PDA

Visualizza versione completa : Security Rootkit Mebromi: basso rischio? Spero invece che non sia un massacro



LadyHawke
10-12-11, 23: 36
Quando poco meno di tre mesi fa la notizia era rimbalzata nel web, non aveva destato il dovuto interesse (chiedo venia, anch'io lo avevo accantonato e dimenticato), ed era stata abbastanza dimenticata, anche perché tutte le testate riportavano un rischio assolutamente limitato di infezione, circoscrivendo il rootkit all'area asiatica e più precisamente alla Cina, da dove proviene.http://images.collectiontricks.it/images/53470486303006857146.png

Purtroppo ad oggi devo riportare a galla il problema, visto che in 10 giorni ho avuto sotto mano due notebook (+ un terzo, ma questa è altra storia), infetti al 99% dal Mebromi.
Per chi non vuole approfondire basti sapere che il rootkit è l'unico, attualmente conosciuto, che attacca fisicamente i Bios, nello specifico pare per adesso solo il Bios della Phoenix.
L'infezione per propagarsi necessita dei permessi di amministratore sul PC per lavorare a livello kernel, e per quanto ho capito, inizia un loop di infezione PC/MBR del disco fisso/Bios, ma a boomerang, ovvero, una volta che il Bios è infetto, reinfetta l'MBR e conseguentemente la macchina.
Da qui si evince che in linea di massima si può tentare ("tentare" perché possono sorgere altri problemucci) di ripulire PC e MBR del disco quanto si vuole, ma finchè il Bios rimane infetto tutto ricomincia da capo e non c'è scampo: e all'infezione del Bios pare non sia ancora stato trovato rimedio.

Nel mio caso ai due notebook era apparsa improvvisamente una password per il bios, che nessun software è riuscito ad eliminare o rilevare (ma forse in realtà, neppure esiste) e i sistemi operativi non si avviavano più. Di fatto l'impossibilità di accedere al bios preclude poter cambiare sequenza di boot per tentare qualche operazione e per le schede madri che hanno il menù di boot da tasto funzione, questo sembra sia disabilitato.

La terza macchina infetta è stato un incidente di percorso, che ci ha permesso di capire meglio il meccanismo: per cercare di far avviare uno dei primi due notebook è stato montato l'hard disk di un notebook "buono"… risultato: avviato con lentezza anche se al primo tentativo, infettato suppongo in quel momento l'MBR dell'hard disk, che poi è stato disgraziatamente passato al Bios del PC "buono" una volta che l'hard disk è stato rimesso al suo posto, prima purtroppo che il proprietario mangiasse la foglia, cosicchè anche questo notebook adesso si ritrova la sua bella password per accedere al Bios: Mebromi-utenti 3 a 0

Sui PC infetti è impossibile installare qualsiasi versione di Windows, Linux si installa, ma ha delle defaillance: il notebook che era stato buono attualmente si avvia con il suo vecchio sistema operativo un po' rallentato ma l'AV è stato preso a calci così come le impostazioni di sicurezza del browser (ma ancora si stanno contando i danni e non si sa neppure se o quanto resisterà)
Sull'unico PC infetto che ho ancora fra le mani il sistema operativo si installa (solo se il disco fisso è formattato, e quindi c'è la costrizione a dirottare l'avvio su CD), ma al primo riavvio (quindi non appena riesce ad infettare l'MBR del disco fisso), tutto muore: dopo un quarto d'ora riesce ad appare il desktop ma è tutto bloccato.

Abbiamo provato a togliere la batteria tampone, ma non è servito a nulla: il rootkit evidentemente si è inoculato al livello più profondo del Bios e purtroppo ho difficoltà a tentare l'aggiornamento e quindi la sovrascrittura perché questo maledetto modello di Acer dispone solo di un'utility che lavora da Windows e non da Dos: stò studiando come aggirare gli ostacoli.

La morale di tutta questa storia è che se non si trova una soluzione al Bios infettato, non basta la solita formattazione, ma in pratica il PC è da buttare o quanto meno lavorerà con Linux in condizioni disastrate, quindi in primis verificate se avete un Bios Phoenix e metteteci voi una password: nessuno nel web ne dice nulla ma chissà che trovando un qualche sbarramento si possa almeno fermare a livello Bios (non ci conto, ma tentare non costa nulla); evitate software asiatici, compresi i molti web-streaming e scannerizzate con l'antivirus ogni file che scaricate da fonti dubbie prima di avviarlo o scompattarlo; attivate eventuali difese in tempo reale del vostro antivirus.
Attualmente ho trovato solo questo tool della Symantec che pare faccia qualcosa (ma non parla di Bios) Norton NPE (http://security.symantec.com/nbrt/npe.aspx?): io non ho potuto provarlo senza S.O. funzionante

:ct:

Andy86
11-12-11, 00: 15
:bai


ho difficoltà a tentare l'aggiornamento e quindi la sovrascrittura perché questo maledetto modello di Acer dispone solo di un'utility che lavora da Windows e non da Dos: stò studiando come aggirare gli ostacoli.

Hai preso in considerazione la possibilità di un avvio di windows da cd, per eseguire quell'ultility?

CD Windows avviabile BartPE risolve guai (http://www.istitutomajorana.it/index.php?option=com_content&task=view&id=1315&Itemid=33)

A volte anche le cose più strane possono risolvere. :ghgh

Altrimenti sperimenterei l'utilizzo di utility da dos di altri produttori, al quale sostituire i file .img contenuti all'interno, magari rinominandoli adeguatamente, sempre che corrispondano abbastanza.

Sembra impossibile, ma io, ai miei inizi, ho quasi buttato una scheda madre sbagliando immagine per l'update. :ghgh

LadyHawke
11-12-11, 09: 20
BartPE e derivati ne ho usati spesso, ma i programmi contenuti nel BartPE sono sotto forma di plugin, onestamente se non li trovo già pronti non sono in grado di trasformare un programma in un plugin, e non ne ho trovati degli eseguibili che fleshano il Bios.
Provare altri eseguibili che lavorano sotto Dos è rischioso: uno lo avevo provato ma non è andato: purtroppo i nuovi Bios non sono come quelli di qualche anno fa, allora c'erano solo due eseguibili che facevano questo lavoro, pensa che l'eseguibile sotto windows che flesha il Bios di questo notebook funziona solo per alcuni modeli della stessa famiglia 52xx, per altri modelli ce ne sono altri.
Con pazienza proverò a scaricare utility Bios più vecchie per vedere se trovo qualcos'altro, ma credi che quando ieri ho provato l'afudos.exe ed è rimasto solo il cursore lampeggianate mi si è gelata la schiena :ohoh, quindi non voglio fare altri esperimenti senza prima l'autorizzazione del proprietario, che deve essere messo al corrente dei rischi

:bai

janet
11-12-11, 10: 47
non basta la solita formattazione, ma in pratica il PC è da buttare o quanto meno lavorerà con Linux in condizioni disastrate,
ma chi può essere così pazzo da mandare in rete malware che costringono a buttare il PC ? Certo è proprio un mondo assurdo e sempre più pericoloso.

Kirk78
11-12-11, 23: 00
provato a togliere la batteria tampone, ma non è servito a nulla: il rootkit evidentemente si è inoculato al livello più profondo del Bios
Non capisco come sia possibile ciò. Più profondo del bios c'è solamente l'hardware, che non ha quasi mai eprom che non hanno bisogno di alimentazione, quindi è possibile che non sei riuscita a scaricare completamente la battaria per resettare il bios. Prova a togliere la corrente elettrica, togliere la batteria tampone e lasciarlo senza neanche una stilla di elettricità per almeno un giorno.
Io programmavo le eprom una volta e qualcosina me lo ricordo. Poi diciamo che è passato di moda (niente lavori).

Importante anche staccare fisicamente l'HDD dai cavi dati e alimentazione. Dopo un giorno prova a riattaccare la corrente senza la batteria tampone, e vedere che succede e poi ci dici.

Per quanto riguarda i plugin di BartPE posso provare ad aiutarti perché qualche tempo fa ne ho fatti una decina... spero di ricordare dove ho messo la procedura perché nel frattempo mi si sono rotti almeno 3 macchine. Ma mi devi dire cosa ti serve esattamente.

Comunque mi informo dal servizio tecnico di Avira con cui ho un contatto diretto e ti faccio sapere al più presto. Comunque a settembre si parlava del file bios.bin che era lui che infettava il Bios (nome del file di aggiornamento del bios se non erro) e poi MBR e il resto.
:bai

EDIT: dimenticavo. Da qualche parte ho un boot disk FreeDos con alcuni tool per le Bios, e che sicuramente flashano il bios. Appena riesco a ritrovarlo vi dico. Mi sembrava fosse su floppy, ma andiamo un passo alla volta.

LadyHawke
12-12-11, 10: 48
Il notebook è rimasto disassemblato (quindi con tutto staccato, a pezzi) per circa 14 ore: francamente non credo che sia necessario più tempo, considerato che a una batteria normale possono bastare 3 minuti :triste
Per i plugin, la cosa è relativa: se cioè trovo un programma DOS che gestisce quel Bios posso farlo dal CD di boot che mi sono fatta, però il poter creare plugin per il BarPE è comunque interessante :sisi, magari ne riparliamo.
Per il floppy, non saprei dirti: ammesso che il notebook avvii da floppy USB (la vedo dura, non potendo modificare la sequenza di avvio, ma vabbè, si potrebbe fare un'immagine del floppy e trasferirla su CD), quello che temo è che i nuovi Bios non siano supportati dai vecchi eseguibili DOS che flashavano fino a poco tempo fa, al che siamo fregati, perchè mi sono scordata che una volta sono riuscita a far partire il sistema (dopo una luuuunga attesa) in Mod. provvisoria e sono riuscita a lanciare l'utility di flash che però mi ha dato un'errore su un file .sys che utilizza.
Ora, se mi daranno l'ok per continuare gli esperimenti, proverò domani a mettere l'hard disk su un pc fisso per ripulire l'MBR, accettando il rischio di sacrificare una scheda madre (ne prenderò una in garanzia), poi proverò a riversarci l'immagine di una windows XP installata (su quel disco c'è Seven), per vedere se almeno al primo avvio riesco a far ripartire l'utility per vedere se funziona su XP, anche se a me il flash del Bios piacerebbe di più nella maniera tradizionale, da DOS.

:bai

Andy86
12-12-11, 13: 53
:bai


accettando il rischio di sacrificare una scheda madre (ne prenderò una in garanzia)

Montarlo come secondo hard-disk e riscrivere l'mbr senza avviarlo, no?
Teoricamente si dovrebbe poter fare anche da una live di linux. :sisi

A proposito di live di linux: Flashrom: aggiornare il BIOS alla maniera di Linux « -> ora su pollycoke.org (http://pollycoke.wordpress.com/2007/07/16/flashrom-aggiornare-il-bios-alla-maniera-di-linux/) :bgg2

Kirk78
12-12-11, 16: 58
Attenta LadyHawke che qualche ditta se si fa l'upgrade della bios non fatto da un tecnico autorizzato, decade (per me illegalmente) la garanzia. Ti conviene prendere una non Phoenix così non dovrebbe attaccare almeno il bios. :bai

@Andy86 accidenti quanti punti interrogativi ci sono sull'hardware supportato - http://www.flashrom.org/Supported_hardware -. Personalmente non so se mi arrischierei.


In general, flashing laptops is more difficult because laptops

often use the flash chip for stuff besides the BIOS,
often have special protection stuff which has to be handled by flashrom,
often use flash translation circuits which need drivers in flashrom.

LadyHawke
13-12-11, 00: 00
Montarlo come secondo hard-disk e riscrivere l'mbr senza avviarlo, no?
Non ti saprei dire, l'ho sempre fatto sui dischi primari, e comunque, poichè il bios verifica l'hardware, non sappiamo se avrà la condicendenza di ignorarlo :boh.
Per il link, è interessante, ma nutro gli stessi dubbi di kirk: quelle schede madri supportate mi sembrano tutte per pc desktop, senza contare che dovrei ridisassemblare completamente il notebook per trovare il modello di mobo e assicurarmi del tipo di chip :cry3

@ kirk78
Il notebook non è in garanzia, se lo fosse stato avrei fatto da scema e spedito in assistenza :tong2
Per la scheda madre, ovviamente cercherò una non-phoenix, la prudenza non è mai troppa, ma su quella si avrebbe solo l'effetto dell'infezione, cosa che onestamente dubito che i tecnici riescano a rilevare
:bai

cydonia
13-12-11, 09: 05
una cosa non ho ben compreso se sei riuscita ha fare il boot da cd!?se si questa live Hiren's BootCD 15.1 (http://www.hiren.info/pages/bootcd) oltre alla sfilza di utility/programmi presenti hai anche queste, se non le hai gia' provate,piu' che altro per facilitarti le cose avendole tutte in uno:
BIOS / CMOS Tools

Only registered members can view code.
se no, ci dovrebbe essere una combinazione di tasti per l'avvio da floppy usb,dipende dal portatile all'avvio fn+b o per gli acer fn+esc
edit:link al download
http://www.hirensbootcd.org/download/
:bai

LadyHawke
13-12-11, 14: 36
Si, mi ero creata un CD di boot al posto del floppy e funziona (quando ovviamente l'hard disk è vuoto e commuta direttamente sul dispositivo di boot successivo).
Stamattina ho provato tutte e 4 le utility flash della Phoenix (ogni produttore di hardware ha le sue: le due non-phoenix che avevo provato si erano rifiutate immediatamente)
Beh, almeno 3 di questi eseguibili si avviano, ma purtroppo restituiscono degli errori ancora prima di gestire il file .ROM o su un file che adesso non ricordo come si chiama, o sull'ipotetica presenza indesiderata del gestore di memoria HIMEM.sys (e nel CD sono sicura che non ci sono) :furious
Ho avuto carta bianca e posso disintegrare quel notebook come voglio, oggi proverò anche l'hirens e il l'ubcd se contengono qualcosa di utile.

:shock cavoli, mi sembra di essere tornata ai tempi del Gromozon, ma mi sa che stavolta non la spunto :cry3

:bai

janet
13-12-11, 23: 10
leggendo i commenti qui (http://www.ilsoftware.it/articoli.asp?id=7766)va bhè che sono vecchi di mesi e la Lady è molto più brava ma mi sembra una situazione veramente molto grave.
Alla fine c'è scritto " la cosa migliore, dove possibile è abilitare da BIOS la protezione in scrittura ed una password di accesso! Dite sia sufficiente?"
A oggi è sufficiente fare così o bisogna fare qualcos'altro ?

Kirk78
13-12-11, 23: 53
Bella domanda janet compliementi! Ma se il rootkit è così cattivo forse non serve. Ma gli antivirus dovrebbero aver già messo la protezione anche per quello. Forse quelli di LadyHawke non erano aggiornati o lo ha preso prima dell'aggiornamento. :bai

LadyHawke
14-12-11, 01: 31
Come ho detto in qualche post fa, mettere la password è sicuramente da fare, ma non so quanto possa servire.
Comunque, oggi ho quasi finito le frecce a mia disposizione: l'Hiren's CD e l'UBCD non sono serviti a niente, se non a farmi capire che qualsiasi programma tenta di accedere al Bios (per scrittura, decript dell'ipotetica password, cancellazione), restituisce sempre un errore di qualche tipo.
E' frustrante :triste
Domani faccio l'ultimo esperimento con l'immagine di XP ed la sua utility proprietaria (e perderò solo tempo), poi mi procuro un lanciafiamme :furious

:bai

Kirk78
14-12-11, 01: 43
Come mi dispiace di non avere più tempo da dedicare al tuo problema :triste. Magari, sempre se non hai già usato il lanciafiamme, nel week end se non ho da lavorare, cerco a tutti i costi i miei vecchi backup, che poi magari mi serviranno in futuro. Da quando mi si sono rotti contemporaneamente più macchine qualche tempo fa non sono riuscito a guardare sugli HDD.

ma purtroppo restituiscono degli errori ancora prima di gestire il file .ROM o su un file che adesso non ricordo come si chiama
Spero veramente di poterti aiutare, comunque nel frattempo potresti postare esattamente gli errori che ti da, sopratutto utilizzando i software della Phoenix? ... sempre che riesca a ritrovare i miei preziosi dati del tempo perduto :cry3

E' frustrante :triste
... come ti capisco. Il lavoro sui virus alle volte è veramente pazzesco!
:bai

cydonia
14-12-11, 08: 27
marca modello di notebook?se e' lecito saperlo:hap,post addietro hai usato afudos...e' un' asus?perche' le linee guida utility sono queste:
(http://forum.notebookreview.com/asus/174395-bios-update-guide-asus-notebooks.html#sec:aflash)

A. The EasyFlash utility, included in the BIOS for some types of ASUS notebooks.
B. The AFLASH utility in DOS.
C. The WinFlash utility in Windows.

o tuttalpiu' se vuoi e puoi rischiare l'utility menzionata da andy86 flashrom,output :

Only registered members can view code.

Only registered members can view code.
chiaramente dice che non e' supportato, il notebook in questo caso asus m51va
p.s chiaramente non mi azzarderei mai di flashare il bios con questa utility almeno che non ci sia altro da fare...


Ma gli antivirus dovrebbero aver già messo la protezione anche per quello
questo per prevenire,ma non per curare,dovrebbe essere in grado di ripulire selettivamente il codice nel bios e questo e' molto difficile perche' se sbaglia,hai gia' capito...il produttore della scheda o phoenix in questo caso deve farlo, magari con un firmware che neutralizzi/riscriva il codice compromesso.
:bai


(http://forum.notebookreview.com/asus/174395-bios-update-guide-asus-notebooks.html#sec:aflash)

LadyHawke
14-12-11, 15: 41
No cydonia, il notebook è un Acer 5220 e il bios che si può scaricare è solo con utility sotto windows: nel pacchetto c'è il file .ROM.
Avevo provato afudos perchè l'eseguibile contenuto sempre in quel pacchetto non funzionava sotto dos e volevo vedere quanto si sarebbe arrabbiato ma neppure mi ha dato modo e tanto, perso per perso... :hap
Comunque ho provato tutte e 4 le utility DOS della Phoenix: flash.exe, phlash.exe, phlash16.exe e ph1614.exe = niente da fare
Devo ancora fare quella prova con XP e l'eseguibile da windows perchè c'è stato un altro intralcio, poi tenterò l'installazione di un Linux 10 (l'11 aveva qualche problema) perchè alla fine il proprietario non fa molto più che andare su Internet per cui avrà modo di abituarsi più facilmente, almeno finchè (e se) viene trovata una soluzione: alla fine gli sarà preferibile un bios "bacato" che non avere un bios se qualcosa di troppo va storto.

:bai

Kirk78
14-12-11, 17: 09
questo per prevenire,ma non per curare
Si intendevo prevenire non curare. Per curare c'è questa discussione .... se riusciamo nell'opera.
:bai

cydonia
15-12-11, 06: 07
guarda,un'anno e mezzo fa avevo tra le mani un acer extensa 5220 in cui ho installato una distribuzione Gnu/Linux,anche questo aveva la password per accedere al bios e non l' aveva messa l'utente,per toglierla avevo armeggiato con il dip switch:


Standard Operation Procedures of Password Bypassing and BIOS Recovery
For RD and CSD to debug easily, the system provide one hardware DIP switch for Bypassing Password
Check, and one Hotkey to enable BIOS Recovery.
1.
DIP Switches:


DIP
Default Setting
Description


SW1
Disabled (High)
Bypassing Password Check




2.
Hotkey to enable BIOS Recovery: Fn+ESC, then Power Button. To use this function, it is strongly
recommended that the AC adapter is connected to the system and plug-in to a wall outlet and the Battery
is also in the system
Bypassing Password Check (SW1): If the user has set Password (power-on or setup password) for security
reason, BIOS will check password during POST or when entering the BIOS setup menu. However, if it is
necessary to ignore the password check, the user may enable DIP SW1 to bypass password check.
BIOS Recovery: Boot Block is a special block of BIOS. It is used to boot up the system with minimum BIOS
initialization. The user can enable this feature to restore the BIOS to a successful one if previous BIOS flashing
process fails.
1.
DIP Location:
RD/CSD can enable or disable this function by switching the DIP. The DIP switch is located as shown in the
figure below:

http://img41.imageshack.us/img41/6854/imgxsa.png (http://imageshack.us/photo/my-images/41/imgxsa.png/)



2.
Clear Password
DIP SW1: Bypassing Password Check, Disabled by default. Switching it to ON then powering on the system
will force the BIOS to clear Supervisor and User passwords. The power-on, setup password, and the HDD
password are all cleared.
3.
Restore BIOS by the Crisis Disk
Enable this function by pressing the combination: Fn+ESC, and pressing the Power Button. To use this
function, it is strongly recommended that the AC adapter is connected to the system and plug-in to a wall outlet
and the Battery is also in the system. If this function is enabled, the system will force the BIOS to enter a

special BIOS block, called BootBlock. RD/CSD can use this special BIOS code to recover the BIOS to a
successful one if previous BIOS flashing process fails. However, before doing this, one Crisis Disk should be
prepared in WinXP. Detailed steps are as the followings:
a. Prepare the Crisis Disk in WinXP.
b. Insert the Crisis Disk to a USB floppy drive which is attached to the failed machine.
c. While the system is turned off, press and hold Fn+ESC, then press Power Button. The system
should be powered on with Crisis Recovery process.
d. BootBlock BIOS starts to restore the failed BIOS code. Short beeps should be heard when flashing.
e. If the flashing process is finished, a long beep should be heard.
f. Power down the system after you hear the long beep.
If the crisis recovery process is finished, the system should be powered on with the successful BIOS. RD/CSD
can then update the BIOS to a workable one by regular BIOS flashing process.

questo dovrebbe valere per gli extensa e i travelmate

oppure quando sbagli la password piu' di una volta dovrebbe bloccarsi e darti system disable e un codice decimale a 5 cifre,da li puoi risalire alla password master.
:bai
comunque, guardando le specifiche di questo rootkit postato dal ricercatore italiano che le ha diffuse su webroot,non dovrebbe dare questi sintomi.
:bai

LadyHawke
15-12-11, 21: 46
Quella procedura la proveremo domani; mi pare di aver capito (il mio inglese non è il massimo) che Fn+esc+power abilitano la funzione sul dip switch: e se proviamo a ponticellarlo manualmente?



oppure quando sbagli la password piu' di una volta dovrebbe bloccarsi e darti system disable e un codice decimale a 5 cifre,da li puoi risalire alla password master.
Dimmi come, ho quel codice. Non mi ero mai spinta così a fondo nei Bios, anche se sono convinta che questa password non sia reale

comunque, guardando le specifiche di questo rootkit postato dal ricercatore italiano che le ha diffuse su webroot,non dovrebbe dare questi sintomi.
E' vero, ho letto anch'io, e penso tu ti riferisca a Giuliani che per queste cose è sempre un passo avanti, e infatti il primo notebook l'ho restituito al proprietario non funzionante perchè ho pensato a qualche altro tipo di guasto. Anche al secondo Acer all'inizio avevo fatto poco caso... quello che mi ha fatto pensare a un rootkit è stato quando al terzo notebook è successa la stessa cosa (password nel Bios e sistema disastrato) immediatamente dopo che il suo hard disk è stato inserito su questo (gemello) nel quale stò facendo gli esperimenti...

Ho fatto la prova riscrivendo l'MBR dell'HDD e mettendoci un'immagine di XP fatta con Acronis installandola da un altro PC: una volta rimesso a posto l'hard disk e dopo pochi secondi dall'accensione, schermata blu e riavvio, a loop: la schermata blu consiglia un chkdsk... ma va?

Per di più ho perso l'unico bios che potevo tentare di mettere sotto dos: mi pareva di averlo preso dal pacchetto scaricato da acer, ma no, da li avevo preso la prima utility flash.exe: quel bios, in tutta la roba che ho cercato e scaricato in questi giorni non ricordo dove l'ho trovato e non lo trovo più :wall
Purtroppo sono anche giorni che stò spendendo tempo su quel notebook a discapito di tutto il resto del lavoro, quindi ho chiamato l'assistenza acer per sentire se c'era qualche posto dove poter scaricare un file per flashare da dos, ma mi hanno risposto che no, si può fare solo da windows, e alla mia spiegazione sommaria del problema, mi hanno assicurato che non esistono virus che attaccano il bios... e come no! Altrimenti, se non si può installare un sistema operativo si può sempre mandare in assistenza a farlo riprogrammare grrr...

:bai

cydonia
16-12-11, 07: 44
mi pare di aver capito (il mio inglese non è il massimo) che abilitano la funzione sul dip switch: e se proviamo a ponticellarlo manualmente?

1) il dip switch e' uno switch, se non ce la fai con le dita perche' le leve sono piccole usa la punta di una matita
poi dovrai entrare nel bios e disabilitare la password o mettere tutto in default,poi riabilita lo switch
(serve solo per togliere qualsiasi password inserite nel bios hdd compreso).
.................................................. .................................................. .................................................. .
2) Fn+esc+power e' per entrare in una sorta di recovery mode del bios

this function is enabled, the system will force the BIOS to enter a
special BIOS block, called BootBlock
in parole povere e' usata come extrema ratio in caso di un flash andato male

Boot Block is a special block of BIOS. It is used to boot up the system with minimum BIOS
initialization. The user can enable this feature to restore the BIOS to a successful one if previous BIOS flashing
process fails.




special BIOS block, called BootBlock. RD/CSD can use this special BIOS code to recover the BIOS to a
successful one if previous BIOS flashing process fails. However, before doing this, one Crisis Disk should be
prepared in WinXP. Detailed steps are as the followings:
a. Prepare the Crisis Disk in WinXP.
b. Insert the Crisis Disk to a USB floppy drive which is attached to the failed machine.
c. While the system is turned off, press and hold Fn+ESC, then press Power Button. The system
should be powered on with Crisis Recovery process.
d. BootBlock BIOS starts to restore the failed BIOS code. Short beeps should be heard when flashing.
e. If the flashing process is finished, a long beep should be heard.
f. Power down the system after you hear the long beep.
ho inserito volutamente il recovery del bios piu' che altro per completezza
.................................

Dimmi come, ho quel codice. Non mi ero mai spinta così a fondo nei Bios, anche se sono convinta che questa password non sia reale
qui' si entra nel reverse engineering in questo caso nell'hash,per ricavare la master password che tutti i produttori inseriscono,non credo si voglia/possa parlare di questo...,mi ricorda quando ero piu' giovane le notti passate con softice:bgg2
p.s dovrebbe essere piu' che sufficente lo switch.


Per di più ho perso l'unico bios che potevo tentare di mettere sotto dos: mi pareva di averlo preso dal pacchetto scaricato da acer, ma no, da li avevo preso la prima utility flash.exe: quel bios, in tutta la roba che ho cercato e scaricato in questi giorni non ricordo dove l'ho trovato e non lo trovo più


guardando il sito dell'acer qui' (http://support.acer-euro.com/drivers/notebook/ex_5220.html) ,questo per l'extensa ma dovrebbe valere anche per gli altri bios,all'interno del pacchetto compresso trovi anche phlash16

mi hanno assicurato che non esistono virus che attaccano il bios... e come no! Altrimenti, se non si può installare un sistema operativo si può sempre mandare in assistenza a farlo riprogrammare grrr...
chiaro che ci provino, con i soldi che ti chiedono fai prima a prenderti il kit :oo2
:bai

Kirk78
16-12-11, 08: 53
E' proprio è l'ultima speranza il DIP switch, comunque concordo. Bisogna stare ovviamente attenti perché si tratta comunque di uno switch HW, e se si sbaglia potrebbero essere dolori. C'è per esempio uno switch che cambia la tensione e che quindi potrebbe fare danni fisici alla motherboard. Non sempre viene ben evidenziato lo switch giusto. Alle volte c'è scritto in microscopico CMOS CLEAR.
La password bios sul manuale Acer è chiamata "password supervisore" e sul manuale c'è scritto:

Se si dimentica la password, rivolgersi al rivenditore o a un centro di assistenza autorizzato.
quindi non capisco la frase che ti hanno detto all'Acer (a parte quella che non esiste un virus che intacca la bios), visto che è previsto anche sul manuale. Bisogna ovviamente avere il documento fiscale di acquisto, ma la dolente nota è che si fanno pagare per questo "reset" come viene chiamato sul loro manuale, e quindi sarà per questo che la persona del call center acer non ti dice se e dove c'è l'utility loro, altrimenti no money! Come del resto ha detto il caro cydonia.


In order to have the BIOS or hard disk password removed (This include any biometric security), the notebook will need to come in to our repair depot for password removal. This service is not covered by warranty and unfortunately there is no other recourse to remove a BIOS or HDD password from the notebook. The flat fee for BIOS password removal is $100.00 US dollars plus tax. If it is a BIOS or HDD password and you would like us to service it for you, please contact our telephone technical support line at 1-800-816-2237. Hours of operation are 7am-9pm CST Monday-Friday and 8am-5pm CST Saturday and Sunday, excluding holidays.

Comunque sapevo che senza batteria tampone (e batteria notebook, e qualsiasi altra fonte elettrica) si faceva quasi la stessa cosa.... mi sembra strano che sia su un circuito che rimane memorizzato anche senza alimentazione. Almeno a me non è mai successo.

Sui manuali dei server Gateway Acer c'è addirittura spiegato come si fa a resettare la bios
1604

Che modelli sono i 2(3) notebook acer?
:bai

Clairvoyant
16-12-11, 21: 37
Là, era un pezzo che si stava tranquilli, finalmente qualcosa di serio.:oo2

E' da qualche giorno che osservo e cerco, ma vedo che bene o male a questo punto è stato detto di fare quello che avrei provato anch'io, e come voi ho finito le risorse.
Comunque

@ Kirk
Sono Acer 52xx, Lady ci dirà poi quali

@ Lady
I soliti ben informat* (e che hanno cercato meglio di me:tong2) mi hanno segnalato questo paio di links per il BIOS:
How to clear an unknown BIOS or CMOS password. (http://www.computerhope.com/issues/ch000235.htm)
How do I clear a laptop CMOS password? (http://www.computerhope.com/issues/ch001302.htm)
prova a vedere se servono a qualcosa.

A prescindere dal fatto che si tratti di mebroni o altro, sarebbe utile riuscire a tirar fuori un dump dell'MBR con qualche Live Linux, solo che per fare questo credo sia necessario rifare tutta la trafila di pulizia e formattazione HDD e quant'altro altrimenti fino lì non ci si arriva.

:bai

LadyHawke
16-12-11, 22: 57
il dip switch e' uno switch
Domani mattina rismontiamo il notebook e cerchiamo meglio, però avevamo trovato solo contatti
Quella pagina della acer da dove l'hai riesumata? La cercavo, ma adesso ti spediscono qui (http://www.acer.it/ac/it/IT/content/drivers), per cui pensavo avessero cambiato tutti i siti.


Che modelli sono i 2(3) notebook acer?
Il primo non lo ricordo, i secondi Extensa 5220

@ Clair
Ringrazia da parte mia :hap
I due link possono farmi comodo. Per il dump dell'MBR forse c'era qualcosa sull'Hiren's CD o su UBCD, domani ricontrollo anche quello: dovrei avere anche la Backtrack, su uno dei tre troverò pure qualcosa.
Se serve un qualche tipo di log dell'MBR per verificare l'infezione, perchè ripulirlo? :ohoh

Comunque, per la cronaca, il notebook che ho fra le mani stà funzionando apparentemente normale con Ubuntu 10.4 :shock (dico apparentemente perchè non ho le cognizioni per effettuare verifiche approfondite)

:bai

cydonia
16-12-11, 23: 47
Domani mattina rismontiamo il notebook e cerchiamo meglio, però avevamo trovato solo contatti
sai che probabilmente hai ragione e' passato molto tempo cioe' che e' forse un bridge che devi chiudere,controlla sorry
:bai

Kirk78
17-12-11, 11: 01
Ho ripreso il mio manuale tecnico dell'Acer Extensa 5220 e c'è esattamente quando detto da cydonia quì (http://www.collectiontricks.it/forum/technews/Ct3842-rootkit-mebromi-basso-rischio-spero-invece-non-massacro.html#post103287) immagine della motherboard compresa. Quindi settare su enabled SW1 (G39) per bypassare la password e riavviare (con alimentazione di rete) con il tasto Fn+ESC premuti per montare la versione minimale della BIOS bypassando la password. Di default, come detto, è disattivato.
Magari prova a mandarci una foto della motherboard se fosse diversa da quella del manuale.
:bai

EDIT - certo che dalla foto del manuale non sembra un vero e proprio switch classico. Dovrebbe essere al centro di questa immagine
1614

Clairvoyant
17-12-11, 18: 33
Se serve un qualche tipo di log dell'MBR per verificare l'infezione, perchè ripulirlo?:ohohPerchè in realtà non sappiamo se si può ripulire "automaticamente" con i tool che ci sono in giro, potrebbe essere necessario dover andare a manina e senza l'hexdump non sapremmo dove intervenire.
E poi da lì possiamo vedere cosa diavolo è sto coso, o se è già conosciuto capire che fa parte del problema.:eye
Per il BIOS invece temo che l'unica strada sia un qualche tipo di reset, e quella vedo che la stiamo percorrendo (è il primo esempio che vedo di rimozione cooperativa :bgg2).


Comunque, per la cronaca, il notebook che ho fra le mani stà funzionando apparentemente normale con Ubuntu 10.4 :shock (dico apparentemente perchè non ho le cognizioni per effettuare verifiche approfondite)Forse perchè quello che agirebbe su Windows su Linux non può.:oo2

:bai

LadyHawke
17-12-11, 21: 55
Forse perchè quello che agirebbe su Windows su Linux non può.:oo2
:m: O forse perchè Linux riscrive l'MBR con il Grub quindi di fatto l'MBR corrotto viene "curato".... e se il "coso" nel Bios a quel punto non fosse più in grado di capire dove colpire quell'MBR diverso? Si interromperebbe la catena... :ops: ok, mi sa che leggo troppi fantasy...

Dunque, io avrei un paio di hexdump di MBR eseguiti da Ubuntu, ma poichè mi sembrano piuttosto strani, non "pulitini" come quelli che vedo in giro (o magari li ho aperti con l'hex editor sbagliato), prima di renderli pubblici vorrei conferma da qualche utente Linux di aver utilizzato i comandi corretti e una procedura adeguata perchè per cause di forza maggiore ho dovuto "improvvisare":

1° hexdump
HDD del notebook che ho sotto cura, con installato Ubuntu, che ho dovuto spostare per fare l'hexdump sul notebook gemello che si è infettato per ultimo
2° hexdump
HDD del notebook che si è infettato per ultimo (quando il suo HDD è stato messo dentro a quello già infetto), che stà ancora funzionando zoppicante con Win7, collegato su porta USB (perchè altrimenti si avviava Windows e non la live di Linux)

Comando per l'hexdump:

Only registered members can view code.

ma così non me lo salvava come file e allora ho usato

Only registered members can view code.

Ci sono comunque un paio di cose che non intendo omettere e che mi creano qualche perplessità, e in questi casi, come feci al tempo del Gromozon, credo sia utile per tutti che l'avanzamento delle operazioni sia più chiaro possibile:

1) - Quando lessi del Mebromi, anche poco prima di aprire il thread, sono sicura al 97% che si parlava di attacco al Bios Phoenix, mentre adesso, se si va a cercare in giro si parla quasi sempre di Award: ora, si vede chiaramente che una marea di fonti sono un copiaincolla di altre quindi si potrebbe far presto a distorcere una notizia, come potrei anche essermi bevuta il cervello... fatto è che quelli in mano mia sono Bios Phoenix, e se non è Mebromi, cos'è?
2) - Ho dato un'occhiata al codice modificato dal Mebromi nell'MBR pubblicato (http://webrootblog.files.wordpress.com/2011/09/bios_pe_infection.jpg) da fonti autorevoli e onestamente non l'ho riscontrato negli hexdump che ho fatto (sempre se sono corretti e se li ho aperti/letti nella maniera giusta), per cui mi rifaccio la domanda: se non fosse Mebromi, cos'è?


@ kirk78
Confermo che non ci sono switch, il G39 sono due contatti


:bai

Kirk78
17-12-11, 23: 32
sono sicura al 97% che si parlava di attacco al Bios Phoenix, mentre adesso, se si va a cercare in giro si parla quasi sempre di Award
Probabilmente perché Phoenix e Award sono "quasi" la stessa cosa

Award BIOS Software became part of Phoenix Technologies in September 1998 and the web sites have been joined to reflect the expanded range of product offerings and technology solutions.
1616
Forse è anche questo che ci da delle difficoltà di comprensione.... tanto non bastava Mebromi a romperci le scatoline :bsh

Confermo che non ci sono switch, il G39 sono due contatti
Quindi il termine corretto dovrebbe essere bridge e non switch..... ci sono posti per i ponticelli sul G39? Se riesci a mandarci una foto del G39 vediamo insieme a trovare come attivare SW1 come dice il manuale Acer! Capisco che si vogliono far pagare per fare un semplice ponticello, ma per me è un'assurdità!
:bai

Andy86
18-12-11, 10: 31
:bai


non me lo salvava come file

Per ridirezionare l'output di un qualunque comando su di un file si usa


Only registered members can view code. dopo il comando.

Attenzione che lo crea nella directory dove si trova la console in quel momento, quindi portati con "cd" fino a dove vuoi mettere il file.
Altra nota: non usare file esistenti, altrimenti verranno sovrascritti. :sisi

Per la correttezza dei comandi sull'mbr invece non so dirti, dovrai aspettare qualche linuxiano più linuxiano di me. :sisi

Eres
18-12-11, 16: 46
Ci sono anche i live cd tipo HirensCd o UBCD per riscrivere l'mbr, per il bios se lo consente fisicamente la mobo, tramite i jumper si potrebbe fare anche un reset cmos

cydonia
22-12-11, 07: 52
sarebbe interessante sapere come e' andata a finire,se hai l'asciato ubuntu installato(sarei contento anche se sono di parte:bgg2) o hai risolto col bios,mi dispiace solamente di non essere stato piu' preciso..e' passato troppo tempo e la memoria vacilla(vecchiaia):triste:fleursoltretutto non sono riuscito a contattare il proprietario del portatile che dicevo per darci uno sguardo e devo finire dei l'avori entro natale:triste:triste ,per quello non sono piu' intervenuto. la procedura per il backup dell'mbr e' corretta anche se credo serva a poco ora, se hai formattato l'HDD e riscritto l'mbr col grub,basta 1 bit 0.125 byte per falsare il tutto figurati 512 byte riscritti.oggi mi arriva da sistemare(alimentazione) un travelmate 2300 nuovo e:ghgh,anche se dubito lo vedo quando lo apro se ha un bridge(g39) da cortocircuitare o switch visto il modello (anno) non memorizzando l'hash criptato nell'eeprom basta il reset cmos o togliere la batteria tampone :bai

Kirk78
22-12-11, 09: 59
tramite i jumper si potrebbe fare anche un reset cmos
E' quello che stiamo tetando di fare.

togliere la batteria tampone
Anche io ho subito suggerito questo, ma la cara LadyHawke dice che non ha funzionato. Personalmente non mi è mai capitato che togliendo la batteria (io anche 1 giorno per far scaricare tutti i componenti senza cavo di alimentazione) :boh.
Nella mia lunga :cry3 vita di virus ne ho tolti a bizzeffe, solo che questo particolare non l'ho mai dovuto curare altrimenti avrei aiutato LadyHawke (e tutti gli utenti CT) più velocemente. Poi c'è anche che sono parecchio indaffarato fino almeno alla metà di gennaio, quindi il tempo di riprendere i miei vecchi backup non ce l'ho e non sapete quanto mi dispiace :triste
:bai

cydonia
22-12-11, 10: 30
kirk78 intendevo nel portatile che sistemo nel pomeriggio perche' e piu' datato di questo,credo che l'extensa 5220 memorizzi l'hash della pass nell'eeprom
:bai

Kirk78
22-12-11, 10: 50
intendevo nel portatile che sistemo nel pomeriggio
ok.

extensa 5220 memorizzi l'hash della pass nell'eeprom
Ma nel manuale tecnico dell'Extensa (che hai anche tu) parla anche di poter staccare la batteria...
Comunque tu come ponticelleresti il bridge G39? Non ho una buona foto per vedere se posso aiutare.
:bai

cydonia
22-12-11, 13: 27
http://img39.imageshack.us/img39/1885/cartemereacerextensa.th.jpg (http://img39.imageshack.us/i/cartemereacerextensa.jpg/) http://img6.imagebanana.com/img/6697rax0/Immagine.png (http://www.imagebanana.com/) dovresti vedere meglio- p.s scusami ma sono di fre. bye

Kirk78
22-12-11, 13: 35
LadyHawke, vedo che è un bridge con 2 ponticelli: ce ne hai qualcuno collegato?
:bai

LadyHawke
22-12-11, 15: 30
Ragazzi, mi spiace di non aver aggiornato, ma, a parte che c'era poco da aggiornare, anch'io in questi ultimi giorni prima di Natale sono un po' (eufemisticamente parlando) di corsa: ieri ho provveduto personalmente a ponticellare fino allo sfinimento il G39, e già che è dura perché ci va poco più che una punta di spillo (ho dovuto usare il filamento interno degli spagini metallici che si usano per i cavi per lavorarci con due mani ed essere sicura di circuitare), c'è voluta pure una buona lente di ingrandimento.... risultato = nullo

http://images.collectiontricks.it/images/75559988557890368190_thumb.png (http://images.collectiontricks.it/viewer.php?file=75559988557890368190.jpg)

Questo se il contatto è effettivamente il G39, perché mi pare che qusta scheda madre che ho io non sia esattamente come quella che esponete voi e io il manuale non ce l'ho, e su quello scaricato dalla Acer non si parla di reset Bios.

Ho fatto un nuovo test sull'MBR del disco e sembra a posto: quella teoria che il Grub non sia attaccabile dal rootkit presente nel Bios è sempre più verosimile.

Sono in attesa che mi riportino il primo PC, vedremo se avremo più fortuna con quello

:bai

Andy86
22-12-11, 15: 50
:bai

Parlo per esperienza indiretta, perché l'ho imparato da mia madre che lavorava sui televisori e che a sua volta lo ha imparato dalla caporeparto, però per creare un ponte dovrebbe essere sufficiente sciogliere una goccia di stagno sufficientemente grossa da toccare entrambe i contatti; oppure ci metti anche un pezzo di filo saldato di qua e di là. :sisi

In ogni caso se non hai saldato non capisco come tu possa essere riuscita a chiudere il contatto, visto che poi la devi montare e alimentare. :m:

Se poi hai un buon saldatore a stagno è incluso anche l'attrezzo (una specie di siringa) per rimuovere il ponte una volta finito, basta risciogliere lo stagno, e prima che raffreddi succhiarlo via.

Ammetto che ci vuole una certa manina, ma se hai dimestichezza con certi lavori dovresti farcela. :sisi

Kirk78
22-12-11, 16: 11
In ogni caso se non hai saldato non capisco come tu possa essere riuscita a chiudere il contatto, visto che poi la devi montare e alimentare.
I bridge dovrebbero esser fatti per poter inserire un piccolo ponticello, a quanto pare micro, senza dover saldare (perché poi tra l'altro lo devi anche sopo togliere).
Attendiamo che ti arrivi il primo PC... però è misteriosa questa cosa.... ci mettiamo tutto l'impegno possibile con il tempo (poco) a disposizione. Auguri comunque!
:bai

Andy86
22-12-11, 19: 28
:bai


(perché poi tra l'altro lo devi anche sopo togliere).

Come dicevo:



Se poi hai un buon saldatore a stagno è incluso anche l'attrezzo (una specie di siringa) per rimuovere il ponte una volta finito, basta risciogliere lo stagno, e prima che raffreddi succhiarlo via.

