- Home
- Categorie
- Gaming, Hardware e Software
- Sicurezza Informatica & Privacy
- [Risolto] MBR trovato su settore disco
-
[Risolto] MBR trovato su settore disco
Da un po 'di giorni il mio Pc è strano, non apre i miei soliti siti, è lento ecc.
Ho fatto pulizie con Ccvleaner, antispyware, Malwarebytes, Gmer e mbr.
già il Nod 32 mi evidenziava questo:
Il settore MBR di 2 disco fisico contiene
Win32/Mebroot.mbr.Ho fatto anche scansione con Combofix:
ComboFix 10-04-17.07 - user 18/04/2010 17.28.54.4.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.894.648 [GMT 2:00]
Eseguito da: c:\documents and settings\user\Desktop\utilities\ComboFix.exe
AV: Sistema Antivirus NOD32 2.70 On-access scanning enabled (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}- Resident AV is active
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\user\Dati applicazioni\Desktopicon
c:\documents and settings\user\Dati applicazioni\Desktopicon\eBay.ico
c:\documents and settings\user\Dati applicazioni\Desktopicon\uninst.exe
.
original MBR restored successfully !
.
((((((((((((((((((((((((( Files Creati Da 2010-03-18 al 2010-04-18 )))))))))))))))))))))))))))))))))))
.
2010-04-18 14:39 . 2010-04-17 12:59 -------- d--h--w- c:\documents and settings\HelpAssistant.USER-6256C55ED5\Impostazioni locali
2010-04-18 14:39 . 2008-07-25 15:30 -------- d--h--w- c:\documents and settings\HelpAssistant.USER-6256C55ED5\Risorse di stampa
2010-04-18 14:39 . 2008-07-25 13:41 -------- d--h--w- c:\documents and settings\HelpAssistant.USER-6256C55ED5\Modelli
2010-04-18 14:39 . 2010-04-18 14:51 -------- d-----w- c:\documents and settings\HelpAssistant.USER-6256C55ED5
2010-04-18 14:37 . 2010-04-18 14:37 -------- d-----w- c:\windows\system32\wbem\Repository
2010-04-18 10:57 . 2010-04-18 14:34 -------- d-----w- C:\RECYCLER(2)
2010-04-14 17:19 . 2010-04-14 17:19 -------- d-----w- c:\documents and settings\HelpAssistant\UserData
2010-04-14 17:13 . 2010-04-14 17:13 -------- d-----w- c:\documents and settings\HelpAssistant\DoctorWeb
2010-04-14 17:12 . 2010-04-18 14:36 -------- d-----w- c:\documents and settings\HelpAssistant\Contacts
2010-04-14 17:12 . 2010-04-18 14:36 -------- d-----w- c:\documents and settings\HelpAssistant\Modelli
2010-04-14 17:12 . 2010-04-18 14:36 -------- d-----w- c:\documents and settings\HelpAssistant\Impostazioni locali
2010-04-14 17:12 . 2010-04-18 14:36 -------- d-----w- c:\documents and settings\HelpAssistant\Dati applicazioni
2010-04-14 17:12 . 2010-04-18 14:36 -------- d-----w- c:\documents and settings\HelpAssistant\Documenti
2010-04-14 17:12 . 2010-04-18 14:36 -------- d-----w- c:\documents and settings\HelpAssistant\Preferiti
2010-04-14 17:12 . 2010-04-18 14:36 -------- d-s---w- c:\documents and settings\HelpAssistant
2010-04-01 20:03 . 2010-04-18 14:36 -------- d-----w- c:\documents and settings\user\Dati applicazioni\FreeFLVConverter
2010-03-21 15:47 . 2010-03-21 15:47 -------- d-----w- c:\documents and settings\user\Dati applicazioni\TeamViewer
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-18 14:40 . 2001-08-31 10:00 63180 ----a-w- c:\windows\system32\perfc010.dat
2010-04-18 14:40 . 2001-08-31 10:00 425432 ----a-w- c:\windows\system32\perfh010.dat
2010-04-18 14:36 . 2008-11-20 11:28 -------- d-----w- c:\programmi\Free FLV Converter
2010-04-18 14:35 . 2008-09-05 13:43 -------- d-----w- c:\programmi\SUPERAntiSpyware
2010-03-16 16:58 . 2008-09-05 13:58 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-03-16 16:58 . 2008-10-04 19:39 5115824 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-03-15 10:49 . 2009-03-30 16:40 117760 ----a-w- c:\documents and settings\user\Dati applicazioni\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2008-07-27 13:39 . 2008-07-25 15:13 48 --sh--w- c:\windows\SE2320F5A.tmp
.
((((((((((((((((((((((((((((( SnapShot@2009-12-29_20.41.17 )))))))))))))))))))))))))))))))))))))))))
.
- 2001-08-31 10:00 . 2009-10-25 12:36 52764 c:\windows\system32\perfc009.dat
- 2001-08-31 10:00 . 2010-04-18 14:40 52764 c:\windows\system32\perfc009.dat
- 2008-09-05 13:58 . 2010-01-07 15:07 38224 c:\windows\system32\drivers\mbamswissarmy.sys
- 2008-09-05 13:58 . 2009-12-03 15:14 38224 c:\windows\system32\drivers\mbamswissarmy.sys
- 2008-09-05 13:58 . 2009-12-03 15:13 19160 c:\windows\system32\drivers\mbam.sys
- 2008-09-05 13:58 . 2010-01-07 15:07 19160 c:\windows\system32\drivers\mbam.sys
- 2008-07-25 13:40 . 2008-07-25 13:40 296960 c:\windows\system32\termsrv32.dll
- 2001-08-31 10:00 . 2010-04-18 14:40 380350 c:\windows\system32\perfh009.dat
- 2001-08-31 10:00 . 2009-10-25 12:36 380350 c:\windows\system32\perfh009.dat
- 2008-08-03 20:22 . 2010-04-18 14:37 4678680 c:\windows\system32\Restore\rstrlog.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
Nota i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTSyncU.exe"="c:\programmi\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-09-28 700416]
"SUPERAntiSpyware"="c:\programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2010-03-15 2012912]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="c:\programmi\Eset\nod32kui.exe" [2008-07-25 949376]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2008-05-27 413696]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 110592]
"EPSON Stylus DX4200 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE" [2005-03-07 98304]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programmi\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify!SASWinLogon]
2009-09-03 13:21 548352 ----a-w- c:\programmi\SUPERAntiSpyware\SASWINLO.dll
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Programmi\Windows Live\Messenger\msnmsgr.exe"=
"c:\WINDOWS\system32\spool\drivers\w32x86\3\HP1006MC.EXE"=
"c:\Programmi\Messenger\msmsgs.exe"=
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"5895:TCP"= 5895:TCP:Services
"5896:TCP"= 5896:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop
R1 nod32drv;nod32drv;c:\windows\system32\drivers\nod32drv.sys [25/07/2008 17.12.38 15424]
R1 SASDIFSV;SASDIFSV;c:\programmi\SUPERAntiSpyware\SASDIFSV.SYS [16/12/2009 17.26.58 12872]
R1 SASKUTIL;SASKUTIL;c:\programmi\SUPERAntiSpyware\SASKUTIL.SYS [16/12/2009 17.26.56 66632]
S3 L6PODLV;PODxt Live Service;c:\windows\system32\drivers\L6PODLV.sys [16/10/2009 11.24.59 532992]
S3 SASENUM;SASENUM;c:\programmi\SUPERAntiSpyware\SASENUM.SYS [16/12/2009 17.27.00 12872]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp:/.google.it/
mStart Page = hxxp:google.com
uInternet Settings,ProxyOverride = 127.0.0.1
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: c:\windows\system32\imon.dll
DPF: Microsoft XML Parser for Java -
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, gmer
Rootkit scan 2010-04-18 17:33
Windows 5.1.2600 Service Pack 2 NTFS
scansione processi nascosti ...
scansione entrate autostart nascoste ...
Scansione files nascosti ...
Scansione completata con successo
Files nascosti: 0
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services{95808DC4-FA4A-4c74-92FE-5B863F82066B}]
"ImagePath"="??\c:\programmi\CyberLink\PowerDVD\000.fcl"
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components???|ÿÿÿÿ"??|þ»Ñw*]
"0140710900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
"0140110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ----------------------
-
-
-
-
-
-
'winlogon.exe'(676)
c:\programmi\SUPERAntiSpyware\SASWINLO.dll
-
-
-
-
-
-
-
-
-
-
-
-
-
'lsass.exe'(732)
c:\windows\system32\imon.dll
c:\programmi\Eset\pr_imon.dll
.
Ora fine scansione: 2010-04-18 17:34:36
ComboFix-quarantined-files.txt 2010-04-18 15:34
ComboFix2.txt 2010-04-17 12:59
ComboFix3.txt 2009-12-29 20:43
ComboFix4.txt 2008-11-23 18:54
ComboFix5.txt 2010-04-18 15:26
Pre-Run: 70.912.557.056 byte disponibili
Post-Run: 70.888.255.488 byte disponibili
-
-
-
-
-
-
-
- End Of File - - 921DDAC27BD2A27BA2C5B2D1F7EC60E9
Già qui notavo problemi: anche se disattivato Nod32, Combofix me lo dava in esecuzione e in effetti fra processi vedevo che c'era. Bloccatolo, si riproponeva (nod32krn.exe) e così all'infinito. E' normale ? ? Ho proseguito lo stesso e gli esiti sono quelli del log di cui sopra.
Dopo questo ho passato il gmer:
GMER 1.0.15.15281 -gmernet
Rootkit scan 2010-04-18 19:51:30
Windows 5.1.2600 Service Pack 2
Running: gmer kr2v4ww2.exe; Driver: C:\DOCUME~1\user\IMPOST~1\Temp\aggyrfod.sys---- System - GMER 1.0.15 ----
SSDT ??\C:\Programmi\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xF58DD320]
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs amon.sys (Amon monitor/Eset )
AttachedDevice \FileSystem\Fastfat \Fat amon.sys (Amon monitor/Eset )
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd501774
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0009dd501774 (not active ControlSet)
---- Files - GMER 1.0.15 ----
File C:\Documents and Settings\user\Cookies\user@apmebf[1].txt 91 bytes
---- EOF - GMER 1.0.15 ----e poi il mbr.exe
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer,
gmernet
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x098A412B
malicious code @ sector 0x098A412E !
PE file found in sector at 0x098A4144 !(che mi conferma quanto rilevato da Nod. giusto?)
Conclusione: come lo rimuovo?
grazie
- Resident AV is active
-
Ciao gibson3,
scansiona con questi tools:
Carica i log di scansione su mediafire.com e riporta l'url qui sul forum.
-
ww.mediafire.com/?tuqyomddwkm
ww.mediafire.com/?iyymjozot3gQuesto è l'unico formato di link che sono riuscito a immettere
Manca il log di dr web che non sono riuscito ad ottenere !
Comunque se ti è utile ti dirò che drweb aveva trovato un mbr MebrootMaos (mi sembra ??? o qualcosa del genere, chiedo scusa) che mi ha chiesto di curare. Ho accettato, riavvio, riscansione e non ha più trovato nulla.
Questo mi viene confermato anche da Nod32 che prima mi segnalava quanto detto nel post iniziale, cioè la presenza di MebrootOra sembra andare bene. Che ne dite?
-
Ciao gibson3,
@gibson3 said:
,,,,,,Comunque se ti è utile ti dirò che drweb aveva trovato un mbr MebrootMaos che mi ha chiesto di curare. Ho accettato, riavvio, riscansione e non ha più trovato nulla.
bene!!
Dai una ripulita con ccleaner e posta un log con hijackthis; carica il log di scansione sempre su mediafire.
-
wwwmediafire.com/file/n00hozofkjz/hijackthis 20-04.txt
Ecco il link!
-
Ciao gibson3,
tutto ok!
-
Grazie Wolf !
-
