[MBR virus] Hoe MBR weggooien? - Privacy en beveiliging

dinsdag 17 augustus 2004 15:17

Acties:

Topicstarter

ik heb hier een PC die geinfecteerd is met 1 of ander virus, geen idee welke, maar het gaat om een bootsector virus.

nu wil ik simpelweg de MBR weg gooien, maar ik krijg dit niet voor elkaar. ik heb Fdisk /MBR al gedraait, maar het virus blijft. ik heb ook geprobeerd om FIXMBR te draaien met de recovery console op de XP cd, maar ik kom de recovery console dus niet in omdat er geen XP op de HD staat.

hoe gooi ik het weg?

faq gelezen, search gebruikt, google gebruikt.

dinsdag 17 augustus 2004 15:18

Acties:

Verwijderd

alle partities die je wilt bewaren, even ghosten (er vanuit gaande dat die partities zelf clean zijn), en daarna je hele harde schijf leeggooien, bij voorkeur met een 3rd party tool zoals mrbooter. daarna dus wel nog ff een nieuwe MBR erop.

[ Voor 10% gewijzigd door Verwijderd op 17-08-2004 15:19 ]

dinsdag 17 augustus 2004 15:19

Acties:

Verwijderd

Caponi schreef op 17 augustus 2004 @ 15:17:
ik heb hier een PC die geinfecteerd is met 1 of ander virus, geen idee welke, maar het gaat om een bootsector virus.

Het lijkt me het handigste als je eerst eens uitzoekt om welk virus het gaat.

dinsdag 17 augustus 2004 15:21

Acties:

mjszwo

Topicstarter

Verwijderd schreef op 17 augustus 2004 @ 15:19:
[...]

Het lijkt me het handigste als je eerst eens uitzoekt om welk virus het gaat.

ja maar de partities heb ik al verwijderd, ik wou de data er zoiezo al af hebben, en als ik die MBR verwijder is het virus toch verdwenen?

dinsdag 17 augustus 2004 15:28

Acties:

Verwijderd

MBR verwijderen in [Windows 95B OSR 2.0 + MS-DOS 7.10 en hoger]:

FDISK /CMBR x

waarbij x het drivenummer is wat je wilt wissen (1 = eerste bootable fysieke harddisk, 2 = tweede etc.)

[ Voor 135% gewijzigd door Verwijderd op 17-08-2004 15:33 ]

dinsdag 17 augustus 2004 15:31

Acties:

Verwijderd

Caponi schreef op 17 augustus 2004 @ 15:21:
[...]

ja maar de partities heb ik al verwijderd, ik wou de data er zoiezo al af hebben, en als ik die MBR verwijder is het virus toch verdwenen?

http://www.viruslist.com/eng/viruslistbooks.html?id=116

Dus het is imo evengoed wel handig om de (ongeveer) precieze chars van het beestje te weten.

Maar ben dan ook een sterke voorstander voor het weten van waar je precies mee te maken hebt.

dinsdag 17 augustus 2004 15:31

Acties:

TERW_DAN

Met een hamer past alles.

Verwijderd schreef op 17 augustus 2004 @ 15:28:
MBR verwijderen in [Windows 95B OSR 2.0 + MS-DOS 7.10 en hoger]:

FDISK /CMBR x

waarbij x het drivenummer is wat je wilt wissen (1 = eerste bootable fysieke harddisk, 2 = tweede etc.)

Wat doet CMBR als ik vragen mag?
Ik ken enkel FDISK /MBR namelijk (die een nieuwe MBR over de oude heenzet).
Vind het wel slecht van mezelf dat ik CMBR dus niet ken (en mijn 98 bak ligt uit elkaar dus kan het nie teffe testen

)

dinsdag 17 augustus 2004 15:33

Acties:

BalusC

Carpe diem

CMBR = Clear MBR. Het zet gewoon nullen in de ganse MBR

Da's idd een oude tip. Met MBRWork en Debug kun je de MBR ook leeghalen. Zie de FAQ van Opslagmedia & I/O Controllers onder het kopje "Mijn harddisk doet vaag, gaat/is het nu kapot?"

dinsdag 17 augustus 2004 15:34

Acties:

Verwijderd

Wat doet CMBR als ik vragen mag?

CMBR = undocumented DOS setting:
http://www.mdgx.com/secrets.htm

Alternatief, met debug vanuit Dos (1e fysieke harddisk):

code:

DEBUG
F200 400 0
RAX
301
RBX
200
RCX
1
RDX
80
E100 CD 13
R
P
Q

[ Voor 9% gewijzigd door Verwijderd op 17-08-2004 15:34 ]

dinsdag 17 augustus 2004 23:26

Acties:

mjszwo

Topicstarter

helaas, FDISK /CMBR 1 haalt ook niks uit...

woensdag 18 augustus 2004 12:39

Acties:

TERW_DAN

Met een hamer past alles.

Verwijderd schreef op 17 augustus 2004 @ 15:34:
[...]
CMBR = undocumented DOS setting:
http://www.mdgx.com/secrets.htm

Alternatief, met debug vanuit Dos (1e fysieke harddisk):
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
DEBUG
F200 400 0
RAX
301
RBX
200
RCX
1
RDX
80
E100 CD 13
R
P
Q

Dat verklaard waarom ik CMBR niet ken

ik gebruik nagenoeg altijd debug (zie ook de FDISK FAQ die ik ooit getikt hebt, daar staat namelijk dezelfde debugroutine).

meestal is FDISK /MBR ook al genoeg voor een bootsector virus omdat je de MBR opnieuw schrijft en de kans dat je je data behoudt is een stuk groter (bij die debug ben je die kwijt namelijk).

woensdag 18 augustus 2004 14:18

Acties:

mjszwo

Topicstarter

Terw_Dan schreef op 18 augustus 2004 @ 12:39:
[...]

Dat verklaard waarom ik CMBR niet ken
ik gebruik nagenoeg altijd debug (zie ook de FDISK FAQ die ik ooit getikt hebt, daar staat namelijk dezelfde debugroutine).

meestal is FDISK /MBR ook al genoeg voor een bootsector virus omdat je de MBR opnieuw schrijft en de kans dat je je data behoudt is een stuk groter (bij die debug ben je die kwijt namelijk).

maar beide lost het probleem dus helaas niet op

woensdag 18 augustus 2004 14:22

Acties:

TERW_DAN

Met een hamer past alles.

Heb je dan al enig idee om welk virus het gaat?
misschien dat er wel removal tools voor te vinden zijn.

woensdag 18 augustus 2004 14:46

Acties:

mjszwo

Topicstarter

Terw_Dan schreef op 18 augustus 2004 @ 14:22:
Heb je dan al enig idee om welk virus het gaat?
misschien dat er wel removal tools voor te vinden zijn.

nee ik heb geen enkel idee... ik heb die HD gekregen met het virus er al op, dus ik zou het echt niet weten.

heb ook al F-Prot voor DOS laten draaien, maar die vindt ook niks.

woensdag 18 augustus 2004 14:49

Acties:

the_stickie

hoe zeker weet je dat er dan een virus opstaat? wat doet ie wel/niet? Ik zou toch op een of andere manier een virusscan op het ding proberen te doen die het virus wel vindt!

woensdag 18 augustus 2004 15:03

Acties:

mjszwo

Topicstarter

The_Stickie schreef op 18 augustus 2004 @ 14:49:
hoe zeker weet je dat er dan een virus opstaat? wat doet ie wel/niet? Ik zou toch op een of andere manier een virusscan op het ding proberen te doen die het virus wel vindt!

degene waarvan hij is geweest heeft hem aan mij gegeven omdat er een virus op staat. er stonden ook al 2 andere (?) virussen op zei hij.

wat hij doet: zodra ik XP wil installeren gaat dat prima, maar zodra hij belandt bij "Apparaten Installeren" krijg ik een bsod met "KERNEL_DATA_INPAGE_ERROR" met stopcode "0x0000007A".

volgens de KB van Microsoft is de oorzaak van die bsod:
"Stop 0x7A can be caused by bad sectors in the virtual memory paging file, disk controller error, virus infection, or memory hardware problems."

het probleem doet zich dus ook in meerdere pc's voor met de betreffende HD, terwijl met andere HD's alles vlekkeloos verloopt.

woensdag 18 augustus 2004 16:21

Acties:

MikeN

Pak een bootdisk van je hd fabrikant en "low level" (clear disk ofzo) format die disk, dan moet het probleem wel weg zijn. Kun je ook meteen testen of de HD wel echt goed is. Let erop dat je niet van de HD af opstart, omdat het virus er anders zelf wel voor zorgt dat hij niet overschreven wordt

[ Voor 12% gewijzigd door MikeN op 18-08-2004 16:21 ]

woensdag 18 augustus 2004 16:24

Acties:

Verwijderd

"Stop 0x7A can be caused by bad sectors in the virtual memory paging file, disk controller error, virus infection, or memory hardware problems."

Kortom, de harddisk kan ook gewoon kapot zijn

OM FAQ: Mijn harddisk doet vaag, gaat/is het nu kapot?

[ Voor 9% gewijzigd door Verwijderd op 18-08-2004 16:24 ]

woensdag 18 augustus 2004 16:56

Acties:

mjszwo

Topicstarter

MikeN schreef op 18 augustus 2004 @ 16:21:
Pak een bootdisk van je hd fabrikant en "low level" (clear disk ofzo) format die disk, dan moet het probleem wel weg zijn. Kun je ook meteen testen of de HD wel echt goed is. Let erop dat je niet van de HD af opstart, omdat het virus er anders zelf wel voor zorgt dat hij niet overschreven wordt

ga ik ook effe proberen. maar word je MBR dan overschreven bij een LowLevel format?

Verwijderd schreef op 18 augustus 2004 @ 16:24:
[...]
Kortom, de harddisk kan ook gewoon kapot zijn
OM FAQ: Mijn harddisk doet vaag, gaat/is het nu kapot?

maar volgens DataLifeguard is ie gewoon goed... en na die virussen vind ik het wel erg verdacht dat die bsod mogelijk als gevolg van een virus kan opduiken.

woensdag 18 augustus 2004 17:01

Acties:

Verwijderd

Nou ja, als gevolg van een virus....
Je hebt welgeteld 1 opmerking over een virus en nog eens een kleine honderd andere mogelijkheden waarom Windows met die error komt (en alleen de belangrijkste worden dan genoemd)....

http://www.microsoft.com/...t/en-us/prmd_stp_fvlq.asp

FYI: ik heb dezelfde melding wel eens gehad met een bekraste installatie CD...

[ Voor 10% gewijzigd door Verwijderd op 18-08-2004 17:06 ]

woensdag 18 augustus 2004 17:05

Acties:

mjszwo

Topicstarter

Verwijderd schreef op 18 augustus 2004 @ 17:01:
Nou ja, als gevolg van een virus....
Je hebt welgeteld 1 opmerking over een virus en nog eens een kleine honderd andere mogelijkheden waarom Windows met die error komt (en alleen de belangrijkste worden dan genoemd)....

http://www.microsoft.com/...t/en-us/prmd_stp_fvlq.asp

die pagina in de KB had ik dus ook gezien, maar alleen het stukje wat ik vermeldde heeft betrekking op dit probleem, want de andere oorzaken/oplossingen gaan over andere stopcodes dan degene waar ik mee te maken heb.

edit:

Verwijderd schreef op 18 augustus 2004 @ 17:01:
...
FYI: ik heb dezelfde melding wel eens gehad met een bekraste installatie CD...

maar daar ligt het ook niet aan, want met diezelfde CD installeerde XP wel prima op een andere harddisk in diezelfde PC.

[ Voor 19% gewijzigd door mjszwo op 18-08-2004 17:10 ]

woensdag 18 augustus 2004 17:10

Acties:

Verwijderd

Post eens een dump van de MBR nadat je de partities hebt weggehaalt en /CMBR hebt gedaan

Alternatief voor de /MBR, /CMBR en debug mogelijkheden is met Linux, bijv met een simpele bootfloppy en op de prompt:

code:

1	dd if=/dev/zero of=/dev/hda bs=512 count=1

Andere tools:
http://www.diydatarecovery.nl/~tkuurstra/mbrtool.htm
http://dban.sourceforge.net/

NB: Debug en veel tools zijn MET gegevensverlies, dus niet doen bij harddisken die nog belangrijke gegevens bevatten!

[ Voor 132% gewijzigd door Verwijderd op 18-08-2004 17:22 ]

woensdag 18 augustus 2004 17:20

Acties:

mjszwo

Topicstarter

Verwijderd schreef op 18 augustus 2004 @ 17:10:
Post eens een dump van de MBR nadat je de partities hebt weggehaalt en /CMBR hebt gedaan

Alternatief voor de /MBR, /CMBR en debug mogelijkheden is met Linux, bijv met een simpele bootfloppy en op de prompt:
code:
1
dd if=/dev/zero of=/dev/hda bs=512 count=1

zal ik effe doen, maar moet eerst effe een bootdisk maken zodat ik de MBR in een file kan dumpen. zal het straks posten.

edit:

http://home.wanadoo.nl/d-jay/MBR.DAT

dat is de dump van de MBR. ivm met de karakters in het bestand lijkt het me niet handig om de inhoud van dat bestand hier te posten.

[ Voor 18% gewijzigd door mjszwo op 18-08-2004 17:42 ]