Olimpo Informatico

[Venere80]

Ciao a tutti. Nel portatile dopo essere stato attaccato da Mbr rootkit, se ne sono creati altri 4 che ho trovato in Servizi da Risorse del computer-Gestione.
Il problema più grosso però è che ho cambiato l' account utente in account guest pur essendo io stessa amministratore. Non mi è più possibile ripristinare l' account originale. Infatti alcuni programmi come gmer non me li fa più eseguire.
E' sparito anche il tab disattiva ripristino configurazione di sistema.
E non posso nemmeno utilizzare msconfig.
Il mio S.O. è xp professional, 512 Mb di Ram, il portatile è un Lenovo r60E.
Vi ringrazio, non so più cosa fare.

[Sante62]

Ciao Venere80

Ma l'antivirus non segnala nulla? Come hai beccato tutti questi rootkit?
Come fai a dire che sono rootkit? Quali sono?
Ovviamente senza nessun log non possiamo fare granchè.

Vedi se riesci a fare qualche scansione preliminare...


1.Scarica Stealth MBR rootkit detector
Va installato necessariamente in C:\ (Obbligatorio)
Avvia il PC in modalità provvisoria;
2. A questo punto sempre da Start - Esegui - digita C:\mbr.exe -f e clicca su OK;
Salva il log prodotto per il controllo*
Esempio di MBR correttamente ripristinato:

[Venere80]

Mitico Sante , ti spiego cosa è successo.
Due settimane fa ho beccato il master boot record. Avira mi aveva segnalato un rootkit mentre navigavo, ma è stato inutile.
Il mio S.O. è xp professional 2003, ram 512 Mb, HD 1,66 GHz.
Ho fatto una scansione con Cureit che ha eliminato il malware. Si era creata la cartella Help assitant. Premetto che sono amministratrice del portatile e quando mi chiede la password di windows accedo normalmente.
Ho cambiato l 'utente administrator in guest per vedere di bloccare help assistant.
Cambiando l ' utente ho creato il problema più grosso perchè ho perso i diritti di amministratore sulle cartelle. Andando in account da start- pannello di controllo non posso modificare l' account guest, l' unico rimasto.
Non posso avviare gmer, adesso nemmeno mbr. Non posso cancellare la cartella prefetch.
Msconfig non si apre più e devo riavviare da start.
In gestione computer- utenti e gruppi locali- users non posso cambiare nulla. E' un problemone .

Ti allego Hijackthis che mostra il percorso dei 4 rootkit.
Grazie ancora e ciao.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.29.21, on 25/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Programmi\Lenovo\Client Security Solution\cssauth.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Lenovo\Scheduler\scheduler_proxy.exe
C:\WINDOWS\system32\tp4serv.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programmi\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programmi\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Lenovo\SafeGuard PrivateDisk\pdservice.exe
C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe
C:\WINDOWS\system32\javaw.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Programmi\Lenovo\AwayTask\AwaySch.EXE
C:\PROGRA~1\THINKV~1\AMSG\amsg.exe
C:\Programmi\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\Programmi\ThinkPad\ConnectUtilities\ACTray.exe
C:\Programmi\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.zeusnewscom/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: ThinkVantage Password Manager - {F040E541-A427-4CF7-85D8-75E3E0F476C5} - C:\Programmi\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programmi\File comuni\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programmi\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [PDService.exe] "C:\Programmi\Lenovo\SafeGuard PrivateDisk\pdservice.exe"
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe
O4 - HKLM\..\Run: [librtexec] javaw -jar "C:\Programmi\Java\jre6\lib\librtexec.jar"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [AwaySch] C:\Programmi\Lenovo\AwayTask\AwaySch.EXE
O4 - HKLM\..\Run: [AMSG] C:\PROGRA~1\THINKV~1\AMSG\amsg.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Programmi\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [ACTray] C:\Programmi\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - C:\Programmi\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com/welcome/thinkpad
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1167387531215
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: AwayNotify - C:\Programmi\Lenovo\AwayTask\AwayNotify.dll
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programmi\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programmi\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: CVH - Unknown owner - C:\DOCUME~1\SALVA~1\IMPOST~1\Temp\CVH.exe (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: GKZIQSK - Unknown owner - C:\DOCUME~1\SALVA~1\IMPOST~1\Temp\GKZIQSK.exe (file missing)
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IPS Core Service (IPSSVC) - Lenovo Group Limited - C:\WINDOWS\system32\IPSSVC.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: N - Unknown owner - C:\DOCUME~1\SALVA~1\IMPOST~1\Temp\N.exe (file missing)
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: RIZYBKWHSO - Unknown owner - C:\DOCUME~1\SALVA~1\IMPOST~1\Temp\RIZYBKWHSO.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programmi\lenovo\system update\suservice.exe
O23 - Service: ThinkVantage Registry Monitor Service - Unknown owner - C:\Programmi\File comuni\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Programmi\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programmi\File comuni\Lenovo\Scheduler\tvtsched.exe
O23 - Service: tvtnetwk - Unknown owner - C:\Programmi\Lenovo\Rescue and Recovery\ADM\IUService.exe

--
End of file - 8219 bytes

[Sante62]

Facciamo un tentativo....vedo che è messo maluccio il PC....

Segui le istruzioni di questo topic per eseguire combofix.
Carica il log di Combofix su WikiSend e posta il Forum Link che ti viene assegnato.

Poichè potrebbe non funzionare, in fase di scaricamento cerca di cambiare nome, esempio Combo_fix.exe eccetera, e vediamo cosa viene fuori.

Dopo, dimmi se puoi accedere al pannello servizi.

[Venere80]

Ciao Sante.
Purtroppo non posso usare Combofix. Da entrambi i siti proposti dalla vostra guida ho scaricato il programma. Dopo aver lanciato "esegui" appare la seguente finestra "hai provato a usare cfscript?". E Combo si chiude.
Devo dire che la connessione internet è come prima nonostante tutti questi problemi.
Sto impazzendo.
Ti ringrazio.

[Sante62]

Se Combofix non funziona, non possiamo nemmeno usare CFScript.

Non hai detto se puoi accedere al pannello servizi;

Start-Pannello di controllo->Prestazioni e manutenzione->Strumenti di amministrazione->Servizi;

Individua quelli che indico qui sotto in grassetto;

[Venere80]

Nei servizi posso accedere.

I 4 rootkit hanno alla voce avvio "manuale", ma sotto lo stato del servizio è arrestato per tutti.

Ho provato a disabilitarli, ma appare una finestra dice "impossibile aprire per es. Chv, per la scrittura su computer locale, errore 5 Accesso negato".

Ti ringrazio ancora.

[Sante62]

Segui queste istruzioni per postare un log di Systemscan.

[Venere80]

Ciao grande Sante , ho fatto una scansione con Rootkit revealer. Se leggi il messaggio fammi sapere se posso allegare il log.
Sennò procedo con systemscan.

[Sante62]

Allegali tutti e due....

[Venere80]

Grandissimo Sante 8) , credo che siamo ad una svolta.
System scan è il programma che ci voleva.
Scusa se ti invio solo ora il report, ma ieri sera per 2 volte dopo la scansione non mi salvava il log che spariva. Con copia e incolla l' ho salvato sul blocco note. e ho risolto.

Ecco il riferimento per System scan.

report sys.txt

E quello per rootkit revealer.

RootkitReveal.txt

Ancora grazie mille.

[Sante62]

Intanto c'è il Mster Boot Record infetto.

Stealth MBR rootkit detector
Va installato necessariamente in C:\ (Obbligatorio)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
1 - Scarica MBR:EXE sul DeskTop

Riavvia il Pc in modalità provvisoria con F8

2. A questo punto sempre da Start - Esegui - digita C:\mbr.exe -f e cliccate su OK
Salvate il log prodotto per il controllo*
Esempio di MBR correttamente ripristinato:

[Venere80]

Mbr non me lo fa scaricare perchè non sono amministratore.

Non capisco quando dici installalo in C e poi scaricalo sul desktop.

Sono bloccata

[Sante62]

Si, hai ragione, ho creato un pò di confusione, comunque va messo in C:\
Ovviamente il rootkit non ti fa cambiare l'account.

Visto che adesso, non possiamo correggere l'MBR, fai le seguenti operazioni, disconnessa da internet o meglio ancora, stacca completamente il cavo di rete, modem eccetera a seconda del tipo di connessione che hai, per impedire al malware di ripristinarsi facilmente.
Nel momento in cui puoi collegarti, fallo per il tempo strettamente necessario.

In C:\ ho notato questa cartella:

[Venere80]

Caro Sante, sono riuscita ad entrare come administrator in provvisoria, digitando administrator e la password. Ho eliminato in c:\documents and settings la cartella help assistant.
Ora si riapre la schermata di account utente con la voce administrator però senza nome, e con l' account guest. Però non ho trovato il modo di chiamare administrator con il mio nome utente "salva".

Poi sono andata da Risorse computer in Gestione- Servizi ed ho disabiltato i 4 rootkit.

In modalità normale ho scaricato Mbr sul desktop, ma non riesco a metterlo in C. Mi chiede se voglio salvarlo in documenti. Forse tornando n provvisoria potrei spostarlo in C.
Quando ero in provvisoria Mbr non c' era sul desktop.

C:\RRBackups mi dice che è vuota.

A più tardi.
Ora vado a dormire.

[Sante62]

Strano che in provvisoria non si vede sul desktop....

Comunque riprova, e nel frattempo, disattiva il ripristino di sistema sperando che sia funzionante.

[Venere80]

Ciao Sante, sono fuori per lavoro e rientrerò domenica sera. Sto scrivendo da un posto pubblico. Mi prendo una pausa di riflessione. Ti ringrazio per ora sperando che il virus si addormenti. Buon primo maggio.

[Sante62]

Bene....buon primo Maggio anche a te

[Venere80]

Ciao Sante.

Sono riuscita a portare mbr in C e vedrai il log. Ovviamente in modalità provvisoria.

Sono riuscita anche a entrare in risorse del computer, ma dal pannello di controllo e a ripristinare "disattiva
ripristino configurazione di sistema".

In proprietà del sistema c' è il segno di spunta a Desktop, consenti agli utenti di connettersi in remoto al computer.

Tutto questo in modalità provvisoria perchè tornata in normale non funziona.

Ultima cosa e scusami, ma non ho cancellato RRbackups perchè ho visto che è piena di files di sistema in provvisoria.
In normale mi dice che è vuota

Riguardo a mbr ho fatto una sola digitazione in provvisoria. Non ho capito se dovevo farne 2.

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x06FC4170
malicious code @ sector 0x06FC4173 !
PE file found in sector at 0x06FC4189 !


sys report.txt

Ciao e grazie ancora

[Sante62]

Il log di MBR non è quello che voglio vedere....

Riprova a farlo con l'opzione -f in provvisoria e in modalità normale digitando solo mbr.

Ti ho già detto che la cartella RRBakups è stata creata sicuramente dal malware e al suo interno contiene file/cartelle simili a quelle di sistema.

Però se non ripuliamo l'MBR, non avremmo concluso nulla.

Quindi, quando sei in provvisoria dopo aver fatto partire mbr -f elimina quella cartella. Tieni anche Hijackthis a portata di mano, e prova a eliminare questa riga: