www.MegaLab.it

[Uomo_Senza_Sonno]

Seguiro i passi che mi hai detto, se hai la possibilità, per cortesia :-) , fammi sapere che ne pensi in merito al mio post precedente :-)

In questi giorni sono molto impegnato e ieri ero veramente distrutto, rispondo adesso anche se Vincenzo ha già dato la risposta a quanto chiedi

intendi settore 1 e settore 62 oppure dal settore 1 al settore 62 ?

Dal settore 1 al 62, non solo i due settori, gli offset che ti ho indicato selezionano un blocco che va dalla prima byte del settore 1 all'ultimo byte del settore 62, la stessa cosa per la selezione dei blocchi 390700800-390721968'

Se fosse così non andrebbo a intaccare aree dati ?

Non si va ad intaccare i dati perché stiamo azzerando settori fuori dalla partizione di windows

Una curiosità tecnica, cosa succederebbe se si facesse solamente:

- un azzeramento della traccia 62 ( è li il duplicato vero ? )
- un fixboot da recovery console
- un fixmbr da recovery console

Di copie del mbr ne hai due, una nel settore 62 e una nel settore 390700800, mentre delle parti del rootkit se ne vede nel settore 1 e nel settore 390700801... se azzeriamo solo alcuni settori (cosa che si può fare benissimo, basta cambiare gli offset da inserire nella selezione blocco) in un caso come il tuo rischiamo di fare una pulizia parziale e non risolutiva.
Se hai altri dubbi chiedi, siamo qui per questo

[ferrux]

ok grazie a tutti,
il vs. lavoro/hobby è encomiabile ! Merita una donazione e alla fine di questo incubo sicuramente la farò.

Dovrei aver capito tutto, poi me lo rileggo con calma :-) ma penso che ci siamo :-)

Generalmente parlando, avendo in commercio vari hard disk con varie dimensioni di GByte:
- come si fa a scoprire dove inizia il primo settore di inizio il file system ?
- dal settore 0 al 61 c'e' sempre e solo l'area di boot ?
- Windows quando installa i programmi e quando si copiano manualmente dati su disco rigido vanno sempre a finire nel perimetro del file system ?
- Quanti settori ci sono (zero compreso) prima di arrivare al primo settore che identifica l'inizio del file system ?
- I settori dopo la fine dello spazio del file system sono da considerarsi 'spazio non allocato' e servono per creare nuove partizioni ?

Grazie :-)

[Uomo_Senza_Sonno]

- come si fa a scoprire dove inizia il primo settore di inizio il file system ?

Si deve leggere la tabella di partizione, non c'è un valore fisso perché a seconda della dimensione del disco e del SO (oltre al mio articolo, leggi quest'altro, ti aiuterà molto);

dal settore 0 al 61 c'e' sempre e solo l'area di boot ?

nel settore 0, e solo in questo settore è scritto il bootloader e il mbr;

Windows quando installa i programmi e quando si copiano manualmente dati su disco rigido vanno sempre a finire nel perimetro del file system ?

Windows scrive sempre all'interno della partizione, in maniera più o meno ordinata

I settori dopo la fine dello spazio del file system sono da considerarsi 'spazio non allocato' e servono per creare nuove partizioni ?

No, sono settori che devono rimanere vuoti e se guardi bene è lo spazio minimo che windows lascia quando partizioni per la prima volta il disco.

[ferrux]

Ciao
ho appena finito le prove, mi sono attenuto scrupolosamente alla vs. procedura:

ho scelto e azzerato i blocchi:

INIZIO 200
FINE 7DFF

INIZIO 2E933E0200
FINE 2E93E35FFF

Ho salvato, fatto ripartire il pc in console di ripristino e ho digitato i comandi fixboot e fixmbr, confermando ogni volta l'operazione
e sono andati a buon fine senza errori.

Facendo ripartire il pc e controllando i 2 blocchi di settori continuano ad essere azzerati, tuttavia dopo qualche minuto dal boot
RIAPPARE la solita segnalazione di Norton !!! :-(

Faccio di nuovo fixboot e fixmbr e poi vi posto la traccia zero, sono su questo ancora una paio di ore e poi tornerò domani qui.

Ciao
Ferrux

[Uomo_Senza_Sonno]

Hai altri dischi collegati al pc?

[ferrux]

No, ho un solo hard disk nel pc.

[ferrux]

Questo è il settore zero dopo la vs. procedura:
http://imageshack.us/photo/my-images/80 ... razio.jpg/

E ora che si fa ? :-)
Ciao
Ferrux

[Uomo_Senza_Sonno]

E ora che si fa ? :-)

Prova il tool indicato in quest'articolo, seguendo ovviamente i punti passo-passo

[ferrux]

Il settore zero è ok ? Peccato che l'operazione chirurgica non ha risolto, riponevo molta speranza in questa fase :-(
Questo rootkit è davvero terribile !

Ciao e grazie.

[Uomo_Senza_Sonno]

Sembra di no, a me sembra che ci sia qualcosa che l'abbia reinstallato... possibile che il norton abbia qualcosa in quarantena? Se proprio non se ne vuole andare, uno zerofilling è inevitabile... e dovrai riniziare da capo (ovviamente prima faremo il backup di tutto), ma teniamocelo come ultima risorsa.

[VincenzoGTA]

Non è che ci sono chiavette o schede di memoria attaccate al pc?

[ferrux]

Macchè nemmeno quelle :-( c'e' solo un hard disk installato
dopo il boot di xp entro 2,3 minuti al massimo viene fuori la solita schermata di Norton che segnala il virus, ma dove cavolo si annidia
questo malefico... non so più dove sbattere la testa :-(

[Uomo_Senza_Sonno]

Per me il norton ha messo in quarantena il file sorgente, e da li è rimasto attivo e pronto a infettare nuovamente il pc. Prova con il bootkit remover, e fai un nuovo controllo con i rescue disk.

[ferrux]

Sembra di no, a me sembra che ci sia qualcosa che l'abbia reinstallato... possibile che il norton abbia qualcosa in quarantena? Se proprio non se ne vuole andare, uno zerofilling è inevitabile... e dovrai riniziare da capo (ovviamente prima faremo il backup di tutto), ma teniamocelo come ultima risorsa.

forse qualche drive nascosto ? o chissà cosa !!!
:-/

[ferrux]

Ciao
sto cercando il progrmma killer della eset, questo link però sembra non aggiornato:
http://www.esagelab.com/resources.php?n ... ss_remover

Per caso lo avete sul sito nella suite delle utility oppure su qualche link akternativo ?
Grazie.

[ferrux]

Per me il norton ha messo in quarantena il file sorgente, e da li è rimasto attivo e pronto a infettare nuovamente il pc. Prova con il bootkit remover, e fai un nuovo controllo con i rescue disk.

ciao
non riesco a trovare 'bootkit remover' dal sito esage il link è defunto, hai mica un link alternativo ?

Grazie

[Uomo_Senza_Sonno]

Scaricalo da qui
In più, fai un controllo con quest'altro tool: salvalo in C:\, poi fai due click e attendi un secondo, verrà generato un log chiamato mbr.log, postalo per cortesia.

[ferrux]

ok lo farò :-)
volevo provare anche il 'TDSS Remover' ma dalla pagina esage non c'e' più
avresti un link alternativo ?

Oggi pomeriggio sarò sul pc infetto, ciao e grazie.

[Uomo_Senza_Sonno]

No, purtroppo quello non l'avevo da parte e non lo posso ricaricare.

[Sabbb]

Ci ho pensato io :eccolo Link