www.MegaLab.it

[abate]

Sto scrivendo da browser della Fedora live. Ho già impartito da shell il dd da circa 15 minuti ed ancora sta "lavorando".

@Uomo_Senza_Sonno: Un chiarimento ... ma il comando dd è in grado di formattare a basso livello?

@farbix89: è da un anno e mezzo che non riaprivo Windows (a parte alcune docenze che avevo tenuto tra settembre 2009 e febbraio 2010 su piattaforma Win Vista e 7. Non mi devo convincere sulle pecche Windows perché ne sono già convinto, ciononostante avevo voglia di reinstallarlo per riprendere mano con alcuni tools professionali che difficilmente sono surrogabili (parliamoci chiaro ...i vari Captivate, Photoshop, XPress, non trovano repliche altrettanto efficaci su altri OS, a parte, OS X). Ho un desktop con il solo Ubuntu dentro (che secondo me non è un granché in fatto di stabilità e per certi principi un po' liberali sull'Opensource, molto meglio Fedora, più stabile), mentre su questo portatile tengo entrambi (Windows xò non lo usavo come avevo detto prima da tanto tempo). Speriamo che con questo zerofilling io riesca a riesumare "il cadavere" per poter aggiornare il software Nokia in primis e tenerlo come partizione attiva se mia moglie avesse necessità di usare il portatile.

[Uomo_Senza_Sonno]

Se il disco è molto grande, ci vorrà parecchio tempo, anche alcune ore, ma alla fine avrai un disco completamente azzerato. Come è stato giustamente detto in questa discussione,

Vorrei far notare che se il partizionamento avviene sotto Windows è inutile persino fare una formattazione completa. Il processo di partizionamento, infatti, lascia sempre dei settori "vuoti", inutilizzati, alla fine del disco. Persino il ripartizionamento potrebbe essere perfettamente inutile. Per cui, per come la vedo io, se neppure il tool apposito per rimuovere questo malware funziona l'unico modo è aprire il disco fisico con questo procedimento e modificare i settori manualmente. Una soluzione potrebbe essere quella che viene erroneamente definita formattazione a basso livello e quella che viene più precisamente definita reinizializzazione del disco. La formattazione a basso livello è un procedimento fisico fatto in fabbrica dove vengono fisicamente preparati i settori per accogliere i dati in arrivo. La reinizializzazione, invece (tecnicamente chiamata zero-filling) è un procedimento logico (relativamente semplice) per cui un disco viene riempito di pattern predefiniti (che so, AA, 44, 55, FF per ogni byte, oppure pattern come AA44 o 55FF ogni gruppo di due byte, o anche solo con zeri) che distruggono qualsiasi cosa si trovi sul disco, compresi i rootkit. Il pregio innegabile è che nulla sopravvive; il difetto è esattamente lo stesso. Quindi dopo lo zero-filling si deve ripartizionare, riformattare e reinstallare il sistema operativo.

con lo zero-filling non rimane nulla, ci vorrà del tempo ma è l'unica strada che ti assicura l'eliminazione di qualsiasi traccia di malware. Ad ogni modo, tieni presente che in media questo processo azzera 1 Gb ogni 5 minuti, poi dipende dalla velocità del disco di scrivere i dati e di conseguenza il tempo può aumentare o diminuire.

[abate]

Ciao!
Avevo risolto tutto con lo zerofilling.

Installato XP SP3, il mio nuovo Avira Premium (aggiornandolo e settandolo in modo da controllare rootkit ed archivi), installato MBAM, installato online-armor, ...insomma tutto ok...finché non ho inserito la chiavetta (da vero D-E-F-I-C-I-E-N-T-E mi sono limitato, come da abitudine, a tenere premuto CTRL per evitare autorun) che subito è partita la solita dialog: http://imm.io/3FYR

Questa dialog è la prima spia alla base di questo virus che crea le cartelle Recycler e System Volume Information anche nella partizione che nn contiene file di sistema. http://imm.io/3FZq

Fra i processi in esecuzione sospetti c'è il solito CTFMON.exe e Oamon.sys (Online-Armor modificato)

Da quando è iniziata questa storia (a questo punto il virus sta nei dati ora presenti sulla penna) nessun software di sicurezza (Avira Free, Avira Premium, Kaspersky AV, Kaspersky IS, Superantispyware, Spybot S&D, AdAware, Zone Alarm, Online-Armor e chi più ne ha più ne metta) è stato in grado di rilevare o bloccare il malware che poi insedia rootkit a livello di Master Boot Record.

Che devo fa'???
(A parte spararmi ...dopo essermi preso abbondantemente a schiaffi per essere stato tanto sprovveduto...bastava avviarla sotto Linux...)

Se rifaccio tutto da capo e poi le contromisure per debellare il malware dalle pendrive (sono due una da 16GB ed una da 4GB) non sono idonee siamo nuovamente fregati!

Ma a voi è capitato lo stesso virus?

Ecco il log HijackThis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13.53.02, on 11/02/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
C:\Documents and Settings\abate\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [@OnlineArmor GUI] "C:\Programmi\Online Armor\oaui.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{822F0CC6-DA38-4927-94EB-64031D4A3CB2}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB25484B-8DE4-461D-84C5-335A6403484A}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS1\Services\Tcpip\..\{822F0CC6-DA38-4927-94EB-64031D4A3CB2}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS2\Services\Tcpip\..\{822F0CC6-DA38-4927-94EB-64031D4A3CB2}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS3\Services\Tcpip\..\{822F0CC6-DA38-4927-94EB-64031D4A3CB2}: NameServer = 208.67.222.222,208.67.220.220
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Online Armor Helper Service (OAcat) - Unknown owner - C:\Programmi\Online Armor\OAcat.exe
O23 - Service: Online Armor (SvcOnlineArmor) - Unknown owner - C:\Programmi\Online Armor\oasrv.exe

--
End of file - 3662 bytes

[Uomo_Senza_Sonno]

Deve essere evidente che il file sorgente del tuo virus è presente nella pendrive, a questo punto esegui un backup dei dati della pendrive sotto fedora live e poi azzerala dopo averla scansionata per eliminare il file infetto. Posta nuovamente:

1. un log di HJT in modalità di avvio completa, non provvisoria;
2. posta nuovamente il settore 0 con HxD.

A volte capita di fregarsi due volte, ma la soluzione, come puoi vedere, è già percorsa

[abate]

Nn ho capito una cosa però. Se avvio da distro Live, dove lo faccio il backup delle pendrive?
Considera che i volumi sotto Windows sono 2: C:\ (flag 'ACER') per Windows e D: (flag 'ACERDATA'') per memorizzare i dati

Dato che sul filesystem della distro live non c'è spazio per il backup devo copiare in D:\? Poi per spianare le pendrive devo usare sempre il comando dd?

Scusa per tutte le domande, ma è diventata una cosa devastante!

[Uomo_Senza_Sonno]

Certamente, puoi fare il backup nel disco dove hai appena installato windows. Prima di fare il backup, scansiona la pendrive, ed elimina il file responsabile dell'infezione. Quando usi il comando dd, al posto di sda devi inserire il drive giusto, molto probabilmente dovrai inserire sdb

Per maggiore sicurezza sul drive da azzerare, esegui dal terminale

Codice: Seleziona tutto

sudo sfdisk -l

vedrai tutti i drive collegati. Se non ci sono altri dischi collegati ma solo il disco del pc e la pendrive, la chiavetta verrà chiamata sdb

[farbix89]

dopo che risolvi (di nuovo) la faccenda con il malware, puoi tutelarti dalle infezioni via chiavette USB con un piccolo software come questo

http://www.MegaLab.it/4100/ninja-proteg ... emoria-usb

Almeno blocchi le minacce che si propagano via autorun

[abate]

Grazie! Ho avuto una bella influenza intestinale questi gg. In ogni caso ho provveduto a spianare nuovamente l'hd, poi installato Win e Fedora.

Su Fedora ho installato Bitdefender e sto ora installando Avast. Vi tengo aggiornati!

[abate]

Certamente, puoi fare il backup nel disco dove hai appena installato windows. Prima di fare il backup, scansiona la pendrive, ed elimina il file responsabile dell'infezione. Quando usi il comando dd, al posto di sda devi inserire il drive giusto, molto probabilmente dovrai inserire sdb

Per maggiore sicurezza sul drive da azzerare, esegui dal terminale

Codice: Seleziona tutto

sudo sfdisk -l

vedrai tutti i drive collegati. Se non ci sono altri dischi collegati ma solo il disco del pc e la pendrive, la chiavetta verrà chiamata sdb

Ho usato il comando sfdisk con una sola pen drive connessa e mi ha evidenziato anche device sconosciuti (dm-0 e dm-1 cosa sono)
Poi ho impartito il dd, ma c'è stato un messaggio d'errore che ti posto, dove ho sbagliato?

[alessandro@ACERTM291LCI ~]$ su -
Password:
[root@ACERTM291LCI ~]# sudo sfdisk -l

Disk /dev/sda: 9729 cylinders, 255 heads, 63 sectors/track
Units = cylinders of 8225280 bytes, blocks of 1024 bytes, counting from 0

Device Boot Start End #cyls #blocks Id System
/dev/sda1 * 0+ 2549 2550- 20482843+ 7 HPFS/NTFS
/dev/sda2 2550 9727 7178 57657285 f W95 Ext'd (LBA)
start: (c,h,s) expected (1023,254,63) found (1023,0,1)
/dev/sda3 0 - 0 0 0 Empty
/dev/sda4 0 - 0 0 0 Empty
/dev/sda5 2550+ 7674 5125- 41166531 7 HPFS/NTFS
start: (c,h,s) expected (1023,254,63) found (1023,1,1)
/dev/sda6 7675+ 7738- 64- 512000 83 Linux
/dev/sda7 7739+ 9727- 1989- 15975424 8e Linux LVM

Disk /dev/dm-0: 1799 cylinders, 255 heads, 63 sectors/track

sfdisk: ERROR: sector 0 does not have an msdos signature
/dev/dm-0: unrecognized partition table type
No partitions found

Disk /dev/dm-1: 187 cylinders, 255 heads, 63 sectors/track

sfdisk: ERROR: sector 0 does not have an msdos signature
/dev/dm-1: unrecognized partition table type
No partitions found

Disk /dev/sdb: 1019 cylinders, 126 heads, 62 sectors/track
Warning: The partition table looks like it was made
for C/H/S=*/255/63 (instead of 1019/126/62).
For this listing I'll assume that geometry.
Units = cylinders of 8225280 bytes, blocks of 1024 bytes, counting from 0

Device Boot Start End #cyls #blocks Id System
/dev/sdb1 * 0+ 495- 496- 3983328+ e W95 FAT16 (LBA)
end: (c,h,s) expected (495,230,55) found (494,254,63)
/dev/sdb2 0 - 0 0 0 Empty
/dev/sdb3 0 - 0 0 0 Empty
/dev/sdb4 0 - 0 0 0 Empty
[root@ACERTM291LCI ~]# sudo dd if=/dev/zero of=/dev/sdb bs=512 count=62 seek=1
62+0 records in
62+0 records out
31744 bytes (32 kB) copied, 0.0329946 s, 962 kB/s
[root@ACERTM291LCI ~]# sudo dd if=/dev/zero of=/dev/sdb bs=512 seek=133332992
dd: `/dev/sdb': cannot seek: Invalid argument
0+0 records in
0+0 records out
0 bytes (0 B) copied, 0.0059832 s, 0.0 kB/s
[root@ACERTM291LCI ~]#

[abate]

@Uomo_Senza_Sonno ho impartito questi due comandi sulla pen drive, ma non riesco a fare lo zero-filling:

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sdb bs=512 count=62 seek=1

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sdb bs=512 seek=133332992

Mi dice:

Codice: Seleziona tutto

dd: `/dev/sdb': cannot seek: Invalid argument
0+0 records in
0+0 records out
0 bytes (0 B) copied, 0.00274061 s, 0.0 kB/s

Dove ho sbagliato?

[abate]

Su gestione dischi mi ha dato un messaggio d'errore indicando i cilindri della pen drive. Allora ho provato:

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sdb bs=512 seek=7966656

e sembra che abbia funzionato.

Ma dove le trovo queste informazioni sui dispositivi rimovibili (tracce, settori, cilindri)? C'è qualche comando da shell da dare?

[Uomo_Senza_Sonno]

@Uomo_Senza_Sonno ho impartito questi due comandi sulla pen drive, ma non riesco a fare lo zero-filling:

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sdb bs=512 count=62 seek=1

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/sdb bs=512 seek=133332992

Mi dice:

Codice: Seleziona tutto

dd: `/dev/sdb': cannot seek: Invalid argument
0+0 records in
0+0 records out
0 bytes (0 B) copied, 0.00274061 s, 0.0 kB/s

Dove ho sbagliato?

Prima di tutto, sarà bene che ti legga quest'articolo riguardante lo strumento dd, poi, per evitare di fare cose di cui ti puoi pentire, ricordati che dopo che dai il comando non si può tornare indietro, e che i dati non si potranno più recuperare.

Il motivo per cui lo zero filling non è andato a buon fine è che nel secondo comando hai dato da leggere dei settori che nel drive della penna non ci sono.
A conferma del fatto che il tuo secondo tentativo è andato a buon fine, ma non è questo il giusto modo di procedere.
Per eseguire uno zero filling dei drive è sufficiente il comando

Codice: Seleziona tutto

sudo dd if=/dev/zero of=/dev/<device> bs=512

dove al posto di device digiterai il nome del disco (sda, sdb, sdc e via discorrendo). Inserendo i parametri seek diciamo a dd di scrivere i settori da un certo settore in poi, il parametro count serve per far calcolare a dd quanti settori devono essere scritti dal settore che indichiamo con seek.

Ma dove le trovo queste informazioni sui dispositivi rimovibili (tracce, settori, cilindri)? C'è qualche comando da shell da dare?

Con il comando

Codice: Seleziona tutto

sudo sfdisk -l

trovi tutti i device collegati al pc, e tutti i dati relativi ai dischi, compresi i settori, i cilindri, il tipo di partizione. Tuttavia l'esatto numero di settori del disco riesci a leggerlo con un editor esadecimale per dischi, motivo per cui abbiamo utilizzato HxD per capire come è scritta la partizione del tuo disco. Ad ogni modo è meglio precisare che sono procedure da effettuare in via del tutto eccezionale, e che qualora si voglia affrontarla si deve essere pienamente consci del rischio che si corre nell'effettuarle.

[abate]

Grazie tanto per l'assistenza!

Mi andrò a leggere sicuramente quell'articolo.
Hai fatto bene a precisare, a beneficio mio e di tutti quelli che leggono il thread, che si tratta di procedure di carattere eccezionale anche perché bisogna avere la certezza del backup dei propri dati ed un piano B in caso di eventi malaugurati, come è successo a me dove lo zero-filling si è rivelato l'unica soluzione senza alternativa.
Un piano B sempre efficace è per me quello di avere nel disco una partizione dati separata da quelle di sistema ed una distribuzione Linux a portata di mano e possibilmente installata o almeno Live.

Un'ultima nota. Non è per piaggeria, ma ho riscontrato nel forum MLI molta disponibilità ed una professionalità non comune neanche in ambienti più spocchiosi.

Un grazie speciale @Uomo_Senza_Sonno, @farbix89, @Teitan (vi ho aggiunto come amici)!

Mi piacerebbe rimanere nell'orbita MLI. ...