www.MegaLab.it

Sono infetto?

GMER ha messo a disposizione un piccolo tool (disponibile anche nel noto programma antirootkit) che permette proprio di identificare e rimuovere i rootkit presenti nel Master Boot Record. Lo trovate al download a questo indirizzo.

Scarichiamolo e salviamolo in C:\. Poi, apriamo il menu Start, scegliamo la voce Esegui e digitiamo cmd. Da qui, il comando cd C:\. Infine, digitiamo start mbr.exe.

Da Risorse del Computer, apriamo il disco locale C e clicchiamo due volte sul file mbr.log. Se il suo contenuto è simile a questo, non siete infetti:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: error reading MBR kernel: MBR read successfully

Se invece sarà simile a quanto segue, siete affetti da un MBR Rootkit.

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully malicious code @ sector 0x132c0ab6 size 0x1ce ! copy of MBR has been found in sector 62 !

Rimozione

Per quanto riguarda la rimozione, basta digitare da Start --> Esegui --> cmd, il comando cd C:\, seguito da start mbr.exe -f.

Il file mbr.log sarà riscritto, e conterrà adesso qualcosa di simile a questo:

Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully MBR rootkit infection detected ! MBR INT 0x13 hook detected ! malicious code @ sector 0x12a14c00 size 0x1ca ! copy of MBR has been found in sector 62 ! original MBR restored successfully !

Il Master Boot Record è stato correttamente ripristinato, e il vostro computer è stato ripulito. Per controllare, possiamo rieffettuare i passaggi descritti nel paragrafo Sono infetto?.

Se risultaste ancora infetti, un'altra soluzione è quella di dare il comando fixmbr dalla console di ripristino di emergenza del CD di Windows XP.