| Autore |
 Discussione  |
|
|
Skintek-Skintek
Senior Member
Città: Basso Varesotto
210 Messaggi |
 Inserito il - 04/11/2012 : 18:16:10
|
Ciao a tutti
ho dovuto, per un errato tentativo di cancellazione di un file che non voleva cancellarsi(!!), riformattare e ricaricare il PC con XP.
Fortunatamente avevo un HD con il clone del mio sistema, fatto nel 2008.
Ho proceduto a formattare (non ho tolto e rimesso la partizione) il disco di sistema e poi ho ricaricato il tutto dal disco clone.
Operazione perfettamente riuscita.
Installato lo SP3 e tutte le patch disponibili.
Mi e' sorta la voglia di controllare lo MBR (cosa che faccio mensilmente) con il solito programmino mbr.exe e il risultato e' stato questo:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, htt*://[www].gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01D383773
malicious code  sector 0x01D383776 !
Questo mi ha lasciato un po' sorpreso e dubbioso.
Aiutatemi a capire cosa vuol dire.
1)XP e'ok, ma c'era una infezione precedente che con la sola formattazione non e' stata cancellata.
2)XP e' ancora infetto.
Ho provato lo stesso programmino sul disco clone e il risutato e':
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, htt*://[www].gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Grazie a tutti e ciao.
|
Modificato da - in Data
|
|
|
Skintek-Skintek
Senior Member
Città: Basso Varesotto
210 Messaggi |
Inserito il - 06/11/2012 : 20:37:52
|
Ciao a tutti
Nessuna idea????
Ciao |
 |
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 07/11/2012 : 16:45:55
|
Ma quel codice lo avevi controllato, prima di rasarlo? Se si, è uguale (o simile)?
Altrimenti prova a rasare l'mbr del disco di sistema con una distro Linux qualsiasi, puoi scaricare Ubuntu che è meno ostica, scaricati la 12.04 (visto che è una LTS, è più sicuro) da qui:
htt*://[www].ubuntu-it.org/download
Nel menu a tendina scegli "Desktop" -> "Ubuntu 12.04.1 - italiano" (almeno la lingua italiana è completa) -> "32 bit"
Poi scrivi l'immagine su CD (crea cd da ISO), puoi usare pure un DVD, funzia lo stesso. Ricordati di impostare nel Bios come prima periferica di boot il lettore (o masterizzatore) che usi. Una volta fatto salvi eventuali lavori non ancora salvati sul sistema infetto, ti assicuri non ci siano altri dischi connessi (ne interni, e nemmeno esterni), evita possibili errori, quindi spegni il PC e staccalo dalla corrente (ti evita che restino un po di cose strambe in memoria viva - RAM), dopo almeno 10 secondi riallaccia la corrente ed avvia da CD con Ubuntu, quando appare la schermata viola premi "ESC" e scegli "prova Ubuntu senza installare", una volta arrivato sul Desktop non toccare nulla che riguardi l'HD di sistema, cerca il terminale in quel macello di menu (non ricordo dove fosse nascosto), una volta aperto dai questo comando:
sudo fdisk -l (al termine è una "elle", non "uno")
ti risponde una solfa simile:
Dispositivo Boot Start End Blocks Id System
/dev/sda1 * 2048 1028095 513024 83 Linux
/dev/sda2 1028160 103426469 51199155 83 Linux
/dev/sda3 103426470 617474339 257023935 83 Linux
ecc. ecc.
qui il MIO! HD è "sda", controlla cosa indica sul tuo, e non tenere conto del numero (non usarlo), è la partizione, noi dobbiamo atomizzate tutto. Ora pialla per benino l'MBR con questi comandi da terminale:
*
*COMANDO DISTRUTTIVO PER I VOSTRI DATI! Siete avvertiti! Se ci giochicchiate a vanvera non venite a piangere da me dopo!
*
sostituisci la "X" con la lettera giusta che indicherà il comando precedente sul tuo, dovrebbe essere la "a", ma non è certo
----------------------------------------------------------------------------
sudo dd if=/dev/null of=/dev/sdX bs=512 count=1
----------------------------------------------------------------------------
e dopo:
----------------------------------------------------------------------------
sudo dd if=/dev/zero of=/dev/sdX bs=512 count=1
----------------------------------------------------------------------------
ripeti un 3 o 4 volte i comandi citati.
Una volta tritata per bene l'MBR spegni di nuovo il pc. stacca corrente, e dopo 10 secondi riallacci e riprovi ad installare. controlla poi se sto "zombi" è sopravvissuto  .
Vediamo se gradisce  |
Modificato da - Yves in data 07/11/2012 16:50:36 |
|
|
|
Skintek-Skintek
Senior Member
Città: Basso Varesotto
210 Messaggi |
Inserito il - 07/11/2012 : 18:47:40
|
Ciao a tutti
Ciao Yves, ben ritrovato!!!!!
