elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


Tema destacado: Los 10 CVE más críticos (peligrosos) de 2020


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Recuperar manualmente MBR con virus
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Recuperar manualmente MBR con virus  (Leído 3,662 veces)
cixert

Desconectado Desconectado

Mensajes: 199


Ver Perfil
Recuperar manualmente MBR con virus
« en: 16 Mayo 2014, 22:57 pm »

Saludos.
Probando en un sistema con Windows la última distribución live CD de Puppy Linux (Badass, traducción argentina diciembre 2013) me ha destruido el boot del disco duro.
Para no enrrollarme mucho voy a contar primero la situación actual y luego los pasos que he dado.
Actualmente:
El MBR del disco 1 está completamente destruido.
Hay 4 particiones FAT 32.
El ordenador tiene BIOS.
Conozco los valores LBA de cada partición por lo que me preguntaba si es posible restaurar las particiones manualmente.
(el disquete con la copia del MBR no lo encuentro)
A parte tengo una copia de seguridad completa de la partición primaria del año 2007, pero claro no quiero restaurar el disco con los datos de aquella época ¿como podría extraer la Tabla de Particiones de esta copia?

Historial de pasos:

-Tengo dos discos duros de 40 GB Seagate, los dos FAT 32, el primero con 4 particiones, una primaria con XP. El segundo 3 primarias, una con w2000 y otra con XP.
-Cargo un live CD Puppy Linux versión traducido al español.
-Al reiniciar, el boot de Windows ha desaparecido.
-No puedo cargar ninguno de mis tres sistemas operativos 2000/XP
-Procedo a fijar mis dos unidades de disco con la consola de recuperación de Windows mediante el comando fixboot con el siguiente resultado:

Sí después de usar la consola del CD de Windows trato de arrancar desde el disco duro, el VIRUS vuelve a cambiar el boot.
Solo me ha dejado arrancar el sistema Windows si, tras cargar el CD de recuperación, al reiniciar dejo introducido este mismo CD y anulo el inicio del proceso de carga con la opción arrancar desde el disco duro.

-Cada vez que introduzco un live CD diferente en el ordenador, el supuesto virus también cambia el boot.
-Ejecuto Avast Rootkit Boot y no encuentra resultados.
-Sospecho que el virus está mutando en diversas partes de los discos duros.
-Decidido limpiar los MBR de los 2 discos siguiendo unas instrucciones de Internet que han resultado en un fiasco. He borrado las tablas de particiones de los dos discos con el programa MBRfix.exe sin embargo este no las ha conseguido recuperar posteriormente. Por tanto en este punto me han desaparecido todos los datos.
-He recuperado las tablas de particiones del disco 2 con Gpart de Linux pero las particiones del disco uno no las ha conseguido encontrar.
-He recuperado 3 de las 4 particiones del disco 1 desde DOS con el programa Testdisk.
-En este punto ¡¡¡Me falta precisamente por recuperar la de arranque, una instalación con más de 100 programas que era justo la que me quedaba por hacer la copia actual para trasladar el sistema a un nuevo ordenador!!!
-El mensaje de protección de arranque de la BIOS empieza a saltar cada vez que reinicio el ordenador, aunque no realice ninguna operación especial.
-Tengo en disquete unos programas abandoware del año 2000 de la casa DTI Data, frTree, Media Tools, Boot Partition Repair y Reboot que sí dicen recuperar el sector de arranque (muestran en pantalla toda la info), el problema es que son "demos" y no los encuentro actualizados en Internet (he probado muchos programas más y ningún otro da resultados positivos).
-Como los dos discos son Seagate de 40 GB he intentado restaurar manualmente los valores de la partición primaria del disco 1 con los que dice el disco 2 (cambiando el LBA).
-Para esto antes he realizado una copia con Partition Table Doctor en un disquete.
-Una vez cambiado los valores con el programa de Powerquest Partition Table Editor no arranca ningún sistema operativo de 32 bits con el disco duro problemático instalado en el sistema, dan pantallazo azul (quitándolo sí arrancan)
-He intentado restaurar la copia que acabo de hacer en disquete pero el programa me dice que esta copia no pertenece a este disco duro :(
¡¡¡Se admite cualquier idea, necesito recuperar completamente la partición principal del disco uno a toda costa!!!
Gracias


« Última modificación: 17 Mayo 2014, 21:03 pm por cixert » En línea

r32
Moderador
***
Desconectado Desconectado

Mensajes: 1.299



Ver Perfil WWW
Re: Recuperar manualmente MBR con virus
« Respuesta #1 en: 24 Mayo 2014, 01:22 am »

Hola, "en teoria" formateando el disco y reinstalando el sistema operativo, nada harias con el virus de la Bios,
pues esto se carga antes que el sistema.
El MBR es el “Master Boot Record” y es el primer sector de cualquier sistema de almacenamiento.
Sirve, a grandes rasgos, para guardar información importante como el arranque de sistemas operativos o particiones.
Esto implica que aunque limpiemos el virus del disco duro éste regresará cada vez que arranquemos la BIOS.

Si con suerte te infectaste con un Bootkit, podrías usar alguna de estas tools:
AntiBootkit: http://en.wikipedia.org/wiki/Rootkit#Bootkits

AVG Bootkit Removal Tool:
- Web: http://free.avg.com/es-es/remove-win32-bootkit
- D.Directa: http://download.avg.com/filedir/util/avgrem/avg_remover_bootkit.exe

BitDefender Bootkit Removal Tool:
- Web: http://www.hotforsecurity.com/download/bitdefender-bootkit-removal-tool-32-bit-and-64-bit
- D.Directa: http://www.hotforsecurity.com/?downloadkey=804a5265650d8145d9b094c2b62cfe60&file=19 --> Elegir versión de vuestro sistema, 32 o 64 bits.

Otras herramientas para desinfectar MBR:

MBR: Analizan y eliminan infecciones en el sector de arranque del disco.

MBR rootkit detector:
- Web: http://www.gmer.net/
- D.Directa: http://www2.gmer.net/mbr/mbr.exe

Avast aswMBR:
- Web: http://public.avast.com/~gmerek/aswMBR.htm
- D.Directa: http://public.avast.com/~gmerek/aswMBR.exe

Avira Boot Sector Removal Tool:
- Web: http://www.avira.com/en/download/product/avira-boot-sector-repair-tool/product/avira-boot-sector-repair-tool/product/avira-boot-sector-repair-tool
- D.Directa: http://dlpro.antivir.com/down/windows/bootwizard.exe

Si no logró desinfectar el boot, ya tiraría a actualizar o reinstalar el firmware de tu bios, lo mismo te lo cargas y se arregla.

Ahora mismo no se me ocurre nada, con lo que ya has hecho.

Saludos.


En línea

Gh057


Desconectado Desconectado

Mensajes: 1.190



Ver Perfil
Re: Recuperar manualmente MBR con virus
« Respuesta #2 en: 24 Mayo 2014, 04:19 am »

hola cixert, si el virus se encuentra en la mbr, el mismo puedes recuperarla como bien indica r32 o utilizar herramientas libre desde una distro linux como por ejemplo cargando un grub en /etc/sda (que reescribiría la mbr) o bien la que te recomendaría es desde la terminal hacer:
Citar
apt-get install boot-repair
luego
Citar
boot-repair

la misma  tiene interfase gráfica, con varias opciones, entre ellas el de restaurar la mbr.

por el tema de la bios, lo más práctico es formatear un pendrive a fat16, grabarle el archivo .rom desde la página oficial del fabricante de la motherboard y actualizarla.

saludos y espero que puedas resolver tu problema
En línea

4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
hacer manualmente dvd
Multimedia
mercuri 1 2,120 Último mensaje 25 Enero 2005, 03:24 am
por Songoku
Recuperar manualmente certificados electrónicos importados a Firefox
GNU/Linux
Kasswed 1 2,685 Último mensaje 9 Mayo 2012, 17:40 pm
por Slava_TZD
problema al eliminar virus manualmente
Seguridad
hakys 3 3,081 Último mensaje 20 Mayo 2016, 18:02 pm
por [Arg] $triker;
Eliminar virus manualmente?
Seguridad
Dr. Binary 3 2,769 Último mensaje 23 Mayo 2018, 21:56 pm
por Dr. Binary
Recuperar sesión de pestañas en Chrome manualmente
Software
cixert 0 3,147 Último mensaje 23 Marzo 2022, 00:50 am
por cixert
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines