Wirus w MBR? - proszę o pomoc

[KZ]

Witam

Na komputerze mojej koleżanki pojawił się niebieski
ekran i napis STOP 0x00000077.
Wg informacji na stronie Microsoftu przyczyną może
być zainfekowanie MBR przez boot sector virus.
System się nie ściąga.
Jak można na takim systemie sprawdzić czy taki wirus
rzeczywiście tam jest, a jeśli tak, to jak go usunąć?
Komputer ma stację dyskietek, jeśli to może być ważne.

Bardzo proszę o pomoc.

Pozdrawiam
KZ

[JoteR]

"KZ" napisał:

> Komputer ma stację dyskietek, jeśli to może być ważne.

Ważne. Uruchom komputer z dyskietki MS-DOS i wykonaj polecenie fdisk /mbr,
upewniwszy się wpierw, że program fdisk.exe znajduje się na tej dyskietce i
że nie korzystasz z jakiegoś bootmanagera a Winda nie jest wyższa niż
Windows XP. W przypadku Visty a zwłaszcza Windows 7 lepiej się z tym
wstrzymaj, może ktoś doradzi coś innego. Swoją drogą, ostatniego wirusa w
MBR widziałem gdzieś w połowie lat 90-tych ubiegłego wieku, więc ta sugestia
od MS to raczej naciągana jest.

JoteR

[Piotr Palusiński]

In news:jo16k2$q1n$1...@inews.gazeta.pl,
*JoteR* <jo...@pf.pl> typed:

> W przypadku Visty a zwłaszcza Windows 7 lepiej się z tym
> wstrzymaj, może ktoś doradzi coś innego.

Automatyczna naprawa za pomocą Narzędzia do naprawy systemu podczas
uruchomienia
Naprawa MBR
Komenda 1: bootrec.exe /fixmbr
Komenda 2: bootsect.exe /nt60 all /force /mbr
(narzędzie znajduje się na płycie instalacyjnej w folderze x:\boot;
przełącznik /force wymusza nadpisanie mbr. Te polecenia pozwalają naprawić
główny rekord rozruchowy (MBR).

--
Piotr Palusiński [Microsoft MVP - Windows Expert-Consumer]
https://mvp.support.microsoft.com/profile/Piotr.Palusinski
http://answers.microsoft.com/pl-pl/default.aspx
Nigdy nie kłóć się z głupcem, bo ludzie mogą nie dostrzec różnicy

[DooMiniK]

Zanim weźmiesz się za naprawę - zdiagnozuj problem:
Uruchom komputer z jakiegoś LiveCD z antywirusem, np.:
http://support.kaspersky.com/faq/?qid=208282173
(zaktualizuj bazę, jak komputer jest podłączony kablem
do routera z DHCP, to sam powinien złapać ustawienia sieci).


--
Dominik Siedlak (bachus)
bachus(at)post(dot)peel

[KZ]

Dziękuję za odpowiedzi.

System operacyjny to Win XP Home SP3.
Jest to jedyny system, więc myślę, że żadnego bootmanagera
tam nie ma.
Skąd mam ściągnąć fdisk.exe żeby był odpowiedni dla
dysku ok. 500 GB? Mam tylko bardzo stary, dla małych dysków.

>> W przypadku Visty a zwłaszcza Windows 7 lepiej się z tym
>> wstrzymaj, może ktoś doradzi coś innego.
>
> Automatyczna naprawa za pomocą Narzędzia do naprawy systemu podczas
> uruchomienia
> Naprawa MBR
> Komenda 1: bootrec.exe /fixmbr
> Komenda 2: bootsect.exe /nt60 all /force /mbr
> (narzędzie znajduje się na płycie instalacyjnej w folderze x:\boot;
> przełącznik /force wymusza nadpisanie mbr. Te polecenia pozwalają naprawić
> główny rekord rozruchowy (MBR).

Rozumiem, że tej metody nie da się zastosować do Win XP Home.

Pozdrawiam
KZ

[KZ]

> Zanim weźmiesz się za naprawę - zdiagnozuj problem:
> Uruchom komputer z jakiegoś LiveCD z antywirusem, np.:
> http://support.kaspersky.com/faq/?qid=208282173
> (zaktualizuj bazę, jak komputer jest podłączony kablem
> do routera z DHCP, to sam powinien złapać ustawienia sieci).

Z aktualizacją będzie problem, bo komputer ma Internet
z kablówki, więc to raczej nie będzie router z DHCP. :-(.

Pozdrawiam
KZ

[JoteR]

"KZ" napisał:

> System operacyjny to Win XP Home SP3.
> Jest to jedyny system, więc myślę, że żadnego bootmanagera
> tam nie ma.

Więc śmiało możesz odtworzyć standardowy MBR. Nie wiadomo, czy pomoże, bo
IMHO nie tu jest pies pogrzebany, ale z pewnością nie zaszkodzi.

> Skąd mam ściągnąć fdisk.exe żeby był odpowiedni dla
> dysku ok. 500 GB? Mam tylko bardzo stary, dla małych dysków.

To nie ma znaczenia. Przecież tym poleceniem operujesz tylko na pierwszych
kilkuset bajtach dysku pierwszego sektora dysku. Możesz też użyć Konsoli
Odzyskiwania http://support.microsoft.com/kb/314058/pl, chociaż stary fdisk
czyści MBR skuteczniej, nadpisując wszystkie 446 bajtów.

JoteR

[Michal Kawecki]

W jakich okolicznościach się to stało? Nie było czasem ingerencji w
BIOS? W XP błąd ten pojawia się np. wówczas, gdy ktoś przestawi w
BIOS-ie dostęp do dysku na AHCI bądź RAID zamiast pozostawić go na
emulowanym IDE. Może się tak zdarzyć np. po zresetowaniu BIOS-u.
--
M.
/odpowiadając na priv zmień px na pl/

[Jacek]

Będzie działał internet.

[KZ]

Dzięki.

> Więc śmiało możesz odtworzyć standardowy MBR. Nie wiadomo,
> czy pomoże, bo IMHO nie tu jest pies pogrzebany, ale z pewnością
> nie zaszkodzi.

Ja też mam wątpliwości, czy to jest wirus, ale od czegoś trzeba
zacząć.
Argumentem za wirusem może być fakt, że (podobno) stało się to
podczas przeglądania jakiejś gazetowej strony internetowej.
Ewentualne grzebanie w BIOSie jako przyczynę można wykluczyć.

> Możesz też użyć Konsoli Odzyskiwania

Przy okazji zapytam, czy to prawda, że użycie CHKDSK może
więcej zaszkodzić niż naprawić? Z jakimi parametrami?

Może nie uda mi się jej pomóc, ale przynajmniej chcę zastosować
próby, które nie zaszkodzą.

Wg jej spisania z ekranu pokazał się następujący napis:
STOP 0x00000077 (0xC000000E, 0xC000000E, 0x00000000, 0x09A25000)

Pozdrawiam
KZ

[Michal Kawecki]

Dnia Sat, 5 May 2012 06:19:33 +0200, KZ napisał(a):

>> Możesz też użyć Konsoli Odzyskiwania
> Przy okazji zapytam, czy to prawda, że użycie CHKDSK może
> więcej zaszkodzić niż naprawić? Z jakimi parametrami?

Czasami może popsuć strukturę plików na partycji. Odradzam, o ile nie
masz zapisanej na boku kopii zapasowej ważnych danych lub obrazka
partycji.

> Może nie uda mi się jej pomóc, ale przynajmniej chcę zastosować
> próby, które nie zaszkodzą.
>
> Wg jej spisania z ekranu pokazał się następujący napis:
> STOP 0x00000077 (0xC000000E, 0xC000000E, 0x00000000, 0x09A25000)

http://support.microsoft.com/kb/315266/pl

"0xC000000E lub STATUS_NO_SUCH_DEVICE: Dysk jest niedostępny. Przyczyną
może być problem ze stacją dysku twardego, tablicą dysków lub kartą
kontrolera."

Jest to najprawdopodobniej problem z dyskiem twardym. Zdiagnozuj go
programem producenta dysku uruchamiając ten program spoza komputera, np.
z płytki CD. Możesz też użyć np. narzędzia MHDD lub Victoria. Nie
zaszkodzi też zrobić test pamięci RAM.

[KZ]

>> Ja też mam wątpliwości, czy to jest wirus, ale od czegoś trzeba
>> zacząć.
>> Argumentem za wirusem może być fakt, że (podobno) stało się to
>> podczas przeglądania jakiejś gazetowej strony internetowej.

Do koleżanki jadę jutro, więc dzisiaj chcę się przygotować.
Testowanie programem antywirusowym z płytki bootowalnej
zajmuje dużo czasu, więc czy miałoby sens przerwanie takiego
testowania po jakimś krótkim okresie (jakim?) zważywszy,
że MBR nie jest duży i znajduje się "na początku" dysku,
więc jeśli nic nie zostanie wykryte na początku, to będzie
znaczyło, że nie wirus jest przyczyną?

Pozdrawiam
KZ

[JoteR]

"KZ" napisał:

> Czy miałoby sens przerwanie testowania np. Pandą po jakimś

> krótkim okresie (jakim?) zważywszy, że MBR nie jest duży
> i znajduje się "na początku" dysku, więc jeśli nic nie zostanie
> wykryte na początku, to będzie znaczyło, że nie wirus jest
> przyczyną?

Nie miałoby sensu. W sensie, że nie miałoby sensu w ogóle rozpoczynanie
skanowania czymkolwiek w celu wytropienia ewentualnego wirusa w MBR. Fixmbr
z Konsoli lub fdisk /mbr z dyskietki lub CD (względnie fdisk /cmbr
numer_dysku w przypadku pamięciowtykacza) radykalnie załatwia sprawę.

JoteR

[KZ]

Dziękuję.
Rozumiem, że zastosowanie /cmbr miałoby sens gdyby ten dysk
został założony jako drugi i wtedy numer_dysku byłby 1.
Ale co to jest "pamieciowtykacz"?

Pozdrawiam
KZ

[JoteR]

"KZ" napisał:

> Rozumiem, że zastosowanie /cmbr miałoby sens gdyby ten dysk
> został założony jako drugi i wtedy numer_dysku byłby 1.
> Ale co to jest "pamieciowtykacz"?

Pamięciowtykacz kieszenionośny (tm). Mój skromny wkład w ogłoszony niegdyś
na pl.comp.pecet konkurs na polski odpowiednik słowa "pendrive". Otóż
wybierając jako medium startowe "USB device", BIOS wystawia pendrajwa jako
HDD-1, a dysk wewętrzny jako HDD-2 [*]. Polecenie fdisk /mbr działa na
pierwszym wystawionym przez BIOS dysku, w tym przypadku na pamięciowtykaczu,
co po pierwsze mija się z celem, a po drugie unieruchamia pendrajwa jako
medium startowe. Dlatego trzeba temu fdisku wytłumaczyć, o który dysk nam
chodzi: http://www.dosmaniak.republika.pl/fdisk.htm. Przy bootowaniu z
dyskietki lub CD ten problem oczywiście nie występuje.

[*] - numeracja zgodna z parametrem dla fdisk /cmbr. BIOS-y różnie to
numerują, często zaczynając od HDD-0.

JoteR

[Animka]

W dniu 2012-05-05 23:33, JoteR pisze:

> Dlatego trzeba temu fdisku wytłumaczyć, o który dysk nam
> chodzi:http://www.dosmaniak.republika.pl/fdisk.htm. Przy bootowaniu z
> dyskietki lub CD ten problem oczywiście nie występuje.

Ta porada na stronie jest dla wszystkich windowsów, czy tylko dla 95/98?

--
animka

[JoteR]

"Animka" napisała:

>> Dlatego trzeba temu fdisku wytłumaczyć, o który dysk nam chodzi:
>> http://www.dosmaniak.republika.pl/fdisk.htm.

> Ta porada na stronie jest dla wszystkich windowsów, czy tylko dla 95/98?

Dla wszystkich (niemal) MS-DOS-ów. Tego z Windows 95/98 też. ;->

JoteR

[Animka]

W dniu 2012-05-06 04:01, JoteR pisze:

Muszę się konkretnie upewnić czy dla Windows7 też. Jeśli chodzi o DOS to
ja nic a nic się nie znam.
Wydrukowałam sobie na wszelki wypadek tę poradę. 3 strony A4 .


--
animka

[KZ]

Przyczyna okazała się banalna.
Na dzień dobry okazało się, że BIOS
w ogóle nie widzi dysku twardego.
Wystarczyło przełożyć kabelek SATA
do innego portu na płycie głównej
i wszystko wróciło do stanu sprzed
awarii.

Bardzo dziękuję Wszystkim za rady
i podpowiedzi.

Pozdrawiam
KZ