Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Sicurezza&Privacy

Notices

Rispondi
 
Strumenti discussione
Vecchio 02-04-2008, 14.41.18   #1
ottobre_rosso
Comm. Ramius
 
L'avatar di ottobre_rosso
 
Registrato: 09-01-2006
Loc.: La patria della cassoeula!!!
Messaggi: 1.164
ottobre_rosso promette bene
Rootkit MBR:\\.\PHYSICALDRIVE0

Riporto l'altro post in questa sezione, che mi sembra piu' adatta..

Giusto un'ora fà ho scoperto, attraverso Avast (installato per pura curiosità) di avere un rootkit:

E' STATO TROVATO UN ROOTKIT

NOME DEL FILE MBR:\\.\PHYSICALDRIVE0
TIPO ROOTKIT: FILE NASCOSTO

Prima mi appare questo messaggio



e, dopo aver spuntato la voce "elimina ora", quest'altro messaggio



Qualcuno di voi ne sà qualcosa?
ottobre_rosso non è collegato   Rispondi citando
Vecchio 02-04-2008, 15.04.52   #2
k501
Hero Member
 
L'avatar di k501
 
Registrato: 25-10-2002
Loc.: Vicenza
Messaggi: 827
k501 promette bene
Quota:
Inviato da ottobre_rosso
Riporto l'altro post in questa sezione, che mi sembra piu' adatta..

Giusto un'ora fà ho scoperto, attraverso Avast (installato per pura curiosità) di avere un rootkit:

E' STATO TROVATO UN ROOTKIT

NOME DEL FILE MBR:\\.\PHYSICALDRIVE0
TIPO ROOTKIT: FILE NASCOSTO

Prima mi appare questo messaggio



e, dopo aver spuntato la voce "elimina ora", quest'altro messaggio



Qualcuno di voi ne sà qualcosa?

MBR=Master Boot Record (settore di boot del HDD)
PHYSICALDRIVE0=Disco fisso o partizione dove è installato il sistema operativo.

Sono indizi un pò vaghi... Io farei una scansione online con qualche antivirus valido, anche BitDefender andrebbe bene.
k501 non è collegato   Rispondi citando
Vecchio 02-04-2008, 15.29.05   #3
leofelix
Gold Member
Top Poster
 
Registrato: 10-12-2005
Messaggi: 3.514
leofelix promette bene
toolls antirookit

concordo con K501,
potresti provare con il tool antirookit gratuito e stand alone da poco aggiornato alla versione 2.2.1 beta Trend Micro Rootkit Buster.
Scompatta l'archivio zip sul desktop quindi eseguilo.

Se effettivamente c'è una rootkit che intacca il settore di avvio c'è anche il tool della symantec che so aver dato buoni risultati:

http://www.symantec.com/content/en/u...FixMebroot.exe

(va utilizzato in modalità provvisoria)

Spero di esserti stato di aiuto e soprattutto che si tratti di un falso positivo di Avast

P.S dimenticavo questo interessantissimo tool multipurpose gratuito della Kasperky

http://forum.wintricks.it/showpost.p...&postcount=240

Ultima modifica di leofelix : 02-04-2008 alle ore 15.42.49 Motivo: dimenticanza
leofelix non è collegato   Rispondi citando
Vecchio 02-04-2008, 18.19.02   #4
ottobre_rosso
Comm. Ramius
 
L'avatar di ottobre_rosso
 
Registrato: 09-01-2006
Loc.: La patria della cassoeula!!!
Messaggi: 1.164
ottobre_rosso promette bene
provero' tutto quanto quanto da voi consigliatomi.

Purtroppo penso non si tratti di un falso positivo perche', col solo winzozz XP Pro, aggiornato, sp2 con driver MB, video e modem, mi da' subito problemi (hd che lavora continuamente e services.exe che occupa parecchia RAM)
ottobre_rosso non è collegato   Rispondi citando
Vecchio 02-04-2008, 18.21.26   #5
ottobre_rosso
Comm. Ramius
 
L'avatar di ottobre_rosso
 
Registrato: 09-01-2006
Loc.: La patria della cassoeula!!!
Messaggi: 1.164
ottobre_rosso promette bene
dimenticavo: da qualche parte ho letto che pur formattando il rootkit potrebbe rimanere. E' vera questa ipotesi? e' possibile fare una formattazione profonda? e' la seconda volta, nel giro di tre giorni, che formatto, reinstallo Xp e ho sempre lo stesso problema
ottobre_rosso non è collegato   Rispondi citando
Vecchio 02-04-2008, 20.25.14   #6
crazy.cat
Gold Member
Top Poster
 
L'avatar di crazy.cat
 
Registrato: 20-08-2002
Loc.: Mestre
Messaggi: 3.563
crazy.cat promette bene
Quota:
Inviato da ottobre_rosso
dimenticavo: da qualche parte ho letto che pur formattando il rootkit potrebbe rimanere. E' vera questa ipotesi? e' possibile fare una formattazione profonda? e' la seconda volta, nel giro di tre giorni, che formatto, reinstallo Xp e ho sempre lo stesso problema
Può essere se si trova nel Mbr.
Una bella formattazione a basso livello spiana via tutto.
Marca del tuo hard disk?
Vai sul sito del produttore e cerchi il tools più adatto, ti crei il floppy o il cd di avvio e formatti.
___________________________________

Solo gli operai sanno quanto vale il tempo; se lo fanno sempre pagare.
crazy.cat non è collegato   Rispondi citando
Vecchio 02-04-2008, 21.41.56   #7
AMIGA
Gold Member
Top Poster
 
L'avatar di AMIGA
 
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
AMIGA è un gioiello raroAMIGA è un gioiello raroAMIGA è un gioiello raro
Quota:
Inviato da ottobre_rosso
dimenticavo: da qualche parte ho letto che pur formattando il rootkit potrebbe rimanere. E' vera questa ipotesi? e' possibile fare una formattazione profonda? e' la seconda volta, nel giro di tre giorni, che formatto, reinstallo Xp e ho sempre lo stesso problema
Quando formatti l'MBR non lo tocchi,eventualmente puliscilo da dos

FDISK /MBR

(riscrive il record di avvio principale)

Fai questa prova prima del basso livello (lo si usa solo in casi estremi)
___________________________________

Dove l'ho sentita ? www.plagimusicali.net

English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k
AMIGA non è collegato   Rispondi citando
Vecchio 02-04-2008, 21.46.06   #8
ottobre_rosso
Comm. Ramius
 
L'avatar di ottobre_rosso
 
Registrato: 09-01-2006
Loc.: La patria della cassoeula!!!
Messaggi: 1.164
ottobre_rosso promette bene
Quota:
Inviato da AMIGA
Quando formatti l'MBR non lo tocchi,eventualmente puliscilo da dos

FDISK /MBR

(riscrive il record di avvio principale)

nemmeno se utilizzo il tool della Maxtor? a proposito, trattasi di un HD MAXTOR 6Y120L0
ottobre_rosso non è collegato   Rispondi citando
Vecchio 02-04-2008, 22.02.49   #9
AMIGA
Gold Member
Top Poster
 
L'avatar di AMIGA
 
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
AMIGA è un gioiello raroAMIGA è un gioiello raroAMIGA è un gioiello raro
Quota:
Inviato da ottobre_rosso
nemmeno se utilizzo il tool della Maxtor? a proposito, trattasi di un HD MAXTOR 6Y120L0
Parlavo in generale,prima accertati che sia necessario,non credo che sto ROOTKIT faccia tutto sto danno,altrimenti è un vero disastro se ogni volta dovremmo formattare a basso livello.
___________________________________

Dove l'ho sentita ? www.plagimusicali.net

English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k
AMIGA non è collegato   Rispondi citando
Vecchio 03-04-2008, 11.56.22   #10
RNicoletto
Gold Member
Top Poster
 
L'avatar di RNicoletto
 
Registrato: 13-02-2001
Loc.: Forette City
Messaggi: 13.153
RNicoletto promette bene
Quota:
Inviato da leofelix
concordo con K501,
potresti provare con il tool antirookit gratuito e stand alone da poco aggiornato alla versione 2.2.1 beta Trend Micro Rootkit Buster.
Scompatta l'archivio zip sul desktop quindi eseguilo.

Se effettivamente c'è una rootkit che intacca il settore di avvio c'è anche il tool della symantec che so aver dato buoni risultati:

http://www.symantec.com/content/en/u...FixMebroot.exe

(va utilizzato in modalità provvisoria)

Spero di esserti stato di aiuto e soprattutto che si tratti di un falso positivo di Avast

P.S dimenticavo questo interessantissimo tool multipurpose gratuito della Kasperky

http://forum.wintricks.it/showpost.p...&postcount=240
Non sono sicuro che questi tool funzionino, il perché lo puoi leggere qui.

L'unico tool che in questo momento sembra dare qualche garanzia è Prevx CSI.
___________________________________

"Society doesn’t need newspapers. What we need is journalism." - Clay Shirky
RNicoletto non è collegato   Rispondi citando
Vecchio 03-04-2008, 12.38.33   #11
RNicoletto
Gold Member
Top Poster
 
L'avatar di RNicoletto
 
Registrato: 13-02-2001
Loc.: Forette City
Messaggi: 13.153
RNicoletto promette bene
EDIT - In realtà si potrebbe provare a rimuovere la nuova variante di questo rootkit anche con questi due tool:Se qualcuno li prova ci faccia sapere l'esito.
___________________________________

"Society doesn’t need newspapers. What we need is journalism." - Clay Shirky
RNicoletto non è collegato   Rispondi citando
Vecchio 03-04-2008, 14.24.36   #12
leofelix
Gold Member
Top Poster
 
Registrato: 10-12-2005
Messaggi: 3.514
leofelix promette bene
Quota:
Inviato da RNicoletto
EDIT - In realtà si potrebbe provare a rimuovere la nuova variante di questo rootkit anche con questi due tool:Se qualcuno li prova ci faccia sapere l'esito.
grazie della segnalazione RNicoletto
proprio stamattina ero andato a leggermi il funzionamento di queste varianti di rootkit che intaccano il settore di avvio, prima sul sito di Gmer quindi sul Blog di Pc al sicuro.
Così ho scaricato anche la versione più recente del BlackLight Rootkit Eliminator che - grazie al cielo - non ha trovato nulla almeno nei miei sistemi
leofelix non è collegato   Rispondi citando
Vecchio 03-04-2008, 14.38.40   #13
ottobre_rosso
Comm. Ramius
 
L'avatar di ottobre_rosso
 
Registrato: 09-01-2006
Loc.: La patria della cassoeula!!!
Messaggi: 1.164
ottobre_rosso promette bene
Quota:
Inviato da RNicoletto
EDIT - In realtà si potrebbe provare a rimuovere la nuova variante di questo rootkit anche con questi due tool:Se qualcuno li prova ci faccia sapere l'esito.
giusto ieri pare che abbia risolto il problema, guarda caso con mbr.exe (dico pare perche' preferisco "stressare" un po' il s.o. prima di illudermi nuovamente...)

Ora sono ad un meeting e ne avro' per parecchio tempo. Appena possibile vi faro' in resoconto.
ottobre_rosso non è collegato   Rispondi citando
Vecchio 04-04-2008, 09.24.16   #14
ottobre_rosso
Comm. Ramius
 
L'avatar di ottobre_rosso
 
Registrato: 09-01-2006
Loc.: La patria della cassoeula!!!
Messaggi: 1.164
ottobre_rosso promette bene
Eccomi...

Dunque ho fatto una scansione con Gmer e PrevxCSI ed entrambi mi hanno rilevato il rootkit.

Quindi ho proceduto cosi':
  • scaricato mbr.exe e ho messo l'eseguibile in C:\
  • riavviato in modalita' provvisoria
  • start - esegui - C:\mbr.exe -f
  • in C:\ si crea un file .log dove dovrebbe apparire che ha rimosso il rootkit, o qualcosa del genere
  • riavviato e ripetuta scansione con Gmer e PrevxCSI (esito negativo)

Ora il pc, in stby, ha un utilizzo dellsa CPU pari a zero, services.exe stabile a 4000kb circa, e l'hd se ne sta li' buono buono

Ultima modifica di ottobre_rosso : 04-04-2008 alle ore 09.42.38
ottobre_rosso non è collegato   Rispondi citando
Vecchio 04-04-2008, 12.05.48   #15
RNicoletto
Gold Member
Top Poster
 
L'avatar di RNicoletto
 
Registrato: 13-02-2001
Loc.: Forette City
Messaggi: 13.153
RNicoletto promette bene
Ottimo! (Y)

Grazie per il feedback, speriamo venga utile anche ad altri.
___________________________________

"Society doesn’t need newspapers. What we need is journalism." - Clay Shirky
RNicoletto non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
ancora tracce di rootkit... k501 Sicurezza&Privacy 1 18-05-2007 19.14.23
[Ms WinVista] - Un rootkit invisibile persino a vista realtebo Segnalazioni Web 0 06-07-2006 08.35.19
L. Rootkit Remover Macao Archivio News Software 0 01-01-2006 01.00.48
Virus SONY/parte II Flying Luka Archivio News Web 10 30-11-2005 05.04.10

Orario GMT +2. Ora sono le: 11.17.44.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.