www.MegaLab.it

[Spaccy]

Salve a tutti, da un po' mi appare su un pc questa schermata:
http://seoroot.com/blog/wp-content/uplo ... s-bsod.jpg
Allora inizialmente pensavo fosse la scheda di rete della motherboard e l'ho disabilitata per utilizzare una scheda aggiuntiva mia, con i driver presi dal sito della scheda per il mio sistema operativo. Il problema dopo un po' è ricomparso di nuovo e ho cercato un po' in giro trovando due cose da rilevare...la prima quella di sostituire il file NDIS.sys prendendolo dal cd di windows, e l'ho fatto...sembrava ok ma ora quando riavvio appena entro in windows mi ricompare la schermata....poi ho letto che potrebbe esserci qualche rootkit (o qualcosa del genere ad infastidirlo)

Se scollego la scheda aggiuntiva incredibilmente il pc non dà più alcun problema.
La scheda funziona su qualsiasi altro pc...i driver sono originali e adatti al mio sistema...e oltretutto il pc fà la stessa cosa se uso la scheda di rete della motherboard...

Il pc ha Windows Xp Service Pack 3

Cosa ne pensate?!

[hashcat]

Salve a tutti, da un po' mi appare su un pc questa schermata:
http://seoroot.com/blog/wp-content/uplo ... s-bsod.jpg
Allora inizialmente pensavo fosse la scheda di rete della motherboard e l'ho disabilitata per utilizzare una scheda aggiuntiva mia, con i driver presi dal sito della scheda per il mio sistema operativo. Il problema dopo un po' è ricomparso di nuovo e ho cercato un po' in giro trovando due cose da rilevare...la prima quella di sostituire il file NDIS.sys prendendolo dal cd di windows, e l'ho fatto...sembrava ok ma ora quando riavvio appena entro in windows mi ricompare la schermata....poi ho letto che potrebbe esserci qualche rootkit (o qualcosa del genere ad infastidirlo)

Se scollego la scheda aggiuntiva incredibilmente il pc non dà più alcun problema.
La scheda funziona su qualsiasi altro pc...i driver sono originali e adatti al mio sistema...e oltretutto il pc fà la stessa cosa se uso la scheda di rete della motherboard...

Il pc ha Windows Xp Service Pack 3

Cosa ne pensate?!

Per prima cosa dovresti avviare in modalità provvisoria, copiare il file NDIS.sys su una pennetta, e da un'altro computer analizzarlo su http://www.virustotal.com al termine postare l'esito della scansione. Si, comunque potrebbe essere un rootkit. Inoltre potresti vedere se gmer funziona e mbr funzionano:
Link mbr (rinominato in s§0nb3rg):
http://dl.dropbox.com/u/13391898/s%C2%A70nb3rg.exe
Link gmer (rinominato in igw82m0e.exe)
http://dl.dropbox.com/u/13391898/igw82m0e.exe

Per un semplice video esplicativo di gmer vedi quì:
http://www2.gmer.net/gmer.wmv
Se gmer è partito esegui una scansione e posta il log.

[Spaccy]

Allora, Gmer mi si blocca e crea un log vuoto.
in compenso ho usato COMBOFIX e creato il seguente log

ComboFix 10-11-28.04 - user 29/11/2010 9.38.49.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.2038.1699 [GMT 1:00]
Eseguito da: c:\documents and settings\user\desktop\combofix.exe
Opzioni usate :: /killall
* Creato nuovo punto di ripristino

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\user\Dati applicazioni\Ocuw
c:\documents and settings\user\Dati applicazioni\Ocuw\zype.hoh
c:\documents and settings\user\Dati applicazioni\Ocuw\zype.tmp

.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
((((((((((((((((((((((((( Files Creati Da 2010-10-28 al 2010-11-29 )))))))))))))))))))))))))))))))))))
.

2010-11-24 08:12 . 2010-11-24 08:13 -------- d-----w- C:\test
2010-11-23 15:41 . 2002-06-24 11:31 45568 ----a-r- c:\windows\system32\drivers\DLKRTS.SYS
2010-11-19 15:53 . 2010-11-19 15:53 -------- d-----w- c:\windows\Sun
2010-11-19 15:47 . 2010-07-16 12:05 1287680 -c----w- c:\windows\system32\dllcache\ole32.dll
2010-11-19 15:46 . 2010-09-15 03:50 472808 ----a-w- c:\windows\system32\deployJava1.dll
2010-11-19 15:46 . 2010-11-19 15:46 -------- d-----w- c:\documents and settings\All Users\Modelli
2010-11-19 10:10 . 2010-11-19 10:10 -------- d-----w- c:\windows\system32\wbem\mof\good
2010-11-19 10:10 . 2010-11-19 10:10 -------- d-----w- c:\windows\system32\wbem\mof\bad
2010-11-19 08:44 . 2010-11-19 08:44 -------- d-----w- c:\documents and settings\user\Dati applicazioni\GlarySoft
2010-11-18 17:10 . 2010-11-18 17:10 -------- d-----w- c:\programmi\CCleaner
2010-11-18 16:07 . 2010-11-18 16:07 -------- d-----w- c:\documents and settings\Administrator
2010-11-15 18:32 . 2010-11-02 18:36 359016 ----a-w- c:\windows\vncutil.exe
2010-11-15 18:32 . 2010-11-02 18:36 54888 ----a-w- c:\windows\system32\RtkCoInstXP.dll
2010-11-15 18:32 . 2010-11-02 18:36 129640 ----a-w- c:\windows\RtkAudioService.exe
2010-11-15 18:32 . 2009-11-18 06:17 1395800 ----a-w- c:\windows\system32\drivers\Monfilt.sys
2010-11-15 18:32 . 2009-11-18 06:16 1691480 ----a-w- c:\windows\system32\drivers\Ambfilt.sys
2010-11-15 18:32 . 2010-11-15 18:32 319488 ----a-w- c:\windows\HideWin.exe
2010-11-15 18:27 . 2007-12-19 10:11 188416 ----a-w- c:\windows\system32\igfxres.dll
2010-11-15 18:23 . 2007-12-19 10:40 147456 ----a-w- c:\windows\system32\igfxCoIn_v4906.dll
2010-11-15 18:23 . 2007-12-19 10:11 176128 ----a-w- c:\windows\system32\igfxrsky.lrc
2010-11-15 18:23 . 2007-12-19 10:11 172032 ----a-w- c:\windows\system32\igfxrslv.lrc
2010-11-15 18:20 . 2010-11-15 18:20 -------- d-----w- C:\Intel
2010-11-15 17:53 . 2010-11-15 17:53 -------- d-----w- c:\windows\system32\wbem\Repository
2010-11-15 16:12 . 2004-08-11 14:55 110602 ----a-w- c:\windows\system32\xcdsfx32.bin
2010-11-15 16:12 . 2010-11-15 17:47 -------- d-----w- c:\programmi\Driver Magician
2010-11-08 14:13 . 2010-09-18 06:53 974848 -c----w- c:\windows\system32\dllcache\mfc42.dll
2010-11-08 14:13 . 2010-09-18 06:53 953856 -c----w- c:\windows\system32\dllcache\mfc40u.dll
2010-11-08 14:12 . 2010-08-23 16:12 617472 -c----w- c:\windows\system32\dllcache\comctl32.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-02 18:36 . 2007-05-02 09:32 84584 ----a-w- c:\windows\SOUNDMAN.EXE
2010-11-02 18:36 . 2007-05-02 09:32 1833576 ----a-w- c:\windows\SkyTel.exe
2010-11-02 18:36 . 2007-05-02 09:32 1489512 ----a-w- c:\windows\RtlUpd.exe
2010-11-02 18:36 . 2007-05-02 09:32 891496 ----a-w- c:\windows\system32\RTSndMgr.CPL
2010-11-02 18:36 . 2007-05-02 09:32 6188648 ----a-w- c:\windows\system32\drivers\RtkHDAud.sys
2010-11-02 18:36 . 2007-05-02 09:32 9721960 ----a-w- c:\windows\RTLCPL.EXE
2010-11-02 18:36 . 2007-05-02 09:32 19580520 ----a-w- c:\windows\RTHDCPL.EXE
2010-11-02 18:35 . 2007-05-02 09:32 2180712 ----a-w- c:\windows\MicCal.exe
2010-11-02 18:35 . 2007-05-02 09:32 64104 ----a-w- c:\windows\ALCMTR.EXE
2010-11-02 18:35 . 2007-05-02 09:32 285288 ----a-w- c:\windows\system32\ALSNDMGR.CPL
2010-11-02 18:35 . 2007-05-02 09:32 2815592 ----a-w- c:\windows\ALCWZRD.EXE
2010-10-28 09:46 . 2007-05-02 09:31 1251944 ----a-w- c:\windows\RtlExUpd.dll
2010-09-18 11:23 . 2006-03-02 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2006-03-02 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2006-03-02 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:53 . 2006-03-02 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
2010-09-15 01:29 . 2007-05-16 07:02 73728 ----a-w- c:\windows\system32\javacpl.cpl
2010-09-10 05:49 . 2006-03-02 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-09-10 05:49 . 2006-03-02 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-09-10 05:49 . 2006-03-02 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2010-09-09 07:15 . 2010-09-09 07:15 9380 ----a-w- C:\MatrixInstBugs_634196205380000000.zip
2010-09-08 17:30 . 2010-09-08 17:30 288598 ----a-w- C:\MatrixInstBugs_634195710066875000.zip
2010-09-01 11:51 . 2006-03-02 12:00 285824 ----a-w- c:\windows\system32\atmfd.dll
2010-09-01 07:54 . 2006-03-02 12:00 1852800 ----a-w- c:\windows\system32\win32k.sys
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CheckRubAnniversari"="c:\documents and settings\user\Documenti\SeatCDItalia\127_0_0_1\chkrub_cdi.exe" [2008-02-25 630272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe" [2010-05-14 248552]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
APC UPS Status.lnk - c:\programmi\APC\APC PowerChute Personal Edition\Display.exe [2008-3-12 221247]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-15 00:04 39792 ----a-w- c:\programmi\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\exflashservice]
2006-05-02 09:26 408064 ----a-r- c:\programmi\EPOX\EFS\EZ_FLASH_SERVICE.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2010-11-02 18:36 19580520 ----a-w- c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"4126:TCP"= 4126:TCP:Services
"2813:TCP"= 2813:TCP:Services
"3801:TCP"= 3801:TCP:Services
"6102:TCP"= 6102:TCP:Services

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [15/11/2010 19.32.29 1691480]
S3 DLKRTS;D-Link DFE-538TX 10/100 Adapter;c:\windows\system32\drivers\DLKRTS.SYS [23/11/2010 16.41.58 45568]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.tecnocasa.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {85102889-35B8-4782-AC8C-95185B562AE8} = 80.93.143.42,80.93.143.44
TCP: {C5E90B82-D16D-439B-853D-899F7FA41220} = 213.140.2.49,213.140.2.43
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-29 09:44
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"0140AC1900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'explorer.exe'(3812)
c:\windows\system32\WININET.dll
c:\windows\system32\webcheck.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\APC\APC PowerChute Personal Edition\mainserv.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\igfxsrvc.exe
c:\programmi\APC\APC PowerChute Personal Edition\apcsystray.exe
.
**************************************************************************
.
Ora fine scansione: 2010-11-29 09:47:14 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2010-11-29 08:47

Pre-Run: 150.126.837.760 byte disponibili
Post-Run: 150.142.599.168 byte disponibili

- - End Of File - - A165D37F5A4BF773FFEBCA3BEA80FD35

Poi ho anche utilizzato MBR ed ecco il log

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_HD160HJ rev.BF100-08 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 9 !
copy of MBR has been found in sector 312560640

secondo te potrei aver già risolto con combofix oè solo un file di scansione che crea un log?!

[FDAC]

Ciao.
L'infezione si chiama:
Bootkit Sinowal

Sembra essere stata debellata da Combofix, insieme al Navipromo (?), ma è meglio fare una ulteriore scansione;
Recati in C:/ e cestina il file mbr.txt
● Start - Esegui - digita C:\mbr.exe -f
● clicca su OK
NB - C'è uno spazio vuoto tra "C:\mbr.exe" e "-f"
● recati in C:/ e allega il file mbr.txt per un ulteriore controllo

[Spaccy]

Intanto grazie per le informazioni ^_^

ecco il log dopo la procedura da te chiesta:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_HD160HJ rev.BF100-08 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 9 !
copy of MBR has been found in sector 312560640

a me sembra tutto ritornato alla normalità perché ho riabilitato la scheda di rete...e più di 3 o 4 ore che lavora, naviga, si aggiorna e riavvio continuamente il pc senza alcun problema e senza più vedere quella maledetta schermata... vi ringrazio di cuore per tutto il grande supporto che date in questo forum!

[Uomo_Senza_Sonno]

Poi ho anche utilizzato MBR ed ecco il log

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_HD160HJ rev.BF100-08 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 9 !
copy of MBR has been found in sector 312560640

secondo te potrei aver già risolto con combofix oè solo un file di scansione che crea un log?!

Combofix sicuramente ha rimosso il driver del rootkit, ma molto probabilmente il codice è ancora presente nei settori esterni al filesystem, in stato latente. Come te lo spieghi il fatto che utilizzando mbr.exe con il parametro -f (fix) il log che genera è praticamente identico?

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_HD160HJ rev.BF100-08 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 9 !
copy of MBR has been found in sector 312560640

Per scongiurare la probabilità che si manifestino nuovamente i problemi, segui questa guida e posta il settore 0, 60, 61, 62, 63, per il momento.

[Spaccy]

Potrebbe essere identico perché (stupido che sono) il primo mbr l'ho usato dopo aver utilizzato il combofix?!

[Uomo_Senza_Sonno]

Puoi anche formattare il pc, ma se fai dopo la formattazione un controllo con mbr.exe vedrai lo stesso log. Ripeto, combofix ha sicuramente rimosso il driver del rootkit presente nel SO, ma la componente latente è fuori dalla partizione. Quindi è consigliato un controllo seguendo la guida postata prima.

[Spaccy]

allora ecco i settori da te richiesti:
da 60 a 62 sono TUTTI "0"

la 63 è così:


poi c'è il SETTORE 0 che è simile:

[Uomo_Senza_Sonno]

Potresti postarli nuovamente come nella guida? Serve la finestra completa di HxD. Grazie

[Spaccy]

sulla guida dice di usare imageshack O.o non si capisce come devo salvare

[Uomo_Senza_Sonno]

è sufficiente lo screenshot della finestra completa di HxD, poi la carichi su imageshack e successivamente copi/incolli il link diretto nel tag IMG

A proposito del settore 0, l'mbr è ancora infetto

[Spaccy]

spero di aver capito

Settore 0

Settore 60

Settore 61

Settore 62

Settore 63

[Uomo_Senza_Sonno]

Ok adesso va bene, ti ringrazio. Ora vediamo i settori 9, 312560640, 312560641 e 312581808

[Spaccy]

Ok adesso va bene, ti ringrazio. Ora vediamo i settori 9, 312560640, 312560641 e 312581808

allora ecco il settore 9:

312560640

312560641

312581808

Se dovessero servirti altri settori li posterò domani perché ora devo chiudere tutto! a domani!

[Uomo_Senza_Sonno]

Come volevasi dimostrare, il rootkit è ancora li, in stato latente e pronto per essere riattivato.... Non servono altri settori, si può procedere con la rimozione editando i settori. Prima di procedere, tieni a portata di mano il cd di Windows, servirà per utilizzare la console di ripristino.

Segui questa guida per ripulire i primi 62 settori (dal settore 1 al 62 compreso), poi ripeti la procedura inserendo questi offset per gli ultimi settori

2541980200 come iniziale
25433D5FFF come finale

Infine, dopo aver salvato con HxD, riavvia il pc e esegui il boot con il cd di windows, e attiva la consolle di ripristino. Dopo che la console è pronta, lancia i comandi fixmbr e fixboot, e confermi quando ti viene chiesto. Poi riavvi e posti il nuovo log di mbr.exe

[Spaccy]

ok procedura seguita alla lettera.
ecco il log mbr nuovo:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_HD160HJ rev.BF100-08 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

[Uomo_Senza_Sonno]

Ok perfetto, adesso siamo sicuri che l'mbr è sano e del rootkit non c'è più traccia alcuna.

[Spaccy]

ma grandeeee!!!! Veramente Grazie di cuore e complimenti per il servizio che prestate...perché siete GRANDIOSI!
Grazie ancora!