Lanciando mbr.exe in WIndows 7 Ultimate 64 bit il risultato è:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.ne
device: opened successfully
user: MBR read successfully
kernel: error reading MBR
Significa che il bootkit è presente o no?
[/quote]Gingo ha scritto:Mi rimane la perplessità sul fatto di dover arrivare allo zero filling del disco per eliminare un bootkit dall'MBR. Molte suite di partizionamento hanno la funzione di ripristino dell'MBR alle condizioni standard, comprese suite di imaging del disco come Acronis True Image usato da CD di boot. Agiscono su tutti i dischi collegati e riconosciuti dal controller e quindi senza perdita di dati.
DVD Seven: bootrec /fixmbr bootrec /fixboot
sondlive07 ha scritto:se il risultato di mbr.exe è pulito posso gia stare tranquillo
ps3love ha scritto:1di9 ha scritto:
Ti da questo errore perché hai avviato il programma come utente standard e non come amministratore, per un corretto avvio del programma tastro destro sul programma mbr.exe e avvia come amminstratore.Fammi sapere.
caper ha scritto:ho fatto le prova con mbr.exe su tutti i 4 hd che ho nel pc, ed il log uscito (uguale per tutti e 4) è questo:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 1 !
copy of MBR has been found in sector 62 !
vedo che nel mio log, ci sono 2 voci in più di quello che hai messo di esempio nell'articolo, è normale?
avendo letto attentamente l'articolo, mi pare di capire che nel mio pc di questi bootkit, non ce ne siano.
un'ultima domanda, nel caso volessi fare una scansione con bootkit remover, sapendo od immaginando che non ci siano infezioni, ma solo per un controllo, oltre ad avere un eventuale mancato caricamento del sistema operativo, che non è difficile ripristinare, ci potrebbero essere altre controindicazioni?
grazie
Neo123 ha scritto:Mi chiedo però una cosa, se avendo fatto un immagine della partizione o dell'intero disco infetto precedentemente all'infezione, avvio un ripristino dell’immagine selezionando anche l'mbr e il boot, in questo modo sovrascrivera' tutto anche l'infezione?
E un'altra cosa se dopo aver eliminato l’infezione usando il bootkit remover invece di ripristinare subito il boot ripristino l'immagine pulita del sistema che succede e' la stessa cosa?
Ho anche letto su internet che con la zerofilling in realtà al contrario della formattazione a basso livello l'mbr e la struttura in genere non viene modificata anche se si perdono comunque i dati e' vero?
Potreste per favore allegare all'articolo qualche utility per effettuare una formattazione a basso livello o questa zerofilling o e' meglio usare le varie utility delle prese dai rispettivi siti dei produttori tipo seagate SeaTools ecc. ?
Grazie :)
Gingo ha scritto:Mi rimane la perplessità sul fatto di dover arrivare allo zero filling del disco per eliminare un bootkit dall'MBR. Molte suite di partizionamento hanno la funzione di ripristino dell'MBR alle condizioni standard, comprese suite di imaging del disco come Acronis True Image usato da CD di boot.
CUB3 ha scritto:La differenza di interpretazione è un cambiamento dovuto alla versione di mbr.exe (prima era la 0.2.4 adesso è la 0.3.7) oppure possiamo considerare inutile questo tool ai fini della rilevazione di questa nuova infezione?
1di9 ha scritto:Lanciando mbr.exe in WIndows 7 Ultimate 64 bit il risultato è:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.ne
device: opened successfully
user: MBR read successfully
kernel: error reading MBR
Significa che il bootkit è presente o no?
sondlive07 ha scritto:come ho avuto modo di dire dovrei ripristinare un pc acer, e vorrei verificare se tale infezione sia presente, allora se ho capito bene
prima lancio mbr.exe e vedo che risultato da e poi con nod32 ?
oppure se il risultato di mbr.exe è pulito posso gia stare tranquillo senza dovere usare per forza nod ?
una volta fatto questo posso ripristinare tramite la partizione nascosta il pc?
p.s.se ho capito bene il ripristino tramite tale partizione non elimina l'infezione(prima bisogna agire con le regole dell'articolo) giusto ?
Uomo_Senza_Sonno ha scritto:@sondlive07
Se devi verificare, utilizza direttamente il bootkit remover per verificare l'integrità dello stato dell'mbr. Comunque, i sintomi sono più evidenti, come descritto nell'articolo. Mbr.exe e nod32 li puoi usare come verifica finale, ma se già il primo di genera un log pulito puoi stare tranquillo.
crazy.cat ha scritto:sondlive07 ha scritto:se il risultato di mbr.exe è pulito posso gia stare tranquillo
Ti sei già dato la risposta da solo.
zed_711 ha scritto:Non mi pare che mbrwizard sia da ignorare per ripristinare l'mbr.
Comunque grazie per l'attenzione
Uomo_Senza_Sonno ha scritto:@Gingo
Magari fosse così semplice. La componente rootkit, come ho detto prima, inserisce il codice di installazione in settori del disco normalmente non utilizzati dal filesystem, e quindi dal sistema operativo. Di conseguenza, ripristinando solo l'mbr e non assicurandosi di aver eliminato anche il codice di installazione facciamo un lavoro inutile.
caper ha scritto:vorrei chiederti, supponiamo che comprassi un hd nuovo, e copiassi tutti i miei dati su quello (per poi pulire gli altri hd in sicurezza), verrebbe copiato anche quel rootkit sul nuovo hd?
se mi potessi dare qualche insegnamento per liberarmi del rootkit senza perdere i dati (se questo è possibile), te ne sarei molto grato.
Uomo_Senza_Sonno ha scritto:Meglio aprire una discussione a parte per risolvere definitivamente.
Visitano il forum: Nessuno e 6 ospiti
megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising