www.MegaLab.it

[Uomo_Senza_Sonno]

Non ti preoccupare, anche io a volte mi faccio capire male

Come prima cosa è necessario ripristinare l'mbr sano nel settore 0 sempre seguendo le indicazioni di Masterz3d.
Al posto del settore indicato nella guida, inserisci il settore 398267415, e quindi gli offset saranno da 2F7A282E00 a 2F7A282FF0 compresi. Segui passo passo e fai con calma.

Poi procediamo con l'azzeramento dei settori in cui è presente il rootkit; per farlo segui la guida di Masterz3d, passo per passo e indica, negli offset da inserire, i seguenti:

Settori 1-62: inizio 200 fine 7DFF

Settori finali: inizio 2F7A282E00 fine 2F7B0FFFFF

Dopo che hai terminato riavvia il sistema ed esegui un controllo con mbr.exe

[manero478]

allora eseguito tutto con cura....

fatto ripartire sistema... cosa strana... Mi dice che ha trovato nuovo hardware e che sta installando i driver ..e per farlo funzionare correttamente
si deve far ripartire il sistema... lascio l'OK in sospeso.. e faccio l'MBR sui dischi

parto con E:\ quello secondario incriminato
e poi con F:\ quello esterno su USB
il LOG identico e' questo:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
***********************************
poi faccio su C:\ disco primario..

il log e' questo :
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: WDC_WD200BB-00DEA0 rev.05.03E05 -> Harddisk0\DR0 ->

device: opened successfully
user: MBR read successfully
error: Read Una periferica collegata al sistema non è in funzione.
kernel: error reading MBR
*****************************************
cosi faccio ripartire il pc...
i primi 2 log diventano..

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR
*****************************************
e quello su C:\

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6B200M0 rev.BANC1BM0 -> Harddisk1\DR1 -> \Device\Ide\IdeDeviceP2T0L0-17

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

******************************************

CHE E' SUCCESSO?????
e comunque tutti di schi funzionano..

forse ormai sei a dormire...
aspetto un po' se ci sei..
poi vado anche io...
se non ti leggo.. buona notte e comunque grazie....

[Uomo_Senza_Sonno]

Non saprei dirti di preciso, ma visto il log presente in C:\ è sicuro che abbiamo rimosso il rootkit. Se ha installato un disco probabilmente ha visto che in uno non era presente l'mbr, e forse adesso è ripristinata.

Bisognerebbe vedere i settori 0 dei tre dischi in questione, sicuramente adesso avranno tutti e tre il settore 0 scritto correttamente. Per il resto, non ho ancora indagato a fondo sugli eventuali errori di mbr.exe

[manero478]

ecco i tre settori O

http://img17.imageshack.us/img17/781/settore0c.jpg

http://img89.imageshack.us/img89/9462/settore0e.jpg

http://img80.imageshack.us/img80/8596/settore0gusb.jpg

dimmi tu

[Uomo_Senza_Sonno]

Beh, gli mbr sono ripristinati correttamente, l'ultimo disco non ha mbr ma sono indicate solo gli estremi della partizione ma non ha importanza, se come mi hai detto funziona tutto correttamente. Dai rispettivi settori 0 si evince che i dischi sono sani, per cui gli errori generati nel log probabilmente sono causati da qualche difetto di mbr.exe

[manero478]

grazie e scusa .. non ci sono stato..
comunque si i diski sembra che vadano bene..
l'unica cosa .. come mai la cartella
System volume information.. solo su c:\ mi da accesso negato?

grazie e ciao

[Uomo_Senza_Sonno]

System volume information.. solo su c:\ mi da accesso negato?

Guarda qui per capire bene che cosa serve, ma se mi ricordo bene è normale che ti dia accesso negato in C:\, ma non ne sono sicuro del tutto.