PIPPO6000
07-09-2009, 09:52
Buongiorno a tutti.
All'avvio di una scansione NOD32 mi segnala che
"Il settore MBR di 1. Disco fisico contiene cavallo di troia Win32/mebroot.CA", quindi penso di aver preso un Rootkit.
Premetto che il Pc, su cui è installato Xp Sp3 completo di aggiornamenti, non ha dato alcun segno di instabilità
o di malfunzionamenti, comunque ho proceduto nel modo seguente:.
- Dopo aver disattivato il ripristino configurazione di sistema ho eseguito le scansioni con: Malwarebytes Anti-Malware,
A-Squared Free, di cui allego i log.
http://www.mediafire.com/file/t0no5ztawrz/mbam-log-2009-09-04 (11-57-31).txt
http://www.mediafire.com/file/lwmnonkmmt3/a2scan_090904-140057.txt
- Eseguito una scanzione con Prevx non ha evidenziato niente, allego il file di log.
http://www.mediafire.com/file/zdze4wm0jnh/Prevx.log
- Fatto una scansione con Gmer di cui allego il log
http://www.mediafire.com/file/vukhjnmntqy/Gmer.log
- Fatto scansione con Symantec Trojan.Mebroot Removal Tool di cui allego il log
http://www.mediafire.com/file/t3vlwzylj54/SysInspector-ALDO-090904-1941.xml
- Riavviato in modalità provvisoria e da C:\ ho lanciato un controllo con MBR rootkit detector di cui allego il file log "MBR1.log."
Ho poi eseguito il comando C:\mbr.exe -f e salvato il file di log "MBR2.log".
Ho poi riavviato normalmente e rieseguito e da start eseguito C:\mbr.exe il cui file di log è "MBR3.log".
I tre files di log di MBR sono perfettamente identici:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x025429800
PE file found in sector at 0x025429819 !
non viene segnalata la presenza di rootkit ma, nella mia ignoranza le ultime due righe non mi convincono e mi fanno pensare che
il settore di boot sia danneggiato.
Quindi avvio il Pc da cd di XP in console di ripristino di emergenza per eseguire FIXMBR ma mi esce il messaggio che il settore di
boot non è standard e che una sua riscrittura potrebbe danneggiare la partizione, ecc., quindi mi sono fermato.
A questo punto faccio una scansione con Dr.Web CureIT e viene evidenziato che:
il file " c:\windows\winsxs\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.2600.5581_x-ww_dfbc4fc4\gdiplus.dll
è infettato da virus "BackDoor.MaosBoot" che ha danneggiato MBR di HDD1.
Quando viene chiesto dal programma se curare il file rispondo di si ma alla successiva domanda se riscrivere "il settore di boot standard"
rispondo di no per quanto già successo in precedenza nell'esecuzione di FIXMBR da console di ripristino di emergenza.
Non mi sono fidato a far riscrivere il settore di boot per non correre il rischio di ritrovarmi con un HD inutilizzabile.
Il log di Cureit: http://www.mediafire.com/file/mgmmhud3zhy/cureit filtrato.txt
Cosa mi consigliate di fare? Posso procedere con la cura di Dr.Web CureIT o con FIXMBR, oppure no?
Grazie.
All'avvio di una scansione NOD32 mi segnala che
"Il settore MBR di 1. Disco fisico contiene cavallo di troia Win32/mebroot.CA", quindi penso di aver preso un Rootkit.
Premetto che il Pc, su cui è installato Xp Sp3 completo di aggiornamenti, non ha dato alcun segno di instabilità
o di malfunzionamenti, comunque ho proceduto nel modo seguente:.
- Dopo aver disattivato il ripristino configurazione di sistema ho eseguito le scansioni con: Malwarebytes Anti-Malware,
A-Squared Free, di cui allego i log.
http://www.mediafire.com/file/t0no5ztawrz/mbam-log-2009-09-04 (11-57-31).txt
http://www.mediafire.com/file/lwmnonkmmt3/a2scan_090904-140057.txt
- Eseguito una scanzione con Prevx non ha evidenziato niente, allego il file di log.
http://www.mediafire.com/file/zdze4wm0jnh/Prevx.log
- Fatto una scansione con Gmer di cui allego il log
http://www.mediafire.com/file/vukhjnmntqy/Gmer.log
- Fatto scansione con Symantec Trojan.Mebroot Removal Tool di cui allego il log
http://www.mediafire.com/file/t3vlwzylj54/SysInspector-ALDO-090904-1941.xml
- Riavviato in modalità provvisoria e da C:\ ho lanciato un controllo con MBR rootkit detector di cui allego il file log "MBR1.log."
Ho poi eseguito il comando C:\mbr.exe -f e salvato il file di log "MBR2.log".
Ho poi riavviato normalmente e rieseguito e da start eseguito C:\mbr.exe il cui file di log è "MBR3.log".
I tre files di log di MBR sono perfettamente identici:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x025429800
PE file found in sector at 0x025429819 !
non viene segnalata la presenza di rootkit ma, nella mia ignoranza le ultime due righe non mi convincono e mi fanno pensare che
il settore di boot sia danneggiato.
Quindi avvio il Pc da cd di XP in console di ripristino di emergenza per eseguire FIXMBR ma mi esce il messaggio che il settore di
boot non è standard e che una sua riscrittura potrebbe danneggiare la partizione, ecc., quindi mi sono fermato.
A questo punto faccio una scansione con Dr.Web CureIT e viene evidenziato che:
il file " c:\windows\winsxs\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.2600.5581_x-ww_dfbc4fc4\gdiplus.dll
è infettato da virus "BackDoor.MaosBoot" che ha danneggiato MBR di HDD1.
Quando viene chiesto dal programma se curare il file rispondo di si ma alla successiva domanda se riscrivere "il settore di boot standard"
rispondo di no per quanto già successo in precedenza nell'esecuzione di FIXMBR da console di ripristino di emergenza.
Non mi sono fidato a far riscrivere il settore di boot per non correre il rischio di ritrovarmi con un HD inutilizzabile.
Il log di Cureit: http://www.mediafire.com/file/mgmmhud3zhy/cureit filtrato.txt
Cosa mi consigliate di fare? Posso procedere con la cura di Dr.Web CureIT o con FIXMBR, oppure no?
Grazie.