PDA

View Full Version : MBR corrotto

dimmi
25-08-2010, 15:12
Ciao ragazzi, ho sottomano il portatile di un collega che era infetto da un bel pò di schifezze varie tra cui il falso antivirus 2010, ecc ecc
Ora scansionando a destra e sinistra e seguendo anche le vostre guide sono riuscito a ripulire il sistema. Per lo meno agli "occhi" di Kaspersky, SuperAntiSpyware, Malwarebytes' Anti-Malware, ecc

Quello che non mi convince è il log di mbr.exe, ve lo posto:


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x0923CA0C !
PE file found in sector at 0x0923CA22 !


Leggendo un pò in rete ho trovato pareri discordanti. A detta di qualcuno l'MBR è OK ma il rootkit ha lasciato qualche danno, cmq sarebbe inoffensivo e si può lasciare così. Da altre parti ho letto che il rootkit starebbe "dormendo" negli ultimi settori del disco e potrebbe infettare eventuali dischi esterni collegati al pc.

Volevo provare il comando fixmbr da console di ripristino ma non vorrei perdere la tabella delle partizioni, devo fare prima un bel backup.

Voi cosa mi consigliate di fare? E sopratutto ... è ancora infetto il pc?

Grazie
Chill-Out
25-08-2010, 15:17
Ciao ragazzi, ho sottomano il portatile di un collega che era infetto da un bel pò di schifezze varie tra cui il falso antivirus 2010, ecc ecc
Ora scansionando a destra e sinistra e seguendo anche le vostre guide sono riuscito a ripulire il sistema. Per lo meno agli "occhi" di Kaspersky, SuperAntiSpyware, Malwarebytes' Anti-Malware, ecc

Quello che non mi convince è il log di mbr.exe, ve lo posto:


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x0923CA0C !
PE file found in sector at 0x0923CA22 !


Leggendo un pò in rete ho trovato pareri discordanti. A detta di qualcuno l'MBR è OK ma il rootkit ha lasciato qualche danno, cmq sarebbe inoffensivo e si può lasciare così. Da altre parti ho letto che il rootkit starebbe "dormendo" negli ultimi settori del disco e potrebbe infettare eventuali dischi esterni collegati al pc.

Volevo provare il comando fixmbr da console di ripristino ma non vorrei perdere la tabella delle partizioni, devo fare prima un bel backup.

Voi cosa mi consigliate di fare? E sopratutto ... è ancora infetto il pc?

Grazie

Il log a volte può rimanere "sporco" comunque esiste una guida dedicata http://www.hwupgrade.it/forum/showthread.php?t=1715546

Chiudo onde evitare doppione