Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

[Chill-Out]

Quote:

Originariamente inviato da ac_

ciao a tutti.
sono nuovo del forum e mi sa che sono nella discussione giusta! sigh!
le mie scarse competenze si fermano al punto che ora vi racconto.
vi ringrazio se vorrete dedicare un pò di tempo al mio problema.

non so se approfondiremo poi le fasi di rilevamento del rootkit, ora ve le tralascio per brevità.
la bestiaccia dovrebbe essere il SINOWALMBR ROOTKIT
dico solo che prevx non ha trovato nulla come tanti tool che ho provato e lo stesso mio antivirus (trend micro), gmer mi ha dato indicazioni benchè non segnalandolo con una riga di colore rosso, e segnalazione di presenza mi ha dato pure il norman sinowal cleaner.

Usati senza esiti di infezione i tool stand alone: Avenger, AVG antirootkit, doctor Web, f-secure blacklight, malwarebyte, mcafee stinger.

Non sono riuscito a far partire o installare (forse a causa del rootkit): Avira, rootkit revealer, Trendmicro rootkitbuster

prevx
http://www.fileqube.com/shared/jahYZ1483628

gmer
http://www.fileqube.com/shared/RTxKvpg1483626

norman
http://www.fileqube.com/shared/cWhtqJzE1483671

ho proceduto con mbr con il pc in modalità provvisoria
http://www.fileqube.com/shared/OPvReFND1483798

quindi mbr -f
ma il log è identico. il codice è sempre lì
http://www.fileqube.com/shared/cvIqRqp1483801

ora non so cosa fare. aiuto!

cosa posso provare?
è opportuno (se esistono) provare altri eseguibili che risistemano l'mbr?
ciao
grazie

Ciao e benvenuto, il solo Gmer segnala

Quote:

Disk \Device\Harddisk0\DR0 sector 00: MBR rootkit code detected

ma ciò non vuol dire che sei infetto, mi indichi la tua configurazione di sicurezza

[ac_]

Quote:

Originariamente inviato da Chill-Out

Ciao e benvenuto, il solo Gmer segnala

ma ciò non vuol dire che sei infetto, mi indichi la tua configurazione di sicurezza

ciao e grazie...

configurazione di sicurezza?
spero di aver capito.

ho vista home premium service pack 1 aggiornato con tutte le patch di sicurezza uscite finora. ho dovuto disinstallare il service pack 2 perchè crea problemi con la mia scheda di rete (ogni volta dovevo riconfigurarla per potermi connettere).
trend micro internet security 2009
internet explorer 8 - protezione internet medio-alta / privacy medio /
firefox 3.5

ma forse mi chiedevi qualcos'altro?

[Chill-Out]

Quote:

Originariamente inviato da ac_

ciao e grazie...

configurazione di sicurezza?
spero di aver capito.

ho vista home premium service pack 1 aggiornato con tutte le patch di sicurezza uscite finora. ho dovuto disinstallare il service pack 2 perchè crea problemi con la mia scheda di rete (ogni volta dovevo riconfigurarla per potermi connettere).
trend micro internet security 2009
internet explorer 8 - protezione internet medio-alta / privacy medio /
firefox 3.5

ma forse mi chiedevi qualcos'altro?

Intendevo proprio quello che mi hai indicato

[joslopi]

Quote:

Originariamente inviato da Chill-Out

Il log di Gmer è pulito, vedo inoltre che le definizioni di Avira sono aggiornate, non vedo il motivo per cui non riesci a produrre il log di Prevx 3.0

Prevx 3.0 non ho neanche tentato di farlo girare, perché se non erro ci vuole la connessione ad Internet, e sto rootkit mi blocca tutte le connessioni e ora non mi permette neanche di crearne una nuova.

Quote:

Originariamente inviato da Chill-Out

Comunque vediamo di capirre il perchè Avira segnala la presenza del Virus solo in save Mode

Mizzica se non lo sai manco tu mi sa che non ho speranze!

Da Avira non trovano meglio che ripristinare il master boot record con Fixmbr. Tu che ne pensi?

[Chill-Out]

Quote:

Originariamente inviato da joslopi

Prevx 3.0 non ho neanche tentato di farlo girare, perché se non erro ci vuole la connessione ad Internet, e sto rootkit mi blocca tutte le connessioni e ora non mi permette neanche di crearne una nuova.


Mizzica se non lo sai manco tu mi sa che non ho speranze!

Da Avira non trovano meglio che ripristinare il master boot record con Fixmbr. Tu che ne pensi?

Si però vedo che le difinizioni di Avira sono aggiornate quindi la connessione è attiva e funzionante.

Stò cercando capire, comunque se desidieri dare il Fix del MBR si può fare basta il Cd di installazione di WIN.

[Chill-Out]

Per il momento ti suggerisco di fare una scansione in modalità provvisoria con DrWeb CureIt vedi la Guida in prima pagina.

[joslopi]

Quote:

Originariamente inviato da Chill-Out

Si però vedo che le difinizioni di Avira sono aggiornate quindi la connessione è attiva e funzionante.

no, le ho aggiornate manualmente

[ac_]

Quote:

Originariamente inviato da Chill-Out

Intendevo proprio quello che mi hai indicato

ciao,
nella prima risposta mi hai fatto capire che occorre procedere a più approfondite verifiche per chiarire la natura della segnalazione gmer.
tra l'altro ti devo dire che non riesco a fare una scansione completa con gmer nè in modalità normale nè provvisoria (va in crash con schermo blu. ho letto che potrebbe essere un bug del programma ma anche brutto segno!)
il log che avevo allegato è quello relativo alla scansione di avvio di gmer.
quindi non visualizzo la classica riga rossa tra i risultati che riporta un processo o servizio "hidden"
ma...
il log di norman che riporta: "Scanning bootsectors...Unable to scan for SinowalMBR hooks" non è preoccupante abbastanza?

Finora non ho ancora descritto se e quali sono i sintomi:
effettivamente non ne ho riscontrati: non ho avuto finestre pop-up, non reindirizzamenti ad altre pagine, gli antivirus non sono stati disabilitati e le pagine internet di tutti gli antivirus, anche le scansioni on line non danno problemi
il sistema è stabile.
però:
comportamenti sospetti: una o due volte il computer si è avviato autonomamente (ma occorre considerare che finora lo tenevo sempre in sospensione e solo raramente in ibernazione)
una volta la pagina di avvio di explorer è stata modificata dalla predefinita "gmail" ma mi sono trovato sul sito microsoft (anche qui non ricordo se fosse in seguito all'aggiornamente a explorer 8)

ho eseguito nuovamente un pò di scansioni (per lo più in modalità provvisoria, ma alcuni girano solo in "normale")

AVENGER (che ora, per w vista fa pure la scansione riavviando il pc e fornendo il log)
http://www.fileqube.com/shared/DFUlLk1485014

AVG antirootkit e F-SECURE BLACKLIGHT: non ho trovato nulla (non hanno log.txt finale. oppure sono io imbranato)

AVAST VIRUS CLEANER
http://www.fileqube.com/shared/EUvJFT1485024

SYMANTEC FIXMEBROOT
http://www.fileqube.com/shared/BosYklND1485025

MCAFEE ROOTKITDETECTIVE
(22Mb)
http://www.fileqube.com/shared/VtpRzYg1485059

MCAFEE STINGER
http://www.fileqube.com/shared/MSRkgzB1485092

AVIRA BOOTREPAIR
(questo è un pò strano. mi sa che non è riuscito ad entrare nel settore da analizzare. risponde: "master boot record of drive HD 80h could not be read")

ciao

p.s. dò una lontanissima impressione di capirne qualcosa, ma invece non capisco nulla!
ho solo seguito le istruzioni di questa utilissima discussione con qualche ricerca ulteriore su google.
come devo fare a togliermi questo dubbio. c'è o non c'è?

[Chill-Out]

@ac_

Gmer su Vista a volte può dare problemi ma questo non sottointende nulla, per scrupolo fai una scansione completa con Drweb CureIt come indicato in Guida.

[ac_]

Quote:

Originariamente inviato da Chill-Out

@ac_

Gmer su Vista a volte può dare problemi ma questo non sottointende nulla, per scrupolo fai una scansione completa con Drweb CureIt come indicato in Guida.

buongiorno,
Ho letto, non so più se in questa discussione o in altre guide, che una delle prove per accertarsi della presenza del sinowalMBR rootkit è cercare tramite il "Trova" di Windows files con nome "ibm000*.*".
Io ci ho provato e non ne ho trovato.
Ma questa cosa è vera? qualcuno l'ha verificato?
ciao

[Chill-Out]

Quote:

Originariamente inviato da ac_

buongiorno,
Ho letto, non so più se in questa discussione o in altre guide, che una delle prove per accertarsi della presenza del sinowalMBR rootkit è cercare tramite il "Trova" di Windows files con nome "ibm000*.*".
Io ci ho provato e non ne ho trovato.
Ma questa cosa è vera? qualcuno l'ha verificato?
ciao

Quello è solo uno dei tanti file che da il via all'infezione, fai scansione con CureIt come indicato

[joslopi]

Quote:

Originariamente inviato da Chill-Out

Per il momento ti suggerisco di fare una scansione in modalità provvisoria con DrWeb CureIt vedi la Guida in prima pagina.

Ce l'ho fatta: allego il log di CureIt "dimagrito".
Ho fatto due scansioni, la prima di default, la seconda completa e ho preso il log solo alla fine della seconda ... spero di non avere sbagliato.
Durante la prima scansione è stato trovato il rootkit nel mbr e ho consentito l'eliminazione.
Alla fine della seconda scansione è stato rilevato vnc, potrei anche toglierlo visto che non lo utilizzo un granchè.
Pensi che il problema si sia risolto?

[Chill-Out]

Quote:

Originariamente inviato da joslopi

Ce l'ho fatta: allego il log di CureIt "dimagrito".
Ho fatto due scansioni, la prima di default, la seconda completa e ho preso il log solo alla fine della seconda ... spero di non avere sbagliato.
Durante la prima scansione è stato trovato il rootkit nel mbr e ho consentito l'eliminazione.
Alla fine della seconda scansione è stato rilevato vnc, potrei anche toglierlo visto che non lo utilizzo un granchè.
Pensi che il problema si sia risolto?

Dov'è il log?

[joslopi]

cureit filtrato.txt
sono fuso, scusa!

[Chill-Out]

Quote:

Originariamente inviato da joslopi

cureit filtrato.txt
sono fuso, scusa!

Per VNC decitu tu, ma dal momento che non lo usi lo puoi tranquillamente disinstallare. Adesso come riscontro fai una scansione completa con Avira in provvisoria

[ac_]

Quote:

Originariamente inviato da Chill-Out

@ac_

Gmer su Vista a volte può dare problemi ma questo non sottointende nulla, per scrupolo fai una scansione completa con Drweb CureIt come indicato in Guida.

Chill,
Ma ogni tanto ti ringrazio oppure sono troppo preso dall'angoscia di risolvere il problema da essere maleducato?

Grazie per la disponibilità e la professionalità.

La community è la più attiva e qualificata.
e quando non sai dove sbattere la testa è utile avere interlocutori competenti.

e mò non mi dire che sono OT...

p.s. devo ancora inviare log di dr web, ma è lungo e non sono riuscito a tornare al mio pc.
i log dell'ultimo messaggio hanno risolto posto nuovi dubbi o sono inutili?

[Chill-Out]

Quote:

Originariamente inviato da ac_

Chill,
Ma ogni tanto ti ringrazio oppure sono troppo preso dall'angoscia di risolvere il problema da essere maleducato?

Grazie per la disponibilità e la professionalità.

La community è la più attiva e qualificata.
e quando non sai dove sbattere la testa è utile avere interlocutori competenti.

e mò non mi dire che sono OT...

p.s. devo ancora inviare log di dr web, ma è lungo e non sono riuscito a tornare al mio pc.
i log dell'ultimo messaggio hanno risolto posto nuovi dubbi o sono inutili?

Grazie, cerchiamo di fare sempre del nostro meglio

Il log sarebbe meglio allegarlo qui trovi le info su come snellirlo http://hwupgrade.blogspot.com/2008/1...tilissimo.html

[ac_]

il log drweb lo potrò postare solo questo pomeriggio perchè da dove mi trovo non posso accedere a siti di condivisione file come fileqube o altri.
comunque il risultato della scansione rapida e di quella completa pare ok.

ho fatto anche scansione on line tramite "a-squared Web Malware Scanner" . mi restituisce due valori sospetti nelle chiavi di registro:
Value: HKEY_CLASSES_ROOT\Media Type\Extensions\.avi --> Source Filter detected: Trace.Registry.DivoCodec!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Media Type\Extensions\.avi --> Source Filter detected: Trace.Registry.DivoCodec!A2

qui ho trovato informazioni su questo presunto rischio: link
CANCELLO le chiavi?

fatta scansione con cachme di gmer:
ecco il log (l'allegato forse è grande e per questo non lo carica):

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, Rootkit scan 2009-07-08 23:55:43
Windows 6.0.6001 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

attendo lumi! ciao

[ac_]

ecco il risultato della scansione con drweb.
a proposito, eseguendo l'aggiornamento di CureIt è stato scaricato un nuovo eseguibile di nome "launch" (precedentemente era denominato "CureIt") di dimensioni pressochè identiche. e con quello ho eseguito la scansione.
link a log snellito

p.s. se puoi dai un'occhiata anche al mio messaggio precedente (intorno alle h.14). grazie

[Chill-Out]

Quote:

Originariamente inviato da ac_

ecco il risultato della scansione con drweb.
a proposito, eseguendo l'aggiornamento di CureIt è stato scaricato un nuovo eseguibile di nome "launch" (precedentemente era denominato "CureIt") di dimensioni pressochè identiche. e con quello ho eseguito la scansione.
link a log snellito

p.s. se puoi dai un'occhiata anche al mio messaggio precedente (intorno alle h.14). grazie

Le chiavi rilevate da A2 le passi in quarantena, per il probema del MBR Rootkit anche DrWeb restitusice un log pulito, direi che siamo ok