Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > Aiuto sono infetto! Cosa faccio?

Huawei P30 e P30 Pro sono ufficiali. Anteprima con tutte le caratteristiche: si parte da 799 Euro
Huawei P30 e P30 Pro sono ufficiali. Anteprima con tutte le caratteristiche: si parte da 799 Euro
Durante un prestigioso evento mondiale a Parigi, Huawei, ha finalmente svelato la sua nuova serie P30. Il fiore all'occhiello è chiaramente la versione Pro che vede la presenza di ben 4 fotocamere al posteriore con zoom ottico 10X. Ecco tutte le specifiche degli smartphone.
Mutant Year Zero, nell'attesa di XCOM 3
Mutant Year Zero, nell'attesa di XCOM 3
Due redattori esprimono il proprio parere su un interessante gioco di matrice indipendente ispirato dalla serie XCOM
The Division 2: come va con 17 schede video
The Division 2: come va con 17 schede video
The Division 2 è oggi uno dei videogiochi con la migliore grafica. In questo articolo scopriamo come ha lavorato Ubisoft e come gira The Division 2 con una serie di differenti hardware. Inoltre, esaminiamo con la lente d'ingrandimento gli effetti grafici che rendono la versione PC di The Division 2 la migliore sul piano della completezza grafica e della fedeltà visiva
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 03-04-2008, 20:32   #1
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT

GUIDA ALLA RIMOZIONE MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT


Powered by: Hardware Upgrade Forum - Sezione Antivirus e Sicurezza

"Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5"


NOTA BENE:
1 - AL FINE DI MANTENERE IL THREAD ORDINATO E FRUIBILE HOSTATE I LOG SOLO ED ESCLUSIVAMENTE IN FORMATO .TXT SU http://wikisend.com/
in alternativa su http://www.filedropper.com/ PUBBLICANDO PER OGNI LOG IL LINK CHE VERRA' RILASCIATO PER IL DOWNLOAD
2 - E' OPPORTUNO LEGGERE ATTENTAMENTE TUTTA LA GUIDA


Definizione di MASTER BOOT RECORD:
Il master boot record (MBR) è in genere la primissima sezione de hard-disk di 512 byte (mezzo kilobyte) di dimensioni ed è il settore di avvio , contiene la sequenza di comandi necessaria per l'avvio del sistema operativo ossia il bootloder.
Il MBR di un disco di solito include la tabella delle partizioni, che è usata dal PC per caricare ed avviare il settore di avvio della partizione segnata come attiva. Questo permette al BIOS di caricare qualunque sistema operativo senza bisogno di sapere esattamente dove si trova all'interno della sua partizione. Poiché il MBR è letto quasi subito all'avvio del computer, molti virus creati prima che gli antivirus fossero diffusi operavano cambiando il codice del MBR.
Il processo d'avvio è diverso a seconda che il disco sia partizionato o meno. In entrambi i casi il BIOS trasferisce il controllo al primo settore del disco dopo averlo letto in memoria. Successivamente, se il disco è partizionato, il settore contiene il codice di selezione della partizione che carica il primo settore della partizione selezionata al suo posto e trasferisce il controllo a questo; altrimenti, se non ha partizioni, è il settore stesso che carica il sistema operativo.

Fonte: http://it.wikipedia.org/wiki/Master_boot_record

Che cos'è il MASTER BOOT RECORD ROOTKIT:
L’infezione si diffonde attraverso alcuni siti web che ospitano exploit studiati per infettare pc con software e/o sistema operativo non aggiornati. Questa tipologia di infezione è stata vista spesso in azione durante il 2006 e 2007 - Gromozon è solo uno dei vari esempi.
Gran parte dei siti web monitorati che vengono utilizzati per diffondere questa infezione sono iniettati in iframe nascosti all’interno di pagine web compromesse - una tattica molto diffusa negli ultimi periodi.
Abbiamo visto che uno dei paesi più esposti all’attacco è l’Italia, poiché i siti web ospitanti il malware sono stati più volte utilizzati in vari attacchi locali durante i quali sono stati compromessi siti web.
Una volta che il dropper viene eseguito, sovrascrive il master boot record con il proprio codice e memorizza una copia del mbr originale al settore 62 del disco, appendendo il vecchio mbr a del codice proprio. Codice del malware viene aggiunto anche nei settori 60 e 61. Il driver del rootkit viene poi scritto in uno spazio libero e inutilizzato dell’hard disk, solitamente gli ultimi settori del disco. Il codice scritto nel MBR sarà responsabile del caricamento del driver vero e proprio nel sistema.
Al successivo riavvio del sistema (il malware può programmare un reboot automaticamente) il codice scritto nel master boot record prende il controllo dell’Int 13h in modo tale da poter controllare qualunque cosa venga caricata dal sistema operativo. Questa posizione gli permette di poter modificare il kernel on-the-fly non appena viene letto dall’hard disk.......

Autore:
Marco Giuliani alias Eraser
Malware Analyst per Prevx


Links per chi volesse approfondire:
Il Master Boot Record Rootkit è in the wild
MBR Rootkit: nuovi aggiornamenti
MBR rootkit si trasforma e torna all'attacco
MBR rootkit reloaded


:: FASE PRELIMINARE ::


Disattivare il Ripristino Configurazione Sistema:
  • tasto destro del mouse sull'icona Risorse del Computer
  • seleziona la voce Proprietà
  • apri la scheda Ripristino configurazione di Sistema
  • spunta la voce Disattiva ripristino configurazione di sistema
  • conferma, la modifica, con Applica e, poi Ok
Riattivate il Ripristino Configurazione Sistema solo a disinfezione terminata

:: PRIMA FASE ::


Download Software necessari per la rilevazione:

Gmer -> Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione - scompattare il file compresso per praticità sul DeskTop e lanciare Gmer.exe avendo cura di spuntare sul pannello di destra tutte le caselle
Dopo aver terminato la scansione cliccare su Copy, aprite il Blocco Note ed incollare il log

Prevx 3.0 -> Download
Compatibile: Windows XP - Vista
Caratteristiche: necessaria la connesione ad Internet
Dopo aver terminato la scansione per ottenere il log cliccare su Tools - Salva file di log
Estratto dal log di Prevx che mostra l'infezione:
Quote:
[B<00200000>] c:\$mbr.0 [PX5: DFB91BAE00F7FE4E014400AA3629600089E71A1B] Malware Group: Rootkit.MBR
NB: Prevx oltre a rilevare l'infezione, ci permette di rimuoverla gratuitamente (F = Free to cleanup) per farlo è sufficiente ripetere la scansione e cliccare su Cleanup Now dopo aver disabilitato l'antivirus, importante salvare entrambi i log pre e post rimozione.




A questo punto allegare i log nella sequenza indicata:
Gmer
Prevx 3.0 (entrambi i log pre e post infezione)

Prima di procedere con la seconda fase sarebbe opportuno attendere una risposta da chi presta assistenza


:: SECONDA FASE ::


Download tools necessari per la rimozione/disinfezione:

Stealth MBR rootkit detector -> Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
Scaricate MBR:EXE sul DeskTop e mettetelo direttamente nella Directory C:\
Riavviate il Pc in modalità provvisoria F8
Da Start - Esegui - digitate C:\mbr.exe -f e cliccate su OK
Salvate il log prodotto come MBR ed allegatelo per il controllo

Norman SinowalMBR Cleaner -> Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
Doppio click su Norman_Sinowal_Cleaner.exe accettate la licensa d'uso ed avviate la scansione cliccando su Start scan
Al termine allegate il log che trovate sul Desktop col nome di NFix


:: TERZA FASE ::


Scansione di controllo:


Dr.Web CureIt! - Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
Doppio click su CureIt - cliccate su Avvia - alla domanda Avvia ora il controllo? cliccate su OK
In questa modalità Express Scan vengono controllati solo i seguenti oggetti:
* Random access memory
* Settori di Boot di tutti i dischi
* Ogetti di Startup
* Disco di Boot e cartella principale
* Cartella principale del disco di installaizone di Windows
* Cartella di Sistema di Windows
* Cartella documenti Utente ("Documenti")
* Cartella temporanea di Sistema
* Usa la cartella temporanea
Al termine di questa fase cliccate su Completa scansione e avviate cliccando sul triangolino verde
Gli eventuali malware rilevati è preferibile metterli in quarantena cliccando sul tasto Sposta
Dopo aver terminato la scansione allegare il log per il controllo che trovate in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb
Per snellire il log usare ParserLog -> info & download
gli oggetti individuati devono essere rimossi, verrà mantenuto un backup degli oggetti eliminati!

==> Eliminazione cartella HelpAssistant:

Windows XP Home Edition

Computer - tasto dx del mouse Proprietà -Avanzate - Profilo utente - Impostazioni

eliminate il profilo HelpAssistant

Windows XP Professional

Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer - Utenti e gruppi locali - Users

Tasto dx del mouse su HelpAssistant - Poprietà - mettete il segno di spunta su Account disabilitato - aprite il TAB Membro di, se HelpAssistant è all'interno del box bianco selezionatelo e rimuovetelo cliccando sul tasto Rimuovi

Applica e OK, riavviate il PC.


==> SUGGERIMENTI:
Leggere la presente Guida vi aiuterà a verificare la configurazione di sicurezza del PC, aggiornare programmi obsoleti e vulnerabili ed eliminare eventuali residui inutili dei programmi utilizzati nella guida.
__________________
Try again and you will be luckier.

Ultima modifica di Chill-Out : 27-07-2010 alle 12:37.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2008, 20:45   #2
wjmat
Senior Member
 
L'Avatar di wjmat
 
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
complimenti ottima guida!

Ultima modifica di wjmat : 06-11-2009 alle 10:16.
wjmat è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2008, 21:22   #3
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Quote:
Originariamente inviato da wjmat Guarda i messaggi
ottimo mi mancava
una domanda... come si riconosce l'infezione??
per chiarezza ho aggiunto i log di Gmer e Prevx
__________________
Try again and you will be luckier.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2008, 21:37   #4
murack83pa
Bannato
 
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
Quote:
Originariamente inviato da Chill-Out Guarda i messaggi
per chiarezza ho aggiunto i log di Gmer e Prevx
perchè come scansione di controllo è previsto Dr.Web CureIt?
rileva il rootkit?
perchè nn prevedere solo una scansione di controllo con prevx csi?

ps: cmq complimenti per aver scovato la soluzione a questa infezione!
murack83pa è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2008, 21:55   #5
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Quote:
perchè come scansione di controllo è previsto Dr.Web CureIt?
rileva il rootkit?
si

Quote:
perchè nn prevedere solo una scansione di controllo con prevx csi?
perchè è pronta da ieri ma per problemi vari sono riuscito a postarla solo adesso e la stò sistemando on the fly

Quote:
ps: cmq complimenti per aver scovato la soluzione a questa infezione!
Scovare? e mica dovevo stanare un coniglio

Grazie.
__________________
Try again and you will be luckier.

Ultima modifica di Chill-Out : 04-04-2008 alle 12:16.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2008, 23:27   #6
juninho85
Bannato
 
L'Avatar di juninho85
 
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28577
un'appunto:su symantec affermano che il rootkit crei una DLL con nome random che una volta registrata col comando regsvr32 /NOMEFILE.dll,crea e avvia il driver che immette il codice nel MBR.
questa DLL per caso l'avete già trovata e fatta rimuovere agli utenti infetti?

Ultima modifica di juninho85 : 03-04-2008 alle 23:31.
juninho85 è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2008, 23:31   #7
xcdegasp
Moderatore
 
L'Avatar di xcdegasp
 
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27348
veramente un ottima guida
xcdegasp è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2008, 23:37   #8
Franz.
Senior Member
 
L'Avatar di Franz.
 
Iscritto dal: Feb 2006
Città: Roma
Messaggi: 2159
I miei complimenti a Chill-Out per questa esaustiva e (soprattutto) fruibilissima guida. Con l'hacking di emule cade proprio come il cacio sui maccheroni. Non sarà mica un caso?
Franz. è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2008, 23:39   #9
juninho85
Bannato
 
L'Avatar di juninho85
 
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28577
sarebbe interessante anche raffrontare la cronologia del browser negli ultimi giorni di navigazione degli utenti rimasti infetti,giusto per capire dove si è annidato ultimamente
juninho85 è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2008, 09:29   #10
c.m.g
Senior Member
 
L'Avatar di c.m.g
 
Iscritto dal: Mar 2006
Messaggi: 21989
vi dò un'altro piccolo aiutino che forse può esservi utile: leggendo in giro c'è gente che ha risolto il problema dell'MBR rootkit anche con la console di ripristino di windows, tramite il comando fix mbr ed è eliminabile solo quando non è in esecuzione. questo è un mio piccolo pensiero dedicato a voi che state facendo un lavoro da paura!
altri prodotti antirootkit che riescono a individuare questa infezione:

- Trend Micro Rootkit Buster

- F-Secure Blacklight

su Tweakness si afferma che è uno script che fa prendere l'infezione, quindi firefox + noscript dovrebbe garantire la non infezione da questo rootkit. credo che comunque anche opera garantisca sicurezza. non usate mai internet explorer.
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.
c.m.g è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2008, 09:56   #11
juninho85
Bannato
 
L'Avatar di juninho85
 
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28577
opera dispone di funzionalità di blocco degli script?
juninho85 è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2008, 09:58   #12
GmG
Senior Member
 
L'Avatar di GmG
 
Iscritto dal: Aug 2006
Città: Riviera del Brenta
Messaggi: 1784
C'è anche il removal tool della symantec

http://www.symantec.com/business/sec...020817-4716-99
GmG è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2008, 10:07   #13
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Quote:
Originariamente inviato da GmG Guarda i messaggi
C'è anche il removal tool della symantec

http://www.symantec.com/business/sec...020817-4716-99
Grazie, stavo provvedendo all'inserimento.

Credo ma non ne sono sicuro, dai log di Gmer e Prevx CSI visti qui: http://www.hwupgrade.it/forum/showthread.php?t=1713554
il tool Symantec non avrebbe rilevato nulla
__________________
Try again and you will be luckier.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2008, 10:10   #14
c.m.g
Senior Member
 
L'Avatar di c.m.g
 
Iscritto dal: Mar 2006
Messaggi: 21989
Quote:
Originariamente inviato da juninho85 Guarda i messaggi
opera dispone di funzionalità di blocco degli script?
si in strumenti-> opzioni-> avanzate-> contenuti ma, ad oggi, non ho mai preso infezioni con opera, il suo engine è proprietario, mentre firefox, se ho capito bene, si basa su quello di internet explorer (almeno credo)
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Ultima modifica di c.m.g : 04-04-2008 alle 10:13.
c.m.g è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2008, 10:11   #15
c.m.g
Senior Member
 
L'Avatar di c.m.g
 
Iscritto dal: Mar 2006
Messaggi: 21989
Quote:
Originariamente inviato da Chill-Out Guarda i messaggi
[...]
il tool Symantec non avrebbe rilevato nulla
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.
c.m.g è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2008, 23:16   #16
TheFocs
Junior Member
 
Iscritto dal: Apr 2008
Messaggi: 1
Grazie

Come da oggetto, Thank You for everyone per l'aiuto, sono riuscito a risolvere l'infezione del MBR Rootkit.
TheFocs è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2008, 23:42   #17
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Quote:
Originariamente inviato da juninho85 Guarda i messaggi
un'appunto:su symantec affermano che il rootkit crei una DLL con nome random che una volta registrata col comando regsvr32 /NOMEFILE.dll,crea e avvia il driver che immette il codice nel MBR.
questa DLL per caso l'avete già trovata e fatta rimuovere agli utenti infetti?
No juninho85 non ho avvistato nessuna DLL, la DLL in questione è relativa alla rilevazione di Symantec come Trojan.Mebroot si sono sicuramente ingegnati a cambiare ancora le carte in tavola.
__________________
Try again and you will be luckier.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2008, 23:43   #18
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Quote:
Originariamente inviato da juninho85 Guarda i messaggi
sarebbe interessante anche raffrontare la cronologia del browser negli ultimi giorni di navigazione degli utenti rimasti infetti,giusto per capire dove si è annidato ultimamente
Effettivamente, sarebbe stato utilissimo
__________________
Try again and you will be luckier.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2008, 23:45   #19
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Quote:
I miei complimenti a Chill-Out per questa esaustiva e (soprattutto) fruibilissima guida.
Grazie

Quote:
Con l'hacking di emule cade proprio come il cacio sui maccheroni. Non sarà mica un caso?
__________________
Try again and you will be luckier.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 05-04-2008, 11:48   #20
Angelus88
Bannato
 
Iscritto dal: Feb 2007
Città: Palermo
Messaggi: 13587
Chill-Out una domanda... il comando Fixmbr della console di ripristino di Windows che scrive un nuovo MBR secondo te può risolvere la cosa? Ho intenzione di infettare il mio pc fisso (che tanto lo uso per i test ) e poi provare Fixmbr...
Angelus88 è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Huawei P30 e P30 Pro sono ufficiali. Anteprima con tutte le caratteristiche: si parte da 799 Euro Huawei P30 e P30 Pro sono ufficiali. Anteprima c...
Mutant Year Zero, nell'attesa di XCOM 3 Mutant Year Zero, nell'attesa di XCOM 3
The Division 2: come va con 17 schede video The Division 2: come va con 17 schede video
VOIspeed UCloud, il centralino virtualizzato di TeamSystem VOIspeed UCloud, il centralino virtualizzato di ...
moto g7 Plus, recensione: uno dei migliori smartphone midrange del 2019 moto g7 Plus, recensione: uno dei migliori smart...
Windows 10: da oggi sarà possibil...
Drakonia II: il mouse per chi è a...
Xiaomi Mi Band 3 a 21,57 euro, una video...
Nuova Sony RX0 II, ora con display orien...
Nintendo pianifica due nuovi modelli di ...
Xiaomi Smart Dimmer Switch: guardate che...
TIM contro tutti: 50GB, minuti ed SMS il...
Legge sul Copyright approvata dal Parlam...
OnePlus 7: ecco le possibili colorazioni...
Una marea di novità per Microsoft...
Ricerca Limelight Networks: gaming più i...
Software ASUS Live Update bucato: 1 mili...
Soundbar Sennheiser Ambeo: in arrivo a m...
Samsung Galaxy A70: ufficiale un nuovo s...
Sostituta della Sony A6500: in arrivo un...
Mozilla Thunderbird 60
Dropbox
K-Lite Codec Pack Update
K-Lite Mega Codec Pack
K-Lite Codec Pack Full
K-Lite Codec Pack Standard
K-Lite Codec Pack Basic
Chromium
Media Player Classic Black Edition
GPU Caps Viewer
Iperius Backup
Firefox 66
LibreOffice 6.2.0
HyperSnap
Internet Download Manager
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 17:35.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
Served by www3v