|
|||||||
|
|
|
 |
|
|
Strumenti |
07-09-2009, 08:52
|
#1 |
|
Junior Member
Iscritto dal: Sep 2009
Messaggi: 4
|
Infetto da BackDoor.MaosBoot e/o RootKit Win32/mebroot.CA
Buongiorno a tutti.
All'avvio di una scansione NOD32 mi segnala che "Il settore MBR di 1. Disco fisico contiene cavallo di troia Win32/mebroot.CA", quindi penso di aver preso un Rootkit. Premetto che il Pc, su cui è installato Xp Sp3 completo di aggiornamenti, non ha dato alcun segno di instabilità o di malfunzionamenti, comunque ho proceduto nel modo seguente:. - Dopo aver disattivato il ripristino configurazione di sistema ho eseguito le scansioni con: Malwarebytes Anti-Malware, A-Squared Free, di cui allego i log. http://www.mediafire.com/file/t0no5z...log-2009-09-04 (11-57-31).txt http://www.mediafire.com/file/lwmnon...904-140057.txt - Eseguito una scanzione con Prevx non ha evidenziato niente, allego il file di log. http://www.mediafire.com/file/zdze4wm0jnh/Prevx.log - Fatto una scansione con Gmer di cui allego il log http://www.mediafire.com/file/vukhjnmntqy/Gmer.log - Fatto scansione con Symantec Trojan.Mebroot Removal Tool di cui allego il log http://www.mediafire.com/file/t3vlwz...90904-1941.xml - Riavviato in modalità provvisoria e da C:\ ho lanciato un controllo con MBR rootkit detector di cui allego il file log "MBR1.log." Ho poi eseguito il comando C:\mbr.exe -f e salvato il file di log "MBR2.log". Ho poi riavviato normalmente e rieseguito e da start eseguito C:\mbr.exe il cui file di log è "MBR3.log". I tre files di log di MBR sono perfettamente identici: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK copy of MBR has been found in sector 0x025429800 PE file found in sector at 0x025429819 ! non viene segnalata la presenza di rootkit ma, nella mia ignoranza le ultime due righe non mi convincono e mi fanno pensare che il settore di boot sia danneggiato. Quindi avvio il Pc da cd di XP in console di ripristino di emergenza per eseguire FIXMBR ma mi esce il messaggio che il settore di boot non è standard e che una sua riscrittura potrebbe danneggiare la partizione, ecc., quindi mi sono fermato. A questo punto faccio una scansione con Dr.Web CureIT e viene evidenziato che: il file " c:\windows\winsxs\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.2600.5581_x-ww_dfbc4fc4\gdiplus.dll è infettato da virus "BackDoor.MaosBoot" che ha danneggiato MBR di HDD1. Quando viene chiesto dal programma se curare il file rispondo di si ma alla successiva domanda se riscrivere "il settore di boot standard" rispondo di no per quanto già successo in precedenza nell'esecuzione di FIXMBR da console di ripristino di emergenza. Non mi sono fidato a far riscrivere il settore di boot per non correre il rischio di ritrovarmi con un HD inutilizzabile. Il log di Cureit: http://www.mediafire.com/file/mgmmhud3zhy/cureit filtrato.txt Cosa mi consigliate di fare? Posso procedere con la cura di Dr.Web CureIT o con FIXMBR, oppure no? Grazie. |
|
|
07-09-2009, 09:22
|
#2 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Ciao esiste un 3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=1715546
Chiudo onde evitare doppione
__________________
Try again and you will be luckier.
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 19:30.
