Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

MBR corrotto

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

MBR corrotto

Messaggioda yeah782000 » mer ago 25, 2010 3:03 pm

Ciao ragazzi, ho sottomano il portatile di un collega che era infetto da un bel po' di schifezze varie tra cui il falso antivirus 2010, ecc ecc
Ora scansionando a destra e sinistra e seguendo anche le vostre guide sono riuscito a ripulire il sistema. Per lo meno agli "occhi" di Kaspersky, SuperAntiSpyware, Malwarebytes' Anti-Malware, ecc

Quello che non mi convince è il log di mbr.exe, ve lo posto:

Codice: Seleziona tutto
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x0923CA0C !
PE file found in sector at 0x0923CA22 !


Leggendo un po' in rete ho trovato pareri discordanti. A detta di qualcuno l'MBR è OK ma il rootkit ha lasciato qualche danno, comunque sarebbe inoffensivo e si può lasciare così. Da altre parti ho letto che il rootkit starebbe "dormendo" negli ultimi settori del disco e potrebbe infettare eventuali dischi esterni collegati al pc.

Volevo provare il comando fixmbr da console di ripristino ma non vorrei perdere la tabella delle partizioni, devo fare prima un bel backup.

Voi cosa mi consigliate di fare? E sopratutto ... è ancora infetto il pc?

Grazie
Non abbiate paura di accogliere Gesù nella vostra vita (Karol Wojtyla)
Avatar utente
yeah782000
Silver Member
Silver Member
 
Messaggi: 1385
Iscritto il: lun apr 19, 2004 10:06 am

Re: MBR corrotto

Messaggioda Uomo_Senza_Sonno » sab ago 28, 2010 5:54 pm

yeah782000 ha scritto:Da altre parti ho letto che il rootkit starebbe "dormendo" negli ultimi settori del disco e potrebbe infettare eventuali dischi esterni collegati al pc.

Questo è il parere a cui prestare attenzione. E adesso vediamo come rimuovere il rootkit.

1. Segui questa guida per postare gli screenshot dei settori del disco
2. posta i settori 0, 60, 61, 62, 63, 153340425, 153340428 e 153340450

yeah782000 ha scritto:Volevo provare il comando fixmbr da console di ripristino ma non vorrei perdere la tabella delle partizioni, devo fare prima un bel backup.

il comando fixmbr dalla consolle di ripristino non comporta la perdita della tabella delle partizioni, ma ad ogni modo la cosa più sicura è sempre fare un backup preventivo dei dati, utilizzando una distribuzione live di GNU/linux.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: MBR corrotto

Messaggioda yeah782000 » dom ago 29, 2010 8:58 pm

Uomo_Senza_Sonno ha scritto:
yeah782000 ha scritto:Da altre parti ho letto che il rootkit starebbe "dormendo" negli ultimi settori del disco e potrebbe infettare eventuali dischi esterni collegati al pc.

Questo è il parere a cui prestare attenzione. E adesso vediamo come rimuovere il rootkit.


Grazie, domani provo e posto le immagini [:)]
Non abbiate paura di accogliere Gesù nella vostra vita (Karol Wojtyla)
Avatar utente
yeah782000
Silver Member
Silver Member
 
Messaggi: 1385
Iscritto il: lun apr 19, 2004 10:06 am


Re: MBR corrotto

Messaggioda yeah782000 » lun ago 30, 2010 11:44 am

Ecco le immagini dei vari settori:

http://img828.imageshack.us/g/settore153340450.jpg/

Il pc è un notebook Dell 6400 con disco da 80 GB e SO Win Xp Media Center.
Premetto anche che il sistema risulta pulito a KIS 2011, Malwarebytes, SUPERAntiSpyware, ComboFix, HijackThis, ecc

Grazie per l'aiuto [^]
Non abbiate paura di accogliere Gesù nella vostra vita (Karol Wojtyla)
Avatar utente
yeah782000
Silver Member
Silver Member
 
Messaggi: 1385
Iscritto il: lun apr 19, 2004 10:06 am

Re: MBR corrotto

Messaggioda Uomo_Senza_Sonno » lun ago 30, 2010 11:55 am

Per cortesia potresti ripostarle con la finestra di HxD completa? Si deve vedere sia l'inizio che la fine dei settori. Nel frattempo, scarica e masterizza una distribuzione live di GNU/linux, ci servirà per le pulizie.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: MBR corrotto

Messaggioda yeah782000 » lun ago 30, 2010 12:14 pm

Uomo_Senza_Sonno ha scritto:Per cortesia potresti ripostarle con la finestra di HxD completa?

Scusami, procedo subito ... per non sbagliare intendi "completa" come quella postata qui?

viewtopic.php?f=33&t=60102&start=40#p452536

Uomo_Senza_Sonno ha scritto: Nel frattempo, scarica e masterizza una distribuzione live di GNU/linux, ci servirà per le pulizie.


Ok grazie
Non abbiate paura di accogliere Gesù nella vostra vita (Karol Wojtyla)
Avatar utente
yeah782000
Silver Member
Silver Member
 
Messaggi: 1385
Iscritto il: lun apr 19, 2004 10:06 am

Re: MBR corrotto

Messaggioda Uomo_Senza_Sonno » lun ago 30, 2010 12:26 pm

yeah782000 ha scritto:Scusami, procedo subito ... per non sbagliare intendi "completa" come quella postata qui?

Si [^]
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: MBR corrotto

Messaggioda yeah782000 » lun ago 30, 2010 1:37 pm

Eccomi qua .. allora, spero di aver fatto bene le "foto" adesso [:)]

Settore 0

Settore 60

Settore 61

Settore 62

Settore 63

Settore 153340425

Settore 153340428

Settore 153340450

Grazie
Non abbiate paura di accogliere Gesù nella vostra vita (Karol Wojtyla)
Avatar utente
yeah782000
Silver Member
Silver Member
 
Messaggi: 1385
Iscritto il: lun apr 19, 2004 10:06 am

Re: MBR corrotto

Messaggioda Uomo_Senza_Sonno » lun ago 30, 2010 2:51 pm

yeah782000 ha scritto:Eccomi qua .. allora, spero di aver fatto bene le "foto" adesso [:)]

Certamente [;)]

Allora, procediamo con la rimozione del rootkit. PRIMA di procedere, è bene sempre fare un backup di sicurezza sotto distribuzione linux, e poi procedere con la rimozione.

1. Inserisci il cd bootabile della tua distribuzione live, fai caricare il desktop e esegui il backup dei dati del disco in un altro che non sia stato collegato al pc infetto;
2. esegui da terminale questo comando

Codice: Seleziona tutto
sudo sfdisk -l /dev/sda

e accertati che il disco sia sda;
3. una volta fatto questo accertamento, esegui questi due comandi,

Codice: Seleziona tutto
sudo dd if=/dev/zero of=/dev/sda bs=512 count=62 seek=1

per azzerare i primi settori e

Codice: Seleziona tutto
sudo dd if=/dev/zero of=/dev/sda bs=512 seek=153340425

per azzerare tutti i settori oltre la partizione;
4. dalla consolle di ripristino di windows, esegui il comando fixmbr e fixboot, e poi riavvia;
5. infine, fai un controllo con mbr.exe e verifica che il log sia pulito.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: MBR corrotto

Messaggioda yeah782000 » lun ago 30, 2010 3:04 pm

Ti ringrazio per la disponibilità e per la guida. Devo aspettare domani perché il pc è di un collega ;)

Intanto ne approfitto per chiederti alcune cose:
1) dal log di MBR.exe e dalle foto che ti ho postato cosa hai visto? Cioè, anche per imparare, il rootkit è ancora "vivo"? O puliamo tutto tanto per stare più tranquilli?
2) se facessi una semplice formattazione tramite cd di Xp, l'MBR resterebbe comunque infetto giusto? E formattando a basso livello?

Grazie 1000
Non abbiate paura di accogliere Gesù nella vostra vita (Karol Wojtyla)
Avatar utente
yeah782000
Silver Member
Silver Member
 
Messaggi: 1385
Iscritto il: lun apr 19, 2004 10:06 am

Re: MBR corrotto

Messaggioda Uomo_Senza_Sonno » lun ago 30, 2010 3:30 pm

1. mbr.exe ha localizzato i settori dove è presente l'infezione. Con HxD ne abbiamo la conferma, esattamente nei settori indicati da mbr.exe (è sufficiente convertire la notazione da esadecimale in decimale per avere il settore corrispondente). Quindi stiamo pulendo per necessità, non per eccesso di scrupolo [:D]
2. la normale formattazione lascia intatto l'mbr, e quindi anche l'infezione. Una formattazione a basso livello consentirebbe la completa pulizia del disco, ma comporta la perdita definitiva dei dati, alla stessa stregua di uno zerofilling sotto distribuzione GNU/linux

Fammi sapere gli sviluppi, a domani. [ciao]
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: MBR corrotto

Messaggioda yeah782000 » lun ago 30, 2010 7:29 pm

Uomo_Senza_Sonno ha scritto:1. mbr.exe ha localizzato i settori dove è presente l'infezione. Con HxD ne abbiamo la conferma, esattamente nei settori indicati da mbr.exe (è sufficiente convertire la notazione da esadecimale in decimale per avere il settore corrispondente). Quindi stiamo pulendo per necessità, non per eccesso di scrupolo [:D]

Perfetto, grazie per la spiegazione.

Uomo_Senza_Sonno ha scritto:2. la normale formattazione lascia intatto l'mbr, e quindi anche l'infezione. Una formattazione a basso livello consentirebbe la completa pulizia del disco, ma comporta la perdita definitiva dei dati, alla stessa stregua di uno zerofilling sotto distribuzione GNU/linux

Fammi sapere gli sviluppi, a domani. [ciao]


Ho capito .. grazie ancora, a domani [^]
Non abbiate paura di accogliere Gesù nella vostra vita (Karol Wojtyla)
Avatar utente
yeah782000
Silver Member
Silver Member
 
Messaggi: 1385
Iscritto il: lun apr 19, 2004 10:06 am

Re: MBR corrotto

Messaggioda yeah782000 » lun ago 30, 2010 7:32 pm

Ah, ancora una cosa scusami ... sempre per capire ... ha un "nome" quel rootkit? Che azioni può compiere?
Te lo chiedo anche perché sotto infezione è stata collegata una pen drive, la quale è stata collegata almeno ad un paio di pc ... su uno mbr.exe non ha trovato nulla e quindi dovrei stare tranquillo no? Per controllare la pen drive? Immagino che anche per quella un eventuale formattazione "normale" non risolverebbe ... grazie e scusa per tutte queste domande [:)]
Non abbiate paura di accogliere Gesù nella vostra vita (Karol Wojtyla)
Avatar utente
yeah782000
Silver Member
Silver Member
 
Messaggi: 1385
Iscritto il: lun apr 19, 2004 10:06 am

Re: MBR corrotto

Messaggioda Trinità » lun ago 30, 2010 8:46 pm

Le mie pen-drive collegate ad un Pc infetto da questo rootkit non hanno infettato altri Pc, poi non so gli altri. Inoltre l'utilizzo di programmi di deframmentazione o come Ultrawipe diminuisce drasticamente la vita della pendrive! [B)]
Avatar utente
Trinità
Aficionado
Aficionado
 
Messaggi: 145
Iscritto il: lun dic 14, 2009 9:15 pm
Località: Salerno

Re: MBR corrotto

Messaggioda Uomo_Senza_Sonno » lun ago 30, 2010 9:09 pm

A me è capitato, per controllare la pendrive utilizza mbr.exe; e poi, una formattazione a basso livello in una pendrive non prende molto tempo, l'importante è non sbagliare il drive da formattare.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: MBR corrotto

Messaggioda yeah782000 » mar ago 31, 2010 10:00 am

Uomo_Senza_Sonno ha scritto:5. infine, fai un controllo con mbr.exe e verifica che il log sia pulito.


[applauso+] [applauso+] [applauso+]

Fatto tutto, adesso il log di MBR è pulito! Adesso devo verificare la pen drive ..

Grazie 1000 per l'aiuto !! [^]
Non abbiate paura di accogliere Gesù nella vostra vita (Karol Wojtyla)
Avatar utente
yeah782000
Silver Member
Silver Member
 
Messaggi: 1385
Iscritto il: lun apr 19, 2004 10:06 am

Re: MBR corrotto

Messaggioda yeah782000 » mar ago 31, 2010 10:15 am

Per controllare la pen drive ho messo il file mbr.exe nella root della pen drive e lanciato il solito comando. Il log risulta pulito ma non sono sicuro se il controllo è stato fatto sulla pen drive o sul disco rigido ... ho fatto bene?

Grazie di nuovo
Non abbiate paura di accogliere Gesù nella vostra vita (Karol Wojtyla)
Avatar utente
yeah782000
Silver Member
Silver Member
 
Messaggi: 1385
Iscritto il: lun apr 19, 2004 10:06 am

Re: MBR corrotto

Messaggioda Uomo_Senza_Sonno » mar ago 31, 2010 10:45 am

Se hai messo mbr.exe nella pendrive e poi da dos hai dato il comando X:\start mbr.exe (X è la letterda della pendrive), e ti ha generato un log nella stessa, hai fatto tutto correttamente.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: MBR corrotto

Messaggioda yeah782000 » mar ago 31, 2010 11:08 am

Uomo_Senza_Sonno ha scritto:Se hai messo mbr.exe nella pendrive e poi da dos hai dato il comando X:\start mbr.exe (X è la letterda della pendrive), e ti ha generato un log nella stessa, hai fatto tutto correttamente.


Si, ho fatto così ma senza dare il comando start .. ho dato direttamente mbr.exe e ha generato il log ..
Non abbiate paura di accogliere Gesù nella vostra vita (Karol Wojtyla)
Avatar utente
yeah782000
Silver Member
Silver Member
 
Messaggi: 1385
Iscritto il: lun apr 19, 2004 10:06 am

Re: MBR corrotto

Messaggioda Uomo_Senza_Sonno » mar ago 31, 2010 12:33 pm

se il log che ha generato è relativo allo stato dell'mbr della pendrive ed è tutto ok direi che hai terminato
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 21 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising