www.MegaLab.it

[Uomo_Senza_Sonno]

ho eseguito la parte per settore 1 a 63 devo fare la stessa procedura per gli altri valori ?

gli offset indicati nella procedura di Masterz3d puliscono i 62 settori, dal settore 1 fino alla fine del settore 62 (7DFF è l'ultima parte del settore 62). Dopo devi riavviare il pc e avviare la consolle di ripristino per dare fixmbr e fixboot, di modo che il settore 0 sia ripristinato. Al termine di questi due comandi riavvi il pc e verifichi con mbr.exe se è tutto ok.

[monikamc]

grazie per la tua disponibilita' ho eseguito gli offset anche per gli altri settori indicati , ho riavviato il pc fissato mbr e boot
riavviato il pc e controllato con mbr ora da tutto OK.

Grazie ancora per il supporto , almeno sono sicura ora che tutto è okay

PS: ma come mai i tool non risolvono il problema? il virus si è modificato? o variato il modo di infezione

[Uomo_Senza_Sonno]

PS: ma come mai i tool non risolvono il problema? il virus si è modificato? o variato il modo di infezione

Questa tipologia virale rimane nei settori esterni al filesystem per rimanere invisibili ai controlli antivirus e antirootkit, o al massimo vengono rilevati e non rimossi. Sono progettati ad arte proprio per resistere nel pc e solo con un editor esadecimale si arriva a risolvere.
Anzi, hai dato una buona notizia quando hai segnalato che il live cd di g-data ha rimosso qualcosa, forse il file che ha introdotto il rootkit, visto che dopo non veniva più rilevato dagli altri antivirus.. probabilmente questo rescue disk ha implementato delle funzioni più efficaci per la rimozione dei rootkit. Ma non ha rimosso tutto, perché il codice era ancora li e solo con questo trattamento è stato eliminato definitivamente.

[monikamc]

il gdata lo ha eseguito un mio amico , che mmi ha riferito che è uno dei migliori in circolazione poiche implementa doppio motore di scansione.

Questo mio amico , mi ha chiesto di chiderti: come fai a intervenire in maniera sicura sui settori dell'hd o a capire dove andare a guradare a secondo dell'hd

[Uomo_Senza_Sonno]

Di sicuro è uno dei migliori in circolazione ma anche uno dei più pesanti, che fanno calare eccessivamente le prestazioni del pc. Però l'utilizzo del suo rescue disk è sicuramente una buona soluzione.
Per quanto riguarda l'intervento nei settori del disco, si leggono gli estremi del filesystem dal settore 0 e si ricavano i settori da editare. Se fai caso, mbr.exe ha elencato i settori in notazione esadecimale, per capire il settore in notazione decimale ti è sufficiente convertirlo con la calcolatrice di windows.
Al tuo amico consiglio la lettura di tutto questo thread, e la lettura di quest'articolo per una maggiore comprensione

[Ganso84]

sperando che qualcuno possa darmi una mano vorrei far presente il mio problema:
con mbr.exe riporto il log
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: ST3160021A rev.8.11 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-12

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 312560640

ora posto il log di gmer.exe:
GMER 2.1.19357 - http://www.gmer.net
Rootkit quick scan 2014-02-02 23:38:05
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-12 ST3160021A rev.8.11 149,05GB
Running: gmer.exe; Driver: C:\DOCUME~1\HP_PRO~1\IMPOST~1\Temp\kfliaaod.sys


---- Disk sectors - GMER 2.1 ----

Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 312560643 !

---- Devices - GMER 2.1 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys

---- EOF - GMER 2.1 ----

ho provato con tutti i tool possibili e immaginari ma niente, combofix, tdss killer ecc
ho letto tutte le pagine precedenti questo argomento ho scaricato HxD ma non so quali dati inserire per pulire i settori finali
se qualcuno può aiutarmi gliene sarei grato