www.MegaLab.it

[sexirutto]

Tutto aposto uomo_senza_sonno per l'aiuto, ho cambiato pure il firewall,ho il pc in ordine,ciao e grazie ancora

[rennegade]

come al solito tutte le cose strane succedono a me... bootkit remover mi restituisce "unknown boot code" mentre il log di mbr è pulito... nod è installato e il pc non da problemi di nessun tipo. va a capire... il mio pc è un notebook asus, l'hd originale è stato cambiato quindi non ha la partizione nascosta di ripristino che potrebbe giustificare un mbr sconosciuto... il sistema operativo è xp ed è stato ripristinato con i dvd di ripristino originali (forse i dvd di ripristino asus generano un mbr "strano").
una curiosita': cosa si intende esattamente per "il codice del bootkit si installa in settori del disco non raggiungibili dal file system e dal sistema operativo"?
per quanto ne so io una volta pulito l'mbr infetto che richiamava tali settori, non ci dovrebbero essere piu' problemi, piu' o meno come succede per i file cancellati: i bit che compongono tali file rimangono sul disco fino a essere sovrascritti, perché nelle fat (almeno mi pare) è stato scritto che tale file è stato cancellato e l'area a cui si riferiva è libera... il sistema operativo quindi non si sogna di andare a leggere tali aree a meno che noi non lo obblighiamo con software di recupero dati
se non è cosi', allora cosa cambia per questi bootkit?
comunque grazie a Uomo_senza_sonno per l'ottimo articolo

[Sk8er-Boi]

Un semplice e sincero GRAZIE per la guida!



SE POSSIBILE UN PICCOLO EDIT ARTICOLO:

Come si scopre bootkit?
Se si può, mettere "più + in chiaro" la scansione di NOD32 come unico programma.
E' chiaro nelle ultime righe ma non la premessa dell'articolo, perché nella lista NOD32 sembra fallare!

[Pono]

a distanza di due anni non hanno ancora aggiornato mbr per i 64bit .-.

volevo capire se l'ok che bootkit remover mette in mbr status vuol dire che non è infetto...
(comunque a me da errore quando clicco su si)

[Uomo_Senza_Sonno]

Eh si, non sarebbe male se estendessero il supporto per i sistemi x64, tuttavia ci sono altri tools che permettono la lettura dello status del MBR, tra cui MBRScan.

In tutti i casi, se nello status del MBR viene riconosciuto il tipo di sistema operativo, si può stare tranquilli. Fa eccezione a parte il caso in cui il disco viene partizionato con altri tools di gestione dischi oppure se sono presenti in esse partizioni nascoste e/o di ripristino.

[Pono]

e da questo tool come capisco se c'è infezione o meno?

[Uomo_Senza_Sonno]

Lo esegui, clicchi su Scan e dopo qualche secondo ti elenca lo status del MBR (se ci sono più dischi collegati legge anche gli altri)

[Pono]

[1passante]

Io trovo molto strano che dei professionisti non si accorgano che ciò che spiegano non rende più sicuro l'uso dei computers. Si parla spesso nei forums del periocolo di computer virus e vengono dati dei consigli che a primo acchitto sembrano molto professionali ma se ci pensate bene sono alla leggera. perché? Io penso che sia cascati dentro la rete del risparmio o cecità del risparmio e non vedono più la soluzione. Scaricare un anti-virus dall'internet non è mai sicuro quando è presente un rootkit o bootkit virus. Il TDL4 è una variante molto tenace per esempio ed è in grado di nascondersi quando si esegue uno scan, inoltre certi boot virus sono in grado di riconoscere i nomi dei programmi antivirus e sanno quando sono attivi o non permettono di scaricarli nella macchina infetta. Scaricare un antivirus boot disk o USB boot creandolo da una fila ISO non è sicuro altrettanto. Il virus si intrufola nel boot sector del CD/DVD o USB key al momento che si formatta. Inutile seguire i consigli di chi dice che dovremmo scaricare la ISO da una macchina che non è infetta. Come lo si fa a sapere? Qualsiasi macchina può essere infetta. Un programma virale può pretendere che tutto funzioni bene per poi rallentare il PC o laptop e poi magari pretende di essere stato rimosso simulando un buon funzionamento. Un programma antivirus può trovare una variante di un bootkit/rootkit ma non ne trova un'altra che magari ancora risiede nel sistema. Può addirittura essere il virus stesso a far trovare una variante di se mentre nasconde l'altra. La sola sicura maniera di stare sicuri è di acquistare un disco boot con antivirus direttamente da un fabbricante di antivirus con ottima reputazione. Dunque abbasso il risparmio esagerato perché porta solo gravi problemi.

[Uomo_Senza_Sonno]

Giusto una precisazione a riguardo delle opinioni più o meno condivisibili del precedente post: un rootkit/bootkit non è in grado di insediarsi nella struttura di un cd/dvd per via del filesystem presente in questo tipo di supporto ed effettuare un controllo con un rescue disk è sicuramente il miglior metodo per controllare in via del tutto sicura la presenza di infezioni.
Inoltre, una macchina infetta in qualsiasi modo manifesta dei problemi, più o meno macroscopici, e sarà l'utente a rendersene conto o meno.