Autore Topic: Come rimuovere il cavallo di troia Win32/Mebroot K nel settore MBR ?  (Letto 35639 volte)

Descrizione:

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline Mimmo966

  • Moderatore Globale
  • *
  • Post: 1839
  • Karma: +51/-0
  • La disciplina non è il Suo forte signor Anderson
Re:Come rimuovere il cavallo di troia Win32/Mebroot K nel settore MBR ?
« Risposta #15 il: Luglio 28, 2009, 18:20:03 pm »
Io Ti Dò Un Mio Consiglio.... Togli Al Più Presto Nod32 E Metti KIS  :ciao:
Togliere il Nod e sostituirlo con kaspersky?... :o ...e perchè scusa?
 

Offline mrmagooz

  • CrazyNauti
  • *
  • Post: 391
  • Karma: +5/-0
    • E-mail
Re:Come rimuovere il cavallo di troia Win32/Mebroot K nel settore MBR ?
« Risposta #16 il: Luglio 28, 2009, 19:30:07 pm »
Per curiosità , che versione usi o usavi del nod32?
2.x 3.x o la 4.x?
ciao
E' inutile discutere con un cretino, prima ti abbassi al suo livello, poi lui ti batte in esperienza!"
 

Offline andras

  • CrazyNauti
  • *
  • Post: 71
  • Karma: +106/-1
    • E-mail
Re:Come rimuovere il cavallo di troia Win32/Mebroot K nel settore MBR ?
« Risposta #17 il: Novembre 26, 2009, 21:37:42 pm »
Ho lo stesso problema... domani mattina provo a seguire le vostre indicazioni.... speriamo bene.. ma ditemi ho nod 32 4.0.437.0 che dite devo cambiare? e è possibile che sia nascosto nei giochi di facebook??????

grazie hail2 hail2 hail2
 

Offline ridethesnake

  • Vice Amministratore
  • *
  • Post: 8665
  • Ringraziato: 4 volte
  • Karma: +476/-3
  • Quando aiuti qualcuno aiuti te stesso.
Re:Come rimuovere il cavallo di troia Win32/Mebroot K nel settore MBR ?
« Risposta #18 il: Novembre 27, 2009, 06:34:57 am »
... è possibile che sia nascosto nei giochi di facebook? ??? ??

un mese addietro sono riusciti a superare il sistema di captcha di facebook (Con l'acronimo inglese CAPTCHA si denota nell'ambito dell'informatica un test fatto di una o più domande e risposte per determinare se l'utente sia un umano ...), e in un solo giorno esistevano più di mille profili fasulli che avevano come unico scopo quello di veicolare virus e troiani spingendo il malcapitato a fare un solo e misero clic su di un link costruito ad hoc.

Oltre al tool della Norman puoi fare una scansione con il ComboFix che trovi all'indirizzo che leva veramente tanta sporcizia.

Ricordati che il peggio virus, ma anche il miglior antivirus, è quello che sta tra la tastiera e la sedia... oltre ovviamente a tenere il sistema operativo aggiornato, ti consiglio di usare un firewall tipo Online Armor Free davvero solido oltre che gratuito, e naturalmente cautela nella navigazione: visto che usi firefox ci sono estensioni come NoScript e AdBlockPlus che bloccano contenuti delle pagine web potenzialmente pericolosi.

 :pollicione: :ciao:
Se do da mangiare ad un povero, mi dicono che sono un santo, ma se chiedo perchè quel povero è povero, mi dicono che sono un comunista!



Se non avete niente di meglio da fare andate a farlo da un'altra parte.
 

Offline crazy.cat

Re:Come rimuovere il cavallo di troia Win32/Mebroot K nel settore MBR ?
« Risposta #19 il: Novembre 27, 2009, 08:13:15 am »
.. speriamo bene..
Ti sei preso una brutta bestia.

Scarica mbr.exe e salvalo nella directory C:\
Dopo vai su Start>> Esegui e digita mbr.exe -f
Mbr.exe metterà qualche secondo a fare la scansione. Fatto ciò postami qui il contenuto del log creato che troverai in c:\mbr.log

E' probabile che non riesca a rimuovertelo.
Ti segnalo questa discussione dove sono stati tentati vari sistemi
Quello più efficace sembra essere questo
Io sarei passato alla formattazione a basso livello subito per cancellare i settori di boot (con la formattazione normale non risolvi), ma se vuoi salvare la tua installazione attuale senza reinstallare, prova a leggere quel post che ti ho segnalato.
E' difficile come metodo e non saprei come guidarti a seguire quelle istruzioni.


e è possibile che sia nascosto nei giochi di facebook??????
La versione precedente del virus si nascondeva in appositi siti web dagli indirizzi stranissimi, su cui venivi fatto rimbalzare da collegamenti nascosti in siti normalissimi, appena arrivavi in questi siti strani ti mandavano subito in esecuzione un file eseguibile pronto ad infettarti. Chi mi avvisava era un buon firewall con modulo hips (come online armor) che notava l'eseguibile strano che voleva fare modifiche non gradite.
« Ultima modifica: Novembre 27, 2009, 11:01:52 am da crazy.cat »
Gli uomini politici sono uguali dappertutto. Promettono di costruire un ponte anche dove non c’è un fiume.
 

Offline sonia

  • Vip
  • *
  • Post: 1279
  • Karma: +109/-4
    • E-mail
Re:Come rimuovere il cavallo di troia Win32/Mebroot K nel settore MBR ?
« Risposta #20 il: Novembre 27, 2009, 11:22:48 am »
scusate l'intrusione....che vuol dire formattazione a basso livello crazy???
Non sono d'accordo su ciò‚ che dici, ma darei la vita affinché tu abbia il diritto di dirlo (Voltaire)
 

Offline ridethesnake

  • Vice Amministratore
  • *
  • Post: 8665
  • Ringraziato: 4 volte
  • Karma: +476/-3
  • Quando aiuti qualcuno aiuti te stesso.
Re:Come rimuovere il cavallo di troia Win32/Mebroot K nel settore MBR ?
« Risposta #21 il: Novembre 27, 2009, 11:43:23 am »
scusate l'intrusione....che vuol dire formattazione a basso livello crazy???

leggi questo documento contiene informazioni generiche sulla formattazione a basso livello,
ed anche l'articolo di crazy  :pollicione:
:pollicione:
Se do da mangiare ad un povero, mi dicono che sono un santo, ma se chiedo perchè quel povero è povero, mi dicono che sono un comunista!



Se non avete niente di meglio da fare andate a farlo da un'altra parte.
 

Offline andras

  • CrazyNauti
  • *
  • Post: 71
  • Karma: +106/-1
    • E-mail
Re:Come rimuovere il cavallo di troia Win32/Mebroot K nel settore MBR ?
« Risposta #22 il: Novembre 27, 2009, 12:39:56 pm »
.. speriamo bene..
Ti sei preso una brutta bestia.

Scarica mbr.exe e salvalo nella directory C:\
Dopo vai su Start>> Esegui e digita mbr.exe -f
Mbr.exe metterà qualche secondo a fare la scansione. Fatto ciò postami qui il contenuto del log creato che troverai in c:\mbr.log

E' probabile che non riesca a rimuovertelo.
Ti segnalo questa discussione dove sono stati tentati vari sistemi
Quello più efficace sembra essere questo
Io sarei passato alla formattazione a basso livello subito per cancellare i settori di boot (con la formattazione normale non risolvi), ma se vuoi salvare la tua installazione attuale senza reinstallare, prova a leggere quel post che ti ho segnalato.
E' difficile come metodo e non saprei come guidarti a seguire quelle istruzioni.


e è possibile che sia nascosto nei giochi di facebook? ??? ??
La versione precedente del virus si nascondeva in appositi siti web dagli indirizzi stranissimi, su cui venivi fatto rimbalzare da collegamenti nascosti in siti normalissimi, appena arrivavi in questi siti strani ti mandavano subito in esecuzione un file eseguibile pronto ad infettarti. Chi mi avvisava era un buon firewall con modulo hips (come online armor) che notava l'eseguibile strano che voleva fare modifiche non gradite.


per quanto riguarda mbr.exe non me lo fa eseguire nemmeno in modalità provvisoria non so come sono riuscita  a fare questo che ti allego.
ora provo a fare una scanzione con norman e poi con combofix
e vi faccio sapere...
se posso evitare una formattazione è meglio questo è un sistema di montaggio dove i settaggi sono un po complicati.. incrociate le dita con me
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x87216f30
NDIS: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC -> SendCompleteHandler -> 0x87253480
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x03A380D80
malicious code @ sector 0x03A380D83 !
PE file found in sector at 0x03A380D99 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
 

Offline ridethesnake

  • Vice Amministratore
  • *
  • Post: 8665
  • Ringraziato: 4 volte
  • Karma: +476/-3
  • Quando aiuti qualcuno aiuti te stesso.
Re:Come rimuovere il cavallo di troia Win32/Mebroot K nel settore MBR ?
« Risposta #23 il: Novembre 27, 2009, 13:10:46 pm »
....incrociate le dita con me
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net


Se do da mangiare ad un povero, mi dicono che sono un santo, ma se chiedo perchè quel povero è povero, mi dicono che sono un comunista!



Se non avete niente di meglio da fare andate a farlo da un'altra parte.
 

Offline crazy.cat

Re:Come rimuovere il cavallo di troia Win32/Mebroot K nel settore MBR ?
« Risposta #24 il: Novembre 27, 2009, 14:01:44 pm »
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
Avevi provato a lanciare la scansione con mbr.exe -f  ?

Devi aggiungere alla fine del comando l'opzione -f poi riposta il log.
Gli uomini politici sono uguali dappertutto. Promettono di costruire un ponte anche dove non c’è un fiume.
 

Offline sonia

  • Vip
  • *
  • Post: 1279
  • Karma: +109/-4
    • E-mail
Re:Come rimuovere il cavallo di troia Win32/Mebroot K nel settore MBR ?
« Risposta #25 il: Novembre 27, 2009, 15:29:04 pm »
scusate l'intrusione....che vuol dire formattazione a basso livello crazy???

leggi questo documento contiene informazioni generiche sulla formattazione a basso livello,
ed anche l'articolo di crazy  :pollicione:
:pollicione:


c'è sempre da imparare grazie  occhioni

.... una cosa buttata lì per andras "se qualcuno qualificato e di fiducia potesse entrare in remoto sul suo pc potrebbe risolvere??"
Non sono d'accordo su ciò‚ che dici, ma darei la vita affinché tu abbia il diritto di dirlo (Voltaire)
 

Offline andras

  • CrazyNauti
  • *
  • Post: 71
  • Karma: +106/-1
    • E-mail
Re:Come rimuovere il cavallo di troia Win32/Mebroot K nel settore MBR ?
« Risposta #26 il: Novembre 28, 2009, 12:34:53 pm »
ma nn lo so se è utile o no fammi sapere tu.....
sono riuscita a fare mbr.exe e questo è quello che è venuto fuori

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x03A380D80
malicious code @ sector 0x03A380D83 !
PE file found in sector at 0x03A380D99 !

e ho anche fatto mbr.exe -f

C:\>mbr.exe - f
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x03A380D80
malicious code @ sector 0x03A380D83 !
PE file found in sector at 0x03A380D99 !

è ancora qui la cartella si è riformata.... che fare??????

cmq grazie in anticipo e per tutto  :snog: :snog: occhioni occhioni :grazie3: :grazie3: :grazie3: :grazie3: :grazie3: :grazie3: :grazie3:
 

Offline crazy.cat

Re:Come rimuovere il cavallo di troia Win32/Mebroot K nel settore MBR ?
« Risposta #27 il: Novembre 28, 2009, 15:10:29 pm »
è ancora qui la cartella si è riformata.... che fare??????
Come previsto riesce a leggerlo ma non lo toglie.

Non so se hai letto il post di masterz3d che ti ho linkato prima, ma si tratta di operazioni che non ho mai fatto di persona e che sarebbero troppo impegnative da fare via assistenza remota.
C'è il rischio di piantare il sistema operativo se si sbaglia qualcosa.
Se fosse un virus diverso si potrebbero anche tentare altre soluzioni ma questo è una brutta rogna.
Questa volta sventolo bandiera bianca.
Gli uomini politici sono uguali dappertutto. Promettono di costruire un ponte anche dove non c’è un fiume.
 

Offline andras

  • CrazyNauti
  • *
  • Post: 71
  • Karma: +106/-1
    • E-mail
Re:Come rimuovere il cavallo di troia Win32/Mebroot K nel settore MBR ?
« Risposta #28 il: Novembre 28, 2009, 15:32:34 pm »
è ancora qui la cartella si è riformata.... che fare? ??? ??
Come previsto riesce a leggerlo ma non lo toglie.

Non so se hai letto il post di masterz3d che ti ho linkato prima, ma si tratta di operazioni che non ho mai fatto di persona e che sarebbero troppo impegnative da fare via assistenza remota.
C'è il rischio di piantare il sistema operativo se si sbaglia qualcosa.
Se fosse un virus diverso si potrebbero anche tentare altre soluzioni ma questo è una brutta rogna.
Questa volta sventolo bandiera bianca.

si si ho letto il post...ma è veramente complicato per me che vado a sperimentazioni... sigh.. sigh.... come faccio!!!!!!!!!!!!!!!!!!!!!!! mannaggia.... oggi pomeriggio.. mi rimetto alla ricerca.... mondo informatico infame :matto:

cmq  :grazie3:
 

Offline crazy.cat

Re:Come rimuovere il cavallo di troia Win32/Mebroot K nel settore MBR ?
« Risposta #29 il: Novembre 28, 2009, 17:27:06 pm »
Prova a fare una scansione con drweb e prevx

Due cose importanti, se arrivi a formattare devi fare prima quella a basso livello altrimenti non ripulirai mai quel disco fisso.
Seconda cosa, se devi salvarti dei dati da quel pc prima di formattare non collegare subito dei dischi esterni o una chiavetta usb perchè rischi di infettare pure quelli e tirarti dietro l'infezione.
Masterizza i dati, oppure fai partire il pc con un cd live di linux e salvati i dati su un disco esterno così da non attivare il virus e portartelo dietro nuovamente.
Gli uomini politici sono uguali dappertutto. Promettono di costruire un ponte anche dove non c’è un fiume.