www.MegaLab.it

[dario-vr]

Dopo di che avrei già finito??

[manero478]

ciao e buon giorno al gruppo...

allora masterz

fatto copia allego immagine :
http://img4.imageshack.us/img4/153/settore0nuovo.jpg

resto in attesa....
(ti ricordo che il virus sta anche nel disco slave E:
ma essendo da 20 gb potrei salvare i dati nel disco esterno E (usb) non infetto
e azzerarlo....)

Poi ho solo provato la procedura che hai messo per azzerare da 0 a 62.... e tutti i numeri corrispondono..
ma dimmi tu se devo farla ...visto che ora mi ci hai fatto copiare l'altro settore...

resto in attesa...
ciao

[masterz3d]

Non da 0 a 62, ma da 1 a 62. Se noti, in questo messaggio si parte dal byte numero 512 (esa 200), ovvero il primo byte del settore 1, fino al byte 7DFF, l'ultimo byte del settore 62, subito prima dell'inizio della prima partizione. Ora che hai copiato il MBR lascialo lì, e non spegnere la macchina, prima puliamo i settori finali.

Prima azzeri i settori dal 1 a 62 seguendo le istruzioni nel post linkato, e poi ripeti l'esatta procedura, solo che tu dovrai mettere:

• al posto del numero 200 (Inizio) il numero 4A8D08200;
• al posto del numero 7DFF (Fine) il numero 4A94EFFFF.

Tutto il resto è uguale.

ma essendo da 20 gb potrei salvare i dati nel disco esterno E (usb) non infetto e azzerarlo....

Questa è una soluzione che permette di liberarsi di qualsiasi cosa stia su un disco, compresi i rootkit...

@dario-vr

Dopo di che avrei già finito??

Eh si

[manero478]

ok scusa masterz ..avevo letto male....
ok mi dici che non devo spegere.. ok infatti non l'ho fatto
(la pena quale era????)

comunque ora faccio la pulizia... ma dimmi dopo posso anche spegnere o ancora no?
(e se dovesse cadere la tensione...che succede ... solo curiosita'... )
(si fa' per dire....)...

Pero vorrei capire.... allora ho copiato lì MBR dalla pos 39086145 alla 0
ora pulisco da 1 a 62 ... (????)
mi sono perso...
grazie e scusa...

comunque ora faccio sta pulizia....

lo sto facendo e mettendo quei numeri..
nel campo lunghezza appare 7E7EFFFF

spero sia corretto...

nel campo
ciao

[masterz3d]

(la pena quale era????)

Solo una precauzione: se il rootkit è ancora sul disco nei settori che dobbiamo cancellare c'è una possibilità che possa riprodursi partendo proprio dai settori non bonificati. Se hai fatto tutto l'impossibile nei dati governati dal SO (scandisk, defrag, antivirus, antirootkit vari) e vai a rimuovere tutto il resto... poi sono proprio curioso di vedere che cosa rimane da fare, se rimane qualcosa da fare.

dopo posso anche spegnere o ancora no?

Dopo che avrai pulito i settori da 1 a 62, estremi compresi, e i settori finali, con le istruzioni che ti ho dato.

Settori da 1 a 62: inizio = 200; fine = 7DFF
Settori finali: per te, inizio = 4A8D08200; fine = 4A94EFFFF

Basta che segui le istruzioni e che metti i numeri giusti nella sequenza giusta, il resto rimarrà lì dove sta ora.

Prima di confermare la sovrascrittura postami un'immagine della finestrella dei limiti, quella dove metti i numeri.

[Uomo_Senza_Sonno]

Ciao Masterz, sto procedendo a controllare i dischi, uno ad uno, con il kaspersky resque disk, perché se qualche giorno fa nelle fasi preliminari di analisi ha rilevato dei virus, e se è probabile che il rootkit si installi nei dischi collegati, allora seguendo la logica dovrebbe creare dei malaware. Dal momento che non esistono scanner online che supportino linux, devo per forza fare un tentativo così prima di trasferire i dati, perché se trasferisco i dati e tra questi c'è un qualsiasi file infetto, devo riniziare tutto quanto da capo.

Ma davvero non è possibile controllare sotto linux la probabilità di eventuali infezioni in dischi windows?

ancora per tutto

[manero478]

caro masterz.... Ormai gia' azzerato tutto...
in pratica dal settore 39086145 alla fine....
ora ho dati solo dal settore 0 al 39086145....

ecco l'istruzione della ricerca...
http://img8.imageshack.us/img8/6320/azz ... ettori.jpg

attendo fiducioso...
ciao

ah! scusami ancora....
ho riletto... ma allora devo azzerare anche i settori da 1 a 62 ???

credo di si ma aspetto...
no non aspetto lo faccio... ;)

FATTO... E ANCORA STO IN PIEDI....
NON SO' SE DOVEVA SUCCEDERE QUALCOSA IN QUESTO FRATTEMPO....
MA ANCORA WINDOWS STA SU...
per i settori 1...62 ho nesso = 200....7DFF ed e' uscito lunghezza 7C00
e prima struzione sul 63 "ëR.NTFS"

ora rimango in attesa...
e chiaramente non spengo

Fra poco vado in palestra... Spero di trovare buone notizie...
ciao ciao e grazie grazie...

[manero478]

cosi per curiosita' ho lanciato Avira per controllare i settori di avvia...

SORPRESA DELLE SORPRESE....... E' SPARITO.. QUESTO E' PARTE DEL LOG :
Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 1
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 2
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!
Record di avvio 'E:\'
[INFO] Nessun virus è stato trovato!
Record di avvio 'G:\'
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei file eseguibili (registro):
Il registro è stato scansionato ( 69 file ).
**********************************+
HO FATTO ANCHE mbr -f ecco il log...
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Pulito come un bambino .....

Quindi quello che risultava sul disco E: era solo un riflesso... boh!

Anche nod32 non lo rileva piu'... (pulito)


CHE NE PENSI?.....

CIAO... SPERO SIA REALE...E NO CHE APPENA RIPARTO TORNA TUTTO COME PRIMA...

[masterz3d]

@manero478

e prima struzione sul 63 "ëR.NTFS"

OK, è corretto

CHE NE PENSI?.....

Penso che se non hai riavviato devi farlo adesso, e poi ricontrollare.

@Uomo_Senza_Sonno

Ma davvero non è possibile controllare sotto linux la probabilità di eventuali infezioni in dischi windows?

Non conosco programmi simili, tranne ClamAV o OpenAV, ma non sono all'altezza di un Kaspersky o un NOD32, e poi io non uso mai software del genere, non mi servono.

[Uomo_Senza_Sonno]

Non conosco programmi simili, tranne ClamAV o OpenAV, ma non sono all'altezza di un Kaspersky o un NOD32, e poi io non uso mai software del genere, non mi servono.

Quindi se kaspersky resque disk non rileva nulla posso stare tranquillo e trasferire i files, ovviamente sotto ubuntu e poi, dopo aver azzerato tutto sto a posto?

Scusa se insisto ma visto il casino successo, è sempre preferibile essere sicuri. E non vorrei dover riniziare da capo tutto quanto perché magari qualche antivirus non l'ha rilevato... tutto qua!!

ancora per tutta la disponibilità e la pazienza che mostri.

[masterz3d]

Quindi se kaspersky resque disk non rileva nulla posso stare tranquillo e trasferire i files, ovviamente sotto ubuntu e poi, dopo aver azzerato tutto sto a posto?

Vai.

[Uomo_Senza_Sonno]

ok... grazie ancora

Ti posso chiedere se puoi verificare la presenza di eventuali infezioni nell'hard disk di un portatile da 20 Giga con 3 partizioni
(una da 10, una da 6 e una da 2,55) con l'editor esadecimale?

sarebbe l'ultima cosa da verificare... grazie ancora per tutto

[masterz3d]

Solo se è nel MBR. E, se tu mi postassi il MBR, ti direi di ripulire i settori dal 1 al 62 e i settori finali non occupati.

[Uomo_Senza_Sonno]

va bene

facciamo così.. io preparo il disco e lo sottopongo a una deframmentazione con mydefrag faccio uno scandisk e poi posto il mbr. Non insisterei così tanto se non fosse successo tutto quello che è successo all'altro pc, visto che mbr.exe non ha visto nulla, gmer andava in crash e combofix ha fatto il gioco del rootkit.
Faccio fare anche una scansione con il kaspersky resque disk per sicurezza e non appena fatto ti posto tutto quanto. Probabilmente ci vorrà tutta la notte, quindi per questo controllo dovremo rimandare a domani (e così ti lascio in pace e non ti stresso più, almeno per oggi )

ancora per tutto

[manero478]

allora riavvio???...

ma puo' esserci il prob.. che non riparte.....?

ho questo non e' possibile...dato che ora almeno va tutto bene???

comunque un grazie davvero (anche se non dovesse ripartire )... sei stato molto presente... e preparato...

ed e' per questo che mi sono comunque buttato nell'impresa....

[Uomo_Senza_Sonno]

@manero

per quanto possa valere il mio parere, dovresti riavviare perché se il sistema non ti ha abbandonato fin'ora, probabilmente non ti abbandona nemmeno adesso... ovviamente se è tutto corretto quello che hai fatto.

Più di provare, non puoi... ma ovviamente hai già fatto una copia dei dati per sicurezza vero?

[masterz3d]

Se hai seguito le istruzioni e se hai messo i numeri giusti (e a quanto mi hai detto mi pare di capire che li hai messi giusti) non avrai alcun problema.

[Uomo_Senza_Sonno]

Per un momento mi è venuto un colpo... ho appena finito di copiare 205 Giga e ho provato a visualizzarli sotto windows ma quando ho collegato i dischi non mi leggeva il disco di avvio.. poi ho provato a staccarli e riattaccarli ed è partito...
Mah... forse non arrivava la giusta tensione al disco.. in tutti i casi adesso procedo a piallare sotto ubuntu il disco da 500

Che divertimento, probabilmente ci vorranno 6-7 ore ma almeno finito tutto questo è bello lindo e sterilizzato..

Ci sentiamo per prossimi aggiornamenti.. e

_______________________________________________________________________

in attesa di completare l'azzeramento dei settori di tutto il disco ho trovato un articolo da proporre, dove, leggendo leggendo ho trovato due tools: MBRWizard e DIY DataRecovery MBRtool
Forse arrivo tardi ed è già stato trattato dal momento che è un po' datato..

[manero478]

WEEEEEEEEEEEEEEEEEEEEEEEEEE
ragazzi eccomi.... TUTTO ok....
il PC e' ripartito... tutto normale... fatta scansione... virus sparito....
domanda : se dovesse riaccadere, basterebbe fare le stesse operazioni..... visto che sappiamo dove sta l'MBR
l'asciando intatti i settori gia' trattati?...

comunque grazie Masterz sei grande....

ciao e purtroppo senzaltro alla prossima

ciao a tutti...
(adesso devo postare..il perche il BOOT ci mette dai 6 / 7 minuti....)
ma questa e' un'altra storia..
ciao ciao

[dario-vr]

SONO FELICE PER TE E COMPLIMENTI SINCERI ALL'AMICO MASTERZ