Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Boot.tidserv e MBR - che incubo !

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Re: Boot.tidserv e MBR - che incubo !

Messaggioda ferrux » mar gen 03, 2012 9:37 pm

Ciao sono sul treno adesso fra 1 ora circa vi posto le schermate delle tracce richieste nel frattempo vorrei sapere se dal settore 0 si e' visto nulla ciaooo
Avatar utente
ferrux
Aficionado
Aficionado
 
Messaggi: 55
Iscritto il: gio dic 29, 2011 11:41 pm

Re: Boot.tidserv e MBR - che incubo !

Messaggioda Uomo_Senza_Sonno » mar gen 03, 2012 10:23 pm

Si, il mbr sembra ancora infetto, ma dopo che avrò visto tutti i settori e postato gli offset potrai procedere per ripristinarlo completamente.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Boot.tidserv e MBR - che incubo !

Messaggioda ferrux » mar gen 03, 2012 10:40 pm

Ciao
nel solito link picasa ho appena postato i settori 62 e 63 spero siano molto utili :-)

Grazie ! :-)

Ferrux
Avatar utente
ferrux
Aficionado
Aficionado
 
Messaggi: 55
Iscritto il: gio dic 29, 2011 11:41 pm


Re: Boot.tidserv e MBR - che incubo !

Messaggioda ferrux » mar gen 03, 2012 10:59 pm

Ciao
nel solito link di Picasa, ho appena aggiunto le schermate con l'esito delle due scansioni effettuate con:

Live cd distro linux di Avira
l'ho scaricato dal sito ( non ho potuto aggiornare le firme perché mi chiedeva proxy )

Live cd distro linux G_DATA
l'ho scaricato dal sito, ha provato a scaricare le firme bypassando la richiesta proxy, ma alla fine quando
faceva ripartire l'engine si bloccava e quindi ho potuto fare la scansione solo con le firme disponibili di default 14.1.2009.

Entranti le scansioni hanno rilavato solo un virus KillApp che a quando mi sembra è stato gestito ( nel caso di G-DATA, non sembra dalla foto ma gli ho detto di correggere e se non ci riusciva di cancellare il file.

Spero le schermate siano utili, bye
Ferrux :-)
Avatar utente
ferrux
Aficionado
Aficionado
 
Messaggi: 55
Iscritto il: gio dic 29, 2011 11:41 pm

Re: Boot.tidserv e MBR - che incubo !

Messaggioda VincenzoGTA » mar gen 03, 2012 11:39 pm

Le immagini che hai postato non si vedono bene.
Ripostale in modo che i settori richiesti siano perfettamente leggibili.
Sotto sono indicati i settori che devono essere analizzati [;)]
62
63

390700799
390700800

390721967
390721968
Avatar utente
VincenzoGTA
Bronze Member
Bronze Member
 
Messaggi: 673
Iscritto il: mar ott 25, 2011 11:17 am

Re: Boot.tidserv e MBR - che incubo !

Messaggioda ferrux » mar gen 03, 2012 11:43 pm

ciao :-)
ho provato di nuovo ma... mi sembrano leggibili...

prova ad aprire ad esempio l'immagine 'settore 62'
poi sulla riga dove c'e' scritto .. 'condividi' - 'azioni' - accanto troverai la lente di ingrandimento, cliccala
e poi in alto a sinistra clicca sul segno + per ingrandire a piacimento.

Non ho ben capito cosa sono quei numeri:

390700799
390700800

390721967
390721968


Fammi sapere se riscontri problemi, spero di no :-) perché non potrò essere su quel computer prima di giovedì / venerdì :-)

Grazie
Ferrux
Avatar utente
ferrux
Aficionado
Aficionado
 
Messaggi: 55
Iscritto il: gio dic 29, 2011 11:41 pm

Re: Boot.tidserv e MBR - che incubo !

Messaggioda ferrux » mer gen 04, 2012 12:01 am

ciao
scusa la domanda 'idiota' che ti ho fatto...

quindi:

390700799
390700800

390721967
390721968

sono altri settori che dovevo invare vero ?

Se la risposta è si... non avevo ben capito e allora cercherò di averli domani sera via teleassistenza, nel fratempo spero che il 62 e 63
possano essere utili.

Grazie :-)
Avatar utente
ferrux
Aficionado
Aficionado
 
Messaggi: 55
Iscritto il: gio dic 29, 2011 11:41 pm

Re: Boot.tidserv e MBR - che incubo !

Messaggioda VincenzoGTA » mer gen 04, 2012 12:04 am

ferrux ha scritto:ciao :-)
Non ho ben capito cosa sono quei numeri:
390700799
390700800

390721967
390721968


sono gli altri settori di cui serve visualizzare le schermate

prova ad aprire ad esempio l'immagine 'settore 62'
poi sulla riga dove c'e' scritto .. 'condividi' - 'azioni' - accanto troverai la lente di ingrandimento, cliccala
e poi in alto a sinistra clicca sul segno + per ingrandire a piacimento.

si, va bene facendo così i settori sono leggibili [;)]
Avatar utente
VincenzoGTA
Bronze Member
Bronze Member
 
Messaggi: 673
Iscritto il: mar ott 25, 2011 11:17 am

Re: Boot.tidserv e MBR - che incubo !

Messaggioda ferrux » mer gen 04, 2012 12:34 am

ciao
ok per i settori mancanti, domani sera salvo imprevisti li recupero e li posto,
sono contento che il 62 e 63 sei riuscito a vederli pfiuuuuu :-)

Mi devo rileggere bene la sezione su come sovrascrivere i settori che immagino dovrà essere fatto a breve,
l'operazione mi ha un po' paura ma so di essere in ottime mani :-) Avete già la possibilità di fare donazioni Paypal ? ve lo meritate.

Grazie
Avatar utente
ferrux
Aficionado
Aficionado
 
Messaggi: 55
Iscritto il: gio dic 29, 2011 11:41 pm

Re: Boot.tidserv e MBR - che incubo !

Messaggioda Uomo_Senza_Sonno » mer gen 04, 2012 1:36 am

Come si vede, nel settore 62 c'è una copia del mbr; a questo punto voglio proprio vedere cosa c'è nel settore 390700800 e andiamo con l'azzeramento.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Boot.tidserv e MBR - che incubo !

Messaggioda ferrux » mer gen 04, 2012 12:12 pm

Ciao,
grazie per il prezioso aiuto :-)

Stasera dopo le 21 via sessione remota dovrei riuscire a catturare e postare i settori richiesti,
una curiosità tecnica... come si arriva a capire che sono proprio quelli sono i settori dove può annidiarsi il clone del settore zero ?

A più tardi, buona giornata.
Ferrux
Avatar utente
ferrux
Aficionado
Aficionado
 
Messaggi: 55
Iscritto il: gio dic 29, 2011 11:41 pm

Re: Boot.tidserv e MBR - che incubo !

Messaggioda ferrux » mer gen 04, 2012 7:24 pm

Ciao :-)

Ecco i settori extra richiesti:

https://picasaweb.google.com/109175126296685887586/MBREXTRASETTORI?authuser=0&feat=directlink
sulla riga dove c'e' scritto .. 'condividi' - 'azioni' - accanto troverai la lente di ingrandimento, cliccala e in alto a sinistra poi sul segno +
per ingrandire a piacimento.

Spero siano utili, rimando in attesa di buine info, spero :-)

Grazie.
Avatar utente
ferrux
Aficionado
Aficionado
 
Messaggi: 55
Iscritto il: gio dic 29, 2011 11:41 pm

Re: Boot.tidserv e MBR - che incubo !

Messaggioda ferrux » mer gen 04, 2012 7:35 pm

Già che sono sul pc in remoto in questo momento ho fatto girare MBR.EXE che mi dice:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: ST3200826AS rev.3.03 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 62 !
Avatar utente
ferrux
Aficionado
Aficionado
 
Messaggi: 55
Iscritto il: gio dic 29, 2011 11:41 pm

Re: Boot.tidserv e MBR - che incubo !

Messaggioda ferrux » mer gen 04, 2012 8:34 pm

aswMBR version 0.9.9.1120 Copyright(c) 2011 AVAST Software
Run date: 2012-01-04 20:28:02
-----------------------------
20:28:02.328 OS Version: Windows 5.1.2600 Service Pack 3
20:28:02.359 Number of processors: 1 586 0x2F02
20:28:02.359 ComputerName: NOME-80B5784770 UserName: HP_Proprietario
20:28:03.687 Initialize success
20:30:05.968 AVAST engine defs: 12010401
20:30:21.140 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
20:30:21.140 Disk 0 Vendor: ST3200826AS 3.03 Size: 190782MB BusType: 3
20:30:23.171 Disk 0 MBR read successfully
20:30:23.171 Disk 0 MBR scan
20:30:23.187 Disk 0 unknown MBR code
20:30:23.187 Disk 0 Partition 1 00 0C FAT32 LBA RECOVERY 6142 MB offset 63
20:30:23.203 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 184629 MB offset 12579840
20:30:23.218 Disk 0 scanning sectors +390700800
20:30:23.281 Disk 0 scanning C:\WINDOWS\system32\drivers
20:30:39.671 Service scanning
20:30:41.093 Modules scanning
20:30:48.781 Scan finished successfully
20:31:04.578 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\HP_Proprietario\Desktop\MBR.dat"
20:31:04.593 The log file has been saved successfully to "C:\Documents and Settings\HP_Proprietario\Desktop\aswMBR.txt"
Avatar utente
ferrux
Aficionado
Aficionado
 
Messaggi: 55
Iscritto il: gio dic 29, 2011 11:41 pm

Re: Boot.tidserv e MBR - che incubo !

Messaggioda ferrux » mer gen 04, 2012 8:54 pm

Gia che sono in remoto ne ho approfittato e ho fatto girare anche il tool:

Kaspersky Virus Removal Tool setup_11.0.0.1245.x01_2012_01_04_14_33

attivando tutte le voci mi da questi due risultati, non se sono utili, per il momento ho lasciato il default e cioè SKIP, l'immagine qui:
https://picasaweb.google.com/1091751262 ... directlink

Spero possa servire,
Ciao :-)
Ferrux
Avatar utente
ferrux
Aficionado
Aficionado
 
Messaggi: 55
Iscritto il: gio dic 29, 2011 11:41 pm

Re: Boot.tidserv e MBR - che incubo !

Messaggioda hashcat » mer gen 04, 2012 8:59 pm

ferrux ha scritto:Gia che sono in remoto ne ho approfittato e ho fatto girare anche il tool:

Kaspersky Virus Removal Tool setup_11.0.0.1245.x01_2012_01_04_14_33

attivando tutte le voci mi da questi due risultati, non se sono utili, per il momento ho lasciato il default e cioè SKIP, l'immagine qui:
https://picasaweb.google.com/1091751262 ... directlink

Spero possa servire,
Ciao :-)
Ferrux

Nessuno dei due sembra essere pericoloso.
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Boot.tidserv e MBR - che incubo !

Messaggioda Uomo_Senza_Sonno » mer gen 04, 2012 11:13 pm

ferrux ha scritto:Stasera dopo le 21 via sessione remota dovrei riuscire a catturare e postare i settori richiesti

Perfetto, procediamo con l'azzeramento.
In primo luogo tieni da parte il cd di windows, ci servirà alla fine, e come prima cosa riprendi da questa parte l'articolo; quando procedi con la selezione del blocco devi inserire nel campo inizio e fine i sottostanti seguenti valori:

Settori 1-62 (estremi inclusi): nel campo inizio inserisci 200, nel campo fine 7DFF;
Settori 390700800-390721968 (estremi inclusi): nel campo inizio 2E933E0200, nel campo fine 2E93E35FFF;

Dopo aver effettuato l'azzeramento salva tutto, riavvia il pc con il cd di windows ed accedi alla console di ripristino ed esegui i comandi fixboot e fixmbr, confermando ogni volta l'operazione.

ferrux ha scritto:una curiosità tecnica... come si arriva a capire che sono proprio quelli sono i settori dove può annidiarsi il clone del settore zero ?

I rootkit per rimanere invisibili agli antivirus, e per non essere eliminati rapidamente vanno a scrivere il proprio codice al di fuori del filesystem. In questo modo qualsiasi tool di rimozione operante nel SO può nel caso rimuovere il driver che origina l'infezione, ma questa rimozione è solo temporanea in quanto il codice presente all'esterno del partizionamento è pronto a reinfettare il sistema; ecco perché azzerando (in pratica stiamo riscrivendo con una serie di zeri ogni byte dei settori esterni al filesystem) questi settori eliminiamo definitivamente la minaccia e solo con un editor esadecimale si può evincere tutto ciò.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Boot.tidserv e MBR - che incubo !

Messaggioda ferrux » gio gen 05, 2012 12:09 am

Ciao :-)

Adesso devo cercare di capire proprio bene cosa fare,
mi leggero e rileggerò di nuovo l'ariticolo segnalato perché un errore in questa fase potrebbe essere fatale :-(
non vorrei oltre a non rendere boostrappabile il pc, cancellare programmi o aree dati dell'hard disk.
---
Mi devi scusare, davvero, per le domande 'banali' ma devo fugarmi tutti i dubbi che al momento ho sennò non riesco a procedere alla cieca:

- questa operazioni che mi dici di fare servono per azzerare la traccia 0 e la traccia 62, immagino, confermi ?
- quando mi dici di scrivere: 'Settori 1-62 (estremi inclusi): nel campo inizio inserisci 200, nel campo fine 7DFF'
intendi settore 1 e settore 62 oppure dal settore 1 al settore 62 ?
idem per:
'Settori 390700800-390721968' (estremi inclusi): nel campo inizio 2E933E0200, nel campo fine 2E93E35FFF;
intendi 2 settori settori o tutti quelli del range ? Se fosse così non andrebbo a intaccare aree dati ? Boh.

Scusa per la noiosa email 'newbie' ma mi comprenderai :-)

Grazie 1000 per il supporto e ... la pazienza :-)
Ferrux
Avatar utente
ferrux
Aficionado
Aficionado
 
Messaggi: 55
Iscritto il: gio dic 29, 2011 11:41 pm

Re: Boot.tidserv e MBR - che incubo !

Messaggioda ferrux » gio gen 05, 2012 10:07 am

Ciao
oggi pomeriggio dovrei essere sul pc infetto e mi preparerò per l'operazione chirurgica :-)
Seguiro i passi che mi hai detto, se hai la possibilità, per cortesia :-) , fammi sapere che ne pensi in merito al mio post precedente :-)

Una curiosità tecnica, cosa succederebbe se si facesse solamente:

- un azzeramento della traccia 62 ( è li il duplicato vero ? )
- un fixboot da recovery console
- un fixmbr da recovery console

Grazie e buona giornata.
Ferrux
Avatar utente
ferrux
Aficionado
Aficionado
 
Messaggi: 55
Iscritto il: gio dic 29, 2011 11:41 pm

Re: Boot.tidserv e MBR - che incubo !

Messaggioda VincenzoGTA » gio gen 05, 2012 10:08 am

Mi devi scusare, davvero, per le domande 'banali' ma devo fugarmi tutti i dubbi che al momento ho sennò non riesco a procedere alla cieca:

Fai benissimo, quando non si è sicuri, è sempre bene chiedere [^]

Dunque, devono essere azzerati i settori che vanno dall' 1 (uno compreso) fino al 62 (62 compreso)
per fare ciò, apri il disco in scrittura e dal menù Edit scegli Seleziona blocco.
nella finestrella che si apre, controlla che sia selezionata la casella hex ed immetti i valori:

INIZIO 200
FINE 7DFF

Quindi dal menu Edit stavolta scegli Riempimento selezione, nella finestrella lascia tutto com' è e clicca su
Azzera byte.
I settori dall' uno al 62 sono azzerati.

rifai la stessa procedura stavolta con i valori:

INIZIO 2E933E0200
FINE 2E93E35FFF

per azzerare i settori dal 390700800 al 390721968

Dopo aver effettuato l'azzeramento salva tutto, riavvia il pc con il cd di windows ed accedi alla console di ripristino ed esegui i comandi fixboot e fixmbr, confermando ogni volta l'operazione.
Avatar utente
VincenzoGTA
Bronze Member
Bronze Member
 
Messaggi: 673
Iscritto il: mar ott 25, 2011 11:17 am

PrecedenteProssimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising