www.MegaLab.it

[effex]

Symatec era installato da sony:non va via neanche conle cannonate..riprovo!Ma Comodo e Avira,DISINSTALLO o fermo temporaneamente?ora sto scaricando gli altri programmi poiche',se debbo disinstallare i programmi di sicurezza,come faccio poi?

[hashcat]

Symatec era installato da sony:non va via neanche conle cannonate..riprovo!

Seguendo i miei consigli sparirà facilmente

Dopo aver disabilitato tutti i prodotti di sicurezza avvia il removal tool

Al termine della procedura verifica se Symantec è ancora presente, se così fosse continua in questo modo:

Scarica AppRemover, avvia il programma e seleziona l'opzione Remove Security Application, AppRemover analizzerà velocemente il sistema per individuare i prodotti di sicurezza installati. Selezionare il prodotto da rimuovere (using automatic mode), il prodotto verrà rimosso.

Ma Comodo e Avira,DISINSTALLO o fermo temporaneamente?ora sto scaricando gli altri programmi poiche',se debbo disinstallare i programmi di sicurezza,come faccio poi?

Scarica tutti i programmi di sicurezza indicati, successivamente disinstalla Avira e Comodo come indicato qui

[hashcat]

Pulizia addizionale (eseguire prima di scansionare):

Inserisci questo script nella casella Custom Scans/Fixes di OTL e clicca Run Fix

Codice: Seleziona tutto

:processes
killallprocesses

:otl
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
FF - ProfilePath - c:\users\alex\appdata\roaming\mozilla\firefox\profiles\f0rrwztr.default\

:commands
[PURITY]
[EMPTYTEMP]
[EMPTYFLASH]
[CLEARALLRESTOREPOINTS]

I seguenti programmi non sono aggiornati

Adobe Reader 8.3.0
Adobe Flash Player 10
HijackThis 2.0.2
Java(TM) 6 Update 26

Disinstallali e riavvia il computer.

Scarica TFC avvialo, premi start e attendi finchè la pulizia non termina.

Infine avvia OTL, clicca su CleanUp, attendi che l'operazione di pulizia finisca e riavvia il computer.

[effex]

http://www.mediafire.com/?pphr52ci198z5ng
http://www.mediafire.com/?mhgmv0o125wd4m1
http://www.mediafire.com/?m15731uw56771do


scusa per il ritardo ma Vipre ci ha messo dalla mattina alla sera :allora ..Vipre non ha trovato niente,Emisoft 7 positivi(uno ,un MBR,non e' stato messo in quarentena perche' non si poteva toccare..pero' non lo vedo nel log)Kasperski niente,Virit 1(una cartella ove avevo messo GMER).ciao

[Uomo_Senza_Sonno]

Mi sono perso la discussione, ma vediamo di dare il mio (marginale, a questo punto) contributo. Il log generato dallo Stealth Rootkit Detector ha rilevato solo la copia dell'mbr, non la presenza di eventuali settori infetti, quindi presumo che si siano stati fatti dei tentativi di rimozione di un'infezione prima di postare il thread. Ad ogni modo, in quest'articolo è spiegata la procedura sia per identificare gli estremi di partizione del disco, sia il modus operandi per la rimozione in sicurezza di ogni traccia relativa a rootkit.

Fino a qui è già stato fatto moltissimo per ripristinare la normalità, tuttavia vorrei escludere la possibilità di eventuali tracce di infezione dall'altro estremo di partizione in poi, giusto per scrupolo. Al fine di ciò, postami il settore 0 del disco con il tag IMG

[hashcat]

Ecco lo screenshot del settore 0 e il relativo dump, importabile con HxD:



http://dl.dropbox.com/u/40765847/topic73895/HxD_settore_0_dump

[Uomo_Senza_Sonno]

Per cominciare va bene questo settore, ma è meglio se si apre il disco in modo da sapere quanti settori sono presenti. Esportare i settori può essere fuorviante, e dal momento che in questa procedura gli errori non sono ammessi, meglio avere i giusti dati

Sembra un disco da 250GB, ma mi sembra esagerata la partizione nascosta/ripristino (circa 80GB); ad ogni modo, adesso postiamo i settori 488394751, 488394752 e l'ultimo settore del disco. Poi vediamo di fare una passata ai settori fuori dalla partizione perché mi sembra ancora infetto.

[hashcat]

adesso postiamo i settori 488394751, 488394752 e l'ultimo settore del disco.

@effex
L'ultimo settore del disco secondo HxD è il 488397168

Poi vediamo di fare una passata ai settori fuori dalla partizione perché mi sembra ancora infetto.

Si, anch'io ne sono convinto, ci sono alcune evidenze:

MBRCheck:

\\.\C: \\.\PhysicalDrive0 at offset 0x00000001`d8800000 (NTFS)

PhysicalDrive0 Model Number: ST9250827AS, Rev: 3.AAB

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: EA8BB81B0746AC78A2134563D52BA9A8C528544A


Found non-standard or infected MBR.

TDSSKiller:

Scan finished
21:46:35.0649 2248 ============================================================
21:46:35.0665 3028 Detected object count: 124
21:46:35.0665 3028 Actual detected object count: 124
==============================================================================
ForgedFile.Multi.Generic
LockedFile.Multi.Generic

aswMBR:

16:33:33.727 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
16:33:33.730 Disk 0 Vendor: Size: 0MB BusType: 0
16:33:33.732 Disk 1 \Device\Harddisk1\DR1 -> \Device\00000061
16:33:33.735 Disk 1 Vendor: ( Size: 0MB BusType: 0
16:33:33.738 Disk 2 \Device\Harddisk2\DR2 -> \Device\00000062
16:33:33.740 Disk 2 Vendor: ( Size: 0MB BusType: 0
16:33:33.761 Disk 0 MBR read successfully
16:33:33.764 Disk 0 MBR scan
16:33:33.782 Disk 0 unknown MBR code
16:33:33.785 Disk 0 MBR hidden
16:33:33.822 Disk 0 scanning C:\Windows\system32\drivers
16:42:21.004 File: C:\Windows\system32\drivers\srtsp.sys **HIDDEN**
16:42:21.087 File: C:\Windows\system32\drivers\srtspl.sys **HIDDEN**
16:42:21.136 File: C:\Windows\system32\drivers\srtspx.sys **HIDDEN**
16:42:21.191 File: C:\Windows\system32\drivers\symdns.sys **HIDDEN**
16:42:21.253 File: C:\Windows\system32\drivers\SYMEVENT.SYS **HIDDEN**
16:42:21.303 File: C:\Windows\system32\drivers\symfw.sys **HIDDEN**
16:42:21.333 File: C:\Windows\system32\drivers\symids.sys **HIDDEN**
16:42:21.377 File: C:\Windows\system32\drivers\symndisv.sys **HIDDEN**
16:42:21.426 File: C:\Windows\system32\drivers\symredrv.sys **HIDDEN**
16:42:21.468 File: C:\Windows\system32\drivers\symtdi.sys **HIDDEN**
16:42:21.474 Service scanning
16:42:23.428 Service CTMMOUNT C:\Windows\System32\Drivers\CTMMOUNT.sys **LOCKED** 5
16:42:23.433 Service CTMSHD C:\Windows\System32\Drivers\CTMSHD.sys **LOCKED** 5
16:42:24.195 Modules scanning
16:43:05.665 Disk 0 trace - called modules:
16:43:05.812 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll iastor.sys
16:43:05.816 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86028730]
16:43:05.821 3 CLASSPNP.SYS[8a7c78b3] -> nt!IofCallDriver -> [0x8553c8c8]
16:43:05.825 5 acpi.sys[89e9b6bc] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x84369028]

P.S.: Posta un log di TDSSKiller aggiornato

[hashcat]

Emisoft 7 positivi(uno ,un MBR,non e' stato messo in quarentena perche' non si poteva toccare..pero' non lo vedo nel log)

Potresti fare uno screenshot della rilevazione inerente al MBR

[effex]

prima di tutto vi ringrazio!Sono tornato ora e domattina parto alle 5...posso lavorare al computer solo domani pomeriggio!Postero' i settori che mi dite!intanto ho fatto tdss killer ma e' esattamente la fotocopia di quelli precedenti con 125 sospetti( con procedura di default "skip")!ciao

[effex]

settore 0
http://www.mediafire.com/?6wk1ly05ya8ru4t
settore 488394751
http://www.mediafire.com/?vt9ys3apjlu6zlg
settore 488394752
http://www.mediafire.com/?na75pmom96b63x9
qui l'immagine dell'ultimo settore..mediafire non me lo fa inviare come gli altri(duplicate?)
ultimo settore 1
http://www.mediafire.com/?qt9dd2a43hmobe9

ultimo settore 2
http://www.mediafire.com/i/?j0g3fsjg8x5ibef
ciao
rifaccio lo scanner con emisoft e vi mando la schermata del positivo MBR..mi sembra che sia lo stesso messaggio che invia MBR CHECK

[Uomo_Senza_Sonno]

Sono riuscito a vedere solo un settore, mi dispiace ma dovrai ricaricarli tutti. Prova a caricarli su http://www.imageshack.us/ e poi posta i link. Cosa importante, fai gli screenshot con la finestra a tutto schermo in modo che si vedano gli estremi del settore, altrimenti è inutile. Per questo prova a cambiare la risoluzione dello schermo con una maggiore (sembra quasi che il tuo schermo sia impostato a 800x600).

