www.MegaLab.it

da **archi2000** » ven lug 09, 2010 11:28 am

Sono riuscito ad uppare le immagini.
Te le posto quì.
Ancora ri-grazie.

http://img268.imageshack.us/img268/603/miombr.jpg

http://img696.imageshack.us/img696/2069/copiambr.jpg

http://img341.imageshack.us/img341/5846/logmbr.jpg

da **masterz3d** » ven lug 09, 2010 10:21 pm

Il tuo MBR è infetto, devi trasferire quello sano dal settore 625137345 al settore 0, poi passi a ripulire tutto dal settore 625137345 (compreso) fino alla fine del disco. Le procedure te le ho già linkate, il log non era necessario.

In ogni caso, prima fai la copia del MBR sano, poi cancelli i settori.
Se cancelli i settori prima di trasferire il MBR si può comunque risolvere, ma le cose si complicano perché devi prima cancellare i byte infetti del settore 0 (dal byte 0 al byte 0x01bd, il 445) e poi reinstallare il bootloader, sperando sempre che dal settore 1 al settore 16,064 (0x3EC1 - 1) non ci sia codice bootloader o codice rootkit.

Non ho capito perché Windows XP ha lasciato da parte 16mila settori invece che cominciare la prima partizione dal 63 come succede di solito. [uhm]

da **archi2000** » mar lug 13, 2010 7:01 am

Grazie, grazie, grazie.
Risolto.
[^]

da **ps3love** » ven ago 13, 2010 4:17 pm

Chi usa Windows 7 che procedura con HxD deve seguire ?

da **Uomo_Senza_Sonno** » ven ago 13, 2010 9:18 pm

In sostanza la stessa, solo che probabilmente variano gli offset. In tutti i casi è sempre meglio postare il settore 0 del disco infetto.

da **ps3love** » sab ago 14, 2010 12:14 pm

Se un utente con Windows 7, fa prima mbr.exe -f riavvia la macchina poi entra in recovery mode tramite il cd di seven e lancia
bootsect /fixmbr
bootsect /fixboot
e al ritorno su windows 7 con HxD elimina i settori verso la fine del disco dove sta il malicious code, è fattibile come cosa ?

da **Uomo_Senza_Sonno** » sab ago 14, 2010 1:14 pm

La cosa è fattibile, bisogna vedere quanto è efficace. Di sicuro l'efficacia è stata dimostrata con la guida di Masterz3d, altri metodi non hanno portato a grossi risultati.

Quindi prima esegui la procedura con HxD, per i settori iniziali e finali del disco, poi se proprio vuoi lancia i comandi dalla consolle di ripristino

da **monikamc** » ven ott 15, 2010 10:27 pm

Ciao a tutti , mi sono imbattuta in questo virus e ho provato vari tool , eset , symantec, norman ma mi resta il boot sector sempre infetto.
ho anche probato gmer , e il fixmbr di xp ma nulla.
non vorrei formattare ma risolvere velocemente in qualche modo.

mi aiutate vi posto log ecc...

http://img169.imageshack.us/img169/1053/immaginetv.jpg

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 9 !
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !

ComboFix 10-10-14.04 - Administrator 15/10/2010 22.33.05.1.1 - x86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.1022.846 [GMT 2:00]
Eseguito da: C:\ComboFix.exe
AV: ESET NOD32 Antivirus 4.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Menu Avvio\Programmi\Videos.url
c:\documents and settings\All Users\Menu Avvio\Programmi\WebMediaPlayer
c:\documents and settings\All Users\Menu Avvio\Programmi\WebMediaPlayer\Condizioni generali.url
c:\documents and settings\All Users\Menu Avvio\Programmi\WebMediaPlayer\Disinstalla.lnk
c:\documents and settings\All Users\Menu Avvio\Programmi\WebMediaPlayer\Riservatezza.url
c:\documents and settings\All Users\Menu Avvio\Programmi\WebMediaPlayer\WebMediaPlayer.lnk
c:\documents and settings\All Users\Menu Avvio\Programmi\WebMediaPlayer\Website.url
c:\windows\d.ini
c:\windows\system32\sys.txt

.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
((((((((((((((((((((((((( Files Creati Da 2010-09-15 al 2010-10-15 )))))))))))))))))))))))))))))))))))
.

