Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT - Pagina 137

Robertissimus44 · 15-04-2010, 17:27

Quote:

Originariamente inviato da wjmat

da cosa ti sei diagnosticato mbr rootkit visto che i log mi sembrano puliti?

si erano infettati altri pc della stessa rete e avevo il sospetto che avesse infettato anche il mio. non riuscivo a capire se il log gmer sia pulito o meno..

comunque grazie wjmat, tu cosa ne pensi della strategia fdisk/mbr + formattazione come rimedio estremo per eliminare il rootkit? ha controindicazioni a parte la perdita dei dati?

wjmat · 15-04-2010, 18:11

Quote:

Originariamente inviato da Robertissimus44

si erano infettati altri pc della stessa rete e avevo il sospetto che avesse infettato anche il mio. non riuscivo a capire se il log gmer sia pulito o meno..

comunque grazie wjmat, tu cosa ne pensi della strategia fdisk/mbr + formattazione come rimedio estremo per eliminare il rootkit? ha controindicazioni a parte la perdita dei dati?

se sovrascrivi mbr sei già a posto e non perdi i dati
al max hai da eliminare l'utente help assistant

Nimrod1991 · 15-04-2010, 18:18

Quote:

Originariamente inviato da Nimrod1991

http://wikisend.com/download/917718/PrevxLog.log

Ecco quà l'ultimo log di prevx

erano a posto gli altri miei log Chill ??(tanto per avere un'idea della situazione visto che lavoro proprio dal computer che era stato infettato)

Mat potresti dare anche a me un occhiata al log?

gusman · 16-04-2010, 08:31

scusate questo virus che ho preso ruba dati sensibili?
La cartella helpassistant in cui il virus mi ha copiato un sacco di file che avevo sul pc posso cancellarla?
I dati copiati possono essere stati trasferiti all'esterno?

Robertissimus44 · 16-04-2010, 09:55

Quote:

Originariamente inviato da wjmat

se sovrascrivi mbr sei già a posto e non perdi i dati
al max hai da eliminare l'utente help assistant

ma scusate, se basta sovrascrivere mbr col comando fdisk allora perchè non lo mettiamo nella guida? mi sembra una procedura molto veloce e sicura. che ne pensate?

**Chill-Out** · 16-04-2010, 11:09

Quote:

Originariamente inviato da Robertissimus44

ma scusate, se basta sovrascrivere mbr col comando fdisk allora perchè non lo mettiamo nella guida? mi sembra una procedura molto veloce e sicura. che ne pensate?

Perchè fdisk non c'entra nulla.

**Chill-Out** · 16-04-2010, 11:16

Quote:

Originariamente inviato da Nimrod1991

Mat potresti dare anche a me un occhiata al log?

Un pochino di pazienza è gradita, comunque scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Quote:

Files to delete:
c:\windows\imglib.dll

clicca su Execute, al termine il Pc si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

**Chill-Out** · 16-04-2010, 11:25

Quote:

Originariamente inviato da corridori

utilizzando linux esiste un metodo per verificare se un rootkit si è insediato nel mbr dello stesso hardisk su cui sta girando linux, mi spiego meglio, avendo computers su cui era presente xp ma che sono stati formattati per metterci linux, è possibile scovare eventuali rootkit tuttora presenti nel mbr?

non so se possono far danno con linux? ma comunque vorrei evitare che possano far danno in futuro qualora fosse reinstallato windows.

altra piccola domanda, ho scoperto il rootkit sotto winxp perchè il mio antivirus comodo me lo ha segnalato, ma è possibile che il firewall abbia comunque continuato a proteggermi bloccando la backdoor? oppure a poco servono i firewall contro i rootkit?

Anche Linux dovrebbe darti la segnalazione, in assenza come detto precedentmente sei ok, anche il FW gioca un ruolo fondamentale in quanto il Trojan apre una backdoor cercandi di bypassare il FW stesso.

Robertissimus44 · 16-04-2010, 12:20

Quote:

Originariamente inviato da Chill-Out

Perchè fdisk non c'entra nulla.

non c'entra nulla con la rimozione del rootkit mbr?
ma qualche rigo sopra Wjmat mi ha confermato che il comando fdisk funziona, come fai a dire che non c'entra nulla? scusa ma non capisco.

**Chill-Out** · 16-04-2010, 12:27

Quote:

Originariamente inviato da wjmat

se sovrascrivi mbr sei già a posto e non perdi i dati
al max hai da eliminare l'utente help assistant

Quote:

Originariamente inviato da Robertissimus44

non c'entra nulla con la rimozione del rootkit mbr?
ma qualche rigo sopra Wjmat mi ha confermato che il comando fdisk funziona, come fai a dire che non c'entra nulla? scusa ma non capisco.

Nel Post non è indicato il comando che è fixmbr non fdisk.

Robertissimus44 · 16-04-2010, 12:35

Quote:

Originariamente inviato da Chill-Out

Nel Post non è indicato il comando che è fixmbr non fdisk.

no proprio non ci stiamo capendo,mi spiego meglio, fixmbr non c'entra nulla con quello che dico io....

io mi riferisco ad avviare il pc in dos con un dischetto o con un cd di win98 ad esempio, e lanciare precisamente il seguente comando: fdisk/mbr che dovrebbe sovrascrivere l'MBR e quindi eliminare eventuali virus presenti nell'mbr. Poi una formattazione e il pc è pulito.
E ti chiedevo se non fosse utile inserire questa procedura come alternativa agli altri metodi, perchè questa procedura banalissima ha l'inconveniente di perdere i dati ma è utilissima per chi non ha dati importanti e vuole un metodo semplicissimo, veloce e sicuro.

**Chill-Out** · 16-04-2010, 12:50

Quote:

Originariamente inviato da Robertissimus44

no proprio non ci stiamo capendo

Probabile

Quote:

Originariamente inviato da Robertissimus44

E ti chiedevo se non fosse utile inserire questa procedura come alternativa agli altri metodi, perchè questa procedura banalissima ha l'inconveniente di perdere i dati ma è utilissima per chi non ha dati importanti e vuole un metodo semplicissimo, veloce e sicuro.

Lo scopo della Guida è ovviamente quello di risolvere il problema evitando i danni collaterali, altrimenti non avrebbe senso definirla Guida.

Nell'eventualità formatto direttamente a basso livello, risolvendo il problema alla radice e con ampio margine di sicurezza.

Robertissimus44 · 16-04-2010, 13:20

inserire due righe alla fine della guida del tipo:
Per chi non ha dati importanti basterà avviare il pc in dos e lanciare il comando fdisk/mbr dopodichè procederà alla formattazione.

mi avrebbe fatto risparmiare mezza giornata, e come me tanti altri ve ne sarebbero stati grati. Le guide si fanno per essere utili a più persone possibili.

detto questo io ammiro voi e soprattutto chillout per il tempo e la passione che dedicate agli altri in questo utilissimo forum, volevo solo esprimere il punto di vista di uno capitato qui per caso cercando un modo per sbarazzarsi di un virus che resisteva alla classica formattazione e che dopo aver perso mezza giornata ha trovato altrove una soluzione più rude ma più veloce.

grazie comunque

Nimrod1991 · 16-04-2010, 14:37

http://wikisend.com/download/489428/avengerLog.txt

Ecco qui il log di avenger

**Chill-Out** · 16-04-2010, 15:20

Quote:

Originariamente inviato da Robertissimus44

inserire due righe alla fine della guida del tipo:
Per chi non ha dati importanti basterà avviare il pc in dos e lanciare il comando fdisk/mbr dopodichè procederà alla formattazione.

Mi domando per quale motivo, se la Guida in prima pagina non sortisce effetti positivi, basta lanciare il comando fixmbr da Console di Ripristino che non comporta nessuna perdita di dati. ( in 137 pagine di Thread questa condizione si è verificata pochissime volte)

Quote:

Originariamente inviato da Robertissimus44

mi avrebbe fatto risparmiare mezza giornata, e come me tanti altri ve ne sarebbero stati grati. Le guide si fanno per essere utili a più persone possibili.

Solitamente per registarsi al Forum ed inserire il primo messaggio bastano 10 minuti, dopodichè bisogna attendere pazientemente che qualcuno che presta assistenza gratuitamente risponda. Le guide sono utili se e quando vengono comprese e rispondono alle esigenze della massa e non del singolo. Mi dispiace che tu abbia perso mezza giornata del tuo preziosissimo tempo, ma non mi risulta che nessuno ti sia venuto a cercare.

Quote:

Originariamente inviato da Robertissimus44

detto questo io ammiro voi e soprattutto chillout per il tempo e la passione che dedicate agli altri in questo utilissimo forum, volevo solo esprimere il punto di vista di uno capitato qui per caso cercando un modo per sbarazzarsi di un virus che resisteva alla classica formattazione e che dopo aver perso mezza giornata ha trovato altrove una soluzione più rude ma più veloce.

grazie comunque

Quanto affermi stride fortemente con quanto detto in precedenza, i temini passione ed ammirazione sono volti solo a celare una inutile e sterile polemica, la differenzia sostanziale sta nel fatto che dici di aver perso tempo, mentre chi ti ha prestato educatamente e gratuitamente assitenza pensa il contrario, altrimenti non lo avrebbe fatto.

Detto questo sono 5GG di sospensione per polemica pubblica, sperando che siano sufficienti a leggere il Regolamento e a stabilire se desideri restare ospite di questa community.

**Chill-Out** · 16-04-2010, 15:24

Quote:

Originariamente inviato da Nimrod1991

http://wikisend.com/download/489428/avengerLog.txt

Ecco qui il log di avenger

Dire che siamo ok, per scrupolo ultimo log di Prevx

xcdegasp · 16-04-2010, 16:09

a quanto detto dal collega aggiungo che se un utente ritiene non all'altezza o non sufficientemente efficace la nostra guida o non ci ritenga all'altezza per ottenere risposte esaustive e risolutive può sempre considerarsi libero di rivolgersi altrove, noi non abbiamo mai obbligato nessuno a restare o a seguire le nostre indicazioni..
non vedo quindi nessun motivo per scrivere messaggi del tipo "ho risolto su altri lidi", per noi non potrà mai essere preso come un torto

noi siamo contenti quando gli utenti risolvono il loro problema, per raggiungere questo obbietivo noi forniamo determinati strumenti strumenti ma cio non esclude d'usare un proprio set di strumenti o di rivolgersi ad altre persone

sentivo la necessità di questa precisazione che per noi è scontata ma a quanto pare è ignorata completamente da alcuni

Nimrod1991 · 16-04-2010, 17:19

Ecco qui l'ultimo log di Prevx

http://wikisend.com/download/514192/PrevxLog.log

**Chill-Out** · 16-04-2010, 17:20

Quote:

Originariamente inviato da Nimrod1991

Ecco qui l'ultimo log di Prevx

http://wikisend.com/download/514192/PrevxLog.log

A posto, al termine della Guida in prima pagina, trovi i Suggerimenti

Nimrod1991 · 16-04-2010, 17:37

Grazie mille Chill Out, da solo non sarei mai riuscito a risolvere il problema!!

16-04-2010, 16:09	#2737
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	a quanto detto dal collega aggiungo che se un utente ritiene non all'altezza o non sufficientemente efficace la nostra guida o non ci ritenga all'altezza per ottenere risposte esaustive e risolutive può sempre considerarsi libero di rivolgersi altrove, noi non abbiamo mai obbligato nessuno a restare o a seguire le nostre indicazioni.. non vedo quindi nessun motivo per scrivere messaggi del tipo "ho risolto su altri lidi", per noi non potrà mai essere preso come un torto noi siamo contenti quando gli utenti risolvono il loro problema, per raggiungere questo obbietivo noi forniamo determinati strumenti strumenti ma cio non esclude d'usare un proprio set di strumenti o di rivolgersi ad altre persone sentivo la necessità di questa precisazione che per noi è scontata ma a quanto pare è ignorata completamente da alcuni __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

16-04-2010, 08:31	#2724
gusman Member Iscritto dal: Oct 2004 Messaggi: 88	scusate questo virus che ho preso ruba dati sensibili? La cartella helpassistant in cui il virus mi ha copiato un sacco di file che avevo sul pc posso cancellarla? I dati copiati possono essere stati trasferiti all'esterno?

16-04-2010, 13:20	#2733
Robertissimus44 Junior Member Iscritto dal: Apr 2010 Messaggi: 15	inserire due righe alla fine della guida del tipo: Per chi non ha dati importanti basterà avviare il pc in dos e lanciare il comando fdisk/mbr dopodichè procederà alla formattazione. mi avrebbe fatto risparmiare mezza giornata, e come me tanti altri ve ne sarebbero stati grati. Le guide si fanno per essere utili a più persone possibili. detto questo io ammiro voi e soprattutto chillout per il tempo e la passione che dedicate agli altri in questo utilissimo forum, volevo solo esprimere il punto di vista di uno capitato qui per caso cercando un modo per sbarazzarsi di un virus che resisteva alla classica formattazione e che dopo aver perso mezza giornata ha trovato altrove una soluzione più rude ma più veloce. grazie comunque

16-04-2010, 14:37	#2734
Nimrod1991 Junior Member Iscritto dal: Apr 2010 Messaggi: 10	http://wikisend.com/download/489428/avengerLog.txt Ecco qui il log di avenger

16-04-2010, 17:19	#2738
Nimrod1991 Junior Member Iscritto dal: Apr 2010 Messaggi: 10	Ecco qui l'ultimo log di Prevx http://wikisend.com/download/514192/PrevxLog.log

16-04-2010, 17:37	#2740
Nimrod1991 Junior Member Iscritto dal: Apr 2010 Messaggi: 10	Grazie mille Chill Out, da solo non sarei mai riuscito a risolvere il problema!!

Strumenti
Mostra una versione stampabile Invia questa pagina per email