Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[pcinforma]

Per Chill-out il mio S.O. xp professional 2002, service pack 3, 512 Mb Ram.

Ti chiedo una informazione urgente.
Miracolosamente il portatile si è riavviato in modalità normale, però nel task manager c' è un utente kchwwwGIUBFD che l 'ho trovato anche in risorse computer-gestione computer- utenti e gruppi locali- users in cui appare come amministratore.
Ti chiedo semplicemente, poichè in quel percorso non si elimina, se posso interrompere il processo suddetto nel task manager che è associato a 2 miei programmi Tvsukernel.exe (del mio portatile Lenovo) e Uacxecuter.exe sempre del Lenovo, prima di ricollegarmi alla rete.

Sono tornato in provvisoria e mi è risparito antonio dal task. Anche quell' utente kchwwwGIUBFD è sparito ed anche in utenti e gruppi locali users non c' è.
Naturalmente devo finire la scansione con DrWEb Cureit, ma per la ragione di cui sopra aspetto.
Grazie mille

[Nimrod1991]

LOG GMER

Download Link---->http://wikisend.com/download/603734/LogGmer.log

Forum Link---> LogGmer.log

LOG PREVX

Download Lik---> http://wikisend.com/download/504994/LogPrevx.log

Forum Link---> LogPrevx.log


Ho anche la cartella HelpAssistant nei profili



Prevx ha trovato dei file infetti ma tra di questi NON cè il file del Rootkit e quei file era possibile eliminarli solo tramite l'acquisto di licenza. Per questo il log di Prevx è solo 1,dato che non potevo eseguire la pulizia.

[Chill-Out]

Quote:

Originariamente inviato da pcinforma

Per Chill-out il mio S.O. xp professional 2002, service pack 3, 512 Mb Ram.

Ti chiedo una informazione urgente.
Miracolosamente il portatile si è riavviato in modalità normale, però nel task manager c' è un utente kchwwwGIUBFD che l 'ho trovato anche in risorse computer-gestione computer- utenti e gruppi locali- users in cui appare come amministratore.
Ti chiedo semplicemente, poichè in quel percorso non si elimina, se posso interrompere il processo suddetto nel task manager che è associato a 2 miei programmi Tvsukernel.exe (del mio portatile Lenovo) e Uacxecuter.exe sempre del Lenovo, prima di ricollegarmi alla rete.

Sono tornato in provvisoria e mi è risparito antonio dal task. Anche quell' utente kchwwwGIUBFD è sparito ed anche in utenti e gruppi locali users non c' è.
Naturalmente devo finire la scansione con DrWEb Cureit, ma per la ragione di cui sopra aspetto.
Grazie mille

Allega il log di CureIt

[Chill-Out]

Quote:

Originariamente inviato da Nimrod1991

LOG GMER

Download Link---->http://wikisend.com/download/603734/LogGmer.log

Forum Link---> LogGmer.log

LOG PREVX

Download Lik---> http://wikisend.com/download/504994/LogPrevx.log

Forum Link---> LogPrevx.log


Ho anche la cartella HelpAssistant nei profili



Prevx ha trovato dei file infetti ma tra di questi NON cè il file del Rootkit e quei file era possibile eliminarli solo tramite l'acquisto di licenza. Per questo il log di Prevx è solo 1,dato che non potevo eseguire la pulizia.

Fai scansione con DrWeb CureIt esattamente come indicato in Guida ed allega il log.

[Boooooo]

Ciao a tutti, mi scuso se sarò molto fumoso e non seguirò il protocollo postando i log ma purtroppo il notebook infetto non mi è sottomano.
Confido ugualmente nell'aiuto di qualcuno.

Provando molti tool per "disinfestare" un notebook sono saltati fuori vari nomi di trojan ecc tutti rimossi, quello che (credo) mi sia rimasto è il rootkit Olmarik.

Il notebook essenzialmente mantiene tutte le funzionalità, elenco i tool per i quali il sistema risulta assolutamente pulito (capisco che sembra incredibile questa cosa):
-spybot
-ESET Smart Security 4.0
-Prevx 3.0
-Norman SinowalMBR Cleaner
-Stealth MBR rootkit detector
-Dr.Web CureIt!
-Combofix (non ci ho capito molto mi ha stanato diverse cose ma alla fine il problema rimane)
-hijackthis (ripultito anche quello ovviamente non ho la garanzia della correttezza del 100% ma direi quasi)

Cosa c'è allora che non va??
1) Non appena apro un browser qualunque E INIZIO A NAVIGARE (ovvero se rimango semplicemente collegato ad internet e non mi metto a navigare il problema non si presenta) NOD32 inizia a mandarmi degli alert continui in cui mi informa che sta bloccando degli indirizzi internet sospetti.
2) quasi in contemporanea la cartella "C:\Documents and Settings\XXX\Local Settings\Temp" si riempie con una 30ina di file .bin chiamati con i nomi dei paesi! (per esempio Italy.bin Spain.bin ecc)
3)Alcune siti sembrano bloccati (per esempio se avete presente la form del sito di hijackthis per inserire il log e farselo analizzare, alla pressione del bottone "analizza" non si ottiene risposta, ed ho appurato che è il 100% colpa del notebook semi-infetto ovvero con un altro notebook e stessa connessione internet il problema non si pone)
4)Ho provato queste 4 utility
-eSage Lab TDSS remover
-ESET Win32/Olmarik Fixer
-Kaspersky TDSSKiller
-Norman Cleaner TDSS

Per le prime DUE non risulto assolutamente infetto (per l'ESET Win32/Olmarik Fixer ero inizialmente positivo, poi curato), per le altre due si! In particolare "Kaspersky TDSSKiller" durante la scansione del "Kernel memory" mi rileva un TDSS Rootkit in C:\WINDOWS\system32\drivers\atapi.sys e mi dice che verrà corretto con il prossimo riavvio (cosa falsissima).

Idem per il "Norman Cleaner TDSS" che però non mi indica precisamente alcun file ma dice semplicemente di aver trovato e corretto (anche qui cosa falsissima) un rootkit di terza generazione Rootkit TDL3.

Che fare? Visto che sembrerebbe rimanere solo questo atapi.sys corrotto ho pensato di ripristinarlo dal CD di windows. Ovvero, seguendo una guida, da console di ripristino ho fatto

cd system32\drivers
ren atapi.sys atapi.old
expand X:\i386\atapi.sy_

Ma ovviamente la cosa non ha funzionato (e mi fa pensare che anche una formattazione non risolva, come ho letto altrove servirebbe una formattazione di basso livello che vorrei evitare e non credo io sia in grado di fare)

Ora che ci penso il "Norman Cleaner TDSS" ha salvato un log in cui indica la presenza di questo rootkit in 3 files
-atapi.sys
-acpi.sys
-classpnp.sys (o qualcosa di simile, ora in questo momento ricordo era una file che terminava in "..pnp.sys")

ed io ho rimpiazzato (invano) solo atapi.sys.
Avrà senso rimpiazare anche gli altri 2?

Da console di ripristino posso fare qualcos'altro? Per esempio con il comando "fixmbr" rischio qualcosa?

Perché me lo sento che il sistema è quasi pulito c'è solo questa "piccola" cosa di atapi.sys ma che mi sta facendo uscire di testa da 2 giorni


edit: credo che il mio amico abbia beccato esattamente questo
http://www.pcalsicuro.com/main/2010/...a-senso-unico/

[Nimrod1991]

http://wikisend.com/download/494948/cureit filtrato.txt


cureit filtrato.txt


Ecco i File di DRWEB filtrati!

[Boooooo]

Quote:

Originariamente inviato da Boooooo

Ciao a tutti, mi scuso se sarò molto fumoso e non seguirò il protocollo postando i log ma purtroppo il notebook infetto non mi è sottomano.
Confido ugualmente nell'aiuto di qualcuno.

Provando molti tool per "disinfestare" un notebook sono saltati fuori vari nomi di trojan ecc tutti rimossi, quello che (credo) mi sia rimasto è il rootkit Olmarik.

Il notebook essenzialmente mantiene tutte le funzionalità, elenco i tool per i quali il sistema risulta assolutamente pulito (capisco che sembra incredibile questa cosa):
-spybot
-ESET Smart Security 4.0
-Prevx 3.0
-Norman SinowalMBR Cleaner
-Stealth MBR rootkit detector
-Dr.Web CureIt!
-Combofix (non ci ho capito molto mi ha stanato diverse cose ma alla fine il problema rimane)
-hijackthis (ripultito anche quello ovviamente non ho la garanzia della correttezza del 100% ma direi quasi)

Cosa c'è allora che non va??
1) Non appena apro un browser qualunque E INIZIO A NAVIGARE (ovvero se rimango semplicemente collegato ad internet e non mi metto a navigare il problema non si presenta) NOD32 inizia a mandarmi degli alert continui in cui mi informa che sta bloccando degli indirizzi internet sospetti.
2) quasi in contemporanea la cartella "C:\Documents and Settings\XXX\Local Settings\Temp" si riempie con una 30ina di file .bin chiamati con i nomi dei paesi! (per esempio Italy.bin Spain.bin ecc)
3)Alcune siti sembrano bloccati (per esempio se avete presente la form del sito di hijackthis per inserire il log e farselo analizzare, alla pressione del bottone "analizza" non si ottiene risposta, ed ho appurato che è il 100% colpa del notebook semi-infetto ovvero con un altro notebook e stessa connessione internet il problema non si pone)
4)Ho provato queste 4 utility
-eSage Lab TDSS remover
-ESET Win32/Olmarik Fixer
-Kaspersky TDSSKiller
-Norman Cleaner TDSS

Per le prime DUE non risulto assolutamente infetto (per l'ESET Win32/Olmarik Fixer ero inizialmente positivo, poi curato), per le altre due si! In particolare "Kaspersky TDSSKiller" durante la scansione del "Kernel memory" mi rileva un TDSS Rootkit in C:\WINDOWS\system32\drivers\atapi.sys e mi dice che verrà corretto con il prossimo riavvio (cosa falsissima).

Idem per il "Norman Cleaner TDSS" che però non mi indica precisamente alcun file ma dice semplicemente di aver trovato e corretto (anche qui cosa falsissima) un rootkit di terza generazione Rootkit TDL3.

Che fare? Visto che sembrerebbe rimanere solo questo atapi.sys corrotto ho pensato di ripristinarlo dal CD di windows. Ovvero, seguendo una guida, da console di ripristino ho fatto

cd system32\drivers
ren atapi.sys atapi.old
expand X:\i386\atapi.sy_

Ma ovviamente la cosa non ha funzionato (e mi fa pensare che anche una formattazione non risolva, come ho letto altrove servirebbe una formattazione di basso livello che vorrei evitare e non credo io sia in grado di fare)

Ora che ci penso il "Norman Cleaner TDSS" ha salvato un log in cui indica la presenza di questo rootkit in 3 files
-atapi.sys
-acpi.sys
-classpnp.sys (o qualcosa di simile, ora in questo momento ricordo era una file che terminava in "..pnp.sys")

ed io ho rimpiazzato (invano) solo atapi.sys.
Avrà senso rimpiazare anche gli altri 2?

Da console di ripristino posso fare qualcos'altro? Per esempio con il comando "fixmbr" rischio qualcosa?

Perché me lo sento che il sistema è quasi pulito c'è solo questa "piccola" cosa di atapi.sys ma che mi sta facendo uscire di testa da 2 giorni


edit: credo che il mio amico abbia beccato esattamente questo
http://www.pcalsicuro.com/main/2010/...a-senso-unico/

scusate nel mio sproloquio ho dimenticato di dire che tra le cose che non vanno c'è gmer, nel senso che durante la scansione restituisce una schermata blue velocissima e si riavvia.

Tra le altre cose ho provato anche "Hitman pro" che si vanta tanto di debellare questi rootkit TDL3 ma a me non sembra affatto

[Chill-Out]

Quote:

Originariamente inviato da Nimrod1991

http://wikisend.com/download/494948/cureit filtrato.txt


cureit filtrato.txt


Ecco i File di DRWEB filtrati!

Allega nuovo log di Prevx

[Boooooo]

stavo leggendo in un forum in inglese che rimpiazzando il file atapi.sys si risolve ma non è un semplice rimpiazzo da console di ripristino: bisogna mettere offline il vecchio atapi.sys mediante una chiave di registro poi sostituirlo e rimetterlo online ma sinceramente non ci ho capito una mazza

[Chill-Out]

Quote:

Originariamente inviato da Boooooo

stavo leggendo in un forum in inglese che rimpiazzando il file atapi.sys si risolve ma non è un semplice rimpiazzo da console di ripristino: bisogna mettere offline il vecchio atapi.sys mediante una chiave di registro poi sostituirlo e rimetterlo online ma sinceramente non ci ho capito una mazza

Ciao, trattasi sempre di un Rootkit ma non del MBR Rootkit bensì del TDL3 ti suggerisco di seguire questa procedura http://www.hwupgrade.it/forum/showpo...postcount=2694 anche se in parte l'hai fatta (in ogni caso servono i log) che puoi allegare qui http://www.hwupgrade.it/forum/showthread.php?t=2177137

[Boooooo]

grazie mille, scusate se ho sbagliato discussione

[pcinforma]

Gentile Chill-out, purtroppo ieri ho modificato il mio utente Antonio con diritti di amministratore in guest.
E all' avvio di Dr Web appare una finestrina di windows con la sigla cn78zxp.

Il messaggio recita: "Il percorso del file di log punta alla cartella C:\Documents and settings-Antonio-Doctor web.log
Modificare impostazioni del nome del file di log.

Ho fatto la scansione completa, ma alla fine il file di log in quel percorso risulta vuoto.

[corridori]

proseguito con la terza fase:
cureit http://wikisend.com/download/442042/cureit filtrato.txt

poi ho rifatto scansione gmer:
http://wikisend.com/download/493476/gmerdopo.txt


a quanto pare sono ancora infetto, ricordo che nella fase 2 mi succedeva che
mbr detector non si avviava, compariva una finestra per un attimo e spariva, il normal invece forniva il seguente log

http://wikisend.com/download/833944/...4_13-11-47.log


a questo punto non mi importa nulla dei dati formatterei tutto ma vorrei esser sicuro che il rootkit non si annidi nel boot dell'hd

[Chill-Out]

Quote:

Originariamente inviato da corridori

proseguito con la terza fase:
cureit http://wikisend.com/download/442042/cureit filtrato.txt

poi ho rifatto scansione gmer:
http://wikisend.com/download/493476/gmerdopo.txt


a quanto pare sono ancora infetto, ricordo che nella fase 2 mi succedeva che
mbr detector non si avviava, compariva una finestra per un attimo e spariva, il normal invece forniva il seguente log

http://wikisend.com/download/833944/...4_13-11-47.log


a questo punto non mi importa nulla dei dati formatterei tutto ma vorrei esser sicuro che il rootkit non si annidi nel boot dell'hd

Il log di Gmer può rimanere "sporco" secondo me sei ok.

[Chill-Out]

Quote:

Originariamente inviato da pcinforma

Gentile Chill-out, purtroppo ieri ho modificato il mio utente Antonio con diritti di amministratore in guest.
E all' avvio di Dr Web appare una finestrina di windows con la sigla cn78zxp.

Il messaggio recita: "Il percorso del file di log punta alla cartella C:\Documents and settings-Antonio-Doctor web.log
Modificare impostazioni del nome del file di log.

Ho fatto la scansione completa, ma alla fine il file di log in quel percorso risulta vuoto.

E' necessario vedere il log, controlla nella Cartella DoctorWeb altrimenti ripeti scansione.

[corridori]

Quote:

Originariamente inviato da Chill-Out

Il log di Gmer può rimanere "sporco" secondo me sei ok.

utilizzando linux esiste un metodo per verificare se un rootkit si è insediato nel mbr dello stesso hardisk su cui sta girando linux, mi spiego meglio, avendo computers su cui era presente xp ma che sono stati formattati per metterci linux, è possibile scovare eventuali rootkit tuttora presenti nel mbr?

non so se possono far danno con linux? ma comunque vorrei evitare che possano far danno in futuro qualora fosse reinstallato windows.

altra piccola domanda, ho scoperto il rootkit sotto winxp perchè il mio antivirus comodo me lo ha segnalato, ma è possibile che il firewall abbia comunque continuato a proteggermi bloccando la backdoor? oppure a poco servono i firewall contro i rootkit?

[Nimrod1991]

http://wikisend.com/download/917718/PrevxLog.log

Ecco quà l'ultimo log di prevx

erano a posto gli altri miei log Chill ??(tanto per avere un'idea della situazione visto che lavoro proprio dal computer che era stato infettato)

[Robertissimus44]

buongiorno, allego i due file della fase preliminare:

http://wikisend.com/download/214008/prevx.log

http://wikisend.com/download/886670/gmerscan.txt

mi accorgo solo ora di non aver disabilitato il ripristino configurazione, va bene se lo faccio adesso o devo rifare le scansioni della fase preliminare?

[Robertissimus44]

leggendo su internet qualcuno consigliava di formattare l'hard disk avviare da cd win98 e dare il comando fdisk/mbr in tal modo si era sicuri al 100% di aver cancellato sia hd che mbr, è una procedura utile chillout?

[wjmat]

Quote:

Originariamente inviato da Robertissimus44

buongiorno, allego i due file della fase preliminare:

http://wikisend.com/download/214008/prevx.log

http://wikisend.com/download/886670/gmerscan.txt

mi accorgo solo ora di non aver disabilitato il ripristino configurazione, va bene se lo faccio adesso o devo rifare le scansioni della fase preliminare?

ciao

da cosa ti sei diagnosticato mbr rootkit visto che i log mi sembrano puliti?