MegaLab.it

Inviato: **lun ott 18, 2010 12:28 pm**

Scarica mbr.exe e salvalo direttamente nella Directory C:\
http://www2.gmer.net/mbr/mbr.exe

Riavvia il PC e avvialo in modalità provvisoria, premendo ripetutamente F8 subito dopo l'accensione del PC finchè non compare una schermata in nero con delle opzioni in bianco.

Da Start/Esegui e digita

C:\mbr.exe -f

e clicca su OK

NB - C'è uno spazio vuoto tra "C:\mbr.exe" e "-f"

La scansione durerà pochi secondi.
Posta il log situato in C:\ come mbr.log

Inviato: **lun ott 18, 2010 3:12 pm**

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Inviato: **mar ott 19, 2010 7:41 pm**

non mi risponde più nessuno? [cry]

Inviato: **mar ott 19, 2010 7:51 pm**

Fai questo tentativo, seguendo queste indicazioni. A questo punto proviamo a percorrere la strada dei rescue disk, come questo. Masterizzi e esegui il boot da cd rom, aggiorni l'antivirus ed esegui la scansione completa

Inviato: **mer ott 20, 2010 1:31 pm**

oddio...ho letto l'articolo ma è un po' troppo difficile...io nn so cosa significhi "scollegare il disco di back up" e poi ho letto che mi hai consigliato di masterizzare, ma purtroppo il mio è un netbook e nn ha l'entrata x i cd...come faccio? scusami lo so dò molti problemi...

Inviato: **mer ott 20, 2010 6:22 pm**

Scusami, non avevo capito che il pc in questone è un netbook.

Procediamo in maniera differente: esegui remover.exe come scritto nell'articolo, verifica lo status dell'mbr; per quanto riguarda la scansione con il rescue disk, esiste una versione bootabile da pendrive, e i netbook supportano l'avvio da supporto usb.

Questo è l'eseguibile da avviare nella pendrive, poi imposti il boot da usb e al riavvio lasci la pendrive e attendi il caricamento

Inviato: **gio ott 21, 2010 8:19 pm**

dopo questa cosa la mia pendrive dovrò buttarla vero? o hai una cura anche x lei?

Inviato: **gio ott 21, 2010 8:25 pm**

ah poi...scusa l'ignoranza in materia informatica, ma x fare il remover devo comunque scaricare questo gnu/linux? e se sì come si fa? e inoltre...cos'è un back up d sicurezza? perdonamiiiiiiii...

Inviato: **ven ott 22, 2010 11:40 am**

anansie ha scritto:dopo questa cosa la mia pendrive dovrò buttarla vero? o hai una cura anche per lei?

Utilizzi la pendrive per installare l'antivirus bootabile, dopodichè potresti formattarla e utilizzarla come meglio credi dopo aver eseguito la scansione nel pc.

anansie ha scritto:ma per fare il remover devo comunque scaricare questo gnu/linux? e se sì come si fa? e inoltre...cos'è un back up d sicurezza?

remover.exe lo scarichi direttamente in C:\ dopodichè lo avvi con un doppio clic. Non ti serve scaricare nessuna distribuzione al momento, e il backup di sicurezza converrà farlo solo dopo aver visto lo stato dell'mbr.
Per fare un backup di sicurezza come avevo descritto nell'articolo, ti serve un HD esterno, la distribuzione GNU/linux e un po' di pazienza per attendere il completamento della copia di tutti i dati. Ma, ripeto, vedremo come fare solo dopo che si è visto lo stato dell'mbr.

Inviato: **ven ott 22, 2010 2:20 pm**

questo è il risultato del remover:

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000001`384c7a00
Boot sector MD5 is: 7c47d39b31ef9830828d5f8aa4780dfd

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>

Done;
Press any key to quit...

