MegaLab.it

Inviato: **mar feb 08, 2011 2:56 pm**

Buon giorno e grazie per l'ospitalità su questo forum! Un saluto allo staff ed ai suoi membri.

Premessa: ho un portatile Acer TM 290 con installati Windows XP e Fedora GNU/Linux oltre ad una partizione NTFS riservata esclusivamente ai dati.
Ho avuto il desiderio di mantenere Windows attivo ed efficiente, benché non lo usi quasi mai (dal momento che attualmente non ho più necessità di utilizzare il pc per finalità professionali Fedora va benissimo, è stabile, ...).

Il problema forse derivante da una cartella "cloud" dropbox condivisa con un altro pc fisicamente distante da me (di cui ho necessità di mantenerne l'esistenza) ed utilizzato da un mio familiare riguarda, come da oggetto, un bootkit che mi impedisce di ripristinare le normali funzionalità e di avere un pc pulito.

Prima di venire a chiedere aiuto le ho provate un po' tutte.
Ho ripristinato il mbr (C:\remover.exe...) dopo aver rilevato (Stealth MBR detector) che il problema effettivamete c'era. Successivamente ho fatto scansioni con MBAM, Prevx 3.0 e poi GMER, tentato di lanciare Combofix (che non riesce neppure a partire), usato i rescue cd di Avira e Kaspersky, formattato (non a basso livello), etc, etc, insomma vorrei fare le cose in maniera più ordinata ed avere assistenza da parte vostra, se possibile, per risolvere il problema che sta diventando una (stupida forse) questione di puntiglio!

Ho provato a rimuovere le cartelle RECYCLER e System Volume Information dal volume che ospita i dati direttamente da Linux, ma le cartelle vengono ricreate il virus ha sicuramente stravolto il registro di sistema, ...

In una parola: AIUTO! :-)

Inviato: **mar feb 08, 2011 3:04 pm**

Da http://free.antivirus.com/hijackthis/ scaricati Hijackthis v. 2.0.4! Fai una scansione e posta il file .log in questa discussione, sapremo di certo risolvere il problema! [^]

Inviato: **mar feb 08, 2011 3:06 pm**

Grazie! Provvedo subito. Va bene lo stesso se lo installo da account user o mi devo disconnettere e riaccedere come administrator?

Inviato: **mar feb 08, 2011 3:09 pm**

Installare? Clicca su Executable e scaricati la versione portable, che non richiede installazione [^]

Comunque i diritti amministrativi non sono necessari [;)]

Inviato: **mar feb 08, 2011 3:14 pm**

Scansione bloccata. Questo è lo screenshot del problema: http://imm.io/3CBE :-(

Inviato: **mar feb 08, 2011 3:18 pm**

Un bootkit?

Leggi qui http://www.MegaLab.it/6360/guida-alla-r ... ei-bootkit

Per un'ulteriore pulizia segui queste istruzioni

Scansiona in provvisoria [;)]

Inviato: **mar feb 08, 2011 3:21 pm**

Ok! Provvedo...tenete conto, se può essere utile che posso accedere anche da Fedora ai volumi infetti! Grazie anticipato! Alessandro

Inviato: **mar feb 08, 2011 3:23 pm**

abate ha scritto:tenete conto, se può essere utile che posso accedere anche da Fedora ai volumi infetti!

Quasi dimenticavo [acc2]

Visto che sei già pratico di GNU/Linux,una scansioncina da Live CD non guasta [:)]

http://www.MegaLab.it/6562/i-virus-su-w ... ite-ubuntu

Inviato: **mar feb 08, 2011 3:25 pm**

Bloccata la scansione con Hijackthis prova a scaricare ed a installare Gmer! Lo trovi qui: http://www.gmer.net/. L'applicazione rileva tutti quei malware che difficilmente gli altri antivirus rilevano (come rootkit o altro)! [;)]

Inviato: **mar feb 08, 2011 3:30 pm**

Prima di riavviare, ho chiuso la dialog con il problema e mi si è aperto il log di Hijackthis. Come lo allego? Scusate la momentanea incapacità di intendere e volere! ;-)

Inviato: **mar feb 08, 2011 3:34 pm**

Per postare i log correttamente leggi questa discussione: http://www.MegaLab.it/forum/topic45943.html

Inviato: **mar feb 08, 2011 3:36 pm**

Grazie! Eccolo:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15.26.16, on 08/02/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Online Armor\OAcat.exe
C:\Programmi\Online Armor\oasrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Prevx\prevx.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\Programmi\Avira\AntiVir Desktop\avmailc.exe
C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\alessandro\Documenti\Download\HijackThis.exe
C:\WINDOWS\System32\svchost.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

Collegamenti
O2 - BHO: SafeOnline BHO - {69D72956-317C-44bd-B369-8E44D4EF9801} -

C:\WINDOWS\system32\PxSecure.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper -

{DBC80044-A445-435b-BC74-9C25C1C588A9} -

C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -

C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java

Update\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe"

/min
O4 - HKLM\..\Run: [@OnlineArmor GUI] "C:\Programmi\Online Armor\OAui.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-790525478-789336058-839522115-1004\..\Run: [CTFMON.EXE]

C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-790525478-789336058-839522115-1005\..\Run: [CTFMON.EXE]

C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User

'?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User

'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -

C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -

{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network

Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 -

HKLM\System\CCS\Services\Tcpip\..\{834BB1AB-05A9-4A2E-AE70-796CB7B71C77}:

NameServer = 208.67.222.222,208.67.220.220
O17 -

HKLM\System\CCS\Services\Tcpip\..\{E091CFC7-7A15-41B9-B388-2799676466CF}:

NameServer = 208.67.222.222,208.67.220.220
O17 -

HKLM\System\CS1\Services\Tcpip\..\{834BB1AB-05A9-4A2E-AE70-796CB7B71C77}:

NameServer = 208.67.222.222,208.67.220.220
O22 - SharedTaskScheduler: Precaricatore Browseui -

{438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti -

{8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH -

C:\Programmi\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira

GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH -

C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH -

C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: CSIScanner - Prevx - C:\Programmi\Prevx\prevx.exe
O23 - Service: Servizio COM di masterizzazione CD IMAPI (ImapiService) -

Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun

Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Online Armor Helper Service (OAcat) - Unknown owner -

C:\Programmi\Online Armor\OAcat.exe
O23 - Service: PEVSystemStart - Unknown owner - C:\thcbytes4364t\PEV.cfxxe
O23 - Service: Online Armor (SvcOnlineArmor) - Unknown owner -

C:\Programmi\Online Armor\oasrv.exe

--
End of file - 5008 bytes

Inviato: **mar feb 08, 2011 3:47 pm**

Avevo già installato e scansionato con Avast da Fedora, ma non rilevava nulla. Ora ho pure acquistato Avira premium per Windows, ma finché non lo installo su un sistema pulito...
Comunque anche se è vero che il miglior antivirus è l'uomo, tuttavua le cavolate si fanno anche per fretta, stanchezza oppure sono "cavolate passive", come cartelle cloud condivise dove i problemi non vengono creati da te, ma da altri utenti e tu passivamente subisci le conseguenze!
La mia opinione personale è che il software Perfetto non esiste (nè Win, né Linux, né OSx, né BSD, ...) Ognuno ha i suoi pregi e le sue beghe! Scusate la digressione...

Inviato: **mar feb 08, 2011 3:50 pm**

abate ha scritto:Ho ripristinato il mbr (C:\remover.exe...) dopo aver rilevato (Stealth MBR detector) che il problema effettivamete c'era. Successivamente ho fatto scansioni con MBAM, Prevx 3.0 e poi GMER, tentato di lanciare Combofix (che non riesce neppure a partire), usato i rescue cd di Avira e Kaspersky, formattato (non a basso livello), etc, etc, insomma vorrei fare le cose in maniera più ordinata ed avere assistenza da parte vostra, se possibile, per risolvere il problema che sta diventando una (stupida forse) questione di puntiglio!

Non è proprio una questione di puntiglio, la questione è che l'infezione rimane radicata e non si estirpa se non formattando a basso livello. Ma se vogliamo evitare questo rimedio estremo, possiamo provare a editare i settori del disco dove risiede ancora l'infezione.

Leggi questa discussione, e utilizzando la guida che ho indicato posta il settore 0 del disco infetto con HxD.

Inviato: **mar feb 08, 2011 3:51 pm**

Sei sicuro di aver postato correttamente il log? Perché sembra che alcune voci siano state "spezzettate"!
Ad esempio: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = e http://go.microsoft.com/fwlink/?LinkId=69157 dovrebbero stare insieme [...]

Questo è solo uno dei tanti esempi che potrei fare, comunque prova a fixare:

O23 - Service: PEVSystemStart - Unknown owner - C:\thcbytes4364t\PEV.cfxxe

Che comunque non è il problema... e ripeto: scarica ed esegui Gmer!

Inviato: **mar feb 08, 2011 3:59 pm**

Si gmer questa volta ha rilevato malware ed ora sta scansionando...appena pronto lo accludo. Il log di Hijackthis forse è uscito strano x via di quell'errore di accesso di cui avevo inviato lo screenshot: http://imm.io/3CBE

@Uomo_Senza_Sonno vorrei se possibile evitare la formattazione a basso livello perché non saprei dove mettere i file dati (ho solo una pen drive da 16GB già occupata e "poche possibilità di acquisto" di un HD esterno al momento. I soldi spesi per Avira sono un buon investimento (anche un pizzico di riconoscenza per aver utilizzato per tanto tempo il servizio free), ma al momento devo stare tranquillino anche se i "desideri Tech" non mancano... ;-)

Inviato: **mar feb 08, 2011 4:12 pm**

Il log non entra perché è di 60267 caratteri allora ditemi se va bene così: http://ge.tt/4YfHnj8

Inviato: **mar feb 08, 2011 5:57 pm**

Avevo dimenticato di dire che dopo aver formattato il volume ed aver reinstallato Windows e la SP3 è apparso questo messaggio che ha "forzato" il riavvio: http://imm.io/3CO7

Mah!

Mi fate sapere quando avete analizzato il log di gmer come devo procedere?

Inviato: **mar feb 08, 2011 6:57 pm**

@Uomo_Senza_Sonno il settore 0 è:

EB 48 90 D0 BC 00 7C FB 50 07 50 1F FC BE 1B 7C BF 1B 06 50 57 B9 E5 01 F3 A4 CB BD BE 07 B1 04 38 6E 00 7C 09 75 13 83 C5 10 E2 F4 CD 18 8B F5 83 C6 10 49 74 19 38 2C 74 F6 A0 B5 07 B4 03 02 80 00 00 80 7C 8F 02 08 00 08 FA 90 90 F6 C2 80 75 02 B2 80 EA 59 7C 00 00 31 C0 8E D8 8E D0 BC 00 20 FB A0 40 7C 3C FF 74 02 88 C2 52 F6 C2 80 74 54 B4 41 BB AA 55 CD 13 5A 52 72 49 81 FB 55 AA 75 43 A0 41 7C 84 C0 75 05 83 E1 01 74 37 66 8B 4C 10 BE 05 7C C6 44 FF 01 66 8B 1E 44 7C C7 04 10 00 C7 44 02 01 00 66 89 5C 08 C7 44 06 00 70 66 31 C0 89 44 04 66 89 44 0C B4 42 CD 13 72 05 BB 00 70 EB 7D B4 08 CD 13 73 0A F6 C2 80 0F 84 F0 00 E9 8D 00 BE 05 7C C6 44 FF 00 66 31 C0 88 F0 40 66 89 44 04 31 D2 88 CA C1 E2 02 88 E8 88 F4 40 89 44 08 31 C0 88 D0 C0 E8 02 66 89 04 66 A1 44 7C 66 31 D2 66 F7 34 88 54 0A 66 31 D2 66 F7 74 04 88 54 0B 89 44 0C 3B 44 08 7D 3C 8A 54 0D C0 E2 06 8A 4C 0A FE C1 08 D1 8A 6C 0C 5A 8A 74 0B BB 00 70 8E C3 31 DB B8 01 02 CD 13 72 2A 8C C3 8E 06 48 7C 60 1E B9 00 01 8E DB 31 F6 31 FF FC F3 A5 1F 61 FF 26 42 7C BE 7F 7D E8 40 00 EB 0E BE 84 7D E8 38 00 EB 06 BE 8E 7D E8 30 00 BE 93 7D E8 2A 00 EB FE 47 52 55 42 20 00 47 65 6F 6D 00 48 61 72 64 20 44 69 73 6B 00 52 65 61 64 00 20 45 72 72 6F 72 00 BB 01 00 B4 0E CD 10 AC 3C 00 75 F4 C3 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 CD AB CD AB 00 00 80 01 01 00 07 FE FF FF 3F 00 00 00 F4 9C 2C 03 00 0B D9 FF 07 97 EC FF 00 A0 2C 03 00 E0 C5 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 FE FF FF 05 FE FF FF 00 10 02 08 00 E8 4E 01 55 AA

Questo è lo screenshot: http://imm.io/3CTf

Inviato: **mar feb 08, 2011 10:14 pm**

Averlo nel log in formato testo non è molto utile, meno male che saggiamente hai postato l'immagine. Più che un bootkit hai un bel rootkit insediato nel disco, vediamo di rimuoverlo. Hai un disco da circa 80 giga diviso in due partizioni, mi devi postare in immagine i settori 61, 62, 63, 133332992 e 156301488. Poi se preferisci possiamo utilizzare il comando dd da terminale oppure HxD per rimuovere il problema.

MegaLab.it

Bootkit: ci giro intorno da un po', ma...

Bootkit: ci giro intorno da un po', ma...

Re: Bootkit: ci giro intorno da un po', ma...

Re: Bootkit: ci giro intorno da un po', ma...

Re: Bootkit: ci giro intorno da un po', ma...

Re: Bootkit: ci giro intorno da un po', ma...

Re: Bootkit: ci giro intorno da un po', ma...

Re: Bootkit: ci giro intorno da un po', ma...

Re: Bootkit: ci giro intorno da un po', ma...

Re: Bootkit: ci giro intorno da un po', ma...

Re: Bootkit: ci giro intorno da un po', ma...

Re: Bootkit: ci giro intorno da un po', ma...

Re: Bootkit: ci giro intorno da un po', ma...

Re: Bootkit: ci giro intorno da un po', ma...

Re: Bootkit: ci giro intorno da un po', ma...

Re: Bootkit: ci giro intorno da un po', ma...

Re: Bootkit: ci giro intorno da un po', ma...

Re: Bootkit: ci giro intorno da un po', ma...

Re: Bootkit: ci giro intorno da un po', ma...

Re: Bootkit: ci giro intorno da un po', ma...

Re: Bootkit: ci giro intorno da un po', ma...