Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
log mbr dopo fix
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
penthotal
Mortale devoto
Mortale devoto


Registrato: 15/04/10 10:39
Messaggi: 6

MessaggioInviato: 15 Apr 2010 10:50    Oggetto: log mbr dopo fix Rispondi citando

A seguito di comportamenti strani del mio pc quando navigavo ( apertura pagine su un falso antivirus) ho usato MBR ,seguendo le istruzioni ; il log di controllo è qello che allego

alth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !


sist operativo xp sp3 antivirus avira personal , superantispyware , windows firewall

grazie in anticipo per il tempo che mi dedicate
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 15 Apr 2010 12:29    Oggetto: Rispondi citando

Ciao penthotal Ciao e benvenuto....

Riesegui MBR in questo modo: (Ricorda che va installato in C:\)

Start->Esegui digita cmd;

si apre la finestra DOS, digita: CD \
premi invio

digita: mbr -f (fai il Copia-Incolla)
premi invio

Poi digita: exit
premi invio

Riavvia il pc

Posta qui il contenuto del log C:\mbr.log
Top
Profilo Invia messaggio privato
penthotal
Mortale devoto
Mortale devoto


Registrato: 15/04/10 10:39
Messaggi: 6

MessaggioInviato: 15 Apr 2010 12:45    Oggetto: Rispondi citando

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 16 Apr 2010 11:47    Oggetto: Rispondi citando

Scusami, ma avevo dimenticato di dirti di avviare il PC in modalità provvisoria e rifare la procedura in questa modalità.

Dopo, e solamente dopo, dalla modalità normale, digita mbr, senza l'opzione -f e posta il log.
Top
Profilo Invia messaggio privato
penthotal
Mortale devoto
Mortale devoto


Registrato: 15/04/10 10:39
Messaggi: 6

MessaggioInviato: 16 Apr 2010 13:47    Oggetto: Rispondi citando

ho fatto come dici ,ma la situazione non cambia ; oltretutto ,avendo due HD nel pc ho sottoposto anche il secondo allo scan con mbr e ,guarda caso, il log è la fococopia uno dell'altro : stesso codice negli stessi
settori!!
Questo è il log per il disco C (quello col sistema operativo)
tealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !



Questo è il log del disco D

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !

Come hd ho due western digital IDE , il C da 80 il D da 150 GB; scusami ,ma non mi è venuto in mente prima di fartelo presente!
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 16 Apr 2010 14:37    Oggetto: Rispondi citando

Ciao Sante62. Ciao
Scusa l'intrusione, ma il nostro amico, non ha le idee chiare sul MBR.

@penthotal:
L'MBR (Master Boot Record) è 1, e uno solo.
Non è che, perchè tu ha 2 HD, devi avere 2 MBR.
Puoi avere anche più di un S.O (Linux+ Windows) in vari HD, ma l'MBR sarà sempre 1.
E sarà dove è installato Windows.
Per cui, quando hai fatto la scansione in "D:" in realtà il tool ha scansionato il disco C:
Per avere la conferma, dovresti avere installato il tooll nel disco "D:" e lanciare il comando, (D:\mbr.exe -f ).
Ma ti verrà fuori un messaggio di errore, in quanto, il tooll non troverà l'MBR.
Perchè (essendo 1) è installato dove si trova il S.O, ovvero in C:
Scusate di nuovo l'intrusione.
Ciao!
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 16 Apr 2010 17:51    Oggetto: Rispondi citando

Ciao R1....nessuna intrusione e grazie per il chiarimento...

@penthotal:
C'è qualcosa che non va nella procedura.

Hai fatto come ti è stato detto nel post?
Top
Profilo Invia messaggio privato
penthotal
Mortale devoto
Mortale devoto


Registrato: 15/04/10 10:39
Messaggi: 6

MessaggioInviato: 16 Apr 2010 18:36    Oggetto: Rispondi citando

Per R1 . grazie del chiarimento , non ne avevo idea , sei stato gentilissimo . Very Happy
Per Sante 62 : ho eseguito alla lettera quello che mi hai consigliato ; ho anche disattivato il ripristino configurazione del sistema ; devo dirti che però il pc è tornato veloce come prima dell'infezione e non mi fa più cose strane
Grazie per la pazienza Very Happy
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 16 Apr 2010 19:20    Oggetto: Rispondi citando

Bene, però dobbiamo fare, se credi, qualche altro controllo per vedere se c'è dell'altro.

  • Pulisci i files temporanei con
    CCleaner
  • Segui le istruzioni di questo topic per rimuovere gli ADS con Hijackthis.
  • Segui le istruzioni di questo topic per usare MBAM.
  • Segui le istruzioni di questo topic per postare il log di HiJackThis.
  • Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
  • Carica il log di HiJackThis su WikiSend e posta il Forum Link che ti viene assegnato.
Top
Profilo Invia messaggio privato
penthotal
Mortale devoto
Mortale devoto


Registrato: 15/04/10 10:39
Messaggi: 6

MessaggioInviato: 17 Apr 2010 11:47    Oggetto: Rispondi citando

Fatto! ti posto i forum link di wikisend ; ti anticipo che il log di MBAM è pulito
Questo è per il log di hjt
[URL=http://wikisend.com/download/544150

questo è il log di MBAM
mbam-log-2010-04-17 (11-31-49).txt
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 17 Apr 2010 13:42    Oggetto: Rispondi citando

OK, disattiva il ripristino di sistema e poi riattivalo, per cancellare eventuali punti di ripristino infetti.
Top
Profilo Invia messaggio privato
penthotal
Mortale devoto
Mortale devoto


Registrato: 15/04/10 10:39
Messaggi: 6

MessaggioInviato: 18 Apr 2010 22:01    Oggetto: Rispondi citando

Grazie 1000 ,sei stato gentilissimo Very Happy Very Happy !!

alla prossima
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 19 Apr 2010 11:06    Oggetto: Rispondi

Alla prossima... Ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi