www.MegaLab.it

[manero478]

ciao volevo dire comunque che il WDC_WD200BB-00DEA0 e' un disco secondario...
l'ho rifatto stamattina : e:\mbr -f
log:
******
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR
******

ho rifatto anche MBR -f su c:\ ... .. e questo e' il disco dove c'e' il S.O.
e il log e' questo :
******
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6B200M0 rev.BANC1BM0 -> Harddisk1\DR1 -> \Device\Ide\IdeDeviceP2T0L0-17

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 398267415
******
questo e sul disco esterno USB.. G:\
******
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR
******

boooooooooooooooooooooooooooooooooo!

[Uomo_Senza_Sonno]

Manero, ti ricordi la procedura fatta l'anno scorso indicata da Masterz3d? Penso proprio che è il caso di rispolverarla, partendo dal disco del SO

[manero478]

CIAOOOOOOOOOOOOOOOOOO uomo senza sonno...
Sai la riguardavo stamattina... ..
ma davvero credi che si e' reinfettato di nuovo...
anche perche il log mi sembra diverso... (non c'e' la parte dove dice minaccia ecc)
e avira stavolta non lo vede.. mentre l'altra volta lo vedeva anche se non lo toglieva..

comunque devo essere sincero.. ho dato un'occhiata ma credo di averci capito poco...
la riguardero'... ma spero di non combinare casino...
stai nei paraggi

ciao

[Uomo_Senza_Sonno]

Manero, posta il settore 0 del primo disco. Putroppo i rootkit si evolvono, e l'identificazione cambia (in questo caso trovi solo la copia dell'mbr). Poi ti spiego nuovamente come muoverti per rimuoverlo senza errori e problemi di sorta

[manero478]

eccolo... grazieeeeeeeeeeeeeeeeeeeee
http://img26.imageshack.us/i/settore0.jpg/

[Uomo_Senza_Sonno]

Il settore 0 sembra a posto, e la copia dell'mbr è segnalata in un settore che non è presente nel disco...
Vediamo i settori 63, 39086144, 39086145 e 39102336
il settore 398267415 indicato nel log di mbr.exe è di un altro disco oppure è errato; però se controlliamo con l'editor non andiamo incontro ad errori e verifichiamo meglio.

[manero478]

eccolo il 63
http://img530.imageshack.us/i/settore63.jpg/

il 39086144
http://img403.imageshack.us/i/settore39086144.jpg/

39086145 e 39102336 sono vuoti..
...
si infatti quel settore non mi risulta,,,,

ciao

[manero478]

il settore 398267415

l'ho trovato sul disco esterno USB seagate da 500gb

http://img222.imageshack.us/i/settore398267415.jpg/

vedi tu
ciao

[Uomo_Senza_Sonno]

il settore 398267415

l'ho trovato sul disco esterno USB seagate da 500gb

Meglio postare anche i settori 0, 62, 63 di questo disco, da quel poco che ho visto dovremo azzerare i settori esterni alla partizione di questo disco.

Nel primo disco, quello del SO, l'unica cosa che mi sembra strana è la lingua differente negli estremi della partizione, ma può essere dovuta all'installazione di windows; in più non si vedono porzioni di codice all'esterno della partizione e di conseguenza rootkit non ne abbiamo.

Poi porta pazienza perché dovrai postare i settori dell'altro disco, per scrupolo

[manero478]

ma ti pare.. grazie a te della tua pazienza.. ;)

settore 0
http://img651.imageshack.us/i/settore0hdusb.jpg/

settore 62 VUOTO

settore 63

http://img686.imageshack.us/i/settore63hdusb.jpg/

;)

[Uomo_Senza_Sonno]

Di questo disco vediamo il settore 976768064 e 976768065, la cosa che mi sconcerta di più è la totale assenza di mbr. Il disco si legge senza problemi?

[manero478]

si si legge... ( e' possibile che sia PANDA USB vaccine ?... a dare qualche prob..?)

comunque settore 976768064
http://img149.imageshack.us/img149/6659 ... 768064.jpg

settore 976768065 VUOTO

ora devo uscire.. ti leggero piu tardi..
grazie di tutto...

[Uomo_Senza_Sonno]

Non so se PANDA USB vaccine abbia una funzione di azzerare un mbr di un disco non di sistema, quindi non so proprio che dire
Anche in questo disco, esclusa l'assenza di mbr nel settore 0 (ci sono indicati solo gli estremi di partizione e le signature del filesystem), non c'è traccia di rootkit. Nel settore 398267415 sono solo dati.

A questo punto vediamo l'ultimo disco, partendo dal settore 0

[manero478]

rieccomi
non lo so nemmeno io... del PANDA ;)
speriamo che FDAC che me lo ha fatto usare.. sappia e ci dica qualcosa...

ecco il settore 0 del disco secondario da 20gb

http://img42.imageshack.us/img42/4623/s ... ndario.jpg

ciao.. e buona cena...

[Uomo_Senza_Sonno]

Posta i settori 62, 63, 398267414, 398267415 (alla fine l'abbiamo trovato) e 398297088, questo è probabilmente infetto

Buona cena anche a te

[manero478]

allora c'e' ufff..
comunque ecco i settori ..
allora 62 : VUOTO

settore 63 :
http://img258.imageshack.us/img258/6471/settore63ii.jpg

settore 398267414
http://img151.imageshack.us/img151/1847 ... 7414ii.jpg

settore 398267415
http://img9.imageshack.us/img9/6411/set ... 7415ii.jpg

settore 398297088 VUOTO..

a dopo..

[Uomo_Senza_Sonno]

Ok procediamo con la pulizia. Prima però mi serve il settore 398297088 per postarti gli offset esatti, così non hai più problemi

[manero478]

scusami te l'ho postato.. dicendoti che e' VUOTO
e' proprio l'ultimo settore...
;)

[Uomo_Senza_Sonno]

scusami te l'ho postato.. dicendoti che e' VUOTO
e' proprio l'ultimo settore...

Ok ma tieni presente la parte a sinistra dove ci sono gli offset? Mi serve vedere quelli nell'ultimo settore, che sia vuoto o meno non è importante

[manero478]

ok scusami.. non ne capisco nulla ;)

http://img408.imageshack.us/img408/4392 ... 297088.jpg