www.MegaLab.it

[Uomo_Senza_Sonno]

Salve a tutti di nuovo... Indovinate un po?

Come avevo scritto in un post precedente, devo verificare altri due pc che avevo ripulito qualche settimana fa (i log sono qui)... uno è un portatile con win vista, l'altro un fisso con xp sp2.
Appena possibile posto tutto quello che serve per capire se l'infezione è ancora presente... e intanto preparo il disco del portatile con vista.

A presto e grazie per la disponibilità

[masterz3d]

Foto degli MBR intanto, così so con chi ho a che fare. Se sono due PC chiamali PC1 e PC2 ché li distinguiamo subito, che non vorrei dare numeri sbagliati.

Per il momento fai solo foto, che ho visto che ci sono copie del MBR in giro.

[Uomo_Senza_Sonno]

Ecco qua.. per il momento posto solo le immagini del disco del portatile, giusto per fare le cose più semplici. Questo portatile ha Vista, e come tutti i portatili hanno una porzione del disco nascosta dove è presente il sistema di ripristino alle condizioni di fabbrica. In attesa di istruzioni, posto i primi settori!!

Putroppo il disco doveva essere sottoposto a defrag e scandisk, quindi ecco il perché delle immagini solo adesso

Settore 0_PC Vista
Settore 1_PC Vista
Settore 60_PC Vista
Settore 61_PC Vista
Settore 62_PC Vista

Purtroppo questo pc non ha dischi con solo il sistema operativo, anzi a dire la verità non ne ha proprio, quindi non so proprio come fare nel caso debba utilizzare il comando fixmbr dopo aver ripulito i settori sotto linux

ancora per la disponibilità

[masterz3d]

Never mind. Fai fare una ricerca a HxD con la chiave "NTFS" e postami il primo settore di corrispondenza, devo capire come funzionano 'ste maledette partizioni nascoste.

Come non detto, postami il settore 2048, vediamo se ho capito. E già che ci sei il 206848.

[Uomo_Senza_Sonno]

Mi sto domandando come fai...

Settore 2048_PC Vista

Settore 206848_PC Vista

Per il momento posto questi due, perché facendo una ricerca mettendo la stringa ntfs escono più di una decina di risultati.. ma comunque il primo che mi ha trovato è stato proprio quello nel settore 2048

[masterz3d]

No, scusami. Settore 20973568, mi bastano le prime righe.
Poi procediamo con l'azzeramento.

[Uomo_Senza_Sonno]

Settore 20973568_PC Vista

Già che ci siamo, è possibile vedere anche l'mbr di un tom tom? Giusto per vedere se è sano o meno... Domanda: questi strumenti sono immuni al comportamento virale ma possono essere potenziali portatori?

[masterz3d]

questi strumenti sono immuni al comportamento virale ma possono essere potenziali portatori?

La risposta ste nella possibilità che un tom tom abbia o meno un sistema operativo Windows-like: rootkit come questo creano agganci nei kernel di Windows XP, forse Vista e 7; penso che sia assai improbabile in altri sistemi operativi.

Quindi, non ne ho idea.

Per azzerare i settori liberi, metti come primi valori dal 400 (inizio settore 2) al FFFFF (fine settore 2047). Postami il settore 312578048.

[Uomo_Senza_Sonno]

La risposta ste nella possibilità che un tom tom abbia o meno un sistema operativo Windows-like: rootkit come questo creano agganci nei kernel di Windows XP, forse Vista e 7; penso che sia assai improbabile in altri sistemi operativi.

Il Tom Tom viene letto solo come disco removibile (ed infatti ha, come per le pendrive, la FAT32), esattamente come la scheda di memoria SD al suo interno ma per aggiornarsi, come ben sai, ha un programma che gira sotto windows.. ma procediamo per gradi.

Per azzerare i settori liberi, metti come primi valori dal 400 (inizio settore 2) al FFFFF (fine settore 2047).

Potresti gentilmente scrivermi i comandi per eseguire l'azzeramento sotto ubuntu o dici che è più semplice farlo sotto Vista?

Settore 312578048

Questo settore sembra vuoto...

ancora per tutto

[masterz3d]

312578047?

Potresti gentilmente scrivermi i comandi per eseguire l'azzeramento sotto ubuntu o dici che è più semplice farlo sotto Vista?

Se usi Vista con HxD, ti ho scritto gli offset apposta, sennò usi lo stesso comando che ti avevo detto con Ubuntu, solo che metti seek=2 e count=2046. Il settore 1 preferisco lasciarlo perché mi sa tanto di numero di serie del portatile.

[Uomo_Senza_Sonno]

Quindi se ho capito giusto sotto ubuntu devo lanciare questo comando:

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sda bs=512 count=2046 seek=2

Giusto?

Possibile che non abbia visto il codice?

Settore 312578047_PC Vista

Per quanto riguarda il Tom Tom, ho contattato l'assistenza per una delucidazione riguardo il suo sistema operativo.. e se è possibile considerarlo come una normalissima pendrive.. in questo caso, ormai, sappiamo come fare..

ancora per tutto

[masterz3d]

Giusto?

Si.

Per quanto riguarda la cancellazione dei settori dopo la fine delle partizioni:

Codice: Seleziona tutto

dd if=/dev/zero of=/dev/sda bs=512 count=3761 seek=312578048

oppure, con HxD, partenza 2543200000 e fine 25433D61FF.

[Uomo_Senza_Sonno]

Scusa se insisto, ma non essendo pratico mi sorge un dubbio... seek e skip sono equivalenti o sono due parametri differenti tra loro?

[masterz3d]

Si, hai ragione, scusami, in scrittura bisogna usare seek e non skip. seek serve a dd per capire dove cominciare a scrivere; skip viene usato per capire dove cominciare a leggere. Noi leggiamo da /dev/zero e scriviamo su /dev/sda e dobbiamo cercare dove scrivere e non dove leggere.

Avrei fatto un errore leggendario.

[Uomo_Senza_Sonno]

Si, hai ragione, scusami, in scrittura bisogna usare seek e non skip. seek serve a dd per capire dove cominciare a scrivere; skip viene usato per capire dove cominciare a leggere. Noi leggiamo da /dev/zero e scriviamo su /dev/sda e dobbiamo cercare dove scrivere e non dove leggere.

Avrei fatto un errore leggendario.

Capita anche ai migliori fare un piccolo errore..

Quindi, ricapitolando...

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sda bs=512 count=2046 seek=2

per i primi settori del disco e

Codice: Seleziona tutto

dd if=/dev/zero of=/dev/sda bs=512 count=3761 seek=312578048

per quanto riguarda gli ultimi settori. Giusto?

Vista l'ora, sarà meglio preparare anche i settori dell'altro pc che fortunatamente è un fisso ed ha XP, ma due dischi rigidi.. e fare un backup di sicurezza dei dati del portatile prima di procedere!! ancora per tutto e a domani!

[Uomo_Senza_Sonno]

Io sono senza parole... pensavo di procedere a fare il backup dei dati del portatile ed invece mi trovo una nuova gatta da pelare.. praticamente il kaspersky mi ha rilevato nel portatile un file, chiamato free.exe che era nella cartella nascosta C:\utente\nome utente\appdata\temp, e ho fatto fare all'antivirus la disinfezione.. ma al termine di tutto questo, il task manager non viene riconosciuto come applicazione win32 valida e provando a fare la pulizia del disco per rimuovere eventuali files temporanei scopro che non è più possibile caricare questo processo, con il messaggio che una nuova installazione di windows potrebbe risolvere il problema... ah altra cosa, una volta finita la scansione a questo singolo file, la finestra del kaspersky non si chiude più, e qualsiasi programma voglio aprire compare sempre lo stesso messaggio di errore, ovvero non è un'applicazione win32 valida!!!

In sostanza, tutti i programmi sono congelati, e ovviamente se chiudo l'antivirus poi non si attiva di nuovo e se chiudo il browser non sarà possibile riattivarlo..

il virus rilevato è il seguente trojan.win32.VB.moa, trovato nel processo free.exe

Suggerimenti? Devo riavviare e vedere che succede?

[masterz3d]

Ti sei andato a pigliare uno dei peggiori, il Moa si annida negli eseguibili e sembra che se viene rimosso si porti con sè parte del codice... in altre parole, penso che la cosa più veloce da fare sia reinstallare Windows.

Ma sei proprio sfigato te, eh...

[Uomo_Senza_Sonno]

Ti sei andato a pigliare uno dei peggiori, il Moa si annida negli eseguibili e sembra che se viene rimosso si porti con sè parte del codice... in altre parole, penso che la cosa più veloce da fare sia reinstallare Windows.

Mi sto sentendo male... quindi cosa mi devo aspettare se riavvio il portatile? Dato che il portatile ha un sistema di recovery parte in automatico il ripristino del sistema operativo o prima tenta di riavviare il sistema? Ed io che credevo che riavviando tutto si sistemava..

Visto che il danno è fatto, i files che devo salvare sono comunque puliti e li posso trasferire con ubuntu in un altro disco rigido? Scusami per queste domande cretine, ma visto quello che sta succedendo, non sono più sicuro di nulla, questi virus mi hanno fatto capire che non sono più al passo con i tempi.. e che virus di questo calibro sono decisamente troppo per me.

Ah proposito, ti devo postare anche i settori del PC fisso con XP, che proprio ieri notte mi ha rifatto lo scherzo che faceva un mese fa.. ovvero una bella schermata blu. Probabilmente il rootkit si sta riattivando e quindi preferirei risolvere anche su questa macchina.. anche perché la mia ragazza vuole indietro le sue postazioni.. e funzionanti!!

ancora per tutta la disponibilità mostrata

[Uomo_Senza_Sonno]

C'è una piccola possibilità che riavviando il portatile funzioni correttamente o mi sto illudendo?

Intanto sto finendo di preparare i dischi dell'altro pc fisso, così appena possibile posto subito i primi settori

ancora per tutto

[masterz3d]

C'è una piccola possibilità che riavviando il portatile funzioni correttamente o mi sto illudendo?

E' molto probabile che ti si impianti all'avvio o produca una bella schermata blu alla prima esecuzione di un'applicazione di sistema (che so, rundll32.exe...)