www.MegaLab.it

da **Uomo_Senza_Sonno** » mar nov 24, 2009 2:01 pm

manero478 ha scritto:domanda : se dovesse riaccadere, basterebbe fare le stesse operazioni..... visto che sappiamo dove sta l'MBR
l'asciando intatti i settori gia' trattati?...

da quanto ho capito io, se il rootkit rimane nell'mbr la procedura è pressochè identica.. ma se il maledetto si infila un po' ovunque come nel mio caso, allora l'unica è azzerare tutto il disco... anche se non è una procedura del tutto rapida è sicuramente efficace.
Per quanto mi riguarda, il mio sistema era completamente compromesso, e quindi la scelta più immediata era quella.

manero478 ha scritto:ciao e purtroppo senzaltro alla prossima

Purtroppo... se i sistemi windows continueranno ad essere così fragili per forza.. peccato davvero che sono ancora troppi gli applicativi solo per windows e troppo pochi quelli per linux, altrimenti chissà da quanto tempo microsoft avrebbe fallito...

dario-vr ha scritto:SONO FELICE PER TE E COMPLIMENTI SINCERI ALL'AMICO MASTERZ

Senza di lui non ce l'avremo mai fatta... [applauso+]

da **masterz3d** » mar nov 24, 2009 2:18 pm

Attenzione: la procedura è stata testata ed è valida solo su sistemi operativi Windows XP. La struttura del MBR per Windows Vista e Windows 7 potrebbe cambiare, e quindi cambiano i settori (e molto probabilmente gli intervalli) presi in esame.

Si tratta di fare un lavoro di fino, senza lasciare niente di intentato. Possiamo dividere la logica del disco rigido in due grandi parti:

quello che l'utente può modificare (MBR, partizoni, filesystem)
quello che l'utente non può modificare (settori inutilizzati: da 1 a 62, settori oltre la fine della partizione)

Dobbiamo controllare tutto, cominciando dalle partizioni. Noi non sappiamo con esattezza dove sia annidato il virus, se sia annidato in qualche file o nel filesystem.

Scansione dei file con un antivirus, scansione con un antirootkit;
Scandisk per controllare il filesystem;
Deframmentazione per mettere ordine nella partizione per il passo successivo, che è
Wiping dello spazio libero con UltraWipe.

Se c'è un virus nel MBR ce ne accorgiamo perché ce lo segnala l'antivirus o l'antirootkit.

Poi dobbiamo controllare che il MBR sia sano.

Se i software sopra ci hanno segnalato un problema nel MBR può aiutare un ripristino con fixmbr;
Se è un rootkit può aiutare combofix o mbr.exe di Gmer.

Di solito ci si ferma qui; se i tool non funzionano entra in scena il senso comune, che è quello di formattare. Ma se il rootkit si adagia in settori non raggiungibili da una formattazione o, in generale, da un sistema operativo, potete formattare quanto volete che alla reinstallazione successiva il problema si ripresenterà, e voi non avrete la più pallida idea del perché. E qui entra in scena il chirurgo con il bisturi: bisogna passare a controllare settore per settore (ovviamente, di quelli che stanno fuori dalle partizioni). E bisogna stare attenti perché se esiste una copia sana del MBR da qualche parte prima di azzerare i settori la si bisogna ripristinare con tool come HxD con il procedimento che ho postato qui. Il settore con il backup del MBR varia a seconda dell'output di mbr.exe.

Per esempio, nel caso di manero478:

Codice: Seleziona tutto: copy of MBR has been found in sector 0x02546841

La notazione è esadecimale, quindi il numero va convertito in base 10: veniamo a sapere che esiste una copia sana del MBR nel settore numero 39086145. Adesso pigliamo tutti e soli i dati del settore 398086145 e li sovrascriviamo a quello che c'è nel settore 0. E questo è un primo passo; i passi successivi sono due:

azzerare tutti i settori dal 1 al 62, come descritto qui;
azzerare tutti i settori alla fine delle partizioni. Questa procedura varia a seconda delle tabelle di partizione, e il numero reale dei settori delle partizioni è scritto in notazione little-endian, in forma esadecimale, nella tabella di partizione. (Qui non c'è spazio per esporre la struttura di un MBR, dovrò fare un articolo al riguardo.)

Questo è davvero tutto ciò che è umanamente possibile fare, e se i problemi si ripresentano mi sento solo di consigliare un azzeramento completo dei settori di un disco rigido.

Fate partire un LiveCD Linux e, appena siete alla console di comando, fate eseguire la seguente linea:

Codice: Seleziona tutto: dd if=/dev/zero of=/dev/<device> bs=512

dove, al posto di <device> dovrete mettere il nodo di periferica corrispondente all'unità disco che volete azzerare.

Siate cauti, poichè dd è un tool molto potente: non c'è modo di recuperare i dati una volta fatto partire il comando, e se sbagliate periferica siete da soli.

