www.MegaLab.it

[mitrha]

Ciao a tutti,
Dopo una scansione con mbr rootkit detector mi serve una mano per l'interpretazione del log.
Mi potete aiutare??
GRAZIE a tutti

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: WDC_WD2000BB-55GUC0 rev.08.02D08 -> Harddisk0\DR0 -> \Device\0000005f

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user != kernel MBR !!!
copy of MBR has been found in sector 22 !
copy of MBR has been found in sector 23 !

[Uomo_Senza_Sonno]

Codice: Seleziona tutto

user != kernel MBR !!!
copy of MBR has been found in sector 22 !
copy of MBR has been found in sector 23 !

Nel log si evince che hai due copie di mbr nei settori 22 e 23. Per caso avevi infezione da rootkit e hai eseguito qualche tool specifico di rimozione? In ogni caso, leggi quest'articolo e posta prima di tutto lo screen del settore 0 (mi raccomando fai lo screen di tutta la finestra del programma, altrimenti abbiamo solo la metà delle informazioni), 22 e 23.

[mitrha]

Ho letto l'articolo e devo dire che nn mi ritengo in grado di fare quanto descritto senza rischi.Non vorrei fare danni dai quali nn sono in grado di riprendermi!Quindi volevo chiderti se mi puoi dare istruzioni più dettagliate di quello che devo fare.Sempre che nn sia troppo disturbo ovviamente!
Penso che devo innanzi tutto scaricare il programma e poi se ho ben capito fare una lettura dell'HD?

[Nichi]

Armati di pazienza.
Leggi l'articolo che ti ha suggerito Uomo_Senza_Sonno e segui le sue istruzioni...
Prima ancora leggi questo articolo che ti spiega come postare una immagine nel forum http://www.MegaLab.it/2995/inserire-imm ... -nel-forum
In bocca al lupo

[mitrha]

Succedono cose strane:nn riesco più ad istallare openoffice,ho problemi con le firme digitali.
Inoltre tempo fa ho provato a fare il boot dal cd di windows xp per ripristinare il S.O e mi da ad un certo punto errore,nn mi parte normalmente arrivando poi alle tre opzioni(istalla win da zero;ripristina una ist. precedente con la consolle di ripristino ecc.) alla fine mi sono ritrovato con il pc che aveva perso tutti i film salvati e quasi tutti i programmi istallati ma nn era neanche resettato in piena regola.Ho postato in diversi forum,mi sono riscaricato tutti i programmi che avevo e ho eliminato le infezioni,ma ancora ho i soliti problemi con Ooo 3.3.0 sempre lo stesso messaggio di errore con le firme digitali.le ho provate tutte ma niente.
Inoltro mi ritrovo con una cosa strana:nelle opzioni di visualizzazione delle cartelle mi compare una serie di opzioni scritte in spagnolo:administracione de pares de peginas web y carpetas con le tre opzioni da spuntare(una deve essere selezionata per forza!)e nn riesco a capire da dove cavolo sono arrivate visto che nn è disponibile nemmeno la descrizione sulla guida in linea(mi dice che nessuna voce è associata a questo elemento).Per ora questi sono i problemi che riscontro e nessuno mi ha saputo ragguagliare su queste cose

[Nichi]

Non ti preoccupare, non potrai risolvere la cosa stasera (forse passerà qualche giorno, non avere fretta), ormai è tardi, leggi le recensioni linkate sopra.
Uomo_Senza_Sonno sicuramente seguirà il tuo problema quando sarà online, ma occorre che fai passo passo quello che ti scrive di fare.
Quale antivirus hai installato? Hai già usato strumenti per la rimozione di rootkit?
Se non hai kaspersky, nel frattempo potresti fare un po di pulizia del pc con questo http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ qui troverai la guida http://www.MegaLab.it/2894/kaspersky-virus-removal-tool
e con malwarebytes ecco la guida http://www.MegaLab.it/3634/guida-comple ... ti-malware

[Uomo_Senza_Sonno]

Buonasera
Visti i problemi riscontrati, sarà meglio fare un po' di pulizia con i tools indicati da Nichi, poi è meglio vedere il settore 0 con HxD. Per il momento pensiamo a vedere cosa c'è nei settori senza toccare nulla, in questo modo non faremo alcun danno
quindi, per il momento, dopo aver installato HxD, apri il disco fisico in lettura e fai uno screenshot del settore 0, 22 e 23 mostrando la finestra intera così da vedere tutto il settore. Per qualsiasi dubbio, sono qui

[mitrha]

ho fatto diverse scansioni con MBAM;ho istallato avira,poi combofix,hijackthis,ccleaner,glaryutility,Stealthmbrrootkytdetector ecc.ecc.Da quello che mi è stato detto sul forum di tom'shardware e altri forum ora il pc è pulito,ma ho questo problema nell MBR e queste opzioni in spagnolo nella cartella opziooni di visualizzazione.

[mitrha]

Ho letto come postare le immagini ma...nn ho più paint nel pc!!!
Inserisco il cd di win xp e faccio partire istallazione componenti di windows,ma ad un certo punto mi dice che serve un file contenuto nel cd,se gli indico il percorso del cd nn lo trova!!!

[Nichi]

ho fatto diverse scansioni con MBAM;ho istallato avira,poi combofix,hijackthis,ccleaner,glaryutility,Stealthmbrrootkytdetector ecc.ecc.Da quello che mi è stato detto sul forum di tom'shardware e altri forum ora il pc è pulito,ma ho questo problema nell MBR e queste opzioni in spagnolo nella cartella opziooni di visualizzazione.

Per controllare con precisione MBR occorre per forza fare come dice l'esperto:

Buonasera
... è meglio vedere il settore 0 con HxD. Per il momento pensiamo a vedere cosa c'è nei settori senza toccare nulla, in questo modo non faremo alcun danno
quindi, per il momento, dopo aver installato HxD, apri il disco fisico in lettura e fai uno screenshot del settore 0, 22 e 23 mostrando la finestra intera così da vedere tutto il settore. Per qualsiasi dubbio, sono qui

non farai nessun danno se userai il programma HxD per vedere i settori dell'hd in lettura. Noterai che ogni settore ha una serie di numeri esadecimali, ti linko come esempio uno screenshot del settore 2047 del mio disco fisico che è servito tempo fa per controllare la presenza di rootkit:
http://imageshack.us/photo/my-images/70 ... imale.png/

[Nichi]

Io uso microsoft office picture manager, può andar bene qualsiasi programma che modifica-ritaglia e salva (in vari formati) le immagini.

[mitrha]

Spero di aver fatto bene,questo è lo screen di HxD:
http://imageshack.us/photo/my-images/53 ... thxd1.jpg/

[Nichi]

la stessa cosa devi fare per i settori 22 e 23

[Uomo_Senza_Sonno]

Rapido aggiornamento... oltre ai settori 22 e 23, posta anche i settori 62, 63, 390700799, 390700800 e 390721968. Lo screen che hai postato va benissimo, attendo gli altri così possiamo vedere cosa c'è fuori dal filesystem (e risolvere tutto quanto)

[mitrha]

settore 22: http://imageshack.us/photo/my-images/19/settore22.jpg/
Settore 23: http://imageshack.us/photo/my-images/196/settore23.jpg/
Settore 62: http://imageshack.us/photo/my-images/813/settore62.jpg/
Settore 63: http://imageshack.us/photo/my-images/40/settore63.jpg/
Settore390700799: http://imageshack.us/photo/my-images/6/ ... 00799.jpg/
Settore390700800: http://imageshack.us/photo/my-images/22 ... 00800.jpg/
Settore390721968: http://imageshack.us/photo/my-images/85 ... 21968.jpg/
Spero che vadano bene.
GRAZIE per la vostra disponibilità e pazienza
scusate se vi risp tardi ma ho orari di lavoro assurdi...

[Uomo_Senza_Sonno]

Il disco sembra pulito, anche i settori 22 e 23 sono vuoti.. per caso hai altri dischi collegati a quello di sistema?

[mitrha]

no nessun disco collegato.Non roesco proprio a capire da dove vengono i problemi che ho

[Uomo_Senza_Sonno]

Proviamo ad azzerare i settori esterni al filesystem, e poi verifichiamo se l'anomalia persiste. Riparti da qui nella lettura dell'articolo, ed inserisci i seguenti offset:

per quanto riguarda i settori 1-62, inserisci nel campo inizio il valore 200 e nel campo fine il valore 7DFF;

per quanto riguarda i settori 390700800-390721968, ripeti la procedura inserendo nel campo inizio il valore 2E933E0000 e nel campo fine il valore 2E93E35FFF;

al termine riavvia il pc ed utilizza la console di ripristino (ti servirà il cd di windows) ed esegui il comando fixboot e fixmbr, confermando ogni volta il comando.
Al successivo riavvio verifica se il problema, almeno nel mbr, persiste o meno.

[mitrha]

Scusami se sono sparito ma oggi è il primo giorno che ho libero dal lavoro. Allora proverò a fare tutto quello che mi dici e ti faccio sapere.Grazie per l'aiuto.
P.S.:comunque se possibile vorrei capire sopratutto da cosa dipendono quelle strane voci in spagnolo che mi compaiono nelle opzioni di visualizzazione delle cartelle. Sono davvero molto strane!!E come dicevo nn associate a nessuna voce nella guida di win xp.

[Uomo_Senza_Sonno]

Ok, fammi sapere come va e se ci sono miglioramenti