Win32/Mebroot

[vyosek]

A z nej se da jen obnovit co Zkuste tedy jeste v tom recovery prehoti ten osmy sektor, udelejte zalohu samozrejme)

[Steron]

jj, tam se pusti jen Lenovacka utilita na obnoveni (bud nejake zalohy, nebo factory default)

prepsani 8sectoru na oddile s Recovery nepomohlo, porad to stejne...

[vyosek]

To je tedy hodne na kkta

Vratte ten osmy sektor lenovo jak byl

Zkuste jeste jednou prepsat ten osmy na windowsu tim zaloznim

Poprosim kolegyni at na to mrkne

[Steron]

OK, jdu na to

[vyosek]

Jinak predpokladam ze kolegyne tu bude asi az vecer, tak prosim o strpeni...Ja tak nemam rad ty mbr rootkity

[Steron]

Nic se nedeje, casu je dost Ja tu vecer asi stejnak nebudu, takze uvidime

[vyosek]

Prokonzultujeme to a zkusime neco vymyslet

[MiliNess]

Dobrý večer, ten "%userprofile%\plocha\mbr" -t -s jste spouštěl také?
Stáhněte toto, hoďte to na flešku, nabootujte Hirens Boot CD, spusťte to, zatrhněte Zazálohovat původní MBR sektor a nechte to uložit na flešku. Pak mi oba vytvořené soubory někam upněte.

[Steron]

Zdravim

"%userprofile%\plocha\mbr" -t -s jsem pak uz nedelal, ptz mi Win nenabehly...

tady mame soubory z FixMbr.exe:
http://leteckaposta.cz/761031366

[MiliNess]

Tak si pomalu zazálohujte data a asi budete muset přejít k obnově do továrního nastavení.
Poprvé jste to zazdil přepsáním 8 sektoru nulami (byla tam jen neškodná kopie MBR sektoru), která byla navíc potřeba k zavedení systému.
Totálně jste to dodělal fixnutím zavaděče v MBR pomocí FIXMBR.
Lenovo totiž používá nějaký vlastní loader, který se rozkládá ve čtyřech sektorech na začátku disku (včetně sektoru 8).
FIXMBR způsobilo přepsání jejich loaderu standardním loaderem MS.
To co bylo vyhodnoceno jako MBR rootkit byl pravděpodobně právě zavaděč Lenova.

Pokusím se sehnat originální lenovácký MBR zavaděč a zkusíme ho nacpat zpět. Pokud se to nepovede, zbyde už jenom tovární nastavení.

PS: MBR sektor z jednoho Lenova jsem sehnal a samozřejmě se od standardního liší.
Dejte mi čas, musím ho nacpat do souboru a plácnout tam vaší tabulku rozdělení disku.
Pak to zkusíme přepsat. Budeme se modlit, že to bude stejná verze, jakou jste tam měl.

[MiliNess]

Stáhněte tento soubor, uložte ho na flešku, nabootujte Hirens Boot CD, spusťte ten program FixMbr,
na záložce "Obnova ze zálohy" najděte ten soubor upraveny loader.mbr na flešce a zvolte OK. Tím přepíšete standardní loader v MBR tím Lenováckým.
Pak uvidíme.

[Steron]

no, to jsem to teda vylepsil, jak tak koukam

upraveny loader jsem nahral, ted uz to nebootuje ani do toho recovery. Disk "hrabe" ale nic se nedeje....

[MiliNess]

Tak to znovu fixněte pomocí FIXMBR, zazálohujte data a obnovte do továrního nastavení.
O tom zavaděči nevím zhola nic, tak to byl pokus. Může obsahovat např. jump na konkrétní sektor, který je pokaždé jiný.
Nebo to může být jiná verze.

[Steron]

OK OK. Kazdopadne dekuju za snahu opravit to co jsem pokonil

[Budovi]

Pardon za vstup,,

Možno by stálo za to zmazať recovery partíciu dodávanú Lenovom, označiť Windows partíciu za aktívnu a používať štandardný loader? Systém by mal bežať ďalej. Za predpokladu že nevadí chýbajúca partícia (a bolo by fajn ak už máte vypálený obraz na diskoch pre budúcu reinštaláciu, aj keď použiť sa dá "čistý systém" aj v budúcnosti...)

píšem to sem na posúdenie nekameňujte ma