? Eliminazione virus di boot

[piercing]

Allora... mi hanno portato un comp portatile che si è beccato un bel virus.

Ho attaccato l'HD al mio PC e ho cominciato a vedere di che si trattava.

si tratta di Form: è un virus di boot (isolato nel 1990, oggi una rarità!)

L'HD ha due partizioni... la seconda è chiaramente accessibile dal mio Win2000, mentre andando sulla prima l'antivirus si inca22a, e ovviamente non "pulisce", e comunque l'unità appare come nn formattata.

Come faccio ad accedere ai dati contenuti nella prima partizione?

Sul sito di McAffe si parla di un comando DOS BOOTSCAN C: /boot /clean
ma dove lo trovo sto bootscan????

Datemi una bella dritta risolutrice!

[Frengo78]

Credo che il boot scan sia lo scan da dos che fa il mc afee durante il bootstrap. Cmq secondo me il pc non va ripulito ma messo sotto campana di vetro ed esposto come un opera d'arte simboleggiante l'incontro tra passato e presente informatico

[zello]

Form? mmh, banale. Ne avrò almeno 3 copie su vari (vecchi) dischetti, ammesso e non concesso che siano ancora leggibili. Lo avevo anche disassemblato - è scritto da qualcuno con un buon pusher, considerando quanto è intricato. Una volta era diffusissimo (intercetta l'int 13h, e windows 3.1 dichiarava che non poteva usare il suo codice per accedere al disco - e quindi lo beccavi subito. Inoltre la memoria disponibile calava di un kilobyte, da 640 a 639).
Però è totalmente innocuo.
Non mi ricordo se si piazza nel MBR o nel boot sector. Comunque, scaricando f-prot per dos e partendo da dos te lo pulisce uso ridere.

[piercing]

Visto cosa ho riesumato?

[Frengo78]

Dopo la mummia e la mummia 2 solo su pc-facile.com trovate "il virus di boot" con la regia di stieven piercing

[piercing]

Uhm... fatto dischetto di ripristino dell'AV, bootato il PC da floppy, parte la scansione dell'AV che mi rileva correttamente il virus ma la procedura termina con un tristissimo :

è stato identificato il virus Form.a su questo disco!!
Per favore esamina il settore di boot.
Impossibile riparare il settore di boot.

per fortuna che c'è scritto da tutte le parti che nn fa danni e che è facile da rimuovere... bah! forse c'ha ragione mia madre... per le cose facili non sono portato!

Queste sono le istruzioni di rimozione del virus dal sito di nai:

Windows NT/2000:
Shut down the PC and turn the power off. Obtain or create a virus free boot disk and scan disk. After booting, at the A:\ prompt, execute the following command:
BOOTSCAN C: /boot /clean

Once the virus has been removed, remove all floppy diskettes from the computer and reboot from the hard drive.

This will also clean an NTFS Master Boot Record and allow Windows NT to successfully reboot from the hard disk drive. VirusScan for DOS will not be able to read the rest of the NTFS partition. After starting Windows, execute VirusScan or NetShield to detect and clean Windows NT file infections which may exist.

A quanto ho capito sto virus prende un pezzetto del MBR e lo scrive da qualche altra parte... quindi in teoria una volta rilevato il virus basta riprendere sto pezzetto e rimetterlo al posto suo (questo credo sia quello che prova a fare la procedura).
Il problema è che secondo me questo pezzetto vagante è stato riscritto, e da quel giorno non è stato più possibile accedere al PC perchè l'MBR non è diventato più leggibile poichè ne mancava un pezzo (chissà da quanto ce lo aveva sto virus!!!).

A questo punto che devo fare? come si ricostruisce l'MBR? non ne so assolutamente un fico secco... mi basterebbe anche solo poter accedere al disco da un altro computer... non deve necessariamente essere avviabile...

Ulteriori reference su http://vil.nai.com/vil/content/v_473.htm

Help me!...

PS
Facendo una ricerchina ho sorriso a leggere questo topic...
http://www.pc-facile.com/phpBB/viewtopic.php?t=2862

[Nicola]

cmq cercati F-PROT for DOS (come suggerrito da zello) su Google e te lo metti dentro un disco di boot DOS, riavviando.
Fai la scansione e gli fai rimuovere i virus...

Cmq l'MBR dovrebbe ricostruirsi con fdisk/mbr ( o fdisk /mbr nn mi ricordo circa lo spazio ) se hai FAT32 e un 9x/ME e un disco di ripristino 9X comprensivo di FDISK (di default c'è) o se hai NTFS e quindi S.O. NT da recovery consolle del S.O. dell'hd (win2k in qs caso) e dai un bel fixmbr


Ciao

[piercing]

niko... allora...

il SO è WinNT Workstation (non l'avevo già detto?)...

il problema non è rimuovere il virus... ma ricreare quello che il virus ha distrutto...

cioè immagino l'MBR...

posso anche fare un fdisk/mbr ma su che disco lo faccio se è inaccessibile???

il disco è pieno, sta a posto, manca solo qualche byte iniziale che devo "ricostruire dall'esterno"...

[Nicola]

il SO è WinNT Workstation (non l'avevo già detto?)...

No...

il problema non è rimuovere il virus... ma ricreare quello che il virus ha distrutto...

Ok..

cioè immagino l'MBR...

Immagino anche io...

posso anche fare un fdisk/mbr ma su che disco lo faccio se è inaccessibile???

Credo di si.. cmq prenditi il disco (CD) di WinNt Workstation (una curiosità: ma WinNT per Workgroup è la stessa versione o quella x reti ?)
e BOOTI con solo quello di HD (quello del portatile) tramite CD e da recovery dai un fixmbr e riavvi..

Deve andare per forza

Ciao