Jakies swinstwo w MBR 8|

Witam,

Otoz problem mam nastepujacu: w zeszlym tygodniu moj PC zostal zaatakowany przez jakiegos virusa (Sigfraud-C), szczesliwie udalo mi sie wyplenic (nie do konca) to ustrojstwo i uratowac system operacyjny. Zauwazylem jednak MBR dysku jest zainfekowany.

Objawy sa nastepujace:

• niemozliwe jest uruchomienie z jakiejkolwiek bootowalnej plyty CD (hiren's boot, instalka windowsa itd) kiedy zainfekowany dysk podlaczony jest do komputera

• niemozliwe jest bootowanie ze stacji dyskow kiedy zainfekowany dysk podlaczony jest do komputera

• proba naprawienia MBR pod linuxem konczy sie wielkim bum i resetem kompa

The Question is:

Jak pozbyc sie tego swinstwa?

Zmień w ustawieniach bios'u kolejność bootowania, jeśli nadal z płytki nie odpalisz niczego, to wirus musi siedzieć w biosie

nub napisał(a)

Zmień w ustawieniach bios'u kolejność bootowania, jeśli nadal z płytki nie odpalisz niczego, to wirus musi siedzieć w biosie

Virus nie siedzie w biosie tylko w MBR jednego z dyskow. Jesli odlacze ten dysk a zostawie inne podlaczone to komputer zachowuje sie normalnie.

Podłącz inny dysk jako PIERWSZY dysk, zainfekowany zostaw jako drugi i spróbuj odpalić co tam chcesz

nub napisał(a)

Podłącz inny dysk jako PIERWSZY dysk, zainfekowany zostaw jako drugi i spróbuj odpalić co tam chcesz

Dzisas, wez poczytaj najpierw opis problemu a potem odpowiadaj. Ile razy mam sie powtarzac? Wystarczy ze ten zainfekowany dysk jest podpiety (obojetnie czy jako bootojacy czy nie) i juz komp nie dziala. Czy to takie trudne do pojecia?

W takim razie to nie wina MBR - być może uszkodzenie elektroniki lub choćby taśmy. MBR w dyskach nie ustawionych do bootowania w ogóle nie jest czytany, więc gdybyś posłuchał nub'a, a miał rzeczywiście wirusa w MBR, komp by Ci ruszył.

a system z tego zainfekowanego dysku startuje?

możesz spróbować jeszcze podpiąć hdd pod usb (na allegro są przejściówki)

Tak jak pisałem:

• odłączony zainfekowany dysk (odlaczone zasilanie), bootowanie ustawione na floppy disk -> komp startuje, dyskietka startowa wczytuje sie normalnie

• gdy dysk jest podlaczony, bootowanie ustawione na floppy disk, zainfekowany dysk usuniety calkowicie z listy bootowania -> dyskietka startowa zaczyna sie wczytywac lecz w pewnym momencie jest freeze i koniec, to samo hiren's boot dochodzi do momentu kiedy wczytane ma byc menu i stop

System z zainfekowanego dysku wczytuje sie normalnie. Kiedy odlacze zainfekowany dysk i podlacze inny dysk, zaden z opisanych problemow nie wystepuje. Tak wiec problem tkwi w dysku. Jakies propozycje?

//edit:
ups.... Wybaczcie nie doczytałem....

Jaki to jest dysk(ata, sata, sata2, coś innego)?

cyriel: przeczytaj jeszcze raz to:

• niemozliwe jest uruchomienie z jakiejkolwiek bootowalnej plyty CD (hiren's boot, instalka windowsa itd) kiedy zainfekowany dysk podlaczony jest do komputera

• niemozliwe jest bootowanie ze stacji dyskow kiedy zainfekowany dysk podlaczony jest do komputera

• proba naprawienia MBR pod linuxem konczy sie wielkim bum i resetem kompa

Przeciez wyraznie napisal, ze nie moze zabootowac z plyty i z niczego innego jezeli ten dysk jest podlaczony, wiec nie wgra na nim linuksa. Poza tym po to zeby tylko wgrac GRUB albo LILO nie trzeba od razu instalowac calego systemu.

proba naprawienia MBR pod linuxem konczy sie wielkim bum i resetem kompa

A w jaki sposob to robisz? Rozumiem ze masz na tym dysku Linuksa i probujesz wgrac na nowo gruba? Oczywiscie robisz to w konsoli, wiec napisz co instalator gruba ci wywala (jakis error czy cos)

Ja jednak bym tez stawial na to, ze to sprawa elektroniki dysku a nie MBR

A może to świństwo siedzi nie w MBR, a w firmware dysku i w chwili wykrycia, że bootujesz coś z innego dysku lub próbujesz naprawić MBR to wysyła coś co zawiesza maszynę.

Hmm... Czy to na pewno poprawna nazwa wirusa? Google milczy na temat czegoś takiego, podobnie baza kaspersky'ego.
Chociaż teoria CyberKida jest też możliwa, wir mógł się wgrać to firmware dysku i teraz ciągle wysyła przy boocie nop'y do procesora

Ten wirus się chyba nazywa Smitfraud-C (tak podpowiada google ;-) ).
Niektóre programy(np. Paragon hard disk manager) do zarządzania dyskami potrafią odczytać/zmodyfikować wybrany sektor dysku - znajdź MBR, sprawdź czy nie ma tam czegoś podejrzanego i jeśli jest to ręcznie wytnij.