masterz3d ha scritto:I file che hai inviato non mi servono a niente, posta l'output di mbr.exe -f.
Ecco i due log di mbr -f
eseguiti dopo aver lanciato Ultra wipe
ora sono uguali!!!
masterz3d ha scritto:I file che hai inviato non mi servono a niente, posta l'output di mbr.exe -f.
masterz3d ha scritto:Allora passiamo alle maniere forti. Scaricati HxD da qui.
Installalo e fallo partire con diritti di amministratore (se hai Vista o Seven), servono comunque anche se per il momento andiamo solo a leggere il disco.
Clicca su "Extra" e poi "Apri disco..."
Apparirà una piccola finestra con un albero di periferiche. Tra quelle sotto la dicitura "Disco fisico" devi scegliere quello che contiene il rootkit. Se hai un disco solo non è difficile, dovrebbe esserci una voce sola. Spunta l'opzione "Apri in sola lettura" (per il momento non rischiamo) e fai clic su "OK".
Alla fine ti comparirà una finestra come questa. Vedi la colonna di numeri più a sinistra, sotto la voce "Offset(h)"?
Allunga la finestra verso il basso finchè non vedi un 200 a sinistra, come ho messo in foto. Posta l'immagine (uppala su imageshack.us e metti il link qui) e fammela esaminare.
E se poi li cancelliamo che potrebbe succedere di negativo?
lanciato / advanced funcion / sel disco C / wipe free space
ci ha messo meno di un secondo
masterz3d ha scritto:E se poi li cancelliamo che potrebbe succedere di negativo?
Se sono al di fuori del filesystem (come penso) assolutamente niente, però devo sapere quanti settori contano le partizioni, per questo ti ho chiesto di postare il MBR. Non ricordo se si possa fare con un altro tool, questo è il modo più veloce che conosco. Inoltre non si sa mai che ci sia qualcosa che si annida ancora nel settore 0, e per finire il MBR non mente mai, nemmeno quando è infetto.
non so se sei f o m
di che ti occupi nella vita?
masterz3d ha scritto:MI piace trafficare con i dischi rigidi, e Linux mi da una libertà che con Windows io mi sogno, ma questo è solo uno dei dettagli che mi fanno adorare questo sistema operativo...
Usi abitualmente Linux ma conosci molto bene Windows vedo..
Rigorosamente M.
Al momento sono disoccupato...
manero478 ha scritto:hai per caso visto quel tool della AVIRA ..per rimuovere infezioni dal settore di avvio?
ciao
allora il disco c:\ e da 200 gb ed e' pieno per un terzo...
Usi abitualmente Linux ma conosci molto bene Windows vedo..
da quanto? in che settore lavoravi?
hai per caso visto quel tool della AVIRA ..per rimuovere infezioni dal settore di avvio?
masterz3d ha scritto:Si, è fuori dal filesystem. Tu hai una partizione da 2546802 settori, la copia del MBR è trovata nel settore 2546841. E l'hard disk 1 che hai aperto ha 39102336 settori, ovvero circa 20GB.
Dove è che vedi l'infezione? Non riesco a capirci niente e sono curioso per natura.
dario-vr, aspetto il tuo screen. Ditemi come avete beccato il rootkit, voglio vedere se riesco a riprodurre l'infezione sul mio portatile.
Visitano il forum: Nessuno e 2 ospiti
megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising