www.MegaLab.it

[gigicookie]

Per quanto riguarda avira sei riuscito a fare la scansione?

[AndrewSpeed]

Per quanto riguarda avira sei riuscito a fare la scansione?

Non ancora proverò più tardi

[AndrewSpeed]

Posto le immagini relative ai settori che mi hai indicato.

Settore 62



Settore 63



Settore 625121279



Settore 625121280



Settore 625142448

[Uomo_Senza_Sonno]

Bene, vedo che l'infezione è più estesa di quanto immaginassi, ma passiamo alla pulizia:

Riprendi la guida da qui, e soffermati nei passaggi dove vengono spiegate le selezioni per blocco. In sostanza, i valori che devono essere inseriti (offset) sono i punti di partenza e fine di una selezione di settori che poi saranno azzerati.

Per quanto riguarda la prima selezione dei blocchi iniziali (1-62 estremi compresi), devi inserire nel campo inizio il valore 200, nel campo fine il valore 7DFF;
per quanto riguarda la selezione dei blocchi finali (625121280-625142448 estremi compresi), devi inserire nel campo inizio il valore 4A85300000, nel campo fine il valore 4A85D55FFF;

Una volta fatto l'azzeramento, salva tutto e riavvia il pc con il cd di windows inserito: accedi alla console di ripristino ed esegui i comandi fixboot e fixmbr per riscrivere completamente il settore 0, poi riavvia nuovamente e a questo punto non dovresti trovare più problemi.

[AndrewSpeed]

Bene, vedo che l'infezione è più estesa di quanto immaginassi, ma passiamo alla pulizia:

Riprendi la guida da qui, e soffermati nei passaggi dove vengono spiegate le selezioni per blocco. In sostanza, i valori che devono essere inseriti (offset) sono i punti di partenza e fine di una selezione di settori che poi saranno azzerati.

Per quanto riguarda la prima selezione dei blocchi iniziali (1-62 estremi compresi), devi inserire nel campo inizio il valore 200, nel campo fine il valore 7DFF;
per quanto riguarda la selezione dei blocchi finali (625121280-625142448 estremi compresi), devi inserire nel campo inizio il valore 4A85300000, nel campo fine il valore 4A85D55FFF;

Una volta fatto l'azzeramento, salva tutto e riavvia il pc con il cd di windows inserito: accedi alla console di ripristino ed esegui i comandi fixboot e fixmbr per riscrivere completamente il settore 0, poi riavvia nuovamente e a questo punto non dovresti trovare più problemi.

Quindi devo entrare su edit e inserire nel campo inizio 200 e fine 7DFF per i blocchi iniziali e azzerare, quindi salvare.
Entrare di nuovo su edit e fare lo stesso per quelli finali azzerare e salvare.

una volta riavviato e entrato sulla console di rispristino devo eseguire solo i comandi fixboot e fixmbr o seguire tutta la procedura indicata qui http://www.MegaLab.it/3677/ripristinare-il-boot-di-windows?
Come faccio a eseguire i comandi? non l'ho mai fatto

fatto questo posso formattare la partizione e installare windows nuovamente? ormai vorrei un pc di nuovo pulito!
La formattazione a basso livello mi conviene farla?

[Uomo_Senza_Sonno]

Se vuoi ripartire da zero quello che ti conviene per la maggiore è una formattazione a basso livello, avrai un disco completamente pulito senza troppi giri. La procedura che ti ho indicato serve per azzerare solo i settori dove è insediata l'infezione e per evitare una formattazione e ovviamente una nuova reinstallazione di windows.

Ad ogni modo, i comandi che devi dare nella console di ripristino devi solo digitarli e dare invio con la tastiera.

[gigicookie]

Per la formattazione a basso livello, hai un disco maxtor, vero? In questo caso scarichi SeaTools for DOS da questo link http://www.seagate.com/files/www-conten ... 223ALL.ISO, lo masterizzi su un cd, esegui il boot dal cd , selezioni il tuo disco e scegli "full erase" (dovrebbe essere in un sottomenù)

[Uomo_Senza_Sonno]

Lasciando perdere i tools per la formattazione a basso livello, e visto che hai da parte una live di ubuntu, puoi utilizzare un programmino veramente potente, dd. In questo modo puoi eseguire uno zerofilling: il fine lo stesso, il tempo impiegato pure. Qui trovi una guida esauriente a riguardo, ma quello che ti serve è questo comando da terminale

Codice: Seleziona tutto

dd if=/dev/zero of=/dev/sda bs=512

dai invio e attendi che il comando termini. Ci vorrà del tempo, probabilmente anche qualche ora (dipende dalle prestazioni del disco), ma avrai il disco completamente azzerato.

[AndrewSpeed]

invece di effettuare una formattazione a basso livello, azzerando i settori e ripristinando con cd di windows con i comandi fixboot e fixmbr non mi conviene lo stesso formattare e reinstallare windows dopo per avere un sistema di nuovo pulito?

[Uomo_Senza_Sonno]

Tutti i metodi proposti sono buoni, bisogna vedere quale sia il più rapido. Azzerare con uno zerofilling dando il comando dal terminale di ubuntu ti evita di scaricarti tools vari, ti evita di utilizzare HxD, ecc..

Puoi fare come dici, ma fai più passaggi per ottenere lo stesso risultato.

[AndrewSpeed]

Si e si. Però è meglio avira.
Istruzioni X avira
Scarica avira da http://premium.nl.avira-update.com/pack ... ers.tar.gz
Decomprimi lo zip dove vuoi
Apri un terminale e usa cd per entrare nella cartella che hai scompattato (sintassi: cd nomecartella)
Scrivi sudo ./install e premi invio. Leggi la licenza (per andare giù schiaccia invio) alle domande rispondi sempre y e premi invio.
Alla fine del processo vai nella dove ci sono i tuoi dati con cd e scrivi avscan --scan-in-archive=yes * e poi premi invio. Se trova un file infetto ti chiederà cosa fare. Scrivi una delle opzioni e premi invio

Ho scaricato avira e decompresso solo che adesso non riesco a installarlo. come procedere adesso sto usando ubunto in modalità prova non l'ho installato

[gigicookie]

Dov'è che ti blocchi? Se non riesci ad aprire il terminale basta che premi alt+f2, scrivi gnome-terminal, premi invio e poi esegui questi comandi.
cd nomecartelladiavira
sudo ./install
Verrà visualizzata la licenza. Per scendere premi invio. Rispondi y alle domande e premi invio dopo ogni y. Ora che è installato esegui questi comandi
sudo /usr/lib/AntiVir/guard/gui/bin/antivir_start.real guard_workstation
cd cartelladeidati
sudo avscan --scan-in-archive=yes *
Se trova un file infetto ti chiede cosa fare, scrivi una delle possibili azioni e premi invio.

[gigicookie]

Attenzione: il comando giusto è
sudo avscan --scan-mode=all --scan-in-archive=yes
Senza --scan-mode=all controlla solo alcune cose ed i virus sfuggono facilmente

[AndrewSpeed]

Scusate la mia assenza. Sto per usare Hxd così come indicatomi da UomosenzaSonno. Appena ho levato la spunta da apri in sola lettura mi è comparso un messaggio che mi ha spaventato . "Questa operazione potrebbe rendere il disco illeggibile"

Posso procedere inserendo i valori che mi hai scritto prima di procedere? scusami ma vorrei esserne certo al 100%

[hashcat]

Scusate la mia assenza. Sto per usare Hxd così come indicatomi da UomosenzaSonno. Appena ho levato la spunta da apri in sola lettura mi è comparso un messaggio che mi ha spaventato . "Questa operazione potrebbe rendere il disco illeggibile"

Posso procedere inserendo i valori che mi hai scritto prima di procedere? scusami ma vorrei esserne certo al 100%

Prosegui senza problemi, il messaggio avvisa l'utente di prestare attenzione quando si modificano i settori del disco, poichè operazioni avventate, potrebbero rendere il disco inutilizzabile.

[AndrewSpeed]

ok procedo! comunque riguardo ad avira su ubuntu non sono riuscito ad installarlo!

[AndrewSpeed]

Bene, vedo che l'infezione è più estesa di quanto immaginassi, ma passiamo alla pulizia:

Riprendi la guida da qui, e soffermati nei passaggi dove vengono spiegate le selezioni per blocco. In sostanza, i valori che devono essere inseriti (offset) sono i punti di partenza e fine di una selezione di settori che poi saranno azzerati.

Per quanto riguarda la prima selezione dei blocchi iniziali (1-62 estremi compresi), devi inserire nel campo inizio il valore 200, nel campo fine il valore 7DFF;
per quanto riguarda la selezione dei blocchi finali (625121280-625142448 estremi compresi), devi inserire nel campo inizio il valore 4A85300000, nel campo fine il valore 4A85D55FFF;

Una volta fatto l'azzeramento, salva tutto e riavvia il pc con il cd di windows inserito: accedi alla console di ripristino ed esegui i comandi fixboot e fixmbr per riscrivere completamente il settore 0, poi riavvia nuovamente e a questo punto non dovresti trovare più problemi.

Per quanto riguarda la lunghezza durante la selezione dei blocchi finali devo lasciare quello che compare?

[AndrewSpeed]

Ragazzi posto le immagini estrapolate dal programma Hxd relative al mio HD dopo pulizia e ripristino MBR di windows con i comandi fixboot e fixmbr

Settore 0



Settore 62



Settore 63



Settore 625121279



Settore 625121280



Settore 625142448

[gigicookie]

Che errore ti dà avira? Cosa non riesci a fare? Se non spieghi queste cose non possiamo aiutarti... Prova un po' con questo script per buc... Non è il massimo ma funziona... Devi installare prima questo deb In file o cartella da scansionare inserisci il mountpoint della partizione del disco. (quando sei nella root del disco del pc fai click col destro su "filesystem da..." e scegli copia, poi incollalo nella casella togliendo file://)

[Uomo_Senza_Sonno]

Bene, a questo punto il codice rootkit è completamente eliminato, non dovresti avere più problemi. O per caso c'è qualcosa che non funziona ancora?