.0.15.15077 [gmer.exe] - http://www.gmer.net
Rootkit scan 2009-11-10 21:45:51
Windows 5.1.2600 Service Pack 3
---- Kernel code sections - GMER 1.0.15 ----
? C:\DOCUME~1\Utente\IMPOST~1\Temp\mbr.sys Impossibile trovare il file specificato. !
---- User code sections - GMER 1.0.15 ----
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!DialogBoxParamW 7E3A47AB 5 Bytes JMP 4027F4B1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!DialogBoxIndirectParamW 7E3B2072 5 Bytes JMP 403F295F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!MessageBoxIndirectA 7E3BA082 5 Bytes JMP 403F28E0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!DialogBoxParamA 7E3BB144 5 Bytes JMP 403F2924 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!MessageBoxExW 7E3D0838 5 Bytes JMP 403F286C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!MessageBoxExA 7E3D085C 5 Bytes JMP 403F28A6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!DialogBoxIndirectParamA 7E3D6D7D 5 Bytes JMP 403F299A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!MessageBoxIndirectW 7E3E64D5 5 Bytes JMP 402A182A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] ole32.dll!OleLoadFromStream 774F9C85 5 Bytes JMP 403F2B5C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!DialogBoxParamW 7E3A47AB 5 Bytes JMP 4027F4B1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!DialogBoxIndirectParamW 7E3B2072 5 Bytes JMP 403F295F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!MessageBoxIndirectA 7E3BA082 5 Bytes JMP 403F28E0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!DialogBoxParamA 7E3BB144 5 Bytes JMP 403F2924 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!MessageBoxExW 7E3D0838 5 Bytes JMP 403F286C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!MessageBoxExA 7E3D085C 5 Bytes JMP 403F28A6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!DialogBoxIndirectParamA 7E3D6D7D 5 Bytes JMP 403F299A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!MessageBoxIndirectW 7E3E64D5 5 Bytes JMP 402A182A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] ole32.dll!OleLoadFromStream 774F9C85 5 Bytes JMP 403F2B5C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions)
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions)
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions)
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions)
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions)
Device \FileSystem\Cdfs \Cdfs tfsnifs.sys (Direct Access Component/Sonic Solutions)
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] qeikyqm <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@DisplayName lzzuihyy
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@Description Fornisce tre servizi di gestione: il servizio Database catalogo, che serve per confermare le firme dei file di Windows; il servizio Archivio principale protetto, per aggiungere e rimuovere dal computer i certificati dell'autorit? di certificazione delle fonti attendibili; e il servizio Chiave, che aiuta a registrare i certificati nel computer. Se questo servizio ? interrotto, i servizi di gestione non funzioneranno in modo corretto. Se il servizio ? disabilitato, tutti i servizi che dipendono direttamente da questo non potranno essere avviati.
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm\Parameters@ServiceDll C:\WINDOWS\system32\fzzaq.dll
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@DisplayName lzzuihyy
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@Description Fornisce tre servizi di gestione: il servizio Database catalogo, che serve per confermare le firme dei file di Windows; il servizio Archivio principale protetto, per aggiungere e rimuovere dal computer i certificati dell'autorit? di certificazione delle fonti attendibili; e il servizio Chiave, che aiuta a registrare i certificati nel computer. Se questo servizio ? interrotto, i servizi di gestione non funzioneranno in modo corretto. Se il servizio ? disabilitato, tutti i servizi che dipendono direttamente da questo non potranno essere avviati.
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm\Parameters@ServiceDll C:\WINDOWS\system32\fzzaq.dll
---- Files - GMER 1.0.15 ----
File C:\winzip.log 70 bytes
---- EOF - GMER 1.0.15 ----
Che devo fare?????
Grazie anticipate del vostro aiuto.
Daniele
Non so come ho beccato un MBR Rootkit, mi portava alla crezione di cartelle Help Assistant nella cartella document and settings, non mi funzionava pių mesn messenger e avevo qualche problemini durante la navigazione.
Ho eseguito quello che consigliate in questo forum per la disinfestazione, utilizzando mbr.exe e poi doctorweb cure it, che ha segnalato la presenza di un Troyan (cancellato) e di virus in Office messi in quarantena e poi rimossi.
