Ti ringrazio.
Intanto ti tranquillizzo in quanto l'mbr è sano, nel settore 1 non è presente nessuna copia di mbr. L'unica
anomalia è che il codice che dovrebbe stare nel settore 63 è invece nel 62, ma a parte questo non c'è altro.
Ora passiamo a vedere l'altro estremo del filesystem, quindi servono i settori
216090315 (controllo delle due partizioni)
240091425 (estremo del filesystem)
240121726 (settore indicato da mbr.exe)
240121728 (ultimo settore del disco)
Per quanto riguarda come lo analizzo, come prima cosa devi leggere
quest'articolo. In genere i rootkit si annidano, per rimanere invisibili agli antivirus, nei settori esterni al filesystem, modificano l'mbr nel settore 0 e copiano l'mbr sano in un altro settore; in questo modo fa credere all'antivirus che l'mbr è sano e non viene rilevata nessuna modifica. Oltre alla copia dell'mbr sano scrive il suo codice generalmente nella parte finale del disco, per poter essere reinstallato nel momento della eventuale rimozione.
Con normali tools per la rimozione antirootkit si eliminano i drivers presenti nel SO, ma il codice per reinstallarlo rimangono e si deve intervenire con un editor esadecimale, azzerando i settori manualmente.
Questa però è un'operazione molto delicata ed è vietato sbagliare, pena la perdita dei dati.