View Full Version : stranissimo rootkit individuato e poi scomparso? senza disinfezione
stubborn74
14-10-2012, 02:27
windows vista 32 bit.
come sospetto avevo notato stani rallentamenti di browser e hardware ma non avevo sospetti specifici in quanto tutte le mie regolari navigazioni si basano su facebook youtube e stop... non scarico cose strane,non ho email (cel ho ma non me ne faccio nulla x ora).
ieri successa una cosa strana,il pc era acceso (e connesso a internet) con la batteria quasi scarica ma con l alimentazione inserita,mi sono allontanato per qualke decina di minuti e ho trovato il pc per terra con la batteria staccata (fortunatamente non s rotto... il gatto c salito sopra e l ha rovesciato per terra. cosa c di strano? l ho riacceso,e appena loggato mi trovo l antivirus (avira) che sembra impazzito... l ombrellino si apre e si chiude per circa 6 - 7 volte ma nessun rilevamento...faccio un paio di scansioni senza trovare nulla,poi mi viene un dubbio e vado nella cartella temp in locale,e vedo questo strano contenuto (immagine sotto)
http://img594.imageshack.us/img594/1552/catturaxc3.jpg
stubborn74
14-10-2012, 04:29
dentro c erano file stranissimi,uno l ho aperto con il notepad
http://img404.imageshack.us/img404/6889/catturaxc6.jpg
poi ho aperto il task manager e frugando frai vari processi n esecuzione ho trovato questi... non-existent process
http://img826.imageshack.us/img826/1374/catturaxc5.jpg
allora mi do un occhiata anche ad alcuni miei file,e trovo questa condivisione con utenti sconosciuti... (mai impostato desktop remoti o cose simili) e chi accidenti l ha impostati se il pc lo uso solo io? la passw la conosco solo io.
http://img641.imageshack.us/img641/1536/catturaxc2.jpg
cos decido di dare un occhiata al log di windows firewall sulle connessioni rilevate durante la mia assenza... (va impostato dal firewall con protezione avanzata,se no non lo genera di default) e per i sistemi windows si trova nella directory C:\Windows\System32\LogFiles\pfirewall.log
e vedo numerose connessioni con strani indirizzi IP,cos ho fatto qualche googlata e alcuni li ho trovati su un sito di norton in inglese che dice che sono molto pericolosi e che generalmente vengono usati dai rootkit.
vado di corsa qu nel sito hwupgrade e cerco la guida di rimozione,la eseguo e i risultati sono tutti nulli apparte quello di Gmer che qualcosa in effetti trova ma non mi da nessuna possibilit di rimozione
http://img715.imageshack.us/img715/4439/catturaxc7bis.jpg
http://img819.imageshack.us/img819/982/catturaxc8.jpg
su questo pc non ho cose importanti,e di sicuro non lo uso per fare transazioni bancarie ocose del genere (l haker pu stare fresco),ma.. voglio sbarazzarmi di questo ospite indesiderato e di tutti i suoi tentacoli (sperando non siano arrivati al bios se no sono fottuto,o meglio,il pc fottuto).
mi date gentilmente una mano?
in attesa di istruzioni premetto che i log delle varie scansioni li ho tutti a disposizione e ringrazio anticipatamente.
Chill-Out
14-10-2012, 13:09
mi date gentilmente una mano?
in attesa di istruzioni premetto che i log delle varie scansioni li ho tutti a disposizione e ringrazio anticipatamente.
Allegali :)
stubborn74
14-10-2012, 18:52
mbr.log (http://wikisend.com/download/955454/mbr.log)
NFix_2012-10-12_23-16-17.log (http://wikisend.com/download/338508/NFix_2012-10-12_23-16-17.log)
GmerLog.txt (http://wikisend.com/download/894872/GmerLog.txt)
ComboFix.txt (http://wikisend.com/download/870342/ComboFix.txt)
sectorinfected.txt (http://wikisend.com/download/534928/sectorinfected.txt)
TDSSKiller.2.8.10.0_12.10.2012_10.17.17_log.txt (http://wikisend.com/download/811662/TDSSKiller.2.8.10.0_12.10.2012_10.17.17_log.txt)
Chill-Out
15-10-2012, 13:17
Nuovo log di Gmer
stubborn74
15-10-2012, 15:38
Nuovo log di Gmer
c stato un crash di Gmer
http://imageshack.us/a/img849/5151/gmerscrash.jpg
eccolo il log aggiornato GmerLog2.log (http://wikisend.com/download/230252/GmerLog2.log)
Chill-Out
16-10-2012, 12:15
Per scruplo fai scansione con HitmanPro 3.6 http://www.surfright.nl/it/downloads/ al termine della scansione salva ed allega il log.
stubborn74
16-10-2012, 19:23
Per scruplo fai scansione con HitmanPro 3.6 http://www.surfright.nl/it/downloads/ al termine della scansione salva ed allega il log.
spiacente, HitmanPro crasha,ho provato 5 volte,non va.
che faccio?
stubborn74
17-10-2012, 22:12
chillout,attendo istruzioni
Chill-Out
18-10-2012, 12:43
spiacente, HitmanPro crasha,ho provato 5 volte,non va.
che faccio?
Potresti essere un pochino pi dettagliato?
stubborn74
19-10-2012, 09:19
Potresti essere un pochino pi dettagliato?
dimmi esattamente cosa vuoi sapere e io ti dico tutto ci che so,pensavo di aver scritto piu o meno tutto :stordita:
se volevi sapere di hitmanpro,ho provato a lanciarlo sia normale che amministratore,sia in provvisoria che in sessione normale,va in crash sempre. ho provato anche a riavviare il processo explorer.exe ma non c verso,non parte
spiacente, HitmanPro crasha,ho provato 5 volte,non va.
che faccio?
permettimi una battuta anche se probabilmente dir cose che hai gi battuto in precedenza:
HitmanPro lancialo da un account amministratore.
Tenta inoltre la modalit "forzata" = tieni premuto il tasto CTRL di sinistra mentre provi a lanciare appunto HitmanPro (vedi anche qui (http://hitmanpro.wordpress.com/2010/03/16/hitman-pro-in-force-breach-mode/))
Prova anche TDSSKiller (http://support.kaspersky.com/faq/?qid=208283363) eventualmente da modalit provvisoria (vedi ad es qu (http://support.kaspersky.com/faq/?qid=208283416))
stubborn74
19-10-2012, 13:03
permettimi una battuta anche se probabilmente dir cose che hai gi battuto in precedenza:
HitmanPro lancialo da un account amministratore.
Tenta inoltre la modalit "forzata" = tieni premuto il tasto CTRL di sinistra mentre provi a lanciare appunto HitmanPro (vedi anche qui (http://hitmanpro.wordpress.com/2010/03/16/hitman-pro-in-force-breach-mode/))
Prova anche TDSSKiller (http://support.kaspersky.com/faq/?qid=208283363) eventualmente da modalit provvisoria (vedi ad es qu (http://support.kaspersky.com/faq/?qid=208283416))
l unica che non avevo provato era questa con CTRL sinistro,ho provato poco fa ma non va nemmeno cos.....
una persona mi ha detto anche di provare a modificare il file e cambiare le autorizzazioni,ho fatto anche quello,ma c qualcosa a livello di sistema che mi ipedisce di fare partire hitmanpro,ora ho provato persino prevx (programma antipaticissimo dal punto di vista della sua politica di utilizzo) e non ha trovato un tubo.
non so proprio piu dove sbattere la testa,solo tu e chillout vi siete interexati al mio problema,sinceramente pensavo ci fossero piu persone che aiutavano in questo sito,ne ho abbandonato un altro apposta per iscrivermi qui... mi avevano detto testuali parole: "registrati su hwupgrade,c un sacco di gente ingamba,come metti un post arrivano subito un sacco di soluzioni".
stubborn74
19-10-2012, 13:15
ora cosa posso fare? formattare non basta con i rootkit,lo so per esperienza... e se fosse nel bios?
Chill-Out
19-10-2012, 13:23
non so proprio piu dove sbattere la testa,solo tu e chillout vi siete interexati al mio problema,sinceramente pensavo ci fossero piu persone che aiutavano in questo sito,ne ho abbandonato un altro apposta per iscrivermi qui... mi avevano detto testuali parole: "registrati su hwupgrade,c un sacco di gente ingamba,come metti un post arrivano subito un sacco di soluzioni".
2 mi sembrano sufficienti in cosinderazione del fatto che tutii coloro che danno una mano mettono a disposizione il proprio tempo libero
ora cosa posso fare? formattare non basta con i rootkit,lo so per esperienza... e se fosse nel bios?
Scarica questo file http://public.avast.com/~gmerek/aswMBR.exe
- doppio click su aswMBR.exe
- clicca su Scan per lanciare la scansione
- al termina clicca su Save log e successivamente su Exit
il log lo trovi sul Desktop
stubborn74
19-10-2012, 14:46
2 mi sembrano sufficienti in cosinderazione del fatto che tutii coloro che danno una mano mettono a disposizione il proprio tempo libero
Scarica questo file http://public.avast.com/~gmerek/aswMBR.exe
- doppio click su aswMBR.exe
- clicca su Scan per lanciare la scansione
- al termina clicca su Save log e successivamente su Exit
il log lo trovi sul Desktop
aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-10-19 14:30:00
-----------------------------
14:30:00.080 OS Version: Windows 6.0.6002 Service Pack 2
14:30:00.080 Number of processors: 2 586 0xF0D
14:30:00.081 ComputerName: PC-POLTEL UserName: poltel
14:30:01.075 Initialize success
14:35:40.124 AVAST engine defs: 12092501
14:35:43.546 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-4
14:35:43.549 Disk 0 Vendor: WDC_WD1600BEVS-60RST0 04.01G04 Size: 152627MB BusType: 3
14:35:43.580 Disk 0 MBR read successfully
14:35:43.583 Disk 0 MBR scan
14:35:43.625 Disk 0 Windows VISTA default MBR code
14:35:43.649 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 61412 MB offset 63
14:35:43.727 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 83705 MB offset 125772949
14:35:43.972 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 7506 MB offset 297202500
14:35:44.043 Disk 0 scanning sectors +312576705
14:35:44.197 Disk 0 scanning C:\Windows\system32\drivers
14:36:05.684 Service scanning
14:36:08.156 Modules scanning
14:36:17.722 Disk 0 trace - called modules:
14:36:18.102 ntkrnlpa.exe CLASSPNP.SYS disk.sys ataport.SYS hal.dll
14:36:18.108 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x84de6578]
14:36:18.114 3 CLASSPNP.SYS[87dab8b3] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-4[0x8484ab98]
14:36:21.322 AVAST engine scan C:\Windows
14:36:25.300 AVAST engine scan C:\Windows\system32
14:46:59.674 AVAST engine scan C:\Windows\system32\drivers
14:47:47.974 AVAST engine scan C:\Users\poltel
14:48:35.805 File: C:\Users\poltel\AppData\Local\Google\Chrome\User Data\Default\Preferences **SUSPICIOUS**
14:49:01.469 File: C:\Users\poltel\AppData\Local\temp\av4989.tmp **HIDDEN**
14:49:08.044 AVAST engine scan C:\ProgramData
14:49:22.807 Scan finished successfully
14:51:56.908 Disk 0 MBR has been saved successfully to "C:\Users\poltel\Desktop\MBR.dat"
14:51:56.916 The log file has been saved successfully to "C:\Users\poltel\Desktop\aswMBR.txt"
aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-10-19 14:09:25
-----------------------------
14:30:00.952 OS Version: Windows 6.0.6002 Service Pack 2
14:30:00.952 Number of processors: 2 586 0xF0D
14:30:25.953 ComputerName: PC-POLTEL UserName: poltel
14:30:26.657 Initialize success
14:30:36.053 AVAST engine defs: 12092501
14:30:39.202 The log file has been saved successfully to "C:\Users\poltel\Desktop\aswMBR.txt"
Chill-Out
19-10-2012, 14:59
Pulito
stubborn74
19-10-2012, 15:04
e con GMER come la mettiamo?
http://img715.imageshack.us/img715/4439/catturaxc7bis.jpg
fammi capire una cosa:
ma da modalit provvisoria hai provato a lanciare i tool che ti sono stati indicati?
stubborn74
19-10-2012, 15:38
fammi capire una cosa:
ma da modalit provvisoria hai provato a lanciare i tool che ti sono stati indicati?
certo,l ho fatto per tutti,apparte per quest ultimo di AVAST!
secondo me non normale che (ad es) HP non parta...
C' poi una voce HIDDEN nel report di avast...
Non lo so, ma secondo me non hai risolto del tutto...
Asp
boh, fai un giro di Malwarebyte...
Che operazioni hai compiuto per ripristinare i permessi che dicevi non ti risultavano attribuiti?
"registrati su hwupgrade,c un sacco di gente ingamba,come metti un post arrivano subito un sacco di soluzioni".
capirai che, come ti ha detto il moderatore che peraltro di fatto l'unica anima pia che si preoccupa di seguirvi, noi diamo i ns modesti contributi in f del ns tempo libero.
Per quanto mi riguarda, poi, intervengo pochissimo vuoi perch preferisco evitare sul nascere problemi come questi (=infettarsi, per quello che mi possibile), vuoi perch non ho la minima voglia di fare help desk...n mi intendo pi di tanto della materia.
Ringrazia se 2 persone diverse per ora ti hanno risposto...;)
sono un Santo e, pertanto, ti ho trovato anche questo tool lanciabile da DOS:
HiddenFsReader (http://www.eset.com/download/utilities/detail/family/173/)
Prova...
(PS: il fine del tool sopra quello di verificare la presenza di eventuali partizioni nascoste)
stubborn74
20-10-2012, 08:32
sono un Santo e, pertanto, ti ho trovato anche questo tool lanciabile da DOS:
HiddenFsReader (http://www.eset.com/download/utilities/detail/family/173/)
Prova...
(PS: il fine del tool sopra quello di verificare la presenza di eventuali partizioni nascoste)
allora,innanzitutto ovviamente grazie per i tentativi di help desk,comunque andr la cosa bene tentare perch la cosa peggiore sicuramente avere un rootkit nel computer. avrei una domanda... hai scritto che il tool (ke ho appena scaricato) lanciabile da comando dos...
essendo io ancor piu profano di voi chiedo: come si lancia un tool da dos? :stordita:
stubborn74
20-10-2012, 08:48
ho provato a fare partire il tool di eset che mi hai gentilmente fornito... non ne vuole sapere nemmeno lui di girare,si apre una finestra nera e poi si chiude ma non parte. :muro: :muro: :muro:
il tool non parte da windows...
Semplicemente, al boot della macchina premi a ripetizione il tasto F8 sperando che tra le varie voci ti compaia la possibilit di lanciare appunto il prompt dei comandi (a regola, start windows with command prompt), in caso contrario la storia pi laboriosa.
Secondo me, a questo punto fai prima a formattare (a basso livello) piallando di conseguenza anche il MBR...
stubborn74
20-10-2012, 12:33
il tool non parte da windows...
Semplicemente, al boot della macchina premi a ripetizione il tasto F8 prompt dei comandi (a regola, start windows with command prompt)
fin qu ci arrivo,ma da prompt dei comandi qual il comando? :stordita: :stordita: :stordita:
a regola sufficiente spostarsi nella locazione del file e scrivere il nome dell'eseguibile seguito da "enter".
Prova eventualmente a digitare il nome seguito da "?" per vedere se c' qualche comando particolare...
Chill-Out
20-10-2012, 13:48
Secondo me, a questo punto fai prima a formattare (a basso livello) piallando di conseguenza anche il MBR...
Gmer sfarlocca
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: WDC_WD1600BEVS-60RST0 rev.04.01G04 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-4
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
stubborn74
20-10-2012, 19:47
Gmer sfarlocca
GMER 1.0.15.15227 - http://www.gmer.net
Rootkit quick scan 2012-10-20 19:04:46
Windows 6.0.6002 Service Pack 2
Running: gmer.exe; Driver: C:\Users\poltel\AppData\Local\Temp\uxlcapoc.sys
---- Disk sectors - GMER 1.0.15 ----
Disk \Device\Harddisk0\DR0 sector 00: MBR rootkit code detected
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Gestione filtri file system Microsoft/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Runtime framework driver modalit kernel/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
--------------------------------------------------------------------------------------------------------------------------------------
(SETTORE INCRIMINATO COPIATO DA GMER)
3м |ؾ | Ph ~ |͈V UFF AU]rUu tFf`~ t&fh fvh h |h h BV ͟Ğ븻 |V vNnfasN ~ U2V ]뜁>}Uunv d `x dq f#u;fTCPAu2r,fh fh fh fSfSfUfh fh | fah Z2 | ***2 < t +d $$Invalid partition table Error loading operating system Missing operating system bz"B"B ? $ $7
D} U
http://img26.imageshack.us/img26/3048/doporesetrootkit.jpg
stubborn74
20-10-2012, 19:54
a regola sufficiente spostarsi nella locazione del file e scrivere il nome dell'eseguibile seguito da "enter".
Prova eventualmente a digitare il nome seguito da "?" per vedere se c' qualche comando particolare...
non funziona in tutti i modi,ho fatto che scaricare il file sul desktop,quindi di conseguenza il suo percorso era C:/users/nome utente/desktop/nome file
fatto da prompt dei comandi in console di ripristino mi dice che il comando non valido.
sar,ma forse su win vistax86 non va questa procedura? boo....
comq che tempo fa a lucca? io il mese scorso ero in darsena :cool:
Chill-Out
21-10-2012, 12:40
GMER 1.0.15.15227 - http://www.gmer.net
Rootkit quick scan 2012-10-20 19:04:46
Windows 6.0.6002 Service Pack 2
Running: gmer.exe; Driver: C:\Users\poltel\AppData\Local\Temp\uxlcapoc.sys
---- Disk sectors - GMER 1.0.15 ----
Disk \Device\Harddisk0\DR0 sector 00: MBR rootkit code detected
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Gestione filtri file system Microsoft/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Runtime framework driver modalit kernel/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
--------------------------------------------------------------------------------------------------------------------------------------
(SETTORE INCRIMINATO COPIATO DA GMER)
3м |ؾ | Ph ~ |͈V UFF AU]rUu tFf`~ t&fh fvh h |h h BV ͟Ğ븻 |V vNnfasN ~ U2V ]뜁>}Uunv d `x dq f#u;fTCPAu2r,fh fh fh fSfSfUfh fh | fah Z2 | ***2 < t +d $$Invalid partition table Error loading operating system Missing operating system bz"B"B ? $ $7
D} U
Appunto
non funziona in tutti i modi,ho fatto che scaricare il file sul desktop,quindi di conseguenza il suo percorso era C:/users/nome utente/desktop/nome file
fatto da prompt dei comandi in console di ripristino mi dice che il comando non valido.
Prova a copiare il file .exe in C.
Poi apri un CMD come amministratore ed esegui:
C:\ESETHfsReader.exe e premi invio.
(dovrebbe funzionare anche su Vista questo tool)
stubborn74
21-10-2012, 16:59
Prova a copiare il file .exe in C.
Poi apri un CMD come amministratore ed esegui:
C:\ESETHfsReader.exe e premi invio.
(dovrebbe funzionare anche su Vista questo tool)
ora provo
si, a regola il tool della ESET dovrebbe servire a lavare proprio il dubbio circa l'esistenza di un'eventuale partizione nascosta in cui si annidano le componenti dei Rootkit MBR...
C' stato detto, cmq, che nel tuo sistema questa parte di infezione quantomeno non esiste (di fatto, dunque, il Rootkit debellato).
Allo stesso tempo, x, gli effetti disastrosi di quest'infezione sono visibili in tutta la sua virulenza perch, stando almeno alle tue parole, non ti funzionano una marea di programmi (e HitmanPro, e...).
Un PC cosi', sinceramente, necessita secondo me di un trattamento particolare (= ripartire da 0) perch a casa mia non lo vorrei certo...
Per il futuro, fai tesoro di quest'esperienza e cerca di premunirti battendo altre strade per proteggere la tua macchina.
Sul tool che ho indicato, ESET non presenta uno straccio di documentazione ma si limita a segnalare che stato sviluppato proprio per indagare, vedi anche qui (http://blog.eset.com/2012/10/11/defeating-anti-forensics-in-contemporary-complex-threats)...e il suo seguito (http://blog.eset.com/2012/10/18/olmasco-bootkit-next-circle-of-tdl4-evolution-or-not) visto che le cose sono sempre in continua evoluzione...:fagiano:
Sorry..
ho visto che stai portando avanti la solita discussione anche su Megalab.
Una cosa:
il comando corretto BootRec /RebuildBcd e NON BootRec /Rebuildcd...
O li copi esatti, o come non provare...
stubborn74
21-10-2012, 19:04
ho visto che stai portando avanti la solita discussione anche su Megalab.
Una cosa:
il comando corretto BootRec /RebuildBcd e NON BootRec /Rebuildcd...
O li copi esatti, o come non provare...
beh,non che fosse il caso di reclamizzare il fatto che sto approfondendo l argomento su un altro forum,ad ogni modo (se leggi bene il tread alla seconda pagina),vedrai che il comando BootRec /RebuildCD mi stao indicato cos com ,difatti l ho segnalato io che era sbagliato. e se continui sempre sulla seconda pagina alla fine,vedrai che ho cercato il settore infetto che mi segnala GMER e l ho trovato.
una cosa importanfe da sapere : il mio pc funziona bene,apparte le questioni piu evvidenti.
e in ogni caso la cosa migliore quella di estirpare il rootkit ovunque esso sia,se fosse nel bios come mebromi io il bios lo sostituisco. di certo non mi fermo sinche GMER (tool che negli stati uniti viene dato infallibile al 99,8 %) non mi dir che tutto pulito.
traduci il mio nick da inglese a italiano e capirai cosa intendo :muro:
stubborn74
21-10-2012, 19:14
p.s.
il sistema di AKO per far partire il programma di eset ha funzionato,ma impossibile che ci abbia messo solo una frazione di secondo a finire,quindi non do fiducia a quel tool
stubborn74
22-10-2012, 16:39
eseguito gmer in console di ripristino (con cd di windows)
http://img839.imageshack.us/img839/9535/snc00095d.jpg
vBulletin® v3.6.4, Copyright ©2000-2026, Jelsoft Enterprises Ltd.