Recuperar manualmente MBR con virus

Iniciado por cixert, 16 Mayo 2014, 22:57 PM

0 Miembros y 1 Visitante están viendo este tema.

cixert

Saludos.
Probando en un sistema con Windows la última distribución live CD de Puppy Linux (Badass, traducción argentina diciembre 2013) me ha destruido el boot del disco duro.
Para no enrrollarme mucho voy a contar primero la situación actual y luego los pasos que he dado.
Actualmente:
El MBR del disco 1 está completamente destruido.
Hay 4 particiones FAT 32.
El ordenador tiene BIOS.
Conozco los valores LBA de cada partición por lo que me preguntaba si es posible restaurar las particiones manualmente.
(el disquete con la copia del MBR no lo encuentro)
A parte tengo una copia de seguridad completa de la partición primaria del año 2007, pero claro no quiero restaurar el disco con los datos de aquella época ¿como podría extraer la Tabla de Particiones de esta copia?

Historial de pasos:

-Tengo dos discos duros de 40 GB Seagate, los dos FAT 32, el primero con 4 particiones, una primaria con XP. El segundo 3 primarias, una con w2000 y otra con XP.
-Cargo un live CD Puppy Linux versión traducido al español.
-Al reiniciar, el boot de Windows ha desaparecido.
-No puedo cargar ninguno de mis tres sistemas operativos 2000/XP
-Procedo a fijar mis dos unidades de disco con la consola de recuperación de Windows mediante el comando fixboot con el siguiente resultado:

Sí después de usar la consola del CD de Windows trato de arrancar desde el disco duro, el VIRUS vuelve a cambiar el boot.
Solo me ha dejado arrancar el sistema Windows si, tras cargar el CD de recuperación, al reiniciar dejo introducido este mismo CD y anulo el inicio del proceso de carga con la opción arrancar desde el disco duro.

-Cada vez que introduzco un live CD diferente en el ordenador, el supuesto virus también cambia el boot.
-Ejecuto Avast Rootkit Boot y no encuentra resultados.
-Sospecho que el virus está mutando en diversas partes de los discos duros.
-Decidido limpiar los MBR de los 2 discos siguiendo unas instrucciones de Internet que han resultado en un fiasco. He borrado las tablas de particiones de los dos discos con el programa MBRfix.exe sin embargo este no las ha conseguido recuperar posteriormente. Por tanto en este punto me han desaparecido todos los datos.
-He recuperado las tablas de particiones del disco 2 con Gpart de Linux pero las particiones del disco uno no las ha conseguido encontrar.
-He recuperado 3 de las 4 particiones del disco 1 desde DOS con el programa Testdisk.
-En este punto ¡¡¡Me falta precisamente por recuperar la de arranque, una instalación con más de 100 programas que era justo la que me quedaba por hacer la copia actual para trasladar el sistema a un nuevo ordenador!!!
-El mensaje de protección de arranque de la BIOS empieza a saltar cada vez que reinicio el ordenador, aunque no realice ninguna operación especial.
-Tengo en disquete unos programas abandoware del año 2000 de la casa DTI Data, frTree, Media Tools, Boot Partition Repair y Reboot que sí dicen recuperar el sector de arranque (muestran en pantalla toda la info), el problema es que son "demos" y no los encuentro actualizados en Internet (he probado muchos programas más y ningún otro da resultados positivos).
-Como los dos discos son Seagate de 40 GB he intentado restaurar manualmente los valores de la partición primaria del disco 1 con los que dice el disco 2 (cambiando el LBA).
-Para esto antes he realizado una copia con Partition Table Doctor en un disquete.
-Una vez cambiado los valores con el programa de Powerquest Partition Table Editor no arranca ningún sistema operativo de 32 bits con el disco duro problemático instalado en el sistema, dan pantallazo azul (quitándolo sí arrancan)
-He intentado restaurar la copia que acabo de hacer en disquete pero el programa me dice que esta copia no pertenece a este disco duro :(
¡¡¡Se admite cualquier idea, necesito recuperar completamente la partición principal del disco uno a toda costa!!!
Gracias

r32

Hola, "en teoria" formateando el disco y reinstalando el sistema operativo, nada harias con el virus de la Bios,
pues esto se carga antes que el sistema.
El MBR es el "Master Boot Record" y es el primer sector de cualquier sistema de almacenamiento.
Sirve, a grandes rasgos, para guardar información importante como el arranque de sistemas operativos o particiones.
Esto implica que aunque limpiemos el virus del disco duro éste regresará cada vez que arranquemos la BIOS.

Si con suerte te infectaste con un Bootkit, podrías usar alguna de estas tools:
AntiBootkit: http://en.wikipedia.org/wiki/Rootkit#Bootkits

AVG Bootkit Removal Tool:
- Web: http://free.avg.com/es-es/remove-win32-bootkit
- D.Directa: http://download.avg.com/filedir/util/avgrem/avg_remover_bootkit.exe

BitDefender Bootkit Removal Tool:
- Web: http://www.hotforsecurity.com/download/bitdefender-bootkit-removal-tool-32-bit-and-64-bit
- D.Directa: http://www.hotforsecurity.com/?downloadkey=804a5265650d8145d9b094c2b62cfe60&file=19 --> Elegir versión de vuestro sistema, 32 o 64 bits.

Otras herramientas para desinfectar MBR:

MBR: Analizan y eliminan infecciones en el sector de arranque del disco.

MBR rootkit detector:
- Web: http://www.gmer.net/
- D.Directa: http://www2.gmer.net/mbr/mbr.exe

Avast aswMBR:
- Web: http://public.avast.com/~gmerek/aswMBR.htm
- D.Directa: http://public.avast.com/~gmerek/aswMBR.exe

Avira Boot Sector Removal Tool:
- Web: http://www.avira.com/en/download/product/avira-boot-sector-repair-tool/product/avira-boot-sector-repair-tool/product/avira-boot-sector-repair-tool
- D.Directa: http://dlpro.antivir.com/down/windows/bootwizard.exe

Si no logró desinfectar el boot, ya tiraría a actualizar o reinstalar el firmware de tu bios, lo mismo te lo cargas y se arregla.

Ahora mismo no se me ocurre nada, con lo que ya has hecho.

Saludos.

Gh057

hola cixert, si el virus se encuentra en la mbr, el mismo puedes recuperarla como bien indica r32 o utilizar herramientas libre desde una distro linux como por ejemplo cargando un grub en /etc/sda (que reescribiría la mbr) o bien la que te recomendaría es desde la terminal hacer:
Citarapt-get install boot-repair
luego
Citarboot-repair

la misma  tiene interfase gráfica, con varias opciones, entre ellas el de restaurar la mbr.

por el tema de la bios, lo más práctico es formatear un pendrive a fat16, grabarle el archivo .rom desde la página oficial del fabricante de la motherboard y actualizarla.

saludos y espero que puedas resolver tu problema
4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...