• User

    [Risolto] MBR trovato su settore disco

    Da un po 'di giorni il mio Pc è strano, non apre i miei soliti siti, è lento ecc.
    Ho fatto pulizie con Ccvleaner, antispyware, Malwarebytes, Gmer e mbr.
    già il Nod 32 mi evidenziava questo:
    Il settore MBR di 2 disco fisico contiene
    Win32/Mebroot.mbr.

    Ho fatto anche scansione con Combofix:

    ComboFix 10-04-17.07 - user 18/04/2010 17.28.54.4.1 - x86
    Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.894.648 [GMT 2:00]
    Eseguito da: c:\documents and settings\user\Desktop\utilities\ComboFix.exe
    AV: Sistema Antivirus NOD32 2.70 On-access scanning enabled (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

    • Resident AV is active
      .
      ((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      c:\documents and settings\user\Dati applicazioni\Desktopicon
      c:\documents and settings\user\Dati applicazioni\Desktopicon\eBay.ico
      c:\documents and settings\user\Dati applicazioni\Desktopicon\uninst.exe
      .
      original MBR restored successfully !
      .
      ((((((((((((((((((((((((( Files Creati Da 2010-03-18 al 2010-04-18 )))))))))))))))))))))))))))))))))))
      .
      2010-04-18 14:39 . 2010-04-17 12:59 -------- d--h--w- c:\documents and settings\HelpAssistant.USER-6256C55ED5\Impostazioni locali
      2010-04-18 14:39 . 2008-07-25 15:30 -------- d--h--w- c:\documents and settings\HelpAssistant.USER-6256C55ED5\Risorse di stampa
      2010-04-18 14:39 . 2008-07-25 13:41 -------- d--h--w- c:\documents and settings\HelpAssistant.USER-6256C55ED5\Modelli
      2010-04-18 14:39 . 2010-04-18 14:51 -------- d-----w- c:\documents and settings\HelpAssistant.USER-6256C55ED5
      2010-04-18 14:37 . 2010-04-18 14:37 -------- d-----w- c:\windows\system32\wbem\Repository
      2010-04-18 10:57 . 2010-04-18 14:34 -------- d-----w- C:\RECYCLER(2)
      2010-04-14 17:19 . 2010-04-14 17:19 -------- d-----w- c:\documents and settings\HelpAssistant\UserData
      2010-04-14 17:13 . 2010-04-14 17:13 -------- d-----w- c:\documents and settings\HelpAssistant\DoctorWeb
      2010-04-14 17:12 . 2010-04-18 14:36 -------- d-----w- c:\documents and settings\HelpAssistant\Contacts
      2010-04-14 17:12 . 2010-04-18 14:36 -------- d-----w- c:\documents and settings\HelpAssistant\Modelli
      2010-04-14 17:12 . 2010-04-18 14:36 -------- d-----w- c:\documents and settings\HelpAssistant\Impostazioni locali
      2010-04-14 17:12 . 2010-04-18 14:36 -------- d-----w- c:\documents and settings\HelpAssistant\Dati applicazioni
      2010-04-14 17:12 . 2010-04-18 14:36 -------- d-----w- c:\documents and settings\HelpAssistant\Documenti
      2010-04-14 17:12 . 2010-04-18 14:36 -------- d-----w- c:\documents and settings\HelpAssistant\Preferiti
      2010-04-14 17:12 . 2010-04-18 14:36 -------- d-s---w- c:\documents and settings\HelpAssistant
      2010-04-01 20:03 . 2010-04-18 14:36 -------- d-----w- c:\documents and settings\user\Dati applicazioni\FreeFLVConverter
      2010-03-21 15:47 . 2010-03-21 15:47 -------- d-----w- c:\documents and settings\user\Dati applicazioni\TeamViewer
      .
      (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2010-04-18 14:40 . 2001-08-31 10:00 63180 ----a-w- c:\windows\system32\perfc010.dat
      2010-04-18 14:40 . 2001-08-31 10:00 425432 ----a-w- c:\windows\system32\perfh010.dat
      2010-04-18 14:36 . 2008-11-20 11:28 -------- d-----w- c:\programmi\Free FLV Converter
      2010-04-18 14:35 . 2008-09-05 13:43 -------- d-----w- c:\programmi\SUPERAntiSpyware
      2010-03-16 16:58 . 2008-09-05 13:58 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
      2010-03-16 16:58 . 2008-10-04 19:39 5115824 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
      2010-03-15 10:49 . 2009-03-30 16:40 117760 ----a-w- c:\documents and settings\user\Dati applicazioni\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
      2008-07-27 13:39 . 2008-07-25 15:13 48 --sh--w- c:\windows\SE2320F5A.tmp
      .
      ((((((((((((((((((((((((((((( SnapShot@2009-12-29_20.41.17 )))))))))))))))))))))))))))))))))))))))))
      .
    • 2001-08-31 10:00 . 2009-10-25 12:36 52764 c:\windows\system32\perfc009.dat
    • 2001-08-31 10:00 . 2010-04-18 14:40 52764 c:\windows\system32\perfc009.dat
    • 2008-09-05 13:58 . 2010-01-07 15:07 38224 c:\windows\system32\drivers\mbamswissarmy.sys
    • 2008-09-05 13:58 . 2009-12-03 15:14 38224 c:\windows\system32\drivers\mbamswissarmy.sys
    • 2008-09-05 13:58 . 2009-12-03 15:13 19160 c:\windows\system32\drivers\mbam.sys
    • 2008-09-05 13:58 . 2010-01-07 15:07 19160 c:\windows\system32\drivers\mbam.sys
    • 2008-07-25 13:40 . 2008-07-25 13:40 296960 c:\windows\system32\termsrv32.dll
    • 2001-08-31 10:00 . 2010-04-18 14:40 380350 c:\windows\system32\perfh009.dat
    • 2001-08-31 10:00 . 2009-10-25 12:36 380350 c:\windows\system32\perfh009.dat
    • 2008-08-03 20:22 . 2010-04-18 14:37 4678680 c:\windows\system32\Restore\rstrlog.dat
      .
      ((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      Nota i valori vuoti & legittimi/default non sono visualizzati.
      REGEDIT4
      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTSyncU.exe"="c:\programmi\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-09-28 700416]
      "SUPERAntiSpyware"="c:\programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2010-03-15 2012912]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "nod32kui"="c:\programmi\Eset\nod32kui.exe" [2008-07-25 949376]
      "QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2008-05-27 413696]
      "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 110592]
      "EPSON Stylus DX4200 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE" [2005-03-07 98304]
      [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
      "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programmi\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify!SASWinLogon]
      2009-09-03 13:21 548352 ----a-w- c:\programmi\SUPERAntiSpyware\SASWINLO.dll
      [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\system32\sessmgr.exe"=
      "c:\Programmi\Windows Live\Messenger\msnmsgr.exe"=
      "c:\WINDOWS\system32\spool\drivers\w32x86\3\HP1006MC.EXE"=
      "c:\Programmi\Messenger\msmsgs.exe"=
      [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
      "65533:TCP"= 65533:TCP:Services
      "52344:TCP"= 52344:TCP:Services
      "5895:TCP"= 5895:TCP:Services
      "5896:TCP"= 5896:TCP:Services
      "3389:TCP"= 3389:TCP:Remote Desktop
      R1 nod32drv;nod32drv;c:\windows\system32\drivers\nod32drv.sys [25/07/2008 17.12.38 15424]
      R1 SASDIFSV;SASDIFSV;c:\programmi\SUPERAntiSpyware\SASDIFSV.SYS [16/12/2009 17.26.58 12872]
      R1 SASKUTIL;SASKUTIL;c:\programmi\SUPERAntiSpyware\SASKUTIL.SYS [16/12/2009 17.26.56 66632]
      S3 L6PODLV;PODxt Live Service;c:\windows\system32\drivers\L6PODLV.sys [16/10/2009 11.24.59 532992]
      S3 SASENUM;SASENUM;c:\programmi\SUPERAntiSpyware\SASENUM.SYS [16/12/2009 17.27.00 12872]
      .
      .
      ------- Scansione supplementare -------
      .
      uStart Page = hxxp:/.google.it/
      mStart Page = hxxp:google.com
      uInternet Settings,ProxyOverride = 127.0.0.1
      IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      LSP: c:\windows\system32\imon.dll
      DPF: Microsoft XML Parser for Java -

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, gmer
    Rootkit scan 2010-04-18 17:33
    Windows 5.1.2600 Service Pack 2 NTFS
    scansione processi nascosti ...
    scansione entrate autostart nascoste ...
    Scansione files nascosti ...
    Scansione completata con successo
    Files nascosti: 0


    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services{95808DC4-FA4A-4c74-92FE-5B863F82066B}]
    "ImagePath"="??\c:\programmi\CyberLink\PowerDVD\000.fcl"
    .
    --------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components???|ÿÿÿÿ"??|þ»Ñw*]
    "0140710900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
    "0140110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
    .
    --------------------- Dlls caricate dai processi in esecuzione ---------------------

                • 'winlogon.exe'(676)
                  c:\programmi\SUPERAntiSpyware\SASWINLO.dll

                • 'lsass.exe'(732)
                  c:\windows\system32\imon.dll
                  c:\programmi\Eset\pr_imon.dll
                  .
                  Ora fine scansione: 2010-04-18 17:34:36
                  ComboFix-quarantined-files.txt 2010-04-18 15:34
                  ComboFix2.txt 2010-04-17 12:59
                  ComboFix3.txt 2009-12-29 20:43
                  ComboFix4.txt 2008-11-23 18:54
                  ComboFix5.txt 2010-04-18 15:26
                  Pre-Run: 70.912.557.056 byte disponibili
                  Post-Run: 70.888.255.488 byte disponibili

      • End Of File - - 921DDAC27BD2A27BA2C5B2D1F7EC60E9

    Già qui notavo problemi: anche se disattivato Nod32, Combofix me lo dava in esecuzione e in effetti fra processi vedevo che c'era. Bloccatolo, si riproponeva (nod32krn.exe) e così all'infinito. E' normale ? ? Ho proseguito lo stesso e gli esiti sono quelli del log di cui sopra.

    Dopo questo ho passato il gmer:

    GMER 1.0.15.15281 -gmernet
    Rootkit scan 2010-04-18 19:51:30
    Windows 5.1.2600 Service Pack 2
    Running: gmer kr2v4ww2.exe; Driver: C:\DOCUME~1\user\IMPOST~1\Temp\aggyrfod.sys

    ---- System - GMER 1.0.15 ----
    SSDT ??\C:\Programmi\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xF58DD320]
    ---- Devices - GMER 1.0.15 ----
    AttachedDevice \FileSystem\Ntfs \Ntfs amon.sys (Amon monitor/Eset )
    AttachedDevice \FileSystem\Fastfat \Fat amon.sys (Amon monitor/Eset )
    ---- Registry - GMER 1.0.15 ----
    Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd501774
    Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0009dd501774 (not active ControlSet)
    ---- Files - GMER 1.0.15 ----
    File C:\Documents and Settings\user\Cookies\user@apmebf[1].txt 91 bytes
    ---- EOF - GMER 1.0.15 ----

    e poi il mbr.exe

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer,
    gmernet
    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    copy of MBR has been found in sector 0x098A412B
    malicious code @ sector 0x098A412E !
    PE file found in sector at 0x098A4144 !

    (che mi conferma quanto rilevato da Nod. giusto?)
    Conclusione: come lo rimuovo?
    grazie


  • Consiglio Direttivo

    Ciao gibson3,

    scansiona con questi tools:

    Carica i log di scansione su mediafire.com e riporta l'url qui sul forum.

    :ciauz:


  • User

    ww.mediafire.com/?tuqyomddwkm
    ww.mediafire.com/?iyymjozot3g

    Questo è l'unico formato di link che sono riuscito a immettere

    Manca il log di dr web che non sono riuscito ad ottenere !

    Comunque se ti è utile ti dirò che drweb aveva trovato un mbr MebrootMaos (mi sembra ??? o qualcosa del genere, chiedo scusa) che mi ha chiesto di curare. Ho accettato, riavvio, riscansione e non ha più trovato nulla.
    Questo mi viene confermato anche da Nod32 che prima mi segnalava quanto detto nel post iniziale, cioè la presenza di Mebroot

    Ora sembra andare bene. Che ne dite?


  • Consiglio Direttivo

    Ciao gibson3,

    @gibson3 said:

    ,,,,,,Comunque se ti è utile ti dirò che drweb aveva trovato un mbr MebrootMaos che mi ha chiesto di curare. Ho accettato, riavvio, riscansione e non ha più trovato nulla.

    bene!!

    Dai una ripulita con ccleaner e posta un log con hijackthis; carica il log di scansione sempre su mediafire. 😉


  • User

  • Consiglio Direttivo

    Ciao gibson3,

    tutto ok! 🙂


  • User

    Grazie Wolf !


  • Consiglio Direttivo

    😉