|
|
|
![]() |
|
Strumenti |
![]() |
#81 |
Member
Iscritto dal: Jul 2007
Città: La patria della cassoeula!!!
Messaggi: 148
|
fatemi capire: state dicendo che è sufficiente l'altra versione di Gmer, avviata in modalità provvisoria?
|
![]() |
![]() |
#82 | |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
Hosta i log su FileUp http://www.fileup.itadib.com
__________________
Try again and you will be luckier.
|
|
![]() |
![]() |
#83 |
Member
Iscritto dal: Jul 2007
Città: La patria della cassoeula!!!
Messaggi: 148
|
Ecco quì:
Dunque: non sò se gioire o meno, nel senso che stando a Gmer e Prevxcsi sarei pulito, tuttavia Mbr mi rileva qualcosina. Comunque, per informazione, il pc si è stabilizzato: l'utilizzo della CPU è a 0-1% e il processo services.exe (quello che mi dava noie) è stabile sia come CPU che utilizzo di RAM. Che ne dici? |
![]() |
![]() |
#84 | |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
![]() |
![]() |
#85 | |
Member
Iscritto dal: Jul 2007
Città: La patria della cassoeula!!!
Messaggi: 148
|
Da solo? veramente ho seguito passo dopo passo le tue indicazioni
![]() Piuttosto, puoi levarmi due curiosità?
|
|
![]() |
![]() |
#86 | |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
Quote:
Codice:
Usage: mbr.exe [options] -f - fix mbr -c start_sector size_in_sectors filename - copy selected sectors to file samples of usage: mbr.exe -c 0 1 copy_of_sector_00 mbr.exe -c 0x3fdc80 0x1ca copy_of_mbr_rk e inoltre: Codice:
The installer of the rootkit writes the content of malicious kernel driver (244 736 bytes) to the last sectors of the disk (offset: 2 142 830 592) and then modifies sectors 0 (MBR), 60, 61 and 62. The content of hidden sectors: # 0 - MBR rootkit loader # 61 - kernel part of loader # 62 - copy of original MBR ![]()
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
![]() |
![]() |
#87 |
Member
Iscritto dal: Jul 2007
Città: La patria della cassoeula!!!
Messaggi: 148
|
Che dire, ragazzi, c'è sempre da imparare...
Ho provato a riavviare e sembrerebbe stabile: non lamenta più i sintomi descritti quì Ora non sò se la situazione rimarrà così rosea come lo è attualmente, in ogni caso ringrazio tutti, in particolare Chill-Out, molto disponibile e competente. ciao |
![]() |
![]() |
#88 |
Member
Iscritto dal: Mar 2008
Messaggi: 43
|
Ringrazio anch io tutti, Chill out sei un magoooo
![]() non ho trovato altri forum con la soluzione di questo problema, davvero complimenti! |
![]() |
![]() |
#89 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Di nulla, felice di essere stato di aiuto
![]()
__________________
Try again and you will be luckier.
|
![]() |
![]() |
#90 |
Junior Member
Iscritto dal: Apr 2008
Messaggi: 15
|
|
![]() |
![]() |
#91 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22111
|
volevo anche segnalarvi questo tool di avira riguardante l'MBR (Avira AntiVir Bootsektor-Repairtool), forse potrebbe tornarvi utile:
http://www.avira.com/en/support/support_downloads.html bravo chill-out, ti distingui sempre per i tuoi interventi, io l'ho capito già dall'inizio che ti ho letto per la prima volta che eri ingamba!!! ![]()
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
![]() |
![]() |
#92 | |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
![]() Ottima segnalazione provo a documentarmi sull'utilizzo/applicazione del tool Avira ![]()
__________________
Try again and you will be luckier.
|
|
![]() |
![]() |
#93 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
ottimo c.m.g.
![]()
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
![]() |
![]() |
#94 |
Junior Member
Iscritto dal: Apr 2008
Messaggi: 17
|
Ciao ragazzi,io sono l'ennesimo con questo problema,i sintomi sono sempre i soliti (service exe che si alza e spreca risorse all'inverosimile,computer impallato,antivirus che non trovano nulla)
Sto smadonnando da una settimana,finalmente ho trovato questo utilissimo thread,ora seguo passo passo quanto detto e posterò i log..speriamo bene. ![]() |
![]() |
![]() |
#95 |
Senior Member
Iscritto dal: Apr 2007
Messaggi: 2301
|
@ chill-out
1)la sandboxie in teoria dovrebbe bloccarlo l'mbr rootkit? 2)facendo un backup dell'mbr,un restore potrebbe essere sufficente nel caso? 3)molti siti(http://www.f-secure.com/weblog/archives/00001393.html) dai quali si pesca il rootkit sfruttano il buffer overflow,io sto utilizzando da qualche giorno comodo memory firewall,che prevenie da questo genere di attacchi appunto,se non sbaglio tu usavi/usi comodo boclean,hai avuto modo di provare anche cmf? 4)si sa orientativamente quali av,oltre a prevx e gmer,riescono a bloccare il rootkit in questione? troppe domande? ![]() grazie,ciao e complimenti ![]() Ultima modifica di BEY0ND : 03-04-2008 alle 14:30. |
![]() |
![]() |
#96 | ||||
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Ciao Beyond e grazie, ti rispondo ovviamente per quel che so allo stato attuale delle cose
Quote:
Quote:
Quote:
Quote:
__________________
Try again and you will be luckier.
Ultima modifica di Chill-Out : 04-04-2008 alle 10:03. |
||||
![]() |
![]() |
#97 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22111
|
vi dò un'altro piccolo aiutino che forse può esservi utile: leggendo in giro c'è gente che ha risolto il problema dell'MBR rootkit anche con la console di ripristino di windows, tramite il comando fix mbr ed è eliminabile solo quando non è in esecuzione.
![]() ![]() altri prodotti antirootkit che riescono a individuare questa infezione: - Trend Micro Rootkit Buster - F-Secure Blacklight su Tweakness si afferma che è uno script che fa prendere l'infezione, quindi firefox + noscript dovrebbe garantire la non infezione da questo rootkit. credo che comunque anche opera garantisca sicurezza. non usate mai internet explorer.
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 04-04-2008 alle 08:22. |
![]() |
![]() |
#98 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22111
|
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
![]() |
![]() |
#99 |
Junior Member
Iscritto dal: Apr 2008
Messaggi: 17
|
niente da fare...ho letto riletto e seguito alla lettera quanto scritto ma non riesco a risolvere..
° adsr dopo lo scan e dopo aver cliccato clean/remove ads mi da errore....... [error deleting the file stream..impossibile trovare il file specificato] ° a-squared va,ho messo gli oggetti in quarantena e salvato il log .. eccolo --> http://www.fileup.itadib.com/downloa...5JVzUriyIf5Ab8 ° prevx trova il rootkit,ma per eliminarlo mi chiede la key (di cui ovviamente non dispongo.) ° gmer2 dopo ore e ore di scansione (6 ore per l'esattezza) lo trova,ma anche qui non vi è nessuna voce per eliminarlo! ecco qui il log di gmer ---> http://www.fileup.itadib.com/downloa...WnneHMKLRtDO0g la riga in rosso era questa --> sector 00: MBR rootkit detected !!! ° RootkitBuster lo trova anch'esso ma non vi è nessuna voce per eliminarlo,quarantena e cosi via. ![]() Ecco il relativo log --> http://www.fileup.itadib.com/downloa...kRtEuzzXVej0ip ° Log di Hijackthis --> http://www.fileup.itadib.com/downloa...UvX7V8sNSvbBwT ° Inoltre dato che service exe mi spreca tutte le risorse è già un miracolo se riesco a finire una scansione e salvare il log (ci ho messo sui 15 minuti solo per fare "salva con nome" su un log) ° Pocanzi all'ennesimo riavvio stranamente avast mi ha "finalmente" trovato questo rootkit,e mi ha consigliato di cancellarlo,cosa che ho fatto,ma la situazione è sempre la stessa,il rootkit e li,e service exe. vola.. ora manca solo il log di mbr ..chiudo tutte le applicazioni,lo faccio girare e vediamo.. |
![]() |
![]() |
#100 |
Junior Member
Iscritto dal: Apr 2008
Messaggi: 13
|
Pulito!
Salve ragà,appena iscritto al forum,approfitto per salutare tutti...Staff e Utenti e augurare a voi tutti un buon lavoro!
Tanto per iniziare,ero infetto anche io dal vorace e fastidioso rootkit nel MBR...ho seguito alla lettera la guida di Chill-Out ![]() ![]() Log dopo ripristino: Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Grazie mille,saluti! |
![]() |
![]() |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 19:51.