www.MegaLab.it

[masterz3d]

Se vuoi azzerare tutto non c'è problema, prima vorrei vedere se il mio duro lavoro di questi giorni dia qualche frutto. Prima di cominciare vorrei solo che tu mi controllassi che effettivamente il disco da azzerare sia /dev/sda: scrivi da terminale

Codice: Seleziona tutto

sfdisk -l /dev/sda

controlla che abbia una sola partizione e che ci siano approssimativamente 78 milioni di settori (sfdisk li vede come settori da 1024 byte anzichè 512, come puoi vedere gli standard non esistono ).

Se è l'unico disco nel sistema che ha 80GB dovrebbe essere quello, fammi una lista dei dischi che hai ancora una volta. Sempre meglio una di più che una di meno, io intanto butto giù i comandi da fare. Se dovesse servire, dovrai anteporre sudo al ciascuna delle linee.

[Uomo_Senza_Sonno]

Se è l'unico disco nel sistema che ha 80GB dovrebbe essere quello, fammi una lista dei dischi che hai ancora una volta.

purtroppo il comando non va.. e non mi fa leggere il disco e questo è quanto...

Codice: Seleziona tutto

sfdisk: cannot open /dev/sda for reading
ubuntu@ubuntu:~$ sfdisk -l /dev/sda
/dev/sda: Permission denied

... alternative?

in tutti i casi, ho solo un disco montato e tutti gli altri sono spenti perché forse è meglio fare il controllo dopo agli altri dischi

[masterz3d]

Ripeti facendo

Codice: Seleziona tutto

sudo sfdisk -l /dev/sda

Se non funziona non esiste sfdisk, allora bisogna aggirare il problema:

Codice: Seleziona tutto

sudo dd if=/dev/sda bs=512 count=1 | file -

Dovrebbe dare fuori un messaggio più o meno come questo:

Codice: Seleziona tutto

/dev/stdin: x86 boot sector; GRand Unified Bootloader, stage1 version 0x3, stage2 address 0x2000, stage2 segment 0x200; partition 1: ID=0x82, starthead 1, startsector 63, 4883697 sectors; partition 2: ID=0x83, active, starthead 0, startsector 4883760, 7807590 sectors; partition 3: ID=0x83,
starthead 0, startsector 12691350, 29302560 sectors; partition 4: ID=0x83, starthead 254, startsector 41993910, 446398155 sectors, code offset 0x48

Questo è un po' complicato perché ho quattro partizioni, ma dovrebbe dirti che hai una sola partizione NTFS.

Comunque, 99 su 100, se è l'unico disco si lavora su quello.

[Uomo_Senza_Sonno]

Codice: Seleziona tutto

ubuntu@ubuntu:~$ sudo sfdisk -l /dev/sda

Disk /dev/sda: 9729 cylinders, 255 heads, 63 sectors/track
Units = cylinders of 8225280 bytes, blocks of 1024 bytes, counting from 0

   Device Boot Start     End   #cyls    #blocks   Id  System
/dev/sda1   *      0+   9727    9728-  78140128+   7  HPFS/NTFS
/dev/sda2          0       -       0          0    0  Empty
/dev/sda3          0       -       0          0    0  Empty
/dev/sda4          0       -       0          0    0  Empty

ecco fatto

già che ci sono, ho provato a lanciare anche il secondo comando ed ecco qua

Codice: Seleziona tutto

ubuntu@ubuntu:~$ sudo dd if=/dev/sda bs=512 count=1 | file -
1+0 records in
1+0 records out
512 bytes (512 B) copied, 4,5539e-05 s, 11,2 MB/s
/dev/stdin: x86 boot sector, Microsoft Windows XP MBR, Serial 0xba71ba71


[masterz3d]

Tutto OK, solo un accertamento. Ecco qua i comandi che devi lanciare.

Con questo cancelliamo i settori da 1 a 62, estremi compresi:

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sda bs=512 count=62 seek=1

E con questo azzeriamo tutti i settori oltre la fine della partizione:

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sda bs=512 seek=156280320

Non sbagliare i numeri.

Ci metterà una frazione di secondo per entrambi. Può darsi che alla fine del secondo comando ti dica "No space left on device", ma è normale.

Poi riavvia il sistema, togli il CD di Ubuntu, fai partire Windows e incrocia le dita.

[Uomo_Senza_Sonno]

Con questo cancelliamo i settori da 1 a 62, estremi compresi:

Codice: Seleziona tutto
sudo dd if=/dev/zero of=/dev/sda bs=512 count=62 seek=1



E con questo azzeriamo tutti i settori oltre la fine della partizione:

Codice: Seleziona tutto
sudo dd if=/dev/zero of=/dev/sda bs=512 seek=156280320



Non sbagliare i numeri.



