www.MegaLab.it

[sondlive07]

siccome è uscita la nuova versione di spybot ho deciso di provarla per un po;
dopo aver scaricato il programma e dopo averlo aggiornato provo a vedere le varie opzioni , una in particolare suscita il mio interesse ossia la scansione rootkit , questo solo per pura curiosità !

faccio la scansione dove prima vengo avvisato di non toccare nulla in quanto questo può influire con la scansione stessa.
subito dopo spybot mi dice di aver trovato un rootkit e precisamente in mbr dal nome physicaldrive0:

allora il programma mi dice se voglio scansionare in profondità il pc ed io proseguo .alla fine il risultato è questo :

le voci di microsoft riguardante office riguardano la versione trial di valutazione che ti esce con il pc . e in questo momento il mio pc ( vista hm sp2 32 bit ) è stato appena ripristinato ( file immagine ) tramite il programma della samsung ( recovery )
---

non contento voglio andare fino in fondo allora inizio a scansionare con:
avast 7 ( impostazione di default - scansione in avvio ) = negativa ( niente infezioni )
mban ultima versione ( aggiornamento database ) = negativa
superantispyware ultima versione ( aggiornamento database ) = negativa
hitman pro = negativa

poi ho fatto le scansioni con mbr.exe :
il comando ( in esegui ) C:\mbr.exe -t mi da questo :

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: SAMSUNG_ rev.2AC1 -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll
C:\Windows\system32\DRIVERS\iaStor.sys Intel Corporation Intel Matrix Storage Manager driver
1 nt!IofCallDriver[0x8245B11B] -> \Device\Harddisk0\DR0[0x862C8AC8]
3 CLASSPNP[0x8AAAE8B3] -> nt!IofCallDriver[0x8245B11B] -> \Device\Ide\IAAStorageDevice-1[0x849F0028]
kernel: MBR read successfully
user & kernel MBR OK

invece il comando C:\mbr.exe -f mi da questo risultato :

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: SAMSUNG_ rev.2AC1 -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

poi ho fatto una scansione con aswmbr di avast dove il risultato è questo :

17:11:59.367 Initialize success
17:12:00.023 AVAST engine defs: 12112600
17:12:18.056 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
17:12:18.056 Disk 0 Vendor: SAMSUNG_ 2AC1 Size: 305245MB BusType: 3
17:12:18.072 Disk 0 MBR read successfully
17:12:18.072 Disk 0 MBR scan
17:12:18.087 Disk 0 unknown MBR code
17:12:18.103 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 13312 MB offset 2048
17:12:18.119 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 148569 MB offset 27265024
17:12:18.150 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 143362 MB offset 331534336
17:12:18.150 Disk 0 scanning sectors +625139712
17:12:18.228 Disk 0 scanning C:\Windows\system32\drivers
17:12:28.945 Service scanning
17:12:46.885 Modules scanning
17:12:52.875 Disk 0 trace - called modules:
17:12:53.406 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll
17:12:53.406 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x862c8ac8]
17:12:53.421 3 CLASSPNP.SYS[8aaae8b3] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x849f0028]
17:12:53.936 AVAST engine scan C:\Windows
17:12:55.761 AVAST engine scan C:\Windows\system32
17:15:06.365 AVAST engine scan C:\Windows\system32\drivers

la voce ''Disk 0 unknown MBR code'' è anomala ?

anche la scansione con catchme.exe è risultata negativa :

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-11-26 17:33:12
Windows 6.0.6002 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

---
per togliere eventuali dubbi dopo aver disinstallato avast ho scaricato la versione trial di nod 32 ( eset smart ) .
la successiva scansione totale ( memoria mbr ect ) non ha trovato nulla.
---
alla fine ho rifatto la scansione ( non rootkit ) normale di spybot e non ha trovato niente di rilevante( solo qualche cookie e traccie di navigazione)
---------
altri consigli ?
-----
a questo punto che devo pensare che sono infetto e tutti i programmi che ho usato non riescono a trovare nulla , oppure spybot è leggermente brillo ?

[Uomo_Senza_Sonno]

la voce ''Disk 0 unknown MBR code'' è anomala ?

In questo caso no, è sicuramente dovuta ad un'inizializzazione del disco effettuata con programmi di terze parti. Attenzione, spybot ha rilevato un differente MBR, non ha detto che sia infetto: questo è infatti confermato dai controlli che hai effettuato, e che hanno dato risultato negativo.

Altra cosa, Physicaldrive0 non è il nome di un rootkit, ma questa dicitura si impiega per identificare il disco fisico (l'hard disk in sé), lo 0 indica il disco di avvio.

[crazy.cat]

oppure spybot è leggermente brillo ?

Come ho scritto in fondo all'articolo, e come si legge anche nella schermata del programma,
"non è detto che tutto quello che è stato rilevato sia per forza un rootkit."
Se guardi anche la mia foto, vedi che ho anche io mbr compromessi secondo lui.

[sondlive07]

In questo caso no, è sicuramente dovuta ad un'inizializzazione del disco effettuata con programmi di terze parti. Attenzione, spybot ha rilevato un differente MBR, non ha detto che sia infetto: questo è infatti confermato dai controlli che hai effettuato, e che hanno dato risultato negativo.

Altra cosa, Physicaldrive0 non è il nome di un rootkit, ma questa dicitura si impiega per identificare il disco fisico (l'hard disk in sé), lo 0 indica il disco di avvio.

grazie per la risposta.
io siccome uso da anni questo prodotto ( che ho sempre considerato uno dei migliori ) ho ritenuto attendibile il suo avvisarmi di un anomalia.
perciò mi sono detto meglio essere sicuri.....

oppure spybot è leggermente brillo ?

Come ho scritto in fondo all'articolo, e come si legge anche nella schermata del programma,
"non è detto che tutto quello che è stato rilevato sia per forza un rootkit."
Se guardi anche la mia foto, vedi che ho anche io mbr compromessi secondo lui.

scusami crazy ma ho letto solo oggi il tuo articolo, e come ho detto anche sopra ho dato per scontato l'avviso di spybot