Aiiuto MALWARE

[LucioFire]

mi dice che ha trovato una copia di MBR in unnel settore 0x0950A600

e poi malicious code in a sector 0x0950A603

e ancora PE file found in sector at 0x0950A619

bestiolina?non me ne intendo ma non credo sia una bestiolina ...questo è un mostro!

Comunque adesso sembra andare molto molto meglio...ieri sera ho pure fatto girare dei programmi antyspam anti malware ecc ecc...ognuno trovava qualcosa di diverso...

però mi sembra di capire che ancora non è finita...giusto?

Modificato 3 Novembre 2009 da LucioFire

[loric]

mi dice che ha trovato una copia di MBR in unnel settore 0x0950A600

e poi malicious code in a sector 0x0950A603

e ancora PE file found in sector at 0x0950A619

Ho bisogno di leggere *tutto* il messaggio.

bestiolina?non me ne intendo ma non credo sia una bestiolina ...questo è un mostro!

E' un rootkit. Qualcuno in Russia, Ucraina o Cina magari sa quali siti frequenti, le password dei tuoi account e-mail, quelle di questo forum, il PIN del tuo conto Bancoposta, il colore dei tuoi calzini e quanto spesso ti cambi le mutande.

In altre parole il tuo computer è stato seriamente compromesso e, se sei un minimo sfigato, ha gentilmente inviato all'achero di turno (Russo, Ucraino o Cinese) tutta una serie di informazioni che sono fatte per rimanere riservate.

Quando tutto questo sarà finito, dovrai cambiare tutte le tue password, richiedere un nuovo PIN dispositivo a Bancoposta e incrociare le dita sperando che non sia troppo tardi.

Fico, vero?

[LucioFire]

Se mi davi una martellata alle balle era meglio!!!!azz...che casino!

Non ho banco posta, mio padre può controllare il saldo della sua banca dal pc e una volta (tantissimo tempo fa)l'ha fatto...non credo ci possa fare pagamenti...e non sa nemmeno farli...per cui credo che il conto sia al sicuro...giusto?se io non accedo a nulla il rootkik mi prende le informazioni lo stesso?

sulla postepay ho pochi centesimi e il conto paypal è vuoto...quindi qua non mi fanno danni...non sono più rientrato dopo il rootkik...l'email invece l'ho controllata

Ho paura per l'account di ebay...anche se non ci sono rientrato potrebbero truffare gente vendendo roba col mio account giusto?

ecco il report:

stealth MBR rootkit/Mebroot/Sinoval detector 0.3.7 by Gmer

device: opened successfully

user : MBR read successfully

kernel : mbr read successfully

user & kernel MBR OK

copy of mbr has been found in sector 0x0950A600

Malicious code @ sector 0x0950A603

PE file found in sector at 0x0950A619

Comunque ti ringrazio per il tuo gentile aiuto e ti faccio i complimenti per la tua competenza!

Modificato 3 Novembre 2009 da LucioFire

[loric]

Direi che adesso va molto meglio. Quello che vedi è il rimasuglio del rootkit, ma lo stesso dovrebbe essere stato disattivato.

Adesso firefox e explorer ti funzionano regolarmente?

[LucioFire]

ho riavviato e sono di nuovo qua(anche se appena riavviato procesava parecchio)quando ho chiuso la precedente sessione mi ha fatto "termina programma" di hpqimzone (dovrebbero essere i programmi per la stampante)purtroppo è il pc della famiglia...non mio personale...quindi non so cosa sia tutta la roba che c'è dentro(codec,programmini ecc ecc)

come faccio a sapere se mi hanno rubato (o stanno utilizzando i miei dati)?se io faccio l'accesso ai vari siti e forum per cambiare la password...loro avranno automaticamente quelle nuove?

[loric]

ho riavviato e sono di nuovo qua(anche se appena riavviato procesava parecchio)quando ho chiuso la precedente sessione mi ha fatto "termina programma" di hpqimzone (dovrebbero essere i programmi per la stampante)purtroppo è il pc della famiglia...non mio personale...quindi non so cosa sia tutta la roba che c'è dentro(codec,programmini ecc ecc)

come faccio a sapere se mi hanno rubato (o stanno utilizzando i miei dati)?se io faccio l'accesso ai vari siti e forum per cambiare la password...loro avranno automaticamente quelle nuove?

[LucioFire]

si si...non si è mai inceppato...però la cpu ogni tanto parte e processa dati anche se visualizzo solamente la pagina

[loric]

Fa' una scansione completa col tuo antivirus per tranquillità e presta attenzione a qualsiasi comportamento "strano" del sistema nei prossimi giorni.

Anche se il sistema sembra pulito, io non me la sentirei di usarlo per, ad esempio, fare acquisti online con la mia carta di credito.

Il "bello" dei rootkit è che si inseriscono nel cuore del sistema (allo stesso livello di kernel) e sono potenzialmente in grado di fare qualsiasi cosa e di far fare qualsiasi cosa alla macchina.

C'è gente che ci ha rimesso i dati della carta di credito con quei cosi.

Nel tuo caso specifico, il rootkit era installato nel MBR del disco rigido. Il MBR normalmente contiene il software di basso livello necessario a far partire il boot del sistema operativo e viene eseguito dal Bios. Il MBR originale era replicato altrove sul disco in maniera tale che fosse comunque possibile eseguire il boot. Quel rootkit, fra le altre piacevolezze, conteneva del codice per mascherare la propria presenza attraverso un meccanismo di code injection e hooking con i driver di sistema. Se un programma cercava di leggere il MBR per vedere se era stato modificato, il virus gli faceva leggere il MBR originale salvato in altra parte del disco.

Comunque valuta tu cosa fare col tuo SO.

[LucioFire]

dalle tue parole mi sembra di capire che la formattazione è l'unico sistma per stare tranquilli in futuro...ti ringrazio per il tuo FONDAMENTALE supporto e aiuto...magari ne capissi la metà di quanto ne sai tu!

Quindi ho deciso per la formattazione...solo che domani e giovedì non posso che ho degli esami....se continuo a navigare solo in siti sicuri(tipo qua)senza andare su ebay,paypal ecc posso stare relativamente tranquillo fino a venerdì?

Le password mi consigli di cambiarle appena posso?no perchè come ho detto sopra ho paura che se io entro con la password ,e poi la sostituisco con una nuova...mi prendono pure quella!però vorrei vedere,almeno su ebay,se mi hanno fatto i danni...hanno truffato molte persone e non vorrei mi usassero per le loro frodi...

[loric]

dalle tue parole mi sembra di capire che la formattazione è l'unico sistma per stare tranquilli in futuro...ti ringrazio per il tuo FONDAMENTALE supporto e aiuto...magari ne capissi la metà di quanto ne sai tu!

Quindi ho deciso per la formattazione...solo che domani e giovedì non posso che ho degli esami....se continuo a navigare solo in siti sicuri(tipo qua)senza andare su ebay,paypal ecc posso stare relativamente tranquillo fino a venerdì?

Le password mi consigli di cambiarle appena posso?no perchè come ho detto sopra ho paura che se io entro con la password ,e poi la sostituisco con una nuova...mi prendono pure quella!però vorrei vedere,almeno su ebay,se mi hanno fatto i danni...hanno truffato molte persone e non vorrei mi usassero per le loro frodi...

Il tuo computer, se non mi è sfuggito qualcosa, è probabilmente pulito. Solo che non posso darti alcuna certezza, capisci?