vir v mbr

Antivirové programy, firewally, viry, spyware, aktuální hrozby

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod wirus.k 10. 5. 2005 09:38

zdravim Vas,
mam vira v mbr, nemuzu zjistit jeho jmeno.... win xp se vubec neprihlasi. prosim poradte mi jak na nej... treba nejakou univerzalni utilitku nebo rucni odstraneni (pokud to jde)... diskety od avg nefungujou, neprihlasim se ani do nouzoveho rezimu,
diky moc za rady
(ps do formatu hdd se mi nechce)
wirus.k
Kolemjdoucí

Odeslat příspěvekod Fallen(smazano) 10. 5. 2005 11:51

...co to je mbr...je to snad motherboard...?
GUMO
Fallen(smazano)
Kolemjdoucí
Uživatelský avatar

Odeslat příspěvekod Ander 10. 5. 2005 12:01

wirus.k píše:zdravim Vas,
mam vira v mbr, nemuzu zjistit jeho jmeno.... win xp se vubec neprihlasi. prosim poradte mi jak na nej... treba nejakou univerzalni utilitku nebo rucni odstraneni (pokud to jde)... diskety od avg nefungujou, neprihlasim se ani do nouzoveho rezimu,
diky moc za rady
(ps do formatu hdd se mi nechce)


Cau, zkus nabootovat do konzole a zadej

fix mbr

Melo by to opravit MBR.
Nestaci znat, musime nase vedeni uplatnit.
Nestaci chtit, musime konat. (Bruce Lee)
Ander
Junior
Uživatelský avatar

Odeslat příspěvekod cache 10. 5. 2005 12:03

Fallen píše:...co to je mbr...je to snad motherboard...?

mbr = Master Boot Record (na pevnom disku)
Můj bože, to je budoucnost! Mí rodiče, přátelé, má dívka.. Už je nikdy neuvidím.. JUPÍÍÍÍÍÍ! (Fry s1e1)
cache
Pokročilý
Uživatelský avatar

Odeslat příspěvekod wirus.k 10. 5. 2005 12:16

tak ani fixmbr nebyl uspesny
wirus.k
Kolemjdoucí

Odeslat příspěvekod lední brtník 10. 5. 2005 19:42

přidej svůj zavirovaný disk do jiného pc s antivirem (jako 2.disk ať není bůůtovací), najdi vir, smaž.
lední brtník
Junior
Uživatelský avatar

Odeslat příspěvekod e-Jirka 10. 5. 2005 20:33

Imho vir v MBR neni az takova sranda. Jak ho odstranit nevim, ale jako prevence by mohlo pomoci "zamknuti" zapisu do MBR v BIOSu.
Life is not an exact science, it is an art.
e-Jirka
Junior
Uživatelský avatar

Odeslat příspěvekod mbing 11. 5. 2005 17:03

Já jsem ho jednou parádně potrápil s AVG záchrannou disketou ... respektive s 2 disketami (1: boot, 2: AVG).
Nemám problémy s alkoholem, mám problémy bez něj.
mbing
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod nanuk 11. 5. 2005 17:07

fdisk /mbr
nanuk
Kolemjdoucí

Odeslat příspěvekod JIV 31. 5. 2005 13:07

omg ....zoberes hocijake cd s windows(najlepsie win2k alebo xp)
tam sa pretukas do Prikazoveho riadku a napisem mbrfix alebo fixmbr teraz si nepametam (ked napises help by ti mal vsetky ulity vypisat)
a on ti oznamy ze zavadzac Win v mbr je poskozeny..spyta sa ci ho xces opravit, das y a enter a po resete ide setko aho hodinky
Ale ak mas nejaky win9x, tak radsej zober cd s win98 a tam potom napis fdisk /mbr
JIV
Pokročilý
Uživatelský avatar

Odeslat příspěvekod cache 31. 5. 2005 13:27

JIV píše:omg ....zoberes hocijake cd s windows(najlepsie win2k alebo xp)
tam sa pretukas do Prikazoveho riadku a napisem mbrfix alebo fixmbr teraz si nepametam (ked napises help by ti mal vsetky ulity vypisat)
a on ti oznamy ze zavadzac Win v mbr je poskozeny..spyta sa ci ho xces opravit, das y a enter a po resete ide setko aho hodinky
Ale ak mas nejaky win9x, tak radsej zober cd s win98 a tam potom napis fdisk /mbr


Vies citat? :roll:

wirus.k - 10.5.2005 13:16 píše:tak ani fixmbr nebyl uspesny
Můj bože, to je budoucnost! Mí rodiče, přátelé, má dívka.. Už je nikdy neuvidím.. JUPÍÍÍÍÍÍ! (Fry s1e1)
cache
Pokročilý
Uživatelský avatar

Odeslat příspěvekod Lemur 31. 5. 2005 18:44

Ja nekolikrat s uspechem pouzil rucni odstraneni, ale chce to nabootovat z jineho disku a mit nastroje na pristup na urovni sektoru. Velmi dobry je na to stary Norton Disk Editor, ale ja to vetsinou delam z nejakeho live Linuxu, a to takto:

1) Ulozim prvnich 63 sektoru disku do souboru pomoci dd.
2) Prepisu nulami vse od ofsetu 0x000 do 0x1BE (tam zacina samotna tabulka rozdeleni). To znici bootloader viru.
3) Prepisu nulami vse od 0x200 (od znacky 0x55 0xAA) do konce souboru. To znici zbytek viru.
4) Nahraju soubor zpet na zacatek disku zase pomoci dd.
5) Nabootuju windowsi CD, spustim opravnou konzolu a pouziju fixmbr a fixboot, tim by se mel znovu zapsat bootloader Windows. Jinak Windows nenabootuji.

Pokud je ale tabulka rozdeleni nepristupna, tak ji vir zdrejme relokoval na nektery ze sektoru 1 az 63. V tom pripade je nutne onen sektor najit a nahradit jim sektor 0. Potom se muze uz postupovat jako v predchozim pripade.

Pokud tabulku rozdeleni nenajdete, tak ji virus zakodoval nebo ulozil buhvikde. Pokud byl disk nerozdeleny, tak staci vetsinou znovuvytvorit tabulku tak, aby obsadila cely disk. Pokud byl disk rozdeleny ... uf, tak to rucne pujde jen velmi tezko, tak to radeji nejaky lepsi nastroj na obnovu smazanych dat.
Lemur
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod a 31. 5. 2005 19:29

fdisk /mbr

//Athilles ... jsi normální, zkus si přečíst vrchní příspěvky v tomhle threadu :!:
a
Mírně pokročilý

Odeslat příspěvekod WURMi 1. 6. 2005 01:14

Lemur: Klobuk dole nad tvojimi znalostami architektury MBR. Pripadas mi ako keby si zamladi sam vyrabal taketo virusy ;) Ja som takto tiez kedysi ovladal architekturu EXE suborov. Ale to s virusmi nemalo nic spolocne ;)
WURMi
Junior
Uživatelský avatar

Odeslat příspěvekod frn 1. 6. 2005 06:02

e-Jirka píše:... ale jako prevence by mohlo pomoci "zamknuti" zapisu do MBR v BIOSu.


To bude těžko fungovat (pro všechny viry) - tato ochrana je v provozu jen pokud se používají diskové utility z BIOSu - a ty jsou odstaveny po natažení jádra operačního systému (platí pro linux i Wokna), protože přepínat se z chráněného do reálného modu jen kvůli načtení/zápisu jednoho sektoru na HDD je pěkný opruz.

BTW ten postup (šachování s MBR nakopírovaném do souboru) je sice pěkné, ale zbytečné. Jednodušší je :

1) nabootovat linux (třeba i nějakou live disribuci)

2) udělat si kopii MBR (pro případ že to zvoráme :)
dd if=/dev/hda of=<zaloha_MBR_vc_cele_cesty> bs=512 count=1

3) spustit si fdisk a zapsat si rozdělení disku (vč. typů partišen !! a aktivní partišny)

4) přepsat MBR nulami
dd if=/dev/zero of=/dev/hda bs=512 count=1

5) spustit znovu fdisk

6) vytvořit partišny podle poznámek z bodu 3)

7) nainstalovat do MBR zavaděč - nejjednodušší je "klasika"
7a) nabootovat DOS/Wokna a zadat "fdisk /mbr"


Vtip je v tom, že linuxový fdsik _NE_sahá na obsah disku - partišny parceluje jen podle záznamů v jednotlivých PTBL; samotné formátování by se muselo udělat jako další krok.
Pokud tam tedy máme nějaká data (= existuje nějaká naformátovaná partišna), bude po vymazání MBR a znovunastavení hranic zase přístupná !

A na ty možné zbytky viru v dalších sektorech první stopy se kliidně vybodněte - sem se data nezapisují, takže ani nečtou a nikdo po jejich obsahu nebude pátrat (spíš hrozí, že by se při jejich mazání mohla poškodit první partišna a za takové riziko to nestojí).
frn
Junior


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků