HD può essere piratato e far scomparire i contenuti?

[markarcer]

Ho un hard disk con 232 gb di memoria (250 nominali)
In seguito a problemi di rallentamento e disinstallazione di explorer ho guardato quanto spazio libero c'era su disco: 232 gb occupati, 2,56 liberi!
Poi ho guardato lo spazio occupato tramite explorer e mi rileva solo 15 gb utilizzati effettivamente dai miei file!!!!

Ho fatto la deframmentazione e usato tutte le utilities di windows per liberare spazio: risultato qualche mega. Poi ho usato windirectory, risultato identico a quello di explorer sempre i soliti 15 gb utilizzati.
Infine la verifica con il prompt di dos, molto molto strana: tutti i classici comandi (dir, dir / p etc) rilevano un numero di file pari ai soliti 15 gb tranne il comando chkdsk che ha invece rilevato un numero di file enormi e per un ingombro effettivo di 230 gb ma che non visualizzo e a cui non riesco ad accedere.

Qualcuno è in grado di suggerirmi un modo per sanare la cosa o devo proprio fare una formattazione brutale perchè mi è entrato un hacker e chissà cosa ha messo sul mio hard disk.

Preciso che ho sia firewall che antirootkit che antivirus e windows xp.

Grazie!
Marco

p.s. ho letto su qualche forum che gli hacker mettono materiale con sistemi criptati negli hard disk dei computer infettati in modo tale da non essere beccati, può essere la situazione sopra descritta?!

[eleonora390]

Mi sa che dovresti chiedere nella sezione Antivirus....

[Capellone]

Quote:

Originariamente inviato da eleonora390

Mi sa che dovresti chiedere nella sezione Antivirus....

quoto, prima di andare ad intaccare i dati sarebbe meglio scansionarlo in lungo e in largo con strumenti specifici.

[markarcer]

Per il moderatore: se anche il moderatore ritiene che sia univocamente colpa di un virus...e non di eventuali malfunzionamenti di hd potrebbe indicarmi come spostare il post che quindi non è nella sezione corretta?

Grazie!
Marco

[gugoXX]

Ma hai anche cercato anche i file nascosti? (dir /ah /s *.*)
Guarda anche e soprattutto nella directory (nascosta) "C:\System Volume Information"
E' una directory nascosta e sulla quale normalmente non si ha accesso perche' puo' entrare solo SYSTEM. Basta pero' che ne permetti l'accesso anche al tuo utente (che deve essere amminstatore per farlo) e potrai entrarvi.

[markarcer]

Quote:

Originariamente inviato da gugoXX

Ma hai anche cercato anche i file nascosti? (dir /ah /s *.*)
Guarda anche e soprattutto nella directory (nascosta) "C:\System Volume Information"
E' una directory nascosta e sulla quale normalmente non si ha accesso perche' puo' entrare solo SYSTEM. Basta pero' che ne permetti l'accesso anche al tuo utente (che deve essere amminstatore per farlo) e potrai entrarvi.

Ho provato col comando di dos che mi hai suggerito ma nessun risultato.
La cartella che hai indicato è in effetti protetta, io ho un solo utente che e' anche amministratore ma non riesco ad accedervi. Lasciando il cursore sopra la cartella il messaggio è: cartella vuota. E' possibile?

[gugoXX]

E' possibile che sia vuota, ma non mi fiderei del messaggio proprio perche' il tuo utente non puo' entrarvi.
Cerca di agire sulle impostazioni di sicurezza di quella cartella, aggiungendo anche il tuo utente, e non solo SYSTEM, alla lista dei permessi.

Ah, ovviamente quel comando DOS deve essere lanciato dalla ROOT, e non dove si apre di default il command prompt (ma penso che tu l'abbia fatto...)
Detto cio' e' strano che non ti dia "Nessun risultato".
Almeno il file di scambio, parecchi mega, dovrebbe dartelo... Io cosi' trovo 6Gb, e a casa almeno 30Gb.

[markarcer]

Quote:

Originariamente inviato da gugoXX

E' possibile che sia vuota, ma non mi fiderei del messaggio proprio perche' il tuo utente non puo' entrarvi.
Cerca di agire sulle impostazioni di sicurezza di quella cartella, aggiungendo anche il tuo utente, e non solo SYSTEM, alla lista dei permessi.

Ah, ovviamente quel comando DOS deve essere lanciato dalla ROOT, e non dove si apre di default il command prompt (ma penso che tu l'abbia fatto...)
Detto cio' e' strano che non ti dia "Nessun risultato".
Almeno il file di scambio, parecchi mega, dovrebbe dartelo... Io cosi' trovo 6Gb, e a casa almeno 30Gb.

Sì, per il comando dos l'ho fatto partire da c:.

Purtroppo la cartella proprio non riesco ad aprirla ne a fare ulteriori permessi di visualizzazione.
magari da prompt dos è più facile? riesci a suggerirmi un comando?

Grazie
Marco

[gugoXX]

si' i permessi si possono cambiare con CACLS, ma diventiamo vecchi su un forum.
E poi CACLS non si usa mai, e' solo in letteratura, anche i sistemisti usano il pannellino che e' assolutamente equivalente (se non puoi farlo da li', per motivi che non immagino, non potrai farlo neppure con CALCS)

dimmi cosa viene fuori se clicchi con il destro sulla directory, vai su "Sharing and security" -> Security e aggiungi il tuo utente alla lista...

[markarcer]

Quote:

Originariamente inviato da gugoXX

si' i permessi si possono cambiare con CACLS, ma diventiamo vecchi su un forum.
E poi CACLS non si usa mai, e' solo in letteratura, anche i sistemisti usano il pannellino che e' assolutamente equivalente (se non puoi farlo da li', per motivi che non immagino, non potrai farlo neppure con CALCS)

dimmi cosa viene fuori se clicchi con il destro sulla directory, vai su "Sharing and security" -> Security e aggiungi il tuo utente alla lista...

Ho provato a fare come mi hai detto ma la cartella security non mi appare.

Il mio o XP è in italiano comunque:
vado sulla cartella di cui sopra, tasto destro e poi condivisione e protezione e poi mi si apre una finestra con tre tab: 1) generale, 2)condivisione,3) personalizza.
Sicurezza (security) non la trovo come tab, ne tantomeno la lista utenti autorizzati. E sono un admin-unico utente (visibile )
Non so veramente cosa sia successo che non vedo il tuo menu
Ma può esistere un "super user" (perdonami uso un termine da internet database perché conosco meglio) che blocchi anche l'administrator dal vedere questa directory?

M

[eleonora390]

Ti suggerisco ulteriormente di rivolgerti nella sezione Antivirus e sicurezza.

[CRL]

...mi sa che si sta un po' fantasticando qui, che un Hacker abbia messo dei file sul tuo pc lo darei 1 a 1.000.000, sarebbe il primo caso che sento.

Secondo me è molto più facile che ci sian dei file di sistema che non vengono contati dai sistemi tradizionali, tipo il System volume information o il System Restore. Queste due cartelle di windows non sono rilevate tradizionalmente e non compaiono nel conteggio.

- CRL -

[gugoXX]

Quote:

Originariamente inviato da markarcer

Ho provato a fare come mi hai detto ma la cartella security non mi appare.

Hai il "Simple File Sharing" abilitato.
Vai su "Folder Option" -> "View".
Una delle ultime voci e' "Simple File Sharing"
Disabilita e riprova a darti i permessi.

Lo so che sei in Italiano, ma non ho la piu' pallida idea di come abbiano tradotto.

Sono d'accordo con CRL, lo spazio sara' stato preso da qualche file di sistema che presto troveremo...

[markarcer]

Quote:

Originariamente inviato da gugoXX

Hai il "Simple File Sharing" abilitato.
Vai su "Folder Option" -> "View".
Una delle ultime voci e' "Simple File Sharing"
Disabilita e riprova a darti i permessi.

Lo so che sei in Italiano, ma non ho la piu' pallida idea di come abbiano tradotto.

Sono d'accordo con CRL, lo spazio sara' stato preso da qualche file di sistema che presto troveremo...

tra gli smiles non ho trovato quello di INCHINO che trovi in altri forum. consideralo però come fatto.

Quella procedura suggerita ha portato al risultato (stupefacente per me) che la cartella vuota è diventata 14,5 Gb, più altri piccoli file.
E per fortuna che explorer mi dava zero.

Ma posso cancellare quell'immensità di spazio occupato senza compromettere funzioni vitali?

ma approfitto anche per un rilancio, e gli altri 215 gb dove mai me li avrà messi windows? (mi raccomando la domanda era retorica, non figurata

M

[gugoXX]

Puoi cancellare tutto.
E' la cartella dove vengono messi i savepoint per i ripristini.

Non li ho mai usati, e si possono disabilitare proprio agendo su
Programmi->Accessori->SystemTools->SystemRestore

E poi diro' un'ovvieta'... hai guardato dentro il cestino cosa c'e'?

[markarcer]

Quote:

Originariamente inviato da gugoXX

Puoi cancellare tutto.
E' la cartella dove vengono messi i savepoint per i ripristini.

Non li ho mai usati, e si possono disabilitare proprio agendo su
Programmi->Accessori->SystemTools->SystemRestore

E poi diro' un'ovvieta'... hai guardato dentro il cestino cosa c'e'?

Sì, ma visto il periodo e le notizie in televisione non è che adesso il moderatore ci censura per avere parlato di politica avendo parlato di rifiuti?
M

Ps:cestino svuotato sempre regolarmente

[CRL]

Quote:

Originariamente inviato da markarcer

Sì, ma visto il periodo e le notizie in televisione non è che adesso il moderatore ci censura per avere parlato di politica avendo parlato di rifiuti?
M

...in effetti tutto può essere...

- CRL -

[markarcer]

La soluzione proprio non si riesce a trovare ed è ancora non chiaro se trattasi di bug di sicurezza o semplicemente di problemi di HD (soluzione che allo stato delle cose escluderei) o di programmi che riducono lo spazio disponibile e visibile su HD (direi caso più probabile).

E vi riposto la mia ultima domanda
Visto che tutte le utilities windows non funzionano e neanche i programmi alternativi che però viaggiano con windows (vedi win dir) e visto inoltre che l'unico comando capace di leggere l'ammontare reale usato è stato chkdsk ma da dos, non è che esista un programma più "vicino" al linguaggio macchina e che non usi windows e le sue autorizzazioni di sicurezza sui file (sebbene neanche il comando dir/ abbia rivelato questi benedetti file), magari prorio dos based? O magari addirittura che vada a leggere fisicamente l'hd e si ricostruisca lui la partizione/file etc?

Vi posto l'indirizzo della discussione con il contributo di diverse persone che mi hanno aiutato a valutare la non probabilità di software malevoli.

http://www.hwupgrade.it/forum/showth...1#post20531704
Grazie mille a tutti

M
http://blog.atola.com/restoring-fact...rive-capacity/

Ho tentato anche questa strada ma il sw non funziona su computer con solo un hd disk come il mio

[CRL]

Questo ultimo programma non ti serve, serve a disattivare eventuali HPA o DCO presenti sul disco, che sono aree riservate, ma se così fosse il tuo disco sarebbe rilevato più piccolo come capacità, mentre nel tuo caso lo spazio c'è ma è occupato.

Faresti un riassuntino sulla situazione attuale e le prove fatte?

- CRL -

[markarcer]

Quote:

Originariamente inviato da CRL

Questo ultimo programma non ti serve, serve a disattivare eventuali HPA o DCO presenti sul disco, che sono aree riservate, ma se così fosse il tuo disco sarebbe rilevato più piccolo come capacità, mentre nel tuo caso lo spazio c'è ma è occupato.

Faresti un riassuntino sulla situazione attuale e le prove fatte?

- CRL -

Dunque, ormai è una storia lunga.
Sintetizzando:
ho provato con i soliti tool di xp,
poi sono passato a tool alternativi che girano sotto xp (win dir)
poi a dos ( e solo il comando chkdsk ha rilevato i file nascosti)
poi cc cleaner, dustbuster, hijack, etc. nessuna infezione.

L'Hd è sempre bello pieno di file invisibili.

Azzardo: un back up o forse un ripristina sistema è saltato per aria e ha incominciato a riempire hd di file con autorizzazione esclusivamente per se stesso?

M
M