Ti ringrazio per la cortesia

[effex]

http://www.mediafire.com/i/?gtpna9lgslc8h2w
http://www.mediafire.com/i/?2b4n7y2gvlmz2rs
http://www.mediafire.com/?iltfpr819pae9zy
http://www.mediafire.com/i/?9e6aiw6qiq265j5

imageshack..non riesco a copiare il link,che rimane grigio.Pero' dovrebbe andare bene con quelli che ho postato ora!Ho cambiato risoluzione staccando il video proiettore(800x600)...

[effex]

http://imageshack.us/photo/my-images/69 ... ottob.jpg/
http://imageshack.us/photo/my-images/70 ... 39475.jpg/
http://imageshack.us/photo/my-images/84 ... 39475.jpg/
http://imageshack.us/photo/my-images/85 ... 39716.jpg/

[Uomo_Senza_Sonno]

Esportare i settori non mi aiuta perché devo indicarti gli offset esatti prima di procedere con un eventuale pulizia. Puoi cortesemente postarmi i settori aprendo il disco in sola lettura e farmi uno screenshot senza esportare nulla?

I settori ad ogni modo, sono 0, 2047,2048, 488394751, 488394752 e l'ultimo settore (per arrivare al settore inserisci il numero nel campo settore).
Ti ringrazio per la disponibilità

[effex]

sperando di fare tutto bene:screen settori 0,2047,2048,488394751, 488394752 e l'ultimo settore
http://www.mediafire.com/?un2zbisykldyo3t
http://www.mediafire.com/i/?ay8htctlraklecy
http://www.mediafire.com/i/?ze706lk91rn9b74
http://www.mediafire.com/i/?bteenz1a7ojs0a3
http://www.mediafire.com/i/?7pmwugbm7ze1ja6
http://www.mediafire.com/i/?avy423sgsdpauh4
emisoft screen
http://www.mediafire.com/?9f5soewyud2cotf
reports 13 ottobre e 16 ottobre emisoft
http://www.mediafire.com/?9cy9dep7enjzyui
http://www.mediafire.com/?4brudqxoi4bobu8

ciao
ps mi ringrazi tu?forse questo debbo farlo io!!

[Uomo_Senza_Sonno]

I settori sembrano vuoti, ma la segnalazione di emisoft evidenzia che da qualche aprte è ancora presente. Tuttavia, adesso lo sradichiamo definitivamente.

Riprendi il mio articolo e leggi attentamente la parte riguardante la pulizia dei settori infetti, e quando dovrai inserire i valori nei campi inizio e fine inserisci i seguenti:

settori 1-2047 (estremi inclusi): inizio 200, fine FFFFF;
settori 488394752-488397168: inizio 3A38A00000, fine 3A38B2DFFF;

Salva tutto dopo aver azzerato, riavvia il pc ed inserisci il cd di windows vista ed avvia la risoluzione degli errori. Una volta eseguito questo fix, riavvia il pc e verifica se è ancora presente o meno.

[effex]

sony non fornisce il disco di windows...c'e' una procedura iniziale ,da fare a computer vergine,in cui TI crei 2 dischi:1 e 2!nel momento che vuoi formattare inserisci prima l'1 poi,in secondo tempo il 2....immagino che il sistema sia nel 2 ,pero' non so se puo' andare bene per la procedura che tu mi dici .grazie,ciao Ale

[Uomo_Senza_Sonno]

Uhm, allora per effettuare il fix utilizza super grub disk

[effex]

Faccio cosi'!intanto mi sto' leggendo l'OTTIMA guida che hai redatto!non mi sembra che in giro ci sia qualcosa del genere!ti chiedo solo questo(sempre precisando che nel computer ho dati a cui tengo,ma dovessi formattare non sarebbe una tragedia).debbo fare backup su Linux?se e' cosi' debbo rimandare a domani...grazie ale

ps ho letto le istruzioni del programma che mi debbo scaricare..uso il computer ma non sono eccelso ,quindi un po' mi perdo(abbi pazienza) scarico il programma(sul computer,su un cd?)azzero i settori con AxD,riavvio(e se non si riavvia correttamente?)poi correggo co Grub..e' cosi?