Vírus a boot-szektorban

**djarni** · 2008-09-01, 15:29

Szóljon ez az írás annak, aki hasonló problémával találja magát szembe, illetve azoknak, akik még több tanáccsal tudnak ellátni engem is

Ugyanis 1 hónapon belül 2x fertőzte meg a gépemet. Az első alkalomnál egy kemény egész nap elment azzal, hogy helyrehozzam a dolgot úgy, hogy az adataim nem vesszenek el, ami akkor igen nagy kárt okozott volna (persze most és, és mindig is). Szóval "vért izzadva" rájöttem a megoldásra, így mivel ma is megtalált a kis féregecske pár perc munkával helyrehoztam a dolgot.
De félek, hogy újra megtalál, és végül teljes rendszerösszeomlás lesz a vége, ezért aki többet tud erről, vagy találkozott már ilyennel, esetleg tudja a tökéletes megoldást, kérem írja meg.

Ha ehhez hasonló üzenetet dob ki a vírusírtó..

fizikai lemez MBR szektora. contains trójai Win32/Mebroot. K.

Arról szól az egész, hogy a féreg megtámadta a winchester elsődleges boot-szektorát, és a poén az egészben, hogy "nem írtható" Hiába próbálom akármilyen vírusírtóval (nod32 és társai), vagy kémprogramírtóval (spybot..), semmi sem képes eltávolítani a fertőzést.
Aki kicsit is járatos a vírusokban, tudja, ha egy merevlemez boot-szektora sérült, vagy fertőzött az nagyon komoly problémát jelent, és az operációs rendszer újratelepítésével sem szűnik meg a probléma. Ugyanis az a legelső amit betölt a gép, ami a bootszektorban van, így még az op-rendszer beltöltődése előtt aktívizálódik.
Ilyenkor szokták régen azt alkalmazni, hogy egy másik adathordozóról (hdd, cd, flopy) töltik be a rendszert, ami teljesen tiszta, nem fertőzött, és onnan indítva a vírustírtót, a másik merevlemezről megpróbálják kiírtani.

Nos itt ez sem segített!

A megoldás:

Át kell írni a merevlemez MBR szektorát. Ezt több féle képpen lehet.
Windows indítása (telepítő lemezről) F8-al megszakítva, és a helyrállító konzol betöltése. ott pedig a fixmbr használata.

Én viszont egy Windows miniPE cd-ről boot-oltam a gépet, ott Fixmbr programmal írtam át, és a vírus eltűnt

Nos, mivel már másodszor fordult elő velem, aki tud jobb megoldást, esetleg valamilyen megelőzést erre a célra, ne tartsa vissza, tegye közzé.

Köszönöm!

Hasonló témák:

**Stefan Weinenberger** · 2008-09-01, 15:54

Milyen operációs rendszert használsz, és mennyire preferáltan frissíted? A másik kérdés, az pedig az, hogy te magad milyen módon segíted elő a terjedését ennek és még más ilyen programnak.

Ebben a fórumban van egy két tipp erre vonatkozólag. Pc fórum

stefan

**djarni** · 2008-09-01, 16:04

Valószínűleg mindent elolvastam a neten, amit erről írnak, ugyanis nem találtam sok információt. A pc fórumot is láttam még múltkor.

Xp-t használok, és természetesen naprakész frissítésekkel. Nod32, spybot, tűzfallal régen foglalkoztam (kerio), de ma már nem, hagyom a windows xp saját tűzfalát, meg ami a rooterben van, ennyi. Természetesen ezek a védelmi alkalmazások is mindig frissítve vannak. Szóval, amilyen védelemmel illik egy gépet ellátni, az megvan

**AnagyZ** · 2008-09-01, 16:30

Megelőzés:

kell hozzá: 1db ubuntu cd kiírva, 1db usb cerka

mindegyik művelet úgy kezdődik hogy ubuntu lemezről bootolsz aztán bedugod a cerkát, nyitsz egy terminált. (feltétel mbr a hda van)

1. mbr mentése: dd if=/dev/hda of=/ahovamented/mbrmentes.bin bs=446 count=1
2. visszatöltés: dd if=/ahovamented/mbrmentes.bin of=/dev/hda bs=446 count=1

ahovamented=a cerka útvonala általában /media/disk

akkor is zsír ha nem veszed észre és már el se indul, mert a kezdő byt az 1 és az mbr vége 446 ami az 512-ből hiányzik az a part.táblák azt is mentheted akkor a 446-ot átírod 512
FONTOS: AZ ÍGY ELKÉSZÍTETT MENTÉS CSAK UGYAN ARRA A GÉPRE TEHETED VISSZA!!!

remélem segít

**djarni** · 2008-09-01, 18:34

Nos, ez jól hangzik, de úgy néz ki órákat kell majd vegyek Jozsó bá-tól Linux ügyben

http://seo.forum.hu/showpost.php?p=52250&postcount=155

Az ötlet akkor az MBR mentése, köszönöm. Gondolom másként is lehet menteni, ha netán nem boldogulnék a Linux-szal.

**Szikar** · 2008-09-01, 19:10

Nos mivel XP-t használsz, az általad írt megoldás is megfelelő. Az MBR mentése ebben az esetben felesleges.Ha linuxot, vagy más egyéb oprendszert használnál akkor lenne értelme a mentésnek.

Mellesleg ha nem játszol a windows alatt, akkor inkább rakj fel egy Ubuntut. Tényleg jó, és ugyan olyan könnyű használni, mint a windows-t. Sokkal stabilabb, gyorsabb a windows-nál.

**AnagyZ** · 2008-09-01, 20:38

nem nehéz csak a két sort pötyögd be

**syshost** · 2008-09-04, 12:18

Sajnos az utobbi időben sokat küzdöttem én is ezzel a problémával az ügyfeleim gépén! De sikerült a megoldás!

A Win32/Mebroot. K irtására 2 megoldás szolgál!

1. Win32/Mebroot. K hxxp://freedrweb.com/cureit/ oldalról letöltöd a CuteIt ingyenes programot,lefuttatotod és ujrainditás után leszedi, mielőtt az a memóriába kötne ki! Sajnos az összes ismert virusirtó egyike sem szedi le, egyedül csak a Cute IT.

2. Windows intall lemez, javitókonzol és fixmbr parancs (remélem egyértelmű, nem kell kifejteni)

**Gabesz** · 2008-09-05, 14:01

Sziasztok tudsz nekem abban segíteni hogyan lehet az állandó rendszer riasztást megszüntetni mert már a vírus irtót is le futattam és ki irtotta a virust,de még mindig villog itt az óra melett.

**syshost** · 2008-09-05, 19:37

Gabesz!
Több kérdésem is lenne:
- milyen virusírtót használsz ami neked villog az óra melett?
- milyen operációs rendszer?
- leirtottad, akkor miért van még állandó rendszerriasztást, illetve kellene a pontos riasztás hibaüzenete!