Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Smtp bloccato per rootkit nel MBR

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Smtp bloccato per rootkit nel MBR

Messaggioda lizz1183 » lun giu 06, 2011 5:13 pm

Ciao a tutti!
Nell'ufficio in cui lavoro ci siamo accorti dalla scorsa settimana che le mail in uscita non partivano e dopo un controllo ho scoperto che il nostro indirizzo ip è finito in una blacklist perché c'è un computer infetto da un rootkit nel MBR che invia in continuazione mail di spam.

Noi abbiamo una decina di computer collegati in lan al proxy, il problema è che non riesco a capire qual è il computer infetto.

Avete qualche suggerimento? ...ho già provato a scansionare tutti i computer con Emeb Remover e Norman Sinowal Cleaner, ma non hanno riscontrato nulla.

Grazie mille per l'aiuto!
lizz1183
Avatar utente
lizz1183
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: mer lug 23, 2008 3:17 pm

Re: Smtp bloccato per rootkit nel MBR

Messaggioda crazy.cat » lun giu 06, 2011 6:53 pm

Fai un giretto con mbr.exe o gmer http://www.MegaLab.it/3915/2/mbr-rootki ... diffusione.
Quando trovi il pc infetto poi ci penserà uomo_senza_sonno a chiederti le cose giuste per tentare di rimuovere il virus.
(a meno che tu non voglia formattare a basso livello quel pc per rimuovere il virus in maniera più veloce)
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Smtp bloccato per rootkit nel MBR

Messaggioda Uomo_Senza_Sonno » lun giu 06, 2011 7:28 pm

Esattamente come ha detto crazy, trova il pc infetto analizzando ogni pc con il tool indicato. Se siamo fortunati, avremo un solo disco da pulire, o nella peggiore delle ipotesi tutti.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Smtp bloccato per rootkit nel MBR

Messaggioda lizz1183 » gio giu 09, 2011 10:14 am

Grazie per l'indicazione, ho iniziato a fare le scansioni e il log di gmer di uno dei computer è risultato essere questo:

GMER 1.0.15.15640 - http://www.gmer.net
Rootkit scan 2011-06-09 10:36:28
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-13 Maxtor_6Y080L0 rev.YAR41BW0
Running: rnbut47p.exe; Driver: C:\Temp\axrdipog.sys


---- Kernel code sections - GMER 1.0.15 ----

? C:\Temp\mbr.sys Impossibile trovare il file specificato. !

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 160071663
Disk \Device\Harddisk0\DR0 PE file @ sector 160071685

---- EOF - GMER 1.0.15 ----

Cosa posso fare?
Grazie mille!
lizz1183
Avatar utente
lizz1183
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: mer lug 23, 2008 3:17 pm

Re: Smtp bloccato per rootkit nel MBR

Messaggioda Uomo_Senza_Sonno » gio giu 09, 2011 11:36 am

Se hai individuato il pc infetto, e verificato che sia solo un pc ad esserlo, leggi quest'articolo, soprattutto la parte riguardante HxD. Prima di tutto però è necessario rimuovere il driver presente all'interno del sistema operativo, ed in quest'altro articolo trovi gli strumenti più efficaci e rapidi per eliminare l'infezione.

Dopo aver fatto la scansione con combofix posta il suo log in questo modo, e successivamente posta lo screenshot della finestra di HxD con il tag IMG (per avere un quadro completo delle informazioni è meglio avere lo screen di tutta la finestra del programma, di modo che si veda tutto il settore visualizzato; gli screenshot caricali su http://www.imageshack.us/ e poi copia il link forum). Per il momento è necessario il settore 0.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising