freddyooo
28-01-2010, 22:59
ho un problema con un rootkit sul computer
c'era la cartella HelpAssistant sotto Document and settings, (ma stranamente non l'utente helpassistant), comunque all'avvio del pc il disco fisso frullava per un minuto buono. sono riuscito con mbr a disabilitarlo ed eliminare la cartella, ma mbr mi segnala ancora la presenza del rootkit, anche se il disco all'avvio non lavora piu' in modo anomalo come prima. Tutte le scansioni non con gmer, malwarebytes, hijackthis, alcuni scanner online non danno nessuna segnalazione. Ho ripristinato il mbr dalla console di ripristino con fixmbr, ma il log di mbr e' sempre questo :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x03A380D80
malicious code @ sector 0x03A380D83 !
PE file found in sector at 0x03A380D99 !
c'e' modo di capire se il rootkit e' eliminato definitivamente o no ?
grazie
c'era la cartella HelpAssistant sotto Document and settings, (ma stranamente non l'utente helpassistant), comunque all'avvio del pc il disco fisso frullava per un minuto buono. sono riuscito con mbr a disabilitarlo ed eliminare la cartella, ma mbr mi segnala ancora la presenza del rootkit, anche se il disco all'avvio non lavora piu' in modo anomalo come prima. Tutte le scansioni non con gmer, malwarebytes, hijackthis, alcuni scanner online non danno nessuna segnalazione. Ho ripristinato il mbr dalla console di ripristino con fixmbr, ma il log di mbr e' sempre questo :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x03A380D80
malicious code @ sector 0x03A380D83 !
PE file found in sector at 0x03A380D99 !
c'e' modo di capire se il rootkit e' eliminato definitivamente o no ?
grazie