2010-10-15 20:18 . 2010-10-15 20:18 70192 ----a-w- c:\windows\system32\PxSecure.dll
2010-10-15 20:18 . 2010-10-15 20:18 74624 ----a-w- c:\windows\system32\drivers\pxrts.sys
2010-10-15 20:18 . 2010-10-15 20:18 30320 ----a-w- c:\windows\system32\drivers\pxscan.sys
2010-10-15 20:18 . 2010-10-15 20:18 24400 ----a-w- c:\windows\system32\drivers\pxkbf.sys
2010-10-15 20:18 . 2010-10-15 20:18 -------- d-----w- c:\programmi\Prevx
2010-10-15 20:18 . 2010-10-15 20:18 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\PrevxCSI
2010-10-15 20:17 . 2010-10-15 20:12 942048 ----a-w- C:\prevxcsifree.exe
2010-10-15 20:17 . 2010-10-15 20:01 328104 ----a-w- C:\EMebRemover.exe
2010-10-15 19:53 . 2010-10-15 19:41 77312 ----a-w- C:\mbr.exe
2010-10-15 19:53 . 2010-10-15 16:05 293376 ----a-w- C:\gmer.exe
2010-10-15 19:27 . 2010-10-15 19:28 1304576 ----a-w- C:\Norman_Sinowal_Cleaner.exe
2010-10-13 21:31 . 2010-09-18 06:53 954368 -c----w- c:\windows\system32\dllcache\mfc40.dll
2010-10-13 21:31 . 2010-09-18 06:53 953856 -c----w- c:\windows\system32\dllcache\mfc40u.dll
2010-10-13 21:31 . 2010-09-18 06:53 974848 -c----w- c:\windows\system32\dllcache\mfc42.dll
2010-10-13 21:29 . 2010-08-23 16:12 617472 -c----w- c:\windows\system32\dllcache\comctl32.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{08d495ab-a86c-47b0-82ef-da87bf92f730}]
2010-04-15 10:33 2515552 ----a-w- c:\programmi\Messenger_Plus_Live_Italy\tbMess.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{08d495ab-a86c-47b0-82ef-da87bf92f730}"= "c:\programmi\Messenger_Plus_Live_Italy\tbMess.dll" [2010-04-15 2515552]

[HKEY_CLASSES_ROOT\clsid\{08d495ab-a86c-47b0-82ef-da87bf92f730}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\programmi\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" [2004-12-22 88358]
"Apoint"="c:\programmi\Apoint2K\Apoint.exe" [2004-03-24 196608]
"CeEKEY"="c:\programmi\TOSHIBA\E-KEY\CeEKey.exe" [2005-09-06 671744]
"TPNF"="c:\programmi\TOSHIBA\TouchPad\TPTray.exe" [2005-08-25 53248]
"HWSetup"="c:\programmi\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 28672]
"SmoothView"="c:\programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe" [2005-05-12 118784]
"PadTouch"="c:\programmi\TOSHIBA\Touch and Launch\PadExe.exe" [2005-08-30 1077329]
"Tvs"="c:\programmi\TOSHIBA\Tvs\TvsTray.exe" [2005-04-05 73728]
"ATIPTA"="c:\programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]
"Symantec PIF AlertEng"="c:\programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"egui"="c:\programmi\ESET\ESET NOD32 Antivirus\egui.exe" [2009-10-01 2054360]
"TkBellExe"="c:\programmi\File comuni\Real\Update_OB\realsched.exe" [2009-11-19 198160]
"iTunesHelper"="c:\programmi\iTunes\iTunesHelper.exe" [2009-09-08 305440]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2009-09-04 417792]
"SPC230NC_Monitor"="c:\windows\Philips\SPC230NC\Monitor.exe" [2007-12-10 323584]
"SPC_Monitor"="c:\windows\Philips\SPC230NC\Monitor.exe" [2007-12-10 323584]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Bluetooth Manager.lnk - c:\programmi\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2005-3-22 487424]
TrayMin230.lnk - c:\programmi\Philips\Philips SPC230NC Webcam\TrayMin230.exe [2010-5-8 241664]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Avvio veloce di Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Avvio veloce di Adobe Reader.lnk
backup=c:\windows\pss\Avvio veloce di Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Salvatore Dezio^Menu Avvio^Programmi^Esecuzione automatica^Microsoft Office OneNote 2003 Quick Launch.lnk]
path=c:\documents and settings\Salvatore Dezio\Menu Avvio\Programmi\Esecuzione automatica\Microsoft Office OneNote 2003 Quick Launch.lnk
backup=c:\windows\pss\Microsoft Office OneNote 2003 Quick Launch.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CFSServ.exe]
CFSServ.exe -NoClient [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
c:\programmi\File comuni\Nokia\MPlatform\NokiaMServer [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dla]
2005-05-31 03:33 122941 ----a-w- c:\windows\system32\dla\tfswctrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-09-08 19:09 305440 ----a-w- c:\programmi\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 14:44 3883856 ----a-w- c:\programmi\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-09-04 23:54 417792 ----a-w- c:\programmi\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SVPWUTIL]
2004-05-01 11:45 65536 ----a-w- c:\programmi\Toshiba\Windows Utilities\SVPWUTIL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TCtryIOHook]
2005-08-22 14:49 28672 ----a-w- c:\windows\system32\TCtrlIOHook.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2009-11-19 07:44 198160 ----a-w- c:\programmi\File comuni\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPSMain]
2005-08-12 09:58 266240 ----a-w- c:\windows\system32\TPSMain.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Zooming]
2005-06-06 07:58 24576 ----a-w- c:\windows\system32\ZoomingHook.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\Programmi\\Bonjour\\mDNSResponder.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=
"c:\\Programmi\\Philips\\Intelligent Agent\\Philips Intelligent Agent.exe"=
"c:\\Programmi\\Samsung\\Samsung New PC Studio\\npsasvr.exe"=
"c:\\Programmi\\Samsung\\Samsung New PC Studio\\npsvsvr.exe"=
"c:\\Programmi\\Mozilla Firefox\\firefox.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"7314:TCP"= 7314:TCP:Services
"7315:TCP"= 7315:TCP:Services

R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [15/10/2010 22.18.36 30320]
R3 pxkbf;pxkbf;c:\windows\system32\drivers\pxkbf.sys [15/10/2010 22.18.34 24400]
S1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [01/10/2009 16.06.40 108792]
S1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [01/10/2009 16.07.30 96408]
S1 pxrts;pxrts;c:\windows\system32\drivers\pxrts.sys [15/10/2010 22.18.36 74624]
S2 CSIScanner;CSIScanner;c:\programmi\Prevx\prevx.exe [15/10/2010 22.18.31 6407728]
S2 ekrn;ESET Service;c:\programmi\Eset\ESET NOD32 Antivirus\ekrn.exe [01/10/2009 16.06.52 735960]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [11/08/2010 13.53.01 233472]
S2 Utilità di pianificazione di LiveUpdate automatico;Utilità di pianificazione di LiveUpdate automatico;c:\programmi\Symantec\LiveUpdate\AluSchedulerSvc.exe [12/10/2006 20.09.36 198336]
S3 ATICDSDr;ATICDSDr;\??\c:\docume~1\ADMINI~1\IMPOST~1\Temp\ATICDSDr.sys -->

c:\docume~1\ADMINI~1\IMPOST~1\Temp\ATICDSDr.sys [?]

S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [11/08/2010 13.53.01 36608]
S3 NDISKIO;NDISKIO;\??\c:\docume~1\ADMINI~1\IMPOST~1\Temp\609cf656.nmc\nse\bin\ndiskio.sys -->

c:\docume~1\ADMINI~1\IMPOST~1\Temp\609cf656.nmc\nse\bin\ndiskio.sys [?]

S3 PAEAFLT.sys;USB Composite Device;c:\windows\system32\drivers\PAEAFLT.sys [08/05/2010 11.03.14 8576]
S3 SPC230NC;Philips SPC230NC Webcam;c:\windows\system32\drivers\SPC230NC.SYS [08/05/2010 11.03.13 461056]
S3 UnhookMBRS;UnhookMBRS;\??\c:\docume~1\ADMINI~1\IMPOST~1\Temp\609cf656.nmc\nse\bin\unhookmbrs.sys -->

c:\docume~1\ADMINI~1\IMPOST~1\Temp\609cf656.nmc\nse\bin\unhookmbrs.sys [?]

S3 usb2vcom;USB Data Cable;c:\windows\system32\drivers\usb2vcom.sys [03/12/2006 10.52.31 28704]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [05/01/2008 23.05.13 715248]
.
Contenuto della cartella 'Scheduled Tasks'

2010-10-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2006-10-08 c:\windows\Tasks\Promemoria registrazione 1.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-09-21 02:14]

2006-10-15 c:\windows\Tasks\Promemoria registrazione 2.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-09-21 02:14]

2006-10-22 c:\windows\Tasks\Promemoria registrazione 3.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-09-21 02:14]
.
.
------- Scansione supplementare -------
.
uInternet Connection Wizard,ShellNext = hxxp://www.trustware.com/uninstall_feed ... 38&aid=100
FF - ProfilePath -
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKLM-Run-NPSStartup - (no file)
MSConfigStartUp- - c:\windows\system32\msnmsgr.exe
MSConfigStartUp-BufferZone - c:\programmi\BufferZone\CLIENTGUI.EXE
MSConfigStartUp-kebebvzv - c:\documents and settings\salvatore dezio\impostazioni locali\dati applicazioni\kebebvzv.exe
MSConfigStartUp-NDSTray - NDSTray.exe
MSConfigStartUp-Nokia FastStart - c:\programmi\Nokia\Nokia Music\NokiaMusic.exe
MSConfigStartUp-TFncKy - TFncKy.exe
MSConfigStartUp-Timer - c:\documents and settings\All Users\Dati applicazioni\Windows Media Directory\Clearsys.exe
AddRemove-atealfk - c:\documents and settings\mauro dezio\impostazioni locali\dati applicazioni\atealfk.exe
AddRemove-pokersnai - c:\poker\Poker Snai\_SetupPoker.exe
AddRemove-ShockwaveFlash - c:\windows\system32\Macromed\Flash\FlashUtil9c.exe
AddRemove-SpeederXP_is1 - c:\programmi\SpeederXP\unins000.exe

.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(220)
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2010-10-15 22:47:52
ComboFix-quarantined-files.txt 2010-10-15 20:47

Pre-Run: 36.391.444.480 byte disponibili
Post-Run: 38.048.432.128 byte disponibili

- - End Of File - - C1D43B5E6F73F22CA13AF3312EE5EC69

da **Uomo_Senza_Sonno** » ven ott 15, 2010 10:40 pm

monikamc ha scritto:\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected

nel log di combofix viene rilevata una componente bootkit, per cui ti consiglio di leggere questo articolo per la sua rimozione. Per il resto, vediamo come procedere e ripulire l'mbr [std]

, perché è infetto.

Hai un disco da circa 80 giga, con una sola partizione.

monikamc ha scritto:device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 9 !
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !

Dovresti postare, oltre al settore già postato, i settori 60, 61, 62, 63, 155878695, 156296385, 156296388, 156296410 e 156301488
Poi procediamo con la rimozione, nel caso non funzionasse la procedura descritta nell'articolo.

da **monikamc** » sab ott 16, 2010 12:43 pm

ho eseguito la guida su bootkit remover , ma non prosegue da error 2 can't open phisical device
ti posto le altre immagini attendo istruzioni , in primis fatemi sapere se una procedura mi fa perdere i dati

http://img411.imageshack.us/img411/3965/immagine3d.jpg
http://img214.imageshack.us/img214/1209/immagine4g.jpg
http://img836.imageshack.us/img836/4753/immagine5ep.jpg
http://img294.imageshack.us/img294/5374/immagine6mr.jpg
http://img404.imageshack.us/img404/2145/immagine7a.jpg
http://img258.imageshack.us/img258/5227/immagine8t.jpg
http://img687.imageshack.us/img687/7247/immagine9m.jpg
http://img831.imageshack.us/img831/7721/immagine10z.jpg
http://img28.imageshack.us/img28/7013/immagine11w.jpg

da **Uomo_Senza_Sonno** » sab ott 16, 2010 4:23 pm

Se la procedura contro i bootkit non ha prodotto risultati significa che non è proprio un bootkit, diversamente da quello che ha rilevato combofix [uhm]

Allora.... prima di procedere, ti sono necessarie alcune cose:

1. cd di windows (serve per la consolle di ripristino, in alternativa dovrai installarla con combofix)
2. distro live GNU/linux, per rimuovere definitivamente la minaccia,
3. un altro HD dove eseguire il backup di sicurezza sotto la distro live (eseguire il backup da windows equivale ad infettare anche il secondo HD; se i dati importanti non sono tantissimi, puoi eseguire qualche masterizzazione);
4. se possibile fai in modo che le immagini dei settori siano complete, in modo da vedere il settore per intero;

In questo post è spiegata la procedura da eseguire direttamente con HxD, ma se non riesco a vedere gli estremi dei settori non posso indicarti con precisione gli offset. Pertanto dovremo andare ad utilizzare il terminale della distro live.
In sintesi, dovrai dare due comandi con il terminale, al termine riavvi il pc ed esegui la consolle di ripristino e dai fixmbr e fixboot. al successivo riavvio verificherai nuovamente l'eventuale presenza di rootkit.
Se puoi, posta le immagini a risoluzione schermo superiore, di modo che i settori siano completi, di modo che se preferisci utilizziamo HxD per editare il disco, altrimenti per fare pulizia in modo sicuro abbiamo solo questa strada.

da **monikamc** » sab ott 16, 2010 5:06 pm

a quale risoluzione ti occorre l'immagine? per poter operare con hxd e la distro dove la trovo? Potrei seguire le istruzione della pagina 6 di master3d?

2)che rischi corro? se non eseguo un immagine dell'hd (dato che mi trovo impossibilitata di un altro hd) con utility di recupero dati potrei recuperare i file importati in caso di uso di hxd?

In merito a al tool bootkit remover son funziona da subito comparendo l'avviso che effettuera' dei riavvii pa poi da prompt mi da l'errore che non riesce ad aprire pisical drive.

Ho postato in questa sessione perche il nod32 ad ogni riavvio mi segnala codesto virus ,ma anche effettuando analisi profonda nulla, ne il tool apposito della eset risolve.

Che cosa succede se resta cosi il bootsector dell'hd ? potrei di nuovo contrarre il virus?

da **Uomo_Senza_Sonno** » sab ott 16, 2010 5:28 pm

1. Se puoi imposta una risoluzione dello schermo almeno a 1024x768, così a piena schermo si vede il settore per intero;
2. Una certa percentuale di rischio c'è, per cui è meglio fare un backup preventivo prima di eseguire la procedura indicata da masterz3d;
3. Il bootkit remover funziona efficacemente per un'altra infezione virale, con i rootkit è praticamente inutile;
4. Per usare solo HxD è meglio avere i settori completi, se si sbagliano gli offset si rischia di non avere più il disco leggibile;

In questo link puoi trovare la distro più utilizzata ultimamente, anche per la sua praticità e versatilità. La masterizzi e fai eseguire il boot da cd rom, selezioni la lingua e aspetti il caricamento, e se serve puoi collegarti ad internet immediatamente.

Putroppo il virus viene segnalato ma non viene rimosso in nessun modo, l'unica strada è questa. Se non rimuovi, e il bootsector rimane così com'è, non è che contrai nuovamente il virus, lo tieni e potresti infettare altri pc tramite supporti rimovibili.

Quindi, fai questi passi per il momento:
posta le immagini dei settori a risoluzione più elevata, in modo che si leggano completamente;
scarica la distro e masterizza su cd

da **monikamc** » sab ott 16, 2010 7:01 pm

info: e' che un live cd con g-data antivirs mi abbia rimosso il problema? il tool eset non lo individua piu ne il nod32 aggiornato ad ogni avvio me losegnala al momento.......

unica cosa se eseguo mbr.exe mi dice

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 9 !
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !

c'è ancora ? come posso essere sicura?

Grazie mille per il supporto

da **Uomo_Senza_Sonno** » sab ott 16, 2010 7:24 pm

Dovresti ripostare il settore 0, per appurare l'effettivo ripristino... mbr.exe rileva ancora queste tracce perché ci sono ancora.
Procedi in questo modo:
utilizza la consolle di ripristino, e dai il comando fixmbr e fixboot, poi posta il settore 0. Forse è stato rimosso qualcosa ma qualcosa c'è ancora

da **monikamc** » sab ott 16, 2010 9:35 pm

questi sono i nuovi screenshoot mi puoi dire come intervenire con hxd

http://img651.imageshack.us/img651/8611/immagine0.jpg
http://img209.imageshack.us/img209/207/immagine60.jpg
http://img830.imageshack.us/img830/9329/immagine61.jpg
http://img844.imageshack.us/img844/7797/immagine62.jpg
http://img840.imageshack.us/img840/27/immagine63.jpg
http://img146.imageshack.us/img146/2006/immagine155u.jpg
http://img408.imageshack.us/img408/6492/immagine156b.jpg
http://img257.imageshack.us/img257/7848/immagine156c.jpg
http://img844.imageshack.us/img844/883/immagine156d.jpg
http://img259.imageshack.us/img259/2788/immagine156f.jpg

grazie ancora

da **Uomo_Senza_Sonno** » sab ott 16, 2010 11:51 pm

Prima di procedere, vorrei vedere anche il settore 155878694, per cortesia.

Dopo un'attenta analisi, ti direi di seguire la procedura indicata in questo post per ripulire i primi 62 settori, mentre per la parte finale devi ripetere la procedura con degli offset differenti, che ti scriverò dopo aver visto il settore che ti ho chiesto.

da **monikamc** » dom ott 17, 2010 6:55 am

http://img254.imageshack.us/img254/5480/immagine00.jpg

ecco il settore indicato, per la procedura la seguo passo passo?

da **Uomo_Senza_Sonno** » dom ott 17, 2010 12:01 pm

Esattamente.... per quanto riguarda i settori finali, l'offset da inserire come inizio è 12950A4E00 e come offset finale 12A1F15FFF

Riavvia il pc, esegui fixmbr e fixboot dalla consolle di ripristino e poi al riavvio verifica con mbr.exe se il log è pulito

da **monikamc** » dom ott 17, 2010 12:38 pm

ho eseguito la parte per settore 1 a 63 devo fare la stessa procedura per gli altri valori ? dopo devo riavviare il pc ? e fare un fixmbr e fixboot o non c'e ne' bisogno?

www.MegaLab.it

Trojan Win32/Mebroot.mbr.

Re: Trojan Win32/Mebroot.mbr.

Re: Trojan Win32/Mebroot.mbr.

Re: Trojan Win32/Mebroot.mbr.

Re: Trojan Win32/Mebroot.mbr.

Re: Trojan Win32/Mebroot.mbr.

Re: Trojan Win32/Mebroot.mbr.

Re: Trojan Win32/Mebroot.mbr.

Re: Trojan Win32/Mebroot.mbr.

Re: Trojan Win32/Mebroot.mbr.

Re: Trojan Win32/Mebroot.mbr.

Re: Trojan Win32/Mebroot.mbr.

Re: Trojan Win32/Mebroot.mbr.

Re: Trojan Win32/Mebroot.mbr.

Re: Trojan Win32/Mebroot.mbr.

Re: Trojan Win32/Mebroot.mbr.

Re: Trojan Win32/Mebroot.mbr.

Re: Trojan Win32/Mebroot.mbr.

Re: Trojan Win32/Mebroot.mbr.

Re: Trojan Win32/Mebroot.mbr.

Re: Trojan Win32/Mebroot.mbr.

Chi c’è in linea