www.MegaLab.it

[Uomo_Senza_Sonno]

Ok abbiamo individuato il primo settore dove è presente il codice maligno, ora posta anche il settore 240091450 e controlla tutti i settori da 1 a 60, ed eventualmente posta il settore dove è presenta del codice. Inoltre, per maggiore sicurezza, posta anche i settori 240091427 e 240091429, poi procediamo con la rimozione.

[osammot]

http://img411.imageshack.us/img411/5954/settore0.png
http://img819.imageshack.us/img819/4003/settore32.png
http://img94.imageshack.us/img94/7815/settore33.png
http://img692.imageshack.us/img692/1562 ... 091427.png
http://img248.imageshack.us/img248/6215 ... 091429.png
http://img31.imageshack.us/img31/5618/s ... 091450.png

ecco gli ultimi settori...
mi puoi dire come mai si sono infettati questi settori e come mai è la prima volta che mi capita di dover fare una procedura tale??grazie

[Uomo_Senza_Sonno]

mi puoi dire come mai si sono infettati questi settori e come mai è la prima volta che mi capita di dover fare una procedura tale? grazie

i rootkit mbr vanno ad occupare i settori normalmente non raggiungibili dal filesystem e quindi dal sistema operativo, per rimanere invisibili ai controlli antivirus. Per evitare una soluzione drastica come uno zerofilling dei settori o una formattazione a basso livello (con conseguente perdita definitiva di tutti i dati presenti nel disco) si procede con il bisturi e senza essere troppo invasivi.

Ora per cortesia mi dovresti postare il settore 102398310, vorrei vedere se per caso si è annidato anche tra le partizioni del disco. Inoltre, verifica tutti i 25 settori da 240091425 a 240091450, così davvero poi procediamo con la pulizia.

[osammot]

http://img153.imageshack.us/img153/708/ ... xxxx25.png
http://img820.imageshack.us/img820/1962 ... xxxx26.png
http://img534.imageshack.us/img534/3653 ... xxxx29.png
http://img52.imageshack.us/img52/3038/s ... xxxx27.png
http://img21.imageshack.us/img21/7267/s ... xxxx28.png
http://img4.imageshack.us/img4/707/sett ... xxxx50.png
http://img266.imageshack.us/img266/1448 ... 398310.png

[Uomo_Senza_Sonno]

Ok, passiamo alla rimozione:

LASCIA COLLEGATO SOLO UN DISCO RIGIDO, almeno per il momento

Scarica una distribuzione live GNU/linux (come questa) masterizza e riavvia il pc facendo fare il boot da cd. Seleziona la lingua italiana, poi seleziona la voce utilizza ubuntu senza modificare il computer. Verrà configurato tutto in automatico, comprese le impostazioni di rete, quindi potrai collegarti ad internet senza problemi.

Una volta caricato il desktop, vai in accessori-->terminale; da qui copi/incolli il seguente comando

Codice: Seleziona tutto

sudo sfdisk -l /dev/sda

per una ulteriore verifica dei dischi a cui impartire il comando; l'output sarà qualcosa del genere (riporto un esempio)

Codice: Seleziona tutto

ubuntu@ubuntu:~$ sudo sfdisk -l /dev/sda

Disk /dev/sda: 9729 cylinders, 255 heads, 63 sectors/track
Units = cylinders of 8225280 bytes, blocks of 1024 bytes, counting from 0

   Device Boot Start     End   #cyls    #blocks   Id  System
/dev/sda1   *      0+   9727    9728-  78140128+   7  HPFS/NTFS
/dev/sda2          0       -       0          0    0  Empty
/dev/sda3          0       -       0          0    0  Empty
/dev/sda4          0       -       0          0    0  Empty

vedrai quanti dischi sono collegati e quanti cilindri e settori sono presenti nel disco e il relativo filesystem; in questo caso i settori sono suddivisi in blocchi da 1024byte, mentre windows li suddivvide in blocchi da 512.
I dischi vengono indicati con sd, cioè solid disk; se è presente un solo disco il disco verrà indicato con sda, se son presenti più dischi sda, sdb, ecc ecc.
Il comando che devi dare per azzerare i settori da 1 a 62, estremi compresi è il seguente (copia/incolla i comandi ):

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sda bs=512 count=62 seek=1

mentre con questo azzeri tutti i settori oltre la partizione:

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sda bs=512 seek=240091425

ci metterà un attimo. Può darsi che alla fine del secondo comando ti dica "No space left on device", ma è normale.
Infine riavvia il sistema, togli il CD di Ubuntu e fai partire Windows. Lancia mbr.exe e verifica che log genera.