+ Rispondi alla Discussione
Risultati da 1 a 8 di 8

[Risolto] MBR trovato su settore disco

Ultimo Messaggio di Wolf Otakar il:
  1. #1
    User
    Data Registrazione
    Aug 2008
    Messaggi
    38

    [Risolto] MBR trovato su settore disco

    Da un po 'di giorni il mio Pc è strano, non apre i miei soliti siti, è lento ecc.
    Ho fatto pulizie con Ccvleaner, antispyware, Malwarebytes, Gmer e mbr.
    già il Nod 32 mi evidenziava questo:
    Il settore MBR di 2 disco fisico contiene
    Win32/Mebroot.mbr.

    Ho fatto anche scansione con Combofix:

    ComboFix 10-04-17.07 - user 18/04/2010 17.28.54.4.1 - x86
    Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.894.648 [GMT 2:00]
    Eseguito da: c:\documents and settings\user\Desktop\utilities\ComboFix.exe
    AV: Sistema Antivirus NOD32 2.70 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
    * Resident AV is active
    .
    ((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))) )
    .
    c:\documents and settings\user\Dati applicazioni\Desktopicon
    c:\documents and settings\user\Dati applicazioni\Desktopicon\eBay.ico
    c:\documents and settings\user\Dati applicazioni\Desktopicon\uninst.exe
    .
    original MBR restored successfully !
    .
    ((((((((((((((((((((((((( Files Creati Da 2010-03-18 al 2010-04-18 )))))))))))))))))))))))))))))))))))
    .
    2010-04-18 14:39 . 2010-04-17 12:59 -------- d--h--w- c:\documents and settings\HelpAssistant.USER-6256C55ED5\Impostazioni locali
    2010-04-18 14:39 . 2008-07-25 15:30 -------- d--h--w- c:\documents and settings\HelpAssistant.USER-6256C55ED5\Risorse di stampa
    2010-04-18 14:39 . 2008-07-25 13:41 -------- d--h--w- c:\documents and settings\HelpAssistant.USER-6256C55ED5\Modelli
    2010-04-18 14:39 . 2010-04-18 14:51 -------- d-----w- c:\documents and settings\HelpAssistant.USER-6256C55ED5
    2010-04-18 14:37 . 2010-04-18 14:37 -------- d-----w- c:\windows\system32\wbem\Repository
    2010-04-18 10:57 . 2010-04-18 14:34 -------- d-----w- C:\RECYCLER(2)
    2010-04-14 17:19 . 2010-04-14 17:19 -------- d-----w- c:\documents and settings\HelpAssistant\UserData
    2010-04-14 17:13 . 2010-04-14 17:13 -------- d-----w- c:\documents and settings\HelpAssistant\DoctorWeb
    2010-04-14 17:12 . 2010-04-18 14:36 -------- d-----w- c:\documents and settings\HelpAssistant\Contacts
    2010-04-14 17:12 . 2010-04-18 14:36 -------- d-----w- c:\documents and settings\HelpAssistant\Modelli
    2010-04-14 17:12 . 2010-04-18 14:36 -------- d-----w- c:\documents and settings\HelpAssistant\Impostazioni locali
    2010-04-14 17:12 . 2010-04-18 14:36 -------- d-----w- c:\documents and settings\HelpAssistant\Dati applicazioni
    2010-04-14 17:12 . 2010-04-18 14:36 -------- d-----w- c:\documents and settings\HelpAssistant\Documenti
    2010-04-14 17:12 . 2010-04-18 14:36 -------- d-----w- c:\documents and settings\HelpAssistant\Preferiti
    2010-04-14 17:12 . 2010-04-18 14:36 -------- d-s---w- c:\documents and settings\HelpAssistant
    2010-04-01 20:03 . 2010-04-18 14:36 -------- d-----w- c:\documents and settings\user\Dati applicazioni\FreeFLVConverter
    2010-03-21 15:47 . 2010-03-21 15:47 -------- d-----w- c:\documents and settings\user\Dati applicazioni\TeamViewer
    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) )
    .
    2010-04-18 14:40 . 2001-08-31 10:00 63180 ----a-w- c:\windows\system32\perfc010.dat
    2010-04-18 14:40 . 2001-08-31 10:00 425432 ----a-w- c:\windows\system32\perfh010.dat
    2010-04-18 14:36 . 2008-11-20 11:28 -------- d-----w- c:\programmi\Free FLV Converter
    2010-04-18 14:35 . 2008-09-05 13:43 -------- d-----w- c:\programmi\SUPERAntiSpyware
    2010-03-16 16:58 . 2008-09-05 13:58 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
    2010-03-16 16:58 . 2008-10-04 19:39 5115824 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
    2010-03-15 10:49 . 2009-03-30 16:40 117760 ----a-w- c:\documents and settings\user\Dati applicazioni\SUPERAntiSpyware.com\SUPERAntiSpyware \SDDLLS\UIREPAIR.DLL
    2008-07-27 13:39 . 2008-07-25 15:13 48 --sh--w- c:\windows\SE2320F5A.tmp
    .
    ((((((((((((((((((((((((((((( [email protected]_20.41.17 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2001-08-31 10:00 . 2009-10-25 12:36 52764 c:\windows\system32\perfc009.dat
    + 2001-08-31 10:00 . 2010-04-18 14:40 52764 c:\windows\system32\perfc009.dat
    + 2008-09-05 13:58 . 2010-01-07 15:07 38224 c:\windows\system32\drivers\mbamswissarmy.sys
    - 2008-09-05 13:58 . 2009-12-03 15:14 38224 c:\windows\system32\drivers\mbamswissarmy.sys
    - 2008-09-05 13:58 . 2009-12-03 15:13 19160 c:\windows\system32\drivers\mbam.sys
    + 2008-09-05 13:58 . 2010-01-07 15:07 19160 c:\windows\system32\drivers\mbam.sys
    + 2008-07-25 13:40 . 2008-07-25 13:40 296960 c:\windows\system32\termsrv32.dll
    + 2001-08-31 10:00 . 2010-04-18 14:40 380350 c:\windows\system32\perfh009.dat
    - 2001-08-31 10:00 . 2009-10-25 12:36 380350 c:\windows\system32\perfh009.dat
    + 2008-08-03 20:22 . 2010-04-18 14:37 4678680 c:\windows\system32\Restore\rstrlog.dat
    .
    ((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Nota* i valori vuoti & legittimi/default non sono visualizzati.
    REGEDIT4
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
    "CTSyncU.exe"="c:\programmi\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-09-28 700416]
    "SUPERAntiSpyware"="c:\programmi\SUPERAntiSpyware\ SUPERAntiSpyware.exe" [2010-03-15 2012912]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
    "nod32kui"="c:\programmi\Eset\nod32kui.exe" [2008-07-25 949376]
    "QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2008-05-27 413696]
    "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 110592]
    "EPSON Stylus DX4200 Series"="c:\windows\System32\spool\DRIVERS\W32X86\ 3\E_FATIAEE.EXE" [2005-03-07 98304]
    [hkey_local_machine\software\microsoft\windows\curr entversion\explorer\ShellExecuteHooks]
    "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programmi\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
    2009-09-03 13:21 548352 ----a-w- c:\programmi\SUPERAntiSpyware\SASWINLO.dll
    [HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\ \HP1006MC.EXE"=
    "c:\\Programmi\\Messenger\\msmsgs.exe"=
    [HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
    "65533:TCP"= 65533:TCP:Services
    "52344:TCP"= 52344:TCP:Services
    "5895:TCP"= 5895:TCP:Services
    "5896:TCP"= 5896:TCP:Services
    "3389:TCP"= 3389:TCP:Remote Desktop
    R1 nod32drv;nod32drv;c:\windows\system32\drivers\nod3 2drv.sys [25/07/2008 17.12.38 15424]
    R1 SASDIFSV;SASDIFSV;c:\programmi\SUPERAntiSpyware\SA SDIFSV.SYS [16/12/2009 17.26.58 12872]
    R1 SASKUTIL;SASKUTIL;c:\programmi\SUPERAntiSpyware\SA SKUTIL.SYS [16/12/2009 17.26.56 66632]
    S3 L6PODLV;PODxt Live Service;c:\windows\system32\drivers\L6PODLV.sys [16/10/2009 11.24.59 532992]
    S3 SASENUM;SASENUM;c:\programmi\SUPERAntiSpyware\SASE NUM.SYS [16/12/2009 17.27.00 12872]
    .
    .
    ------- Scansione supplementare -------
    .
    uStart Page = hxxp:/.google.it/
    mStart Page = hxxp:google.com
    uInternet Settings,ProxyOverride = 127.0.0.1
    IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    LSP: c:\windows\system32\imon.dll
    DPF: Microsoft XML Parser for Java -
    ************************************************** ************************
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, gmer
    Rootkit scan 2010-04-18 17:33
    Windows 5.1.2600 Service Pack 2 NTFS
    scansione processi nascosti ...
    scansione entrate autostart nascoste ...
    Scansione files nascosti ...
    Scansione completata con successo
    Files nascosti: 0
    ************************************************** ************************
    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{ 95808DC4-FA4A-4c74-92FE-5B863F82066B}]
    "ImagePath"="\??\c:\programmi\CyberLink\PowerDVD\0 00.fcl"
    .
    --------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\Curr entVersion\Installer\UserData\LocalSystem\Componen ts\•€|˙˙˙˙"•€|ŝğÑw*]
    "0140710900063D11C8EF10054038389C"="C?\\WINDOWS\\s ystem32\\FM20ENU.DLL"
    "0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\s ystem32\\FM20ENU.DLL"
    .
    --------------------- Dlls caricate dai processi in esecuzione ---------------------
    - - - - - - - > 'winlogon.exe'(676)
    c:\programmi\SUPERAntiSpyware\SASWINLO.dll
    - - - - - - - > 'lsass.exe'(732)
    c:\windows\system32\imon.dll
    c:\programmi\Eset\pr_imon.dll
    .
    Ora fine scansione: 2010-04-18 17:34:36
    ComboFix-quarantined-files.txt 2010-04-18 15:34
    ComboFix2.txt 2010-04-17 12:59
    ComboFix3.txt 2009-12-29 20:43
    ComboFix4.txt 2008-11-23 18:54
    ComboFix5.txt 2010-04-18 15:26
    Pre-Run: 70.912.557.056 byte disponibili
    Post-Run: 70.888.255.488 byte disponibili
    - - End Of File - - 921DDAC27BD2A27BA2C5B2D1F7EC60E9
    Già qui notavo problemi: anche se disattivato Nod32, Combofix me lo dava in esecuzione e in effetti fra processi vedevo che c'era. Bloccatolo, si riproponeva (nod32krn.exe) e così all'infinito. E' normale ? ? Ho proseguito lo stesso e gli esiti sono quelli del log di cui sopra.

    Dopo questo ho passato il gmer:
    GMER 1.0.15.15281 -gmernet
    Rootkit scan 2010-04-18 19:51:30
    Windows 5.1.2600 Service Pack 2
    Running: gmer kr2v4ww2.exe; Driver: C:\DOCUME~1\user\IMPOST~1\Temp\aggyrfod.sys

    ---- System - GMER 1.0.15 ----
    SSDT \??\C:\Programmi\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xF58DD320]
    ---- Devices - GMER 1.0.15 ----
    AttachedDevice \FileSystem\Ntfs \Ntfs amon.sys (Amon monitor/Eset )
    AttachedDevice \FileSystem\Fastfat \Fat amon.sys (Amon monitor/Eset )
    ---- Registry - GMER 1.0.15 ----
    Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Par ameters\Keys\0009dd501774
    Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Paramet ers\Keys\0009dd501774 (not active ControlSet)
    ---- Files - GMER 1.0.15 ----
    File C:\Documents and Settings\user\Cookies\[email protected][1].txt 91 bytes
    ---- EOF - GMER 1.0.15 ----
    e poi il mbr.exe

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer,
    gmernet
    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    copy of MBR has been found in sector 0x098A412B
    malicious code @ sector 0x098A412E !
    PE file found in sector at 0x098A4144 !
    (che mi conferma quanto rilevato da Nod. giusto?)
    Conclusione: come lo rimuovo?
    grazie
    Ultima modifica di Wolf Otakar; 19-04-10 alle 19:40

  2. #2
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,477
    Segui Wolf Otakar su Twitter
    Ciao gibson3,



    scansiona con questi tools:



    Carica i log di scansione su mediafire.com e riporta l'url qui sul forum.



  3. #3
    User
    Data Registrazione
    Aug 2008
    Messaggi
    38
    ww.mediafire.com/?tuqyomddwkm
    ww.mediafire.com/?iyymjozot3g


    Questo è l'unico formato di link che sono riuscito a immettere

    Manca il log di dr web che non sono riuscito ad ottenere !

    Comunque se ti è utile ti dirò che drweb aveva trovato un mbr MebrootMaos (mi sembra ??? o qualcosa del genere, chiedo scusa) che mi ha chiesto di curare. Ho accettato, riavvio, riscansione e non ha più trovato nulla.
    Questo mi viene confermato anche da Nod32 che prima mi segnalava quanto detto nel post iniziale, cioè la presenza di Mebroot

    Ora sembra andare bene. Che ne dite?
    Ultima modifica di Wolf Otakar; 20-04-10 alle 16:35 Motivo: Maiuscole!

  4. #4
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,477
    Segui Wolf Otakar su Twitter
    Ciao gibson3,

    Citazione Originariamente Scritto da gibson3 Visualizza Messaggio
    ,,,,,,Comunque se ti è utile ti dirò che drweb aveva trovato un mbr MebrootMaos che mi ha chiesto di curare. Ho accettato, riavvio, riscansione e non ha più trovato nulla.
    bene!!

    Dai una ripulita con ccleaner e posta un log con hijackthis; carica il log di scansione sempre su mediafire.

  5. #5
    User
    Data Registrazione
    Aug 2008
    Messaggi
    38
    wwwmediafire.com/file/n00hozofkjz/hijackthis%2020-04.txt

    Ecco il link!
    Ultima modifica di Wolf Otakar; 20-04-10 alle 19:35 Motivo: Maiuscola! ;)

  6. #6
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,477
    Segui Wolf Otakar su Twitter
    Ciao gibson3,



    tutto ok!

  7. #7
    User
    Data Registrazione
    Aug 2008
    Messaggi
    38
    Grazie Wolf !

  8. #8

+ Rispondi alla Discussione

^ Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice [VIDEO] è Attivato
  • Il codice HTML è Disattivato
  • Trackbacks Attivato
  • Pingback Attivato
  • Refback Attivato

SEO by vBSEO 3.6.0 PL2 ©2011, Crawlability, Inc.