Wirus w MBR

Witam

stacjonarka, Asus K8V-X/SE, Sempron 3000+,
Do naprawy komputer, który się uruchamia, ale po wyświetleniu informacji z BIOS pozostawał tylko migający kursor. Jako że dla klienta najważniejsze były dane, wypiąłem dysk i podłączyłem przejściówką do laptopa z nowym systemem. Dysk bez problemu pozwolił zgrać wszystkie dane.

Dysk został przeskanowany KIS, z 15 drobnych wirusów i jeden w MBR, niby usunięty. Zmiana na Avast, parę wirusów, ale w MBR znowu jakiś. Nazwy nie pamiętam, ale sprawdziłem go w Google. Niby nic wielkiego, powoduje zmiany w ustawieniach Windows, ale nic groźnego. Postanowiłem naprawić sektor startowy, konsola odzyskiwania Windows, ale fixmbr i fixboot nie pomogły. Naprawa Windows również, stawała po pierwszym restarcie, nie szła dalej.

Przedwczoraj dwa nowe kompy. Pierwszy u brata staje na pulpicie, nie pokazuje się pasek zadań. Pomogła naprawa windows z płyty (wszystko na telefon). U klientki jednak pomogła dopiero reinstalacja systemu, nie miałem czasu na dokładne skanowanie itd, bo laptop potrzebny do pracy.

Teraz mam pytania:
- jak usunąć skutecznie wirus z bootsektora, najlepiej z samobotującej płyty?
- czy jest metoda zmusić kompa, by zastartował z partycji C?
- jak wykasować sam sektor MBR i utworzyć od nowa?
- jak zrobić te rzeczy bez pendraków i podłączania dysku do swoich komputerów, ewentualnie jak potem skutecznie wyczyścić pendaka czy dysk?

Takie zachowanie niekoniecznie oznacza uszkodzenie MBR. Sprawdź czy laptop startuje z innego dysku, jeśli nie problem może leżeć po stronie SB. Sprawdź kolejność bootowania w bios.
Skutecznie naprawia się mbr za pomocą fixmbr z poziomu konsoli. Aby komputer startował z danej partycji musi ona być aktywna

PS.Wydaje mi się że temat nie pasuje do tego działu

kmkm2 napisał(a):
PS.Wydaje mi się że temat nie pasuje do tego działu

Ze stacjonarki pierwsze o co spytał klient, to czy da się odzyskać dane. A teraz jeśli ktoś był zapobiegliwy, założył hasło na Windows, to nawet po podpięciu dysku do drugiego kompa i tak dostep do danych z pulpitu czy moje dokumenty jest utrudniony. Czy aby wirusy to nie najczęstszy powód utraty danych (no może zaraz za głupotą)?

Odpowiedzi:
Zawsze przy problemach daję ustawienia domyślne, pod XP sprawdzam, czy ktoś nie włączył AHCP.
W obu problematycznych komputerach dało się postawić na nowo system. Na pierwszym na nowym dysku, na laptopie wystarczylo go przeinstalować.
Jak pisałem fixmbr nie pomógł mi puki co ani razu.

Po użyciu fixmbr oraz fixboot oraz ustawieniu partycji jako aktywnej powinien z niej bootować. Do naprawy mbr można też użyć na przykład MBRFix (działa ok).

W jakiej kolejności używać komend? Jak nie w windows sprawdzić, czy partycja jest aktywna, w razie co jak nie w windows ją aktywować?
Czym się różni komenda fixboot od fixboot c?

Komend można użyć w dowolnej kolejności, ja robię najpierw fixmbr później fixboot. Aby sprawdzić czy partycja jest aktywna można użyć np partitin magic, paragon menager, jakiegoś linuxa live.

Aby sprawdzić czy partycja jest aktywana nie trzeba wcale dodatkowego oprogramowania.
Windowsowy FDISK też wyświetla czy partycja jest aktywna, Windowsowy manager partycji także to potrafi.

Tak zgadza się ale mówimy o sytuacji kiedy nie można uruchomić systemu, oraz nie mamy innego komputera pod ręką.

Zgadza się, ale kolega zaproponował

partitin magic, paragon menager

- w sytuacji kiedy nie można uruchomić systemu, oraz nie mamy innego komputera pod ręką - oba te programy są bezużyteczne.
Tak czy inaczej jakis OS trzeba uruchomić a te już natywnie mają jakieś narzędzie do partycji.

Swoją drogą polecam "zaopatrzenie się" w Hiren's BootCD
Używam tego od lat i nigdy mnie nie zawiódł - no może z raz

Jeżeli kolega będzie mieć możliwość podłączenia dysku do innego komputera polecam programik EasyBCD.

sisk1 napisał(a):Jak nie w windows sprawdzić, czy partycja jest aktywna, w razie co jak nie w windows ją aktywować?

Do sprawdzenia czy partycja jest aktywna wystarczy edytor HEX.

Na przykładzie DMDE:



Zaznaczony kwadracik - bajt 446 pierwszego sektora na dysku (LBA:0) wskazuje:
00 - partycja nieaktywna
80 - partycja aktywna

Do podglądu i edycji ręcznej można użyć oczywiście innego programu niż DMDE, choćby ze wspomnianej płyty Hiren's Boot.

Nie wiem czy fixmbr działa tak samo jak polecenie fdisk /mbr , Przy problemach z botowaniem takiej komendy używałem potem zakładałem partycje i formatowałem.

Tak polecam Hiren's BootCD świetny zestaw narzędzi. Tak fdisk /mbr to to samo co fixmbr. Fdisk jest trochę starym programem i ma problemy z obsługą ntfs z tego co pamiętam . Jak widać metodę trzeba zawsze dobrać do posiadanych narzędzi. Na warsztacie na ogół ma się wszystko co trzeba, ale w terenie różnie bywa.

Dzięki za odpowiedzi, ale wracamy do początku, czyli odzyskania danych. Żeby naświetlić sytuację, podam przykład od kolegi z serwisu. Przychodzi klient ze stacjonarnym kompem. Twierdzi, że sie nie uruchamia. To komputer dyrektora działu w wielkiej firmie. Na dysku bardzo ważne dokumenty. Zatrudniony w owej firmie informatyk doszedł do następujących wniosków:
- sprzęt jest sprawny,
- komputer jest zawirusowany, ponieważ kiedy informatyk chciał przenieść dane pendrakiem, od razu zarażony został jego laptop, który też przestał sie uruchamiać.
- skanowanie antywirusem z płyty nie naprawiło systemu, usunęło część wirusów, ale czy tego najgorszego na pewno? Nie ryzykował zniszczenia kolejnego systemu.

Minimalnym waruniem sukcesu zadania jest skopiowanie danych czystych, bez wirusa, potem 100% wyczyszczenie dysku, postawienie świeżego systemu. Pełna radocha to usunięcie wirusa, przywrócenie normalnego botowania z dysku C, naprawa systemu do postaci sprzed awarii.

Ja widzę to mniej więcej tak: Trzeba zacząć pracę z narzędzi, które same mogą uruchomić komputer, najlepiej z płyty (Hirens, botowalna płyta antywirusa, itp.). Skanowanie całego dysku dwoma lub trzema antywirusami z płyt, potem dobrze by było czymś online (jak to zrobić, skoro nie da sie zrestartować kompa, wciąż pracujemy z systemu na płytce). Usunięcie bootsektora z ewentualnym wirusem w MBR. W tym miejscu mógłbym uznać, że dysk jest wolny od wirusów. Podpięcie drugiego dysku i zgranie danych. (Wciąż z systemu na płytce).
Teraz naprawa systemu na dysku, odtworzenie MBR, naprawa systemu.
Przez cały czas wolałbym nie podpinać problematycznego dysku do komputerów serwisowych. Jest możliwość podpięcia dysku do laptopa ze świeżym systemem, którego dysk od biedy wyzeruję choćby MHDD.

Tu poproszę o sugestie jakich narzędzi byście użyli na poszczególnych etapach. Odpadają narzędzia wymagające restartów, uruchamiane spod czyszczonego systemu lub podpięcia do innego komputera. Najlepiej samobotujące z płyt. Które antywirusy/prog. internetsecurity polecacie do zrobienia samobotującej płyty do czyszczenia systemów. Chodzi mi o to, by był skuteczny, ale też żeby szybko wykonać aktualną płytkę (z pełną aktualizacją baz) i żeby w miarę szybko wykonał skanowanie i czyszczenie.

Dziwne te działania rzeczonego informatyka - wszak każdy system, w przypadku przenoszenia danych za pomocą dysku USB/pendrive'a, ma mechanizmy zapobiegające uruchamianiu danych (DEP). Mechanizmy takie są czasem wbudowane nawet w BIOS komputera.
Zatem dziwi mnie, że zabezpieczenia komputera nie zabobiegają rozprzestrzenianiu się wirusa (?), tym bardziej, że sam miałem wiele dziwnych przypadków "zakażenia" systemu (łącznie z MBR) i nigdy nie było problemów z kopiowaniem plików na inny komputer.

Czy próbowałeś kopiować dane na komputer, który pracuje pod kontrolą systemu unix'owego (np. Linux)? Czy komputer z takim systemem (dysk komputera) również zostaje "zakażony"?

Też polecam coś unixo podobnego doskonale się do tego nadaje jakiś linux typu live np, knoppix, fedora, czy cokolwiek innego. Ten system na pewno nie zostanie zarażony po pierwsze to linux a po drugie jest na niezapisywanej płycie:)

Ja z kolei uwazam ze takie dzialanie (kolejnosc opisanych czynnosci) jest nieco niebezpieczne a wrecz nieodpowiedzialne!
Czyz nie jest priorytetem odzyskanie danych a potem ew. ich oczyszczenie?
Nie wspopminajac juz o takkim aspekcie jak skanowanie tysiecy plikow ktore i tak beda niebawem usuniete...

Dlatego dobrze jest skopiować dane za pomocą np. jakiegoś linuxa, jeśli jest do nich dostęp w ten sposób, a jeśli nie zrobić kopię 1:1 całej partycji/dysku. Potem można walczyć z czyszczeniem. Wszystko kwestia priorytetów czasami klientowi nie zależy na danych tylko na szybkim wskrzeszeniu systemu.

Vogelek23; Działań informatyków nie krytykuję. Im więcej zawalą, tym więcej zarabiam.
Co do zabezpieczeń to racja, ale do mnie rzadko trafiają komputery choćby bez antywirusa, a rzadko trafia mi się całkiem czysty sprzęt na serwis, bez infekcji. Zawala albo człowiek (zgadza się), albo soft jednak przepuszcza. Ile to razy włożyłem pendaka do komputera klienta, potem do swojego i mam alert. W serwisie każdego kompa traktuję ostrożnie. Tu akurat wirus był na serio paskudny, po zarażeniu system strasznie sie zamulał, na kompie nic nie można było zrobić, w końcu zawieszenie, po restarcie system sie już nie uruchamiał.
Nie napisałem, że miałem problem z samym skopiowaniem plików. Przegrałem je na laptopa, który był do sprzedaży. Potem dysk wyczyściłem i zainstalowałem system ponownie.
Nie lubię Linuksa, korzystam co najwyżej z wersji jednopłytowych. Pewnie jest tak dlatego, że nikt mi podstaw nie pokazał, a na samodzielną naukę nie mam już za dużo czasu. Mam w planach, ale nie na jutro, i to od dłuższego czasu. Do odzysku danych z hasłami czy wirusami ostatecznie mam na serwisie iBooka.

willyvmm, kmkm2: Macie rację, w takiej sytuacji archiwum powinno być priorytetem. Czym byście zrobili kopię 1:1?

sisk1 napisał(a):Czym byście zrobili kopię 1:1?

Na przykad program "ghost2k3" z bootowalnej FDD lub z pakietu HirensBoot