www.MegaLab.it

[manero478]

ti ringrazio faro' cosi...

e ti chiedo scusa se ti posto qui unulteriore problema che ho avuto ora..dopo che ho fatto degli aggiornamenti.. (mannaggia a me)
ora messanger live il 2009 non si apre piu e mi da' errore
80070005
ho gia letto qualcosa sulla rete tutti piu o meno cosi:

* eseguire il comando DCOMCNFG dal prompt dei comandi (per aprire la finestra dei component services)
* Espandere l'albero secondo questo percorso: Component services > Computers > My computer > DCOM config
* Selezionare l'applicazione desiderata e andare sule proprietà (facendo click con il pulsante destro del mouse)
* Aprire poi il tab Security e modificare le autorizzazioni di configurazione, accesso, esecuzione e attivazione dell'applicazione scelta
pero' apro component service epando e poi su computer (la prima volta si e' attivato il firewall di windows xp
ho dato autorizzazione...
poi ai succesivi accessi come vado su Computer si chiude l'applicazione...

hao fatto anche questa registrazione : REGSVR32 MSXML3.dll
ma l'errore e' lo stesso...

forse dovrei annulare tutti gli aggiornamenti... che mi puoi consigliare...
grazie per quello che pui fare...
e mi riscuso se l0'ho postato qui...
ciao

[Amantide]

E' meglio che apri una nuova discussione per questo problema, sarà più facile ricevere la risposta giusta

[manero478]

scusami ma devo disturbarti ancora..

ho visto che hai spostato il mio ultimo mess giustamente...
ma non riesco a trovarlo....
mi dici il percorso grazie...

[manero478]

ok...grazie...
allora questo lo pui eliminare....
ciao

[Amantide]

scusami ma devo disturbarti ancora..

ho visto che hai spostato il mio ultimo mess giustamente...
ma non riesco a trovarlo....
mi dici il percorso grazie...

Sarà stato qualche mio collega
Comunque lo trovi guardando tra tutti i tuoi messaggi.

[masterz3d]

Il problema è interessante, vediamo se riesco a capirci qualcosa.
Ti suggerirò delle cose da fare, se ti sembrano baggianate puoi anche lasciar perdere.

Hai detto che fixmbr non ha avuto successo, l'hai fatto partire ma il trojan è sempre là. Allora significa che c'è qualcos'altro che dà linfa al codice del MBR.
Il MBR (Master Boot Record) è il settore più importante del disco rigido, è il settore 0 (il primo settore), misura 512 byte e al suo interno risiedono il primo stadio del bootloader (446 byte), la tabella di partizione (64 byte), che è la mappatura delle partizioni primarie del disco su cui è fisicamente installato e la signature della tabella di partizione (2 byte, solitamente sempre 55AA per sistemi PC). Adesso io ti chiedo: come hai partizionato il disco? L'hai partizionato con Windows? Come l'hai diviso?

Prova intanto a far fare una deframmentazione al disco infetto. Dopo la deframmentazione prova a fargli fare un controllo del disco con scandisk. Il trojan non ha bisogno di filesystem per vivere, e quindi non lo puoi nè vedere nè cancellare. Sembrano stupidate, ma se facciamo lavorare il disco c'è una probabilità che il settore infetto (0x02546841, con 25 byte di dimensione) venga sovrascritto. Se ho ragione, e i settori infetti vengono sovrascritti, sovrascriverai il rootkit, e tanti saluti. Poi, senza riavviare il sistema rifai fixmbr e mbr.exe -f.

Se così non funziona si potrebbe provare un wiper (magari freeware) per ripulire lo spazio non utilizzato da file. Devo andarlo a cercare e poi lo posto qui.

In Linux starei un attimo a risolvere la cosa, qua devo andare un po' a tentoni...

