www.MegaLab.it

[Sk8er-Boi]

Buongiorno LAB, arrivato al Desktop risorse PC normali, ma da molti mesi CPU stabile 90-100 quando apro il browser (provati tutti anche con relativa vers. portable) o lancio anche un (1) unico programma... capite il disagio!!!
Se ora posto è perché il vostro ultimo articolo ''Guida alla rimozione dei bootkit'' mi ha fatto pensare alla possibile infezione bootkt dal log MBR:



Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
PE file found in sector at 0x0DF8FA21



1. SCANSIONI INUTILI con Avira PE 10, MBAM 1.46 completo, Digital Patrol, SUPERantispyware, Kaspersky Removal Tool, ComboFix, Hijackthis e GMER.
2. con questi qualcosa trovato/eliminato ma posto dei log CHE capite meglio:

- GMER scheda rootkit-malware: niente
- GMER scheda autostart: niente
- Hijackthis: ho eliminato i 3 file ''?'' + quello sospetto
- ComboFix: qualcosa ha trovato



GRAZIE dell'attenzione e sperando di non chiedere troppo, vorrei un ABC su come seguire il vostro articolo (newbie informatico)!
(se esito positivo infettatato HD esterni e USB Pen)

[Uomo_Senza_Sonno]

Ciao.

Innanzitutto ti invito a rinominare il topic perché potrebbe essere fuorviante: non hai un'infezione da bootkit ma da MBR rootkit.
A quanto pare combofix ha fatto qualcosa, a proposito di questo volevo chiederti se hai notato qualche miglioramento o qualche peggioramento.

Inoltre, inserisci il log completo di mbr.exe, servirà per la procedura di rimozione e se tutto va bene te ne liberi subito.

Per quanto riguarda supporti esterni, prima procediamo con la rimozione dal disco di sistema, e successivamente controlleremo pendrive e via dicendo.

Come azioni propedeutiche scarica e installa MyDefrag (esegui la deframmentazione dei dischi prima con l'opzione sola deframmentazione e poi con consolidamento spazio libero) e UltraWipe (esegui il wiping dello spazio libero del disco). Queste due operazioni eseguile in successione, è importante. Per la fase successiva è meglio procedere passo passo.

[The Doctor]

Innanzitutto ti invito a rinominare il topic perché potrebbe essere fuorviante: non hai un'infezione da bootkit ma da MBR rootkit

Ci penso io

[Sk8er-Boi]

mbr.zip

A quanto pare combofix ha fatto qualcosa, a proposito di questo volevo chiederti se hai notato qualche miglioramento o qualche peggioramento.

Non ho visto differenze positive e anche non posso più accedere a ''msconfig'' ne da esegui, ne da C.

Inoltre, inserisci il log completo di mbr.exe, servirà per la procedura di rimozione e se tutto va bene te ne liberi subito.

Il comando da Esegui C:\start mbr.exe -f mi da errore e l'unico log è lanciando direttamente l'exe, quindi non so se completo o no.

MyDefrag:
esegui la deframmentazione dei dischi prima con l'opzione sola deframmentazione e poi con consolidamento spazio libero

UltraWipe:
esegui il wiping dello spazio libero del disco.


Queste due operazioni eseguile in successione, è importante. Per la fase successiva è meglio procedere passo passo.

E' sottintesa anche la classica deframmenazione (uso Defraggler)?
perché sia prima che dopo i 2 programmi sopra, i frammenti sono sempre 13.796.

[Uomo_Senza_Sonno]

In tutta sincerità non mi ricordo se defraggler ha le stesse opzioni, ma se hai proceduto come ti ho indicato possiamo passare alla fase successiva. Sembra che ci troviamo ad una nuova variante di mbr rootkit, ma risolviamo anche stavolta.

Segui questa guida e posta il settore 0. Posta lo screenshot di tutta la finestra, come riportato in esempio; è importante che si vedano gli estremi del settore.

Altre due cose:

1. Eseguire il backup di sicurezza dei dati in modo sicuro;

2. Devi avere a portata di mano il cd di windows per utilizzare poi la consolle di ripristino (che volendo si può installare direttamente nel disco rigido)

[Sk8er-Boi]

In tutta sincerità non mi ricorudo se defraggler ha le stesse opzioni...

Defraggler come AutoDefrag ha la sola deframmentazione e il defrag spazio libero (dopo sempre usato Ultra Wipe).
Installato Console di ripristino, ma per il recupero dati (avevo già in casa UBuntu) quando inserisco la USB Pen non succede niente e non so trovarla, ma tranquillo.



Immagine settore 0:

[Uomo_Senza_Sonno]

Hai un disco rigido da circa 120Gb con una singola partizione, ora vediamo come rimuovere l'infezione

avevo già in casa Ubuntu

Se hai dimistichezza con il terminale puoi fare in un attimo e risolvi molto rapidamente. Ma prima:

1. posta i settori 60, 61, 62, 63 (settori che precedono la partizione);
2. Posta i settori 234420480, 234420769 e il settore 234441647 e 234441648 (settore finale);

poi procederemo con la rimozione mediante l'azzeramento dei settori dove è presente l'infezione, e alla fine di questo trattamento non rimarrà nemmeno il ricordo

[Sk8er-Boi]

settori divisi IN 3 cartelle.zip

avevo già in casa Ubuntu

Se hai dimistichezza con il terminale puoi fare in un attimo e risolvi molto rapidamente.

ZERO, manco con XP vado liscio!

Ma prima:

1. posta i settori 60, 61, 62, 63 (settori che precedono la partizione);
2. Posta i settori 234420480, 234420769 e il settore 234441647 e 234441648 (settore finale);

In alto lo zip - diviso i 6 settori in 3 cartelle come me li hai scritti.



Il grazie è sottinteso in ogni post!

[Uomo_Senza_Sonno]

Scusami, prima sono andato di fretta (purtroppo sto invecchiando ) e dopo aver controllato meglio ti chiedo di postare i settori 234420417 e 234420744. Questa variante si nasconde bene.. e non capisco perché sia così lontana dalla fine della partizione..

Per quanto riguarda la procedura da terminale, nessun problema, ti spiegherò come fare in pochi passi.

[Sk8er-Boi]

234420417 + 234420744.zip

Qua sopra i 2 settori in ZIP.

Per quanto riguarda la procedura da terminale, nessun problema, ti spiegherò come fare in pochi passi.

Ma se le chiavette sono infette?
(Non so se uguale procedura, ma dimmi in caso se posso fare da solo)

[Uomo_Senza_Sonno]

Ancora nulla.... Posta il settore 234420610. Per quanto riguarda le chiavette, ci penseremo in un secondo momento

[Sk8er-Boi]

234420610.zip

(Buongiorno, e un nuovo grazie per il supporto)

[Uomo_Senza_Sonno]

Ancora nulla... postami anche il settore 234420480. Per cortesia usa il tag img per postare le immagini (al suo interno devi incollare il link che ti fornirà imageshack.us)

[Sk8er-Boi]

Se non va bene dimmi tu come fare.

[Uomo_Senza_Sonno]

Ok perfetto così... posta anche il settore precedente (234420479) per maggiore sicurezza

[Sk8er-Boi]

[Uomo_Senza_Sonno]

Passiamo alla pulizia vera e propria.
Prima di procedere, sarà necessario fare un backup di sicurezza dei dati, nel caso qualcosa vada storto.

Fai eseguire il boot dalla tua distribuzione live di ubuntu, vai in accessori terminale e digita (puoi copiare/incollare il comando)

Codice: Seleziona tutto

sudo sfdisk -l /dev/sda

L'output che verrà fuori sarà simile a questo:

Codice: Seleziona tutto

ubuntu@ubuntu:~$ sudo sfdisk -l /dev/sda

Disk /dev/sda: 9729 cylinders, 255 heads, 63 sectors/track
Units = cylinders of 8225280 bytes, blocks of 1024 bytes, counting from 0

   Device Boot Start     End   #cyls    #blocks   Id  System
/dev/sda1   *      0+   9727    9728-  78140128+   7  HPFS/NTFS
/dev/sda2          0       -       0          0    0  Empty
/dev/sda3          0       -       0          0    0  Empty
/dev/sda4          0       -       0          0    0  Empty

Servirà per capire su quale disco lavorare. Se hai un solo disco rigido presente nel tuo pc, avrai solo sda.

Una volta appurato che il disco è sda, digita questo comando

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sda bs=512 count=62 seek=1

per azzerare i settori da 1 a 62 estremi compresi e successivamente

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sda bs=512 seek=234420480

per azzerare tutti i settori oltre la fine della partizione. Poi riavvia il sistema, fai partire windows e verifica con mbr.exe se ti genera un log pulito.

[Sk8er-Boi]

mbr.zip

Fai eseguire il boot dalla tua distribuzione live di ubuntu, vai in accessori terminale e digita (puoi copiare/incollare il comando)

Codice: Seleziona tutto

sudo sfdisk -l /dev/sda

L'output che verrà fuori sarà simile a questo:

Codice: Seleziona tutto

ubuntu@ubuntu:~$ sudo sfdisk -l /dev/sda

Disk /dev/sda: 9729 cylinders, 255 heads, 63 sectors/track
Units = cylinders of 8225280 bytes, blocks of 1024 bytes, counting from 0

   Device Boot Start     End   #cyls    #blocks   Id  System
/dev/sda1   *      0+   9727    9728-  78140128+   7  HPFS/NTFS
/dev/sda2          0       -       0          0    0  Empty
/dev/sda3          0       -       0          0    0  Empty
/dev/sda4          0       -       0          0    0  Empty

Servirà per capire su quale disco lavorare. Se hai un solo disco rigido presente nel tuo pc, avrai solo sda.

Non ho saputo cogliere cosa vuoi dire ''avrai solo sda'' perché non so niente, ma pressapoco era simile al tuo:
- non ho fato lo screenshot perché non so dove incolLare RSTAMP e visualizzare poi la USB Pen.

Comunque ho seguito tutti i comandi e il log MBR sembra ancora sporco:

Codice: Seleziona tutto

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
PE file found in sector at 0x0DF8FA21 !


Sai che mi da errore sul comando da Esegui, per cui allegato ZIP sopra.

[Uomo_Senza_Sonno]

Davvero ostinato questo rootkit... prima di passare a rimedi estremi, rifai la procedura, e al riavvio usa la console di ripristino che è presente nel cd di windows (premi il tasto R appena appare l'opzione), segui le istruzioni riportate nello schermo (dovrai selezionare la partizione dove è presente il sistema operativo) e dai fixboot e fixmbr. Confermi entrambe le volte che vuoi continuare e riavvia il pc dopo aver dato exit alla console.

Ad ogni passo della procedura copia in un file di testo gli output che ti generano i comandi da terminale, di modo che si possa vedere dove è sorto il problema.

[Sk8er-Boi]

mbr.zip

1° comando= sudo sfdisk -l /dev/sda

1. OK e mi appare come da te la abella.



Ma dopo il 2° e 3° comando penso qualcosa di strano (vedere TAG Code) - ho fato gli screenshot su UBUNTU ma non so come metterli sulla USB Pen:



2. dopo il 2° comando per azzerare i settori da 1 a 62 estremi compresi:
sudo dd if=/dev/zero of=/dev/sda bs=512 count=62 seek=1

Appare un messaggio:

Codice: Seleziona tutto

unrecognized operand 'count'
Try 'dd -- help' for more information

3. E lo stesso dopo il 3° comando per azzerare tutti i settori oltre la fine della partizione:
sudo dd if=/dev/zero of=/dev/sda bs=512 seek=234420480

Codice: Seleziona tutto

unrecognized operand 'of/dev/sd'
Try 'dd -- help' for more information

--------------------



Io poi ho riavviato il PC entrando nella Console di ripristino (che avevo già installato) e dato i comandi ''fixboot'' e ''fixmbr'' con affermazione di nuovi settori, ma ancora LOG MBR sporco:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
PE file found in sector at 0x0DF8FA21 !