Toon posts:

[Windows 7] MBR geïnfecteerd, recoverypartitie verwijderen?

Pagina: 1
Acties:

woensdag 29 mei 2013 14:15

Acties:
  • 0 Henk 'm!
  • marnix007
  • Registratie: Januari 2004
  • Laatst online: 03-10 12:31

marnix007

Topicstarter
Beste mensen,

Xs4all heeft mijn studentenhuis afgesloten (/geblokkeerd) van het internet vanwege de Sinowal/Torpig/Mebroot rootkit op een pc in het netwerk. Nu speelt dit probleem al langer (al 3x eerder afgesloten) en ik heb dan ook op meerdere manieren al geprobeerd om van de rootkit af te komen. Wat ik al heb gedaan:

1) HitmanPro + TDSSkiller volledige scan en verwijderen van alle malware/virussen/rootkits etc
2) Booten met Kaspersky Rescue Disk 10. Hierbij ook weer Sinowal laten verwijderen.
3) ASWMBR gebruiken om de MBR te scannen en op te schonen.

Probleem is echter dat elke keer Sinowal terugkeert, omdat het zich in de MBR heeft genesteld. Als laatste redmiddel wil ik nu de betreffende pc volledige formatteren om van de zooi af te komen. Nu is het probleem dat het een laptop betreft waar geen windows-cd meegeleverd is. Ik wil eigenlijk de recovery partitie wel behouden, omdat de drivers van alle componenten nogal moeilijk te vinden zijn op internet.

Mijn vraag is dan ook of het mogelijk is om alleen de MBR te wissen en opnieuw aan te laten maken, zonder dat de recovery partitie onbruikbaar wordt.

woensdag 29 mei 2013 17:04

Acties:
  • 0 Henk 'm!
  • mrtnptrs
  • Registratie: Januari 2011
  • Laatst online: 11-09 15:14

mrtnptrs

You idiot!

Misschien lukt dit wel met Hitmanpro.kickstart, want misschien houdt het virus het verwijderen van zichzelf tegen. Met kickstart start je HitmanPro zonder dat een virus kan starten. Google er maar eens naar.

Are you comparing me to God? I mean, it’s great, but so you know, I’ve never made a tree.

woensdag 29 mei 2013 23:55

Acties:
  • 0 Henk 'm!
  • marnix007
  • Registratie: Januari 2004
  • Laatst online: 03-10 12:31

marnix007

Topicstarter
Bedankt, voor de tip, ik ga er naar kijken. Het probleem is echter dat zelfs met de Kaspersky Rescue Disk (een boot-cd die een aangepaste Linux distro boot) de rootkit wel verwijderd kan worden, maar dat Sinowal zichzelf constant terugbrengt op de pc. De hele boot-procedure is namelijk aangepast door de besmette MBR. Ik ben dan ook bang dat HitmanPro kickstart hier geen verandering in kan aan brengen. De MBR moet echt opnieuw geschreven worden. Het probleem is dat ik niet weet wat het verwijderen/opnieuw aanmaken van de MBR (met bijv fix mbr commando) doet met je pc. Of de pc daarna uberhaupt nog wil booten, of dat hij dan geen flauw benul meer heeft wat de partitie-indeling van je schijf is.

donderdag 30 mei 2013 00:16

Acties:
  • 0 Henk 'm!
  • 0xDEADBEEF
  • Registratie: December 2003
  • Niet online

0xDEADBEEF

http://blogs.technet.com/...nnt-sinowal-a-report.aspx
marnix007 schreef op woensdag 29 mei 2013 @ 23:55:
De MBR moet echt opnieuw geschreven worden. Het probleem is dat ik niet weet wat het verwijderen/opnieuw aanmaken van de MBR (met bijv fix mbr commando) doet met je pc. Of de pc daarna uberhaupt nog wil booten, of dat hij dan geen flauw benul meer heeft wat de partitie-indeling van je schijf is.
Microsoft's documentatie is daar vrij duidelijk over:
Note

• If you do not specify a device_name, a new master boot record will be written to the boot device, which is the drive on which your primary system is loaded.
• If an invalid or nonstandard partition table signature is detected, you will be prompted whether you want to continue. If you are not having problems accessing your drives, you should not continue. Writing a new master boot record to your system partition could damage your partition tables and cause your partitions to become inaccessible.
Natuurlijk is daar een oplossing voor, namelijk sfdisk: http://linux.die.net/man/8/sfdisk
-d
Dump the partitions of a device in a format useful as input to sfdisk. For example,

% sfdisk -d /dev/hda > hda.out
% sfdisk /dev/hda < hda.out
Wellicht is sfdisk beschikbaar op die Kaspersky Rescue Disk?

[ Voor 4% gewijzigd door 0xDEADBEEF op 30-05-2013 00:17 ]

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

donderdag 30 mei 2013 07:56

Acties:
  • 0 Henk 'm!
  • CMD-Snake
  • Registratie: Oktober 2011
  • Laatst online: 13-11-2022

CMD-Snake

TDSS Killer en Hitman Pro zouden in principe alle schade van Sinowal ongedaan moeten kunnen maken. Weet je zeker dat je niet elke keer opnieuw geïnfecteerd wordt vanuit het netwerk? Als een van je mede studenten zijn machine niet goed opschoond infecteerd die elke keer weer alles in het netwerk.

Als je echt de hele schijf goed wil formatteren kan je eventueel Dariks Boot & Nuke gebruiken. Kies een wat intenser programma en je hele schijf is dan echt schoon. Je schijf wordt dan echt helemaal geformatteerd. Beter dan de standaard format die gedaan wordt voor Windows geïnstalleerd wordt. Dan kan je een echte verse start maken. Maar let wel, als de infectie bron niet je MBR is maar een andere computer in het netwerk maakt het weinig uit.

Om eventuele besmettingen vanuit het netwerk zoveel mogelijk te beperken is een goede virusscanner/firewall aan te bevelen. Kaspersky is bijvoorbeeld erg goed, een van de weinig pakketen die Sinowal kan aanpakken. Zit ook een goede firewall bij in het Internet Security pakket.

Overigens kan het geen kwaad in een openbaar netwerk om zaken als Network Discovery, Resource Discovery en zaken als bestanden en printers delen uit te zetten.

donderdag 30 mei 2013 12:57

Acties:
  • 0 Henk 'm!
  • marnix007
  • Registratie: Januari 2004
  • Laatst online: 03-10 12:31

marnix007

Topicstarter
0xDEADBEEF schreef op donderdag 30 mei 2013 @ 00:16:
http://blogs.technet.com/...nnt-sinowal-a-report.aspx


[...]


Microsoft's documentatie is daar vrij duidelijk over:

[...]


Natuurlijk is daar een oplossing voor, namelijk sfdisk: http://linux.die.net/man/8/sfdisk

[...]

Wellicht is sfdisk beschikbaar op die Kaspersky Rescue Disk?
Bedankt voor de informatie. Ik heb nog wel een bootcd van Parted Magic liggen met sfdisk erop. Ik ga eerst eens proberen om met fixmbr een nieuwe mbr te schrijven. Het is me alleen nog niet helemaal duidelijk wat het correcte command is om een nieuwe mbr te schrijven. Moet daarvoor nou wél of niet een device name opgegeven worden?
CMD-Snake schreef op donderdag 30 mei 2013 @ 07:56:
Weet je zeker dat je niet elke keer opnieuw geïnfecteerd wordt vanuit het netwerk?

[...]

Als je echt de hele schijf goed wil formatteren kan je eventueel Dariks Boot & Nuke gebruiken. Kies een wat intenser programma en je hele schijf is dan echt schoon.

[...]

Overigens kan het geen kwaad in een openbaar netwerk om zaken als Network Discovery, Resource Discovery en zaken als bestanden en printers delen uit te zetten.
Bedankt! De besmetting komt (gelukkig) niet uit het netwerk. Ik heb de eerste keer direct alle netwerkservices op alle pc's uitgeschakeld en elke pc gescand. De laptop van mn huisgenote was de enige die met Sinowal besmet was.

Boot&Nuke is inderdaad een mooi programma, in het verleden al meerdere keren gebruikt om een pc die verkocht werd volledig te vullen met willekeurige enen en nullen.

donderdag 30 mei 2013 13:17

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 11-10 19:41

Hero of Time

Moderator LNX

There is only one Legend

marnix007 schreef op donderdag 30 mei 2013 @ 12:57:
[...]


Bedankt voor de informatie. Ik heb nog wel een bootcd van Parted Magic liggen met sfdisk erop. Ik ga eerst eens proberen om met fixmbr een nieuwe mbr te schrijven. Het is me alleen nog niet helemaal duidelijk wat het correcte command is om een nieuwe mbr te schrijven. Moet daarvoor nou wél of niet een device name opgegeven worden?
Eh, het is juist handiger om eerst de sfdisk backup te maken en daarna pas in je MBR gaat rommelen. Fixboot en fixmbr overschrijft de MBR, tenzij deze afwijkt van wat 't zou verwachten. Ik denk dus niet dat er een denderend verschil is waardoor het commando stopt, maar je kan dan wel je recovery optie om zeep helpen.

Commandline FTW | Tweakt met mate

donderdag 30 mei 2013 13:59

Acties:
  • 0 Henk 'm!
  • marnix007
  • Registratie: Januari 2004
  • Laatst online: 03-10 12:31

marnix007

Topicstarter
Bedankt, ik begrijp na het lezen van de handleiding van sfdisk inderdaad dat ik eerst de indeling met sfdisk moet dumpen, om vervolgens met fixmbr bezig te gaan.

vrijdag 31 mei 2013 15:40

Acties:
  • 0 Henk 'm!
  • marnix007
  • Registratie: Januari 2004
  • Laatst online: 03-10 12:31

marnix007

Topicstarter
Na een avond aanklooien is het gelukt om de image van de fabrieksinstellingen van de recovery partitie te halen. Daarna met boot&nuke alles gewist en met gparted nieuwe partities aangemaakt. Dit topic kan dus op slot.

vrijdag 31 mei 2013 16:10

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 11-10 19:41

Hero of Time

Moderator LNX

There is only one Legend

Waarom wil iedereen een slot op z'n topic zodra 't is opgelost? Slotjes worden alleen geplaatst als het topic niet voldoet aan het beleid.

Commandline FTW | Tweakt met mate

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq