www.MegaLab.it

[dario-vr]

Ciao ho un problema con il settore mbr, risulta infetto e nonostante i vari tools proposti (gmer - cmd.mbr.exe -f - combofix - prevx - norman - mbr removal symantec ---ect) non sono riuscito a debellarlo totalmente.
Ecco che allora avrei voluto ripulire il settore con un ripristino da windows cd, ma non trovo più il cd!!! ho fatto trasloco da poco e chissà dove è confinato.

Cercando in rete ho trovato questo:
http://www.ilbloggatore.com/2009/02/26/ ... indows-xp/

Qualcuno sa come usarlo? oppure ha qualche altra soluzione da propormi per sistemare mbr???

[stevens]

ciao

hai provato col comando C:\mbr.exe -f ??

[dario-vr]

ciao

hai provato col comando C:\mbr.exe -f ??

Certo. Sia in modalità normale che provvisoria.

[stevens]

prova a far girare questo da provvisoria

http://download.norman.no/public/Norman ... leaner.exe

cliccca su Accept e poi Start Scan - alla fine della scansione generera' un log sul desktop come NFix_2008-MM-GG_hh-mm-ss.log

[Mandrake]

hai pulito per bene il pc da ogni infezione prima di sistemare l'mbr?

[dario-vr]

hai pulito per bene il pc da ogni infezione prima di sistemare l'mbr?

Ciao... penso o meglio credo di sì.
Ho fatto girare Avira Premiun (anche da rescue cd), Malawarebytes (mod.normale e provvisoria), Spybot e una scansione online co Karpersky

perché potrebbe esserci ancora qualcosa nascosto che non mi permette di sistemare l'mbr con il comando mrb.exe -f ?

[dario-vr]

prova a far girare questo da provvisoria

http://download.norman.no/public/Norman ... leaner.exe

cliccca su Accept e poi Start Scan - alla fine della scansione generera' un log sul desktop come NFix_2008-MM-GG_hh-mm-ss.log

Stevens grazie ma ho già fatto anche questo.
Mi è rimasto solo il comando da cd Windows fix.mbr che però non riesco a fare perché come ho scritto non trovo più il cd

[stevens]

perché potrebbe esserci ancora qualcosa nascosto che non mi permette di sistemare l'mbr con il comando mrb.exe -f ?

a volte anche se l'infezione e' stata eliiminata ti fa' vedere che e' ancora nel pc anche se non c'e' piu' niente

prova a fare una scansione da provvisoria con

ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
scegli la scansione completa

[dario-vr]

ok stevens proverò anche questa, grazie.
E se drweb.cureit non trovasse niente?

Combofix , Systemscan , mbr.exe lo segnalano ancora infetto
Mentre Norman cleaner e Gmer no.

[stevens]

E se drweb.cureit non trovasse niente?

vuol dire che il pc e' pulito

installa un buoa antivirus(avira) e un buon firewall- non hai che l'imbarazzo della scelta

dai un'occhiata qui nel sito

[dario-vr]

E se drweb.cureit non trovasse niente?

vuol dire che il pc e' pulito
COME FAI A DIRE QUESTO?

installa un buoa antivirus(avira) e un buon firewall- non hai che l'imbarazzo della scelta

dai un'occhiata qui nel sito

Su questo non ci piove!
L'infezione l'ho presa circa 15 giorni fa usando Z.A. Internet Security.
Mai più!!!

Ora sto aprofittando dei tre mesi offerta da Avira
Dunque come antivirus uso Avira Premiun e mi piace molto!
Poi come firewall Pc Tools Firewall Plus free.
Come programma Hips uso ThreatFire della Pc Tools (ho letto da qlc parte tempo fa che Crazycat è rimasto bene impressionato da questo prodotto mentre testava Pc Tools Internet Security, non dell'antivirus però)
Malaware Bytes come scansioni on demand
Infine Spyware Blaster e Spybot (solo come immunizzazione)

[stevens]

COME FAI A DIRE QUESTO?

dopo tutte le scansioni che hai fatto se c'era qualcosa usciva fuori no?

prova di nuovo >>>>>>>>> clicca su start => esegui => digita: c:\mbr.exe e postalo qui

[crazy.cat]

Come programma Hips uso ThreatFire della Pc Tools (ho letto da qlc parte tempo fa che Crazycat è rimasto bene impressionato da questo prodotto mentre testava Pc Tools Internet Security, non dell'antivirus però)

Della pctools mi piace unicamente il firewall.
Se non mi sono rinco... di ThreatFire non dovrei averne mai parlato bene.

[dario-vr]

Come programma Hips uso ThreatFire della Pc Tools (ho letto da qlc parte tempo fa che Crazycat è rimasto bene impressionato da questo prodotto mentre testava Pc Tools Internet Security, non dell'antivirus però)

Della pctools mi piace unicamente il firewall.
Se non mi sono rinco... di ThreatFire non dovrei averne mai parlato bene.

Sorry Crazy mi sono espresso male!
Intendevo dire che del pacchetto Internet Security la sola parte per cui hai avuto un giudizio positivo (oltre al firewall ovviamente) era la funzione Intelliscan Intelliguard che nel pacchetto sono integrate con l'antivirus e antispyware ma molte di quelle funzioni si trovano appunto in ThreatFire.
Sorry tranquillo no te si rinco! ancora no.

Invece di prendertela per quello che ho scritto perché non mi dai qualche dritta in proposito?

[dario-vr]

COME FAI A DIRE QUESTO?

dopo tutte le scansioni che hai fatto se c'era qualcosa usciva fuori no?

prova di nuovo >>>>>>>>> clicca su start => esegui => digita: c:\mbr.exe e postalo qui

Sì ma le scansioni che ho fatto non facevano altro che riportarmi
malicious code in mbr

mbr.exe -f
l'ho fatto decine di volte e sempre col medesimo risultato:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x022EEAD41
malicious code @ sector 0x022EEAD44 !
PE file found in sector at 0x022EEAD5A !

[stevens]

ciao

ma la scansione con cureit l'hai fatta? mi posti il suo log?

esegui questi tool e controlla se rile vano infezioni


http://www.prevx.com/freescan.asp



http://www.trendmicro.com/download/rbuster.asp

[dario-vr]

Adesso sto lavorando, provo più tardi e seguo i tuoi consigli, grazie stevens

[dario-vr]

perché potrebbe esserci ancora qualcosa nascosto che non mi permette di sistemare l'mbr con il comando mrb.exe -f ?

a volte anche se l'infezione e' stata eliiminata ti fa' vedere che e' ancora nel pc anche se non c'e' piu' niente

prova a fare una scansione da provvisoria con

ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
scegli la scansione completa

Ti scrivo da un altro pc finchè faccio la scansione con drweb in provvisoria.
Ma quanto dura? sta ancora facendo la scansione rapida da 20 minuti più o meno.
Poi in successione passo, anzi ripasso visto che già lo avevo fatto Prevx e poi il tool della Trend Micro?
Questi ultimi due in modalità normale o provvisoria?

[stevens]

ciao

esegui tutto da provvisoria

[dario-vr]

Senti stevens dato il tempo veramente lungo con cui esegue la scansione radida dr.web se non trovasse nulla che dici devo proprio farlo girare di nuovo in completa? la cosa mi spaventa.


se invece procedo con gli altri due tool?


Ti aggiorno attraverso il portatile: dr.web scansione rapida 1 ora 4o minuti e no ha trovato niente.
Ho provato a lanciare in modalità provvisoria RootkitBuster Trend Micro ma non va!
Lo ho lanciato adesso in normale e già senza aver terminato la scansione mi segnala più di 60 hidden !!!
Poi bisogna vdere di che si tratta, per ora non cancello nulla ma posto il log qui quando ha finito.