www.MegaLab.it

da **Pulcepiccola** » ven giu 17, 2011 12:43 pm

Ciao,

desidererei chiedervi, gentilmente, un chiarimento sull'utilizzo del tool mbr.exe per analizzate il settore 0 dei disco rigido (Master Boot Record). ( Rif. articolo MegaLab http://www.MegaLab.it/3915/2/mbr-rootki ... diffusione).

In buona sostanza nel mio caso il risultato della scansione è stato visualizzato all'interno della finestra DOS e non ho trovato in C:\ nessun file mbr.log Come mai? E' preoccupante? O l'importante è aver letto il risultato anche se all'interno della finestra di DOS!!!!!

Credo di non essere infetto in quanto il risultato era pressapoco così:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: error reading MBR ( a questo punto invece era: user & Kernel ok ( se non ricordo male)
kernel: MBR read successfully

E' lo stesso? l
a cosa importante è che non ci deve essere qualcosa di simile a:

malicious code @ sector 0x132c0ab6 size 0x1ce !
copy of MBR has been found in sector 62 ! ( Se troviamo scritto qualcosa di simile allora e solo allora ci dobbiamo preoccupare?)

Grazie mille

Ciao Ciao

Pp

da **Berga95** » ven giu 17, 2011 12:50 pm

A me è capitato di trovare il log in C:\Users\TuoNome...
Oppure prova a fare una ricerca per il file mbr.log in tutto l'HardDisk [;)]

Comunque un log come quello indica che l'MBR è sano.

da **Uomo_Senza_Sonno** » ven giu 17, 2011 1:12 pm

Sicuramente il tuo MBR è sano, ma la versione che hai usato è piuttosto vecchiotta, prova a fare una nuova scansione con l'ultima. In genere il log viene salvato nella partizione di sistema, mi è capitato a volte che non venisse salvato, tuttavia se leggi

Codice: Seleziona tutto: Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net Windows 5.1.2600 Disk: MAXTOR_STM380215AS rev.4.AAB -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-e device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK

Puoi stare senza pensieri. Errori del tipo

Codice: Seleziona tutto: user: error reading MBR

in condizioni normali capitano se si scansionano sistemi operativi x64, mentre

Codice: Seleziona tutto: malicious code @ sector 0x132c0ab6 size 0x1ce ! copy of MBR has been found in sector 62 !

in questo caso viene rilevata l'infezione nel settore e lo spazio occupato dal codice rootkit, ed infine dove viene scritta la copia del MBR sano, nell'esempio riportato viene rilevato nel settore 62.
Per ulteriori informazioni, siamo qui [;)]

da **Pulcepiccola** » ven giu 17, 2011 1:19 pm

raga,

grazie mille e buon weekend [;)]

Pp

www.MegaLab.it

MBR

MBR

Re: MBR

Re: MBR

Re: MBR

Chi c’è in linea