Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

rootkit nel MBR Opzioni
jjmmy
Inviato: Tuesday, April 15, 2008 10:44:51 AM
Rank: AiutAmico

Iscritto dal : 12/27/2004
Posts: 45
Saluti a tutti. Sono incappato in un altro guaio per il quale chiedo aiuto. All'improvviso il computer che utilizzo sul lavoro (W2K con tutti gli aggiornamenti fatti, firewall Sygate, antivirus Avast aggiornato, navigazione strettamente su siti sicuri) sembra essersi beccato un rootkit che si è sistemato nel MBR.
I sintomi sono i seguenti: appena avviato, subito dopo il bip della scheda madre e prima dell'avvia di windows, si sente una specie di pernacchietto ed appare una scritta in un riquadro giallo che dice così:
Trend ChipAwayVirus has detected a boot virus on your hard disk. Press <enter> for more information (recommeanded) <C> to continue booting.
Poi, sempre in inglese, dice che mi conviene visitare il sito http:// w.w.w.antivirus.com che se continuo il virus potrebbe fare danni e continua: press <Y> to continue to boot anyway; <N> to return to previous screen.

Io continuo imperterrito e windows si avvia normalmente senza nessun apparente problema se non un leggero ralletamento. Avast subito mi avverte che c'è un virus nel MBR ma poi mi notifica che non riesce a far niente nel MBR:\\PHYSICALDRIVE0 e tutto procede normalmente. I vari programmi "GMER" "SARSFX" ecc. non riscontrano nessun rootkit. E' possibile che mi sia beccato un semplice dirottatore di pagina? Tuttavia il sistema non riesce a partire in modalità provvisoria e i vari programmi anti spia non evidenziano niente di particolare. Cosa si può fare? grazie, jjmmy
Sponsor
Inviato: Tuesday, April 15, 2008 10:44:51 AM

 
monsee
Inviato: Tuesday, April 15, 2008 12:17:06 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Leggiti la discussione cui ti conduce il sottostante link:
http://forum.aiutamici.com/Default.aspx?g=posts&t=49662
jjmmy
Inviato: Tuesday, April 15, 2008 1:49:34 PM
Rank: AiutAmico

Iscritto dal : 12/27/2004
Posts: 45
Caro monsee grazie alle tue indicazioni sono riuscito a non far più apparire il fastidioso messaggio all'avvio di windows. Ho disabilitato da scheda madre la ricerrca di virus all'avvio. Tuttavia Avast mi segnala sempre la presenza di un virus nel MBR, "è stato identificato un oggetto nascosto sospetto (rootkit) nel vostro sistema. Potrebbe essere un virus. Si consiglia di rimuovere immediatamente l'oggetto" Se si clicca sul pulsante "Elimina", Avast dopo un pò risponde che c'è stato un errore e non ha potuto far niente. Poi ti consiglia di fare una scansione all'avvio. L'ho già fatta ma senza risultati positivi. C'è un'altra scelta. Quella di fleggare la richiesta di non essere più avvisati per il problema riscontrato. Ma è una scelta che non voglio fare. Cosa può essere? Grazie comunque di tutto, jjmmy
pidue
Inviato: Tuesday, April 15, 2008 4:23:11 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Se è un rootik, fai una scansione con Gmer. Se c'è qualcosa di sospetto lo scrive in rosso. Vai qui, leggi e scarica.
http://www.gmer.net/index.php
Se Gmer trova un rootkit, lo indica in rosso.
Ciao.



jjmmy
Inviato: Tuesday, April 15, 2008 4:46:53 PM
Rank: AiutAmico

Iscritto dal : 12/27/2004
Posts: 45
Caro pidue ho già provveduto a fare una scansione con gmer ma non è risultato niente di rosso. O gmer non va a vedere nel MBR oppure il virus è talmente ben nascosto che non viene visto se non che come traccia. Mi terrò il dubbio! ciao, jjmmy
antonpaco
Inviato: Tuesday, April 15, 2008 5:39:56 PM
Rank: AiutAmico

Iscritto dal : 11/7/2006
Posts: 1,180
ciao jimmy, prova con sophos anti rootkit, lo scarichi da questo stesso sito, e' semplice da usare e molto efficace contro i rootkit. Non hai il windows defendere installato? Poi c'e' un'altra soluzione, prova con il software antivirus di avast, quello che fa lo scanning on line, ad alcuni amici e' servito molto, segui attentamente le istruzioni che da' il sito avast.
jjmmy
Inviato: Tuesday, April 15, 2008 8:03:02 PM
Rank: AiutAmico

