Trovato Rootkit,che devo fare?!

[ottobre_rosso]

fatemi capire: state dicendo che è sufficiente l'altra versione di Gmer, avviata in modalità provvisoria?

[Chill-Out]

Quote:

Originariamente inviato da ottobre_rosso

fatemi capire: state dicendo che è sufficiente l'altra versione di Gmer, avviata in modalità provvisoria?

Ciao Ottobre, procedi così scarica la versione beta di Gmer http://www2.gmer.net/beta/gmer.exe ed allega il log per il relativo controllo, stessa cosa per Prevx CSI http://www.prevx.com/freescan.asp

Hosta i log su FileUp http://www.fileup.itadib.com

[ottobre_rosso]

Ecco quì:

• PREVXCSI
• MBR
• Gmer
  

Dunque: non sò se gioire o meno, nel senso che stando a Gmer e Prevxcsi sarei pulito, tuttavia Mbr mi rileva qualcosina.

Comunque, per informazione, il pc si è stabilizzato: l'utilizzo della CPU è a 0-1% e il processo services.exe (quello che mi dava noie) è stabile sia come CPU che utilizzo di RAM.

Che ne dici?

[Chill-Out]

Quote:

Originariamente inviato da ottobre_rosso

Ecco quì:

• PREVXCSI
• MBR
• Gmer
  

Dunque: non sò se gioire o meno, nel senso che stando a Gmer e Prevxcsi sarei pulito, tuttavia Mbr mi rileva qualcosina.

Comunque, per informazione, il pc si è stabilizzato: l'utilizzo della CPU è a 0-1% e il processo services.exe (quello che mi dava noie) è stabile sia come CPU che utilizzo di RAM.

Che ne dici?

Sei ok, inoltre ti sei fatto tutto il passaggio da solo, bravissimo.

[ottobre_rosso]

Da solo? veramente ho seguito passo dopo passo le tue indicazioni .

Piuttosto, puoi levarmi due curiosità?

• perchè il log di Gmer mi indica ancora qualche cosa?
  
  
  Quote:

  Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0xe4fbfe2 size 0x1e8
  Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

• qual'è lo scopo di quel -f nel comando da dare in Start -> esegui?

[xcdegasp]

Quote:

Originariamente inviato da ottobre_rosso

Da solo? veramente ho seguito passo dopo passo le tue indicazioni .

Piuttosto, puoi levarmi due curiosità?

• perchè il log di Gmer mi indica ancora qualche cosa?
  
  
• qual'è lo scopo di quel -f nel comando da dare in Start -> esegui?

ecco le due opzioni possibili che si possono impartire:

Codice:

Usage: mbr.exe [options]
  -f                                          - fix mbr 
  -c start_sector size_in_sectors filename    - copy selected sectors to file

samples of usage:

  mbr.exe -c 0 1 copy_of_sector_00
  mbr.exe -c 0x3fdc80 0x1ca copy_of_mbr_rk

qui la guida e tutte le spiegazioni -> http://www2.gmer.net/mbr/

e inoltre:

Codice:

The installer of the rootkit writes the content of malicious kernel driver (244 736 bytes) to the last sectors of the disk (offset: 2 142 830 592) and then modifies sectors 0 (MBR), 60, 61 and 62.

The content of hidden sectors:
# 0 - MBR rootkit loader
# 61 - kernel part of loader
# 62 - copy of original MBR

[ottobre_rosso]

Che dire, ragazzi, c'è sempre da imparare...

Ho provato a riavviare e sembrerebbe stabile: non lamenta più i sintomi descritti quì
Ora non sò se la situazione rimarrà così rosea come lo è attualmente, in ogni caso ringrazio tutti, in particolare Chill-Out, molto disponibile e competente.

ciao

[alelocate]

Ringrazio anch io tutti, Chill out sei un magoooo
non ho trovato altri forum con la soluzione di questo problema, davvero complimenti!

[Chill-Out]

Di nulla, felice di essere stato di aiuto

[onna]

Quote:

Originariamente inviato da Chill-Out

Di nulla, felice di essere stato di aiuto

Grazie! ciao!

[c.m.g]

volevo anche segnalarvi questo tool di avira riguardante l'MBR (Avira AntiVir Bootsektor-Repairtool), forse potrebbe tornarvi utile:



http://www.avira.com/en/support/support_downloads.html


bravo chill-out, ti distingui sempre per i tuoi interventi, io l'ho capito già dall'inizio che ti ho letto per la prima volta che eri ingamba!!!

[Chill-Out]

Quote:

Originariamente inviato da c.m.g

volevo anche segnalarvi questo tool di avira riguardante l'MBR (Avira AntiVir Bootsektor-Repairtool), forse potrebbe tornarvi utile:



http://www.avira.com/en/support/support_downloads.html


bravo chill-out, ti distingui sempre per i tuoi interventi, io l'ho capito già dall'inizio che ti ho letto per la prima volta che eri ingamba!!!

Grazie molto gentile, ma anche tu sei in gamba
Ottima segnalazione provo a documentarmi sull'utilizzo/applicazione del tool Avira

[xcdegasp]

ottimo c.m.g.

[PNT999]

Ciao ragazzi,io sono l'ennesimo con questo problema,i sintomi sono sempre i soliti (service exe che si alza e spreca risorse all'inverosimile,computer impallato,antivirus che non trovano nulla)
Sto smadonnando da una settimana,finalmente ho trovato questo utilissimo thread,ora seguo passo passo quanto detto e posterò i log..speriamo bene.

[BEY0ND]

@ chill-out

1)la sandboxie in teoria dovrebbe bloccarlo l'mbr rootkit?
2)facendo un backup dell'mbr,un restore potrebbe essere sufficente nel caso?
3)molti siti(http://www.f-secure.com/weblog/archives/00001393.html) dai quali si pesca il rootkit sfruttano il buffer overflow,io sto utilizzando da qualche giorno comodo memory firewall,che prevenie da questo genere di attacchi appunto,se non sbaglio tu usavi/usi comodo boclean,hai avuto modo di provare anche cmf?
4)si sa orientativamente quali av,oltre a prevx e gmer,riescono a bloccare il rootkit in questione?

troppe domande?
grazie,ciao e complimenti

[Chill-Out]

Ciao Beyond e grazie, ti rispondo ovviamente per quel che so allo stato attuale delle cose

Quote:

1)la sandboxie in teoria dovrebbe bloccarlo l'mbr rootkit?

Lo blocca in pratica rimane confinato nella sabbiera

Quote:

2)facendo un backup dell'mbr,un restore potrebbe essere sufficente nel caso?

secondo me IMHO no perchè il rootkit sposta L'MBR "buono" attancando il suo codice all'MBR stesso

Quote:

3)molti siti(http://www.f-secure.com/weblog/archives/00001393.html) dai quali si pesca il rootkit sfruttano il buffer overflow,io sto utilizzando da qualche giorno comodo memory firewall,che prevenie da questo genere di attacchi appunto,se non sbaglio tu usavi/usi comodo boclean,hai avuto modo di provare anche cmf?

CMF non ho avuto modo di provarlo ma se non erro rientra nella categoria dei Behaviour Blocker nello specifico ti proteggerebbe dal Buffer Overflow e basta, ma vengono sfruttate anche altre vulnerabilità

Quote:

4)si sa orientativamente quali av,oltre a prevx e gmer,riescono a bloccare il rootkit in questione?

mi sà che lo cannano in parecchi a parte Prevx CSI che non stà sbagliando un colpo, sul thread c'erano 2 rilevazioni di Avast ed una di CureIt che tra l'altro è stato uno dei primi AV Vendors ad inserirlo nelle signature, per come la vedo io in questo/i casi la prima linea di difesa che è l'AV serve a poco, come nV 25 insegna prevenire è meglio che curare ovvero HIPS oppure Virtualization Software

[c.m.g]

vi dò un'altro piccolo aiutino che forse può esservi utile: leggendo in giro c'è gente che ha risolto il problema dell'MBR rootkit anche con la console di ripristino di windows, tramite il comando fix mbr ed è eliminabile solo quando non è in esecuzione. questo è un mio piccolo pensiero dedicato a voi che state facendo un lavoro da paura!
altri prodotti antirootkit che riescono a individuare questa infezione:

- Trend Micro Rootkit Buster

- F-Secure Blacklight

su Tweakness si afferma che è uno script che fa prendere l'infezione, quindi firefox + noscript dovrebbe garantire la non infezione da questo rootkit. credo che comunque anche opera garantisca sicurezza. non usate mai internet explorer.

[c.m.g]

Quote:

Originariamente inviato da xcdegasp

ottimo c.m.g.

[PNT999]

niente da fare...ho letto riletto e seguito alla lettera quanto scritto ma non riesco a risolvere..

° adsr dopo lo scan e dopo aver cliccato clean/remove ads mi da errore....... [error deleting the file stream..impossibile trovare il file specificato]

° a-squared va,ho messo gli oggetti in quarantena e salvato il log .. eccolo --> http://www.fileup.itadib.com/downloa...5JVzUriyIf5Ab8

° prevx trova il rootkit,ma per eliminarlo mi chiede la key (di cui ovviamente non dispongo.)

° gmer2 dopo ore e ore di scansione (6 ore per l'esattezza) lo trova,ma anche qui non vi è nessuna voce per eliminarlo!
ecco qui il log di gmer ---> http://www.fileup.itadib.com/downloa...WnneHMKLRtDO0g
la riga in rosso era questa --> sector 00: MBR rootkit detected !!!

° RootkitBuster lo trova anch'esso ma non vi è nessuna voce per eliminarlo,quarantena e cosi via.
Ecco il relativo log --> http://www.fileup.itadib.com/downloa...kRtEuzzXVej0ip

° Log di Hijackthis --> http://www.fileup.itadib.com/downloa...UvX7V8sNSvbBwT

° Inoltre dato che service exe mi spreca tutte le risorse è già un miracolo se riesco a finire una scansione e salvare il log (ci ho messo sui 15 minuti solo per fare "salva con nome" su un log)

° Pocanzi all'ennesimo riavvio stranamente avast mi ha "finalmente" trovato questo rootkit,e mi ha consigliato di cancellarlo,cosa che ho fatto,ma la situazione è sempre la stessa,il rootkit e li,e service exe. vola..

ora manca solo il log di mbr ..chiudo tutte le applicazioni,lo faccio girare e vediamo..

[mikedivino]

Salve ragà,appena iscritto al forum,approfitto per salutare tutti...Staff e Utenti e augurare a voi tutti un buon lavoro!
Tanto per iniziare,ero infetto anche io dal vorace e fastidioso rootkit nel MBR...ho seguito alla lettera la guida di Chill-Out ...mbr ripulito e Pc tutto come prima |


Log dopo ripristino:
Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Grazie mille,saluti!