[manero478]

per ora ti ringrazio... e faccio le prove che mi hai detto....
non sono baggianate... anche se devo dire che ho gia' provato....
l'unica cosa e che non ho fatto l'mbr subito dopo... boh! vediamo... ;)
e ti faccio sapere...
Si inizialmente partizionato con WINDOWS all'installazione .. e ho una sola partizione... (C:\ e' disco unico)
l'unica cosa come ho gia' detto, non so' se c'entra qualcosa, avevo e ho problemi sul disco..
cioe' mi succede che copio dei file da una dir ad un'altra e i file non si leggono piu'..come anche con cartelle intere...
Cosi dietro vostre indicazioni ho fatto un cd con UBCD ULTIMATE 4 (linus) e ho rimosso le cartelle e i file che non riuscivo a
cancellare normalmente.. poi stavo provando a fare anche il defrag... ma l'ho interrotto.-...
alla normale ripartenza... il sistema non ripartiva...
così ho fatto il ripristino da cd per non perdere nulla e tutto e' tornato funzionante...
(ora quando mi succedono sti prob..perche ancora succedono anche se piu radi... parto col megalabcd
cancello i file o le cartelle..(perche non si possono toccare).. poi con l'utility del recupero file li riprendo, mandandoli su un'altro disco e i file ritornano accessibili...(che casino..hahaha))
......
poi se nel frattempo hai trovato quanto detto....(viper)
Faremo anche quello....
Spero comunque che alla fine di questa cosa...si sia risolto..
ciao

[manero478]

scusami se ancora non ti ho postato nulla..ma nel frattempo credendo di migliorare la situazione..
ho installato il SP£ da windows update.... ma
e' successo che live messangernon parte piu'...(vedi post err 80070005 di live messanger ... sempre mio)
ora faccio il ripristino di sistema..
e poi i test...
scusa...ma sto andando sempre piu nel pallone...
perche' e' inconcepiblile che facendo degli aggiornamenti dal window update microsoft
e si creano problemi ..invece di risolverli....

ciao

[manero478]

allora fatto defrag, scandisk e MBR -f

queto e' il log

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x02546841
malicious code @ sector 0x02546844 !
PE file found in sector at 0x0254685A !

e lui sta sempre li...

ciao

[masterz3d]

Il settore infetto è sempre là, allora dobbiamo passare al wipe dello spazio libero. Se hai fatto defrag potrebbe essere ragionevole pensare che la zona dove si trova il settore infetto potrebbe essere libera.

Possiamo provare a usare UltraWipe.
Lo installi, lo apri, fai clic su "Advanced Functions", selezioni il disco in cui sta il rootkit, fai clic su "Wipe free space" e premi OK. Ci starà un po' di tempo ma vediamo quello che succede.

Se non funziona neanche così ho un asso nella manica, ma è difficile da usare e potresti fare danni, sto parlando dell'editing manuale dei settori del disco.

[dario-vr]

Il settore infetto è sempre là, allora dobbiamo passare al wipe dello spazio libero. Se hai fatto defrag potrebbe essere ragionevole pensare che la zona dove si trova il settore infetto potrebbe essere libera.

Possiamo provare a usare UltraWipe.
Lo installi, lo apri, fai clic su "Advanced Functions", selezioni il disco in cui sta il rootkit, fai clic su "Wipe free space" e premi OK. Ci starà un po' di tempo ma vediamo quello che succede.

Se non funziona neanche così ho un asso nella manica, ma è difficile da usare e potresti fare danni, sto parlando dell'editing manuale dei settori del disco.

Se guardi il mio post, la cosa interessa pure a me!
Ho già fatto defrag e scan disk, che faccio vi seguo?

[masterz3d]

Prima prova a fare quello che ti ha detto stevens qui. Poi, se nessun altro metodo ha avuto successo prova a usare UltraWipe.

Il tuo disco rigido è da 300GB?

[dario-vr]

Sì perché?

[masterz3d]

copy of MBR has been found in sector 0x022EEAD41

0x022EEAD41 settori (esa) equivale a 586067265 settori (decimale), moltiplicato per 512 che sono i byte in un settore equivale a 300066439680 byte, ovvero 300GB. Ho visto che questo rootkit, quando sta fuori dall'MBR, tende ad annidarsi in settori prossimi alla fine del disco.

E facendo due conti ho notato che occupa sempre 25 settori.

copy of MBR has been found in sector 0x02546841
malicious code @ sector 0x02546844 !
PE file found in sector at 0x0254685A !

254685Ah - 2546841h = 19h = 25d

copy of MBR has been found in sector 0x022EEAD41
malicious code @ sector 0x022EEAD44 !
PE file found in sector at 0x022EEAD5A !

22EEAD5Ah - 22EEAD41h = 19h = 25d

E adesso che mi ci fai pensare, se sta fuori dal filesystem UltraWipe non può fare nulla, e dovrò pensare a qualcos'altro.

Mh, m'è venuta un'idea, però devo trovare il tool giusto.

Errata: non 25 byte, ma 25 settori. Quindi, 12800 byte in tutto.

[dario-vr]

Aspetto con impazienza.

ho fatto anche questo poco fa:
allora mi sono portato un Cd di XP dall'ufficio visto che il mio sembrava danneggiato e il lettore non lo leggeva più
Ho lanciato la procedura della consolle di ripristino con il comando R

poi fixmbr

ma a questo punto mi è usicto un messaggio che più o meno diceva che il settore di avvio è sconosciuto o qualcosa del genere e mi consigilava di non proseguire pena il rischio di danneggiamenti alle partizioni con conseguente non regolare avvio di Windows

io ho digitato più volte Y
e più volte mi veniva chiesto continuare??
fino a quando invece ho messo N e sono ritornato alla consolle uscendo poi con il comando exit

e dunque non ho risolto niente!

[masterz3d]

Allora, per il momento non usare fixmbr. Prova a usare UltraWipe per il momento, fagli fare tutto il wipe fino in fondo. Poi rifai mbr.exe -f e fixmbr, in quest'ordine.

Se fixmbr ti fa la stessa cosa che ti ha fatto prima esci e rifai mbr.exe -f un'ultima volta. Se non funziona torna qui. E soprattutto dimmi se i settori infettati cambiano.

[dario-vr]

Ciao ora sto eseguendo le procedure suggeritemi da stevens e non so per quanto ne avrò.
Probabilemnte per tutta la serata-notte visto il tempo che impiega in modaltà provvisoria dr.web

Di certo ti posso dire che avendo più volte fatto mbr.exe -f i settori cambiano perché vedevo sempre numeri diversi.
cosa potrebbe voler dire?
poi mbr.exe -f normale o provvisoria? finora li ho fatti in entrambi i modi.
e fixmbr intendi da cd consolle di ripristino vero?

[masterz3d]

fixmbr intendi da cd consolle di ripristino vero?

Si.

i settori cambiano perché vedevo sempre numeri diversi.

Fai delle prove e postamene qualcuno, devo fare due conti.

mbr.exe -f normale o provvisoria? finora li ho fatti in entrambi i modi.

Mh, forse è meglio ficcare mbr.exe in un floppy e vedere se riesci a farlo partire da console di ripristino. Ma mi sa che anche in questo caso Windows monta le partizioni; e il kernel legge sempre il MBR prima di montare qualche cosa, perché il sistema operativo deve sapere dove sono le partizioni e quanto sono grandi... e la frittata è fatta.

Ciao ora sto eseguendo le procedure suggeritemi da stevens e non so per quanto ne avrò.
Probabilemnte per tutta la serata-notte visto il tempo che impiega in modaltà provvisoria dr.web

Non è un problema. E' che questa cosa è interessante e un paio di trucchetti li ho ancora in serbo.

[dario-vr]

fixmbr intendi da cd consolle di ripristino vero?

Si.

i settori cambiano perché vedevo sempre numeri diversi.

Fai delle prove e postamene qualcuno, devo fare due conti.

dice che manca la connessione internet!

Non riesco a postare i log di prevx e RootkitBuster, uso wilkisend:
TMRB00001.TXT

log prevx.log

[masterz3d]

I file che hai inviato non mi servono a niente, posta l'output di mbr.exe -f.