|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
02-04-2008, 14.41.18 | #1 |
Comm. Ramius
Registrato: 09-01-2006
Loc.: La patria della cassoeula!!!
Messaggi: 1.164
|
Rootkit MBR:\\.\PHYSICALDRIVE0
Giusto un'ora fà ho scoperto, attraverso Avast (installato per pura curiosità) di avere un rootkit: E' STATO TROVATO UN ROOTKIT NOME DEL FILE MBR:\\.\PHYSICALDRIVE0 TIPO ROOTKIT: FILE NASCOSTO Prima mi appare questo messaggio e, dopo aver spuntato la voce "elimina ora", quest'altro messaggio Qualcuno di voi ne sà qualcosa?
___________________________________
Anche tu sei stufo di vedere morire la gente per strada? Aiutaci con una donazione se credi in noi. Sicurauto: il sito italiano per la sicurezza in auto - Forum |
02-04-2008, 15.04.52 | #2 |
Hero Member
Registrato: 25-10-2002
Loc.: Vicenza
Messaggi: 827
|
Quota:
MBR=Master Boot Record (settore di boot del HDD) PHYSICALDRIVE0=Disco fisso o partizione dove è installato il sistema operativo. Sono indizi un pò vaghi... Io farei una scansione online con qualche antivirus valido, anche BitDefender andrebbe bene. |
02-04-2008, 15.29.05 | #3 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
toolls antirookit
concordo con K501,
potresti provare con il tool antirookit gratuito e stand alone da poco aggiornato alla versione 2.2.1 beta Trend Micro Rootkit Buster. Scompatta l'archivio zip sul desktop quindi eseguilo. Se effettivamente c'è una rootkit che intacca il settore di avvio c'è anche il tool della symantec che so aver dato buoni risultati: http://www.symantec.com/content/en/u...FixMebroot.exe (va utilizzato in modalità provvisoria) Spero di esserti stato di aiuto e soprattutto che si tratti di un falso positivo di Avast P.S dimenticavo questo interessantissimo tool multipurpose gratuito della Kasperky http://forum.wintricks.it/showpost.p...&postcount=240 Ultima modifica di leofelix : 02-04-2008 alle ore 15.42.49 Motivo: dimenticanza |
02-04-2008, 18.19.02 | #4 |
Comm. Ramius
Registrato: 09-01-2006
Loc.: La patria della cassoeula!!!
Messaggi: 1.164
|
provero' tutto quanto quanto da voi consigliatomi.
Purtroppo penso non si tratti di un falso positivo perche', col solo winzozz XP Pro, aggiornato, sp2 con driver MB, video e modem, mi da' subito problemi (hd che lavora continuamente e services.exe che occupa parecchia RAM)
___________________________________
Anche tu sei stufo di vedere morire la gente per strada? Aiutaci con una donazione se credi in noi. Sicurauto: il sito italiano per la sicurezza in auto - Forum |
02-04-2008, 18.21.26 | #5 |
Comm. Ramius
Registrato: 09-01-2006
Loc.: La patria della cassoeula!!!
Messaggi: 1.164
|
dimenticavo: da qualche parte ho letto che pur formattando il rootkit potrebbe rimanere. E' vera questa ipotesi? e' possibile fare una formattazione profonda? e' la seconda volta, nel giro di tre giorni, che formatto, reinstallo Xp e ho sempre lo stesso problema
___________________________________
Anche tu sei stufo di vedere morire la gente per strada? Aiutaci con una donazione se credi in noi. Sicurauto: il sito italiano per la sicurezza in auto - Forum |
02-04-2008, 20.25.14 | #6 | |
Gold Member
Top Poster
Registrato: 20-08-2002
Loc.: Mestre
Messaggi: 3.563
|
Quota:
Una bella formattazione a basso livello spiana via tutto. Marca del tuo hard disk? Vai sul sito del produttore e cerchi il tools più adatto, ti crei il floppy o il cd di avvio e formatti.
___________________________________
Solo gli operai sanno quanto vale il tempo; se lo fanno sempre pagare. |
|
02-04-2008, 21.41.56 | #7 | |
Gold Member
Top Poster
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
|
Quota:
FDISK /MBR (riscrive il record di avvio principale) Fai questa prova prima del basso livello (lo si usa solo in casi estremi)
___________________________________
Dove l'ho sentita ? www.plagimusicali.net English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k |
|
02-04-2008, 21.46.06 | #8 | |
Comm. Ramius
Registrato: 09-01-2006
Loc.: La patria della cassoeula!!!
Messaggi: 1.164
|
Quota:
nemmeno se utilizzo il tool della Maxtor? a proposito, trattasi di un HD MAXTOR 6Y120L0
___________________________________
Anche tu sei stufo di vedere morire la gente per strada? Aiutaci con una donazione se credi in noi. Sicurauto: il sito italiano per la sicurezza in auto - Forum |
|
02-04-2008, 22.02.49 | #9 | |
Gold Member
Top Poster
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
|
Quota:
___________________________________
Dove l'ho sentita ? www.plagimusicali.net English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k |
|
03-04-2008, 11.56.22 | #10 | |
Gold Member
Top Poster
Registrato: 13-02-2001
Loc.: Forette City
Messaggi: 13.153
|
Quota:
L'unico tool che in questo momento sembra dare qualche garanzia è Prevx CSI.
___________________________________
"Society doesn’t need newspapers. What we need is journalism." - Clay Shirky |
|
03-04-2008, 12.38.33 | #11 |
Gold Member
Top Poster
Registrato: 13-02-2001
Loc.: Forette City
Messaggi: 13.153
|
EDIT - In realtà si potrebbe provare a rimuovere la nuova variante di questo rootkit anche con questi due tool:
___________________________________
"Society doesn’t need newspapers. What we need is journalism." - Clay Shirky |
03-04-2008, 14.24.36 | #12 | |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
Quota:
proprio stamattina ero andato a leggermi il funzionamento di queste varianti di rootkit che intaccano il settore di avvio, prima sul sito di Gmer quindi sul Blog di Pc al sicuro. Così ho scaricato anche la versione più recente del BlackLight Rootkit Eliminator che - grazie al cielo - non ha trovato nulla almeno nei miei sistemi |
|
03-04-2008, 14.38.40 | #13 | |
Comm. Ramius
Registrato: 09-01-2006
Loc.: La patria della cassoeula!!!
Messaggi: 1.164
|
Quota:
Ora sono ad un meeting e ne avro' per parecchio tempo. Appena possibile vi faro' in resoconto.
___________________________________
Anche tu sei stufo di vedere morire la gente per strada? Aiutaci con una donazione se credi in noi. Sicurauto: il sito italiano per la sicurezza in auto - Forum |
|
04-04-2008, 09.24.16 | #14 |
Comm. Ramius
Registrato: 09-01-2006
Loc.: La patria della cassoeula!!!
Messaggi: 1.164
|
Eccomi...
Dunque ho fatto una scansione con Gmer e PrevxCSI ed entrambi mi hanno rilevato il rootkit. Quindi ho proceduto cosi':
Ora il pc, in stby, ha un utilizzo dellsa CPU pari a zero, services.exe stabile a 4000kb circa, e l'hd se ne sta li' buono buono
___________________________________
Anche tu sei stufo di vedere morire la gente per strada? Aiutaci con una donazione se credi in noi. Sicurauto: il sito italiano per la sicurezza in auto - Forum Ultima modifica di ottobre_rosso : 04-04-2008 alle ore 09.42.38 |
04-04-2008, 12.05.48 | #15 |
Gold Member
Top Poster
Registrato: 13-02-2001
Loc.: Forette City
Messaggi: 13.153
|
Ottimo! (Y)
Grazie per il feedback, speriamo venga utile anche ad altri.
___________________________________
"Society doesn’t need newspapers. What we need is journalism." - Clay Shirky |
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
ancora tracce di rootkit... | k501 | Sicurezza&Privacy | 1 | 18-05-2007 19.14.23 |
[Ms WinVista] - Un rootkit invisibile persino a vista | realtebo | Segnalazioni Web | 0 | 06-07-2006 08.35.19 |
L. Rootkit Remover | Macao | Archivio News Software | 0 | 01-01-2006 01.00.48 |
Virus SONY/parte II | Flying Luka | Archivio News Web | 10 | 30-11-2005 05.04.10 |