MBR vírus írtás... hogyan?

Security-all

Üdv!

Frissített NOD32 tegnap este beriasztott a következő scan eredménnyel:
http://pastebin.com/gNzu0kWs

Mit tudok neki csinálni? NOD32 azt mondja hogy nem tudja megtisztítani az objektumtípust. Ötletek?

Előre is köszönöm!

  • 3749 megtekintés

Már ne haragudj, de ez így egy zagyvaság. Az a 64 bytes az a partíciós tábla, mitől lenne az igazibb információ mint bármi más, ennek így semmi értelme. Ha meg "kimenti" akkor minek particionálna újra, attól milyen "minimális mbr-kód" lenne benne a miben is? Egy sima partícionálástól nem kerül az MBR-be boot loader ha arra gondoltál. Jelen esetben a partíciós tábla külön "kimentésének" semmi értelme, az egész MBR-t érdemes menteni, hogy maradjon mentés, de azt érdemes amúgy is menteni egy hibátlan rendszer esetében is, sose lehet tudni alapon.

Én egyébként fognék egy bootice-t a működő win7-en, beleírnék vele pl. egy grub4dos-t az MBR-be, aztán visszatenném vele a win7-es loadert rögtön utána. Szerintem ennyi, pár másodperc, aztán jöhet a vírusellenőrzés.

( LLZoli | 2011. 04. 02., szo – 15:55 )

bebootolsz telepítő cdről, xp esetén helyreállító-konzolon fixboot fixmbr parancsok, vista+ esetén szintúgy dvdről bootolva kéred a helyreállítási lehetőségeket.

( Kayapo | 2011. 04. 02., szo – 16:02 )

Live CD (pl.: ubuntu, linuxmint), teszel fel clamAV -t és reménykedsz, hogy mindenhol megtalálja.
Esetleg Avast -al boot idejű scan

----
올드보이
http://molnaristvan.eu/

( sjz | 2011. 04. 02., szo – 16:31 )

Nálam mostanában volt legalább 3 gép, ami bekapott valami durva disznóságot, semelyik víruskereső nem jelezte, de a gép viselkedése alapján tuti volt a baj.
(Eltérített oldalak, vírusadatbázist nem engedte frissíteni, néhány senkinek sem hiányzó process, stb). Sajnos volt olyan gép is ahol teljesen olvashatatlanná vált a disk Win alatt (raw file rendszer, ilyenek). Adatmentés után kipróbáltam pár dolgot, a TestDisk mindnél segített, volt ahol nem látta egyből az információkat, de a Deeper Search opcióval boldogultam. A programmal ki tudsz írni jó adatokat a diskre.
Persze lehet eltérő a helyzet nálad, ezek az mbr-es kártevők sok érdekes dologra képesek. Adatmentés mindenekelőtt, aztán lehet kísérletezni.

Szerk.: most néztem, amit felraktál, természetesen a fertőzött fájlokat mindenképpen töröld, ha semelyik vírusirtó sem tud segíteni.
A temp állományok és a registry kitakarítása is fontos, ezt a CCleaner (a piriformos) kiválóan megcsinálja. Van még néhány egyéb dolog, amit érdemes megcsinálni pl.: a rendszervisszaállítást kikapcsolni a nagytakarítás előtt, de komplett leírásokat is találsz a neten.

( sany | 2011. 04. 02., szo – 17:04 )

Ha sikerült a művelet, azt a nod32-t cseréld le avast-ra.

Nekem(igaz nem mbr-ben) 3 fertőzött fájlt nem észlelt a nod32.
Az ikszpé fura viselkedés után tettem fel avast-ot, eztán jó lett a gép
és nod32 repült.

Vakard le mindet! A gép erejének 20-30% -át kidobod az ablakon.
Csak mint "korlátozott felhasználó" használd a gépet, tapasztalataim szerint így hónapok alatt szedett össze néhány szutykot, de az is csak a felhasználói profilt fertőzte. Időnként, vagy ha furcsákat tapasztalsz szkenneld avira -val (Linux boot, a már amúgy is fertőzött rendszert nem használja).

* Én egy indián vagyok. Minden indián hazudik.

( neutrino v | 2011. 04. 02., szo – 18:16 )

Win 7 rendszer van... kimaradt a leíránból...
-------------------------
127.0.0.1 SWEET 127.0.0.1

( tomtyi | 2011. 04. 02., szo – 19:59 )

Kaspersky Rescue Disk 10, letöltöd, vagy kiírod cd-re, vagy UNetbootin-nal pendrive-ra, vagy szintén az UNetbootin-nal akár ki sem írod, hanem a hdd-ról való bootolást választod. Ekkor az újraindítás után a KAspersky Disk iso-járól boot-ol. Ha root-eres/madzagos a neted, semmit sem kell tenned, ha wifi, akkor kérdezz, ha nem tudod, vagy nem megy. Linux (Gentoo) alapú, természetesen.
Ha neten vagy, először frissítsd az adatbázist, utána mehet a menet.

________________________________________
"The vision of Christ that thou dost see
Is my vision’s greatest enemy."

( neutrino v | 2011. 04. 03., v – 14:24 )

Az szerintetek jó lesz, ha Hirens-el leirtom az MBR-t (MRB reset), utána pedig a win telepítő CDvel repairrel visszacsináltatom?

-------------------------
127.0.0.1 SWEET 127.0.0.1