www.MegaLab.it

[Gingo]

Confermo che su 7 64 bit l'output è quello che ha postato 1di9 e io stesso più sopra anche con i diritti amministrativi. Ma comunque non ritengo il mio sistema infetto.

[crazy.cat]

Leggendo in rete ci sono varie conferme al fatto che mbr.exe è buono solo per i sistemi a 32 bit
http://forum.sysinternals.com/topic2044 ... tml#110237
quindi sui 64bit legge malamente e genera quel tipo di log che vedete.

[Gaegin]

Lanciando mbr.exe in WIndows 7 Ultimate 64 bit il risultato è:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.ne

device: opened successfully
user: MBR read successfully
kernel: error reading MBR

Significa che il bootkit è presente o no?

Magari non c'entra nulla ma mi chiedo.. non è che Mbr.exe rileva come bootkit anche i loader per craccare Windows, dato che si annidano come i rootkit?

[Neo123]

Mi rimane la perplessità sul fatto di dover arrivare allo zero filling del disco per eliminare un bootkit dall'MBR. Molte suite di partizionamento hanno la funzione di ripristino dell'MBR alle condizioni standard, comprese suite di imaging del disco come Acronis True Image usato da CD di boot. Agiscono su tutti i dischi collegati e riconosciuti dal controller e quindi senza perdita di dati.

DVD Seven: bootrec /fixmbr bootrec /fixboot

[/quote]

Anch'io continuo a chiedermi se non sarebbe più semplice avendo fatto preventivamente un immagine del disco con per es. TrueImage ripristinare direttamente togliendo ogni problema anche sul MBR

[sondlive07]

come ho avuto modo di dire dovrei ripristinare un pc acer, e vorrei verificare se tale infezione sia presente, allora se ho capito bene
prima lancio mbr.exe e vedo che risultato da e poi con nod32 ?
oppure se il risultato di mbr.exe è pulito posso gia stare tranquillo senza dovere usare per forza nod ?

una volta fatto questo posso ripristinare tramite la partizione nascosta il pc?

p.s.se ho capito bene il ripristino tramite tale partizione non elimina l'infezione(prima bisogna agire con le regole dell'articolo) giusto ?

[vraptus]

Grande articolo, chiaro, particolareggiato... in una parola ottimo! Complimenti!

[crazy.cat]

se il risultato di mbr.exe è pulito posso gia stare tranquillo

Ti sei già dato la risposta da solo.

[1di9]

Ti da questo errore perché hai avviato il programma come utente standard e non come amministratore, per un corretto avvio del programma tastro destro sul programma mbr.exe e avvia come amminstratore.Fammi sapere.

Ho eseguito cmd con i diritti di amministratore e poi ho lanciato mbr.exe....che poi è la stessa cosa....

[Uomo_Senza_Sonno]

Vi ringrazio tutti quanti, ho solo cercato di fare del mio meglio
Ho visto che ci sono alcune domande, vedo se riesco a sciogliere alcuni dubbi:

ho fatto le prova con mbr.exe su tutti i 4 hd che ho nel pc, ed il log uscito (uguale per tutti e 4) è questo:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 1 !
copy of MBR has been found in sector 62 !

vedo che nel mio log, ci sono 2 voci in più di quello che hai messo di esempio nell'articolo, è normale?
avendo letto attentamente l'articolo, mi pare di capire che nel mio pc di questi bootkit, non ce ne siano.
un'ultima domanda, nel caso volessi fare una scansione con bootkit remover, sapendo od immaginando che non ci siano infezioni, ma solo per un controllo, oltre ad avere un eventuale mancato caricamento del sistema operativo, che non è difficile ripristinare, ci potrebbero essere altre controindicazioni?
grazie

@caper

nel tuo caso l'infezione non è da bootkit, ma da mbr rootkit. La procedura di rimozione è differente, e parecchio più complicata. Il consiglio è di seguire questa discussione dal principio e di leggerti attentamente soprattutto questo post. Se ci sono problemi, risolviamo insieme

Mi chiedo però una cosa, se avendo fatto un immagine della partizione o dell'intero disco infetto precedentemente all'infezione, avvio un ripristino dell’immagine selezionando anche l'mbr e il boot, in questo modo sovrascrivera' tutto anche l'infezione?
E un'altra cosa se dopo aver eliminato l’infezione usando il bootkit remover invece di ripristinare subito il boot ripristino l'immagine pulita del sistema che succede e' la stessa cosa?

Ho anche letto su internet che con la zerofilling in realtà al contrario della formattazione a basso livello l'mbr e la struttura in genere non viene modificata anche se si perdono comunque i dati e' vero?
Potreste per favore allegare all'articolo qualche utility per effettuare una formattazione a basso livello o questa zerofilling o e' meglio usare le varie utility delle prese dai rispettivi siti dei produttori tipo seagate SeaTools ecc. ?
Grazie :)

@neo123
Non è detto che procedendo come indicato riesci a rimuovere l'infezione: la componente rootkit nasconde una parte del codice di installazione in settori normalmente non raggiungibili dal filesystem, e quindi anche dal sistema operativo e dai relativi tools, e quindi è probabile che anche ripristinando l'immagine pulita rimani sempre infetto.
Per quanto riguarda lo zerofilling, impartendo un comando del genere azzeri tutti i settori del disco rigido, dal settore 0 al settore n (l'ultimo settore del tuo disco rigido). Non c'è assolutamente modo di recuperare i dati ed è come avere un disco vergine. Una volta impartito il comando, dovrai ripartire dalla formattazione del filesystem.
In tutti i casi, per lo zerofilling ho scritto come procedere nell'articolo, per la formattazione a basso livello è meglio utilizzare le utility dei rispettivi produttori, come giustamente ti ha già indicato crazy.cat

Mi rimane la perplessità sul fatto di dover arrivare allo zero filling del disco per eliminare un bootkit dall'MBR. Molte suite di partizionamento hanno la funzione di ripristino dell'MBR alle condizioni standard, comprese suite di imaging del disco come Acronis True Image usato da CD di boot.

@Gingo
Magari fosse così semplice. La componente rootkit, come ho detto prima, inserisce il codice di installazione in settori del disco normalmente non utilizzati dal filesystem, e quindi dal sistema operativo. Di conseguenza, ripristinando solo l'mbr e non assicurandosi di aver eliminato anche il codice di installazione facciamo un lavoro inutile.

La differenza di interpretazione è un cambiamento dovuto alla versione di mbr.exe (prima era la 0.2.4 adesso è la 0.3.7) oppure possiamo considerare inutile questo tool ai fini della rilevazione di questa nuova infezione?

@CUB3
il fatto che questo tool non legga l'mbr è un sintomo di infezione, a prescindere dalla sua versione. La differenza sta nel fatto che un mbr rootkit viene identificato tranquillamente (anche se a questo punto dovranno sviluppare il tool in modo tale che legga anche il codice a 64bit) e indica con precisione dove risiede l'infezione. Non essendo progettato anche per rilevare bootkit, identifica qualcosa ma non è in grado di capire cosa sia. Il modo per verificare la presenza di eventuali bootkit è utilizzare lo stesso bootkit remover che prontamente leggerà lo stato dell'mbr. Se riconosce la struttura, è tutto ok. Altrimenti, c'è qualcosa che non va.

Lanciando mbr.exe in WIndows 7 Ultimate 64 bit il risultato è:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.ne

device: opened successfully
user: MBR read successfully
kernel: error reading MBR

Significa che il bootkit è presente o no?

@1di9
quando ho rilevato la presenza mbr mi dava un errore nella lettura user, e non kernel. Se è presente qualcosa, o avete il sospetto, utilizzate il bootkit remover anche solo per verificare la lettura dello stato dell'mbr. E poi la presenza di questa tipologia virale presenta altri sintomi, come elencati nell'articolo.

come ho avuto modo di dire dovrei ripristinare un pc acer, e vorrei verificare se tale infezione sia presente, allora se ho capito bene
prima lancio mbr.exe e vedo che risultato da e poi con nod32 ?
oppure se il risultato di mbr.exe è pulito posso gia stare tranquillo senza dovere usare per forza nod ?

una volta fatto questo posso ripristinare tramite la partizione nascosta il pc?

p.s.se ho capito bene il ripristino tramite tale partizione non elimina l'infezione(prima bisogna agire con le regole dell'articolo) giusto ?

@sondlive07
Se devi verificare, utilizza direttamente il bootkit remover per verificare l'integrità dello stato dell'mbr. Comunque, i sintomi sono più evidenti, come descritto nell'articolo. Mbr.exe e nod32 li puoi usare come verifica finale, ma se già il primo di genera un log pulito puoi stare tranquillo.

[sondlive07]

@sondlive07
Se devi verificare, utilizza direttamente il bootkit remover per verificare l'integrità dello stato dell'mbr. Comunque, i sintomi sono più evidenti, come descritto nell'articolo. Mbr.exe e nod32 li puoi usare come verifica finale, ma se già il primo di genera un log pulito puoi stare tranquillo.

se il risultato di mbr.exe è pulito posso gia stare tranquillo

Ti sei già dato la risposta da solo.

[zed_711]

Non mi pare che mbrwizard sia da ignorare per ripristinare l'mbr.
Comunque grazie per l'attenzione

[Uomo_Senza_Sonno]

Non mi pare che mbrwizard sia da ignorare per ripristinare l'mbr.
Comunque grazie per l'attenzione

Ovvio. Se devi ripristinare solo l'mbr. In questo caso è meglio utilizzare il tool presente nell'articolo perché come ho scritto nei post precedenti

@Gingo
Magari fosse così semplice. La componente rootkit, come ho detto prima, inserisce il codice di installazione in settori del disco normalmente non utilizzati dal filesystem, e quindi dal sistema operativo. Di conseguenza, ripristinando solo l'mbr e non assicurandosi di aver eliminato anche il codice di installazione facciamo un lavoro inutile.

[caper]

nel tuo caso l'infezione non è da bootkit, ma da mbr rootkit. La procedura di rimozione è differente, e parecchio più complicata. Il consiglio è di seguire questa discussione dal principio e di leggerti attentamente soprattutto questo post. Se ci sono problemi, risolviamo insieme

grazie per la tua risposta, se non sbaglio questo era riferito al mio log...proprio una "bella" notizia che sono infetto da questo mbr rootkit che nemmeno so cos'è e cosa provoca.
a dire il vero io di rallentamenti o altre cose strane nel pc non ne vedo, ma forse questo rootkit provoca altre rogne che io non noto.
ho letto quel post e scaricato HxD, ma da come vedo la guida, francamente per me è molto difficile e poi ho 2 hd con sistema operativo installato ( xp e win7) e quelli se faccio la procedura di pulitura e mi si cancella tutto, al massimo reinstallo....ma sugli altri 2 ho oltre 500 gb di dati importanti, musica, film, programmi ecc cose che non mi posso permettere di perdere, e che se le perdo facendo la procedura di pulitura...beh ti lascio immaginare.
vorrei chiederti, supponiamo che comprassi un hd nuovo, e copiassi tutti i miei dati su quello (per poi pulire gli altri hd in sicurezza), verrebbe copiato anche quel rootkit sul nuovo hd?
se mi potessi dare qualche insegnamento per liberarmi del rootkit senza perdere i dati (se questo è possibile), te ne sarei molto grato.
grazie mille.

[Neo123]

Grazie Uomo_Senza_Sonno per avermi tolto alcuni dubbi che avevo.
Quindi attualmente per fortuna non ho il sistema infetto, ma se (speriamo mai) dovessi avere problemi a quanto ho capito dalla guida dovrei prima fare un backup su un altro hd collegandolo al pc spento e facendo il boot magari da cd/dvd con per es. Acronis true image fare il backup che in questo modo non porterà con se anche il virus e dopo naturalmente scollegare l'hd e ripartire dentro windows ed effettuare la pulizia, e alla fine ripristinare l'immagine del backup.
Spero di aver capito bene
Grazie ancora ciao :)

P.S.
la parte finale del post precedente effettivamente era la stessa a cui crazy.cat mi aveva già risposto, scusate volevo editare il post ma ho visto che non e' possibile farlo
Scusate anche per il post un po’ contorto ma penso si capisce.

[Uomo_Senza_Sonno]

vorrei chiederti, supponiamo che comprassi un hd nuovo, e copiassi tutti i miei dati su quello (per poi pulire gli altri hd in sicurezza), verrebbe copiato anche quel rootkit sul nuovo hd?
se mi potessi dare qualche insegnamento per liberarmi del rootkit senza perdere i dati (se questo è possibile), te ne sarei molto grato.

Meglio aprire una discussione a parte per risolvere definitivamente. Ma cosa importante è che eseguendo una copia di backup sotto windows infetteresti il disco appena acquistato. In questo frangente sono molto utili i live cd Gnu/linux, dove questi rootkit non trovano terreno fertile per duplicarsi, e quindi è possibile eseguire un backup in tutta sicurezza.

Non è detto che si debba agire con procedimenti estremi, prima eseguiamo dei controlli disco per disco e poi vediamo come rimuovere senza perdere nulla.

[caper]

Meglio aprire una discussione a parte per risolvere definitivamente.

Ho aperto una nuova discussione sul forum, sezione sicurezza, spero che mi puoi aiutare.
Grazie infinite.

[sexirutto]

ciao ragazzi, per pura curiosità ho fatto il test con mbr.exe e questo è il risultato:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

invece stamattina alla voce user mi dava:
User: error reading MBR

che vuol dire? sono infetto e poi dopo no? vi spiego,mentre scrivevo il messaggio si è bloccato il pc, mi è uscito dtws.exe ed ho dovuto fare reset, allora ho rilanciato mbr.exe è mi è uscito pulito,e ora che devo pensare???

io ho l'HD partizionato,come primo sistema ho ubuntu 10.04 e poi xp, non è che il programma funziona male sui sitemi partizionati?? o è il firewall che bloccava qualcosa?? io ho pc tool firewall plus.
l'hd è a posto perché tempo fa ho fatto una scansione con hd tune profonda ed errori non ne ho, che mi suggerite???

[Uomo_Senza_Sonno]

L'errore che hai registrato probabilmente è dovuto a qualche restrizione generata dal firewall, ma niente di più. Per un maggior controllo di questa tipologia virale puoi sempre utilizzare il bootkit remover solo per leggere lo stato dell'mbr. Ma se non presenta i sintomi descritti nell'articolo puoi stare tranquillo.

Se l'mbr fosse davvero infetto allora avresti altri problemi, più evidenti e seri.

[sexirutto]

e con bottkit remover come faccio a sapere se lo stato è ok? ad esempio poco fa ho fatto una prova con mbr.exe e la voce user mi è ritornata su error, poi al riavvio il firewall mi ha chiesto di far caricare i driver di mbr e mi ha dato esito positivo.

[Uomo_Senza_Sonno]

Quando lo lanci si apre una finestra, troverai delle informazioni sullo stato dell'mbr. Se riconosce il filesystem e il rispettivo sistema operativo, non hai di che preoccuparti, altrimenti è necessario effettuare qualche controllo. Comunque, se è presente questo tipo di virus nel tuo pc, dovresti avere anche altri malfunzionamenti.