www.MegaLab.it

[peolex4]

fosse utile magari

[Uomo_Senza_Sonno]

Molto interessante, per caso hai installato una versione in lingua francese di windows? Ad ogni modo, si tratta dei primi settori che trovi con queste istruzioni e li hai trovati scorrendo indietro settore per settore? Altra cosa, quanti settori sono scritti dopo questo che hai trovato?

Nel file che mi hai inviato sto trovando delle cose interessanti: in pratica è stato scritto, nei settori 3 e 4 una sorta di MBR con una tabella di partizione completamente differente, la analizzo a fondo e cerco di venirne a capo di tutto questo. Nel frattempo, se da quest'ultimo settore che mi hai postato vai nuovamente avanti fino a vedere dove termina la scrittura, magari (spero) troviamo quello che cerchiamo.

[peolex4]

riguardo il windows devo dirti che questo computer è abbastanza recente l'ho comprato giusto qualche mese fa e quindi il sistema operativo è ancora quello in dotazione,per quanto riguarda il settore,si ho effettuato una scansione manuale anche se saltanto il piu possibile ,cioò ho cominciato a cercare di trovare il punto in cui cominciavano le scritte e sono arrivato a questo settore:



spero sia quello che mi hai chiesto...

[Uomo_Senza_Sonno]

Vediamo se così troviamo quello che ci serve... innanzitutto ti ringrazio per tutta la pazienza, e per tutti gli screen postati. Detto questo, da quest'ultimo settore che hai trovato, ovvero il 1463559079, esegui una nuova ricerca in avanti stavolta inserendo nel campo di ricerca il valore ®À. Se ci dice bene, stavolta lo troviamo

Ah, comunque in questo settore sono scritte informazioni riguardanti la partizione di ripristino.

[peolex4]

purtroppo la ricerca non ha dato risultati....

[Uomo_Senza_Sonno]

Facendo una ricerca all'indietro?

[peolex4]

eccolo qui !!!

[Uomo_Senza_Sonno]

Altro tentativo.... ritorna al settore 1463559079, ed esegui una nuova ricerca in avanti inserendo il valore 55AA ma stavolta seleziona, in tipo di dati, valore esadecimale. Come riferimento, all'inizio del settore la prima istruzione deve essere ëR.NTFS.
Se non si trova nulla, effettua la stessa ricerca all'indietro.

[peolex4]

allora,in avanti non ha trovato nulla,all'indietro ha trovato questo:




Come riferimento, all'inizio del settore la prima istruzione deve essere ëR.NTFS.

questo non so se l'ho capito bene comunque non mi sembra ci sia all'inizio di questo settore ...

[Uomo_Senza_Sonno]

Come riferimento, all'inizio del settore la prima istruzione deve essere ëR.NTFS.

questo non so se l'ho capito bene comunque non mi sembra ci sia all'inizio di questo settore ...

Infatti, a questo punto non so proprio dove farti cercare. Mi dispiace davvero tanto. Ad ogni modo, giusto per avere un riferimento di cosa dovevamo trovare, ti è sufficiente guardare nel settore 2048, ovvero dove è situato il primo estremo di partizione, per capire cosa dovevamo trovare.

In pratica dalla tabella di partizione risulta scritto che sono presenti 4 partizioni, di cui 2 nascoste:
la prima è quella che windows 7 si riserva per la console di ripristino;
la seconda è del sistema operativo
la terza è una partizione di recovery per riportare allo stato di fabbrica il pc
la quarta, dove sembra non abbia fine, è quella più grande e di archivio

A quest'ultima ci accedi senza problemi oppure non riesci ad aprirla? Inoltre, visto il problema, hai già effettuato un backup di tutti i dati che ti interessano?

Giusto per ultimo tentativo, portati all'ultimo settore presente nel disco, ed inserisci come ricerca all'indietro il valore 55AA, selezionando sempre il valore esadecimale in tipo di dati.

[GERONIMO*]

ciao,direi che ormai sul pc non ci sono più virus a parte qualcosina rimasta ma poca roba,e la si può tgliere ala fine,il tuo problema potrebbe essere di altra natura
posso consigliarti questa guida,per ottimizzare w7 e risolvere anche problemi
http://windowsguide.altervista.org/otti ... windows-7/

è importante che la segui tutta,soprattutto per quanto riguarda lo scandisk e la deframmentazione del disco rigido

[Uomo_Senza_Sonno]

il tuo problema potrebbe essere di altra natura posso consigliarti questa guida,per ottimizzare w7 e risolvere anche problemi

Ottimizzare un sistema operativo è sicuramente l'ultima cosa da farsi in casi come questi, ma soprattutto non risolve il problema di fondo. Magari, se arriviamo a qualche miglioramento, vediamo cosa e come ottimizzarlo. In genere seguire queste guide, senza sapere bene cosa si sta facendo, porta più a danni che a soluzioni.

[peolex4]

purtroppo la ricerca dall'ultimo settore ha portato come risultato lo stesso postato nella ultima immagine....

per i dati nel computer ho da salvare qualche cosa ma le cose diciamo importanti gia sono al sicuro...quindi formattazzione e si risolve il problema???

perche alla fine ora mi sembra che il computer sia decisamente meno lento e che vada bene apparte per "il problema di fondo e iniziale" delle finestre senza scirtte/bottoni/ecc....riguardo la partizione piu grande che hai detto essere l'archivio se intendi nel mio caso la partizione D ossia l'altra sulla quale non c'è il sistema operativo allora la risposta è si,ora sembrerebbe funzionare tutto bene apparte qualche errore di grafica in alcune applicazioni e l'impossibilità di effettuare installazioni di applicazioni quali ad esempio antivirus (del quale sono sprovvisto e impossibilitato ad installalo)...

[GERONIMO*]

Ottimizzare un sistema operativo è sicuramente l'ultima cosa da farsi in casi come questi, ma soprattutto non risolve il problema di fondo. Magari, se arriviamo a qualche miglioramento, vediamo cosa e come ottimizzarlo. In genere seguire queste guide, senza sapere bene cosa si sta facendo, porta più a danni che a soluzioni.

ma chi lo dice scusa?
poi quali casi?
la guida e ottima e testata,una persona competente capirebbe che non c'è nulla di strano in quella guida
io non vedo nessun caso drammatico o che il pc sia stato colpito da un virus pericoloso
l'ottimizzazione di sistema compreso la pulizia,anche perché dopo tutto il lavoro che si è fatto un minimo di pulizia al sistema va effettuato,e anche una deframmentazione e uno scandisk,magari risolvi il problema che non riesci ad installare programmi,ect
poi nella guida c'è un'ottimo tool per disinstallare i programmi puoi farlo con quello
non vedo nessun problema al MBR almeno per quanto riguarda rootkit,i tools usati tddskyller è combofix sono in grado di vedere e rimuovere rootkit nel mbr,io non hanno trovato niente

[hashcat]

Per dire di aver provato proprio tutto fai uno sfc /scannow:

http://support.microsoft.com/kb/929833/it

Dopo aver fatto ciò fai una scansione con HitmanPro.

[Uomo_Senza_Sonno]

non vedo nessun problema al MBR almeno per quanto riguarda rootkit,i tools usati tddskyller è combofix sono in grado di vedere e rimuovere rootkit nel mbr,io non hanno trovato niente

Ripeto la domanda: come mai allora se non ci sono problemi relativi al MBR i tools di diagnostica rilevano Unknow boot code? Se tutto è a posto, dovrebbe riconoscerlo senza problemi. In più, combofix riesce a rimuovere solo i drivers che installano il rootkit nel disco, ma non il codice che si annida nei settori esterni al filesystem (tdsskiller a volte riesce a fare questa pulizia ma a volte va troppo a fondo e c'è il rischio di non vedere ripartire nuovamente il SO), esperienza diretta. Di conseguenza, se si tratta di controllare e/o rimuovere del codice malevolo fuori dal filesystem, l'editor esadecimale è una buona soluzione perché non è invasivo.

per i dati nel computer ho da salvare qualche cosa ma le cose diciamo importanti gia sono al sicuro...quindi formattazzione e si risolve il problema??

Era una cosa che volevamo evitare ma di sicuro risolve tutti i problemi.. prima di procedere però fai un tentativo con sfc /scannow e fai la scansione con HitmanPro come ha suggerito hashcat

mi sembra che il computer sia decisamente meno lento e che vada bene apparte per "il problema di fondo e iniziale" delle finestre senza scirtte/bottoni/ecc..

Prova per un momento a sostituire il tema di windows e verifica se il problema rimane.

[GERONIMO*]

che ci sia la scritta Unknow boot code
non vuol dire che ci siano per forza rootkit
magari deve fare un semplicissimo scandisk,per correggere gli errori del disco

tddskiller non ho mai riscontrato problemi che dici

combofix integra modulo catchme di GMER ( in grado di scovare Rootkit e file con attribbuto nascosto ) di controllare il MBR rootkit detector

un'esempio di un'avviso di possibile rootkit nel mbr scovato da combofix

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-04-22 12:54
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0

poi e bene usare anche altri tools,se si ha un sospetto di un problema al MBR,è non 1 solo
Scarica MBRCheck, e e salvalo sul desktop.
http://ad13.geekstogo.com/MBRCheck.exe
Chiudi tutti i programmi.
tasto destro su MBRCheck, Esegui come Amministratore per aprirlo
Attendi la fine della scansione.
Finita la scansione
rilascia anche un log, postalo qui

[Uomo_Senza_Sonno]

Vediamo di chiudere l'OT una volta per tutte, e veniamo a chiarire alcuni punti.

che ci sia la scritta Unknow boot code
non vuol dire che ci siano per forza rootkit
magari deve fare un semplicissimo scandisk,per correggere gli errori del disco

In primo luogo non hai risposto alla mia domanda, ma l'hai solo aggirata. Tuttavia, il motivo per cui troviamo un boot code sconosciuto è probabilmente imputabile al fatto che il tool in questione non lo riconosca come autentitco, e ci può stare.
MA dal momento che, secondo la tabella di partizione vengono indicati degli indici fasulli, e dal momento che nei settori successivi sono scritte informazioni riguardanti un presunto MBR qualche dubbio sull'autenticità del settore 0 è del tutto lecito.

Altra cosa, lo scandisk corregge si gli errori del disco, ma non credo risolva il problema indicato da peolex4.

poi e bene usare anche altri tools,se si ha un sospetto di un problema al MBR,è non 1 solo

Infatti ne abbiamo utilizzato due, ed entrambi segnalavano un'anomalia nel MBR.

Altra cosa, il modulo catchme di GMER integrato in combofix non è infallibile, anzi molto spesso non rileva nulla, per cui non farci troppo affidamento.
E come ultima cosa, fai una ricerca nella sezione sicurezza inserendo rootkit, e vedrai quanti casi sono saltati fuori e quanti ne sono stati risolti.

[GERONIMO*]

scusa quale domanda?
poi ho risposte a tutte le domande

perché non dovrei fidarmi di combofix?

ammesso che ci sia un problema al MBR come vorresti procedere per ripararlo?
ok c'è ora cosa bisogna fare?

ti mostro un rootkit nel MBR trovato da MBRCheck


\\.\C: \\.\PhysicalDrive0 at offset 0x00000000`06500000 (NTFS)

PhysicalDrive0 Model Number: VBOXHARDDISK, Rev: 1.0

Size Device Name MBR Status
--------------------------------------------
24 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F

Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

in 2 secondi fa lo scan
e 2 secondi per ripararlo
è non 3 giorni solo per vedere se c'è

guarda che i problemi di rootkit,non li hai risolti solo tu o vengono risolti solo qui

[Uomo_Senza_Sonno]

Veramente notevole, non c'è che dire. In genere questi tools ripristinano solo il MBR, ma non effettuano la pulizia del codice che si annida nei settori esterni al filesystem (e a questo punto è anche sufficiente un fixboot e fixmbr e siamo a posto). E se abbiamo impiegato 3 giorni per effettuare ricerche su un estremo di partizione senza risultati è per altri motivi (di fatto in tutti i casi che ho affrontato è la prima volta che non rilevo un estremo dove dovrebbe essere).

ammesso che ci sia un problema al MBR come vorresti procedere per ripararlo?

C'è una guida apposita, nata dall'esperienza sul campo. Se hai tempo, leggila.

guarda che i problemi di rootkit,non li hai risolti solo tu o vengono risolti solo qui

Direi anche per fortuna, ma di sicuro con il metodo che propongo non rimane traccia alcuna.