www.MegaLab.it

[abate]

Ma come fai??? Intendo dire come hai fatto ad individuare un rootkit da quell'"ammasso di dati"! :-D

Ok! Provvedo!

[abate]

Eccoli gli screenshot!
61: http://imm.io/3Da1
62: http://imm.io/3Da6
63: http://imm.io/3Da8
133332992: http://imm.io/3Daj
156301488 non esiste. In sua vece posto 156301487: http://imm.io/3Dae

[Uomo_Senza_Sonno]

Puoi postare anche il settore 133332991? Poi possiamo procedere con la pulizia, con HxD o con dd da terminale.

[abate]

OK! Eccolo: http://imm.io/3DaV

[Uomo_Senza_Sonno]

Va bene, procediamo con la pulizia. Segui questa guida per pulire i settori infetti, nella parte finale non è presente nulla e quindi ti è sufficiente seguire passo passo la procedura descritta per azzerare i settori 1 al 62 compreso.

Per quanto riguarda i settori iniziali gli offset da inserire saranno 200 come iniziale e 7DFF come finale, mentre per la parte finale devi inserire 0FE5000000 come iniziale e 12A1F15FFF come finale.

Se invece vuoi utilizzare il terminale e il comando dd (assicurati che il disco a cui impartire il comando sia sda), devi digitare

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sda bs=512 count=62 seek=1

per i primi 62 settori e

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sda bs=512 seek=133332992

per azzerare tutti i settori alla fine della partizione. Una volta effettuato questa procedura verifica se rilevi ancora problemi dopo aver riavviato windows.

[abate]

Ciao! Ho fatto, ma mentre azzerava i settori finali, mi ha dato il messaggio di errore "Memoria esaurita". Che faccio? Riprovo? Aiuto!

[abate]

Questo lo screenshot: http://imm.io/3DH5

Sono rimasto "impallato" ...nel senso che se vado a salvare le modifiche dei settori finali sullo schermo appare la dialog "Memoria esaurita" e quindi posso solo chiudere HxD senza salvare i settori finali, mentre quelli da 1 a 62 sono già stati salvati...

Che mi consigli? CHIUDO il programma senza salvare oppure attendo (anche se non credo si sbloccherà la situazione)?

[Uomo_Senza_Sonno]

Prova ad utilizzare la procedura da terminale a questo punto. Prima di procedere, verifica se noti ancora problemi e se si è risolto il tutto puoi anche lasciare così.

[abate]

Ciao! Come faccio a verificare? Riavvio e lancio lo stealth rootkit detector? Ho paura a riavviare... ;-)

[Uomo_Senza_Sonno]

Esattamente, lancia lo stealth rootkit detector, dopo il riavvio.

[abate]

Evidentemente qualcosa è andato storto, come temevo...

Il sistema non trova il boot e una volta lanciata la Live di Fedora (http://imm.io/3DR0) e tentando il processo di installazione viene segnalato il seguente problema: http://imm.io/3DRo

Chiudendo la finestra, il seguente messaggio ulteriore: http://imm.io/3DRw

Dovrò ora creare una copia da qualche parte dei dati prima di procedere...

Un gran casino. Era quello che volevo evitare quando scrissi che non volevo formattare a basso livello

[Uomo_Senza_Sonno]

Non viene trovato il boot di windows? Sicuro di non aver fatto un errore scrivendo gli offset? Mi sembra molto strano perché è la prima volta che succede, ma la soluzione è presto pronta: un bel comando fixboot e fixmbr dalla console di ripristino di windows. Se poi proprio non c'è altro da fare, una bella formattazione a basso livello ti permette di iniziare nuovamente da zero, dopo aver ovviamente fatto il backup dei dati.

[abate]

Ho eseguito i comandi:

sudo dd if=/dev/zero of=/dev/sda bs=512 count=62 seek=1

e poi

sudo dd if=/dev/zero of=/dev/sda bs=512 seek=133332992

direttamente da shell, ma non trova più il grub ed avviando il processo di installazione per ripristinare grub appaiono quegli errori succitati.

C'è qualche alternativa alla reinizializzazione del disco?

[Uomo_Senza_Sonno]

Prima esegui un fixboot e fixmbr dalla console di windows, poi vedi se funziona il processo per ripristinare grub

[abate]

ULTIMI AGGIORNAMENTI
Ciao! Ho fatto il backup dei dati (era la cosa che mi preoccupava di + in mancanza di una idonea dotazione hw) e poi reinizializzato l'intero hd.

Ho creato con il cd di Fedora Linux le partizioni sda2 (20GB circa) e sda3 (40GB circa) e poi, ovviamente, le partizioni Linux.

Ho installato di nuovo Win XP e ...sorpresa! Tutto è peggio di prima!

A questo punto non so se procedere alla vera e propria formattazione a basso livello dell'HD o se lasciar perdere Windows (sarei proprio tentato di mandarlo a ....)!!!

Leggendo ho visto che per formattare a basso livello devo rivolgermi al sito del produttore hw del mio HD. Sei/siete d'accordo su questo?
In oltre 10 anni che uso il computer non sono mai incappato in un virus + bas***do di questo (anche se a volte basta il tool giusto)!

Prevx, dicono, è in grado di rimuovere qualsiasi MBR rootkit, ma solo la versione a pagamento (o sbaglio?).

Grazie ancora del tempo che mi avete dedicato,
Alessandro

[farbix89]

A questo punto non so se procedere alla vera e propria formattazione a basso livello dell'HD o se lasciar perdere Windows (sarei proprio tentato di mandarlo a ....)!!!

Entrambe buone soluzioni

Leggendo ho visto che per formattare a basso livello devo rivolgermi al sito del produttore hw del mio HD. Sei/siete d'accordo su questo?

Si,in base al modello ci sono vari tools sui rispettivi siti

http://www.MegaLab.it/2599/la-formattaz ... so-livello

In oltre 10 anni che uso il computer non sono mai incappato in un virus + bas***do di questo (anche se a volte basta il tool giusto)!

Se il virus è annidato in settori particolari,reinstallare o formattare normalmente non risolvono quasi mai il problema.

Prevx, dicono, è in grado di rimuovere qualsiasi MBR rootkit, ma solo la versione a pagamento (o sbaglio?)

Che riesca a rimuoverla è da verificare, in ogni caso è a pagamento.

[Uomo_Senza_Sonno]

Hai provato con i comandi fixboot e fixmbr dalla console di ripristino? Dovevi prima ripristinare l'mbr e il boot di windows, poi provare a reinstallare grub. Ad ogni modo, a questo punto riavvia la distro live di fedora, apri il terminale e dai questo comando

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sda bs=512

assicurandoti che il disco sia sda. In questo modo puoi ripartire da zero, il disco viene scritto con un flusso di zeri dal primo settore all'ultimo e di qualsiasi cosa ci sia stata nel disco non rimarrà traccia.
L'importante è che i dati li hai salvati in un altro disco, perché una volta dato il comando non si può tornare indietro.

Prevx, dicono, è in grado di rimuovere qualsiasi MBR rootkit, ma solo la versione a pagamento (o sbaglio?).

Prevx, come tutti i programmi che operano all'interno del SO, possono agire solo all'interno. Se il rootkit è all'esterno, in settori che normalmente il SO non utilizza, lo può solo rilevare ma non rimuovere. Ecco perché abbiamo utilizzato HxD, che consente di editare i settori solitamente non raggiungibili.

[abate]

@farbix89 la tentazione di "rinunciare" è molto forte, benché alcuni programmi come ad esempio quello per aggiornare il software Symbian girano solo su Windows oppure alcuni sw applicativi ad un certo livello per editing video per piattaforme LMS (Learning Management System) e qualche altro tool sono difficilmente surrogabili su altre piattaforme.

Se il virus è annidato in settori particolari,reinstallare o formattare normalmente non risolvono quasi mai il problema.

Purtroppo ho visto... :-(


@Uomo_Senza_Sonno dopo aver dato quei comandi che mi avevi inviato da shell Linux e, conseguentemente, dopo che il sistema non era + bootabile mi sono principalmente preoccupato di salvare i dati. A quel punto visto che Fedora mi offriva la possibilità di reinizializzare l'intero disco ho pensato che avrebbe "steso" letteralmente l'HD per ricostruirlo passo-passo. Evidentemente mi sono sbagliato!

Proverò come hai detto con la distro Live.

Su Prevx ho scritto una cavolata ed in effetti non è logico, anche se credo che occorre "qualcosa" - una volta debellato il rootkit dall'MBR - per ripulire i file dati da qualche malware che forse è in grado di rigenerarlo (questa è la sensazione).

[farbix89]

se non vuoi andare di editor,l'unica reale soluzione è piallare come si deve l'intero disco con una bella formattazione a basso livello....non rimarrà traccia di nulla,nemmeno del malware.

le formattazioni ottenute con Fedora e altri CD Live consistono in una formattazione normale,in cui i dati sono sempre presenti lì fino a sovrascrittura,non risolvono il problema del malware annidato chissà dove nel disco.

Quindi se il backup è pronto e i dati sono già al sicuro,vai con "la pialla"

Un consiglio riguardo a GNU/Linux e Windows "l'irrinunciabile" :

Se non ti senti pronto a fare il passo decisivo,puoi sempre tenere una piccola partizione Windows da utilizzare solo per esigenze particolari (giochi,programmi specifici....)

Nell'utilizzo quotidiano puoi utilizzare GNU/Linux e se vieni a contatto con i malware "non sentirai nulla"

Ovviamente se questo malware riesce ad accedere a Windows sono dolori,ma bastano le giuste contromisure e il rischio si riduce considerevolmente

[Uomo_Senza_Sonno]

Come giustamente ha detto Farbix, se hai eseguito il backup (in un altro disco) vai con il comando dd dal terminale. In questi casi l'unica soluzione è lo zero-filling.