Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

virus (forse) tosto assai, doppia sessione di Ie

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

virus (forse) tosto assai, doppia sessione di Ie

Messaggioda crazy.cat » mer dic 08, 2010 8:34 pm

Prima di distruggerlo riclonando il pc vorrei capire cosa diavolo mi sono sparato dentro il pc.

Oggi ho usato questo topic68546.html e nonostante le scansioni con malwarebytes, avira, avast, che hanno ripulito varie cose, ora non trovo più niente che spieghi il problema.

Gmer, no virus thanks antirootkit, mbr.exe, hitman pro, cd di boot di avira non trovano niente di pericoloso.

Combofix nel mio pc non c'è verso di farlo girare, quindi non chiedetemi il suo log.


Mi si aprono nel task manager due sessioni di internet explorer che puntano ai link che vedete nel tag memo (occhio ad aprirli anche se non sembrano niente di pericoloso)

http://www.clickpacket.org/ac.php?aid=457&sid=direct


http://www.aheadx.com/ac.php?aid=457&sid=direct




Nella cartella temp dell'account c'è un file reg che reimposta internet explorer come browser predefinito e si formano un file dat e un bin con una serie di numeri nel nome (da google e virustotal nessuna informazione), anche cancellandoli si ricreano.



L'unica voce strana nel log di gmer è questa che non avevo mai visto.

---- Threads - GMER 1.0.15 ----


Thread System [4:260] 8644F58D



Sono stanco e sconcertato perché non riesco a capire cosa ci sia sotto.
Adesso devo spegnere perché il pc e il mio cervello sono vicini al punto di fusione.
Se avete delle idee per domani mattina presto altrimenti poi devo clonare per ripristinare.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: virus (forse) tosto assai, doppia sessione di Ie

Messaggioda Uomo_Senza_Sonno » mer dic 08, 2010 9:05 pm

Una qualche variante di bootkit in aggiunta di altro malware? Sto ipotizzando anche leggendo la descrizione del virus..

Oltre al rescue disk di avira, fai un tentativo con quello di Gdata per vedere se riesce a stanare qualcosa, altrimenti fai una formattazione a basso livello e sei sicuro di eliminare eventuali componenti rootkit
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: virus (forse) tosto assai, doppia sessione di Ie

Messaggioda Uomo_Senza_Sonno » gio dic 09, 2010 1:13 am

crazy.cat ha scritto:Thread System [4:260] 8644F58D

Probabilmente c'è qualche parte di codice rootkit nei settori esterni al filesystem, tutto sta a cercarli partendo dal settore 0, proprio per vedere se è stato modificato ad hoc per rimanere invisibile anche con mbr.exe; installa HxD, dopo che lo avvi vai in Extra--> Apri Disco e selezioni il disco fisico.

Considerato che i rootkits per rimanere invisibili stanno al di fuori del filesystem, dobbiamo controllare i possibili punti dove possono insediarsi (in genere nei primi 62 settori e/o negli ultimi del disco); dal settore 0 ci ricaviamo i settori che segnano inizio e fine delle partizioni e filesystem, poi passiamo ad azzerare tutti i settori esterni al filesystem; è una procedura che può prendere del tempo perché sono necessari alcuni settori ma se non hai molto tempo conviene eseguire uno zerofilling dopo aver clonato il disco.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it


Re: virus (forse) tosto assai, doppia sessione di Ie

Messaggioda crazy.cat » gio dic 09, 2010 1:17 pm

A causa mancanza di tempo per scoprire dove si annidava l'intruso ho usato le maniere forti.
Formattone a basso livello e ripristino immagine.

E' la prima volta che returnil più hips vengono superati alla grande senza segnalarmi niente, il tutto per quello che credevo uno stupidissimo rogue.

Ho tolto il file dal magazzino troppo pericoloso.

Avevo anche il lo stesso messaggio da bootkit remover topic68548.html
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: virus (forse) tosto assai, doppia sessione di Ie

Messaggioda Uomo_Senza_Sonno » gio dic 09, 2010 1:34 pm

Forse non è il rogue in se ma quello che fa entrare ad infezione avviata. Molto strano che dia quel messaggio il bootkit remover, perché la doppia sessione di ie fa pensare fortemente a questa tipologia virale, e anche gli altri sintomi coincidono. Le cose sono due: o sono una combinazione di più virus, oppure si stanno progettando virus veramente subdoli pensati appositamente per superare senza problemi i migliori sistemi di sicurezza attualmente disponibili e neutralizzare i tools specifici.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: virus (forse) tosto assai, doppia sessione di Ie

Messaggioda Sabbb » gio dic 09, 2010 4:39 pm

Volevo chiedere una cosa.Supponiamo che io creo un immagine del OS e a mia insaputa ha l'MBR infetto. Successivamente faccio una formattazione a basso livello o col zerofilling,quindi MBR a posto. Successivamente ripristino l'immagine del OS a quando era infetto (compreso MBR) il risultato sarà MBR pulito o infetto?
Avatar utente
Sabbb
Utente inattivo
 
Messaggi: 4483
Iscritto il: sab set 04, 2010 11:19 am

Re: virus (forse) tosto assai, doppia sessione di Ie

Messaggioda sampei.nihira » gio dic 09, 2010 5:17 pm

crazy.cat ha scritto:A causa mancanza di tempo per scoprire dove si annidava l'intruso ho usato le maniere forti.
Formattone a basso livello e ripristino immagine.

E' la prima volta che returnil più hips vengono superati alla grande senza segnalarmi niente, il tutto per quello che credevo uno stupidissimo rogue.

Ho tolto il file dal magazzino troppo pericoloso.

Avevo anche il lo stesso messaggio da bootkit remover topic68548.html


Si è vero anche io una volta ho voluto "toccare con mano" perché sapevo che il malware in questione bypassava RVS ciò che hai descritto tu.
Invece il bypass non si è verificato con l'accoppiamento RVS + Sandboxie.
Che a tutt'oggi sono installati entrambi nel mio pc.
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: virus (forse) tosto assai, doppia sessione di Ie

Messaggioda Uomo_Senza_Sonno » gio dic 09, 2010 7:07 pm

Sabbb ha scritto:Volevo chiedere una cosa.Supponiamo che io creo un immagine del OS e a mia insaputa ha l'MBR infetto. Successivamente faccio una formattazione a basso livello o col zerofilling,quindi MBR a posto. Successivamente ripristino l'immagine del OS a quando era infetto (compreso MBR) il risultato sarà MBR pulito o infetto?

Quando ripristini l'immagine del SO non ripristini l'mbr, infatti con uno zerofilling azzeri tutto il disco settore per settore e poi bisogna ripartire da capo con la formattazione del disco. Poi ripristini l'immagine e sei a posto.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: virus (forse) tosto assai, doppia sessione di Ie

Messaggioda Sabbb » gio dic 09, 2010 11:02 pm

Uomo_Senza_Sonno ha scritto:
Quando ripristini l'immagine del SO non ripristini l'mbr, infatti con uno zerofilling azzeri tutto il disco settore per settore e poi bisogna ripartire da capo con la formattazione del disco. Poi ripristini l'immagine e sei a posto.
Quindi:Se ripristino un immagine (nel mio caso Tib di Acronis) che aveva l'MBR infetto su un HD appena formattato,l'immagine e il OS sarà a posto.? (scusami,ma voglio capire bene il concetto [grazie] )
Avatar utente
Sabbb
Utente inattivo
 
Messaggi: 4483
Iscritto il: sab set 04, 2010 11:19 am

Re: virus (forse) tosto assai, doppia sessione di Ie

Messaggioda Uomo_Senza_Sonno » gio dic 09, 2010 11:44 pm

Attenzione, la formattazione del disco deve essere a basso livello per essere sicuri di eliminare le componenti rootkit, in quanto per rimanere invisibili ai controlli si insediano nelle porzioni del disco che non sono raggiungibili dal SO.
Quando formatti non elimini un'eventuale mbr infetto, riscrivi il filesystem, mentre quando esegui lo zerofilling azzeri tutti i settori, dal primo all'ultimo. In sostanza, clonando il disco non cloni completamente tutto il disco, ma cloni il filesystem.
Se il sistema è pulito durante la clonazione e dopo ripristini a seguito di una formattazione a basso livello non hai problemi di sorta
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: virus (forse) tosto assai, doppia sessione di Ie

Messaggioda hashcat » ven dic 10, 2010 4:15 pm

Uomo_Senza_Sonno ha scritto:Attenzione, la formattazione del disco deve essere a basso livello per essere sicuri di eliminare le componenti rootkit, in quanto per rimanere invisibili ai controlli si insediano nelle porzioni del disco che non sono raggiungibili dal SO.
Quando formatti non elimini un'eventuale mbr infetto, riscrivi il filesystem, mentre quando esegui lo zerofilling azzeri tutti i settori, dal primo all'ultimo. In sostanza, clonando il disco non cloni completamente tutto il disco, ma cloni il filesystem.
Se il sistema è pulito durante la clonazione e dopo ripristini a seguito di una formattazione a basso livello non hai problemi di sorta

Questa cosa vale anche se selezioni l'opzione (Da Acronis boot cd) clona settore per settore?
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: virus (forse) tosto assai, doppia sessione di Ie

Messaggioda Uomo_Senza_Sonno » ven dic 10, 2010 4:46 pm

Se cloni settore per settore con un bootcd ed hai l'mbr infetto cloni anche l'infezione, e di conseguenza rendi vana la formattazione a basso livello.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: virus (forse) tosto assai, doppia sessione di Ie

Messaggioda hashcat » ven dic 10, 2010 5:16 pm

Uomo_Senza_Sonno ha scritto:Se cloni settore per settore con un bootcd ed hai l'mbr infetto cloni anche l'infezione, e di conseguenza rendi vana la formattazione a basso livello.

Scusa, intendevo questa modalità di clonazione fatta ovviamente prima dell'infezione di sitema, ad esempio backup settimanale del filesystem mentre il backup settore per settore ogni due settimane.
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: virus (forse) tosto assai, doppia sessione di Ie

Messaggioda Uomo_Senza_Sonno » ven dic 10, 2010 5:44 pm

Beh si, se cloni un disco sano settore per settore non hai problemi, perché sovrascrivi i settori uno ad uno, ma prima di fare un backup del genere dovresti fare tutti i controlli di sicurezza.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: virus (forse) tosto assai, doppia sessione di Ie

Messaggioda Sabbb » ven dic 10, 2010 6:46 pm

Riformulo la domanda. Se creo un immagine del sistema con mbr infetto,poi faccio una formattazione a basso livello,poi ripristino l'immagine creata di cui sopra:l'mbr sarà infetto o no?
Avatar utente
Sabbb
Utente inattivo
 
Messaggi: 4483
Iscritto il: sab set 04, 2010 11:19 am

Re: virus (forse) tosto assai, doppia sessione di Ie

Messaggioda hashcat » ven dic 10, 2010 6:50 pm

Sabbb ha scritto:Riformulo la domanda. Se creo un immagine del sistema con mbr infetto,poi faccio una formattazione a basso livello,poi ripristino l'immagine creata di cui sopra:l'mbr sarà infetto o no?

Se non esegui l'immagine settore per settore il mbr dovrebbe essere pulito.
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: virus (forse) tosto assai, doppia sessione di Ie

Messaggioda Uomo_Senza_Sonno » ven dic 10, 2010 7:19 pm

Sabbb ha scritto:Riformulo la domanda. Se creo un immagine del sistema con mbr infetto,poi faccio una formattazione a basso livello,poi ripristino l'immagine creata di cui sopra:l'mbr sarà infetto o no?

hashcat ha scritto:Se non esegui l'immagine settore per settore il mbr dovrebbe essere pulito.

Non dovrebbe, è pulito, quindi si può stare tranquilli. Mi scuso se nei post precedenti la risposta non era del tutto chiara [:-H]
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: virus (forse) tosto assai, doppia sessione di Ie

Messaggioda Sabbb » ven dic 10, 2010 7:43 pm

OK. NB.Non devi scusarti di niente [^]
Avatar utente
Sabbb
Utente inattivo
 
Messaggi: 4483
Iscritto il: sab set 04, 2010 11:19 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising