Olimpo Informatico

penthotal · Mortale devoto Registrato: 15/04/10 10:39 Messaggi: 6

A seguito di comportamenti strani del mio pc quando navigavo ( apertura pagine su un falso antivirus) ho usato MBR ,seguendo le istruzioni ; il log di controllo è qello che allego

alth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !

sist operativo xp sp3 antivirus avira personal , superantispyware , windows firewall

grazie in anticipo per il tempo che mi dedicate

Sante62 · Inviato: 15 Apr 2010 12:29 Oggetto:

Ciao penthotal Ciao

e benvenuto....

Riesegui MBR in questo modo: (Ricorda che va installato in C:\)

Start->Esegui digita cmd;

si apre la finestra DOS, digita: CD \
premi invio

digita: mbr -f (fai il Copia-Incolla)
premi invio

Poi digita: exit
premi invio

Riavvia il pc

Posta qui il contenuto del log C:\mbr.log

penthotal · Mortale devoto Registrato: 15/04/10 10:39 Messaggi: 6

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !

Sante62 · Inviato: 16 Apr 2010 11:47 Oggetto:

Scusami, ma avevo dimenticato di dirti di avviare il PC in modalità provvisoria e rifare la procedura in questa modalità.

Dopo, e solamente dopo, dalla modalità normale, digita mbr, senza l'opzione -f e posta il log.

penthotal · Mortale devoto Registrato: 15/04/10 10:39 Messaggi: 6

ho fatto come dici ,ma la situazione non cambia ; oltretutto ,avendo due HD nel pc ho sottoposto anche il secondo allo scan con mbr e ,guarda caso, il log è la fococopia uno dell'altro : stesso codice negli stessi
settori!!
Questo è il log per il disco C (quello col sistema operativo)
tealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !

Questo è il log del disco D

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !

Come hd ho due western digital IDE , il C da 80 il D da 150 GB; scusami ,ma non mi è venuto in mente prima di fartelo presente!

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao Sante62. Ciao

Scusa l'intrusione, ma il nostro amico, non ha le idee chiare sul MBR.

@penthotal:
L'MBR (Master Boot Record) è 1, e uno solo.
Non è che, perchè tu ha 2 HD, devi avere 2 MBR.
Puoi avere anche più di un S.O (Linux+ Windows) in vari HD, ma l'MBR sarà sempre 1.
E sarà dove è installato Windows.
Per cui, quando hai fatto la scansione in "D:" in realtà il tool ha scansionato il disco C:
Per avere la conferma, dovresti avere installato il tooll nel disco "D:" e lanciare il comando, (D:\mbr.exe -f ).
Ma ti verrà fuori un messaggio di errore, in quanto, il tooll non troverà l'MBR.
Perchè (essendo 1) è installato dove si trova il S.O, ovvero in C:
Scusate di nuovo l'intrusione.
Ciao!

Sante62 · Inviato: 16 Apr 2010 17:51 Oggetto:

Ciao R1....nessuna intrusione e grazie per il chiarimento...

@penthotal:
C'è qualcosa che non va nella procedura.

Hai fatto come ti è stato detto nel post?

penthotal · Mortale devoto Registrato: 15/04/10 10:39 Messaggi: 6

Per R1 . grazie del chiarimento , non ne avevo idea , sei stato gentilissimo . Very Happy

Per Sante 62 : ho eseguito alla lettera quello che mi hai consigliato ; ho anche disattivato il ripristino configurazione del sistema ; devo dirti che però il pc è tornato veloce come prima dell'infezione e non mi fa più cose strane
Grazie per la pazienza Very Happy

Sante62 · Inviato: 16 Apr 2010 19:20 Oggetto:

Bene, però dobbiamo fare, se credi, qualche altro controllo per vedere se c'è dell'altro.

Pulisci i files temporanei con
CCleaner
Segui le istruzioni di questo topic per rimuovere gli ADS con Hijackthis.
Segui le istruzioni di questo topic per usare MBAM.
Segui le istruzioni di questo topic per postare il log di HiJackThis.
Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
Carica il log di HiJackThis su WikiSend e posta il Forum Link che ti viene assegnato.

penthotal · Mortale devoto Registrato: 15/04/10 10:39 Messaggi: 6

Fatto! ti posto i forum link di wikisend ; ti anticipo che il log di MBAM è pulito
Questo è per il log di hjt
[URL=http://wikisend.com/download/544150

questo è il log di MBAM
mbam-log-2010-04-17 (11-31-49).txt

Sante62 · Inviato: 17 Apr 2010 13:42 Oggetto:

OK, disattiva il ripristino di sistema e poi riattivalo, per cancellare eventuali punti di ripristino infetti.

penthotal · Mortale devoto Registrato: 15/04/10 10:39 Messaggi: 6

Grazie 1000 ,sei stato gentilissimo Very Happy

!!

alla prossima

Sante62 · Inviato: 19 Apr 2010 11:06 Oggetto:

Alla prossima... Ciao