Iscritto dal : 12/27/2004
Posts: 45
Ciao antonpaco ho provato anche con sophos ma non s'è trovato niente. Ora è tardi e devo tornare a casa. Non ho installato windows defender (secondo monsee è uno spione ed io che a monsee credo non lo installerò mai). Tornerò a lavorare con questo computer giovedì mattina e proverò con Avast on line come mi consigli. Poi ti farò sapere. Ciao, jjmmy
jjmmy
Inviato: Thursday, April 17, 2008 12:41:34 PM
Rank: AiutAmico

Iscritto dal : 12/27/2004
Posts: 45
Allora eccomi ancora qui dopo vari tentativi di arrivare al dunque. Ho provato a fare una scansione sia in modalità provvisoria che in modalità normale con il pulitore dell'Avast aswclnr. exe, scaricato direttamente dal sito Avast ma non c'è stato niente da fare. Ho poi fatto una scansione on line dal sito di Panda che mi ha trovato spie e tracce di un rootkit sostanzialmente nelle cartelle di quarantena di altri pulitori e poi, se anche ne avesse trovati non me li avrebbe cancellati perchè poi bisognerebbe scaricare altri tools e pagare, pagare, pagare! Avranno anche ragione ma se lo dicessero prima che alla fine bisogna pagare si potrebbe anche decidere in anticipo e magari evitare di perdere tanto tempo inutilmente. Alla fine della fiera mi sembra di avere capito che è difficile per qualsiasi antivirus andare a dare un'occhiata nel MBR che poi è la partizione di boot dell'hard disk. Alcuni antivirus, come Avast, ne avvertono l'anomalia ma non riescono a far niente. Naturalmente niente più chiavette nè hard disk esterni per paura di diffondere il virus. Un computer initilizzabile! accidenti a chi diffonde tutto questo! Ciao, jjmmy
jjmmy
Inviato: Monday, April 28, 2008 8:41:48 AM
Rank: AiutAmico

Iscritto dal : 12/27/2004
Posts: 45
Questa storia del rootkit nel MBR si sta diffondendo a macchia d'olio. Anche il computer di casa di una mia collega sembra infetto dallo stesso virus e non si riesce a venirci a capo. Personalmente ho provato con tutti i mezzi trovati in internet ma non sono riuscito a fare niente di buono. Tutti i pulitori (gmer, ThreatFire, PREVXCSI, mbr.exe, ed altri) non trovano niente nè le scansioni on line hanno fatto di più. Solo Avast trova questo rootkit quando si accende il computer senza per altro riuscire a fare nient'altro. Il computer sembra andare normalmente con qualche leggero rallentamento che tuttavia potrebbe anche essere normale. Mi sono perciò deciso a inviare il log di HijackThis sperando che i più capaci riescano a scovare l'intruso o almeno a indicare una via verso la risoluzione. Grazie in anticipo, jjmmy

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8.30.35, on 28/04/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\PrevxCSI\PrevxCSI.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\FreePOPs\freepopsservice.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\WINNT\system32\mgabg.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programmi\ThreatFire\TFService.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\Garzanti Linguistica\Italiano Clic\vb\ItaTray.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ThreatFire\TFTray.exe
C:\Programmi\PrevxCSI\PrevxCSI.exe
C:\WINNT\system32\internat.exe
C:\Programmi\Everyday Auto Backup\AutoBackup.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\ThreatFire\TFGui.exe
C:\HIJ2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unipr.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Italiano clic] C:\PROGRA~1\Garzanti Linguistica\Italiano Clic\vb\ItaTray.exe /w
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ThreatFire] C:\Programmi\ThreatFire\TFTray.exe
O4 - HKLM\..\Run: [PrevxCSI] "C:\Programmi\PrevxCSI\PrevxCSI.exe" /bootupreg
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Everyday Auto Backup] C:\Programmi\Everyday Auto Backup\AutoBackup.exe /1
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programmi\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Collegamento a freepopsd.exe.lnk = C:\Programmi\FreePOPs\freepopsd.exe
O4 - Startup: Collegamento a Microsoft Outlook.lnk = ?
O4 - Startup: Collegamento a Smc.exe.lnk = C:\Programmi\Sygate\SPF\Smc.exe
O8 - Extra context menu item: Scarica con Download &Express - C:\PROGRAMMI\DOWNLOAD EXPRESS\Add_Url.htm
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.safetydownload.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusschlacht.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1192116555099
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{338CD1F2-9515-4121-A307-391048F28098}: NameServer = 160.78.48.10,192.135.11.20
O17 - HKLM\System\CS1\Services\Tcpip\..\{338CD1F2-9515-4121-A307-391048F28098}: NameServer = 160.78.48.10,192.135.11.20
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: F-Secure Automatic Update (BackWeb Client - 7681197) - ALWIL Software - (no file)
O23 - Service: CSIScanner - Prevx - C:\Programmi\PrevxCSI\\PrevxCSI.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FreePOPs - Unknown owner - C:\Programmi\FreePOPs\freepopsservice.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe
O23 - Service: OracleOraHome81ClientCache - Unknown owner - C:\Oracle\Ora81\BIN\ONRSD.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: ThreatFire - PC Tools - C:\Programmi\ThreatFire\TFService.exe
O23 - Service: Microsoft Service Manager (winmdgr) - Sygate Technologies, Inc. - (no file)
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/ADMINI~1/IMPOST~1/Temp/msoclip1/01/clip_image002.jpg

--
End of file - 6609 bytes
dead
Inviato: Monday, April 28, 2008 10:11:37 AM

Rank: AiutAmico

Iscritto dal : 9/20/2004
Posts: 1,595
Ho trovato un articolo interessante che dovrebbe fare al caso tuo.




Sono cosi avanti che quando guardo indietro vedo il futuro.
jjmmy
Inviato: Monday, April 28, 2008 1:14:43 PM
Rank: AiutAmico

Iscritto dal : 12/27/2004
Posts: 45
Caro dead ho letto con interesse l'articolo che mi hai consigliato che tuttavia per me è lingua sconosciuta. Intanto cos'è un cd live di Ubuntu? e se è un cd, dove me lo procuro? e come si fa ad avviare un cd live di Ubuntu? Probabilmente quell'articolo è scritto per gente che sa leggere anche tra le righe ma io sono prorpio alle prime armi. Tieni poi presente che il computer su cui dovrei operare è quello dell'ufficio! guai a rovinarlo!!
Non esiste qualcosa di più interpretabile da neofiti come me? e del log cosa ne pensi? ciao, jjmmy
dead
Inviato: Monday, April 28, 2008 1:45:58 PM

Rank: AiutAmico

Iscritto dal : 9/20/2004
Posts: 1,595
innanzitutto hai provato il primo rimedio consigliato?
Commenta:
Basta accedere alla console di ripristino adoperando i cd di installazione di Windows e quindi digitare i comandi ‘fixboot’ e ‘fixmbr’


Se non funziona puoi provare col CD live di Ubuntu che trovi qui.
In quanto CD-live (ovvero sistema operativo che gira su CD) Ubuntu non rovinerà nulla del tuo PC. Il problema è che ubuntu o no, quando metti le mani sull'MBR c'è sempre il rischio di fare qualche danno.
Ovviamente prima di intervenire ti sarai sicuramente fatto copia di tutto ciò che hai di importante (files, mail, rubriche contatti, passwords, ecc.)

P.S. per avviare il CD live è sufficiente che scegli dal bios (o tramite F8 all avvio se il tuo bios lo permette) l'avvio da CD. dopodichè inserisci il CD nel lettore e riavvii la macchina.


Sono cosi avanti che quando guardo indietro vedo il futuro.
monsee
Inviato: Monday, April 28, 2008 1:59:06 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Esiste anche un DVD "Live" dell'ultima versione di Linux UBUNTU, scaricabile dalla pagina Web cui ti conduce il sottostante link:
http://linux.studenti.polito.it/download.php?version=126
Devi scaricare e salvar sul tuo Hard Disk l'ISO che troverai in basso (l'ultimo).
jjmmy
Inviato: Thursday, May 08, 2008 3:59:59 PM
Rank: AiutAmico

Iscritto dal : 12/27/2004
Posts: 45
NOTIZIA IMPORTANTE! Nell'attesa di risolvere con i miei mezzi il problema di cui si discute, ho scritto ai ricercatori di Avast i quali se da un lato mi hanno risposto che mettere mano al MBR è pericoloso, dall'altro devono aver rilasciato qualche tool nell'antivirus perchè, dopo aver aggiornato le impronte al 7.5.08, versione file 080507-0 ho fatto una scansione di tutto il sistema ed, alla fine, il report mi ha notificato di aver eleminato il rootkit che si era infilato nel MBR:\\PHYSICALDRIVE0. Al riavvio del computer non è più apparso il messaggio sul virus nascosto. Prima di questo aggiornamento non si era mai verificata una cosa simile.
Morale. Tutti gli utilizzatori di Avast che si trovano afflitti da questo problema, aggiornino l'antivirus e facciano una scansione completa del sistema. E' molto probabile che riescano ad uscire da questo nero tunnel e ritornino a riveder le stelle! Auguri, jjmmy
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.