Come rimuovere il cavallo di troia Win32/Mebroot K nel settore MBR ?
sonia:
scusate l'intrusione....che vuol dire formattazione a basso livello crazy???
ridethesnake:
--- Citazione da: sonia - Novembre 27, 2009, 11:22:48 am ---scusate l'intrusione....che vuol dire formattazione a basso livello crazy???
--- Termina citazione ---
leggi questo documento http://www.dizionarioinformatico.com/cgi-lib/diz.cgi?frame&key=formattazione contiene informazioni generiche sulla formattazione a basso livello,
ed anche l'articolo di crazy :pollicione:
http://www.megalab.it/2599/la-formattazione-a-basso-livello :pollicione:
andras:
--- Citazione da: crazy.cat - Novembre 27, 2009, 08:13:15 am ---
--- Citazione da: andras - Novembre 26, 2009, 21:37:42 pm ---.. speriamo bene..
--- Termina citazione ---
Ti sei preso una brutta bestia.
Scarica mbr.exe e salvalo nella directory C:\
Dopo vai su Start>> Esegui e digita mbr.exe -f
Mbr.exe metterà qualche secondo a fare la scansione. Fatto ciò postami qui il contenuto del log creato che troverai in c:\mbr.log
E' probabile che non riesca a rimuovertelo.
Ti segnalo questa discussione dove sono stati tentati vari sistemi
http://www.megalab.it/forum/sicurezza/virus-sul-settore-1-mbr-t58918.html Quello più efficace sembra essere questo
http://www.megalab.it/forum/post453355.html#p453355 Io sarei passato alla formattazione a basso livello subito per cancellare i settori di boot (con la formattazione normale non risolvi), ma se vuoi salvare la tua installazione attuale senza reinstallare, prova a leggere quel post che ti ho segnalato.
E' difficile come metodo e non saprei come guidarti a seguire quelle istruzioni.
--- Citazione da: andras - Novembre 26, 2009, 21:37:42 pm ---e è possibile che sia nascosto nei giochi di facebook? ??? ??
--- Termina citazione ---
La versione precedente del virus si nascondeva in appositi siti web dagli indirizzi stranissimi, su cui venivi fatto rimbalzare da collegamenti nascosti in siti normalissimi, appena arrivavi in questi siti strani ti mandavano subito in esecuzione un file eseguibile pronto ad infettarti. Chi mi avvisava era un buon firewall con modulo hips (come online armor) che notava l'eseguibile strano che voleva fare modifiche non gradite.
--- Termina citazione ---
per quanto riguarda mbr.exe non me lo fa eseguire nemmeno in modalità provvisoria non so come sono riuscita a fare questo che ti allego.
ora provo a fare una scanzione con norman e poi con combofix
e vi faccio sapere...
se posso evitare una formattazione è meglio questo è un sistema di montaggio dove i settaggi sono un po complicati.. incrociate le dita con me
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x87216f30
NDIS: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC -> SendCompleteHandler -> 0x87253480
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x03A380D80
malicious code @ sector 0x03A380D83 !
PE file found in sector at 0x03A380D99 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
ridethesnake:
--- Citazione da: andras - Novembre 27, 2009, 12:39:56 pm ---....incrociate le dita con me
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
--- Termina citazione ---
crazy.cat:
--- Citazione da: andras - Novembre 27, 2009, 12:39:56 pm ---MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
--- Termina citazione ---
Avevi provato a lanciare la scansione con mbr.exe -f ?
Devi aggiungere alla fine del comando l'opzione -f poi riposta il log.
Navigazione
[0] Indice dei post
Vai alla versione completa