Non farmi ricaricare un'altra volta il sistema (che p...e!!!!!)!!!!! PIETA' per un povero tapino (io)!!!!!
Ho gia' provato, senza alcuna differenza, sia fix-mbr che con la procedura di ripristino mbr della "console di ripristino" del CD di windows XP.
La mia impressione e' che il MBR sia OK e che abbia avuto una infezione precedente al crash.
Aspetto conferme o smentite da esperti in materia.
Forse anche per questo quando ho voluto cancellare un files incancellabile, con una applicazione "specifica", mi ha cancellato ntdetect, io.sys, autoexec.bat ..... e via dicendo.
Appena mi sono accorto del misfatto ho immediatamente bloccato la cancellazione ma il danno era gia' fatto.
Formattato veloce (mi mangio le mani per non aver tolto e rimesso la partizione e fatto una formattazione completa-lenta), ricaricato da disco clone (30 min circa), installato i service pack e patch(1 giorno e ne spuntano ancora!!), caricata skeda video e audio (30 min), ripristinate alcune applicazioni di mia figlia (na giornata c'e' voluta!!!), recuperato outlook (1 ora - ho recuperato il "document e setting" con una live di linux (e non ti dico quale.....come sono cattivo!! )Con la stessa live ho TRANQUILLAMENTE e SENZA PROBLEMI cancellato il file maledetto. Non ho specificato che era su D e non su C. Perche' non ci ho pensato prima a linux ....), controllato disco con antivirus e mbam tutto OK.
Lanciato mbr.exe e sono al punto del primo post!!
Tieni presente che ho un P4 che va a 2.8, 1Gb di memoria, SKeda video NVidia AGP8x e non e' un mostro di velocita'!!
Comunque ti ringrazio e se dovessi ripartire (mi tocco le p...e) seguiro' i tuoi consigli.
Ciao Yves.
Ciao a tutti.
P.S. Yves se hai altri consigli preferibilmente NON DISTRUTTIVI, sono a tua disposizione.
|
Modificato da - Skintek-Skintek in data 07/11/2012 19:02:20 |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 09/11/2012 : 13:45:27
|
No, specialmente se qualche cosa si insedia li dentro (MBR), "io" lo atomizzo in quel sistema.
Ci saranno tool specifici, ma quei settori (i primi 512) sono piuttosto schizzoidi, se li solleciti a dovere per stanare ed asportare il malware, rischi di ritrovarti con un sistema barcollante.
In oltre, se è nel settore di boot, si carica all'avvio, ergo, tu lo levi da Windows, ed al riavvio rischia di esserci di nuovo.
Nemmeno a me piace ripristinare il sistema, se non in casi eccezionali. "Questo" sarebbe uno |
|
|
|
Skintek-Skintek
Senior Member
Città: Basso Varesotto
210 Messaggi |
Inserito il - 10/11/2012 : 11:57:12
|
Ciao a tutti
Ciao Yves,
vedo che oltre a te nessun altro esperto si e' fatto vivo per dire la sua su questa "gatta da pelare" e sono "quasi" d'accordo con te sul fatto di rasare e ricominciare dall'inizio.
Dando un'occhiata su internet ho trovato che la situazione e' molto diversa tra i siti in italiano e quelli in lingua inglese.
In Italia si fa molto affidamento su mbr.exe e su un mbrscan.exe di cui ti riporto l'essenziale:
OS : Windows XP Home Service Pack 3 (32 bit)
PROCESSOR : x86 Family 15 Model 2 Stepping 9, GenuineIntel
BOOT : Normal Boot
DATE : 2012/11/04 (ISO 8601) at 18:13:53
________________________________________________________________________________
DISK : Device\Harddisk0\DR0 __Maxtor 6B250R0 (BAH41G10)
BUS_TYPE : (0x03) P-ATA
USE_PIO : YES
MAX_TRANSFER : 128 Kb
ALIGNMENT_MASK : word aligned
________________________________________________________________________________
Device\Harddisk0\DR0 233.8 Go [Fixed] ==> XP MBR Code
MBR_MD5 : 9C4283AE541482EA3AA928020B4D9352
MBR_SHA1 : 8A577ABC7FF526CA0440F03068F9566B29C0C761
Device\Harddisk0\Partition1 68.36 Go 0x07 NTFS / HPFS __ BOOTABLE __
Device\Harddisk0\Partition2 165.4 Go 0x07 NTFS / HPFS
________________________________________________________________________________
Questo ti dice (almeno a leggere qui' e la') che il MBR CODE e' di XP e che risulta corretto.
Nei siti in lingua inglese va molto sinowalmbr.exe (che non ha trovato nulla), tdskiller.exe (che non ha trovato nulla), e aswmbr.exe (della AVAST) del quale ti allego una parte del report:
aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2012-11-10 11:37:33
-----------------------------
11:37:33.546 OS Version: Windows 5.1.2600 Service Pack 3
11:37:33.546 Number of processors: 1 586 0x209
11:37:33.546 ComputerName: BETACASA UserName: Alfa
11:37:34.015 Initialize success
11:41:43.203 AVAST engine defs: 12110900
11:42:27.031 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
11:42:27.031 Disk 0 Vendor: Maxtor_6B250R0 BAH41G10 Size: 239372MB BusType: 3
11:42:27.046 Disk 0 MBR read successfully
11:42:27.046 Disk 0 MBR scan
11:42:27.109 Disk 0 Windows XP default MBR code
11:42:27.109 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 70001 MB offset 63
11:42:27.109 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 169364 MB offset 143364060
11:42:27.125 Disk 0 scanning sectors +490223475
11:42:27.140 Disk 0 malicious Win32:MBRoot code sector 490223478 !
11:42:27.187 Disk 0 scanning C:\WINDOWS\system32\drivers
Questo programma ha dei "tasti" per fare varie cose, scan, salva il log ecc.
Tra questi tasti c'e' un "FIX MBR" ma, alla fine della scansione, e' disabilitato come se volesse dire che non c'e' bisogno di fixare il MBR.
Comunque dalla documentazione si evvince che il MBR era stato infettato e ora ne e' rimasta una traccia inattiva.
Pare che non esista nessun programma che possa cancellare in modo automatico questa traccia inattiva.
Con gli occhi ben aperti(!!!), mi sento di dormire sonni tranquilli!!!!
Ho scritto questa lunga pagina nella speranza (e senza la presunzione di avere la ragione assoluta) di essere stato utile alla comunita' e, in special modo, di chi che ha avuto voglia di far passare mbr.exe e si e' trovato con un report, decisamente criptico, simile al mio.
Ciao a tutti
Eros
|
Modificato da - Skintek-Skintek in data 10/11/2012 12:04:37 |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 11/11/2012 : 19:28:01
|
Ma mica è un falso positivo?
Ho pure sul mio una gatta da pelare, ma non la pelo perché dovrei rasare le partizioni. Su molti dischi odierni, di forte capacità, più di una volta mi è uscita, si genera all'atto del partizionamento (o creazione partizione), non provoca problemi maggiori, ma da un errore fastidioso:
yvesCDC-M31EI:~$ sudo fdisk -l
[sudo] password for yves:
Disk /dev/sda: 320.1 GB, 320072933376 bytes
255 testine, 63 settori/tracce, 38913 cilindri, totale 625142448 settori
Unità = settori di 1 * 512 = 512 byte
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Identificativo disco: 0x000954c8
Dispositivo Boot Start End Blocks Id System
/dev/sda1 * 2048 1028095 513024 83 Linux
/dev/sda2 1028160 103426469 51199155 83 Linux
/dev/sda3 103426470 617474339 257023935 83 Linux
Partition 3 does not start on physical sector boundary.
/dev/sda4 617474340 625137344 3831502+ 82 Linux swap / Solaris
Partition 4 does not start on physical sector boundary.
446 bit sono il boot, 4 sezioni da 16 sono per le 4 partizioni primarie consentite, i 2 restanti sono una "firma" (Master boot record. Una delle porzioni da 16 bit, sul mio, l'ha beccata male (penso). Ma non mi da altri problemi, a parte quell'errore.
Di li a che un programma di diagnostica ti rilevi il problema, e lo classifichi in "pezzo di codice malevolo" non ci vedo molta distanza |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 12/11/2012 : 08:21:05
|
| Buon giorno, quelle scansioni sul mbr indicano solo che in passato era presente un infezione che è stata rimossa, per scrupolo puoi fare una scansione con tdss htt*://support.kaspersky[.com]/faq/?qid=208283363, trovo molto strano che usando la console di ripristino di xp non sia stato ripristinato un nuovo mbr pulito. |
|
|
|
Skintek-Skintek
Senior Member
Città: Basso Varesotto
210 Messaggi |
Inserito il - 12/11/2012 : 19:10:41
|
Ciao a tutti
Ben ritrovato death,
avevo gia' fatto girare tdsskiller (nei post precedenti mi ero perso una s -tdskiller-) e non mi aveva rilevato nulla.
L'ho riscaricato e rilanciato ed e' risultato ancora nulla.
Oltre alla console di ripristino di XP ho usato anche mbr.exe opzione -f e anche fixmbr.exe senza differenze.
Leggendo qui e la' pare che non esista alcun programma che possa/riesca (in automatico) a calcolare l'offset e relativa posizione nell'HD da riscrivere correttamente senza combinare disastri.
Un sentito grazie a tutti e .... ciao.
Eros
|
|
|
| |
Discussione |
|
|
|
MBR infetto??
Forum Bloccato
