Precedente :: Successivo |
Autore |
Messaggio |
penthotal Mortale devoto

Registrato: 15/04/10 10:39 Messaggi: 6
|
Inviato: 15 Apr 2010 10:50 Oggetto: log mbr dopo fix |
|
|
A seguito di comportamenti strani del mio pc quando navigavo ( apertura pagine su un falso antivirus) ho usato MBR ,seguendo le istruzioni ; il log di controllo è qello che allego
alth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !
sist operativo xp sp3 antivirus avira personal , superantispyware , windows firewall
grazie in anticipo per il tempo che mi dedicate |
|
Top |
|
 |
Sante62 Dio maturo


Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 15 Apr 2010 12:29 Oggetto: |
|
|
Ciao penthotal e benvenuto....
Riesegui MBR in questo modo: (Ricorda che va installato in C:\)
Start->Esegui digita cmd;
si apre la finestra DOS, digita: CD \
premi invio
digita: mbr -f (fai il Copia-Incolla)
premi invio
Poi digita: exit
premi invio
Riavvia il pc
Posta qui il contenuto del log C:\mbr.log |
|
Top |
|
 |
penthotal Mortale devoto

Registrato: 15/04/10 10:39 Messaggi: 6
|
Inviato: 15 Apr 2010 12:45 Oggetto: |
|
|
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA ! |
|
Top |
|
 |
Sante62 Dio maturo


Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 16 Apr 2010 11:47 Oggetto: |
|
|
Scusami, ma avevo dimenticato di dirti di avviare il PC in modalità provvisoria e rifare la procedura in questa modalità.
Dopo, e solamente dopo, dalla modalità normale, digita mbr, senza l'opzione -f e posta il log. |
|
Top |
|
 |
penthotal Mortale devoto

Registrato: 15/04/10 10:39 Messaggi: 6
|
Inviato: 16 Apr 2010 13:47 Oggetto: |
|
|
ho fatto come dici ,ma la situazione non cambia ; oltretutto ,avendo due HD nel pc ho sottoposto anche il secondo allo scan con mbr e ,guarda caso, il log è la fococopia uno dell'altro : stesso codice negli stessi
settori!!
Questo è il log per il disco C (quello col sistema operativo)
tealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !
Questo è il log del disco D
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !
Come hd ho due western digital IDE , il C da 80 il D da 150 GB; scusami ,ma non mi è venuto in mente prima di fartelo presente! |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 16 Apr 2010 14:37 Oggetto: |
|
|
Ciao Sante62.
Scusa l'intrusione, ma il nostro amico, non ha le idee chiare sul MBR.
@penthotal:
L'MBR (Master Boot Record) è 1, e uno solo.
Non è che, perchè tu ha 2 HD, devi avere 2 MBR.
Puoi avere anche più di un S.O (Linux+ Windows) in vari HD, ma l'MBR sarà sempre 1.
E sarà dove è installato Windows.
Per cui, quando hai fatto la scansione in "D:" in realtà il tool ha scansionato il disco C:
Per avere la conferma, dovresti avere installato il tooll nel disco "D:" e lanciare il comando, (D:\mbr.exe -f ).
Ma ti verrà fuori un messaggio di errore, in quanto, il tooll non troverà l'MBR.
Perchè (essendo 1) è installato dove si trova il S.O, ovvero in C:
Scusate di nuovo l'intrusione.
Ciao! |
|
Top |
|
 |
Sante62 Dio maturo


Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 16 Apr 2010 17:51 Oggetto: |
|
|
Ciao R1....nessuna intrusione e grazie per il chiarimento...
@penthotal:
C'è qualcosa che non va nella procedura.
Hai fatto come ti è stato detto nel post? |
|
Top |
|
 |
penthotal Mortale devoto

Registrato: 15/04/10 10:39 Messaggi: 6
|
Inviato: 16 Apr 2010 18:36 Oggetto: |
|
|
Per R1 . grazie del chiarimento , non ne avevo idea , sei stato gentilissimo .
Per Sante 62 : ho eseguito alla lettera quello che mi hai consigliato ; ho anche disattivato il ripristino configurazione del sistema ; devo dirti che però il pc è tornato veloce come prima dell'infezione e non mi fa più cose strane
Grazie per la pazienza  |
|
Top |
|
 |
Sante62 Dio maturo


Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 16 Apr 2010 19:20 Oggetto: |
|
|
Bene, però dobbiamo fare, se credi, qualche altro controllo per vedere se c'è dell'altro.
- Pulisci i files temporanei con
CCleaner
- Segui le istruzioni di questo topic per rimuovere gli ADS con Hijackthis.
- Segui le istruzioni di questo topic per usare MBAM.
- Segui le istruzioni di questo topic per postare il log di HiJackThis.
- Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
- Carica il log di HiJackThis su WikiSend e posta il Forum Link che ti viene assegnato.
|
|
Top |
|
 |
penthotal Mortale devoto

Registrato: 15/04/10 10:39 Messaggi: 6
|
Inviato: 17 Apr 2010 11:47 Oggetto: |
|
|
Fatto! ti posto i forum link di wikisend ; ti anticipo che il log di MBAM è pulito
Questo è per il log di hjt
[URL=http://wikisend.com/download/544150
questo è il log di MBAM
mbam-log-2010-04-17 (11-31-49).txt |
|
Top |
|
 |
Sante62 Dio maturo


Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia
|
|
Top |
|
 |
penthotal Mortale devoto

Registrato: 15/04/10 10:39 Messaggi: 6
|
Inviato: 18 Apr 2010 22:01 Oggetto: |
|
|
Grazie 1000 ,sei stato gentilissimo !!
alla prossima |
|
Top |
|
 |
Sante62 Dio maturo


Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 19 Apr 2010 11:06 Oggetto: |
|
|
Alla prossima...  |
|
Top |
|
 |
|