www.MegaLab.it

[manero478]

non so' se puo esserti utile...
ma pur non sapendo come... credo comunque in concomitanta con zone Allarm firewall
che non funzionava piu e mi dava sempre che un certo servizio..ora non ricordo..non c'era o non si apriva..
(system remote mi pare)
e da qual momento non sono piu riuscti ad installarlo...che dava sempre problemi.. (specie l'ultima versione)
poi dietro aiuto sempre di questo forum me ne hanno suggeriti altri... sepmre gratuiti..
ma ho avuto qualche prob... tanto e' vero che uso quello di windows per ora...

[dario-vr]

Non so come fare per caricare l'immagine, ho provato così:

immagine.doc

[masterz3d]

dario-vr, tu hai un disco rigido da 300GB con due partizioni NTFS, la prima da 80GB e la seconda da 205GB (circa). Il tuo malware è depositato proprio al confine della seconda partizione, mentre manero l'ha più esterno. Ciò significa che si può installare in settori casuali oltre l'ultima partizione. Probabilmente ho dati insufficienti, ma è ragionevole pensare che se UltraWipe non ha avuto successo in entrambi i casi questa sia l'unica alternativa. Defrag e scandisk anche sono stati perfettamente inutili, e mi stupirei del contrario, ma almeno adesso so dove sta e so che cosa si può tentare.

Vorrei far notare che se il partizionamento avviene sotto Windows è inutile persino fare una formattazione completa. Il processo di partizionamento, infatti, lascia sempre dei settori "vuoti", inutilizzati, alla fine del disco. Persino il ripartizionamento potrebbe essere perfettamente inutile. Per cui, per come la vedo io, se neppure il tool apposito per rimuovere questo malware funziona l'unico modo è aprire il disco fisico con questo procedimento e modificare i settori manualmente. Una soluzione potrebbe essere quella che viene erroneamente definita formattazione a basso livello e quella che viene più precisamente definita reinizializzazione del disco. La formattazione a basso livello è un procedimento fisico fatto in fabbrica dove vengono fisicamente preparati i settori per accogliere i dati in arrivo. La reinizializzazione, invece (tecnicamente chiamata zero-filling) è un procedimento logico (relativamente semplice) per cui un disco viene riempito di pattern predefiniti (che so, AA, 44, 55, FF per ogni byte, oppure pattern come AA44 o 55FF ogni gruppo di due byte, o anche solo con zeri) che distruggono qualsiasi cosa si trovi sul disco, compresi i rootkit. Il pregio innegabile è che nulla sopravvive; il difetto è esattamente lo stesso. Quindi dopo lo zero-filling si deve ripartizionare, riformattare e reinstallare il sistema operativo.

Un modo molto semplice per farlo in GNU/Linux è usando dd:

Codice: Seleziona tutto

dd if=/dev/zero of=/dev/sda bs=512

dove prende un flusso ininterrotto di zeri e lo piazza in pacchi da 512 byte sul disco, una sovrascrittura settore per settore. Si può fare un numero indefinito di volte. Tramite dd è anche possibile sovrascrivere dei settori specificati:

Codice: Seleziona tutto

dd if=/dev/zero of=/dev/sda seek=586067265 ibs=512 obs=512 count=25

che sovrascrive con degli zeri i 25 blocchi di codice malware, cominciando dal settore 22EEAD41 (ovvero 586067265) sul disco di dario-vr.
Non mi risulta che in Windows esista nulla di simile, per cui bisogna farlo manualmente tramite HxD, oppure usare una distro live e dd.
Approfitto per dire che dd è un tool molto potente ma anche molto pericoloso che può distruggere i dati in un filesystem o in un disco rigido se usato con leggerezza.

Tra poco torno per un'ultima verifica manuale: dobbiamo prima vedere se il codice malware è davvero là dove mbr.exe dice che sia.

[dario-vr]

Accidenti mi stai spaventando
mi sa che dovrai spiegarci passo-passo perché leggendo le tue considerazioni ne ho capito il senso ma non certamente il metodo.

[manero478]

certo dovra guidarci passo passo...hahahahaah

senti dario per postare l'immagine dopo che l'hai salvata sul tuo disco..
vai sul sito : http://imageshack.us/

da li carichi l'immagine
poi sotto trovi il codice da inserire qui nella risposta
tipo
[url=idirizzo immagine..[/IMG]idirizzo immagine..[/IMG[/url]

e si vedra la tua immagine..
ciao ciao
buona serata...

[masterz3d]

Intanto torniamo a questa schermata qui:



(Apritelo ancora una volta in sola lettura.)
Vedete quel numero in alto a destra? Nello spazietto "settore" va messo il settore in cui penso ci sia il primo pezzo del malware.
Per radio-vr, è 586067265 (ovvero la rappresentazione decimale di 22EEAD41, copia del MBR).
Per manero478, è 39086145 (ovvero la rappresentazione decimale di 2546841, copia del MBR).
Fate lo screenshot, uppatelo in imageshack.us e mettete i link qui (bastano i link, non le immagini, sennò viene un casino).

radio-vr, ripeti il procedimento per i settori 586067268 e 586067274.
manero478, ripeti il procedimento per i settori 39086148 e 39086154.

Cercate di fare in modo che si veda tutto il settore, allungando la finestra di HxD. Lo capite dalla riga grigia orizzontale che divide i settori tra loro, con scritto "Settore X" a sinistra, quarta colonna.

[manero478]

ok faro l'immagine....
anzi 2...e si perche mi sono accorto che anche il disco esterno (tramite USB)
ha lo stesso sempre nel' MBR.... uffffffffff

ho fatto MBR -f su su G: (disco esternno)
ma credo sbaglio qualcosa ..per il log e' identico a quello di C:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x02546841
malicious code @ sector 0x02546844 !
PE file found in sector at 0x0254685A !


che cosa sbaglio???

[masterz3d]

Si vede che può diffondersi ai dischi connessi al sistema. E' più seccante di quanto pensassi.

[manero478]

ecco quelle del disco C:

dal 39086148 al 149
http://img109.imageshack.us/img109/9431 ... 148149.jpg

poi dal 150 al 153 nulla
ed ecco il 154 finale...

http://img690.imageshack.us/img690/9462 ... 086154.jpg

..per il disco esterno.. come e cosa faccio..per vedere i settori....
ciao

[masterz3d]

Non hai messo il 39086145. MI servono tutti e tre:

manero478
39086145<-- non l'ho vista
39086148<-- ok
39086154<-- ok

dario-vr
586067265
586067268
586067274

..per il disco esterno.. come e cosa faccio..per vedere i settori....

A quanto pare mbr.exe funziona solo sul disco di sistema, non su quelli esterni, bisognerebbe andare a cercare manualmente xon HxD, è una cosa improponibile. Per il momento proviamo a sistemare questo, poi casomai vediamo. Se non hai dati più che importanti staccalo e mettilo da parte finchè non abbiamo risolto, o finchè io non do forfait.

dario-vr, hai Windows XP anche tu?

[manero478]

scusa..ma non l'avevo proprio letto...
eccolo...

http://img94.imageshack.us/img94/263/se ... 086145.jpg

ciao...
e nel caso vai a dormire..vista l'ora ...
buona notte
io sto ancora un po'...

[dario-vr]

senti dario per postare l'immagine dopo che l'hai salvata sul tuo disco..
vai sul sito : http://imageshack.us/

da li carichi l'immagine
poi sotto trovi il codice da inserire qui nella risposta
tipo
[url=idirizzo immagine..[/IMG]idirizzo immagine..[/IMG[/url]

e si vedra la tua immagine..
ciao ciao
buona serata...

Ciao .. .proprio lì sta il problema: ho il programma aperto sul desktop fermo all'immagine del disco fisso ma non riesco a salvarlo come jpeg.
Come devo fare?

[dario-vr]

dario-vr
586067265
586067268
586067274


dario-vr, hai Windows XP anche tu?

Sì Windows XP service Pack3

Ho un paio di quesiti da sottoporti:
1) come faccio a salvare l'immagine della scansione?

2) un dubbio atroce!: avevo questo rootkit anche 15-20 gg. fa poi debellato con mbr -f ma ora leggendo qui manero ho pensato che anche io ho un disco esterno da 500 GigaB che uso molto salturiamente per salvare files e che ovviamente ogni tanto collego. Non vorrei averlo ripreso da quello! perché le partizioni C e E le ho ripetutamente scansionate con vari antirootkit e l'unico che mi segnala sempre qualcosa è mrb -f
Come posso fare per controllarlo senza inquinare le partizioni C e E?

[masterz3d]

1) come faccio a salvare l'immagine della scansione?

Sulla tastiera dovresti avere un tasto con su scritto "Stamp" o "PrintScreen" o qualcosa del genere, tra i tasti "di servizio" vicino a home, inizio, fine, ins, canc, eccetera. Tieni aperta la finestra che vuoi salvare e pigia il tasto Stamp.

Poi apri un editor di immagini (o anche Paint, dovrebbe essere uguale) e fai CTRL+V, dovrebbe comparire l'immagine del desktop nel programma che hai aperto.
Poi la lavori, tagliando la finestra di HxD, la salvi come jpg e la uppi su imageshack.us.

Come posso fare per controllarlo senza inquinare le partizioni C e E?

Non è detto che si diffonda... ma non ho neppure prove sufficienti per dire che non si diffonda. Probabilmente, una volta scaricato, attacca tutti i dischi connessi, ma non sono sicuro nemmeno di questo. Quindi, come ho detto a manero, per il momento tienilo da parte e vediamo se riusciamo a risolvere per i dischi di sistema, che sarà già un bel passo in avanti. Poi casomai vediamo i dischi esterni.

Prima che cominciassero i problemi vi è comparso un messaggio di update come questo?

It may then restart the compromised computer or display the following message:
Some updates require you to restart your computer to complete the update process. Be sure to save any work prior to the scheduled time.

Devo cercare info per farmi infettare il portatile e vedere se posso risolvere tramite Linux e dd.

Intanto fate una foto dei settori 60, 61 e 62. Postateli solo se hanno dei dati.

[dario-vr]

Prima che cominciassero i problemi vi è comparso un messaggio di update come questo?

It may then restart the compromised computer or display the following message:
Some updates require you to restart your computer to complete the update process. Be sure to save any work prior to the scheduled time.

No non ricordo una cosa simile ma piuttosto, sempre se è stato un segnale quello, per un attimo mi si è aperta una finestra in dos con cmd.exe

Devo cercare info per farmi infettare il portatile e vedere se posso risolvere tramite Linux e dd.

Intanto fate una foto dei settori 60, 61 e 62. Postateli solo se hanno dei dati.

Settori 60 61 62? oltre a quelli di cui sopra?
Senti non so se riesco stasera, è più probabile domani. Ora sono al lavoro.
Grazie comunque per il tuo prezioso e gradito impegno

[manero478]

allora ecco il settore 62 perche gli altri sono vuoti...

http://img20.imageshack.us/img20/3010/settore62.jpg
........
poi ho provato quel tood di Avira da dos... che percmette di fare un dischetto per A:
parte gira carica ma non trova nulla
e mi dice :
chekin the master boot record of drive 80h
chekin the master boot record of drive 81h
this boot record is unknown

chekin the master boot record of drive 82h
this boot record is unknown

e poi la scansione del drive A:
e dice tutto ok... un tasto per uscire...
..................
per il fatto se infetta i vari boot sector... boh!!!!!!
lancio avire con l'opzione di controllare i settori...
mentre su c: lo trova sempre
su E: e G: ... non sempre lo stesso risultato...

si ho tre diski
c:\ master 200 gb
e:\ slave 20gb
g:\ esterno 500gb

ciao

[dario-vr]

Ciao ecco le immagini richieste:

http://img163.imageshack.us/i/immagine1l.jpg/
http://img266.imageshack.us/i/immagine2m.jpg/
http://img442.imageshack.us/i/immagine3m.jpg/
http://img692.imageshack.us/img692/9978/immagine4c.jpg

spero si vedano bene.

Ciao e buona serata.
Leggo domani

[masterz3d]

dario-vr, mi spiace ma devo chiederti di nuovo il settore 0, il MBR... manero478 ha fatto un buon lavoro e mi ha mostrato il MBR completo, e ho trovato delle differenze nel codice, ma mi serve il tuo. Quelli che mi hai mostrato fino adesso partivano tutti da B0 o da C0, mi serve il tuo MBR completo per vedere le differenze. Guarda come ha fatto manero e allarga la finestra di HxD fino a comprendere tutti i numeri della colonna a sinistra, dal 0000000000 al 0000000200, è molto importante. Se il rootkit si installa solo nel MBR e fuori dalle partizioni abbiamo quasi finito, penso.

[dario-vr]

ti allego le immagini settore 0 60 61 62

http://img522.imageshack.us/img522/6899/immagine1jr.jpg
http://img515.imageshack.us/img515/207/immagine60.jpg
http://img517.imageshack.us/img517/9329/immagine61.jpg
http://img522.imageshack.us/img522/7797/immagine62.jpg

spero di aver capito bene.

Masterz sai che però non ho problemi di nessun genere con il computer? Lo sto usando regolarmente senza trovare niente di strano ed inoltre ho Prevx edge (non so se lo conosci) che tiene sotto controllo proprio il Master Boot Record

[dario-vr]

per il fatto se infetta i vari boot sector... boh!!!!!!
lancio avire con l'opzione di controllare i settori...
mentre su c: lo trova sempre
su E: e G: ... non sempre lo stesso risultato...

ciao

Prova questo programma se ancora non lo hai fatto, in versione trial esegue un controllo e non pulisce ma avresti una conferma di essere infetto:
http://info.prevx.com/downloadcsi.asp

Guarda io lo ho provato e son rimasto impressionato molto bene, tanto è che l'ho preso!
Qui c'è una guida molto ben fatta:
http://www.hwupgrade.it/forum/showthread.php?t=1923599