Re: [Re: [MISC] Virus...]

[Michael Westergaard <sslug@sslug>]

Kristian Vilmann <sslug@sslug> wrote:
> > 
> > Det er ikke den almindelige CIH virus. Der er 8 maskiner på min skole
> > der er
> > gået ned, og jeg kender flere som også har mistet deres data idag....
> > 
> > Ivan Perch-Nielsen wrote:
> > 
> > > At 00:09 1999-04-26 +0200, you wrote:
> > > >Hejsan!!
> > > >
> > > >Ville bara nämna:  Idag så slår ett "fruktansvert  virus" ut flera
> > > >tusentals Windows-datorer.
> > > >Viruset angriper visst bara på måndagen den 26 april... och det angriper
> > > >bara Windows95/98-datorer, så de flesta här kan vara lugna (för ni kör
> > > >väl Un*x?? ;-).
> > > >
> > > >Viruset försöker radera partitionstabellen på hårddisken, och misslyckas
> > > >det med det så skickar den en massa strunt till BIOS'et så att datorn
> > > >inte går att starta mera.
> 
> Oh yes.
> 
> En af mine venner blev ramt.
> 
> Jeg skal straks undskylde de kommende linier. De har ikke meget med Linux at
> gøre, ud over at jeg har en ide om at Linux måske kan redde en ramt
> win95'er. Og Linux/Unix folk har en tendens til at tænkte lidt anderledes, og
> have væsentlig mere viden om deres muligheder, end selv en dygtig Windows M/K. 
> 
> Stille og ganske for mig selv grinede jeg lidt i smug, og sendte en venlig
> tanke til mine Unix og NT boxe. Nå jah, mest til Unix'erne så :)
> 
> Med en Linux boot disk under armen tog jag afsted for at aflægge patienten et
> besøg. Det er en meget kær ven jeg har.
> 
> Jeg gjorde følgende observationer:
> 
> BIOS kvadret, men den kunne åbenbart rettes op, da ben syge disk blev fjernet. 
> 
> Den ene disks partitionstabel var nærmest ikke eksisterende. Jeg kan ikke
> huske RedHat Installationens nøjagtige fejlmeddelelse men det var noget i
> retning af:
> Denne disk skal initieres før fdisk kan arbejde med den. Vil du initiere
> disken? Dette vil slette alle data på disken!
> 
> Vi sagede ja og reinstallerede win95.
> 
> Den anden disk kunne fdisk arbejde med uden videre, med der var kun en
> "UNKNOWN" partition på 4 mb. Resten stod som ubrugt. 
> 
> Jeg lod fdisk oprette en win95 partition i det ubrugte område, men som ventet
> var det ikke muligt at mounte partitionen under linux.
> 
> Men der er noget på disken! jeg lavede en "dd if=/deb/hdb1 of /tmp/disk", og
> derefter "strings /tmp/disk". Det er umiskendeligt en dos/win95 disk.
> 
> Humlen er at der på denne disk ligger nogle data der er ret vigtige. Og min
> gode ven har selvfølgelig ikke taget backup. Det vil han gøre fra nu af, men
> det er jo lidt sent.
> 
> Er der nogen der har en ide? Eller er hans data dødsdømt?
> 
> /kristian
> 
> -- 
> Kristian Vilmann - sslug@sslug
> 
> Microsoft seems to have gotten a lot of mileage out of the C2 rating for
> NT with no network connection.  I wonder if a B3 rating for Linux with no
> power cord might be of value.
>  - Seen on the linux kernel mailing list

Du kan faktisk godt have ødelagt alle data idet du partionerede. Det har windows fdisk en forbløffende evne til at gøre. Jag har selv haft samme problem med en OS/2 partition, og det eneste jeg kunne redde var med den metode, som allerede er nævnt (direkte læsning). Så vidt jeg ved er der ikke en kopi af partitionstabellen, og da du repartionerede har du sikkert fået ødelagt diskens boot-sektor, hvilket _kan_ rettes op med håndkraft, hvis du kender lidt til bootsektorens format og hardiskens dimensioner (3½" osv, not! ;-)
Hvis FAT er slettet, så lad være med at gøre dig noget forhåbninger, men se det uundgåelige i øjnene, og regn slet ikke med at du kan redde programmer osv. Gå efter livsvigtige data (highscores osv ;-), og kun tekstfiler vil være realistisk

Michael


____________________________________________________________________
Get free e-mail and a permanent address at http://www.amexmail.com/?A=1