Ho cancellato lle cartelle Help Assistant, e tutto funziona bene anche se il log di MBR mi da questo rėsultato:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x03A380D80
malicious code @ sector 0x03A380D83 !
PE file found in sector at 0x03A380D99 !
la differenza tra quello prima dell'infezione e questo č che non mi da probabile infezione da rootkit mentre prima lo segnalava.
Ho fatto la scansione con GMER che invece me la da ancora probabile:
GMER 1.0.15.15077 [gmer.exe] - http://www.gmer.net
Rootkit scan 2009-11-10 21:45:51
Windows 5.1.2600 Service Pack 3
---- Kernel code sections - GMER 1.0.15 ----
? C:\DOCUME~1\Utente\IMPOST~1\Temp\mbr.sys Impossibile trovare il file specificato. !
---- User code sections - GMER 1.0.15 ----
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!DialogBoxParamW 7E3A47AB 5 Bytes JMP 4027F4B1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!DialogBoxIndirectParamW 7E3B2072 5 Bytes JMP 403F295F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!MessageBoxIndirectA 7E3BA082 5 Bytes JMP 403F28E0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!DialogBoxParamA 7E3BB144 5 Bytes JMP 403F2924 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!MessageBoxExW 7E3D0838 5 Bytes JMP 403F286C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!MessageBoxExA 7E3D085C 5 Bytes JMP 403F28A6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!DialogBoxIndirectParamA 7E3D6D7D 5 Bytes JMP 403F299A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!MessageBoxIndirectW 7E3E64D5 5 Bytes JMP 402A182A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] ole32.dll!OleLoadFromStream 774F9C85 5 Bytes JMP 403F2B5C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!DialogBoxParamW 7E3A47AB 5 Bytes JMP 4027F4B1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!DialogBoxIndirectParamW 7E3B2072 5 Bytes JMP 403F295F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!MessageBoxIndirectA 7E3BA082 5 Bytes JMP 403F28E0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!DialogBoxParamA 7E3BB144 5 Bytes JMP 403F2924 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!MessageBoxExW 7E3D0838 5 Bytes JMP 403F286C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!MessageBoxExA 7E3D085C 5 Bytes JMP 403F28A6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!DialogBoxIndirectParamA 7E3D6D7D 5 Bytes JMP 403F299A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!MessageBoxIndirectW 7E3E64D5 5 Bytes JMP 402A182A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] ole32.dll!OleLoadFromStream 774F9C85 5 Bytes JMP 403F2B5C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions)
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions)
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions)
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions)
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions)
Device \FileSystem\Cdfs \Cdfs tfsnifs.sys (Direct Access Component/Sonic Solutions)
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] qeikyqm <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@DisplayName lzzuihyy
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@Description Fornisce tre servizi di gestione: il servizio Database catalogo, che serve per confermare le firme dei file di Windows; il servizio Archivio principale protetto, per aggiungere e rimuovere dal computer i certificati dell'autorit? di certificazione delle fonti attendibili; e il servizio Chiave, che aiuta a registrare i certificati nel computer. Se questo servizio ? interrotto, i servizi di gestione non funzioneranno in modo corretto. Se il servizio ? disabilitato, tutti i servizi che dipendono direttamente da questo non potranno essere avviati.
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm\Parameters@ServiceDll C:\WINDOWS\system32\fzzaq.dll
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@DisplayName lzzuihyy
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@Description Fornisce tre servizi di gestione: il servizio Database catalogo, che serve per confermare le firme dei file di Windows; il servizio Archivio principale protetto, per aggiungere e rimuovere dal computer i certificati dell'autorit? di certificazione delle fonti attendibili; e il servizio Chiave, che aiuta a registrare i certificati nel computer. Se questo servizio ? interrotto, i servizi di gestione non funzioneranno in modo corretto. Se il servizio ? disabilitato, tutti i servizi che dipendono direttamente da questo non potranno essere avviati.
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm\Parameters@ServiceDll C:\WINDOWS\system32\fzzaq.dll
---- Files - GMER 1.0.15 ----
File C:\winzip.log 70 bytes
---- EOF - GMER 1.0.15 ----
Che devo fare?????
Grazie anticipate del vostro aiuto.
Daniele