MegaLab.it

Inviato: **ven gen 21, 2011 4:51 pm**

Ciao a tutti!

Sto avendo problemi con un computer con Windows XP
Il computer ha un MBR Rootkit che faceva comparire all'avvio la seguente scritta "trend chipawayvirus has detected a boot virus on your hard disk".
Provando a lanciare GMER questo mi rilevava la presenza del rootkit, tuttavia il computer si bloccava durante la scansione tanto da dover riavviare manualmente.
Il computer dopo qualche tentativo non avviava Xp tanto che ho dovuto eliminare un file da 0 KB sotto /system32/driver per farlo avviare. (Operazione effettuata tramite UBUNTU live-CD).

Ora il XP si avvia ma il computer è davvero rallentato e credo seriamente che vi siano altre infezioni in corso, incluso il rootkit solo in parte debellato.

Non avendone alcuna dimestichezza vi posto i log di SystemScan, PrevX e HijackThis.

HELP ME, PLEASE ^^

HijackThis Log : hijackthis.log

PrevX Log : aa.log

SystemScan : report.txt

Inviato: **ven gen 21, 2011 5:15 pm**

La prossima volta usa il tag MEMO per allegare i log [^]

Scarica questo, salvalo in C:\, poi vai su start -> esegui -> cmd -> scrivi "C:\mbr.exe -f" (senza virgolette)

Dovrebbe lasciarti un log: scrivicelo con il tag MEMO, c'è il manifesto di sezione su come usarlo [^]

Inviato: **ven gen 21, 2011 10:55 pm**

Dal log di systemscan non si registrano infezioni nell'mbr, quindi rootkit non dovrebbero esserci... ad ogni modo faremo un controllo, prima con mbr.exe come già detto da Berga

Inviato: **sab gen 22, 2011 12:02 am**

Ok, ho effettuato una scansione con Malwarebytes che mi ha trovato 600 oggetti che ho provveduto ad eliminare.
Successivamente ho usato TDSSkiller che non mi ha rilevato nessun oggetto.

Il log di MBR mi dà tutto ok :

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6Y080L0 rev.YAR41BW0 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Credo che l'iniziale rootkit sia quel file ".sys" da 0 kb in /system32/drivers che ho eliminato manualmente tramite UBUNTU.
(soluzione trovata dato che non mi si avviava + XP, http://social.answers.microsoft.com/...5-408524ace776 )

Tuttavia vi sarei davvero grato se tramite il log di Systemscan potreste dirmi se sono presenti altre INFEZIONI attive!

Grazie 1000 ^^

Inviato: **sab gen 22, 2011 1:43 pm**

Log di MBAM? [rolleyes]

Poi leggendo meglio HijackThis ho trovato questo: O4 - HKLM\..\Policies\Explorer\Run: [iexplorer] C:\Documents and Settings\Mario\Dati applicazioni\exploite.exe
Potrebbe averlo eliminato benissimo MBAM; per precauzione fai un'altra scansione (con HJ [^]

)

Mi dispiace ma non so leggere il log di systemscan... ci posso provare...
EDIT: Dimenticavo l'Ask Toolbar, anche se non è un problema critico [^]

Inviato: **sab gen 22, 2011 2:12 pm**

Ecco il Log di MBAM : http://wikisend.com/download/527740/mbam-log-2011-01-21%20%2823-31-26%29.txt

Ho fatto 1 po' di pulizia con HijackThis, questo è l'ultimo Log:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14.01.13, on 22/01/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\Programmi\Prevx\prevx.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programmi\Prevx\prevx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Mobile Partner\Mobile Partner.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programmi\Emsisoft Anti-Malware\a2service.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
C:\Hijackthis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SafeOnline BHO - {69D72956-317C-44bd-B369-8E44D4EF9801} - C:\WINDOWS\system32\PxSecure.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [a-squared] "C:\Programmi\Emsisoft Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2060893390
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 2061275953
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2584FEF0-C254-4D2D-8B4D-8B5898D9B0AF}: NameServer = 213.230.155.10 213.230.129.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{2584FEF0-C254-4D2D-8B4D-8B5898D9B0AF}: NameServer = 213.230.155.10 213.230.129.10
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Emsisoft Anti-Malware 5.0 - Service (a2AntiMalware) - Emsi Software GmbH - C:\Programmi\Emsisoft Anti-Malware\a2service.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: CSIScanner - Prevx - C:\Programmi\Prevx\prevx.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe

--
End of file - 8741 bytes

Inoltre ho fatto una scansione con Eset Sys-Inspector, Log : SysInspector-USER-8EA38D33D3-110122-1136.xml

Grazie Berga95!

Qualcuno esperto nell'analisi del Log di Systemscan può aiutarmi a ripulire per bene il computer ??
[grazie]

Inviato: **sab gen 22, 2011 2:30 pm**

Pialla tutti i risultati di MBAM, erano anche segnalati su SystemScan, che stavo provando a leggere... ad occhio e croce è pulito, meglio però che aspetti una conferma... comunque, il tuo file hosts è bello lungo [:D]

Inviato: **sab gen 22, 2011 3:56 pm**

Berga95 ha scritto:Pialla tutti i risultati di MBAM, erano anche segnalati su SystemScan, che stavo provando a leggere... ad occhio e croce è pulito, meglio però che aspetti una conferma... comunque, il tuo file hosts è bello lungo

Ho eliminato i risultati di MBAM.
Cosa devo fare con il file Hosts ??

Grazie ^^

Inviato: **sab gen 22, 2011 4:21 pm**

No, niente, è stato modificato da un AV [^]

Penso che sei pulito...

Inviato: **sab gen 22, 2011 4:36 pm**

Ok,

solo che il computer è ancora molto rallentato...
Mi consigliate qualche scansione per stare sicuro ??

In attesa di qualche esperto x l'analisi di Systemscan!

Inviato: **sab gen 22, 2011 7:02 pm**

Nell'attesa, puoi fixare queste... magari l'avvio risulterà più veloce [^]

Oresthe ha scritto:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"

Mannaggia

hai 2 AV in real-time? e ci credo che sei rallentato... tieni solo avira [^]

Inviato: **sab gen 22, 2011 7:05 pm**

Scusa quale sarebbe il secondo antivirus oltre ad Avira ??

Inviato: **sab gen 22, 2011 8:55 pm**

O4 - HKLM\..\Run: [a-squared] "C:\Programmi\Emsisoft Anti-Malware\a2guard.exe"
...

Inviato: **dom gen 23, 2011 1:17 am**

Ok, capito anche se guardando il task manager occupa davvero poca memoria...

Qualche consiglio per velocizzare 1 po' il computer in generale... e in particolare all'avvio ??

^^

MegaLab.it

MBR Rootkit + Infezioni

MBR Rootkit + Infezioni

Re: MBR Rootkit + Infezioni

Re: MBR Rootkit + Infezioni

Re: MBR Rootkit + Infezioni

Re: MBR Rootkit + Infezioni

Re: MBR Rootkit + Infezioni

Re: MBR Rootkit + Infezioni

Re: MBR Rootkit + Infezioni

Re: MBR Rootkit + Infezioni

Re: MBR Rootkit + Infezioni

Re: MBR Rootkit + Infezioni

Re: MBR Rootkit + Infezioni

Re: MBR Rootkit + Infezioni

Re: MBR Rootkit + Infezioni