Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Gmer sospetti rootkit

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Gmer sospetti rootkit

Messaggioda alyosha » gio mag 06, 2010 3:43 pm

Salve Ho da poco formattato i due Hd presenti in questo pc ed in uno ho installato win xp home edition sp3 aggiornato costatantemente.
dopo aver installato e aggiornato il S.O. e installato i drive delle periferiche ho fatto un backup del sistema con Comodo Time Machine.
Ieri ho finito di installare tutti gli altri programmi e prima di fare un secondo backup in questo punto ho fatto una scanzione con avat 5, con malaware'byte e superantyspyware e non ho trovato nulla di serio (solo con superantyspyware ho trovato 10 cookies malevoli che ho eliminato).
Allora faccio la scanzione con gmer è sorpresa mi spuntano 4 voci rosse.
eccole:
Type: Service
Name: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (***hidden***)
Value [MANUAL] aspnet_state
.....................................................................................................................
Type: Service
Name: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (***hidden***)
Value: [AUTO] clr_optimization_v2.0.50727_32
.....................................................................................................................
Type: Service
Name: C:\\WINDOWS\system32\svchost.exe (***hidden***)
Value [MANUAL] BITS
....................................................................................................................
Type: DISK
Name: \Device\harddisk0\DR0
Value: sector00: rootkit-like behavior;
Di quest'ultima voce dal report me ne compaiono alrti 2 differenti solo nel value :
sector22: rootkit-like behavior; copy of MBR
sector23: rootkit-like behavior; copy of MBR

ma non sono di colore rosso quindi non mi dovrei preoccupare giusto?
Mi chiedo ancora come sia possibile che un pc appena formattato possa presentare dei rootkit.
Come posso risolvere questo problema?
Grazie
Avatar utente
alyosha
Senior Member
Senior Member
 
Messaggi: 341
Iscritto il: lun apr 30, 2007 7:52 pm
Località: Palermo

Re: Gmer sospetti rootkit

Messaggioda ste_95 » gio mag 06, 2010 4:21 pm

Scarica mbr.exe e salvalo nella directory C:\
Quindi vai su Start>> Esegui e digita mbr.exe -f
Mbr.exe metterà qualche secondo a fare la scansione. Fatto ciò postami qui il contenuto del log creato che troverai in c:\mbr.log
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Gmer sospetti rootkit

Messaggioda alyosha » gio mag 06, 2010 7:18 pm

Ho salvato mbr nella directory C:\
ma quando vado su esegui e inserisco mbr.exe -f
mi spunta un eroore che mi dice
"Impossibile trovare il file mbr.exe. Verificare che il percorso e nome del file siano corretti e rintentare Per cercare un file fare clik sul pulsante start, quindi scegliere trova"
Comunque ho cliccato 2 volte sul file che ho salvato e mi ha creato in un'attimo un documento di testo dal nome mbr dove vi è scritto:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
copy of MBR has been found in sector 22 !
copy of MBR has been found in sector 23 !

Forse questo può bastarti?
Avatar utente
alyosha
Senior Member
Senior Member
 
Messaggi: 341
Iscritto il: lun apr 30, 2007 7:52 pm
Località: Palermo


Re: Gmer sospetti rootkit

Messaggioda ste_95 » gio mag 06, 2010 8:04 pm

Da Esegui allora digita C:\mbr.exe -f.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Gmer sospetti rootkit

Messaggioda alyosha » gio mag 06, 2010 8:11 pm

fatto e come ti avevo scritto prima, mi cea in c questo un log dove c'è scritto:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
copy of MBR has been found in sector 22 !
copy of MBR has been found in sector 23 !

[boh]
Avatar utente
alyosha
Senior Member
Senior Member
 
Messaggi: 341
Iscritto il: lun apr 30, 2007 7:52 pm
Località: Palermo

Re: Gmer sospetti rootkit

Messaggioda ste_95 » gio mag 06, 2010 8:17 pm

Direi che a questo punto è tutto regolare. [^]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Gmer sospetti rootkit

Messaggioda alyosha » gio mag 06, 2010 8:23 pm

ste_95 ha scritto:Direi che a questo punto è tutto regolare. [^]

cioè i rootkit che mi rivela gmer sono dei falsi postivi?
Avatar utente
alyosha
Senior Member
Senior Member
 
Messaggi: 341
Iscritto il: lun apr 30, 2007 7:52 pm
Località: Palermo

Re: Gmer sospetti rootkit

Messaggioda ste_95 » gio mag 06, 2010 8:31 pm

Credo che se tu facessi di nuovo la scansione non le ritroveresti, o per lo meno non tutte. Inoltre, credo che Comodo Time Machine qualcosa c'entri. [;)]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Gmer sospetti rootkit

Messaggioda alyosha » gio mag 06, 2010 9:57 pm

Allora ho ripetuto più volte la scanzione e effettivamente questo non mi compare più :
Type: Service
Name: C:\\WINDOWS\system32\svchost.exe (***hidden***)
Value [MANUAL] BITS
Ma gli altri 3 invece permangono.

Come dicevo il sistema operativo praticamnte l'ho installato ieri quindi mi sembra strano che mi sia preso un rootkit dato che ho solo installato programmi che coosco e sono andato poco su internet.
In realtà ho installato questo programma Virtual Desktop Manager
http://aranzulla.tecnologia.virgilio.it/tanti-desktop-per-windows-540.html
e praticamente al riavvio windows mi dava un errore nel registro di sistema e automaticamente è partito lo scandisk che ha risolto il problema, anche se le icone del programma c'erano ma erano inattive.
Ma non fidandomi ho riprestinato il backup fatto all'origine del sistema appunto con cmodo time machine, e sembra che abbia funzionato corettamente, persino gli aggiornamenti di windows che avevo già fatto mi si sono scaricati, e non vi sono più tracce di uel programma apparte il setup che ho scaricato nel disco secondario.
Comunque sarebbe allora [:D] COMODO [:D] se qualch'uno che utilizza Comodo Time Machine facesse la scanzione con gmer e mi dicesse se riscontra questi falsi positivi se così sono.
grazie comunque ste_95 per il tuo aiuto
Avatar utente
alyosha
Senior Member
Senior Member
 
Messaggi: 341
Iscritto il: lun apr 30, 2007 7:52 pm
Località: Palermo

Re: Gmer sospetti rootkit

Messaggioda Uomo_Senza_Sonno » gio mag 06, 2010 11:17 pm

alyosha ha scritto:fatto e come ti avevo scritto prima, mi cea in c questo un log dove c'è scritto:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
copy of MBR has been found in sector 22 !
copy of MBR has been found in sector 23 !

[boh]

Il fatto che rimangono le tracce delle copie dell'MBR significa che sono rimaste alcune parti del codice del rootkit nei settori del disco, ma sono innoqui. Se il pc funziona bene e non presenta rallentamenti o crash di sistema, ti conviene lasciare tutto così com'è, oppure se te la senti segui queste indicazioni, sono le uniche che ti permettono di ripulire completamente i settori del disco.
Inoltre non è detto che il rootkit non ci sia già da prima e solo adesso è saltato fuori.. probabilmente c'era già e anche formattando non lo elimini. L'unico modo per eliminarlo ed esserne certi è eseguire uno zerofilling del disco da linux, ma dopo averlo eseguito riparti da zero e soprattutto avrai un hard disk nuovamente vergine.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Gmer sospetti rootkit

Messaggioda ste_95 » ven mag 07, 2010 6:35 am

alyosha ha scritto:Comunque sarebbe allora [:D] COMODO [:D] se qualch'uno che utilizza Comodo Time Machine facesse la scanzione con gmer e mi dicesse se riscontra questi falsi positivi se così sono.

Secondo me sì. [:)]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Gmer sospetti rootkit

Messaggioda alyosha » mar mag 11, 2010 9:29 am

Uomo_Senza_Sonno ha scritto:
alyosha ha scritto:fatto e come ti avevo scritto prima, mi cea in c questo un log dove c'è scritto:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
copy of MBR has been found in sector 22 !
copy of MBR has been found in sector 23 !

[boh]

Il fatto che rimangono le tracce delle copie dell'MBR significa che sono rimaste alcune parti del codice del rootkit nei settori del disco, ma sono innoqui. Se il pc funziona bene e non presenta rallentamenti o crash di sistema, ti conviene lasciare tutto così com'è,

Il coputer va bene solo all'inizio si presenta lento alla prima apertura di internet ma poi funziona bene considera che ha un processore Amd Athlon(tm) XP 2200+1,80 Ghz con 1Gb di ram ddr insomma non è all'avavgurdia poi ho installato avast e Winpratol nonchè spybot e spywarebluster che potrebbero rallentare il primo accesso ad internet Dopo un po' il pc naviga e svolge le operazioni correttamente. Se tu mi rassicuri dicendomi che il rootkit è inattivo allora non mi complico la vita.
Uomo_Senza_Sonno ha scritto:non è detto che il rootkit non ci sia già da prima e solo adesso è saltato fuori.. probabilmente c'era già e anche formattando non lo elimini. L'unico modo per eliminarlo ed esserne certi è eseguire uno zerofilling del disco da linux, ma dopo averlo eseguito riparti da zero e soprattutto avrai un hard disk nuovamente vergine.

Questo zerofilling di cui tu mi parli in sostanza è quella procedura nominata da Master3d nella discussiona che mi hai postatto? dove dice di inserire nella console di comando questo codice : dd if=/dev/zero of=/dev/<device> bs=512?
Il nodo di periferica che inserisce al posto del device sarebbe la lettera corrispondente per esempio se voglio formattare la partizione di sistema C devo inserire questo codice dd if=/dev/zero of=/dev/C bs=512 ?
Grazie per avermi risposto.
Avatar utente
alyosha
Senior Member
Senior Member
 
Messaggi: 341
Iscritto il: lun apr 30, 2007 7:52 pm
Località: Palermo

Re: Gmer sospetti rootkit

Messaggioda Uomo_Senza_Sonno » mar mag 11, 2010 1:21 pm

alyosha ha scritto:Il nodo di periferica che inserisce al posto del device sarebbe la lettera corrispondente per esempio se voglio formattare la partizione di sistema C devo inserire questo codice dd if=/dev/zero of=/dev/C bs=512 ?

Prima di tutto ribadisco che questo comando azzera tutti i settori del disco e non una singola partizione, quindi nel caso decidessi di eseguire questo comando devi tener presente che poi non si torna indietro, e non c'è modo di recuperare i dati. Oltretutto, non è detto che azzerando una sola partizione si elimini la traccia del rootkit. Per il resto, la sintassi NON è corretta. Rischieresti di fare un grosso errore, o al massimo non va il comando... [;)] Linux legge i dischi e le partizioni in modo differente da windows, e quando devi inserire la partizione o il disco devi indicarlo con sda, ma per comprendere meglio su quale disco devi eseguire il comando dd esegui da terminale questo comando qua

Codice: Seleziona tutto
sudo sfdisk -l

ti indicherà quanti dischi sono presenti nel pc e per azzerare tutto il disco, ti è sufficiente digitare

Codice: Seleziona tutto
sudo dd if=/dev/zero of=/dev/sda bs=512

nel caso tu abbia un solo disco presente.
Ora mettiamo il caso che hai un secondo disco presente nella lista, verrà indicato come sdb, sdc ecc ecc, in quanto sda è il disco fisico, sda1 è la partizione
e se devi eseguire il comando dd su un secondo disco (non partizione) devi dare

Codice: Seleziona tutto
sudo dd if=/dev/zero of=/dev/sdb bs=512

dove con sdb indichi il secondo disco fisico e così via.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Gmer sospetti rootkit

Messaggioda alyosha » mar mag 11, 2010 5:06 pm

Uomo_Senza_Sonno ha scritto:
alyosha ha scritto:Il nodo di periferica che inserisce al posto del device sarebbe la lettera corrispondente per esempio se voglio formattare la partizione di sistema C devo inserire questo codice dd if=/dev/zero of=/dev/C bs=512 ?

Prima di tutto ribadisco che questo comando azzera tutti i settori del disco e non una singola partizione, quindi nel caso decidessi di eseguire questo comando devi tener presente che poi non si torna indietro, e non c'è modo di recuperare i dati. Oltretutto, non è detto che azzerando una sola partizione si elimini la traccia del rootkit. Per il resto, la sintassi NON è corretta. Rischieresti di fare un grosso errore, o al massimo non va il comando... [;)] Linux legge i dischi e le partizioni in modo differente da windows, e quando devi inserire la partizione o il disco devi indicarlo con sda, ma per comprendere meglio su quale disco devi eseguire il comando dd esegui da terminale questo comando qua

Codice: Seleziona tutto
sudo sfdisk -l

ti indicherà quanti dischi sono presenti nel pc e per azzerare tutto il disco, ti è sufficiente digitare

Codice: Seleziona tutto
sudo dd if=/dev/zero of=/dev/sda bs=512

nel caso tu abbia un solo disco presente.
Ora mettiamo il caso che hai un secondo disco presente nella lista, verrà indicato come sdb, sdc ecc ecc, in quanto sda è il disco fisico, sda1 è la partizione

e se devi eseguire il comando dd su un secondo disco (non partizione) devi dare

Codice: Seleziona tutto
sudo dd if=/dev/zero of=/dev/sdb bs=512

dove con sdb indichi il secondo disco fisico e così via.

Grazie ho parlato troppo presto!
Il pc funzionava bene dopo averlo pulito con ccleaner e regseeker, fatto la deframmentazione del disco e del registro con Winassord reg defrag, ho eseguito anche lo scandisk del disco seceondario flaggando solo l'opzione Cerca i settori danneggiati e tenta il ripristino.
Dopo che ha finito tale operazione mi spunta un trangolo giallo con il punto esclamativo nelle barra delle applicazioni che mi da il seguente messaggio:
Windows scrittura rimandata non riuscita
Impossibile salvare tutti i dati dei file.
C:\WINDOWS\Config\system32\SysEvent.Evt.
I dati sono andati persi. La causa dell'errore potrebbe essere un errore hardware o della connessione di rete. Provare a salvare i file altrove.

Poi mi è comparso la stesssa notifica riferita però ad un'altro file ovvero:
Windows scrittura rimandata non riuscita
Impossibile salvare tutti i dati dei file.
C:\WINDOWS\Returnil\rvs3\cdc3461dbd1c3f782df2839f04e5c65.db
I dati sono andati persi. La causa dell'errore potrebbe essere un errore hardware o della connessione di rete. Provare a salvare i file altrove.

Poi un altro ancora: C:\WINDOWS\rv63log
Allora o riavviato e prima di chiudersi il pc mi dava tutta una serie di errori.
Appena si è riavviato funziona tutto come prima normale, non mi da alcun errore solo una cosa mi sono accorto che mi è scomparsa la cartella system32 [boh]
Pensi che siano gli effetti del rootkit?
la cosa strana e che io stavo intervenedo sul disco secondario D, che centra che mi spunta quetsi problemi del disco C ? [boh]
Aiutoooooooo
Avatar utente
alyosha
Senior Member
Senior Member
 
Messaggi: 341
Iscritto il: lun apr 30, 2007 7:52 pm
Località: Palermo


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising