www.MegaLab.it

[masterz3d]

A questo punto è importante allora ripulire il disco per prendere i dati che mi interessano...

Questa è sempre una buona idea.

Nel caso devo provare comunque a estrarli senza usare il copia e incolla di windows perché a questo punto è probabile che sfrutti questa potenzialità per veicolarsi tra i dischi...

Non credo, e ti spiego anche il perché, e perché secondo me è già pericoloso solo il fatto di connettere un disco ad un sistema infetto.

All'avvio del sistema (o al momento della connessione di una periferica di immagazzinamento rw come un disco rigido o una penna USB) il kernel legge la tabella di partizione, per sapere quante e quali partizioni ci sono in un disco fisico.
Alt! Ma se il MBR è infetto, solo questo è veicolo di infezione!!! Bastano gli hook giusti nel kernel e il rootkit già può diffondersi. Di conseguenza, non è necessario che il malware si annidi nei file, che potrebbero essere perfettamente sani (a meno che non siano porzioni di kernel come quelle che hai postato con il log di combofix), ma che esista in settori critici come il settore 0 o qualche "settore di servizio" come quelli che stanno tra lo 0 e quello della prima partizione, nella stragrande maggioranza dei casi il settore 63, oppure i settori inutilizzati tra la fine dell'ultima partizione e il termine del disco fisico.

Quindi, copia pure, perché, se le cose stanno come penso, è controproducente per il rootkit annidarsi tra i file, perché prima o poi verrà scoperto.

Ciononostante, potrei anche sbagliarmi, e un'operazione di copia-incolla potrebbe essere del tutto innocua. Una cosa davvero "neutra" che si potrebbe fare è copiare i file tramite Linux, perché questi rootkit sono progettati per generare agganci nel kernel di Windows. In un ambiente Linux non ha alcuna possibilità, nè di diffondersi, nè di sopravvivere, perché trova terreno ostile.

Poi una volta fatto questo, a questo disco può essere passata pure la calamita!

Non ti preoccupare, dopo il mio trattamento su un disco rigido non resta più niente

E adesso vado a nanna anch'io, 'notte a tutti.

[Uomo_Senza_Sonno]

Quindi, copia pure, perché, se le cose stanno come penso, è controproducente per il rootkit annidarsi tra i file, perché prima o poi verrà scoperto.

è possibile che viene rilevato come trojan o similari? Se si allora li ha già rilevati quando ho fatto una scansione dal cd live di kaspersky, ma se riesce anche a replicare in automatico allora è un bel guaio.

Ciononostante, potrei anche sbagliarmi, e un'operazione di copia-incolla potrebbe essere del tutto innocua. Una cosa davvero "neutra" che si potrebbe fare è copiare i file tramite Linux, perché questi rootkit sono progettati per generare agganci nel kernel di Windows. In un ambiente Linux non ha alcuna possibilità, nè di diffondersi, nè di sopravvivere, perché trova terreno ostile.

In questo momento ho solo un cd live di knoppix risalente al 2003, ho provato a farlo girare e l'unica cosa che non mi supporta è il mouse, ma se ben mi ricordo questa distribuzione legge ma non scrive l'ntfs. Che mi consigli di fare prima di procedere con il trasferimento di dati in modalità neutra?

Da quanto ho capito procedi con la riscrittura completa della mbr e della fat... e probabilmente si riuscirà nuovamente ad utilizzare il disco come principale, ovviamente dopo aver installato un windows...

Ancora 1000 e 1000 per l'aiuto, non credo che in molti siano così generosi da passarci la notte ad aiutare qualcuno, buonanotte

[Uomo_Senza_Sonno]

buon pomeriggio masterz

stamattina il sito era inaccessibile, e nel frattempo ho scaricato dall'altro la versione più aggiornata del knoppix, e almeno viaggia, sebbene non mi lascia il tempo di impostare la lingua in italiano

inoltre, ho eseguito mydefrag come mi hai detto, e rileggendo più volte l'ultimo tuo post ho intuito che questo stramaledetto si annida nello spazio libero per agire indisturbato...se così fosse, allora è possibile trasferire i dati o è sempre meglio ripulire i settori prima di iniziare la procedura? o è meglio collegare i due dischi al fisso e utilizzare questa versione di linux per avviare i trasferimenti in sicurezza?

inoltre, hai poi la pazienza di verificare che gli altri dischi siano sani o meno?

[masterz3d]

Da quanto ho capito procedi con la riscrittura completa della mbr e della fat...

No, io azzero tutti i settori, dal primo all'ultimo. Poi procedo a ripartizionare e riformattare l'unità, altrimenti è tutto tempo perso. Inoltre NTFS non usa FAT (File Allocation Table, usata da FAT12/16/32), ma una tabella chiamata Master File Table (MFT).

inoltre, hai poi la pazienza di verificare che gli altri dischi siano sani o meno?

Se tu hai la pazienza di postarmi gli MBR di tutti i dischi che hai...
...intanto io posto la procedura per ripulire i settori inutilizzati tramite HxD. dario-vr la può provare anche subito, così vediamo gli effetti.

è possibile trasferire i dati o è sempre meglio ripulire i settori prima di iniziare la procedura?

Si può tentare una pulizia non invasiva dei settori inutilizzati. Poi riavvii il sistema e fai ripartire tutti i software di scansione malware che hai. Se non trova nulla abbiamo finito. Altrimenti dobbiamo usare le maniere forti, perché se è annidato in memoria può riprodursi. Questo vale per tutti.

Che mi consigli di fare prima di procedere con il trasferimento di dati in modalità neutra?

Controlla che la nuova Knoppix che hai scaricato riesca a scrivere le partizioni NTFS. in Knoppix puoi provare a fare così:

Codice: Seleziona tutto

lsmod | grep fuse

Se non da risultati prova

Codice: Seleziona tutto

modprobe fuse

Se da un messaggio d'errore prova a lanciare il comando

Codice: Seleziona tutto

ntfs-3g

Se da errore anche questo (No such file or directory) non puoi scrivere su partizioni NTFS, e ti conviene usare un liveCD Ubuntu.

[Uomo_Senza_Sonno]

No, io azzero tutti i settori, dal primo all'ultimo. Poi procedo a ripartizionare e riformattare l'unità, altrimenti è tutto tempo perso. Inoltre NTFS non usa FAT (File Allocation Table, usata da FAT12/16/32), ma una tabella chiamata Master File Table (MFT)

eh già non mi ricordavo bene, intendevo la mft

Se tu hai la pazienza di postarmi gli MBR di tutti i dischi che hai..

visti i casini che si sono presentati la dovrò portare fuori tutta...

Si può tentare una pulizia non invasiva dei settori inutilizzati. Poi riavvii il sistema e fai ripartire tutti i software di scansione malware che hai. Se non trova nulla abbiamo finito. Altrimenti dobbiamo usare le maniere forti, perché se è annidato in memoria può riprodursi. Questo vale per tutti.

intendevo... è necessaria la pulizia mirata per il trasferimento files mediante linux o si può procedere tranquillamente, ovviamente se il knoppix supporta la scrittura ntfs?

ma quanto ne sai?

[masterz3d]

è necessaria la pulizia mirata per il trasferimento files mediante linux

No, non è necessaria. Da Linux li puoi copiare anche adesso. Se lo fai subito poi potremo fare tutte le stupidate che ci vengono in mente senza remore.

[Uomo_Senza_Sonno]

No, non è necessaria. Da Linux li puoi copiare anche adesso. Se lo fai subito poi potremo fare tutte le stupidate che ci vengono in mente senza remore.

ah meno male... allora cerco di verificare (da riga di comando giusto? ) che il knoppix supporti l'ntfs, altrimenti scarico il cd live di ubuntu e procedo subito...

-------------------------------------

CD LIVE DI UBUNTU.... adesso è l'ora di tenere i nervi saldi...

ancora

[dario-vr]

E' come se manero478 avesse ancora l'influenza, mentre tu sei un "portatore sano".

Portatore sano?
autoimmune?

Dai spiegati meglio
Che pericoli corro?

[masterz3d]

Questa è la procedura per ripulire una certa quantità di settori su un disco rigido con HxD.

Prima di cominciare, alcune cose.

• Se non siete sicuri di volerlo fare, non lo fate.
• Se avete dei dati sensibili fatene un backup da qualche parte.
• Dalle modifiche del disco non si torna indietro, finché non diciamo a HxD di farle.
• E' possibile che Windows si lamenti dicendo "Accesso negato" in settori correntemente occupati da una partizione. (Almeno, in Windows 7 mi fa così.) E' un segnale di allarme che vi dice "Attenzione, non puoi scrivere un settore mappato dal kernel".
• Finchè non diremo a HxD di salvare le modifiche HxD non modificherà nessun byte sul disco.
• Questa procedura è tagliata apposta per i vostri MBR. Potrebbe non funzionare su versioni di Windows come Vista o Seven, e inoltre dipende dalla configurazione della tabella di partizione.

Vorrei dire che ho provato questa cosa sul mio portatile diverse volte, copiando, muovendo, cancellando e creando dati e non ho riscontrato alcun problema. Anzi, ho fatto due copie del MBR in settori normalmente invisibili a qualsiasi cosa che non sia un editor di dischi, e non ho alcun problema. Inoltre è meglio usare queste procedure in occasioni assolutamente straordinarie.

Allora cominciamo. Il succo della storia è che dovremo aprire il disco fisico in scrittura. Quindi, in fase di apertura del disco, dovremo togliere la spunta da "Sola Lettura".

Fate clic su OK e date la conferma all'apertura in scrittura. Se notate adesso nella barra di stato in basso la dicitura "Sola Lettura" non c'è.

La prima cosa da fare adesso è selezionare un blocco da sostituire. Fate clic su Edit -> Seleziona blocco...


Adesso viene la parte complicata.

Nel campo "Inizio" mettete il numero 200 (ovvero il byte numero 512), selezionate "Fine" e mettete il numero 7DFF. Nel campo "Lunghezza dovrebbe comparire il numero 7C00. Lo so, la finestra è un po' diversa, ma i numeri sono questi: vanno esattamente dal byte successivo alla fine del settore 0 al byte immediatamente precedente all'inizio del settore 63, ovvero dove iniziano i vostri filesystem. Se i numeri sono diversi fermatevi e ditemelo. Li ho controllati molte volte, comunque non si può sbagliare perché tra i primi byte del settore 63 dovreste avere la dicitura "NTFS", che è segno dell'inizio del filesystem. La fine del MBR, invece, è contrassegnata dai byte 55AA, che sono la signature DOS del disco rigido.

Premete su OK, comparirà una selezione nell'ambiente di HxD.


Adesso selezionate Edit -> Riempimento selezione...

Basta che facciate una volta clic su "Azzera byte" e quindi OK.


Vedrete che i byte modificati saranno colorati di rosso. Fate clic su File -> Salva (o CTRL+S).

Comparirà la Finestra Di Non Ritorno.


In seguito al vostro "Si" non sarà possibile tornare indietro, quindi se volete potete sempre fare clic su "No" e ripensarci, o chiedere a me.
Se cliccherete su "Si" le modifiche saranno rese permanenti.

Questo per quanto riguarda i settori dal 1 al 62 compresi. Il post successivo ritaglierò un metodo per ciascuno di voi per ripulire i settori finali, basta cambiare dei numeri nella schermatina "Seleziona blocco".

[masterz3d]

Che pericoli corro?

In teoria nessuno, se non hai problemi legati in qualche modo ad infezioni. Era un modo per dire che non corri rischi.
E se ho visto giusto, dopo la cancellazione dei settori inutilizzati mbr -f non dovrebbe più trovarti niente.

manero478, tu dovrai fare un procedimento leggermente diverso perché vorrei ricopiare il MBR nel settore 39086145 di nuovo nel settore 0. La tabella di partizione è identica ma il codice è molto differente da quello di dario-vr e di Uomo_Senza_Sonno. Prima posterò il procedimento di copia del settore.

[dario-vr]

Ciao... prima di fare questo vorrei capire, e penso tu mi comprenda, cosa rischio se lascio tutto com'è?

Sai ho il terrore di trovarmi il computer impallato che non parte più!

[dario-vr]

Che pericoli corro?

In teoria nessuno, se non hai problemi legati in qualche modo ad infezioni. Era un modo per dire che non corri rischi.

Dunque sto tranquillo?
E se ho visto giusto, dopo la cancellazione dei settori inutilizzati mbr -f non dovrebbe più trovarti niente.

Se pulisco quei settori cosa cambia? e se faccio qualche "stron**ta" eseguendo la procedura?

.. lo so son de coccio

[Uomo_Senza_Sonno]

Grazie ancora per la guida dettagliata che stai postando, io nel frattempo sto copiando i dati dal disco untore al disco pulito tramite ubuntu... ci vorrà un po' a copiare 28 G di dati (praticamente sto clonando il disco...), ma alla fine ne varrà la pena!! almeno ho tutto quanto!

Un'altra cosa, forse tra qualche giorno dovrò richiedere il tuo aiuto per un altro pc, e dove probabilmente si dovrà fare una pulizia selettiva dei settori... o forse no... nel caso, quando hai un po' di tempo, potresti consultare questo post
http://www.MegaLab.it/forum/sistema-operativo/dopo-averle-provate-quasi-tutte-xp-continua-a-crashare-t58674.html

dove devo capire se ci sono ancora problemi e nel caso risolverli, definitivamente. Anvche perché la mia ragazza non riesce più a dormire tranquilla... ed pure io perché il problema forse è stato solo arginato.

ancora per tutto

[masterz3d]

Ciao... prima di fare questo vorrei capire, e penso tu mi comprenda, cosa rischio se lascio tutto com'è?

In verità non saprei. Se mi dici che il PC non ti da problemi si potrebbe lasciare anche tutto così, ma lasciare dei settori "sporchi di rootkit" da qualche parte non mi rende tranquillo...

Se pulisco quei settori cosa cambia?

Non cambia nulla dal punto di vista dell'OS e dell'esplora risorse. Ricorda che il kernel non riesce a vedere (detta un po' alla carlona) quello che sta fuori dalle partizioni o dal MBR.

e se faccio qualche "stron**ta" eseguendo la procedura?

Mettiamola così: le cose peggiori che possono capitare sono due: non riconosce più le partizioni o il filesystem, e quindi Windows non si avvia. Per sicurezza è sempre meglio tenere TestDisk a portata di mano. Ma se segui alla lettera le istruzioni e metti i numeri che io ti dico di mettere non avrai problemi.

Una volta finita la copia stacca il disco e mettilo da parte. Poi lavoreremo sul disco infetto.

[dario-vr]

Davvero il computer va molto bene.
Non so se vale la pena rischiare.
Tu sei molto competente esperto e disponibile, ma la tastiera ed i comandi poi li eseguo io

E ti ringrazio molto e seguirò gli eventi di manero
Ciao

[masterz3d]

Tu sei molto competente esperto e disponibile, ma la tastiera ed i comandi poi li eseguo io

Come vuoi tu.

[Uomo_Senza_Sonno]

ok sono pronto per procedere... c'è un modo per farlo con il cd live di ubuntu, in modo da usare solo il disco infetto o devo farlo per forza sotto windows e utilizzando il disco che ho usato per il backup?

[masterz3d]

Per quanto riguarda manero478, vorrei che prima facesse una copia del MBR che ha alla fine della partizione nel settore 0. Si fa così.

Apri HxD in scrittura come descritto sopra:

Togli la spunta da "Apertura in sola lettura" e confermi la richiesta di apertura in scrittura.


Nella solita schermata di HxD metti come "Settore" in alto a destra il numero 39086145. Poi, con il cursore, selezioni tutti i byte, da quello in alto a sinistra a quello in basso a destra, subito prima della riga grigia dove sta scritto "Settore 39086146". Devono stare tutti i dati, dall'offset 4A8D08200 a 4A8D083F0 compresi. Il risultato sarà più o meno quello che vedi in figura.


Adesso fai clic su Edit -> Copia (oppure CTRL+C per fare prima), e per il momento va bene così.

Poi scrivi in alto a destra, nel campo "Settore", il numero 0: andiamo riscrivere il MBR originale nel primo settore del disco.
Seleziona tutti i byte del settore 0 come hai fatto prima, avendo cura di non lasciare fuori alcun byte. Poi seleziona Edit -> Incolla (sovrascrivi) (oppure CTRL+B), come in figura.


Vedrai i dati del settore in colore rosso come in figura, per dire che sono stati sovrascritti dai dati copiati.


Adesso possiamo salvare le modifiche: fai clic su File -> Salva (oppure CTRL+S). Comparirà la solita finestra di non ritorno.

Puoi ancora cliccare su "No" e tornerai alla schermata di HxD. Per uscire senza scrivere nulla basta che selezioni File -> Chiudi e poi scegli "No" alla richiesta del salvataggio dei cambiamenti. Ricorda che puoi sempre tornare indietro fino a che non dirai "Si" alla finestra di modifica dei dati.

Al termine della procedura u dati saranno colorati di nero e avrai sostituito il MBR con la copia salvata.

Poi passeremo a ripulire i settori al termine delle partizioni.

[masterz3d]

c'è un modo per farlo con il cd live di ubuntu

Si può fare tranquillamente, anzi, dovrebbe essere più facile, ma devo rifare alcuni calcoli.

[Uomo_Senza_Sonno]

Si può fare tranquillamente, anzi, dovrebbe essere più facile, ma devo rifare alcuni calcoli.

ti ringrazio tantissimo per questa notiziona, forse, sempre per sicurezza, è meglio azzerare il disco con ubuntu... prendi tutto il tempo che ti serve, io a questo punto ho solo voglia di annientare questo maledetto.

Ovviamente, cerco di postare tutto quello che ti serve immediatamente

ancora per tutto