www.MegaLab.it

[stubborn74]

I settori che ti avevo indicato da postare erano riferiti al disco esterno, giusto per controllare intorno agli estremi di partizione, mentre per il disco principale i settori da visualizzare sono altri.
Ad ogni modo:
per il disco interno [hard disk 1], posta i seguenti settori: 1, 61, 62, 63, 312576704, 312576705, 312576706 e 312581808

scusami,ma per favore puoi indicarmi quale devo scegliere? (sia per il disco esterno che per l altro di cui vuoi i settori adesso)

[stubborn74]

Start->Computer
tasto destro sul disco C:\
proprietà
scheda sicurezza
clicca in basso su avanzate
scheda proprietario

a questo punto inserisci il tuo user e se trovi qualche nome utente o strani simboli che non conosci rimuovili , poi dai applica e ok.
Riprova con il tool Stealth.

fatto,il risultato non è cambiato,sempre un solo log.
sempre pulito

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: WDC_WD1600BEVS-60RST0 rev.04.01G04 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-4

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

[Uomo_Senza_Sonno]

I settori che ti avevo indicato da postare erano riferiti al disco esterno, giusto per controllare intorno agli estremi di partizione, mentre per il disco principale i settori da visualizzare sono altri.
Ad ogni modo:
per il disco interno [hard disk 1], posta i seguenti settori: 1, 61, 62, 63, 312576704, 312576705, 312576706 e 312581808

scusami,ma per favore puoi indicarmi quale devo scegliere? (sia per il disco esterno che per l altro di cui vuoi i settori adesso)

Hard disk 1, come già indicato prima

[tecnico24]

Start->Computer
tasto destro sul disco C:\
proprietà
scheda sicurezza
clicca in basso su avanzate
scheda proprietario

a questo punto inserisci il tuo user e se trovi qualche nome utente o strani simboli che non conosci rimuovili , poi dai applica e ok.
Riprova con il tool Stealth.

fatto,il risultato non è cambiato,sempre un solo log.
sempre pulito

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: WDC_WD1600BEVS-60RST0 rev.04.01G04 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-4

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Secondo me l'mbr è pulito.
Una volta fissato il master boot record dal prompt , torna alle impostazioni originarie.
Lascio continuare il lavoro a Uomo_senza_sonno come giusto che sia.

[Uomo_Senza_Sonno]

Secondo me l'mbr è pulito.
Una volta fissato il master boot record dal prompt , torna alle impostazioni originarie.

Anche secondo me è pulito, ma deve essere rimasto qualcosa da qualche parte che attiva il rilevamento.

[tecnico24]

Secondo me l'mbr è pulito.
Una volta fissato il master boot record dal prompt , torna alle impostazioni originarie.

Anche secondo me è pulito, ma deve essere rimasto qualcosa da qualche parte che attiva il rilevamento.

Immagino vorresti procedere cosi
http://www.MegaLab.it/7049/4/guida-oper ... ei-rootkit

[Uomo_Senza_Sonno]

Immagino vorresti procedere cosi
http://www.MegaLab.it/7049/4/guida-oper ... ei-rootkit

Eh già

[stubborn74]

spero che qualcuno sia ancora sveglio.....
voi dite che è pulito? scusate ma a me mi è appena successo di TUTTO poco fa,e vi dico che io penso che qualcosa di veramente "bestiale" in questo HD o nel BIOS cè! leggete e guardate ragazzi.
stavo entrando quì nel sito e a un certo punto mi si blocca tutto,chrome va in crash,il desktop si blocca completamente,il puntatore del mouse comincia a correre da solo per tutto lo schermo come impazzito!!!! è rimasto tutto bloccato così per 15 minuti,avevo il dito sul tasto di spegnimento ma ho voluto aspettare fino all ultimo,poi si è ripreso,sono uscito da chrome e sono andato a vedere nel visualizzatore eventi e ho subito notato che il FIGLIO DI P****** è riuscito ad entrare,guardate

Nome registro: Security
Origine: Microsoft-Windows-Security-Auditing
Data: 15/10/2012 23.56.08
ID evento: 5025
Categoria attività:Altri eventi di sistema
Livello: Informazioni
Parole chiave: Controllo riuscito
Utente: N/D
Computer: PC-poltel
Descrizione:
Servizio Windows Firewall arrestato.
XML evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>5025</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12292</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2012-10-15T21:56:08.430Z" />
<EventRecordID>10239</EventRecordID>
<Correlation />
<Execution ProcessID="668" ThreadID="776" />
<Channel>Security</Channel>
<Computer>PC-poltel</Computer>
<Security />
</System>
<EventData>
</EventData>
</Event>



------------------------------------------------------------------------------------------------------------------
Nome registro: Security
Origine: Microsoft-Windows-Security-Auditing
Data: 15/10/2012 23.32.52
ID evento: 4648
Categoria attività:Accesso
Livello: Informazioni
Parole chiave: Controllo riuscito
Utente: N/D
Computer: PC-poltel
Descrizione:
È stato tentato un accesso utilizzando credenziali esplicite.

Soggetto:
ID protezione: SYSTEM
Nome account: PC-POLTEL$
Dominio account: WORKGROUP
ID accesso: 0x3e7
GUID accesso: {00000000-0000-0000-0000-000000000000}

Account di cui sono state utilizzate le credenziali:
Nome account: SYSTEM
Dominio account: NT AUTHORITY
GUID accesso: {00000000-0000-0000-0000-000000000000}

Server di destinazione:
Nome server di destinazione: localhost
Informazioni aggiuntive: localhost

Informazioni sul processo:
ID processo: 0x290
Nome processo: C:\Windows\System32\services.exe

Informazioni di rete:
Indirizzo di rete: -
Porta: -

Questo evento viene generato quando un processo tenta di far accedere un account specificando esplicitamente le credenziali dell'account. Generalmente si verifica in configurazioni di tipo batch, ad esempio attività pianificate, oppure quando si utilizza il comando RUNAS.
XML evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4648</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2012-10-15T21:32:52.454Z" />
<EventRecordID>10231</EventRecordID>
<Correlation />
<Execution ProcessID="668" ThreadID="1380" />
<Channel>Security</Channel>
<Computer>PC-poltel</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">PC-POLTEL$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TargetUserName">SYSTEM</Data>
<Data Name="TargetDomainName">NT AUTHORITY</Data>
<Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TargetServerName">localhost</Data>
<Data Name="TargetInfo">localhost</Data>
<Data Name="ProcessId">0x290</Data>
<Data Name="ProcessName">C:\Windows\System32\services.exe</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
</EventData>
</Event>

ho staccato la coonessione e ho dato subito un occhiata al task managr e ho visto dei movimenti molto strani nel processo Explorer.exe e in uno dei tanti svchost.exe che rimandavano alla cartella temp in locale... l ho aperta e dentro ci ho trovato tutta sta M**** che mi stava scaricando nel mio pc questo FI**** di P****** di un HAKER MALEDETTO! 964 mb di schifezze!!!






prendo tutte le cartelle da 964 mb e la cestino subito tutte,e..... appena 5 secondi dopo????? ecco cosa è successo!!






@uomo_senza_sonno poi sono andato a cercare i settori dell HD da postare,e guarda cosa trovo??????
che diavolo è sta roba? come mai ci sono scritte quelle cose???




ora per favore non mi abbandonate,aiutatemi a distruggere questa roba e a cacciare sto SCHIFOSO salla mia rete,vi prego.

ATTENZIONE,visto che la situazione è seria vi chiedo qualcuno che conosce il firewall di windows e il suo log,di scaricaro e analizzarlo,ve lo chiedo per favore,l ho postato tramite wikisend nel log qui sotto,aiutatemi.
come cavolo ha fatto sto MALEDETTO A BUCARMI IL FIREWALL io l ho blindato per le connessioni in entrata,e guardate nel log quante è riusito a farne sto ANIMALE.... mi sta rubando i miei file!!!


scaricatelo e guardate gli IP e le porte di connessione,vi prego pfirewall.log

[stubborn74]

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

[stubborn74]

stavolta spero di non aver sbagliato........
questi sono i settori che mi avevi chiesto all inizio del disco esterno,spero sia il C:\ come ho capito io.....
comunque guarda che io ho 2 partizioni avviabili,non una (avviabile C:\ e avviabile D:\)

ti sto postando solo i settori 61, 62 e 63,tutti gli altri erano azzerati












dell HD 1 invece ti posto solo il settore 63 (gli altri erano azzerati tutti)

[stubborn74]

ho commesso un errore,mi sono dimenticato di postare anche il settore 312576704 dell HD 1

comunque mi appello ai moderatori e ai gestori del sito: secondo me dovreste permettere agli utenti di poter MODIFICARE i post almeno 4 volte per sicurezza,altrimenti se uno sbaglia un passaggio è fregato... è veramente scomodo non poter modificare i propri post,si fa confusione alle volte e si manda fuori strada i volontari che ci assistono.
grazie

[Uomo_Senza_Sonno]

Innanzitutto facciamo un po' di chiarezza: il tuo pc non è preso di mira da qualche hacker, è sicuramente qualche virus che sta scaricando altri pacchetti virali, e per risolvere è sufficiente effettuare una scansione con un rescue disk come quello di Karspersky; per quanto riguarda il resto, come ampiamente spiegato nell'articolo riguardante HxD, si devono aprire i dischi fisici e non logici (quindi hard disk 1, disco ottico1, disco rimovibile 1 e via dicendo) in quanto in questo modo vedremo solo i dati presenti all'interno delle partizioni.

Per azzerare il disco principale (hard disk 1) mi devi postare l'ultimo settore di questo disco, mentre solo dopo aver fatto l'azzeramento di questo passiamo ai supporti esterni.

[stubborn74]

ecco l ultimo settore dell HD 1

[Uomo_Senza_Sonno]

Per quanto riguarda la pulizia dei settori del primo disco (hard disk 1), procedi come segue:
riprendi l'articolo su HxD da qui ed inserisci i seguenti valori nei campi inizio e fine

settori 1-62 (estremi compresi): campo inizio 200, campo fine 7DFF;
settori 312576705-312581808: campo inizio 2543158200, campo fine 25433D5FFF;

dopo aver salvato le modifiche riavvia il pc e accedi alla console di ripristino, poi dai i comandi

bootrec /fixmbr
bootrec /fixboot
bootrec /rebuildCD

ad ogni comando dai invio e confermi con Y. Al termine di tutto riavvia nuovamente e verifica con Gmer se trova nuovamente qualcosa.

[stubborn74]

provvedo. ma poi la controlliamo anche la partizione D:\ avviabile e la usb flash?

[Uomo_Senza_Sonno]

Certamente

[stubborn74]

salve uomo senza sonno
cortesemente leggere quanto riportato in seguito:
ho effettuato tutte le operazioni,ma è necessario che tu presti attenzione ai 2 inconvenienti accorsi durante la procedura che mi hai fatto effetuare poiche essa non è andata a buon fine,overo il rootkit (o quanto di esso è rimasto) è sempre al suo posto,alias:NON è STATO RIMOSSO.

1) tutti i settori che ho resettato nell HARD DISK 1 erano già azzerati dapprima

2) in console di ripristino,il comando bootrec /rebuildCD (come già avevo specificato a tecnico24) non è corretto.

prego visionare le catture sottostanti,e infondo dopo le catture,prego di visionare il settore infetto dell hard disk come me lo mostra tutt ora GMER.









GMER 1.0.15.15227 - http://www.gmer.net
Rootkit quick scan 2012-10-20 19:04:46
Windows 6.0.6002 Service Pack 2
Running: gmer.exe; Driver: C:\Users\poltel\AppData\Local\Temp\uxlcapoc.sys


---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 00: MBR rootkit code detected

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Gestione filtri file system Microsoft/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Runtime framework driver modalità kernel/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
--------------------------------------------------------------------------------------------------------------------------------------




3ÀŽÐ¼ |ŽÀŽØ¾ |¿ ¹ üó¤PhËû¹ ½¾€~ |…
ƒÅâñ͈V UÆFÆF ´A»ªUÍ]rûUªu ÷Á
tþFf`€~ t&fh fÿvh h |h
h ´BŠV ‹ôÍŸƒÄžë¸
» |ŠV Šv
ŠNŠnÍfasþN… €~ €„Š ²€ë‚U2äŠV Í]뜁>þ}Uªunÿv èŠ … °Ñædè °ßæ`èx °ÿædèq ¸ »Íf#Àu;fûTCPAu2ù
r,fh» fh  fh fSfSfUfh fh | fah ÍZ2öê | Í ·ë ¶ë µ2ä ‹ð¬< tü» ´Íëò+Éädë $àø$ÃInvalid partition table Error loading operating system Missing operating system bz™"B"B €

þÿÿ? $ þÿÿþÿÿ•$¯Î7
þÿÿþÿÿDó¶}—ê Uª

[stubborn74]

oggi ho smanettato per tutta la sera con HxD,e forse ho trovato il settore incriminato,che rileva gimer,controlla la somiglianza....
secondo me è il settori sono gli stessi... aspetto il tuo responso,poi vado e gli faccio la barba a zero.

questo è del disco settore 503206
\







questo è di Gmer.


3ÀŽÐ¼.|ŽÀŽØ¾.|¿..¹..üó¤Ph..Ëû¹..½¾.€~..|..…..ƒÅ.âñÍ.ˆV.UÆF..ÆF..´A»ªUÍ.]r..ûUªu.÷Á..t.þF.f`€~..t&fh....fÿv.h..h.|h..h..´BŠV.‹ôÍ.ŸƒÄ.žë.¸..».|ŠV.Šv.ŠN.Šn.Í.fas.þN..…..€~.€.„Š.²€ë‚U2äŠV.Í.]ëœ.>þ}Uªunÿv.èŠ..…..°Ñædè..°ßæ`èx.°ÿædèq.¸.»Í.f#Àu;f.ûTCPAu2.ù..r,fh.»..fh....fh....fSfSfUfh....fh.|..fah...Í.Z2öê.|..Í. ·.ë. ¶.ë. µ.2ä...‹ð¬<.

[stubborn74]

guarda,quì li ho messi affiancati ,forse si vede meglio... per me sono uguali

[stubborn74]

chiedo uomo_senza_sonno