James Axton
23-09-2009, 23:13
Ciao a tutti,
ho bisogno di un parere su una questione che mi ha tenuto impegnato per un po' e che non riesco a comprendere bene.
In pratica succede questo: un mese fa prendo, su un pc con installato XP SP2, un MBR virus, o comunque un trojan che permette la modifica del MBR.
Me ne rendo conto quando scopro che neppure la formattazione risolve; a digiuno in materia, mi aggiorno e scopro che tramite il comando fixmbr della console di ripristino di xp si riesce nella maggioranza dei casi ad eliminare l'intruso.
A confermare la mia ricostruzione interviene poi il fatto che il comando restituisce il messaggio di MBR non standard o non valido. In seguito per sicurezza provvedo ad uno zero-fill dell'MBR seguito da un'ulteriore format e adesso il sistema è pulito e stabile, come risulta da diverse scansioni, anche da vari rescue CD.
Tuttavia mi rendo conto, solo in seguito, che se entrando nuovamente in console di ripristino e digitando fixmbr mi viene sempre notificato che l'MBR è non standard o non valido.
In seguito apro un paio di applicazioni di monitoraggio dell'HD ed ecco cosa mi dicono.
HD TUNE
http://img147.imageshack.us/img147/2328/hdtune.jpg
CrystalDisk Info
http://img185.imageshack.us/img185/2544/crystaldiskinfo.jpg
Se interpreto bene il dato, REALLOCATED SECTOR COUNT dovrebbe far riferimento ai settori marchiati come danneggiati e che vengono dunque bypassati in fase di lettura/scrittura dei dati; inoltre, il valore migliore dovrebbe essere di 200, quindi 199 vuol dire che ne è danneggiato uno solo, mentre il valore raggiunto il quale l'HD è da considerarsi rotto è 140.
È corretto?
Ora mi chiedo: è possibile che questo dato sia stato modificato da un intervento poco ortodosso dell'MBR virus? Purtroppo negli ultimi tempi non avevo prestato attenzione a questo aspetto e quindi non so se il dato fosse preesistente all'infezione o meno.
Ancora più curioso è però che, ricorrendo ai WD Data Lifeguard Diagnostic, sia la scansione rapida che quella approfondita della periferica confermino l'assenza di qualsiasi errore sull'HD; addirittura persino i dati SMART sono considerati corretti.
http://img23.imageshack.us/img23/7113/wdtoolssmart.jpg
Infine, se eseguo chkdsk al riavvio del SO non trova problemi, mentre utilizzando il comando dal cd di installazione mi avverte che ci sono degli errori senza specificare altro (tuttavia non ho tentato di ripararli ancora).
Ribadisco che l'HD non presenta nessun tipo di problema (CRC in fase di trasferimento dati né altro).
Chi mi chiarisce un po' le idee? Devo considerare l'HD sano o preoccuparmi?
Chiedo scusa per la modalità verbosa, ho cercato di spiegare nel modo migliore una questione un po' cervellotica :)
ho bisogno di un parere su una questione che mi ha tenuto impegnato per un po' e che non riesco a comprendere bene.
In pratica succede questo: un mese fa prendo, su un pc con installato XP SP2, un MBR virus, o comunque un trojan che permette la modifica del MBR.
Me ne rendo conto quando scopro che neppure la formattazione risolve; a digiuno in materia, mi aggiorno e scopro che tramite il comando fixmbr della console di ripristino di xp si riesce nella maggioranza dei casi ad eliminare l'intruso.
A confermare la mia ricostruzione interviene poi il fatto che il comando restituisce il messaggio di MBR non standard o non valido. In seguito per sicurezza provvedo ad uno zero-fill dell'MBR seguito da un'ulteriore format e adesso il sistema è pulito e stabile, come risulta da diverse scansioni, anche da vari rescue CD.
Tuttavia mi rendo conto, solo in seguito, che se entrando nuovamente in console di ripristino e digitando fixmbr mi viene sempre notificato che l'MBR è non standard o non valido.
In seguito apro un paio di applicazioni di monitoraggio dell'HD ed ecco cosa mi dicono.
HD TUNE
http://img147.imageshack.us/img147/2328/hdtune.jpg
CrystalDisk Info
http://img185.imageshack.us/img185/2544/crystaldiskinfo.jpg
Se interpreto bene il dato, REALLOCATED SECTOR COUNT dovrebbe far riferimento ai settori marchiati come danneggiati e che vengono dunque bypassati in fase di lettura/scrittura dei dati; inoltre, il valore migliore dovrebbe essere di 200, quindi 199 vuol dire che ne è danneggiato uno solo, mentre il valore raggiunto il quale l'HD è da considerarsi rotto è 140.
È corretto?
Ora mi chiedo: è possibile che questo dato sia stato modificato da un intervento poco ortodosso dell'MBR virus? Purtroppo negli ultimi tempi non avevo prestato attenzione a questo aspetto e quindi non so se il dato fosse preesistente all'infezione o meno.
Ancora più curioso è però che, ricorrendo ai WD Data Lifeguard Diagnostic, sia la scansione rapida che quella approfondita della periferica confermino l'assenza di qualsiasi errore sull'HD; addirittura persino i dati SMART sono considerati corretti.
http://img23.imageshack.us/img23/7113/wdtoolssmart.jpg
Infine, se eseguo chkdsk al riavvio del SO non trova problemi, mentre utilizzando il comando dal cd di installazione mi avverte che ci sono degli errori senza specificare altro (tuttavia non ho tentato di ripararli ancora).
Ribadisco che l'HD non presenta nessun tipo di problema (CRC in fase di trasferimento dati né altro).
Chi mi chiarisce un po' le idee? Devo considerare l'HD sano o preoccuparmi?
Chiedo scusa per la modalità verbosa, ho cercato di spiegare nel modo migliore una questione un po' cervellotica :)