Odstraňování Boot virů


Bootovací viry (případně viry v MBR) lze poměrně dobře odstraňovat manuálně. Nejlepší je, máte-li někde zálohované systémové oblasti disku. Pokud ano, stačí je správně použít a virus tak přemazat. Ani vygenerování čistého bootovacího sektoru disket by nemělo činit antivirovým programům problém ("zálohování" čistých bootovacích sektorů disket je sice možné, ale je to trochu zbytečný luxus). Jisté nebezpečí při generickém odstraňování virů (obecném odstraňování bez znalosti konkrétních vlastností viru) šifrujících obsah disku zde však je (případ OneHalfa). Pokud by byla v antivirovém programu chyba anebo byste použili pro rekonstrukci kopii MBR (boot sektoru) jiného disku, mohli byste o svá data přijít.

Odstraňování bez použití antiviru:
Pokud se jedná o typický boot virus, jeho odstranění by nemělo dělat žádné problémy. Pokud je virus umístěn v boot sektoru (ne v MBR !!!) lze ho snadno odstranit dosovským příkazem sys c: (popřípadě sys a:). Pokud boot virus napadne partition table (MBR), lze virus odstranit příkazem fdisk /mbr. Tento příkaz nahradí zavaděč v MBR obecně platným kódem. Pokud se po použití příkazu fdisk /mbr stane disk nepřístupným, lze ještě zkusit například program ndd s parametrem /rebuild (ndd - Norton Disk Doctor je součástí balíku Norton Utilities). Dodávám, že formátováním nelze virus z MBR odstranit !!! (nefunguje ani format /u).

Horší situace nastává, pokud se jedná o složitý boot virus, který někde na disku či v sobě uschovává důležitá data (tohle je případ i viru OneHalf) apod. Některé antiviry při obnově boot sektoru či MBR postupují jen podle níže uvedeného řešení i když se jedná o jednoduchý boot virus.

  • Metoda Address - původní boot sektor (nebo MBR) je uschován na vždy stejném místě disku.
  • Metoda Absolute - adresa, na kterém je umístěn původní boot sektor (nebo MBR) je součástí těla viru.
    V některých případech může být adresa uvedená až v některé z dalších částí viru.
  • Metoda Logical - je stejná jako Absolute, pozice původního boot sektoru (nebo MBR) je vyjádřena prostřednictvím logického disku (využívá se INT 25h).
  • Metoda Overwrite - je standardní metodou (podobně jako sys c:, nebo fdisk /mbr). Původní boot sektor je nahrazen obecně platným tvarem. Pokud je však disk naformátován pomocí nestandardních prostředků, mohou být data na něm uložená poškozena.
  • Metoda Special - je použita ve speciálních případech. Typickým příkladem je virus OneHalf, kdy musí být nejprve disk dekódován, jinak by byla všechna data ztracena.

    Zdroj: AVP virus encyclopedia