Inviato: **ven ott 22, 2010 2:54 pm**

e questo dell'mbr:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf776bf28
\Driver\ACPI -> ACPI.sys @ 0xf765ecb8
\Driver\atapi -> atapi.sys @ 0xf75fe852
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805e710a
SecurityProcedure -> ntoskrnl.exe @ 0x805df529
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805e710a
SecurityProcedure -> ntoskrnl.exe @ 0x805df529
NDIS: Atheros AR5007EG Wireless Network Adapter -> SendCompleteHandler -> NDIS.sys @ 0xf74b3bd4
PacketIndicateHandler -> NDIS.sys @ 0xf74bfa21
SendHandler -> NDIS.sys @ 0xf74b3d44
user & kernel MBR OK

Inviato: **lun ott 25, 2010 1:29 pm**

...e ora che faccio?

Inviato: **lun ott 25, 2010 4:10 pm**

Domanda: utilizzi qualche programma per la personalizzazione di windows?

Inviato: **lun ott 25, 2010 8:35 pm**

tipo? no credo di no...

Inviato: **lun ott 25, 2010 11:12 pm**

Deduco che i driver di sistema Atapi.sys ed altri sembrano infetti.Per esperienza, so che il trojan rootkit Alureon infetta ogni driver che garantisce il controllo dell'hard disk per cui se le cose stanno così non si può rimuovere con nessun removal tool, solo con una formattazione.Aspetto opinioni di più esperti. Intanto
rimando a questa notizia, ci sono i rispettivi removal tool, prova ad usarli ma a me hanno provocato non poche schermate blu.
http://mondoemule.blogspot.com/2010/04/ ... ureon.html ( chiedo scusa ai Mod di MegaLab.it se rimando a un link esterno, è a solo scopo informativo)

Inviato: **lun ott 25, 2010 11:20 pm**

Io chiedevo perché questi hooks, nel mio pc sono legittimi in quanto con StyleXP si vengono a modificare parecchie cose nel sistema. E ti assicuro che l'mbr è a posto. Per quanto riguarda il fatto del rootkit alureon, si comporta come tutti gli mbr rootkit, e a meno di non eseguire un editing manuale dei settori interessati, una formattazione a basso livello risolve il problema alla radice.

Mi sono stupito perché sono gli stessi hooks che rileva combofix nel mio.

Se davvero fosse infetto, mbr.exe l'avrebbe rilevato senza problemi.

Inviato: **mar ott 26, 2010 1:32 pm**

e quindi che m consigli? di portarlo da qualcuno e farmi fare una formattazione? perché io nn la so fare...il brutto è che sono in spagna e nn so a chi affidarlo...

Inviato: **mar ott 26, 2010 1:52 pm**

Anansie, per formattare non ci vuole nulla.
Solamente, un po' di testa :)
http://www.aiutamici.com/ftp/software/W ... _Guida.htm

Inviato: **mar ott 26, 2010 2:06 pm**

sei gentilissimo... [:)]

ma mi perdoni se t faccio un'ultima domanda? qui parla di inserire il cd e cm t ho spiegato questo computer nn ha l'entrata nè tantomeno
portava dei cd quando l'ho comprato...cosa si fa in questo caso?se vado sul sito acer trovo qualcosa? e poi magari la salvo su una pennetta nn so...

Inviato: **mar ott 26, 2010 2:08 pm**

Di nulla.
Nel tuo caso, bisogna creare una PenDrive Bootable con dentro il "CD" di Windows.
http://www.MegaLab.it/2489/

MegaLab.it

[LOG] ComboFix e HijackThis

Re: [LOG] ComboFix e HijackThis

mbr.log

Re: [LOG] ComboFix e HijackThis

Re: [LOG] ComboFix e HijackThis

Re: [LOG] ComboFix e HijackThis

Re: [LOG] ComboFix e HijackThis

Re: [LOG] ComboFix e HijackThis

Re: [LOG] ComboFix e HijackThis

Re: [LOG] ComboFix e HijackThis

Re: [LOG] ComboFix e HijackThis

Re: [LOG] ComboFix e HijackThis

Re: [LOG] ComboFix e HijackThis

Re: [LOG] ComboFix e HijackThis

Re: [LOG] ComboFix e HijackThis

Re: [LOG] ComboFix e HijackThis

Re: [LOG] ComboFix e HijackThis

Re: [LOG] ComboFix e HijackThis

Re: [LOG] ComboFix e HijackThis

Re: [LOG] ComboFix e HijackThis

Re: [LOG] ComboFix e HijackThis