www.MegaLab.it

Prima di procedere con l'azzeramento dei settori, è possibile ripristinare il MBR originale senza dover ricorrere alla console di ripristino, naturalmente se nel disco è presente una copia dello stesso.

In genere tool come lo Stealth Rootkit Detector identificano senza problemi le copie sane del MBR, nel caso dovessero esserci problemi è necessario eseguire una ricerca con lo strumento offerto da HxD.

Andiamo in Cerca e selezioniamo Trova

Si aprirà una finestra dove dovremo inserire le voci da cercare

Nella barra inseriamo la voce da cercare, quello che ci interessa è che trovi tutto quello relativo a Manca il sistema operativo o Missing operating system. La ricerca deve essere fatta nei settori esterni alla partizione, quindi nel nostro esempio tra i settori 1 e 62 e tra i settori 156280320 e 156301488.

Una volta scomparsa la barra di attesa, verrà trovato il settore che ci interessa. Nel caso le ricerche non producano risultati, si dovrà prendere in considerazione la possibilità che non esista una copia dell'MBR. Ma poniamo il caso che nel nostro esempio si trovi una copia nel settore 156280325, e vogliamo ripristinarla nel settore 0 prima di azzerare i settori, come procedere?

Con il disco aperto in modalità di scrittura, dobbiamo procedere con la copia del settore che ci interessa, quindi scriviamo il numero del settore, nel nostro esempio, il settore 156280325. Selezioniamo con il cursore tutti i bytes, da quello in alto a sinistra a quello in basso a destra, come riportato in esempio.

Possiamo sempre selezionare il settore utilizzando il comando seleziona blocco ed inserire gli offset che ci interessano, nel nostro caso inseriremo nel campo inizio 12A14C0A00 e nel campo fine 12A14C0BFF (riga 12A14C0BF0 colonna 0F).

Prestate attenzione al campo lunghezza, quando selezioniamo un solo settore il valore deve essere di 200, a conferma della corretta selezione: infatti ogni settore ha una dimensione di 200 in esadecimale, corrispondente a 512 bytes, e di conseguenza qualsiasi altro valore, inferiore o superiore, non è corretto.

Una volta selezionato, il risultato sarà come in esempio

Andate in Edit e selezionate Copia (oppure utilizzate l'imput da tastiera CTRL+C) e lasciamo così; a questo punto andiamo al settore 0, digitando il numero del settore nel campo Settore, per ripristinare l'mbr originale.

Ripetiamo il procedimento di selezione, con il mouse oppure selezionando il blocco, verificando sempre che la lunghezza abbia il valore di 200, poi andiamo a selezionare da Edit la voce Incolla  (sovrascrivi).

I dati sovrascritti appariranno in colore rosso

A questo punto non ci resta che salvare le modifiche e confermare nella finestra di non ritorno. Una volta confermate le modifiche i dati verranno colorati di nero e avremo definitivamente ripristinato il MBR.

Una volta ripristinato il MBR originale, possiamo passare ad azzerare i settori infetti e risolvere il problema alla radice.