Hola Gente
tengo una pc donde cada 2 o 3 reinicios, en el mbr se desactiva la particion activa
o sea: la particion esta correcta, el mbr tambien, pero como no hay ninguna particion activa, no inicia y pide disco de inicio
inicio con un cd o con un disquete, marco la particion como activa y reinicia sin problemas 2 veces... luego a la tercera no esta activa de nuevo
he clonado el disco a otro, para descartar problemas fisicos
y en otro disco hace lo mismo
he probado el disco tal cual en otra pc con el mismo hardware (chipset, cpu, cantidad de memoria y vga) y hace lo mismo
tengo nod32 actualizado al dia
en el registro de amenazas tengo detectados hace varios dias el cmdow, y kapucen.B, en el momento que quisieron entrar
he pasado el spybot, adaware varias veces. actualizados ambos y solo detectan cosas menores, o nada. tipo rastros de uso
el hijackthis esta normal... bastante vacio... de lo que aparece conosco todas las entradas y no hay nada extraño
pase kaspersky online y nada
Que mas puedo probar?
el formatear se que solucionaria, pero tengo muchos datos importantes, que no puedo/quiero perder
gracias desde ya
sin particion activa en mbr (SOLUCIONADO))
sin particion activa en mbr (SOLUCIONADO))
Última edición por jgustavo el 06 Jun 2007, 23:52, editado 1 vez en total.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Antes, cuando se usaban disquetes, eran muy frecuentes los virus de BOOT de disquete que modificaba la particion del disco duro, y, aunque normalmente solo afectaban los primeros 446 bytes de código de los 512 que tiene el sector de la particion o MBR, alguno que otro cambiaba o mas bien borraba o encriptaba los datos propiamente dichos de cada particion, de las cuatro que caben en un disco duro, 2 logicas y dos extendidas, con lo que ya eran palabras mayores, pues no solo se habia de sobreescribir el código, sino encontrar donde guardaban los datos (recuerdo que alguno los guardaba encriptado en el sector 3, otros con una copia stealth en el sector 7, otros en el 10) y algunos no guardaban copia, con lo que habia que recalcularla partiendo de los datos del Boot de cada particion, y lo que es muy facil es modificar el byte de particion activa en la que corresponde, pero para ello habría de dejarse un disquete infectado en la disquetera y arrancar el ordenador con él puesto, pues de otra forma, cuando ya está en marcha windows, con los sistemas actuales tecnologia NT, el MBR está protegido y no se puede modificar, asi que en todo caso ha de ser en el arranque, o tener mal el magnetismo de dicho sector (estar desmagnetizado) y perder informacion, pero ello tendría mas consecuencias en otros bytes, no se iba a perder siempre justamente el de "particion activa"
Si quieres es muy facil reponer la copia de la particion que salves con nuestras utilidades, se arranca con un disquete de DOS (el que te hace cuando le dices formatear un disco con sistema en XP), en el que hayas copiado nuestro COPYS.EXE y ejecutas COPYS /SEGU , lo cual guardará en el mismo disquete los sectores de BOOT, PARTICION y demas, pues si pierdes el arranque de disco duro por lo de dicho byte, arrancas con disquete, ejecutas el COPYS /RMBR y te restaurará el MBR guardado en el disquete sobre el sector 1 de la cara 0 del cilindro 0, y asi sacar el disquete y reiniciar normalmente
COPYS.EXE
http://www.zonavirus.com/datos/descargas/101/COPYS.asp
Son conocimientos y utilidades del pasado, que casi ya están en el museo, pero que dado el caso te pueden ser utiles.
saludos
ms. 6-06-2007
Si quieres es muy facil reponer la copia de la particion que salves con nuestras utilidades, se arranca con un disquete de DOS (el que te hace cuando le dices formatear un disco con sistema en XP), en el que hayas copiado nuestro COPYS.EXE y ejecutas COPYS /SEGU , lo cual guardará en el mismo disquete los sectores de BOOT, PARTICION y demas, pues si pierdes el arranque de disco duro por lo de dicho byte, arrancas con disquete, ejecutas el COPYS /RMBR y te restaurará el MBR guardado en el disquete sobre el sector 1 de la cara 0 del cilindro 0, y asi sacar el disquete y reiniciar normalmente
COPYS.EXE
Son conocimientos y utilidades del pasado, que casi ya están en el museo, pero que dado el caso te pueden ser utiles.
saludos
ms. 6-06-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Lucl: aqui va el archivo adjunto
espero que sirva para detectar esto
msc hotline sat:
lo que dices es muy interesante, pero creo que aqui no aplica
la maquina tiene un windows xp...
y si se puede acceder al MBR desde dentro de windows y modificarlo.
quizas no con un fdisk, o un part... pero si hay un monton de programas que permiten modificar esto, como por ejemplo el administrador de discos de windows, que te permite elegir la particion activa, sin ir muy lejos
lo de falla de hardware lo descarte al probar en dos discos y en dos pc distintas.
y el virus, si es eso, no se aloja en el MBR, sino que solo cambia el bit de activa en la particion de arranque
lo raro es que la proteccion del bios no se queje cuando cambia el MBR al sacar la marca de activo en windows... y si se queja cuando lo cambio desde fdisk o part o pqmagic o el que sea en msdos
espero que sirva para detectar esto
msc hotline sat:
lo que dices es muy interesante, pero creo que aqui no aplica
la maquina tiene un windows xp...
y si se puede acceder al MBR desde dentro de windows y modificarlo.
quizas no con un fdisk, o un part... pero si hay un monton de programas que permiten modificar esto, como por ejemplo el administrador de discos de windows, que te permite elegir la particion activa, sin ir muy lejos
lo de falla de hardware lo descarte al probar en dos discos y en dos pc distintas.
y el virus, si es eso, no se aloja en el MBR, sino que solo cambia el bit de activa en la particion de arranque
lo raro es que la proteccion del bios no se queje cuando cambia el MBR al sacar la marca de activo en windows... y si se queja cuando lo cambio desde fdisk o part o pqmagic o el que sea en msdos
- Adjuntos
-
- SProcLog.txt
- (19.51 KiB) Descargado 70 veces
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues no sé como al tener el sistema NT el sector MBR protegido... Bueno, debe hacerlo antes de que ello entre en funcionamiento... ???
Me gustaría tener dicha aplicacion, Si la tienes, envianosla como muestra para analizar, gracias:
->[b] Para ello recordar[/b] https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
saludos
ms, 7-06-2007
Me gustaría tener dicha aplicacion, Si la tienes, envianosla como muestra para analizar, gracias:
->
saludos
ms, 7-06-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
bueno, eso de que el MBR esta protegido dentro de la familia NT es cierto a medias
no puedes acceder _desde_ aplicaciones msdos o de 16bits
pero si pueden un monton de aplicaciones, algunas deben estar instaladas, otras viene con windows
la mayoria deben elegirse por gui, pero algunas soportan lineas de comandos
pero te doy una lista pequeñita de aplicaciones que si pueden acceder y modificar:
pqboot32.exe de powerquest (ahora comprado)
bmcfg32.exe de la misma
la mayoria de los antivirus pueden acceder al mbr y repararlo
tienes de acronis lo mismo que powerquest
tienes el administrador de discos de windows, en herramientas administrativas, que permite elegir particion activa desde dentro de windows por gui
y el que tenia era:
diskpart.exe, que soporta linea de comandos y script y viene de serie con windows
no voy a poner el script para no dar ideas
en realidad es inofensivo, pero es bastante frustrante
no puedes acceder _desde_ aplicaciones msdos o de 16bits
pero si pueden un monton de aplicaciones, algunas deben estar instaladas, otras viene con windows
la mayoria deben elegirse por gui, pero algunas soportan lineas de comandos
pero te doy una lista pequeñita de aplicaciones que si pueden acceder y modificar:
pqboot32.exe de powerquest (ahora comprado)
bmcfg32.exe de la misma
la mayoria de los antivirus pueden acceder al mbr y repararlo
tienes de acronis lo mismo que powerquest
tienes el administrador de discos de windows, en herramientas administrativas, que permite elegir particion activa desde dentro de windows por gui
y el que tenia era:
diskpart.exe, que soporta linea de comandos y script y viene de serie con windows
no voy a poner el script para no dar ideas
en realidad es inofensivo, pero es bastante frustrante
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues muy agradecido por la informacion. La verdad es que desde el último virus de particion, que era anterior al nacimiento del XP, ya no hemos necesitado meternos en ella, pero hemos visto que desde windows no se podía acceder normalmente por tener cierta proteccion, y me va bien saber lo de estas utilidades para poder echar mano de ella si vuelve la moda :roll: que Dios no quiera, pues a veces hacian destrozos con ello !
Y ya celebramos que se haya solucionado el problema y damos el Tema por solucionado y procedemos a cerrarlo
Si nos necesita de nuevo, ya sabe donde estamos
saludos
ms, 7-06.2007
Y ya celebramos que se haya solucionado el problema y damos el Tema por solucionado y procedemos a cerrarlo
Si nos necesita de nuevo, ya sabe donde estamos
saludos
ms, 7-06.2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online