www.MegaLab.it

[send]

Salve
dopo tre giorni di lavoro incomincio a credere di essermi imbattuto in qualche nuovo rootkit ostinato!
Ma andiamo con ordine, questa macchina con Windows 7 SP1 non permette nessuna attività di scrittura su disco o meglio fino al riavvio della macchina è possibile cancellare, disinstallare, rinominare file, insomma qualsivoglia operazione portata a termine sparisce al successivo riavvio, con l'orario di windows che torna indietro di un ora, se si lascia la macchina accessa di notte verso le tre si riavvia automaticamente tornando ad un ora corretta.
Controllato nel bios che non sia abilitato il controllo di scrittura su disco, procedo a scansionare con combofix ma nulla, al riavvio sparisce anche la cartella di lavoro e report.
Esternamente via usb riesco a ripulire da circa 80 virus quasi tutti con nome plk.dll, usando malwarebytes e avira, e qui vengono cancellati correttamente, come è anche possibile compiere operazioni su file, che rimangono al riavvio.
Accertato che non sia un problema hardware mi rimane solo l'eventualità di un rootkit.

[send]

Allego una scansione con HitmanPro e provo ad eliminare i file sospetti.

HitmanPro 3.6.2.173
www.hitmanpro.com

Computer name . . . . : PCSGURGOLA
Windows . . . . . . . : 6.1.1.7601.X86/4
User name . . . . . . : PCSGURGOLA\Usuario
UAC . . . . . . . . . : Disabled
License . . . . . . . : Free

Scan date . . . . . . : 2012-11-11 06:16:45
Scan mode . . . . . . : Normal
Scan duration . . . . : 8m 2s
Disk access mode . . : Direct disk access (SRB)
Cloud . . . . . . . . : Internet
Reboot . . . . . . . : No

Threats . . . . . . . : 2
Traces . . . . . . . : 14

Objects scanned . . . : 1.135.326
Files scanned . . . . : 21.951
Remnants scanned . . : 193.461 files / 919.914 keys

Malware _____________________________________________________________________

C:\Users\Usuario\AppData\Local\Temp\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbar4ie.exe
Size . . . . . . . : 997.768 bytes
Age . . . . . . . : 348.6 days (2011-11-28 14:48:41)
Entropy . . . . . : 8.0
SHA-256 . . . . . : 14F842F731671CC45DA1611BF3FCA33EBA5FF44F82251E2C7886CB04F5517CB7
Product . . . . . : BabylonToolbar
Publisher . . . . : BabylonToolbar
Version . . . . . : 1.5.3.17
RSA Key Size . . . : 2048
Authenticode . . . : Self-signed
> DrWeb . . . . . . : Infected
Fuzzy . . . . . . : 111.0

C:\Users\Usuario\Documents\2012-08-21 Escritorio\yo\Brothersoftdownloader_for_German_Truck_Simulator_English_Patch.exe
Size . . . . . . . : 367.950 bytes
Age . . . . . . . : 276.8 days (2012-02-08 11:38:12)
Entropy . . . . . : 7.9
SHA-256 . . . . . : 8EB726CCA24346AD84003C5282F63BE248537DF9D35665E5C4F2D7E582269D46
Product . . . . . : Brothersoft Download Manager
Publisher . . . . : Conduit
Description . . . : Brothersoft Download Manager
Version . . . . . : 1.0.0
Copyright . . . . : © Conduit
> DrWeb . . . . . . : Trojan.DownLoader4.31749
Fuzzy . . . . . . : 108.0
References
C:\Users\Usuario\Documents\2012-08-21 Escritorio\yo\Finish Downloading Brothersoft Download Manager.lnk


Suspicious files ____________________________________________________________

C:\Windows\system32\drivers\iqmhvmfu.sys
Size . . . . . . . : 43.600 bytes
Age . . . . . . . : 34.8 days (2012-10-07 11:56:45)
Entropy . . . . . : 6.7
SHA-256 . . . . . : C94C7F88477F740BDA08CE68EAFAC2599E2B45025C8F302CD42985B270185F03
Product . . . . . : Microsoft Malware Protection
Publisher . . . . : Microsoft Corporation
Description . . . : Boot Time Removal Tool
Version . . . . . : 1.1.0020.0
Copyright . . . . : © Microsoft Corporation. All rights reserved.
Service . . . . . : iqmhvmfu
Fuzzy . . . . . . : 27.0
The file is completely hidden from view and most antivirus products. It may belong to a rootkit.
Starts automatically as a service during system bootup.
Program starts automatically without user intervention.
The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.
The file is a device driver. Device drivers run as trusted (highly privileged) code.
Startup
HKLM\SYSTEM\ControlSet001\Services\iqmhvmfu\

C:\Windows\system32\drivers\lbhiujis.sys
Size . . . . . . . : 43.600 bytes
Age . . . . . . . : 34.0 days (2012-10-08 07:21:14)
Entropy . . . . . : 6.7
SHA-256 . . . . . : C94C7F88477F740BDA08CE68EAFAC2599E2B45025C8F302CD42985B270185F03
Product . . . . . : Microsoft Malware Protection
Publisher . . . . : Microsoft Corporation
Description . . . : Boot Time Removal Tool
Version . . . . . : 1.1.0020.0
Copyright . . . . : © Microsoft Corporation. All rights reserved.
Service . . . . . : lbhiujis
Fuzzy . . . . . . : 27.0
The file is completely hidden from view and most antivirus products. It may belong to a rootkit.
Starts automatically as a service during system bootup.
Program starts automatically without user intervention.
The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.
The file is a device driver. Device drivers run as trusted (highly privileged) code.
Startup
HKLM\SYSTEM\ControlSet001\Services\lbhiujis\


Potential Unwanted Programs _________________________________________________

HKLM\SOFTWARE\Classes\AppID\escort.DLL\ (Funmoods)
HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}\ (Funmoods)
HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}\ (Babylon)
HKU\S-1-5-21-2827143398-4206964840-745579886-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ (Babylon)
HKU\S-1-5-21-2827143398-4206964840-745579886-1000\Software\Softonic\ (Softonic)

Cookies _____________________________________________________________________

C:\Users\Usuario\AppData\Roaming\Microsoft\Windows\Cookies\L2AUTI45.txt
C:\Users\Usuario\AppData\Roaming\Microsoft\Windows\Cookies\RKZCKY7W.txt

[crazy.cat]

Se ancora non si risolve dopo hitman, passiamo alla scansione da cd di boot
http://www.MegaLab.it/7628/kaspersky-re ... -su-cd-rom
Se non va bene kaspersky prova con quello di gdata, il link è all'interno dell'articolo.

[send]

Nulla ne gdta ne Kav rilevano il rootkit, unica nota positiva togliendo quei due file .sys il sistema parte correttamente ma al riavvio successivo ci deve essere un altro componente che ricrea i .sys
Appena finisce riposto il nuovo log di hitman.

[crazy.cat]

Prima di cancellarli, fai analizzare i file sys su www.virustotal.com e vediamo che cosa sono.

Mi sembra strano che nessuno dei due cd abbia rilevato niente.

[send]

Ti avevo un po' preceduto con una scansione su virustotal.com che non restituisce alcun pattern conosciuto per i due file
anche se al 30-10-2012 siano stati già uplodati.

https://www.virustotal.com/file/c94c7f88477f740bda08ce68eafac2599e2b45025c8f302cd42985b270185f03/analysis/1352634139/

https://www.virustotal.com/file/c94c7f88477f740bda08ce68eafac2599e2b45025c8f302cd42985b270185f03/analysis/1352649042/

Allego un nuovo report di hitman

HitmanPro 3.6.2.173
www.hitmanpro.com

Computer name . . . . : PCSGURGOLA
Windows . . . . . . . : 6.1.1.7601.X86/4
User name . . . . . . : PCSGURGOLA\Usuario
UAC . . . . . . . . . : Disabled
License . . . . . . . : Free

Scan date . . . . . . : 2002-01-01 14:21:38
Scan mode . . . . . . : Normal
Scan duration . . . . : 8m 10s
Disk access mode . . : Direct disk access (SRB)
Cloud . . . . . . . . : Internet
Reboot . . . . . . . : No

Threats . . . . . . . : 0
Traces . . . . . . . : 8

Objects scanned . . . : 1.074.912
Files scanned . . . . : 21.957
Remnants scanned . . : 193.649 files / 859.306 keys

Suspicious files ____________________________________________________________

C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{13A00AB1-5B52-4FF5-9844-1F957443C53C}\gapaengine.dll
Size . . . . . . . : 740.784 bytes
Age . . . . . . . : -3927.7 days (2012-10-03 08:17:18)
Entropy . . . . . : 6.5
SHA-256 . . . . . : 6AA51EBAA2175EC2C35C127CBD7D87653001C859D536EB6F78AD5BDA6BB623F7
Product . . . . . : Microsoft Network Inspection System
Publisher . . . . : Microsoft Corporation
Description . . . : Dynamic GAPA Engine
Version . . . . . : 2.1.8600.0
Copyright . . . . : © Microsoft Corporation. All rights reserved.
Fuzzy . . . . . . : 24.0
The file is completely hidden from view and most antivirus products. It may belong to a rootkit.
Time indicates that the file appeared recently on this computer.


Potential Unwanted Programs _________________________________________________

HKLM\SOFTWARE\Classes\AppID\escort.DLL\ (Funmoods)
HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}\ (Funmoods)
HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}\ (Babylon)
HKU\S-1-5-21-2827143398-4206964840-745579886-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ (Babylon)
HKU\S-1-5-21-2827143398-4206964840-745579886-1000\Software\Softonic\ (Softonic)

Cookies _____________________________________________________________________

C:\Users\Usuario\AppData\Roaming\Microsoft\Windows\Cookies\L2AUTI45.txt
C:\Users\Usuario\AppData\Roaming\Microsoft\Windows\Cookies\RKZCKY7W.txt

[GERONIMO*]

è un falso positivo,nessun Rootkit..prima avevi come antivirus Microsoft Security Essentials?

[send]

Si ma non spiega come mai si riavvia in quella maniera.

[Orlando]

Ciao send,

Innanzitutto notando che le precedenti scansioni non sono andate a buon fine vorrei proporti una soluzione un po' diversa. Ovvero sarebbe fondamentale capire da dove derivano queste manipolazioni del sistema. A questo proposito ti consiglio di installare una prova gratuita di Mamutu a questa pagina: http://emsisoft.it/it/software/mamutu/ Lo installi e vedi cosa succede, ad ogni modifica sospetta del sistema lui la blocca e ti fornisce le indicazioni necessarie. Così potrai risalire hai file che stanno manipolando il sistema ed eventualmente fargli una scansione con virus total.

Puoi anche installare Emsisoft Anti-Malware: http://emsisoft.it/it/software/antimalware/ utilizza la stessa tecnologia di Mamutu, in più è dotato di antivirus, perciò mentre scansioni le modifiche pericolose del sistema vengono bloccate e riportate.

Non ti chiedo di allegare un log di Hijackthis perché credo che sarebbe inutile, a quanto pare il malware in questione è abbastanza tosto. Perciò se vuoi seguire la mia soluzione potresti lasciare Mamutu o l'Anti-Malware in pasto al rootkit, bloccare e rimuovere i file che fanno modifiche sospette ed eventualmente postare le informazioni che hai ottenuto qui.

Orlando

[send]

Ok domani mattina provo comunque nel frattempo posso confermare che qualcosa c'è nella macchina perché genera molto traffico quasi a saturare tutta la banda a disposizione, con wireshark ho isolato due ip ricorrenti che posso tranquillamente escludere dalla normale attivita degli applicativi usati su questa macchina.

[GERONIMO*]

se il problema è questa dll C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{13A00AB1-5B52-4FF5-9844-1F957443C53C}\gapaengine.dll
puoi cancellarla manualmente,e magari disinstallare bene microsoft security essentials con il suo disinstallatore così da cancellare eventuali cartelle rimaste ed escludere i conflitti con Avira
http://go.microsoft.com/?linkid=9748340

e magari se ppuoi postare un report di Combofix potrebbe essere d'aiuto

[send]

Non posso postare report di combofix, perché al successivo riavvio combofix sparisce dalla macchina.
comunque con mamutu non ho rilevato nulla di strano, solo con dtskiller è venuta fuori una cosa curiosa, ovvero il processo diskflt.sys.
Presente nella cartella "c:\windows\system32\drivers\" che ad una prima occhiata altro non fa che creare una sandbox dell'intero disco http://code.google.com/p/diskflt/
Devo provare a cancellarlo senza andare in BSOD
Analizzando un po' l'attività di rete risultano un botto di connessioni SYN usate spesso in attacchi DOS.

[farbix89]

una bella scansione in provvisoria?

in certi casi è risolutiva

[tecnico24]

Non posso postare report di combofix, perché al successivo riavvio combofix sparisce dalla macchina.
comunque con mamutu non ho rilevato nulla di strano, solo con dtskiller è venuta fuori una cosa curiosa, ovvero il processo diskflt.sys.
Presente nella cartella "c:\windows\system32\drivers\" che ad una prima occhiata altro non fa che creare una sandbox dell'intero disco http://code.google.com/p/diskflt/
Devo provare a cancellarlo senza andare in BSOD
Analizzando un po' l'attività di rete risultano un botto di connessioni SYN usate spesso in attacchi DOS.

Ciao send.
Elimina la copia di combofix
Riscaricalo da qui
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
ATTENZIONE:
se utilizzi google chrome , tasto destro sul link->>salva link con nome
Rinominalo in abc ->>ok
se utilizzi Internet explorer , tasto destro->>salva oggetto con nome e gli dai il nome che ti ho detto
salvarlo obbligatoriamente sul desktop.

Start->>Esegui->>copia|incolla

"%userprofile%\desktop\abc.exe" /killall

clicca su OK ed attendi le operazioni
posta il report (c:\combofix.txt)