PDA

Visualizza versione completa : Rootkit MBR:\\.\PHYSICALDRIVE0


ottobre_rosso
02-04-2008, 13.41.18
Riporto l'altro post in questa sezione, che mi sembra piu' adatta..

Giusto un'ora fà ho scoperto, attraverso Avast (installato per pura curiosità) di avere un rootkit:

E' STATO TROVATO UN ROOTKIT

NOME DEL FILE MBR:\\.\PHYSICALDRIVE0
TIPO ROOTKIT: FILE NASCOSTO

Prima mi appare questo messaggio

http://www.uploadandgo.com/thumbs/Rootkit.JPG (http://www.uploadandgo.com/gallery.php?entry=images/Rootkit.JPG)

e, dopo aver spuntato la voce "elimina ora", quest'altro messaggio

http://www.uploadandgo.com/thumbs/Error.JPG (http://www.uploadandgo.com/gallery.php?entry=images/Error.JPG)

Qualcuno di voi ne sà qualcosa?

k501
02-04-2008, 14.04.52
Riporto l'altro post in questa sezione, che mi sembra piu' adatta..

Giusto un'ora fà ho scoperto, attraverso Avast (installato per pura curiosità) di avere un rootkit:

E' STATO TROVATO UN ROOTKIT

NOME DEL FILE MBR:\\.\PHYSICALDRIVE0
TIPO ROOTKIT: FILE NASCOSTO

Prima mi appare questo messaggio

http://www.uploadandgo.com/thumbs/Rootkit.JPG (http://www.uploadandgo.com/gallery.php?entry=images/Rootkit.JPG)

e, dopo aver spuntato la voce "elimina ora", quest'altro messaggio

http://www.uploadandgo.com/thumbs/Error.JPG (http://www.uploadandgo.com/gallery.php?entry=images/Error.JPG)

Qualcuno di voi ne sà qualcosa?


MBR=Master Boot Record (settore di boot del HDD)
PHYSICALDRIVE0=Disco fisso o partizione dove è installato il sistema operativo.

Sono indizi un pò vaghi... Io farei una scansione online con qualche antivirus valido, anche BitDefender andrebbe bene.

leofelix
02-04-2008, 14.29.05
concordo con K501,
potresti provare con il tool antirookit gratuito e stand alone da poco aggiornato alla versione 2.2.1 beta Trend Micro Rootkit Buster (http://www.trendmicro.com/ftp/products/rootkitbuster/RootkitBuster2.2.1014.zip).
Scompatta l'archivio zip sul desktop quindi eseguilo.

Se effettivamente c'è una rootkit che intacca il settore di avvio c'è anche il tool della symantec che so aver dato buoni risultati:

http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixMebroot.exe

(va utilizzato in modalità provvisoria)

Spero di esserti stato di aiuto e soprattutto che si tratti di un falso positivo di Avast:)

P.S dimenticavo questo interessantissimo tool multipurpose gratuito della Kasperky

http://forum.wintricks.it/showpost.php?p=1468507&postcount=240

ottobre_rosso
02-04-2008, 17.19.02
provero' tutto quanto quanto da voi consigliatomi. ;)

Purtroppo penso non si tratti di un falso positivo perche', col solo winzozz XP Pro, aggiornato, sp2 con driver MB, video e modem, mi da' subito problemi (hd che lavora continuamente e services.exe che occupa parecchia RAM)

ottobre_rosso
02-04-2008, 17.21.26
dimenticavo: da qualche parte ho letto che pur formattando il rootkit potrebbe rimanere. E' vera questa ipotesi? e' possibile fare una formattazione profonda? e' la seconda volta, nel giro di tre giorni, che formatto, reinstallo Xp e ho sempre lo stesso problema

crazy.cat
02-04-2008, 19.25.14
dimenticavo: da qualche parte ho letto che pur formattando il rootkit potrebbe rimanere. E' vera questa ipotesi? e' possibile fare una formattazione profonda? e' la seconda volta, nel giro di tre giorni, che formatto, reinstallo Xp e ho sempre lo stesso problema
Può essere se si trova nel Mbr.
Una bella formattazione a basso livello spiana via tutto.
Marca del tuo hard disk?
Vai sul sito del produttore e cerchi il tools più adatto, ti crei il floppy o il cd di avvio e formatti.

AMIGA
02-04-2008, 20.41.56
dimenticavo: da qualche parte ho letto che pur formattando il rootkit potrebbe rimanere. E' vera questa ipotesi? e' possibile fare una formattazione profonda? e' la seconda volta, nel giro di tre giorni, che formatto, reinstallo Xp e ho sempre lo stesso problema

Quando formatti l'MBR non lo tocchi,eventualmente puliscilo da dos

FDISK /MBR

(riscrive il record di avvio principale)

Fai questa prova prima del basso livello (lo si usa solo in casi estremi)

ottobre_rosso
02-04-2008, 20.46.06
Quando formatti l'MBR non lo tocchi,eventualmente puliscilo da dos

FDISK /MBR

(riscrive il record di avvio principale)


nemmeno se utilizzo il tool della Maxtor? a proposito, trattasi di un HD MAXTOR 6Y120L0

AMIGA
02-04-2008, 21.02.49
nemmeno se utilizzo il tool della Maxtor? a proposito, trattasi di un HD MAXTOR 6Y120L0

Parlavo in generale,prima accertati che sia necessario,non credo che sto ROOTKIT faccia tutto sto danno,altrimenti è un vero disastro se ogni volta dovremmo formattare a basso livello.

RNicoletto
03-04-2008, 10.56.22
concordo con K501,
potresti provare con il tool antirookit gratuito e stand alone da poco aggiornato alla versione 2.2.1 beta Trend Micro Rootkit Buster (http://www.trendmicro.com/ftp/products/rootkitbuster/RootkitBuster2.2.1014.zip).
Scompatta l'archivio zip sul desktop quindi eseguilo.

Se effettivamente c'è una rootkit che intacca il settore di avvio c'è anche il tool della symantec che so aver dato buoni risultati:

http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixMebroot.exe

(va utilizzato in modalità provvisoria)

Spero di esserti stato di aiuto e soprattutto che si tratti di un falso positivo di Avast:)

P.S dimenticavo questo interessantissimo tool multipurpose gratuito della Kasperky

http://forum.wintricks.it/showpost.php?p=1468507&postcount=240Non sono sicuro che questi tool funzionino, il perché lo puoi leggere qui (http://www.pcalsicuro.com/main/2008/03/mbr-rootkit-nuovi-aggiornamenti/). :grrr:

L'unico tool che in questo momento sembra dare qualche garanzia è Prevx CSI (http://www.prevx.com/freescan.asp).

RNicoletto
03-04-2008, 11.38.33
EDIT - In realtà si potrebbe provare a rimuovere la nuova variante di questo rootkit anche con questi due tool: mbr.exe (http://www2.gmer.net/mbr/mbr.exe) fornito dagli autori di GMER;
Standalone BlackLight Utility (ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe) fornito da F-Secure.Se qualcuno li prova ci faccia sapere l'esito. ;)

leofelix
03-04-2008, 13.24.36
EDIT - In realtà si potrebbe provare a rimuovere la nuova variante di questo rootkit anche con questi due tool: mbr.exe (http://www2.gmer.net/mbr/mbr.exe) fornito dagli autori di GMER;
Standalone BlackLight Utility (ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe) fornito da F-Secure.Se qualcuno li prova ci faccia sapere l'esito. ;)

grazie della segnalazione RNicoletto :act:
proprio stamattina ero andato a leggermi il funzionamento di queste varianti di rootkit che intaccano il settore di avvio, prima sul sito di Gmer quindi sul Blog di Pc al sicuro.
Così ho scaricato anche la versione più recente del BlackLight Rootkit Eliminator che - grazie al cielo - non ha trovato nulla almeno nei miei sistemi;)

ottobre_rosso
03-04-2008, 13.38.40
EDIT - In realtà si potrebbe provare a rimuovere la nuova variante di questo rootkit anche con questi due tool: mbr.exe (http://www2.gmer.net/mbr/mbr.exe) fornito dagli autori di GMER;
Standalone BlackLight Utility (ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe) fornito da F-Secure.Se qualcuno li prova ci faccia sapere l'esito. ;)

giusto ieri pare che abbia risolto il problema, guarda caso con mbr.exe (dico pare perche' preferisco "stressare" un po' il s.o. prima di illudermi nuovamente...)

Ora sono ad un meeting e ne avro' per parecchio tempo. Appena possibile vi faro' in resoconto.

ottobre_rosso
04-04-2008, 08.24.16
Eccomi...

Dunque ho fatto una scansione con Gmer e PrevxCSI ed entrambi mi hanno rilevato il rootkit.

Quindi ho proceduto cosi':


scaricato mbr.exe (http://www2.gmer.net/mbr/mbr.exe) e ho messo l'eseguibile in C:\
riavviato in modalita' provvisoria
start - esegui - C:\mbr.exe -f
in C:\ si crea un file .log dove dovrebbe apparire che ha rimosso il rootkit, o qualcosa del genere
riavviato e ripetuta scansione con Gmer e PrevxCSI (esito negativo)



Ora il pc, in stby, ha un utilizzo dellsa CPU pari a zero, services.exe stabile a 4000kb circa, e l'hd se ne sta li' buono buono

RNicoletto
04-04-2008, 11.05.48
Ottimo! (Y)

Grazie per il feedback, speriamo venga utile anche ad altri.

ottobre_rosso
04-04-2008, 13.38.07
Figurati: dovere ma anche piacere ;)

k501
09-04-2008, 17.55.56
EDIT - In realtà si potrebbe provare a rimuovere la nuova variante di questo rootkit anche con questi due tool:[list] mbr.exe (http://www2.gmer.net/mbr/mbr.exe) fornito dagli autori di GMER;

Ottimo! Non conoscevo neppure io l'esistenza di questo tool! Ora me lo scarico e lo tengo buono buono in caso di emergenza! ;)

c33c
09-04-2008, 23.20.34
Ho avuto lo stesso problema due giorni fà , scovato dopo un aggiornamento di avast, dove un laconico messaggio diceva:

STATO TROVATO UN ROOTKIT

NOME DEL FILE MBR:\\.\PHYSICALDRIVE0
TIPO ROOTKIT: FILE NASCOSTO



risolto grazie alla strada indicata da ottobre rosso

leofelix
10-04-2008, 07.15.38
vi segnalo anche questo tool molto ben fatto e accurato
http://forums.spybot.info/showthread.php?t=24185

è in fase di preview, appena aggiornato alla versione 0.1.3.26 (900 kb) ma secondo me già da prendere in seria considerazione. Stand alone e freeware

http://www.spybotupdates.com/files/rootalyz.zip

da tenere a portata di chiavetta;)

ffonty
12-04-2008, 12.56.43
salve a tutti...

mi sono trovato anche io i questi giorni un messaggio di Avast che i segnalava la presenza di un kootkit MBR:\\PHYSICALDRIVE0 ma che non riesce ad eliminare (avast 4.8 home)

devo ancora provare ad eliminarlo, ma mi sono scaricato tutti i tools che avete segnalato e sono fiducioso i riuscire a risolvere il problema...

io però nella mia infinita ignoranza non avevo mai sentito prima parlare di rootkit... quindi il mio intervento è giustificato per chiedere 2 cose:

1) come si becca una cosa del genere in modo da evitare di fare il bis... nel senso è una cosa che si becca classicamente navigando, o visto che si parla di MBR è una cosa potrebbe già esistere nel disko (il mio è un hdd nuovo) <-- se la domanda è troppo stupida accetto insulti!! :)

2) che tipo di problemi provoca??
blocca il pc del tipo sono giorni che non riesco più a spegnere/riavviare il computer senza doverlo fare forzatamente... o devo preoccuparmi di cambiare tutte le password del home banking??

crazy.cat
12-04-2008, 13.24.28
salve a tutti...
1) Di solito si becca navigando, scaricando programmi a casaccio dal P2P sopratutto emule (il virus bagle un rootkit pure lui è diffusissimo), qualche volta sono stati venduti delle partite di hard disk con virus incluso ma è un caso raro.

Come si evita, usando il cervello, provando i file sospetti su virustotal.com o in un ambiente virtuale, cambiando antivirus visto che avast fa piuttosto schifo ultimamente, ma contro i rootkit faticano quasi tutti ormai.

2) Cosa provocano, rallentamenti, danneggiamento di alcune funzioni del pc, il bagle per esempio rimuove tutti i programmi di sicurezza, quindi un po di tutto.

Il cambio password ogni tanto non fa mai male.

ffonty
13-04-2008, 15.59.33
ah ok... strano che non ne abbia mai preso uno prima insomma! ;)

ora che ci penso avast ha iniziato a segnalarmi il rootkit dopo essere passato dalla versione 4.7 alla 4.8... sicuramente una coincidenza...

cmq sia per amor di cronaca fra i vari tools che avete postato l'unico che ha rilevato il rootkit e lo ha eliminato è stato quello di "Gmer" mbr.exe (http://www2.gmer.net/mbr/mbr.exe)

grazie di tutto a tutti!!

Alexxx89
30-05-2008, 11.08.49
Salve a tutti
vi preannuncio che sono abbastanza ignorante in materia! Ho avuto lo stesso problema negli ultimi giorni e ho provato, come suggerito, a scaricare da quel collegamento mbr il file e ad eseguire, ma scarica solo un file blocco note e ovviamente al riavvio il problema persiste... Nel file blocco note suggerisce di fare alcune operazioni che però non capisco... Potete aiutarmi?

leofelix
30-05-2008, 15.04.47
Salve a tutti
vi preannuncio che sono abbastanza ignorante in materia! Ho avuto lo stesso problema negli ultimi giorni e ho provato, come suggerito, a scaricare da quel collegamento mbr il file e ad eseguire, ma scarica solo un file blocco note e ovviamente al riavvio il problema persiste... Nel file blocco note suggerisce di fare alcune operazioni che però non capisco... Potete aiutarmi?

ben venuto

si apre il blocco notes invece che l'eseguibile?
Prova a ripristinare le associazioni dei file exe probabilmente compromessi dal trojan usando questo tool gratuito della ESET il FixExe.com (http://www.nod32.it/tools/fixexe.php)

quindi una volta riavviato potresti controllare se per caso hai contratto una variante dello Spyware CWShred / Trojan Start page usando questi due tool di rimozione gratuita

http://www.trendmicro.com/ftp/products/online-tools/cwshredder.exe (per win 98/Me/2000/XP )

e questo

http://www.ikarus.at/downloadfiles//remover/IkarusRem_Startpage.exe

Quindi procedi pure scaricando e utilizzando questo tool specifico per le rootkit che intaccano i settori di avvio:

http://forum.wintricks.it/showpost.php?p=1500187&postcount=2


Spero di esserti stato di aiuto resto in attesa di un tuo gradito riscontro in merito