www.MegaLab.it

[sampei.nihira]

perché non provate anche il nuovo tool di bitdefeder ?

http://www.malwarecity.com/blog/new-bit ... -1238.html

Grazie.

[Sabbb]

Grazie a te sam

Edit:ci messe precisamente un secondo per fare lo scan

[ferrux]

grazie :-) lo provo fra poco.

[ferrux]

Ciao
oggi ho provato con il nuovo tool bit defenderer per rootkit, e già che c'ero e dal sito ho scaricato anche l'ISO per il live cd.

Entrambi le scansioni non hanno trovato nulla!
Qui c'e' davvero qualcosa di strano... mi sto stancando di fare 1000 prove, mi sa che il giorno dello zero filling si avvivina :-)

La lotta ancora per qualche giorno la faccio andare avanti :-)
Vediamo se salta fuori qualcosa di nuovo.

Ferrux

[ferrux]

ciao Sabbb
grazie per il link però cercavo 'TDSS remover' di Esage, nel link finale vedo TDSS killer,
hai mica un altro link forse ?

Grazie :-)

[hashcat]

ciao Sabbb
grazie per il link però cercavo 'TDSS remover' di Esage, nel link finale vedo TDSS killer,
hai mica un altro link forse ?

Grazie :-)

Dopo un po' di ricerche l'ho trovato (e caricato su MediaFire)

http://www.mediafire.com/?pbfbd6iubugvn9t


P.S.: Purtroppo la versione che ho trovato è la 1.7 (l'ultima era la 1.8)

[Sabbb]

Ops scusa ferrux

hashcat

[hashcat]

Ho trovato (non so come) la versione 1.8 (l'ultima disponibile)

http://www.mediafire.com/?6d8c20d610o757o

[ferrux]

Il boot mbr sembrerebbe ok:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: ST3200826AS rev.3.03 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

[ferrux]

Ciao,
se l'inglese non è un problema ho trovato questo interessanti articoli:

http://www.symantec.com/connect/blogs/t ... oes-hiding
http://www.symantec.com/connect/blogs/tidserv-and-bsod
http://www.symantec.com/security_respon ... 13-5957-99
---
http://www.symantec.com/security_respon ... 99&tabid=2
qui parla di un drive che viene caricato, sapere quale ... acc...
The infected MBR hooks BIOS functions which in turn patch the Windows kernel as it is loaded. The patched kernel then loads a malicious driver from Tidserv's encrypted file system, which is located at the end of the disk. The threat thereby bypasses protection mechanisms present in the operating system and is thus able to install itself as a rootkit.---

http://www.symantec.com/business/securi ... 14-3812-99

Spero possano essere utili, grazie.
Ferrux

[ferrux]

proverò a ripristinare questi file .sys
---

File creation
The following file(s) may be seen on the compromised computer.

%System%\spool\prtprocs\[TEMPORARY FILE NAME].tmp (Initial executable file)
%System%\drivers\TDSServ.sys
%System%\TDSS[RANDOM VALUE].log
%System%\TDSS[RANDOM VALUE].dat
%System%\TDSS[RANDOM VALUE].dll
%System%\drivers\H8SRTd.sys

File deletion
The following file(s) may be deleted from the compromised computer.
%System%\spool\prtprocs\[TEMPORARY FILE NAME].tmp (Initial executable file)

File modification
The following file(s) may be modified on the compromised computer.

atapi.sys (file infection)
advapi32.dll (file infection)
iastor.sys (file infection)
idechndr.sys (file infection)
ndis.sys (file infection)
nvata.sys (file infection)
vmscsi.sys (file infection)---

Manually restoring infected drivers
To manually restore an infected driver it is necessary to restart the computer and run the Windows Recovery Console. For full details on how to do this please read the Microsoft Knowledge Base article, How to install and use the Recovery Console in Windows XP.
Insert the Windows XP/Vista/7 CD-ROM into the CD-ROM drive.
Restart the computer from the CD-ROM drive.
XP: Press R to start the Recovery Console when the "Welcome to Setup" screen appears.
Vista/7: Follow the instructions on the screen and click Next > Repair Your Computer.

Select the installation that you want to access from the Recovery Console.
XP: Enter the administrator password and press Enter.

For example:
cd c:\windows\system32\drivers
expand d:\i386\atapi.sy_

[VincenzoGTA]

C' era una cosa che non quadrava, potresti ripostare i settori:
390700799
390700800

[Uomo_Senza_Sonno]

Potrebbe essere un tentativo quello di ripristinare i drivers, tuttavia prima di procedere il mio consiglio è quello di eseguire un backup utilizzando una disto GNU/linux; dopo aver scaricato la iso e masterizzata, provi il cd in modalità live (senza installare nulla), dopodichè monti il disco che intendi copiare e un disco dove hai la certezza che non sia infetto. Fai la copia di tutti i dati che ti interessano e poi prova con il ripristino dei drivers.

@Vincenzo: cos'è che ti sembra strano nel nuovo mbr?

[VincenzoGTA]

Non mi torna che il settore 390700799 chiude la seconda partizione
il settore 390700800 dovrebbe essere vuoto ed invece era uguale al 390700799

vorrei vedere com' è la situazione ora
forse norton segnala che è rimasta questa anomalia

[Uomo_Senza_Sonno]

Il settore 390700799 chiude la partizione, mentre in quello successivo c'è una copia del mbr infetto. Adesso, dopo la pulizia il settore 390700799 sarà come sempre, mentre i successivi saranno vuoti.
Se guardi bene nel primo settore in questione sono scritte le istruzioni corrette che trovi anche nell'altro estremo di partizione nel settore 63, mentre nel secondo settore in questione trovi solo le signature (55AA) alla fine dello stesso, ma solo quelle. Quindi i dati scritti nel settore 390700800 sono del codice rootkit e non è l'estremo della partizione.
Inutile dirti che cosa sarebbe successo se fosse stato azzerato dal settore 390700799 e non dal 390700800..

Ad ogni modo, se viene segnalato è evidente che qualcosa è andato storto, ma mi pare che la procedura è stata eseguita due volte allo stesso modo, quindi mi viene da pensare che c'è ancora il driver che infetta il disco ad ogni avvio, e per eliminarlo bisogna provare ad utilizzare qualche altro rescue disk (oppure provare a reinstallare i drivers corrotti).

[VincenzoGTA]

ho il dubbio che il settore 390700800 non è stato azzerato
l' offset che è stato dato come inizio per pulire l' altro estremo del disco è 2E933E0200

[Uomo_Senza_Sonno]

hai ragione e abbiamo trovato il problema, ti ringrazio davvero per l'aiuto a risolvere (ah cosa significa avere immagini non chiare)

[VincenzoGTA]

E di che, l' ho notato e l' ho fatto presente
Dici che si può azzerare solo quel settore o è meglio rieseguire la pulitura di tutti i settori esterni alle partizioni
e relativo fix del MBR?

[Uomo_Senza_Sonno]

E di che, l' ho notato e l' ho fatto presente
Dici che si può azzerare solo quel settore o è meglio rieseguire la pulitura di tutti i settori esterni alle partizioni
e relativo fix del MBR?

Non è una cosa da poco, anche perché senza questa tua osservazione avremo fatto altri controlli senza cavarne un ragno da un buco (e poi ero convintissimo di aver segnalato il giusto offset, anche se l'immagine non era così precisa); il lato negativo stava che se si sbagliava di un settore in meno non avevamo più la partizione e perdevamo tutti i dati.
Ora è chiaro perché viene ancora segnalato, e con molta probabilità si può pulire solo quel settore ma per sicurezza controlliamo tutto quanto. Fixare nuovamente l'mbr non penso sia necessario, in quanto

Il boot mbr sembrerebbe ok:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: ST3200826AS rev.3.03 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

@ferrux

posta nuovamente tutti i settori che ti ho chiesto precedentemente, vediamo nuovamente la situazione e ripetiamo la procedura con un nuovo offset

[ferrux]

Grazie a tutti per l'enorme sforzo e aiuto che mi averte dimostrato,
non conoscevo questo forum ma adesso posso dire che è veramente forte e lo consiglierò ai miei amici.

Il proprietario del pc lunedì deve andare fuori sede con il pc e quindi non me la sentivo di lasciarlo andare in quello stato,
mi ha autorizzato a fare un azzeramento + formattazione + reinstallazione del backup, quindi il problema, in modo un po' drastico,
al momento è risolto e potete chiudere il thread.

Grazie di nuovo e alla prossima, spero sia meno... pensante :-)))

Ciao Ferrux