www.MegaLab.it

[crazy.cat]

AswMBR rileva ed elimina anche il rootkit più ostinato - Commenti

I rootkit, questi nemici invisibili e pericolosi, sconfiggili con AswMBR. [continua...]

[sampei.nihira]

Crazy il computer di M. (non scrivo il nome ma è presente nell'immagine) dove hai fatto questo test aveva un OS Vista 32 bit giusto ?

[crazy.cat]

Crazy il computer di M. (non scrivo il nome ma è presente nell'immagine) dove hai fatto questo test aveva un OS Vista 32 bit giusto ?

Si, 32 bit.
Perché?

[sampei.nihira]

Nella lista di KMI ci sarebbero solo 2 prodotti a 64 bit a parte il solito ESET SysInspector.
Uno è:

http://www.sophos.com/en-us/products/fr ... otkit.aspx

l'altro è:

http://www.kernelmode.info/ARKs/TrueX64.rar

poi anche un terzo ma è in ver beta quindi non lo inserisco.

[crazy.cat]

[^]
[color=#000080]Nella lista di KMI ci sarebbero solo 2 prodotti a 64 bit a parte il solito ESET SysInspector.

Aswmbr funziona benissimo anche sul mio windows 7 a 64 bit.

[sampei.nihira]

http://www.kernelmode.info/forum/viewto ... ?f=11&t=10


Come vedi la lista è specifica.
E separa i prodotti a 64 bit.

[devicepenguin]

Vorrei solo far notare che usando il programma e se si esegue il Fix per l'mbr ,questi se controllato con MBRCheck risulta ignoto con scritta gialla (non verde)

[crazy.cat]

Vorrei solo far notare che usando il programma e se si esegue il Fix per l'mbr ,questi se controllato con MBRCheck risulta ignoto con scritta gialla (non verde)

Spiegati meglio, perché sul pc con vista me lo segnalava ignoto e poi dopo il fix lo segnala normale con Vista, sul mio seven lo segnala normale.

[devicepenguin]

Provato su XP:
Lancio MBRCheck e mi da mbr

Codice: Seleziona tutto

PhysicalDrive0 Model Number: ST9250320AS, Rev: 0303   

      Size  Device Name          MBR Status
  --------------------------------------------
    232 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: 503FD2CC6F3632B90CEC9C763A09B1AF1755FCD5


[b]Done![/b]

lancio l'applicativo aswMBR e decido di fixare l'mbr.
Il programma scrive il nuovo mbr ,ma al riavvio ,rieseguendo MBRChecher ottengo : MBR Statur unknow [in giallo,come a dire che non è regolare]

[sampei.nihira]

Buon giorno.
Ho fatto qualche considerazione di questo genere di sw (che io francamente non uso).
La ver 0.9.9.1665 di AswMBR è uscita a Dicembre 2011 forse un po' troppo per pensare che sia efficace contro i rootkit recenti.
Anche se poi non è detto che non sia efficace.....

Secondo me però il consiglio migliore sarebbe quello di usare SOPHOS.
E non solo perché la versione riportata secondo KMI è compatibile con i 64 bit ma sopratutto per gli aggiornamenti.
L'attuale ver cioè la 2.2 è uscita l' 11 Ottobre 2012.

Nonostante sia un sw abbastanza peso rispetto a sw suigeneris (l'attuale ver è di quasi 77 MB) e lo scan sia abbastanza lento rimane da stabilire se efficace o meno.
Anche perché Sophos dichiara che il prodotto riesce a rimuovere qualsiasi genere di intruso e quindi non solo i rootkit.

Sarebbe quindi interessante un test di tale prodotto.

[TheQ.]

AswMBR è un semplice scanner senza scansione realtime e senza euristica.
Lo produce Avast e come dice il nome, è utile per i virus MBR, piuttosto ostici da eliminare e praticamente invisibili (alcuni disattivano l'antivirus senza che l'utente se ne accorga).

Di simile c'è il TDSS rootkit killer della Kaspersky...

Piuttosto fate una recensione a Roboscan

[GERONIMO*]

Buon giorno.
Ho fatto qualche considerazione di questo genere di sw (che io francamente non uso).
La ver 0.9.9.1665 di AswMBR è uscita a Dicembre 2011 forse un po' troppo per pensare che sia efficace contro i rootkit recenti.
Anche se poi non è detto che non sia efficace.....

non è affatto obsoleto,anche se uscito nel 2011 ad ogni scansione aggiorna il il suo database

[sampei.nihira]

Grazie di aver inserito questo particolare che però non mi fà cambiare la sensazione che ho velatamente scritto.
Più si sà anche di sw che non si useranno mai e meglio è.

[sampei.nihira]

Letto su W. lo riporto anche su MLI per conoscenza.
Anche Malwarebytes prepara un sw specifico per i rootkit attualmente in fase beta:

http://www.malwarebytes.org/products/mbar/

[leofelix]

eccellente e completa recensione.
Dunque ho provato il tool sia sul mio laptop con Vista SP2 x86 sia sul mio desktop PC con Windows 7 SP1 x86, sia sul mio laptop con Windows 7 SP1 x64.
Nessuna rootkit rilevata.
In ambiente Vista 32 bit secondo il tool il Master Boot Record sarebbe quello standard di Windows 7... mentre nel laptop con Windows 7 64 bit, prima ho avuto un BSOD (dovuto verisimilmente al fatto che avevo dimenticato di disattivare l'HIPS di PrivateFirewall v 7 che ho adottato in tutti i miei sistemi, vuoi per la leggerezza vuoi per l'efficacia), poi ho ritentato e tutto è andato liscio solo che secondo lo stesso strumento il MBR del sistema Win7 x64 sarebbe stato quello di Vista...: o)

In ogni caso vedo che sampei mi ha preceduto tempestivamente visto che intendevo anche io segnalare il rilascio di MalwareBytes Anti-Rootkit BETA
http://www.malwarebytes.org/products/mbar/ appena testato in ambiente Vista senza problemi di sorta.
Notevole programma che spero rimanga gratuito o integrato nel già magnifico MalwareBytes Antimalware (che tuttavia dovrebbe già rilevare e rimuovere rootkit)

Quasi dimenticavo, anche HitManPro è in grado di identificare e rimuovere Bootkit e rootkit, prova ne è che avevo installato un programma che necessita la modifica del Master Boot Record per funzionare correttamente e HitManPro mi ha segnalato il problema, indicato il settore "danneggiato" e chiesto se intendevo rimuovere l'"infezione" - sebbene un falso positivo in questo caso.

[crazy.cat]

eccellente e completa recensione.

Grazie.

Notevole programma che spero rimanga gratuito o integrato nel già magnifico MalwareBytes Antimalware (che tuttavia dovrebbe già rilevare e rimuovere rootkit)

Si, molto carino.
http://www.MegaLab.it/8354/malwarebytes ... ei-rootkit

Ciao Leofelix, ho piacere che ti fai sentire ogni tanto.

[_Marco_]

Cavolo! Ma dove è finito il mio post ?

[_Marco_]

Provo a reinserirlo:

Ciao a tutti ed a tutto lo Staff!! Un saluto particolare a Crazy.Cat.! Avrei un problema ( Non so se questa sia la sede adatta per postarlo ): ho mandato in scansione AswMBR è questo è quello che ho ottenuto:


aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2012-11-12 14:03:23
-----------------------------
14:03:23.997 OS Version: Windows 6.1.7601 Service Pack 1
14:03:23.997 Number of processors: 6 586 0xA00
14:03:23.997 ComputerName: MARCO-PC UserName: marco
14:03:51.219 Initialize success
14:03:51.406 AVAST engine defs: 12111200
14:04:17.068 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000061
14:04:17.084 Disk 0 Vendor: ST350041 JC4B Size: 476940MB BusType: 3
14:04:17.099 Disk 0 MBR read successfully
14:04:17.099 Disk 0 MBR scan
14:04:17.115 Disk 0 Windows 7 default MBR code
14:04:17.115 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 2048
14:04:17.130 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 476838 MB offset 206848
14:04:17.130 Disk 0 scanning sectors +976771072
14:04:17.208 Disk 0 scanning C:\Windows\system32\drivers
14:04:25.648 Service scanning
14:04:37.769 Modules scanning
14:04:44.493 Disk 0 trace - called modules:
14:04:44.586 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll storport.sys nvstor.sys nvlddmkm.sys dxgkrnl.sys dxgmms1.sys amdppm.sys watchdog.sys
14:04:45.086 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86803648]
14:04:45.101 3 CLASSPNP.SYS[8c1c359e] -> nt!IofCallDriver -> [0x85777f08]
14:04:45.117 5 ACPI.sys[8bba13d4] -> nt!IofCallDriver -> \Device\00000061[0x865a2738]
14:04:45.632 AVAST engine scan C:\Windows
14:04:46.630 AVAST engine scan C:\Windows\system32
14:06:21.010 AVAST engine scan C:\Windows\system32\drivers
14:06:42.928 AVAST engine scan C:\Users\marco
14:06:46.220 File: C:\Users\marco\AppData\Local\TempDIR\BetterInstaller.exe **INFECTED** Win32:Ezula-AGE [Adw]
14:07:18.948 AVAST engine scan C:\ProgramData
14:07:37.528 Scan finished successfully
14:08:59.194 Disk 0 MBR has been saved successfully to "C:\Users\marco\Desktop\MBR.dat"
14:08:59.209 The log file has been saved successfully to "C:\Users\marco\Desktop\aswMBR.txt"

Come si può vedere, sono infetto. Ho provato con Avast! scansione completa ma nulla, con MalwareBytesAntiMalware ma nulla, non so che fare. Qualcuno può aiutarmi?

Grazie!!!

[The Doctor]

Cavolo! Ma dove è finito il mio post ?

Eccolo

post639473.html#p639473

[leofelix]

@ _Marco_
non sei infetto da una rootkit, ma da un adware che Avast rileva come PUP (potentially unwanted program), quindi se non hai attivato la scansione PUP in Avast, non verrà rilevato.
Guarda:
https://www.virustotal.com/file/738a98a ... 330379809/
Prova a fare una scansione con Dr.Web CureIt v 7 beta, dovrebbe rimuovere quell'adware
http://www.freedrweb.com/download+cureit+free/beta/

non dimenticare di disattivare la protezione in tempo reale dell'antivirus che usi e anche l'eventuale HIPS del firewall di terze parti che usi [url]temporaneamente[/url]prima di partire con Dr.Web CureIt v 7 beta, o rischi il blocco del sistema o fastidiose interazioni, mi raccomando.

@ crazy.cat: grazie a te. Ahime' essere moderatore di due forum contemporaneamente mi porta via tempo (e talvolta pazienza, visto che in entrambi quei forum devo esprimermi in inglese e non è difficile essere fraintesi sigh), senza contare tutto il malware e i siti infetti che segnalo a security software house o sources quali Google diagnostic, HPHosts, SCUMWARE etc quasi quotidianamente