Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

MBR Rootkit + Infezioni

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

MBR Rootkit + Infezioni

Messaggioda Oresthe » ven gen 21, 2011 4:51 pm

Ciao a tutti!

Sto avendo problemi con un computer con Windows XP
Il computer ha un MBR Rootkit che faceva comparire all'avvio la seguente scritta "trend chipawayvirus has detected a boot virus on your hard disk".
Provando a lanciare GMER questo mi rilevava la presenza del rootkit, tuttavia il computer si bloccava durante la scansione tanto da dover riavviare manualmente.
Il computer dopo qualche tentativo non avviava Xp tanto che ho dovuto eliminare un file da 0 KB sotto /system32/driver per farlo avviare. (Operazione effettuata tramite UBUNTU live-CD).

Ora il XP si avvia ma il computer è davvero rallentato e credo seriamente che vi siano altre infezioni in corso, incluso il rootkit solo in parte debellato.

Non avendone alcuna dimestichezza vi posto i log di SystemScan, PrevX e HijackThis.

HELP ME, PLEASE ^^

HijackThis Log : hijackthis.log

PrevX Log : aa.log

SystemScan : report.txt
Avatar utente
Oresthe
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven gen 21, 2011 4:40 pm

Re: MBR Rootkit + Infezioni

Messaggioda Berga95 » ven gen 21, 2011 5:15 pm

La prossima volta usa il tag MEMO per allegare i log [^]
Scarica questo, salvalo in C:\, poi vai su start -> esegui -> cmd -> scrivi "C:\mbr.exe -f" (senza virgolette)

Dovrebbe lasciarti un log: scrivicelo con il tag MEMO, c'è il manifesto di sezione su come usarlo [^]
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm
Località: C:\Python27 | C:\Dev-Cpp | Treviso

Re: MBR Rootkit + Infezioni

Messaggioda Uomo_Senza_Sonno » ven gen 21, 2011 10:55 pm

Dal log di systemscan non si registrano infezioni nell'mbr, quindi rootkit non dovrebbero esserci... ad ogni modo faremo un controllo, prima con mbr.exe come già detto da Berga
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it


Re: MBR Rootkit + Infezioni

Messaggioda Oresthe » sab gen 22, 2011 12:02 am

Ok, ho effettuato una scansione con Malwarebytes che mi ha trovato 600 oggetti che ho provveduto ad eliminare.
Successivamente ho usato TDSSkiller che non mi ha rilevato nessun oggetto.

Il log di MBR mi dà tutto ok :

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6Y080L0 rev.YAR41BW0 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Credo che l'iniziale rootkit sia quel file ".sys" da 0 kb in /system32/drivers che ho eliminato manualmente tramite UBUNTU.
(soluzione trovata dato che non mi si avviava + XP, http://social.answers.microsoft.com/...5-408524ace776 )

Tuttavia vi sarei davvero grato se tramite il log di Systemscan potreste dirmi se sono presenti altre INFEZIONI attive!

Grazie 1000 ^^
Avatar utente
Oresthe
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven gen 21, 2011 4:40 pm

Re: MBR Rootkit + Infezioni

Messaggioda Berga95 » sab gen 22, 2011 1:43 pm

Log di MBAM? [rolleyes]
Poi leggendo meglio HijackThis ho trovato questo: O4 - HKLM\..\Policies\Explorer\Run: [iexplorer] C:\Documents and Settings\Mario\Dati applicazioni\exploite.exe
Potrebbe averlo eliminato benissimo MBAM; per precauzione fai un'altra scansione (con HJ [^] )

Mi dispiace ma non so leggere il log di systemscan... ci posso provare...
EDIT: Dimenticavo l'Ask Toolbar, anche se non è un problema critico [^]
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm
Località: C:\Python27 | C:\Dev-Cpp | Treviso

Re: MBR Rootkit + Infezioni

Messaggioda Oresthe » sab gen 22, 2011 2:12 pm

Ecco il Log di MBAM : http://wikisend.com/download/527740/mbam-log-2011-01-21%20%2823-31-26%29.txt

Ho fatto 1 po' di pulizia con HijackThis, questo è l'ultimo Log:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14.01.13, on 22/01/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\Programmi\Prevx\prevx.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programmi\Prevx\prevx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Mobile Partner\Mobile Partner.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programmi\Emsisoft Anti-Malware\a2service.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
C:\Hijackthis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SafeOnline BHO - {69D72956-317C-44bd-B369-8E44D4EF9801} - C:\WINDOWS\system32\PxSecure.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [a-squared] "C:\Programmi\Emsisoft Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2060893390
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 2061275953
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2584FEF0-C254-4D2D-8B4D-8B5898D9B0AF}: NameServer = 213.230.155.10 213.230.129.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{2584FEF0-C254-4D2D-8B4D-8B5898D9B0AF}: NameServer = 213.230.155.10 213.230.129.10
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Emsisoft Anti-Malware 5.0 - Service (a2AntiMalware) - Emsi Software GmbH - C:\Programmi\Emsisoft Anti-Malware\a2service.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: CSIScanner - Prevx - C:\Programmi\Prevx\prevx.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe

--
End of file - 8741 bytes


Inoltre ho fatto una scansione con Eset Sys-Inspector, Log : SysInspector-USER-8EA38D33D3-110122-1136.xml

Grazie Berga95!

Qualcuno esperto nell'analisi del Log di Systemscan può aiutarmi a ripulire per bene il computer ??
[grazie]
Avatar utente
Oresthe
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven gen 21, 2011 4:40 pm

Re: MBR Rootkit + Infezioni

Messaggioda Berga95 » sab gen 22, 2011 2:30 pm

Pialla tutti i risultati di MBAM, erano anche segnalati su SystemScan, che stavo provando a leggere... ad occhio e croce è pulito, meglio però che aspetti una conferma... comunque, il tuo file hosts è bello lungo [:D]
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm
Località: C:\Python27 | C:\Dev-Cpp | Treviso

Re: MBR Rootkit + Infezioni

Messaggioda Oresthe » sab gen 22, 2011 3:56 pm

Berga95 ha scritto:Pialla tutti i risultati di MBAM, erano anche segnalati su SystemScan, che stavo provando a leggere... ad occhio e croce è pulito, meglio però che aspetti una conferma... comunque, il tuo file hosts è bello lungo [:D]


Ho eliminato i risultati di MBAM.
Cosa devo fare con il file Hosts ??

Grazie ^^
Avatar utente
Oresthe
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven gen 21, 2011 4:40 pm

Re: MBR Rootkit + Infezioni

Messaggioda Berga95 » sab gen 22, 2011 4:21 pm

No, niente, è stato modificato da un AV [^]
Penso che sei pulito...
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm
Località: C:\Python27 | C:\Dev-Cpp | Treviso

Re: MBR Rootkit + Infezioni

Messaggioda Oresthe » sab gen 22, 2011 4:36 pm

Ok,

solo che il computer è ancora molto rallentato...
Mi consigliate qualche scansione per stare sicuro ??

In attesa di qualche esperto x l'analisi di Systemscan!
Avatar utente
Oresthe
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven gen 21, 2011 4:40 pm

Re: MBR Rootkit + Infezioni

Messaggioda Berga95 » sab gen 22, 2011 7:02 pm

Nell'attesa, puoi fixare queste... magari l'avvio risulterà più veloce [^]
Oresthe ha scritto:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"

Mannaggia [acc2] hai 2 AV in real-time? e ci credo che sei rallentato... tieni solo avira [^]
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm
Località: C:\Python27 | C:\Dev-Cpp | Treviso

Re: MBR Rootkit + Infezioni

Messaggioda Oresthe » sab gen 22, 2011 7:05 pm

Scusa quale sarebbe il secondo antivirus oltre ad Avira ??
Avatar utente
Oresthe
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven gen 21, 2011 4:40 pm

Re: MBR Rootkit + Infezioni

Messaggioda Berga95 » sab gen 22, 2011 8:55 pm

O4 - HKLM\..\Run: [a-squared] "C:\Programmi\Emsisoft Anti-Malware\a2guard.exe"
...
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm
Località: C:\Python27 | C:\Dev-Cpp | Treviso

Re: MBR Rootkit + Infezioni

Messaggioda Oresthe » dom gen 23, 2011 1:17 am

Ok, capito anche se guardando il task manager occupa davvero poca memoria...

Qualche consiglio per velocizzare 1 po' il computer in generale... e in particolare all'avvio ??

^^
Avatar utente
Oresthe
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: ven gen 21, 2011 4:40 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 0 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising