www.MegaLab.it

[Uomo_Senza_Sonno]

Ritorna su ubuntu, apri il terminale e digita nuovamente

Codice: Seleziona tutto

sudo sfdisk -l /dev/sda

nel terminale puoi copiare il testo generato selezionandolo con il mouse. Posta l'output che genera e rifacciamo le cose con molta calma. Oltretutto hai la possibilità di collegarti ad internet sotto ubuntu, in quanto si configura automaticamente per lavorare online. Questi messaggi di errore mi sembrano davvero strani..

[Sk8er-Boi]

Ritorna su ubuntu, apri il terminale e digita nuovamente:
sudo sfdisk -l /dev/sda

1. dovevo dare solo questo comando (che è il 1° dei 3 che mi hai elencato)?
2. o dare poi anche il 2-3?

(purtroppo con me bisogna sempre specificare cosa fare )

3. stanotte avuto dubbio se lettera 'l' o numero '1' quindi provato numero 1 sul 1° comando e poi ridato il 2-3.

sudo sfdisk -1 /dev/sda = mi ha dato una lista comandi

sudo dd if=/dev/zero of=/dev/sda bs=512 count=62 seek=1 = NIENTE ERRORE e mi ha dato ''62 sectors out, 62 sectors in''

sudo dd if=/dev/zero of=/dev/sda bs=512 seek=234420480 = ancora errore unrecognized opeperand '/dev/sda'

--------------------------

Oltretutto hai la possibilità di collegarti ad internet sotto ubuntu, in quanto si configura automaticamente per lavorare online. Questi messaggi di errore mi sembrano davvero strani..

Provato cliccare sul browser (con icona simil-Firefox) ma non parte internet - ma su Ubuntu senza soft. sicurezza non c'è pericolo?
Per quanto riguarda l'errore IERI l'ho ricevuto solo dopo il 3° comando.
Io ho un CD Ubuntu di circa un anno fa.

[Uomo_Senza_Sonno]

dovevo dare solo questo comando (che è il 1° dei 3 che mi hai elencato)?

Si, volevo vedere l'output che genera.

stanotte avuto dubbio se lettera 'l' o numero '1' quindi provato numero 1 sul 1° comando e poi ridato il 2-3.

Togliamo il dubbio: la lettera è L, ma ripeto, a scanso di equivoci/errori ti è sufficiente copiare/incollare i comandi che ti posto. Nel terminale puoi copiare gli output con la semplice selezione del mouse e con il dx selezioni su copia.

Provato cliccare sul browser (con icona simil-Firefox) ma non parte internet - ma su Ubuntu senza soft. sicurezza non c'è pericolo?

Su ubuntu c'è anche firefox, ed è molto strano che non si avvi internet, e comunque su ubuntu o qualsiasi distribuzione GNU/linux non sono necessarie eventuali suite di sicurezza perché questo sistema operativo è totalmente differente da windows, e gli eseguibili e i virus per windows non trovano terreno fertile su cui attecchire. Compresi i rootkit.

Ricapitolando:

1. copia/incolla nel terminale questo comando

Codice: Seleziona tutto

sudo sfdisk -l /dev/sda

e postami l'output che genera

2. copia/incolla questo comando

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sda bs=512 count=62 seek=1

e posta sempre l'output che genera

3. copia/incolla questo comando

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sda bs=512 seek=234420480

e posta sempre l'output che genera. Se poi non va nemmeno adesso, procediamo in altro modo. Ripeto, mi sembra molto strano che si verifichino questi errori, forse dovuti ad errori di battitura.

[Sk8er-Boi]

Su ubuntu c'è anche firefox, ed è molto strano che non si avvi internet

Con XP ho trovato info su Google e poi da Ubuntu finalmente creato la connessione, perché niente di automatico per certi Modem (almeno l'help di Ubuntu dice così).

---------

LOG OUTPUT direttamente da Ubuntu dei primi 3 comandi che mi hai dato (pagina 1):



1° comando - sudo sfdisk -l /dev/sda

Codice: Seleziona tutto

Disk /dev/sda: 14593 cylinders, 255 heads, 63 sectors/track
Units = cylinders of 8225280 bytes, blocks of 1024 bytes, counting from 0

   Device Boot Start     End   #cyls    #blocks   Id  System
/dev/sda1   *      0+  14591   14592- 117210208+   7  HPFS/NTFS
/dev/sda2          0       -       0          0    0  Empty
/dev/sda3          0       -       0          0    0  Empty
/dev/sda4          0       -       0          0    0  Empty

2° comando - sudo dd if=/dev/zero of=/dev/sda bs=512 count=62 seek=1

Codice: Seleziona tutto

62+0 records in
62+0 records out
31744 bytes (32 kB) copied, 0,0672403 s, 472 kB/s

3° comando - sudo dd if=/dev/zero of=/dev/sda bs=512 seek=234420480

( ora è andato, era come dicevi te un errore di batitura - scusa per il disagio)

Codice: Seleziona tutto

dd: writing `/dev/sda': No space left on device
21169+0 records in
21168+0 records out
10838016 bytes (11 MB) copied, 10,9909 s, 986 kB/s

OK ORA che i 3 comandi sono andati provo dalla Console di ripristino dare i 2 comandi ''fixboot + fixmbr'' sperando nel prossimo mio post.

[Sk8er-Boi]

Finalmente il log MBR pulito, erano errori di battitura e solo da Ubuntu-internet son riuscito.
Nell'articolo 'bootkit' parlano anche di NOD32 come ulteriore controllo; ma devo disinstallare Avira o basta levargli la flag -guardia dalla traybar?
Non è specificato e non so dare io per scontato ste cose.

Codice: Seleziona tutto

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

i



Grazie dell'infinita pazienza!
Se come dicevi possiamo controllare le periferiche USB o darmi una guida.

[Uomo_Senza_Sonno]

Se hai fatto un controllo con Avira e non ha rilevato nulla, direi che puoi rimanere tranquillo... nell'articolo avevo fatto riferimento a NOD32 poichè è stato l'unico che aveva rilevato, in quel caso, un qualcosa che si rifaceva ad un rootkit (trojan.mebroot). Poi, visti gli altri problemi che si verificavano, e soprattutto visto che con i tools per la rimozione dei rootkit non si risolveva nulla, si è capito che non era proprimente un rootkit ma un bootkit.

Se vuoi eseguire un controllo, disabilita la protezione in tempo reale e attivala in NOD, poi puoi anche disintallarlo.
Per quanto riguarda le periferiche usb, come prima cosa verifica se l'mbr delle stesse è sano o meno: per fare questo devi copiare/incollare mbr.exe nella periferica che ti interessa e poi da esegui digiti

cmd X: (X indica la lettera del dispositivo esterno, pendrive o HD esterno, se la pendrive avrà E:\ dovrai digitare E:) start mbr.exe -f

e verifichi che log genera

[Sk8er-Boi]

FORTUNATAMENTE dalle periferiche USB i log-mbr sono ok!

AVIRA mi ha trovato 7 hidden objects, ma qua la competenza è di altri software per capire se Malware o file nascosti di normali programmi del PC.
Ti ringrazio di cuore per la pazienza, solo dal tuo articolo ho pensato alla possibile infezione, best regards a voi sapienti!

( presumo che i consigli sono i soliti, poi questi rootkit son davvero potenti)

[Uomo_Senza_Sonno]

nel dubbio carica queste rilevazioni suhttp://www.virustotal.com e verifica se sono minacce o meno

questi rootkit son davvero potenti

eh già.. si annidano nei settori dove non arriva il sistema operativo e si occultano anche agli antivirus.. l'unico strumento utile per rilevarli con precisione è mbr.exe. Il tool indicato nell'articolo della rimozione dei bootkit legge lo stato dell'mbr ma non è stato progettato per la rimozione dei rootkit

Alla prossima e a proposito, il pc adesso come si comporta? Presenta qualche errore?

[Sk8er-Boi]

nel dubbio carica queste rilevazioni suhttp://www.virustotal.com e verifica se sono minacce o meno.

Ne parlano tanti articoli qui del Lab!

Alla prossima

Grazie infinite, certo che noi noob siamo davvero spacciati...

e a proposito, il pc adesso come si comporta? Presenta qualche errore?

E io che pensavo al rootkit resposabile della CPU-ALTA mi sbagliavo.
Il mod heSlot nel suo articolo MONITORARE TEMP. HARDWARE mi ha detTo di aprire una discussione in Hardware.



PS:
Con pc infetto si possono infettare i cd-masterizzati?

[Uomo_Senza_Sonno]

Il mod heSlot nel suo articolo MONITORARE TEMP. HARDWARE mi ha detTo di aprire una discussione in Hardware.

Sei in ottime mani

Con pc infetto si possono infettare i cd-masterizzati?

Si e no...
Un mbr rootkit si diffonde e si insedia nei dispositivi di archiviazione di massa, come gli HDD e le pendrive, e trpva facile presa nei filesystem utilizzati da windows, quindi in NTFS e FAT32/16 (quest'ultimo ormai non è più utilizzato). Nei cd masterizzati non ha la capacità di diffondersi perché il filesystem (CDFS) non ha mbr, ma potresti veicolare l'infezione se masterizzi anche il file portatore del virus.

Mi verrebbe da dire, i gatti amano whiskas, i virus windows

Alla prossima

[Sk8er-Boi]

Mi verrebbe da dire, i gatti amano whiskas, i virus windows

... Linux, MAC magari, ma sono un fesso (sadomaso) in PC!
Grazie di nuovo, best regards MegaLab.it!