[L'angolo del paranoico] Ora posso "fidarmi" del mio sistema?

[firefox88]

Salve a tutti,

ho due partizioni di sistema (vista e xp) e un hard disk per i dati.
Senza scendere troppo nei particolari, mentre lavoravo con XP l'ho bruciato facendo doppo click su un eseguibile malevolo.
L'antivirus è rimasto impassibile, e dal momento che non mi fido dei meccanismi di rimozione più o meno rocamboleschi ho formattato tutto (anche la partizione vista).
L'unica cosa che non me la sento di formattare è l'hard disk dei dati.
Quello che voglio chiedervi è: posso fidarmi di quell'hard disk? Ho già controllato, non c'è più l'autorun.inf e l'eseguibile del virus (li ho rimossi con un live cd), ma se il boot record fosse infetto? Ci sarebbero guai per il mio nuovo sistema "pulito"? Come faccio a controllare il boot record di quel disco?

Grazie!

[bootzenn]

ciao

per essere più precisi potresti dire da cosa sei stato infettato e come hai rimosso i file.
cmq in generale puoi stare tranquillo, con un sistema pulito (visto che hai appena formattato) fai una scansione dell'hd dati. kaspersky se ricordo bene controlla anche i mbr

[firefox88]

Originariamente inviato da bootzenn
ciao

per essere più precisi potresti dire da cosa sei stato infettato e come hai rimosso i file.
cmq in generale puoi stare tranquillo, con un sistema pulito (visto che hai appena formattato) fai una scansione dell'hd dati. kaspersky se ricordo bene controlla anche i mbr

Non mi fido degli antivirus perché quando sono stato infettato il mio NOD32 è rimasto impassibile.

E' andata così:
ho due partizioni, una VISTA (x64) e una XP. Nella partizione Vista lavoro come utente non privilegiato, in quella XP che uso per lavorare con alcuni programmi vecchiotti o non compatibili sono amministratore.
Ho lanciato un eseguibile maledetto su XP che ha infettato il sistema. Come al solito questo è dimostrazione del fatto che il software va preso da fonti attendibili...
Lasciando perdere le circostanze dell'infezione, il risultato è stato un sistema XP inutilizzabile e l'antivirus sempre sereno e rilassato... Il virus mi ha seminato file boot.com e autorun.inf in tutte le partizioni di tutti i dischi, e ha fatto un milione di altre cose spiacevoli.

Risultato? Ho formattato l'hard disk con VISTA e XP, e nel mio disco "DATI" ho rimosso autorun.inf e boot.com
Ma... se permetti nutro ancora dei dubbi
Il disco "DATI" è pulito, ma se ci fosse qualcosa nel suo boot record? Un virus del genere potrebbe fare danni anche se il disco non è di avvio?

Grazie

[Deifobe]

Originariamente inviato da firefox88
ma se il boot record fosse infetto?

senza fare ricerche sull'infezione, se c'era un autorun più che altro dovresti controllare anche le unità removibili con memoria, se ne hai (HD esterni, pen drive ecc ecc)



x controllare il master boot record puoi usare mbr.exe:

scarica in c:\ mbr.exe, disattiva l'antivirus
start => esegui => digita: c:\mbr.exe
riattiva l'antivirus e posta il rapporto che trovi in c:\

[firefox88]

Grazie dei consigli!

Ho eseguito mbr.exe da XP perché su Vista 64 non gira.

Al di là di questo... Quale MBR controlla l'utility? Quello del disco di sistema (in tal caso non mi serve), quello di tutti i dischi, o quello del disco sul quale è copiato?

Grazie

[Deifobe]

non ho mai avuto un caso simile... (dubbio su disco dati, intendo)

- legge il master boot record del disco contenente il SO

(ah, vista è immune...)

- ....si, che io sappia, è possibile che l'infezione si trasferisca da un disco all'altro (cioè a tutti i dischi collegati) ma non so dirti se c'è un modo per verificarlo (trasferendo mbr.exe credo che leggeresti comunque il master boot record del disco primario)

- l'importante, comunque, è ripulire l'mbr del disco contenente il SO (è li' che è attivo)

- ma, visto che hai fatto la prova eseguendo l'exe su XP, se il rapporto è uscito pulito allora non vedo quale problema ti poni

[amvinfe]

scusate la mia intromissione.

Io non credo assolutamente si tratti d'una infezione causata da un rootkit che infetta il MBR, per intenderci MedBot, non avresti avuto sicuramente quel tipo di infezione e soprattutto con quel tipo di file.

Altra considerazione importante è che un antivirus come il Nod32 non si lascia "scappare" un malware del genere, insieme al Norton è stato quello che prima ha rilasciato a suo tempo le impronte virali.

Scritto questo io mi preoccuperei invece, come sostiene anche Deifobe, di verificare se altri dispositivi removibili quali pen-drive, ad esempio, non possano essere causa di future infezioni.



Tolgo il disturbo

Ciao

[firefox88]

Ragazzi avete ragione, è inutile farsi troppi problemi.

È che eventi del genere mi capitano di rado, non custodisco segreti militari sul PC ma non sopporto l'idea che sul mio computer accadano cose fuori dal mio controllo

Grazie per i consigli e le utility!!

[Deifobe]

Originariamente inviato da firefox88
Ragazzi avete ragione, è inutile farsi troppi problemi.

beh, il titolo già la diceva lunga.....

non è tanto il farsi problemi inutili ma il fatto (un po' più certo) che poco c'entri il MBR rootkit con l'infezione che avevi tu (per questo ti avevo scritto che, anche senza fare ricerche, già sapevo che c'erano da controllare le usb...)

Quelle con gli autorun "amano trasmettersi" via dispositivi removibili e infettano tutti i dischi/partizioni di un sistema.

se hai una pen, ad esempio, e l'hai collegata al tuo pc, questa si sarà infettata. Collegandola ad un pc pulito, lo infetteresti... e qualsiasi pen pulita collegata a quel pc si infetterebbe anch'essa.... non so se mi sono spiegata bene (e tutto questo nulla c'entra il rootkit dell'MBR... Tra l'altro, viene ripulito in un modo completamente diverso... sono due problemi assoltamente diversi...)

Il fatto che ci cia stato un file di nome boot.com, non lo vedo indicativo... (e non credo abbia nulla a che vedere con il boot.ini, insomma....)

Qualche ricerca per farti capire meglio...
Se guardi qui, ad esempio, oppure qui (html.it) te ne rendi conto... quindi mi sa che anche il tuo boot.com probabilente si trovava in C\resycled

resta inteso che hai il diritto di preoccuparti (male non è stato..) e, anche solo volendo fare un controllo, direi che se l'mbr è ok, allora sono ok tutti i dischi e i dispositivi che sono stati collegati al pc (parlando del mbr rootkit )

ciao, buona giornata