Ci metterà una frazione di secondo per entrambi. Può darsi che alla fine del secondo comando ti dica "No space left on device", ma è normale.

come potrei sbagliare se funziona correttamente il copia e incolla? Vero è che prima anche così il comando non è andato...

in tutti i casi, ecco il codice che è uscito fuori

Codice: Seleziona tutto

ubuntu@ubuntu:~$ sudo dd if=/dev/zero of=/dev/sda bs=512 count=62 seek=1
62+0 records in
62+0 records out
31744 bytes (32 kB) copied, 0,00313326 s, 10,1 MB/s
ubuntu@ubuntu:~$ sudo dd if=/dev/zero of=/dev/sda bs=512 seek=156280320
dd: writing `/dev/sda': No space left on device
21169+0 records in
21168+0 records out
10838016 bytes (11 MB) copied, 0,437602 s, 24,8 MB/s


e a questo punto devo reinstallare windows giusto? Il disco così è completamente azzerato?
E a questo punto, mi potresti spiegare la sintassi dei comandi così nel caso azzero anche una scheda sd da 2 Giga e una pendrive da 1?

---------------------------------------------------------------------------

Ho fatto come hai detto ma ovviamente, essendo il sistema compromesso, dovrò riformattare tutto quanto... giusto perché la schermata blu con il solito codice di errore è ricomparsa impietosa.

Pensavo che azzerando tutti i settori si cancellasse tutto quanto, invece il disco ha ancora tutti i files... o forse ho sbagliato qualcosa?

ancora per tutto il supporto dato

[masterz3d]

Il disco così è completamente azzerato?

Pensavo che azzerando tutti i settori si cancellasse tutto quanto, invece il disco ha ancora tutti i files... o forse ho sbagliato qualcosa?

No, solo i settori da 1 a 62 e tutto quello che sta alla fine della partizione. Il MBR e l'intera partizione sono ancora là, insieme al filesystem... e tutto quello che c'è dentro.

Se vuoi azzerare tutto quanto c'è un semplicissimo comando:

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sda bs=512

Ci metterà molto più tempo, ma alla fine avrai un disco piallato di netto come un tavolo di marmo. E dovrai ripartire dal partizionamento.
La stessa identica struttura si usa per tutti gli altri dischi, solo che al posto di sda devi saure il nome in /dev che corrisponde alla periferica.
In GNOME, nelle proprietà dei dischi, dovresti riuscire a vedere il nome della periferica con cui quel disco è montato; ma basta un semplice

Codice: Seleziona tutto

cat /proc/mounts

per aiutarti a decidere quale disco azzerare. E ricorda che dd è un'arma potentissima che non lascia scampo.

giusto perché la schermata blu con il solito codice di errore è ricomparsa impietosa.

Quello con il 7b? Te lo ha fatto su tutti i dischi che hai montato su quel computer?

[Uomo_Senza_Sonno]

Quello con il 7b? Te lo ha fatto su tutti i dischi che hai montato su quel computer?

No.. solo nel primo disco perché è di sistema... per gli altri compare la dicitura ovvia DISC BOOT FAILURE PLEASE INSERT DISK AND REBOOT

Ci metterà molto più tempo, ma alla fine avrai un disco piallato di netto come un tavolo di marmo.

è quello che voglio.. perché tanto il backup l'ho fatto e ora voglio annientarlo questo maledetto!!

Per quanto riguarda gli archivi rimovibili va bene la procedura che mi hai scritto?

ancora per tutto

[masterz3d]

Per quanto riguarda gli archivi rimovibili va bene la procedura che mi hai scritto?

Qualsiasi disco, interno o esterno, che leggi con la live di Ubuntu. Vale anche per le flash USB. Ricordati che il comado pialla tutto e non resta in piedi nulla.
Per piallare delle partizioni il comando cambia di poco, ma cambia.

[Uomo_Senza_Sonno]

Qualsiasi disco, interno o esterno, che leggi con la live di Ubuntu. Vale anche per le flash USB. Ricordati che il comado pialla tutto e non resta in piedi nulla.
Per piallare delle partizioni il comando cambia di poco, ma cambia.

Forse questo è un metodo del tipo "uccidere la mosca con la bomba atomica" ma almeno si è sicuri di eliminare tutto!!

Altra cosa... c'è un comando sotto linux che permette di controllore la salute delle mbr degli altri dischi? Giusto perché oltre ai dischi di un fisso, devo controllare anche il disco rigido di un portatile con 3 partizioni... so di essere un caso umano ed estremamente stressante, ma devo capire se l'infezione si è estesa oltre il fisso tramite le penne usb e le schede.

Grazie ancora per tutto, sei un grande

[manero478]

ciao... dopo 12 ore di mydefrag
eccomi di nuovo tra voi... mamma mia che spavento ;)
comunque
x masterz3d ...
allora fatto tutto... poi wipe poi mbr -f nessun cambiamento... IL LOG E' SEMPRE UGUALE
(faccio mbr -f su tutti i dischi ma il log e' lo stesso come ti dicevo credo che comunque controlla solo il master)
comunque sembra che sia infetto anche il disco slave E... ma non quello esterno.. G: (tramite usb)
ti allego parte del log di avira :

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[AVVISO] Impossibile riparare il settore di avvio! Per maggiori informazioni consultare il servizio di assistenza.
Record master di avvio dell'Hard Disk 1
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 2
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!
Record di avvio 'E:\'
[RILEVAMENTO] Contiene il codice del virus del settore di avvio BOO/Sinowal.E
[NOTA] Il record non è stato scritto!
Record di avvio 'G:\'
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei file eseguibili (registro):

Il registro è stato scansionato ( 69 file ).


Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\'
C:\pagefile.sys
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.


Fine della scansione: domenica 22 novembre 2009 23:23
Tempo impiegato: 02:32 Minuto(i)

La scansione è stata annullata!

50 Directory scansionate
479 I file sono stati scansionati
2 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
0 File spostati in quarantena
0 File rinominati
1 Impossibile scansionare i file
478 File non infetti
35 Archivi scansionati
2 Avvisi
2 Note
68552 Oggetti scansionati durante la scansione dei rootkit
0 Sono stati rilevati oggetti nascosti

________________________________________________________________________
Ho provato Prevx ma non lo rileva... anzi mi da' per nocivi alcuni prog che ho da anni...
come uno per trovare password di file compressi
e uno per collegamenti ftp
piu VirtumundoBeGone.exe (scaricato dietro indicazioni sempre da qui)
Quindi credo sia poco attendibile..
..................
poi volevo ricordarti di quel prog (bootwizard.exe) sepre di avira
che doveva toglierlo dal dos... infatti mi ha fatto fare un dischetto partente da A
cosi sono partito da A:
si eseguiva il programma caricava un file delle definizioni
e mi dava questi mess :
chekin the master boot recod of drive 80h
chekin the master boot recod of drive 81h
this boot record is unknown
chekin the master boot recod of drive 82h
this boot record is unknown
e finiva...
Mi sembra chiaro che non li vedeva o no??
ora domando...forse perche il disketto era comunque formattato fat
e i dischi sono ntfs?? (scusa la mia ignoranza)
..........................................

Poi ho letto tutto o meglio fino a quando dici di fare le modifiche al disco tramite HxD..
Per che visto che mi avevi detto di aspettare.... non so' se valgono anche per me...

resto in attesa...
ciao

[masterz3d]

"Salute" è un po' una parola grossa... a parte il controllo "on the fly" che si può fare con strumenti standard, come dd e file:

Codice: Seleziona tutto

sudo dd if=/dev/sda bs=512 count=1 | file -

si può provare a usare TestDisk oppure usare un metodo per ripulire il bootloader dal MBR:

Codice: Seleziona tutto

dd if=/dev/zero of=/dev/sda bs=446 count=1

e poi lasciarlo così se il disco non è di sistema, oppure reinstallarlo usando fixmbr dalla console di ripristino di Windows.

Se non ti va di fare troppi giretti puoi sempre usare Ubuntu come oasi di pace e trasferire i dati in dischi neutri per poi piallare senza pietà quelli infetti, pena il ripartizionamento e la reinstallazione del sistema operativo. E' una seccatura, ma così puoi ripartire da zero.

E poi mi sa che ho dato tutto, non mi viene in mente nient'altro. Tutto il resto è roba abbastanza complicata che in genere faccio a mano, per la verità non molto spesso perché problemi simili mi capitano raramente.

@manero478
Intanto leggi quello che c'è scritto qui, e lo puoi già fare. Se non capisci qualcosa chiedimi, ma non oggi. Mi saltano typo a destra e a sinistra, ci si vede prossimamente.

[Uomo_Senza_Sonno]

Se non ti va di fare troppi giretti puoi sempre usare Ubuntu come oasi di pace e trasferire i dati in dischi neutri per poi piallare senza pietà quelli infetti, pena il ripartizionamento e la reinstallazione del sistema operativo. E' una seccatura, ma così puoi ripartire da zero.

In effetti... ma dai metodi e dai comandi che hai scritto si può sempre pulire solo l'mbr se il sistema è accessible.

Ti ringrazio tantissimo, per tutto quello che hai fatto.
Sei un grande

[manero478]

scusa.. prima di fare casini....
volevo avvisarti che il settore O ... non e' vuoto....
http://img692.imageshack.us/img692/7928/settore0.jpg
lo sovrascrivo con quello che c'e' da 39086145?

ciao

[masterz3d]

Si, esatto. Il settore 39086145 è giusto, se noti è la scrittura in italiano, mentre nel settore 0 è in inglese.

[Uomo_Senza_Sonno]

Buonanotte a tutti...

Faccio alcune considerazioni dopo aver provato il comando da ubuntu

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sda bs=512

sul disco infetto, successivamente sulla pendrive e infine sulla scheda SD

1. in effetti, cancellare e riportare a 0 tutto il disco prende molto tempo, più o meno 5 minuti/Gigabyte;
2. dopo aver eseguito questo comando, il disco non presentava più nessun file e compariva il messaggio che avvisava della mancata mtf (sempre da ubuntu), esattamente come ci si doveva aspettare;
3. la stessa cosa è successa per la pendrive, ma per la scheda SD, una volta eseguito il comando e trascorsi circa 10 minuti, ho provato a rileggere il supporto sempre da ubuntu ma stavolta la scheda viene letta normalmente, ma ovviamente risultava vuota dopo il "trattamento".

Da ciò ne consegue che: è probabile che i dischi si infettino una volta letto il mbr, è probabile che le infezioni possono essere veicolate anche dalle pendrive nei passaggi di dati da pc a pc, ma la stessa cosa va detta per le memorie flash dei supporti SD/XD/MD/e simili, forse perché probabilmente usano una tabella di allocazione differente e probabilmente non è terreno fertile per questo tipo di infezione.

Ovviamente tutto questo è da verificare, ma il fatto che questo tipo di supporto venga letto senza problemi da un sistema operativo completamente differente da quello windows, mi porta a pensare quanto detto sopra.

In tutti i casi, come detto da masterz, un sistema sicuro per un backup totale è trasferire tutto quanto in un disco vergine sotto un live cd linux, usare altri sistemi per il salvataggio da dischi infetti rimane sempre molto rischioso.

Buonanotte a tutti, e grazie ancora per tutto il lavoro prodotto.

[dario-vr]

Tu sei molto competente esperto e disponibile, ma la tastiera ed i comandi poi li eseguo io

Come vuoi tu.

Ciao masterz...
ho apprezzato ed apprezzo ancora il tuo impegno, la tua disponibilità, se esistono dubbi che quel residuo di rootkit possa farmi danni vorrei procedere così::
per fare quello che mi suggerisci devo essere concentrato e libero da impegni, lo potrei perciò fare solo al sabato.
Allora, con calma, mi elenchi le operazioni ed io le stamperò così da averne pure una copia cartacea da seguire.
Cosa ne pensi?

Un'ultima domanda: seguendo alla lettera le tue indicazioni, ripristino MBR e non modifico niente altro? cioè il mio S.O. rimane stabile?

[masterz3d]

la stessa cosa va detta per le memorie flash dei supporti SD/XD/MD/e simili, forse perché probabilmente usano una tabella di allocazione differente

Di solito Windows non partiziona mai le memorie flash USB, o flash in genere, che quindi non hanno MBR o tabella di partizione, e se il rootkit infetta solo MBR contenenti tabelle di partizione è alquanto improbabile che infetti memorie flash esterne.

Allora, con calma, mi elenchi le operazioni ed io le stamperò così da averne pure una copia cartacea da seguire.

In questo post c'è la procedura per ripulire tutti i settori dall'1 al 62 compresi, lasciando intatti MBR e primo settore del filesystem. Entro oggi ti dico come azzerare tutti i settori dopo la fine della partizione, con i numeri esatti. Il procedimento è esattamente lo stesso, devi solo cambiare qualche numero.

seguendo alla lettera le tue indicazioni, ripristino MBR e non modifico niente altro? cioè il mio S.O. rimane stabile?

Si.

[dario-vr]

Allora, con calma, mi elenchi le operazioni ed io le stamperò così da averne pure una copia cartacea da seguire.

In questo post c'è la procedura per ripulire tutti i settori dall'1 al 62 compresi, lasciando intatti MBR e primo settore del filesystem. Entro oggi ti dico come azzerare tutti i settori dopo la fine della partizione, con i numeri esatti. Il procedimento è esattamente lo stesso, devi solo cambiare qualche numero.

Ho già copiato la procedura per riplulire dal 1 al 62 in un file di word.
Aspetto il resto

PS: questa procedura la posso già fare? o devo aspettare il completamento delle tue istruzioni?

Grazie

[masterz3d]

questa procedura la posso già fare? o devo aspettare il completamento delle tue istruzioni?

Se vuoi la puoi già fare.
E poi, per ripulire i settori dopo la fine del disco, fai esattamente gli stessi passi, solo che:

• al posto di 200 devi usare il numero 45DD5A8200;
• al posto di 7DFF il numero 45DD825FFF.