Rootkit informattabile

[SohoMan]

Ho questo malware sul pc fisso da un paio d'anni ormai.
L'ho portato in assistenza,formattato a basso livello,nn ho risolto.
Ho usato Magicpartition,partition manager,ParagonHD,Knoppix..niente da fare.
Nell'hard disk e nel SSD ci sono delle aeree/settori protetti da riscrittura ad accesso riservato di un power user,che nn sono io.
Vorrei capire com'e`possibile che nn esiste un modo di ripristinare queste due unita`di memoria come da fabbrica.
Eppoi volevo chiedervi se questo rootkit puo`essersi installato anche in altre memorie del Pc.Ad esrmpio nella Rom,nel Bios o altre unita`di memoria.
Nn ci sono collegate ne chiavette ne altri dispositivi all'infuori del lettore Bluray,tastiera,monitor e mouse.
Ho il forte sospetto che pur cambiando SSD con uno nuovo nn risolverei il problema.
Aiutatemi a capire plz

[SohoMan]

Quote:

Originariamente inviato da SohoMan

Ho questo malware sul pc fisso da un paio d'anni ormai.
L'ho portato in assistenza,formattato a basso livello,nn ho risolto.
Ho usato Magicpartition,partition manager,ParagonHD,Knoppix..niente da fare.
Nell'hard disk e nel SSD ci sono delle aeree/settori protetti da riscrittura ad accesso riservato di un power user,che nn sono io.
Vorrei capire com'e`possibile che nn esiste un modo di ripristinare queste due unita`di memoria come da fabbrica.
Eppoi volevo chiedervi se questo rootkit puo`essersi installato anche in altre memorie del Pc.Ad esrmpio nella Rom,nel Bios o altre unita`di memoria.
Nn ci sono collegate ne chiavette ne altri dispositivi all'infuori del lettore Bluray,tastiera,monitor e mouse.
Ho il forte sospetto che pur cambiando SSD con uno nuovo nn risolverei il problema.
Aiutatemi a capire plz

Grazie a tutti per il NON aiuto eh

[Chill-Out]

Quote:

Originariamente inviato da SohoMan

Ho questo malware sul pc fisso da un paio d'anni ormai.

Quote:

Originariamente inviato da SohoMan

Grazie a tutti per il NON aiuto eh

Quanta fretta, comunque per iniziare fai un controllo con HitmanPro

http://www.hwupgrade.it/forum/showthread.php?t=2539794

[SohoMan]

Ok provero`con HitmanPro
Cmq mi facevano notare che potrebbe essersi infettato pure il bios oltre all'SSD..quindi anche con un H.Disk vergine nn risolverei.Chi mi da una mano a capire come rimuoverlo?
Sono due anni che nn si riesce a trovare una soluzione.

[l.dm]

la butto lì...
flashare il bios anche con la stessa versione oppure una più recente?

[SohoMan]

Quote:

Originariamente inviato da l.dm

la butto lì...
flashare il bios anche con la stessa versione oppure una più recente?

Gia` provato tempo fa.Non si risolve niente perche`purtroppo la Scheda madre ha un dual bios (Z68-A-Gd80 gen.3)e quindi al flash il secondo rimane intatto col virus.
Eppoi questo rootkit e`il peggiore di tutti forse mai creati..e`un exploit di nome Vitriol Vt-X
Qualsiasi removal tools non riesce a individuarlo e rimuoverlo perche`si pone come Virtual Machine con privilegi root di tipo hypervisor.
Esiste un modo per fermarlo?

[TheQ.]

l'ultimo virus che infettava alcune marche di BIOS era del 1998 o giù di lì?... che poi se hai SSD sarà forse un UEFI, non un BIOS... umm...

Comunque leggendo dell'evoluzione di quel virus:
http://punto-informatico.it/3271597/...-nel-bios.aspx
Mebromi dal bios infetterebbe l'MBR del disco fisso... quindi puoi controllare se l'MBR dopo formattazione (anche veloce o completa) cambia per vedere se si tratta di lui.

[SohoMan]

Quote:

Originariamente inviato da TheQ.

l'ultimo virus che infettava alcune marche di BIOS era del 1998 o giù di lì?... che poi se hai SSD sarà forse un UEFI, non un BIOS... umm...

Comunque leggendo dell'evoluzione di quel virus:
http://punto-informatico.it/3271597/...-nel-bios.aspx
Mebromi dal bios infetterebbe l'MBR del disco fisso... quindi puoi controllare se l'MBR dopo formattazione (anche veloce o completa) cambia per vedere se si tratta di lui.

E`molto probabile infetti anche l'Mbr.Difatti il pc ogni volta appena dopo formattato ripresenta gli stessi identici problemi.
Pero`la cosa peggiore e`che nn si limita ad annidarsi nei settori d'avvio degli Mbr,etc
il rootkit in questione sfrutta la tecnologia VT-x delle Cpu del sistema per lanciare una virtual machine con privilegi hypervisor con cui rende inutile qualsiasi tools di scan e rimozione.Difatti lavora nascosto in stealth e nn puoi riconoscerlo se nn sai quel che fa.
Ormai io ci tengo a che fare da tre anni..so quel che fa e tutto quel che rende inutile(format basso livello con distrolinux/o Dos;removal tools e AV anche in Live;etc)
Sto`tentando di rimuovere Gpu e disattivando la Vt-X dal bios provare a formattare e flashare il bios,magari dovrei provare a rendere le partizioni del SSD cryptowalled come fano i rasomware cosi`da rendergli difficile accedere alle cartelle del file system.

[NorysLintas]

Come ti ho risposto nel thread dei modem router, per ora non ti serve un dispositivo di rete firewall al momento.

Ti do una risposta rapida ma ci ragionerò per bene in settimana.

1) Scollega il pc da internet non devi collegarti più finché non risolvi
2) Scollega l'hard disk incriminato
3) Accendi il computer e premi il pulsante clear cmos sulla tua scheda madre
4) Spegni il computer muovi il jumper di reset del cmos e riaccendi
5) Riposizioni il jumper e stacchi la batteria tampone per 2 ore, scolleghi il pc da rete elettrica per 2 ore e premi i pulsanti accensione e reset qualche volta
6) Compri un hard disk nuovo oppure fai formattare di nuovo basso livello e poi cancelli la partizione mbr e ne fai fare una gpt
7) Cambi sistema operativo perché secondo me stai usando sempre lo stesso, come stai usando gli stessi driver e lo installi.
8) Colleghi solo tastiera, mouse, monitor al pc nient'altro
9) Verifichi la presenza dei sintomi

[SohoMan]

Quote:

Originariamente inviato da NorysLintas

Come ti ho risposto nel thread dei modem router, per ora non ti serve un dispositivo di rete firewall al momento.

Ti do una risposta rapida ma ci ragionerò per bene in settimana.

1) Scollega il pc da internet non devi collegarti più finché non risolvi
2) Scollega l'hard disk incriminato
3) Accendi il computer e premi il pulsante clear cmos sulla tua scheda madre
4) Spegni il computer muovi il jumper di reset del cmos e riaccendi
5) Riposizioni il jumper e stacchi la batteria tampone per 2 ore, scolleghi il pc da rete elettrica per 2 ore e premi i pulsanti accensione e reset qualche volta
6) Compri un hard disk nuovo oppure fai formattare di nuovo basso livello e poi cancelli la partizione mbr e ne fai fare una gpt
7) Cambi sistema operativo perché secondo me stai usando sempre lo stesso, come stai usando gli stessi driver e lo installi.
8) Colleghi solo tastiera, mouse, monitor al pc nient'altro
9) Verifichi la presenza dei sintomi

Ok provero`ma nn credo di riuscire a risolvere purtroppo.
Ieri ho scovato nel Pc col comando hdparm un unita`sicuramente Ata con 453 mila bytes di memoria fisica..si chiama sr0 o devices HDIO_Drive
robabilmente sara`la scheda audio integrata o la scheda di rete integrata nella motherboard.
Cmq nn si riesce a resettarla da fabbrica..al comando hdparm --dco-restore --yes-i-know-what-i-am-doing *[o nome devices] da la risposta: inappropriate ioctl for devices
Credo che l'idea migliore sarebbe sostituire Scheda madre e Cpu..ma dopo come si fa per le altre periferiche del Pc?nn si e`mai sicuri al 100%nn siano infette

[SohoMan]

Potrei linkare il regedit di Windows.
Io credo che il rootkit agisce proprio sul regedit.In particolare forse su HKEY_Classes_Root (il primo in alto).
Perche`se provo a modificare le autorizzazioni di controllo mi esce una schermata tutta bloccata patinata in cui nn posso aggiungere altri proprietari/controllori e se doppio clicco nello spazio bianco al centro mi esce un popup con il controllore attuale che e`Everyone.
Non c'e`modo di toglierlo o cambiarlo e anche mettendo su nega controllo nella prima schermata a tutti gli altri possibili proprietari cmq ha privilegi maggiori dell'account admin quello root everyone.
Quindi il virus lancia quel che vuole nel sistema indisturbato e disattiva le protezioni firewall e antivirus.Mi e`successo proprio ieri infatti col portatile con XP che ha disattivato l'Antivirus e nn te lo fa piu`abilitare.
Non so se puo`c'entrare qualcosa ma avevo un trojan BHO (~Nsu.temp)
Che sono riuscito a rimuovere con alcuni tools di quelli che mi avete consigliato.Pero`quello reindirizza solo le pagine di Internet Explorer mi pare e non puo`riuscire a modificare l'intera chiave root di sistema durante l'installazione di Windows.
Il Rescue Disk e`una strada,l'altra sarebbe fermare nel O.S.le azioni del malware,ad esempio eliminando le chiavi di sistema che infetta/usa.
Togliendo dal disco rigido ogni traccia di file snapshots e VirtualMachine.
Infine disattivando ogni accesso remoto e condivisione file tra computer e settando rigide regole di criterio amministrativo.
Anche la strada del firewall che blocca tutte le porte UDP e pacchetti Icmp in ingresso e`buona ma nn so quanto efficace.
Mi spiegava un utente in Pm che se c'e`una backdoor sfrutta il reindirizzamento server mandando una richiesta Outport che quindi riceve in automatico e aggira il firewall.
Io nn so come funziona esattamente,magari se qualcuno di voi mi spiega provo a prendere qualche contromisura per quanto possibile.

[SohoMan]

Ho provato col Kaspersky Rescue Disc..
Niente da fare,non rileva infezioni,eppure il pc e`infetto.
Quando provo ad eseguire l'update/aggiornamento mi esce: database corrupted
e si ferma l'aggiornamento
Qualcuno e`capace di darmi una mano concreta contro questo rootkit?

[fabioss87]

Se è il bios ad essere infetto ,l'unica soluzione è staccarli e riprogrammarli.

[Chill-Out]

Dal 5/10 giorno in cui hai apreto la discussione, non ho ancora visto un log dei tool utilizzati per romuovere questo fantomatico Rootkit, per cui, qui seguito le modalità per pubblicarli:

http://www.hwupgrade.it/forum/showthread.php?t=1751598

diversamente è impossibile risponderti.

[NorysLintas]

Allega i log e lancia malwarebytes antimalware in modalità chamaleon.

[SohoMan]

Quote:

Originariamente inviato da Chill-Out

Dal 5/10 giorno in cui hai apreto la discussione, non ho ancora visto un log dei tool utilizzati per romuovere questo fantomatico Rootkit, per cui, qui seguito le modalità per pubblicarli:

http://www.hwupgrade.it/forum/showthread.php?t=1751598

diversamente è impossibile risponderti.

Ok faro`questi log e li linko.
Cmq credo di avere scoperto come agisce il virus.
Ci sono delle cartelle di sistema ad uso superprivilegiato sia in Windows che in Linux.
In Windows Xp ho trovato anche una cartella Snapshots(ma nn ho mai usato programmi di virtualizzazione).
Altre cartelle le Loop0,Loop1,Blocks non sono riscrivibili.
Poi qualsiasi tipo di correzione da Root provo ad effettuare mi dice non possibile su Symbolic..come se fossero scritti in altri linguaggio.
Cmq tutte queste cartelle/partizioni comunicano tramite le Api in qualche modo le istruzioni che l'hardware deve seguire e quindi con le Ioctl e remote call.
Altro ancora nn lo sono riuscito a capire apparte un localhost 127.0.0.1 che sta sempre collegato al O.S. ma credo quello sia normale,fa parte di tutti i sistemi se nn sbaglio.
Sicuramente il virus agisce gia`internamente da solo ma tramite backdoor puo`ricevere anche altre istruzioni da un server online a cui si collega in automatico.
Se ho ben capito cosi`funzionano questi malware che sfruttano api,ioctl,remote call.
Infatti a conferma di quanto suddetto ieri mentre mi collegavo con una distrolinux a internet qualsiasi pagina provavo ad aprire mi diceva che era reindirizzata e che nn era sicuro aprirla quindi nn apriva nessun sito(neppure google).Solo con l'utilizzo di uno dei server proxy online di hidemyass sono riuscito a navigare.Questo cosa puo`voler dire?

[SohoMan]

Ho trovato questi file tra i file nascosti di sistema in C: e sembra si tratti proprio di un virus:j http://www.autorunremover.com/how-to...ler-virus.html E`collegato infatti alla cartella System Volume Information in C: che nn piuo`essere aperta.Cambiando le autorizzazioni di accesso nn si riesce cmq a cambiare il proprietario di 2 file in SVI.
Provando senza l'Antivirus manualmente dal regedit in Windows aperto/installato nn si riesce.Altra cosa invece e`cambiando le voci di registro prima di installarlo dal boot X: di Windows.
Io nn ho ben capito come funziona..praticamente il DVD di W7 lancia prima in memoria virtuale un folder (X:appunto)con i files d'installazione che risultano gia`infetti prima ancora dell'installazione..
Ma chi li infetta col $RecyclerVirus?Il bios della Schedamadre?Il lettore Blu-Ray?le Api/Usb integrate della Mobo?altro?
Infine nn credo agisca da solo questo virus nel mio pc,e`potenziato/coadiuvato dall'Hyper-V di Windows che e`infetto a sua volta e quindi gestisce Netbios,Lan,file condivisi,firewall ICS, connessioni remote internet,etc.
La cosa brutta e`che io nn ho la piu`pallida idea di come bloccare l'infezione senza compromettere il regedit prima di installare Windows e nn so se un'antivirus sia capace di farlo in quella fase(io ci accedo usando l'opzione di ripristino/recovery file Windows.
Scusatemi se nn riesco ad allegare Log ed info piu`dettagliate ma a stento riuscivo a collegarmi con linux..con Windows era proprio impossibile.Se riesco ad arginare il problema del $Recycler/HyperVector ve li alleghero`sicuro.
Spero che qualcuno che ci sia gia`passato mi puo`dire come eliminare le infezioni.
Grazie infinite a tutti x qualsiasi aiuto.

[Unax]

non ti resta che far fare al pc la fine di terminator

buttarlo dentro ad una colata di acciaio fuso

[lesotutte77]

hai provato l'antivirus virit di tgsoft?