La specie di siringa sarebbe questa:

http://www.elettronica-hobby.com/catalog/images/Saldatori_Dissaldatori_Stagno/2052625.jpg

Kirk78
22-12-11, 20: 17
Assolutamente vero. Ma essendo piccolissimo c'è il rischio di rovinarlo è per questo che mi sono permesso :ehmm di dire che è meglio non usare il saldatore (imho sempre).
Un po' come quelli, molto più grossi fortunatamente e veri e propri switch, degli HDD per Master / Slave / CS o per il tipo di ram sulle motherboard.
1650
:bai

cydonia
23-12-11, 07: 51
@LadyHawke

Questo se il contatto è effettivamente il G39, perché mi pare che qusta scheda madre che ho io non sia esattamente come quella che esponete voi e io il manuale non ce l'ho, e su quello scaricato dalla Acer non si parla di reset Bios.
dovrebbe essre lo stesso,ho ruotato l'immagine che ho inserito precedentemente con la tua,anche se e' sfocata si dovrebbe capire lo stesso.
http://img6.imagebanana.com/img/ygbgpuwu/Selezione_002.png (http://www.imagebanana.com/)
ora guardando questo (http://translate.google.it/translate?sl=nl&tl=it&js=n&prev=_t&hl=it&ie=UTF-8&layout=2&eotf=1&u=http%3A%2F%2Fwww.helpmij.nl%2Fforum%2Fshowthread .php%2F421089-Bios-wachtwoord-Verwijderen-%28-Hoe-DIP-Switch-gebruiken-%29&act=url) sito olandese(tradotto) oltre a quei 2 triangoli dovresti collegare anche il punto sotto la scritta G39
riporto i punti salienti:

Ciao, oggi fatto con me.
Successo, anche se in un primo momento ho avuto la testa dura.
La soluzione è stata idd il tedesco Acer sito / forum.
E 'il G39, che funziona se lo metti su tre punti di corto circuito.
Se guardate attentamente sono i due triangoli e un punto sotto, se ci si connette 3 e poi accendere su di essa (almeno per me) è riuscito.


Idd i due triangoli e poi giù sotto G39 (scritto) oltre a quattro ckontakten altri è il terzo (rotondo). L'ho fatto con una graffetta e un cacciavite di precisione (ss bene insieme, ma questo va da sé). Il metodo più semplice sarebbe terza mano lì (ss pomeriggio non era presente). Se necessario, cerco ancora di fare una foto (e modificare). Successo http://www.helpmij.nl/forum/images/smilies/thumb-up.gif
bella trad:ghgh,questo tizio mi sa che e' macgyver,graffetta cacciavite..ma:shock
dovrai saldare e poco ma sicuro,ma bisogna saper saldare gli elementi sono piccoli
il sito dell'acer e post che fanno riferimento e' questo (http://translate.google.it/translate?sl=de&tl=it&js=n&prev=_t&hl=it&ie=UTF-8&layout=2&eotf=1&u=http%3A%2F%2Fwww.acer-userforum.de%2Fbios-bios-updates%2F10100-extensa-5220-wie-kann-ich-das-bios-passwort-zuruecksetzen.html&act=url),come traduzione e' peggio dell'altra pero' se qualcuno sa il tedesco piu' facile da trovare che l'olandese i faccia avanti

io il manuale non ce l'ho, e su quello scaricato dalla Acer non si parla di reset Bios.

quello e' il manuale utente,il manuale di servizio per operatori lo trovi anche all'interno del primo post del sito olandese
:bai

janet
23-12-11, 14: 50
ehm mi inserisco perchè ho letto tutta l'interessantissima discussione e mi chiedevo, anche rileggendo l'articolo di Giuliani se le caratteristiche di quanto trovato non corrispondono esattamente, potrebbe anche non essere il menbroni ma una variante sempre partendo dal rootkit IceLord BIOS pubblicato nel 2007, come dice Giuliani ?

Kirk78
23-12-11, 14: 58
dovrai saldare e poco ma sicuro,ma bisogna saper saldare gli elementi sono piccoli :shock acciderbolina! Nella mia vita ho saldato e dissaldato praticamente qualsiasi cosa da condesatori enormi a microchip minuscoli, ma mai per switch o bridge... Ora devo andare ma vedo di leggere il link meglio dopo ... cacciando MacGyver :ghgh. Io comunque per non sapere ne leggere ne scrivere ho inviato una mail ad Acer ... e vediamo se mi rispondono... Non si sa mai, anche se ci credo ... ZERO. A dopo. :bai P.S. bella domanda janet. Ma forse LadyHawke ha avuto un alert da qualche liveCD antivirus su una delle macchine? Comunque vediamo di risolvere l'azzeramento del BIOS e magari ci illumina. Stavo pensando che sarebbe praticamente il titolo della discussione dopo i primi post... e se si spostasse parte della discussione con il titolo:
< come si azzera la bios dell'Acer Extensa per debellare un virus che lo ha attaccato? >

magari qualcuno che ha dirette esperienze e non ha letto questa discussione potrebbe aiutarci, sopratutto LadyHawke. Pensateci. Imho sempre e comunque!

LadyHawke
23-12-11, 16: 26
potrebbe anche non essere il menbroni ma una variante
Io sono convinta che è così: avevo espresso dubbi sul mebromi originale diversi posts fa ma per le caratteristiche e ostico com'è deve essere una variante. Purtroppo per averne la certezza dovrei mettere le mani su qualcuno dei files infetti che danno il via all'infezione, che purtroppo, sulle macchine che ho a disposizione avevano già fatto una brutta fine prima che mangiassimo la foglia sul tipo del malware.

Ragazzi, mi spiace ma non posso mettermi a rischiare con le saldature: se il pc era mio, forse anche si, ma così non posso :triste

Ringrazio kirk78 che si era offerto personalmente di inviarmi il manuale operativo Acer, per adesso il notebook incriminato dovrà lavorare con Linux

:bai

Andy86
23-12-11, 17: 03
:bai


Ragazzi, mi spiace ma non posso mettermi a rischiare con le saldature: se il pc era mio, forse anche si, ma così non posso :triste

Allora forse non ti resta che utilizzare un pezzo di filo con del nastro isolante o altrimenti qualche colla speciale (dubito che esista), però qualcosa deve rimanere attaccato, altrimenti è difficile mantenere il collegamento a scheda accesa senza fulminarsi, temo. :sisi

Kirk78
23-12-11, 22: 04
Figurati LadyHawke, quello che posso fare lo faccio.

per adesso il notebook incriminato dovrà lavorare con Linux
Essendo un portatile potrebbe anche virtualizzare il sistema operativo windows con la licenza OEM della macchina. Oppure gli piacerà talmente linux che abbandonerà windows: Linux +1 win -1 :oo2
Spesso le persone hanno paura ad usare linux perché "abituati" a win o pensano che sia di una difficoltà enorme. Poi lo provano per un pò di tempo e non lo lasciano più perché si ritrovano il solito firefox, thunderbird, vlc, openoffice, gimp. Ho una decina di persone che dopo che gli ho installato linux mi hanno detto "se l'avessi provato prima...". Una sola è voluta tornare "indietro" perché voleva giocare.
Auguri al nuovo utente linux!
:bai