Adesso qui l'ho scritta un po' velocemente, però può darsi che prima o poi ne faccia un articolo. [;)]

da **dario-vr** » mar nov 24, 2009 2:29 pm

masterz3d ha scritto:
Adesso qui l'ho scritta un po' velocemente, però può darsi che prima o poi ne faccia un articolo.

Ciao Masterz direi, vista la enorme quantità di utenti afflitti da questa piaga, che ne vale la pena. [applauso+]

Sei forte! [grazie]

da **manero478** » mar nov 24, 2009 2:50 pm

Grande masterz.....
adesso intanto me copio sta cosa....
e comunque da quello che ho capito....

trovato con MBR -f il settore dell'MBR buono....
si puo'...
copiarlo nel settore 0
pulire dal settore 1 al 62...
e pulire dal settore SUCCESSIVO all'mbr buono...fino alla fine...

GIUSTO??

Una cosa .... mi spieghi che calcolo bisogna fare per avere il settore giusto partendo dal numero che da' il log MBR?
cioe' nel mio caso da:
copy of MBR has been found in sector 0x02546841
a:
39086145
(se puoi fare un esempio..magari proprio su questi numeri..)

ciao e GRAZIE ANCORA... [applauso+]

e grazie anche a te dario.... (purtroppo da quello che ho capito a te tocca zappare tutto [acc2]

)...
e comunque hai ragione senza Masterz... stavolta non ne uscivo nemmeno io....
[^]

da **Uomo_Senza_Sonno** » mar nov 24, 2009 3:30 pm

manero478 ha scritto:Una cosa .... mi spieghi che calcolo bisogna fare per avere il settore giusto partendo dal numero che da' il log MBR?
cioe' nel mio caso da:
copy of MBR has been found in sector 0x02546841
a:
39086145

Io ho fatto una prova con la semplice calcolatrice di windows.. con la modalità scientifica. Devi scrivere il numero dei settori sotto "hex" e poi passi la spunta su "dec".. sono semplici basi algebriche ma in questi frangenti è meglio usare la calcolatrice!!

@masterz3d il grande

sto procedendo a terminare la deframmentazione e la consolidazione dello spazio libero, ma prima voglio vedere se il tool trovato leggendo questo articolo viene trovato qualcosa in qualche sperduto settore del disco.. se poi la procedura per ripulire i settori è chirurgica, allora è meglio individuare, senza fare danni, eventuali settori infetti. Ma viste le conclusioni finora portate, questo strumento è in qualche modo utile?

[grazie]

da **masterz3d** » mar nov 24, 2009 8:13 pm

Ma viste le conclusioni finora portate, questo strumento è in qualche modo utile?

Se tu hai pulito tutto, penso proprio di no. [std]

da **Uomo_Senza_Sonno** » mar nov 24, 2009 8:40 pm

Ok allora come termina la deframmentazione (sono alla fase consolidate free space) lo sottopongo a questo tool ed eventualmente ti mando le immagini dei settori.

Spero proprio che non ci sia nulla, così evito di rompere e mi dedico a ripristinare bene il mio povero pc fisso che ha passato un brutto fine settimana (e non solo lui, dal momento che ho coinvolto pure te masterz).

[grazie]

per tutto

da **Uomo_Senza_Sonno** » mar nov 24, 2009 10:21 pm

come mi hai detto nei post precedenti, ti posto l'mbr del settore 0

anche se il disco ha 3 partizioni l'mbr rimane sempre una giusto?

In tutti i casi, ecco le immagini necessarie per le verifiche del disco del portatile

settore 0
http://img524.imageshack.us/img524/6053/screenshothxdsettore0.jpg

settori 60, 61, 62 e 63, non si sa mai..
http://img263.imageshack.us/img263/7632/screenshothxdsettore60.jpg
http://img99.imageshack.us/img99/8053/screenshothxdsettore61.jpg
http://img403.imageshack.us/img403/6875/screenshothxdsettore62.jpg
http://img99.imageshack.us/img99/2669/screenshothxdsettore63.jpg

sto cercando di capire quali settori devo postare dall'estremità del disco, ma non capisco che calcolo devo fare.

[grazie]

ancora per la disponibilità

da **masterz3d** » mar nov 24, 2009 10:48 pm

Due partizioni, una da 10,5GB NTFS e una estesa Windows 95 da 9GB circa.

Posta il settore 39070080. Dovrebbe essere l'ultimo settore del disco. Se è l'ultimo basta piallare i settori da 1 a 62.

Poi potrebbe essere necessario ripristinare il MBR con fixmbr dalla console di ripristino di Windows.

da **Uomo_Senza_Sonno** » mar nov 24, 2009 10:57 pm

http://img691.imageshack.us/img691/4418/screenshothxdultimosett.jpg

scusa un momento, come mai vedi 2 partizioni? in realtà sono 3 e tutte in ntfs... non è che ti devo postare altri screenshot di altri settori a questo punto?

Ah, mi sono dimenticato di dirti che è installato stylexp, ma ai fini delle verifiche non è rilevante.

a questo punto come finisco di sterilizzare l'altro disco faccio un backup preventivo dei dati del portatile, che è sempre meglio!!

[grazie]

ancora per tutto

da **masterz3d** » mer nov 25, 2009 12:00 am

come mai vedi 2 partizioni?

Una primaria e due logiche nell'estesa. L'ho capito dal codice 0F nel MBR. Comunque gli ultimi due byte sembrano la signature di un MBR, postami il settore prima, il 39070079.

da **Uomo_Senza_Sonno** » mer nov 25, 2009 12:22 am

http://img685.imageshack.us/img685/7753/screenshothxdpenultimos.jpg

Allora avevo ragione sul fatto che se avessi usato combofix anche sul portatile avrei fatto dei danni seri...

[grazie]

ancora per tutto

da **masterz3d** » mer nov 25, 2009 12:53 am

No, come pensavo, è l'ultimo settore del filesystem.
Fai una pulizia dei settori dal 1 al 62 e poi ripristina il MBR con fixmbr dalla console di ripristino.

da **Uomo_Senza_Sonno** » mer nov 25, 2009 1:03 am

ok allora appena è tutto pronto procedo con l'azzeramento dei settori..

se è andato tutto bene ti faccio sapere domani

[grazie]

ancora per tutto, e alla prossima

da **dario-vr** » mer nov 25, 2009 7:38 am

manero478 ha scritto:

e grazie anche a te dario.... (purtroppo da quello che ho capito a te tocca zappare tutto )...
e comunque hai ragione senza Masterz... stavolta non ne uscivo nemmeno io....

Ciao Manero. A dire il vero ancora non ho eseguito le procedure.
Ma più che zappare mi sembra un lavoro di "fino" [:)]

Com ho già detto a masterz sono indeciso perché il mio computer non manifesta nessun problema e poi ho Prevx in versione completa che controlla in tempo reale proprio anche il settore MBR [:)]

Per cui se ci fosse qualche problema lo avrei rilevato, io sono un "portatore sano" [;)]

E per ultimo ma non ultimo: c'è sempre masterz [^]

da **Uomo_Senza_Sonno** » mer nov 25, 2009 2:29 pm

Codice: Seleziona tutto: ubuntu@ubuntu:~$ sudo sfdisk -l /dev/sda Disk /dev/sda: 2432 cylinders, 255 heads, 63 sectors/track Units = cylinders of 8225280 bytes, blocks of 1024 bytes, counting from 0 Device Boot Start End #cyls #blocks Id System /dev/sda1 * 0+ 1313 1314- 10554673+ 7 HPFS/NTFS /dev/sda2 1314 2431 1118 8980335 f W95 Ext'd (LBA) start: (c,h,s) expected (1023,254,63) found (1023,0,1) /dev/sda3 0 - 0 0 0 Empty /dev/sda4 0 - 0 0 0 Empty /dev/sda5 1314+ 2097 784- 6297448+ 7 HPFS/NTFS start: (c,h,s) expected (1023,254,63) found (1023,1,1) /dev/sda6 2098+ 2431 334- 2682823+ 7 HPFS/NTFS start: (c,h,s) expected (1023,254,63) found (1023,1,1)

se ho capito bene, il comando che devo dare sotto ubuntu per azzerare i settori da 1 a 62 devo scrivere:

Codice: Seleziona tutto: sudo dd if=/dev/zero of=/dev/sda1 bs=512 count=62 seek=1

dove sda1 corrisponde alla partizione C:\

O il comando va dato

Codice: Seleziona tutto: sudo dd if=/dev/zero of=/dev/sda bs=512 count=62 seek=1

visto che è solo un disco rigido, seppur partizionato?
magari ho già dato risposta alla mia domanda, ma è sempre meglio sciogliere tutti i dubbi [fischio]

ancora so di essere alquanto duro di comprendonio in certi casi

da **masterz3d** » mer nov 25, 2009 4:14 pm

No, è /dev/sda. Se dici /dev/sda1 sovrascrivi il filesystem. /dev/sda1 è la prima partizione di /dev/sda, /dev/sda è il disco fisico.

da **Uomo_Senza_Sonno** » mer nov 25, 2009 4:19 pm

masterz3d ha scritto:No, è /dev/sda. Se dici /dev/sda1 sovrascrivi il filesystem. /dev/sda1 è la prima partizione di /dev/sda, /dev/sda è il disco fisico.

Quindi

Codice: Seleziona tutto: sudo dd if=/dev/zero of=/dev/sda bs=512 count=62 seek=1

meno male, altrimenti rischiavo di fare qualche fesseria..

il comando è andato, non è stato necessario ripristinare l'mbr con fixmbr.. quindi adesso il portatile è a posto!! [^]