Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

log mbr.exe sospetto rootkit!!!!

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

log mbr.exe sospetto rootkit!!!!

Messaggioda dado51 » mar giu 28, 2011 3:33 pm

salve a tutti potreste controllare questo log di mbr.exe che mi sembra sospetto

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7600

device: opened successfully
user: error reading MBR
error: Read Handle non valido.
kernel: error reading MBR


grazie!!!
Avatar utente
dado51
Aficionado
Aficionado
 
Messaggi: 60
Iscritto il: lun nov 08, 2010 5:42 pm

Re: log mbr.exe sospetto rootkit!!!!

Messaggioda Uomo_Senza_Sonno » mar giu 28, 2011 4:07 pm

Prova a ripetere la scansione con i previlegi di amministratore ed in modalità provvisoria, nel caso ci fossero problemi facciamo un controllo più accurato
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: log mbr.exe sospetto rootkit!!!!

Messaggioda dado51 » mar giu 28, 2011 6:38 pm

ok questo è il log

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7600

device: opened successfully
user: error reading MBR
error: Read Handle non valido.
kernel: error reading MBR


sembra uguale
Avatar utente
dado51
Aficionado
Aficionado
 
Messaggi: 60
Iscritto il: lun nov 08, 2010 5:42 pm


Re: log mbr.exe sospetto rootkit!!!!

Messaggioda Uomo_Senza_Sonno » mar giu 28, 2011 7:59 pm

Noti particolari anomalie nel SO, tipo crash, freeze, rallentamenti o comportamenti sospetti?
Visto che stealth rootkit detector non riesce a leggere l'mbr, utilizza HxD, è un editor esadecimale per i dischi seguendo attentamente la guida presente in quest'articolo. Per iniziare è sufficiente che tu posti il settore 0 del disco fisico, è importante che lo screen comprenda tutta la finestra del programma per leggere tutto il settore.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: log mbr.exe sospetto rootkit!!!!

Messaggioda dado51 » mar giu 28, 2011 8:51 pm

allora si il pc subisce numerosi crash e si è molto rallentato ultimamente...
ecco il settore o di HxD

http://imageshack.us/f/855/catturaoy.png/
Avatar utente
dado51
Aficionado
Aficionado
 
Messaggi: 60
Iscritto il: lun nov 08, 2010 5:42 pm

Re: log mbr.exe sospetto rootkit!!!!

Messaggioda Uomo_Senza_Sonno » mar giu 28, 2011 9:22 pm

Nel settore è indicato che è installato GRUB, per caso hai un dual boot con qualche distro GNU/linux? Ad ogni modo, mostrami i settori 1, 2, 2047, 976773119, 976773120 e 976773168, possibilmente con una risoluzione maggiore.

PS: per le immagini usa il tag IMG [;)]
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: log mbr.exe sospetto rootkit!!!!

Messaggioda dado51 » mar giu 28, 2011 9:42 pm

si avevo ubuntu ma l'ho tolto circa due mesi fa!!
ecco i settori da te indicati

scusa ma non riesco ad usare il tag "img"
grazie
Avatar utente
dado51
Aficionado
Aficionado
 
Messaggi: 60
Iscritto il: lun nov 08, 2010 5:42 pm

Re: log mbr.exe sospetto rootkit!!!!

Messaggioda Uomo_Senza_Sonno » mar giu 28, 2011 10:02 pm

Nessun problema per i settori, ti ringrazio per averli postati con una risoluzione maggiore (così quando leggo gli offset non rischio di confonderli) [^]

Andiamo a fare una pulizia preventiva, il codice sembra pulito, tuttavia vediamo se azzerando i settori esterni al filesystem la situazione cambia. Altra cosa, per caso hai fatto qualche scansione con l'antivirus e ti ha rilevato qualcosa?
In tutti i casi, per azzerare i settori che di norma sono vuoti, procedi in questo modo: riprendi la guida da questo punto ed inserisci i seguenti offset:

per quanto riguarda i settori 1-2047 (estremi inclusi): campo inizio 200, campo fine FFFFF
per quanto riguarda i settori 976773120-976773168 (estremi inclusi): campo inizio 7470C00000, campo fine 7470C05FFF

riavvia il pc, ed utilizza l'utilità di risoluzione dei problemi di windows e fai ripristinare tutti gli eventuali problemi rilevati. Riavvia successivamente e verifica se la situazione cambia o se rimane identica.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: log mbr.exe sospetto rootkit!!!!

Messaggioda dado51 » mer giu 29, 2011 11:37 am

scusa ma non ho capito che vuol dire per quanto riguarda i settori 1-2047(estremi inclusi)
devo selezionare qualcosa prima di inserire gli offset da te indicati??
grazie e scusami
Avatar utente
dado51
Aficionado
Aficionado
 
Messaggi: 60
Iscritto il: lun nov 08, 2010 5:42 pm

Re: log mbr.exe sospetto rootkit!!!!

Messaggioda Kratos_Fury » ven lug 01, 2011 1:11 pm

Non vorrei creare problemi, però pure a me mbr.exe non riesce a leggere per l'appunto l'mbr del disco [bleh]

Se vi metto lo screen del primo settore mi date un consiglio?
Uomo senza Sonno, tutti i settori che hai chiesto a dado, da me sono vuoi [:)]

Immagine
Se gli uomini non commettessero talvolta delle sciocchezze, non accadrebbe assolutamente nulla di intelligente. (Ludwig Wittgenstein)
Avatar utente
Kratos_Fury
Senior Member
Senior Member
 
Messaggi: 323
Iscritto il: dom apr 17, 2011 12:47 pm

Re: log mbr.exe sospetto rootkit!!!!

Messaggioda Uomo_Senza_Sonno » dom lug 03, 2011 6:13 pm

dado51 ha scritto:scusa ma non ho capito che vuol dire per quanto riguarda i settori 1-2047(estremi inclusi)
devo selezionare qualcosa prima di inserire gli offset da te indicati?

No, devi inserire nella voce campo i valori (offset) nella voce inizio e fine. I primi valori riguardano la selezione sei settori 1-2047, gli ultimi sono per i restanti settori [std]

Kratos_Fury ha scritto:Non vorrei creare problemi, però pure a me mbr.exe non riesce a leggere per l'appunto l'mbr del disco

Il tuo mbr sembra sano, per caso è un sistema x64 per riscontrare quest'errore? Ed inoltre, per caso hai partizionato il disco con altri programmi e non con il quello che mette a disposizione windows 7?

Kratos_Fury ha scritto:tutti i settori che hai chiesto a dado, da me sono vuoti

a maggiore conferma di quanto mi stai dicendo, penso che tu sia a posto.. per caso registri anomalie o malfunzionamenti nel sistema?
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: log mbr.exe sospetto rootkit!!!!

Messaggioda Kratos_Fury » lun lug 04, 2011 10:37 am

Si è un sistema x64 e non ci sono partizioni consistenti a parte 100MB che 7 richiedeva per se 936GB tutti assieme :P. Per anomalie nel vero senso della parola no, tuttavia volevo togliermi il sassolino dalla scarpa e chiederti se c'erano dei valori sospetti per il fatto che ho testato antivirus su macchina virtuale e tra quelli c'erano dei rootkit e simili :P
Se gli uomini non commettessero talvolta delle sciocchezze, non accadrebbe assolutamente nulla di intelligente. (Ludwig Wittgenstein)
Avatar utente
Kratos_Fury
Senior Member
Senior Member
 
Messaggi: 323
Iscritto il: dom apr 17, 2011 12:47 pm

Re: log mbr.exe sospetto rootkit!!!!

Messaggioda Uomo_Senza_Sonno » lun lug 04, 2011 12:07 pm

Se non apri l'eseguibile non ti infetti, e nella più probabile delle ipotesi, infetti solo la macchina virtuale, salvo tu non abbia qualche parte del disco in condivisione con la VM.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 16 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising