Inserito da: lusar - Giugno 25, 2008, 19:52:10 pm
Il settore MBR di 2. Disco fisico contiene cavallo di troia Win32/Mebroot. K. Errore nella lettura del settore.
Qualcuno mi puo' dire come posso rimuovere quel cavallo di troia nel settore MBR ?
Inserito da: crazy.cat - Giugno 25, 2008, 20:11:13 pm
1) Scarica http://www2.gmer.net/mbr/mbr.exe (http://www2.gmer.net/mbr/mbr.exe)
2) Riavvia in modalita' provvisoria
3) start - esegui dai il comando (selezionando il file a seconda di dove lo hai messo) mbr.exe -f
(se ti salvi qualche dato importante è meglio, sino ad ora non ha mai fatto danni ma non si sa mai)
Controlla anche con gmer http://www.gmer.net/gmer.zip (http://www.gmer.net/gmer.zip) se dopo l'uso dell'altro tool ti trova ancora delle attività rootkit in qualche file o pezzo di disco fisso.
Inserito da: lusar - Giugno 25, 2008, 22:38:23 pm
Ho eseguito mbr.exe -f da modalita' provvisoria. ma non mi sembra abbia avuto nessun effetto.
Poi ho eseguito gmer. Questo ha rilevato qualcosa che puoi veder qui sotto.
(http://img110.imageshack.us/img110/8983/cavalloditroiavo5.jpg)
Ed ora come faccio per rimuovere il cavallo di troia ?
Inserito da: MaxPayne - Giugno 25, 2008, 22:50:56 pm
e oltre a quello ha beccato altri 4 virus... non so se sia metodo giusto..ma sai io faccio sempre mille esperimenti...
cmq sicuramente altre soluzioni ci sono.
Inserito da: crazy.cat - Giugno 26, 2008, 08:13:15 am
Avvii con il cd di windows e segui le istruzioni http://support.microsoft.com/?scid=kb%3Bit%3B314058&x=14&y=11 (http://support.microsoft.com/?scid=kb%3Bit%3B314058&x=14&y=11) sino a poter lanciare il comando fixmbr.
Sembra comunque un problema abbastanza comune il tuo e nod non è in grado di ripararlo a nessuno.
Inserito da: lusar - Giugno 26, 2008, 20:46:24 pm
Ho cominciato a provare con il suggerimento di MaxPayne perche' mi e' sembrato il piu' facile da applicare. Ho disinstallato il NOD32 ed ho installato l'Avira Free. Quest'ultimo mi ha trovato anche un paio di altri virus ed altri malaware, che ho fatto eliminare.
Avira Free l'ho trovato ottimo come antivirus. Chiedo a MaxPayne se poi ha abbandonato NOD32 a favore di Avira.
Dopo la pulizia con Avira, ho riinstallato NOD32 per verificare la situzione. Con mia amara sorpresa NOD32 mi ha nuovamente segnalato la presenza del solito virus sul settore MBR.
Che fare ora?
Provero' a seguire il consiglio dato da crazy.cat sperando di avere successo. Ho un po' il timore di compromettere la piccola partizione in cui e' installato il "Boot Magic" per l'utilizzo dei due sistemi operativi di Windows XP Home. Infatti dispongo di due partizioni primarie C: una per lavorare e l'altra per fare i miei test di risorse scaricate dalla rete.
Inserito da: MaxPayne - Giugno 27, 2008, 12:36:03 pm
ciao
Inserito da: lusar - Giugno 27, 2008, 20:12:05 pm
Dopo vari tentativi sono riuscito ad aggiornare l'Avira Free.
Ha rilevato il virus in 3 settori di boot: HD1, HD2 e HD3 come qui sotto indicato
(http://img175.imageshack.us/img175/7208/senzatitolo3dy6.jpg)
Pero' poi non riesce ad eliminarli con questo messaggio:
(http://img45.imageshack.us/img45/2056/senzatitolo2ey0.jpg)
Possibile che non vi sia un antivirus o un'utility che possa rimuovere i virus dai settori di boot ?
Non so piu' che pesci pigliare, se avete qualche altro suggerimento....
Grazie ancora
Inserito da: NeW - Giugno 27, 2008, 22:12:38 pm
Norman Cleaner SinowalMBR
Homepage:
| |||||
| |||||
| |||||
| |||||
Dr.Web Cureit
Info:
| |||||
| |||||
| |||||
| |||||
Inserito da: lusar - Giugno 28, 2008, 00:36:45 am
Con mia grande gioia ho visto il mio problema soluzionato in pochissimi secondi (vedi qui sotto)
(http://img204.imageshack.us/img204/1084/risoltoev8.jpg)
A riprova ho fatto girare l'Avira Free che mi ha confermato l'eliminazione del virus nei settori di boot (vedi qui sotto)
(http://img50.imageshack.us/img50/6585/risolto1kp1.jpg)
Un grosso applauso ed un caloroso ringraziamento al grande New per la sua esperienza e competenza
ed ancora un grazie di cuore agli amici crazy.cat e Maxpayne per l'aiuto che mi hanno offerto.
Inserito da: Mimmo966 - Giugno 28, 2008, 01:54:25 am
Crazy.cat Maxpayne e New sono uomini preziosissimi, Lusar con il suo lavoro... insostituibile. Complimenti :applausi:
Inserito da: ridethesnake - Giugno 29, 2008, 09:14:01 am
...Mimmo, il tuo elogio sintetizza e premia al meglio lo spirito di collaborazione che aleggia quì intorno... :pollicione:
Crazy.cat Maxpayne e New sono uomini preziosissimi, Lusar con il suo lavoro... insostituibile. Complimenti :applausi:
Inserito da: donius - Luglio 29, 2008, 12:15:23 pm
Comunque grazie ragazzi
Inserito da: crazy.cat - Luglio 29, 2008, 13:07:45 pm
Che significa?Può essere un backup creato dal tools della Norman, comunque se nod lo ha messo in quarantena ha già svolto il suo lavoro.
Inserito da: the_boss - Luglio 28, 2009, 13:13:52 pm
Inserito da: Mimmo966 - Luglio 28, 2009, 18:20:03 pm
Io Ti Dò Un Mio Consiglio.... Togli Al Più Presto Nod32 E Metti KIS :ciao:Togliere il Nod e sostituirlo con kaspersky?... :o ...e perchè scusa?
Inserito da: mrmagooz - Luglio 28, 2009, 19:30:07 pm
2.x 3.x o la 4.x?
ciao
Inserito da: andras - Novembre 26, 2009, 21:37:42 pm
grazie hail2 hail2 hail2
Inserito da: ridethesnake - Novembre 27, 2009, 06:34:57 am
... è possibile che sia nascosto nei giochi di facebook? ??? ??un mese addietro sono riusciti a superare il sistema di captcha di facebook (Con l'acronimo inglese CAPTCHA si denota nell'ambito dell'informatica un test fatto di una o più domande e risposte per determinare se l'utente sia un umano ...), e in un solo giorno esistevano più di mille profili fasulli che avevano come unico scopo quello di veicolare virus e troiani spingendo il malcapitato a fare un solo e misero clic su di un link costruito ad hoc.
Oltre al tool della Norman puoi fare una scansione con il ComboFix che trovi all'indirizzo
| |||||
| |||||
Ricordati che il peggio virus, ma anche il miglior antivirus, è quello che sta tra la tastiera e la sedia... oltre ovviamente a tenere il sistema operativo aggiornato, ti consiglio di usare un firewall tipo Online Armor Free
| |||||
| |||||
:pollicione: :ciao:
Inserito da: crazy.cat - Novembre 27, 2009, 08:13:15 am
.. speriamo bene..Ti sei preso una brutta bestia.
Scarica mbr.exe (http://www2.gmer.net/mbr/mbr.exe) e salvalo nella directory C:\
Dopo vai su Start>> Esegui e digita mbr.exe -f
Mbr.exe metterà qualche secondo a fare la scansione. Fatto ciò postami qui il contenuto del log creato che troverai in c:\mbr.log
E' probabile che non riesca a rimuovertelo.
