MegaLab.it

Salve a Tutti e complimenti sia per il portale che per il forum...!

Ho di recente messo le manine su di un vecchi PC Windows XP, con un vetustissimo Pentium 3 a 800 MHz...

Il pc è circa un anno che non vien formattato ed ha installato Windows XP Professional originale, con SP3 e tutti gli hotfix disponibili ad oggi...

Purtroppo la persona che lo utilizza non è esperta e bazzica spesso su Facebook & company oltre a ricevere moltissimo SPAM "cattivo"...! Avevo installato una suite completa ed abbastanza buona, ma sopratutto leggera (viste le prestazioni non proprio TOP del PC in questione): Avira Premium Security 8.0. Purtroppo però l'utonto in questione, non si è accorto che la licenza era scaduta da + di 10 giorni (bastava notare l'ombrellino chiusa dell'icona in esecuzione automatica...)...

A questo punto, oltre a rinnovare la licenza ed installare la nuova versione (9.0.X) della suite sovraindicata, ho voluto approfondire il discorso "infezioni", visto che era rimasto scoperto più giorni...

Ho fatto partire sia il Rescue Disc di AVIRA (creato dal mio PC sano) ed anche l'ottimo Rescue CD di Kaspersky (che si aggiorna al momento dell'utilizzo)...: entrambi hanno avuto difficoltà a leggere alcuni settori del BootRecord, ma per il resto, non hanno trovato un'emerita cippa...

Quindi, insospettito in particolare dallo Skip del botrecord, che effettuava il tool della cara e buon vecchia KAV, ho voluto utilizzare un tool "ad hoc": MBR.EXE (dai creatori dell'ottimo GMER).

Questa suite mi ha trovato tutto OK, ma ha aggiunto la seguente dicitura alla fine:

"PE file found in sector at 0x04E633E18!"

"PE" credo stia per "Potentially Encrypted", ma non so proprio come farlo andar via.

Ho già provato:

1) mbr.exe -F (come da guida)
2) FXMBR.EXE (Della Symantech)
3) GMer (che non ha trovato nulla)
4) RootKitBuster (Nulla di Nulla)
5) Sophos Anti RootKit (Una chiave di registro nascosta, correttamente eliminata...)
6) Avenger 2.0 (un driver nascosto, correttamente rimosso...!)

Ma poi, lanciando nuovamente il "simpatico" mbr.exe, il risultato non cambia...!!!

Avete gentilmente qualche suggerimento in proposito...?!?

Resto in attesa di un Vostro gradito supporto e Vi ringrazio anticipatamente.

Lamerone

Nell'elenco dei tentativi eseguiti manca questo:
http://mondoemule.blogspot.com/2009/04/ ... otkit.html

Se la procedura suggerita da gioia non sortisce effetti, sarà il caso di passare a maniere più forti.

Fai una scansione preliminare con combofix, rimuoverà la maggior parte delle infezioni, e probabilmente anche eventuali rootkit. Se non si avvia il programma, rinominalo con un nome a caso e disabilita il ripristino di configurazione sistema prima di avviare la scansione.
Al termine della scansione e rimozione verrà generato un log, che è sempre meglio postare.. in più ripeti il comando mbr.exe e controlla se genera lo stesso log di prima. In questo caso è probabile che il rootkit sia ancora presente, o forse è presente soltanto un rimasuglio del suo codice, che va cancellato manualmente.
In questo topic (e pagine successive) trovi una procedura che è un po' laboriosa, ma sicuramente efficace, provata di persona

PE dovrebbe essere l'acronimo di Portable Executable.

Gentilissimi,

innanzitutto vi ringrazio moltissimo per le celeri ed utili risposte ed ancora complimenti per il forum...

Purtroppo però, non sono riuscito a risolvere il problema poiché, dalle prove che ho effettuato seguendo i vostri consigli, tra cui la guida per utilizzare il HxD e l'Ultra Wipe, è emerso che il nostro simpatico "PE" (portable executable, come giustamente suggerito da masterz3d), sta al di fuori del normale partizionamento di Windows (che in questo caso si riduce al solo "C:\", che corrisponde all'intero ed unico HD installato).

Quindi, se ho ben capito, a parte l'estrema soluzione di reinstallare il tutto su di un altro HD (sicuramente più veloce e pratica, ma meno economica...), ci sarebbe la rigenerazione dei settori, a basso livello..., giusto?!?

Ho quindi 3 domandine finali, per chi vorrà rispondermi:

1) Per fale tale procedura, posso usare uno dei vari tools presenti nell'ottimo Hiren's Boot CD?!?

2) Visto che il pc funziona perfettamente, il drivers nascosto è stato eliminato da Avenger e non ultimo, ho installato l'ultima versione dell'ottimo Comodo, configurata al massimo ed anche un filtro di IP (tra cui l'ottima lista ATMA) e l'avira professional con licenza rinnovata e versione 9: posso dire all'utente che può dormire sonni tranquilli o quasi...? Oppure c'è ancora il rischio che da questo "simpatico" "PE" (che io risoprannominerei "P.M.": lascio a voi l'interpretazione del nuovo acronimo...) , si sviluppi qualche altra minaccia attiva per la sicurezza e privacy del pc in questione? Oltretutto il pc è in una rete semplice "Netbios": potrebbe l'hacker quindi prendere il controllo anche degli altri pc, anche se ben protetti e con altre suite di sicurezza installate (KIS 2010 e filtro IP)??? ^_^

3) Ripartizionare il tutto ad esempio con Ubuntu, potrebbe risolvere il problema (senza arrivare ad utilizzare il comando "DD")?

Vi ringrazio anticipatamente e spero in un vostro ulteriore supporto.

Buona notte a tutti!

LamerOne

Ti dico solo una cosa: se è il rootkit contro cui io e altri abbiamo combattuto, un nuovo partizonamento in Linux è perfettamente inutile senza usare dd. Ma anche una formattazione completa, a meno che non usi un programma per format a basso livello, se esiste, per il tuo disco rigido.
Quindi, o segui la guida da qui in poi, o usi dd per zerofillare tutto il disco. Non ci sono vie di mezzo, semplicemente perché il codice del rootkit sta in settori normalmente non raggiungibili dai programmi di partizionamento di QUALSIASI sistema operativo.

Lamerone ha scritto:Purtroppo però, non sono riuscito a risolvere il problema poiché, dalle prove che ho effettuato seguendo i vostri consigli, tra cui la guida per utilizzare il HxD e l'Ultra Wipe, è emerso che il nostro simpatico "PE" (portable executable, come giustamente suggerito da masterz3d), sta al di fuori del normale partizionamento di Windows (che in questo caso si riduce al solo "C:\", che corrisponde all'intero ed unico HD installato).

A fronte della passata esperienza con questo problema, i mbr rootkit si inseriscono al di fuori del normale partizionamento di windows, in modo tale da rimanere invisibile al controllo dell'antivirus. Quindi è del tutto normale quanto hai riscontrato. HxD ti fa capire in quali settori, in genere i primi 62-63, il codice maligno è inserito. Probabilmente, se il pc funziona correttamente, è rimasto qualche porzione di codice e quindi al controllo con mbr.exe ti riscontra sempre il problema. Quindi il consiglio è: riguarda il post che ti abbiamo indicato, in tutte le pagine, e controlla i primi settori del disco e verifica se sono vuoti o meno. In genere dovrebbero essere vuoti.
Rivedi il post anche da qui, magari non è necessario un zerofilling come suggerito da masterz3d, anche se resta la soluzione più sicura, testata personalmente.

masterz3d ha scritto:Ti dico solo una cosa: se è il rootkit contro cui io e altri abbiamo combattuto, un nuovo partizonamento in Linux è perfettamente inutile senza usare dd. Ma anche una formattazione completa, a meno che non usi un programma per format a basso livello, se esiste, per il tuo disco rigido.
Quindi, o segui la guida da qui in poi, o usi dd per zerofillare tutto il disco. Non ci sono vie di mezzo, semplicemente perché il codice del rootkit sta in settori normalmente non raggiungibili dai programmi di partizionamento di QUALSIASI sistema operativo.

Rootkit
Masterz3d, l'unica soluzione professionale per eliminare definitivamente gli mbr rootkit

Uomo_Senza_Sonno ha scritto:Masterz3d, l'unica soluzione professionale per eliminare definitivamente gli mbr rootkit

Masterz3d è il Vega dei mbr rootkit