domanda scema - Bios infetto?

[Cavallaudo]

Domanda probabilmente scema, ma un bios di un computer desktop puo essere infetto o comunque settato per installare uno o piu programmi malevoli ogni volta che si reinstalla e repartiziona il pc?

[Cavallaudo]

Se aggiorno il bios della scheda madre, il bios viene riscritto da 0 quindi se esiste un problema del genere si risolve, no?

[Cavallaudo]

Non ci sono modi per testare se il bios ha davvero qualcosa di anomalo? antivirus o antyspyware che controllino anche il bios della scheda madre?

[bobafetthotmail]

non conosco nessun virus che infetti il BIOS. è possibile ma non mi pare molto usato (è un casino da fare perchè flasharsi nel BIOS dipende da come gestisce la cosa la scheda madre).

è più probabile un virus nel MBR, di quelli ne ho visti. Pialla il disco con un programma che cancelli anche il MBR.
questo gira da un CD linux (lo fai girare direttamente sul PC infetto, e i dischi vengono formattati completamente) http://sourceforge.net/projects/dban/

[Cavallaudo]

Quote:

Originariamente inviato da deepdark

Credo di no, ma forse sarebbe meglio spiegarci i sintomi, magari il problema è altrove, sei la prima persona che da quasi con certezza l'infezione del bios.

Si tratta di un pc di una ragazza, il cui ormai ex marito ha avuto sottomano finche abitavano assieme.

Me lo ha dato da formattare perche impestato di spyware, keylogger e cazzi vari.

Ho preso e con win7 64bit messo su una pennetta usb, ho piallato tutte le partizioni e poi reinstallato da 0 su partizione nuova...

ho installato avg antivirus free prima di connetterlo a internet, appena connesso ho fatto tutti gli upgrade di windows update sia critici che non e ho configurato programmi e utility.

ridato indietro il pc spiegandole di non aprire allegati in email, messenger etc...

nemmeno una settimana e mi dice che l'ex non solo pare sapere cosa lei scrive e non scrive sul pc, ma per dimostrarle che la controlla le ha detto una pass da scrivere sul desktop, non appena l'ha scritta e apparso "all in one keylogger"... lei lo ha subito disinstallato (una volta inseirta la pass si puo disintallare), ma lui sostiene che ha anche altra merda installata e che formattare e ripartizionare non serve a nulla, ogni volta ti ritrovi la roba che ha messo nel pc reinstallata automaticamente...

lei sostiene di non aver aperto nessun file, men che meno mandato dall'ex.

e che il suo ex sostiene di aver messo qualcosa nel bios della scheda madre e nell'hd...

ora non so quanto sia vero tutto questo, pero io il pc gliel'ho dato pulito con le partizioni vecchie TUTTE cancellate tramite install di windows.

ho contattato quelli di all in one keylogger e dicono che non e possibile installare il loro programma nel bios e che serve accesso fisico al pc.

mi han consiglaito di installare firewall, settare con pass il pannello del firewall e autorizzare solo i programmi "ok" a connettersi ad internet,cosi pure se ci sono altri keylogger dovrebbero non essere in grado di inviare tramite internet i log...

appena posso lo faccio, ma intanto ho aperto questo topic per capire meglio se quel che dice l'ex e' vero o no e come regolarmi la prossima volta che devo sistemare sto benedetto computer a sta ragazza.

[Cavallaudo]

Quote:

Originariamente inviato da bobafetthotmail

non conosco nessun virus che infetti il BIOS. è possibile ma non mi pare molto usato (è un casino da fare perchè flasharsi nel BIOS dipende da come gestisce la cosa la scheda madre).

è più probabile un virus nel MBR, di quelli ne ho visti. Pialla il disco con un programma che cancelli anche il MBR.
questo gira da un CD linux (lo fai girare direttamente sul PC infetto, e i dischi vengono formattati completamente) http://sourceforge.net/projects/dban/

Capisco, grazie... e' un ssd, non cambia nulla, no?

si anche a me suona strano qualcosa riguardo il bios... comunque per sicurezza vedro di resettare i settaggi e di upgradare il bios, male non fa.

poi usero il programma da te linkato per piallare l'ssd.

[bobafetthotmail]

ma una denuncia penale a questo tizio no?

Controlla che non ci siano componenti hardware sospette.

Ma qui mi pare che il fesso abbia ancora le chiavi di casa della tipa o cose semplici così.

[*aLe]

Quote:

Originariamente inviato da Cavallaudo

nemmeno una settimana e mi dice che l'ex non solo pare sapere cosa lei scrive e non scrive sul pc, ma per dimostrarle che la controlla le ha detto una pass da scrivere sul desktop, non appena l'ha scritta e apparso "all in one keylogger"... lei lo ha subito disinstallato (una volta inseirta la pass si puo disintallare), ma lui sostiene che ha anche altra merda installata e che formattare e ripartizionare non serve a nulla, ogni volta ti ritrovi la roba che ha messo nel pc reinstallata automaticamente...

Se è vero quello che lui ha detto (e se lei ha modo di provare che gliel'ha detto), ci sono quasi (anche senza 'quasi' mi sa) gli estremi per farlo finire seriamente nei guai.

Comunque penso anche io sia un rootkit MBR a 'sto punto, prova a vedere qui se trovi qualcosa di utile: http://www.hwupgrade.it/forum/showthread.php?t=1715546

In alternativa prova a fare come hai detto tu: flasha il BIOS (a 'sto punto io non userei l'utility per Windows ma andrei direttamente con l'utility avviabile messa a disposizione dalla casa produttrice, if any) e poi distruggi completamente tutti i dati che ci sono sul disco.
Fosse stato un disco meccanico ti avrei detto di riempirlo completamente di zeri (o di qualche altro dato pseudo-random) per due o tre passate, ma non credo questa procedura valga anche per gli SSD (che io sappia è il loro controller che "decide" dove scrivere i dati). Comunque, se ti hanno consigliato DBAN, puoi provarlo.

[Cavallaudo]

interessante quella pagina sui rootkit mbr ma faccio prima a piallare tutto tramite dban, no?

anche io presumo sia improbabile che abbia riscritto il bios, comunque lo resetto e poi lo aggiorno ad un bios piu recente, tramite bios interno senza passare da windows.

inoltre installero subito zone alarm e settero io tutti i permessi, mettendo pass per aggiungerne altri, cosi pure se ci sara di nuovo keylogger dovrebbe non essere in grado di accedere ad internet... laltra volta non ho messo su il firewall credendo non fosse necessario...

[Cavallaudo]

leggendo meglio dban non supporta gli ssd, a favore del nuovo progetto a pagamento dello sviluppatore di dban, che li supporta ma costa dineri, lol...

pare che si possa fare tramite windows 7 da console dos:

http://www.sevenforums.com/tutorials...t-command.html

che dite basta per cancellare TUTTO dall'hd incluso mbr?

[Cavallaudo]

utility gratuita per scansionare il mbr

http://public.avast.com/~gmerek/aswMBR.htm

fatta sul mio pc, e' a posto

effettivamente leggendo sti virus da mbr sono fatti per infettare il sistema e fare da entrata ad altri malware e spyware...

d'ora in poi piallero SEMPRE il mbr non sol ole partizioni prima di reinstallare il sistema operativo.

[l.dm]

Quote:

Originariamente inviato da Cavallaudo

lei sostiene di...

SE tu sei sicuro di aver fatto le cose per bene, ALLORA ha fatto lei qualche cappella magari inconsapevolmente senza accorgersene

che l'ex sia uno dei pochi al mondo in grado di:
- prima di tutto recuperare un virus per mbr o addirittura bios FUNZIONANTE
- che sappia maneggiare un virus del genere
secondo me è fantascienza!

comunque se succede di nuovo, dille di registrare la telefonata o tenere i log dove l'ex dichiara di spiarla, e denunciatelo.

[Cavallaudo]

Io l'unica cosa che avrei potuto fare e non ho fatto e il firewall, adesso quando riformatto installero comodo firewall e lo settero per tutte le applicazioni che usa lei e poi settero con pass le modifiche ai settaggi del firewall e ogni tanto da remoto usando teamviewer verifichero che non appaiano programmi strani con i permessi di andare su internet..

E non ho messo su a parte antivirus, programmi specifici per malware e spyware... ma non credevo l'ex fosse cosi stronzo...

quindi la prossima volta che gli riformatto il pc installero anche spybot e superantyspyware, il primo per le immunizzazioni ai browser e salcazzo il secondo perche pur essendo free ho visto che risiede in memoria e controlla costantemente...

a parte queste 2 cose ho fatto tutto come cristo comanda e come ho fatto sul mio pc che e lindo come il culo di un bambino da 3 anni

Se nella procedura da me descritta qualche post piu sopra noti errori, dimmelo pure, se posso imparare meglio cosi, ho imparato del mbr...

poi rimane la possibilita che lui sia riuscito a farle aprire un file infetto chesso facendo finta fosse una foto, un link camuffato su messenger o chissa che... lei non e un genio al pc e nonostante le ho detto di non aprire nulla magari con un po di social engiinering ce riuscito a fregarla e lei non se ne manco accorta, e lui le ha detto le cose del bios per spaventarla e farla desistere anche dal provare a reinstallare windows... boh... lei nega di aver aperto file o altra robaccia ma magari manco se ne accorta, potrebbe anche essere andata cosi...

ma resettare bios, aggiornarlo, cancellare il mbr invece delle sole partizioni, sono tutti accorgimenti che forse non fanno bene non essendo probabilmente li il problema, ma nemmeno male fanno, quindi li faro.

poi ripeto, se posso fare altro, dimmelo pure, non sono un esperto di sicurezza, se mi spieghi qualcosa che non so tanto meglio!!!

le installero anche questo qui: http://www.zemana.com/product/antilogger-free/overview/ e una specie di firewall dei programmi che "ascoltano" i tasti digitati sulla tastiera...

se conoscete alternative migliori ditemelo pure...

[l.dm]

non è che lei ha usato qualche hard disk esterno/chiavetta lasciata in giro dall'ex?
poi hai detto che è un desktop... come si collega ad internet? router? via cavo o via wifi?
per non lasciare niente di intentato cambia la pass per accedere al router stesso e anche la pass dell'eventuale wifi
poi quando avrai riformattato tienici aggiornati che siam curiosi!

[Cavallaudo]

no, usato solo roba mia, che ho anche riverificato con quel programma di avast per verificare mbr e con avg bootabile da usb (ho scansionato tutto il mio pc)...

Lei non dovrebbe aver usato pennette del periodo in cui era con l'ex ma domani le chiedo meglio.

il pc e un pc desktop, ha solo scheda di rete, via cavo, non e stato mai connesso ad un router se non a casa mia, router asus con firewall suo e ho settato da subito la connessione come "luogo pubblico" e da settare cosi automaticamente ogni nuova connessione.

poi l'ho dato a lei che lo usa direttamente conesso ad internet senza router, non e' in italia, qui ci si logga tramite ppoe con user e pass.

[bobafetthotmail]

Quote:

poi ripeto, se posso fare altro, dimmelo pure, non sono un esperto di sicurezza, se mi spieghi qualcosa che non so tanto meglio!!!

Dì a questa tipa che al 90% di probabilità quel genio del male del suo ex ha ancora le chiavi di casa sua o comunque un modo per entrare fisicamente in casa e che DEVE ASSOLUTAMENTE cambiare serrature e non lasciare le chiavi di casa in posti dove possono essere prese da terzi (non importa quanto nascoste possano essere, non si fa).

Quote:

leggendo meglio dban non supporta gli ssd,

Li supporta, cancella tutto, MBR compreso. Il punto è che buona parte delle features di DBAN come il "secure erase" con varie passate di cancella-riscrivi sono totalmente inutili su un SSD visto che in una memoria flash una volta che i dati sono cancellati una volta sono già irrecuperabili, al contrario di un disco magnetico.

Per le altre cose che fa la versione a pagamento si parla di malware che infettano il/sfruttano vulnerabilità del firmware del disco fisso, ma siamo a livelli di complessità e costi ancora superiori di infettare un BIOS. Magari non fantascienza ma spionaggio industriale di alto livello o robe così.

Quote:

pare che si possa fare tramite windows 7 da console dos:

http://www.sevenforums.com/tutorials...t-command.html

che dite basta per cancellare TUTTO dall'hd incluso mbr?

Sì, basta. Solo che andrebbe fatto da un disco di installazione di Windows per evitare il contagio al sistema che stai usando (in teoria non dovrebbe visto che il MBR viene usato solo quando il disco viene usato per avviare il sistema operativo, ma non si sa mai), vai nella modalità di ripristino e poi apri il prompt dei comandi e carichi i dischi e poi fai quella roba lì. Troppo sbattimento.

Volendo si può fare anche con Gparted, il programma di gestione partizioni di tutti i sistemi Linux. Cancelli la "partition table" e la ricrei.

[Cavallaudo]

Bingo, l'ssd ha il mbr infetto, ho il computer adesso sottomano, non ha nulla di strano internamente o esternamente attaccato alle usb o altro, ma le utility di verifica mbr identificano un mbr non standard o infetto sull'ssd...

lo piallo con fdisk /mbr bootando da cd con dentro http://www.ptdd.com/manual2.htm e fanchiurlo

anzi ho gia fixato tramite utility di verifica, pero per esser sicuro 1000% usero anche fdisk tramite boot da cd... e upgrado comunque il bios della scheda madre e tutto il resto

usato anche il cd bootabile con super fiisk, piallato piu volte il mrb...

upgradato il bios della scheda madre, tramite utility da lanciare da msdos, ho bottato con pennetta usb con msdos creata tramite rufus (https://rufus.akeo.ie/), una figata di programma... durante la procedura ha scritto che cancellava il bios vecchio e poi ha scritto quello nuovo, stessi bytes, dovrei stare tranquillo che anche nella remota eventualita fosse qualcosa nel bios aggiornandolo il bios vecchio e stato del tutto cancellato prima di installare il nuovo.

reinstallato tutto, aggiornato, messo su come detto, riverificato il mbr, e' ok, standard mbr windows7...

[Cavallaudo]

Ripensandoci con calma ora che ho finito di risettare il pc, l'mbr non standard potrebbe essere causa solamente di http://www.backup-utility.com/onekey-recovery.html che ho usato su quel pc per creare una partizione di ripristino e di cui mi ero scordato fino ad adesso...

Ma potrebbe pure esserci stato da prima che usassi onekey recovery, quindi boh... non sono sicuro di nulla alla fine.

Comunque non rimane che aspettare e vedere se rispunta l'ex a spiare o meno, ogni tanto verifichero se rispunta "all in one keylogger", si puo vedere entrando in modalita provvisoria e verificando se ce la sua dir di installazione e alcuni file, o usando una pennetta usb con un windows pe o altro sistema operativo che permetta di leggere l'hd principale del pc.

[Cavallaudo]

ok, provo a installar e scansionare anche con hitmanpro e pure advcleaner...

inoltre le settero yahoo messenger per non formattare i messaggi secondo lo stile scelto dal mittente, cosi evito che le mandi link camuffati...

[Cavallaudo]

ho solo un portatile, potrei infilarci questo ssd ma dovrei togliere il mio ssd dove ho il sistema operativo...

scansionato con hitman pro, tutto ok, advcleaner idem

ora sto scansionando con l'iso bootabile di avg tramite boot da usb

avg trovato nulla, ora sto scansionando con l'iso bootabile da usb del rescue cd di bitdefender, davvero ben fatto, interfaccia grafica, firefox, accesso alle cartelle dell'hd del computer..

finora trovato nulla nemmeno bitdefender.