Ti segnalo questa discussione dove sono stati tentati vari sistemi
| |||||
| |||||
| |||||
| |||||
E' difficile come metodo e non saprei come guidarti a seguire quelle istruzioni.
e è possibile che sia nascosto nei giochi di facebook??????La versione precedente del virus si nascondeva in appositi siti web dagli indirizzi stranissimi, su cui venivi fatto rimbalzare da collegamenti nascosti in siti normalissimi, appena arrivavi in questi siti strani ti mandavano subito in esecuzione un file eseguibile pronto ad infettarti. Chi mi avvisava era un buon firewall con modulo hips (come online armor) che notava l'eseguibile strano che voleva fare modifiche non gradite.
Inserito da: sonia - Novembre 27, 2009, 11:22:48 am
Inserito da: ridethesnake - Novembre 27, 2009, 11:43:23 am
scusate l'intrusione....che vuol dire formattazione a basso livello crazy???
leggi questo documento
| |||||
| |||||
ed anche l'articolo di crazy :pollicione:
| |||||
| |||||
Inserito da: andras - Novembre 27, 2009, 12:39:56 pm
.. speriamo bene..Ti sei preso una brutta bestia.
Scarica mbr.exe (http://www.anonym.to/?http://www2.gmer.net/mbr/mbr.exe) e salvalo nella directory C:\
Dopo vai su Start>> Esegui e digita mbr.exe -f
Mbr.exe metterà qualche secondo a fare la scansione. Fatto ciò postami qui il contenuto del log creato che troverai in c:\mbr.log
E' probabile che non riesca a rimuovertelo.
Ti segnalo questa discussione dove sono stati tentati vari sistemiQuello più efficace sembra essere questo
http://www.megalab.it/forum/sicurezza/virus-sul-settore-1-mbr-t58918.html
Io sarei passato alla formattazione a basso livello subito per cancellare i settori di boot (con la formattazione normale non risolvi), ma se vuoi salvare la tua installazione attuale senza reinstallare, prova a leggere quel post che ti ho segnalato.
http://www.megalab.it/forum/post453355.html#p453355
E' difficile come metodo e non saprei come guidarti a seguire quelle istruzioni.e è possibile che sia nascosto nei giochi di facebook? ??? ??La versione precedente del virus si nascondeva in appositi siti web dagli indirizzi stranissimi, su cui venivi fatto rimbalzare da collegamenti nascosti in siti normalissimi, appena arrivavi in questi siti strani ti mandavano subito in esecuzione un file eseguibile pronto ad infettarti. Chi mi avvisava era un buon firewall con modulo hips (come online armor) che notava l'eseguibile strano che voleva fare modifiche non gradite.
per quanto riguarda mbr.exe non me lo fa eseguire nemmeno in modalità provvisoria non so come sono riuscita a fare questo che ti allego.
ora provo a fare una scanzione con norman e poi con combofix
e vi faccio sapere...
se posso evitare una formattazione è meglio questo è un sistema di montaggio dove i settaggi sono un po complicati.. incrociate le dita con me
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x87216f30
NDIS: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC -> SendCompleteHandler -> 0x87253480
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x03A380D80
malicious code @ sector 0x03A380D83 !
PE file found in sector at 0x03A380D99 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
Inserito da: ridethesnake - Novembre 27, 2009, 13:10:46 pm
....incrociate le dita con me
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
(http://uptiki.com/images/4cv0xzhqutrqcsplg4e.gif)
Inserito da: crazy.cat - Novembre 27, 2009, 14:01:44 pm
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.Avevi provato a lanciare la scansione con mbr.exe -f ?
Devi aggiungere alla fine del comando l'opzione -f poi riposta il log.
Inserito da: sonia - Novembre 27, 2009, 15:29:04 pm
scusate l'intrusione....che vuol dire formattazione a basso livello crazy???
leggi questo documentocontiene informazioni generiche sulla formattazione a basso livello,
http://www.dizionarioinformatico.com/cgi-lib/diz.cgi?frame&key=formattazione
ed anche l'articolo di crazy :pollicione::pollicione:
http://www.megalab.it/2599/la-formattazione-a-basso-livello
c'è sempre da imparare grazie occhioni
.... una cosa buttata lì per andras "se qualcuno qualificato e di fiducia potesse entrare in remoto sul suo pc potrebbe risolvere??"
Inserito da: andras - Novembre 28, 2009, 12:34:53 pm
sono riuscita a fare mbr.exe e questo è quello che è venuto fuori
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x03A380D80
malicious code @ sector 0x03A380D83 !
PE file found in sector at 0x03A380D99 !
e ho anche fatto mbr.exe -f
C:\>mbr.exe - f
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x03A380D80
malicious code @ sector 0x03A380D83 !
PE file found in sector at 0x03A380D99 !
è ancora qui la cartella si è riformata.... che fare??????
cmq grazie in anticipo e per tutto :snog: :snog: occhioni occhioni :grazie3: :grazie3: :grazie3: :grazie3: :grazie3: :grazie3: :grazie3:
Inserito da: crazy.cat - Novembre 28, 2009, 15:10:29 pm
è ancora qui la cartella si è riformata.... che fare??????Come previsto riesce a leggerlo ma non lo toglie.
Non so se hai letto il post di masterz3d che ti ho linkato prima, ma si tratta di operazioni che non ho mai fatto di persona e che sarebbero troppo impegnative da fare via assistenza remota.
C'è il rischio di piantare il sistema operativo se si sbaglia qualcosa.
Se fosse un virus diverso si potrebbero anche tentare altre soluzioni ma questo è una brutta rogna.
Questa volta sventolo bandiera bianca.
Inserito da: andras - Novembre 28, 2009, 15:32:34 pm
è ancora qui la cartella si è riformata.... che fare? ??? ??Come previsto riesce a leggerlo ma non lo toglie.
Non so se hai letto il post di masterz3d che ti ho linkato prima, ma si tratta di operazioni che non ho mai fatto di persona e che sarebbero troppo impegnative da fare via assistenza remota.
C'è il rischio di piantare il sistema operativo se si sbaglia qualcosa.
Se fosse un virus diverso si potrebbero anche tentare altre soluzioni ma questo è una brutta rogna.
Questa volta sventolo bandiera bianca.
si si ho letto il post...ma è veramente complicato per me che vado a sperimentazioni... sigh.. sigh.... come faccio!!!!!!!!!!!!!!!!!!!!!!! mannaggia.... oggi pomeriggio.. mi rimetto alla ricerca.... mondo informatico infame :matto:
cmq :grazie3:
Inserito da: crazy.cat - Novembre 28, 2009, 17:27:06 pm
| |||||
| |||||
Due cose importanti, se arrivi a formattare devi fare prima quella a basso livello altrimenti non ripulirai mai quel disco fisso.
Seconda cosa, se devi salvarti dei dati da quel pc prima di formattare non collegare subito dei dischi esterni o una chiavetta usb perchè rischi di infettare pure quelli e tirarti dietro l'infezione.
Masterizza i dati, oppure fai partire il pc con un cd live di linux e salvati i dati su un disco esterno così da non attivare il virus e portartelo dietro nuovamente.
Inserito da: ridethesnake - Novembre 28, 2009, 19:42:59 pm
...se arrivi a formattare devi fare prima quella a basso livello altrimenti non ripulirai mai quel disco fisso...dovrebbe bastare eliminare tutte le partizioni per avere un mbr lindo... :pollicione:
Inserito da: andras - Novembre 28, 2009, 21:29:45 pm
...se arrivi a formattare devi fare prima quella a basso livello altrimenti non ripulirai mai quel disco fisso...dovrebbe bastare eliminare tutte le partizioni per avere un mbr lindo... :pollicione:
grazie.. grazie anche a crazy.cat... ora sono in crisi netta... ho collegato 1 hd con tutto il lavoro dentro..... e l'ho passato da un pc all'altro... come posso controllare se è infetto o no?
:pioggia: :pioggia: e .. mo non ricordo qualte partizioni ha il pc.. ma mi sembra che quella è unica..... doppia disgrazia.... :sedia: :sedia: :sedia:
Inserito da: andras - Novembre 28, 2009, 21:32:19 pm
Prova a fare una scansione con drweb e prevxora non ho il pc sotto mano... drweb l'ho fatto ma non trova nulla... devo provare l'altro... grazie...!!!!!!!1
http://www.freedrweb.com/cureit/
http://info.prevx.com/downloadcsi.asp
Due cose importanti, se arrivi a formattare devi fare prima quella a basso livello altrimenti non ripulirai mai quel disco fisso.
Seconda cosa, se devi salvarti dei dati da quel pc prima di formattare non collegare subito dei dischi esterni o una chiavetta usb perchè rischi di infettare pure quelli e tirarti dietro l'infezione.
Masterizza i dati, oppure fai partire il pc con un cd live di linux e salvati i dati su un disco esterno così da non attivare il virus e portartelo dietro nuovamente.
Inserito da: ridethesnake - Novembre 28, 2009, 22:19:40 pm
... ora sono in crisi netta... ho collegato 1 hd con tutto il lavoro dentro..... e l'ho passato da un pc all'altro... come posso controllare se è infetto o no?sicuramente sarà infetto anche il MBR dell'HD esterno
questo è quello che è successo a me un anno fa
http://ediboard.altervista.org/index.php?topic=1345.0 (http://ediboard.altervista.org/index.php?topic=1345.0)
non ti voglio scoraggiare ma... :ciao:
.... una cosa buttata lì per andras "se qualcuno qualificato e di fiducia potesse entrare in remoto sul suo pc potrebbe risolvere??"
non servirebbe... se il rootkit si è insediato nel driver della rete come postato da andras...
Citazione
detected MBR rootkit hooks:sarebbe un suicidio qualunque assistenza remota :oops:
\Driver\ACPI -> 0x87216f30
NDIS: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC -> SendCompleteHandler -> 0x87253480
Warning: possible MBR rootkit infection !
Inserito da: andras - Novembre 28, 2009, 22:25:09 pm
... ora sono in crisi netta... ho collegato 1 hd con tutto il lavoro dentro..... e l'ho passato da un pc all'altro... come posso controllare se è infetto o no?sicuramente sarà infetto anche il MBR dell'HD esterno
questo è quello che è successo a me un anno fa
http://ediboard.altervista.org/index.php?topic=1345.0 (http://index.php?topic=1345.0)
non ti voglio scoraggiare ma... :ciao:
comincio a prendere a testate il muro !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
ma come mi rendo conto se hd esterno è infetto?
ps... dopo leggo attentamente e ancora :grazie3:
Inserito da: crazy.cat - Novembre 29, 2009, 08:29:13 am
ma come mi rendo conto se hd esterno è infetto?Fai il test con lo stesso programmino fixmbr lanciato però sulla lettera del disco esterno
fixmbr X: /f
dove X è la lettera dell'unità esterna.
(dovrebbe andare...spero)
Inserito da: andras - Novembre 29, 2009, 12:21:32 pm
ma come mi rendo conto se hd esterno è infetto?Fai il test con lo stesso programmino fixmbr lanciato però sulla lettera del disco esterno
fixmbr X: /f
dove X è la lettera dell'unità esterna.
(dovrebbe andare...spero)
ok... oggi pomeriggio lo faccio dal mio pc.. controllo i 2 hd speriam bene.....
cmq sto pensando seriamente di lavarmi le mani e chiamare un tecnico informatico amico nostro e farci mettere le mani a lui.. questa mattina provo gli ultimi programmi che mi avete dato... se si leva bene altrimenti.... alzo le mani... non è materia per me... ma almeno ci ho provato ihihih occhioni :sorrisone: :sorrisone: :sorrisone: :sorrisone:
grazie tantissimo a tutti...... siete stati gentilissimi e disponibilissimi