www.MegaLab.it

[maux]

Ciao a tutti,
sto analizzando il pc di un amico che ha il seguente problema:
all'avvio di windows xp, l'antivirus f-secure rileva la seguente minaccia:
"codice dannoso rilevato nel record di avvio principale del disco mbr.
Infezione: Rootkit MBR Mebroot.B (boot image)

Mi potreste gentilmente guidare alla rimozione del rootkit in questione ?
In allegato il log di hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.06.11, on 10/11/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programmi\Emsisoft Anti-Malware\a2service.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programmi\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programmi\F-Secure\Common\FSMA32.EXE
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\F-Secure\Common\FSHDLL32.EXE
C:\Programmi\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\slmdmsr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programmi\F-Secure\Common\FNRB32.EXE
C:\Programmi\F-Secure\FWES\Program\fsdfwd.exe
C:\Programmi\F-Secure\Common\FIH32.EXE
C:\WINDOWS\Explorer.EXE
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\driven~1\syncer\MCCITR~1.EXE
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\F-Secure\Common\FSM32.EXE
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
C:\Programmi\Alice Messenger\alicemessenger.exe
C:\Programmi\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programmi\F-Secure\Anti-Virus\fssm32.exe
C:\Programmi\F-Secure\Anti-Virus\fsav32.exe
C:\Programmi\Alice ti aiuta\vendors\AliceRE\content\template\driven_dev\syncer\McciBrowser.exe
C:\PROGRA~1\Motive\ASSTCO~1\MOTIVE~1.EXE
C:\Programmi\Alice ti aiuta\bin\mad.exe
C:\Documents and Settings\Giacomo\Documenti\AntiMalware-Virus\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\ConduitEngine.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: LitmusBHO - {C6867EB7-8350-4856-877F-93CF8AE3DC9C} - C:\Programmi\F-Secure\NRS\iescript\baselitmus.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: pc gear it - {fde1c224-0b9c-46b2-8fca-8945bcf8d4cb} - C:\Programmi\pc_gear_it\tbpc_g.dll
O3 - Toolbar: pc gear it Toolbar - {fde1c224-0b9c-46b2-8fca-8945bcf8d4cb} - C:\Programmi\pc_gear_it\tbpc_g.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\ConduitEngine.dll
O3 - Toolbar: Browsing Protection Toolbar - {265EEE8E-3228-44D3-AEA5-F7FDF5860049} - C:\Programmi\F-Secure\NRS\iescript\baselitmus.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nTrayFw] C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /F "C:\WINDOWS\TEMP\E_S5C.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [AliceRE_McciTrayApp] C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\driven~1\syncer\MCCITR~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programmi\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programmi\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [emsisoft anti-malware] "C:\Programmi\Emsisoft Anti-Malware\a2guard.exe" /d=60
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AliceMessenger] "C:\Programmi\Alice Messenger\alicemessenger.exe"
O4 - HKCU\..\Run: [kJoCBjsHlcALP] C:\Documents and Settings\All Users\Dati applicazioni\kJoCBjsHlcALP.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Emsisoft Anti-Malware 6.0 - Service (a2AntiMalware) - Emsi Software GmbH - C:\Programmi\Emsisoft Anti-Malware\a2service.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programmi\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: Gestione richieste di rete F-Secure (F-Secure Network Request Broker) - F-Secure Corporation - C:\Programmi\F-Secure\Common\FNRB32.EXE
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programmi\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programmi\F-Secure\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Programmi\F-Secure\ORSP Client\fsorsp.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programmi\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slmdmsr.exe

--
End of file - 10849 bytes

Al momento ho effettutato una scansione con hitman pro senza riscontrare minacce

Grazie

[maux]

Ho provato ad eseguire Stealth MBR rootkit detector col seguente risultato:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmet.net
Windows 5.1.2600 Disk: MAXTOR_STM380815AS rev.4.AAB -> Harddisk0\DR0 -> \Device\00000069

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Sembra non ci sia nessuna infezione a livello di MBR.
Può essere che il rootkit sia presente sul pc ma non abbia infettato l'MBR ?

[crazy.cat]

Che è questa roba?
O4 - HKCU\..\Run: [kJoCBjsHlcALP] C:\Documents and Settings\All Users\Dati applicazioni\kJoCBjsHlcALP.exe
Controllala su virtutotal.com

Prova a far girare gmer e vedi se escono voci rosse di rootkit.

[maux]

Che è questa roba?
O4 - HKCU\..\Run: [kJoCBjsHlcALP] C:\Documents and Settings\All Users\Dati applicazioni\kJoCBjsHlcALP.exe
Controllala su virtutotal.com

Prova a far girare gmer e vedi se escono voci rosse di rootkit.

Mentre ero in attesa di risposte al mio post, ho fatto girare Malware byte's che mi ha rilevato e rimosso le seguenti infezioni:

Malwarebytes' Anti-Malware 1.51.2.1300
http://www.malwarebytes.org

Database version: 8132

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

10/11/2011 20.06.29
mbam-log-2011-11-10 (20-06-29).txt

Scan type: Full scan (C:\|E:\|F:\|K:\|)
Objects scanned: 466977
Time elapsed: 1 hour(s), 49 minute(s), 33 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 1
Registry Values Infected: 0
Registry Data Items Infected: 1
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Adware.Agent) -> Quarantined and deleted successfully.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop (PUM.Hidden.Desktop) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
c:\programmi\eMule\Incoming\football manager 2010 (pre-activated)\setup.exe (Adware.Agent) -> Quarantined and deleted successfully.
e:\svabi\program\ca-vl.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

Ho rilanciato Hijackthis ed il file kJoCBjsHlcALP.exe non figura piu, pertanto credo sia stato rimosso da Malware byte's.
Ho provato ad eseguire gmer ma dopo qualche minuto d'errore, il sistema operativo mi restituisce il seguente errore di applicazione:
L'istruzione a "0x0040c676" ha fatto riferimento alla memoria a "0x812a0392".
La memoria non poteva essere "read"
E il programma termina.

Altri consigli per procedere alla rimozione del rootkit ?

[eugenio19911]

hitman pro
dovrebbe trovarti le infezioni rimaste e attivando la licenza le rimuove, ma dopo 30 giorni alla scadere delle licenza scansiona ma non rimuove.
Nel caso volessi conservare la licenza puoi fare così:
-controlli chi rileva la minaccia
-nel caso fosse ikarus o emsisoft scarica:
http://www.emsisoft.de/en/software/antimalware/
nel caso invece fosse rilevata da dr web scarica:
https://www.freedrweb.com/download+cureit+free/?lng=en

[maux]

hitman pro
dovrebbe trovarti le infezioni rimaste e attivando la licenza le rimuove, ma dopo 30 giorni alla scadere delle licenza scansiona ma non rimuove.
Nel caso volessi conservare la licenza puoi fare così:
-controlli chi rileva la minaccia
-nel caso fosse ikarus o emsisoft scarica:
http://www.emsisoft.de/en/software/antimalware/
nel caso invece fosse rilevata da dr web scarica:
https://www.freedrweb.com/download+cureit+free/?lng=en

Hitman pro l'avevo già utilizzato come prima opzione ma non mi aveva individuato nulla.
Ho provato invece un'oretta fa ad utilizzare dt web cure it e mi ha rilevato un backdoor per il MBR che ha curato con successo.
Ho l'antivirus non rileva piu la presenza di rootkit.
Mi è rimasto solamente questo problema:
in fase di boot mi appare il seguente messaggio: "autochk program not found - skipping AUTOCHECK"
ho seguito la vostra guida: l'eseguibile viene correttamente copiato dal cd di windows sotto il path c:\WINDOWS\System32 ma una volta uscito dalla console di ripristino ed effettuato il reboot mi appare nuovamente.
Cos'altro posso fare per eliminare quel messaggio ?

[eugenio19911]

c'è una guida specifica la puoi trovare a questo link:
http://www.hwupgrade.it/forum/showthread.php?t=2218629

[maux]

c'è una guida specifica la puoi trovare a questo link:
http://www.hwupgrade.it/forum/showthread.php?t=2218629

Ho notato, indirettamente tramite la guida, che alla voce di registro
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
non avevo la chiave BootExecute.
Pertanto, all'interno di Session Manager ho creato un nuovo valore multistringa chiamandolo BootExecute ed assegnandogli il valore autocheck autochk *
In tal modo, il problema si è risolto!

Ultimissimo dubbio:
già da prima, appena si avvia il pc, mi compare la finestra di sistema "Windows - Recupero dal registro di sistema" con la seguente descrizione:
"E' stato necessario recuperare uno dei file contenenti i dati del Registro di sistema da una copia sostitutiva o da un file registro.
Il recupero è stato eseguito correttamente."

Come posso fare per eliminare questo messaggio, ad ogni avvio di windows ?