@ HappyPerson, nice to see you here;-)
It is funny but you won't learn a good italian by following some threats:-))
Rest assured LOL
@ Vany@, sono anni forse una quindicina che aiuto il prossimo a rimettere a posto i propri computer, quandi forse qualcosa l'ho imparata nel frattempo, e sì ho anche voluto provare su alcuni sistemi infetti il ReguRun Reanimator e il risultato è stato il fallimento totale.
Qui si tratta di aiutare chi è in difficoltà fornendo indicazioni plausibili e non di viaggiare con l'immaginazione.
Dalla discussione trovata da faber nel forum di megalab si evince:
Vorrei far notare che se il partizionamento avviene sotto Windows è inutile persino fare una formattazione completa. Il processo di partizionamento, infatti, lascia sempre dei settori "vuoti", inutilizzati, alla fine del disco. Persino il ripartizionamento potrebbe essere perfettamente inutile. Per cui, per come la vedo io, se neppure il tool apposito per rimuovere questo malware funziona l'unico modo è aprire il disco fisico con questo procedimento e modificare i settori manualmente. Una soluzione potrebbe essere quella che viene erroneamente definita formattazione a basso livello e quella che viene più precisamente definita reinizializzazione del disco. La formattazione a basso livello è un procedimento fisico fatto in fabbrica dove vengono fisicamente preparati i settori per accogliere i dati in arrivo. La reinizializzazione, invece (tecnicamente chiamata zero-filling) è un procedimento logico (relativamente semplice) per cui un disco viene riempito di pattern predefiniti (che so, AA, 44, 55, FF per ogni byte, oppure pattern come AA44 o 55FF ogni gruppo di due byte, o anche solo con zeri) che distruggono qualsiasi cosa si trovi sul disco, compresi i rootkit. Il pregio innegabile è che nulla sopravvive; il difetto è esattamente lo stesso. Quindi dopo lo zero-filling si deve ripartizionare, riformattare e reinstallare il sistema operativo.
Un modo molto semplice per farlo in GNU/Linux è usando dd:
Codice:
dd if=/dev/zero of=/dev/sda bs=512
Non vi è inoltre menzione al RegRun Reanimator, eppure megalab.it è il forum dove sono attivi i maggiori esperti di sicurezza italiani
Senza contare che la procedura che indichi si applica a sistemi DOS 6.22/Win9x/Me (FDISK /MBR)
http://support.microsoft.com/kb/69013/it
Le informazioni in questo articolo si applicano a
* Microsoft MS-DOS 6.22 Standard Edition
* Microsoft Windows 95
* Microsoft Windows 98 Standard Edition
* Microsoft Windows Millennium Edition
In Windows XP va usata la consolle di ripristino di emergenza (che comporta il possesso del CD originale di XP e non quello di ripristino che è cosa diversa) e da lì si può tentare con "fixmbr" (se il file system è NTFS) o "fixboot" (se il file system è di tipo FAT32)
Sono tutte procedure che non possono essere applicate se il sistema è infetto.
(E' tutto documentato dalla Microsoft)
Quindi Faber: ribadisco, le MBR Rootkit non si possono facilmente eliminare, non certo con strumenti convenzionali e ripeto, tanto meno hanno a che fare col registry visto che intaccano un settore importantissimo del disco rigido.
Generalmente gli strumenti usati sono i tool che ho indicato con l'ausilio di Avenger e di script preparati manualmente da esperti.
Come conseguenza non ti resta che usare il CD di ripristino, visto che è una situazione di emergenza, se hai delledelle foto o dei documenti cui tieni in modo particolare salvali su qualche CD (non trasferire prgrammi ed altri eseguibili: sono sicuramente e irrimediabilmente infetti) quindi procedi col ripristino della immagine del sistema.
Oppure chiedi soccorso agli esperti di megalab.
Nulla ti vieta di seguire i consigli di Vany@, ci mancherebbe, anche io li seguirei se avessi tempo da perdere o amassi correre il rischio di danneggiare definitivamente il computer LOL
Inoltre Vany@, se faber avesse tenuto particolarmente a quel computer, non avrebbe aspettatto tutto questo tempo per tentare di metterlo a posto.
Come indicato da faber stesso nel primo post ero stato messo al corrente del problema in via privata e - aggiungo -da circa un mesetto.
Io piuttosto non capisco, come mai Vany@, prendi discussioni relative programmi sul lato personale e non contento accusi il prossimo di non aver letto, davvero, non capisco.
Un saluto a tutti;-)
