Een bootsectorvirus is een virus dat zich op de bootsector van de harde schijf bevindt. De bootsector van een harde schijf wordt gelezen bij het opstarten van de computer. In het Engels noemen ze de bootsector de MBR (Master Boot Record). Het bevat belangrijke informatie zoals de locatie van het besturingssysteem en de bootloader. De bootloader zorgt voor het laden van het besturingssysteem. Wanneer een computer besmet is met een bootsectorvirus of kortweg boot virus gaat een virus zich nestelen in het geheugen nog voor het besturingssysteem geladen is. Vanuit het geheugen probeert het dan de bootsectoren van andere aangesloten harde schijven, USB stick en andere media te infecteren.
Omdat het virus geladen wordt alvorens het besturingssysteem en antivirussoftware geladen worden hebben veel antivirusprogramma’s het moeilijk om een bootsectorvirus te verwijderen. Nochtans is het verwijderen van een bootsectorvirus eigenlijk niet moeilijk. Door de bootsector te vernieuwen ben je snel van dergelijk besmetting verlost. We demonsteren dit op een Windows Vista PC besmet met het Boot.Cidox virus. Het virus hindert het normaal opstarten van de PC. Bij het opstarten verschijnt de volgende foutmelding.
Na geduldig wachten verschijnt een beetje later de volgende melding van Norton 360.
De geïnstalleerde Norton 360 slaagt er niet in van de opstartrecord te desinfecteren. Door de bootsector te vernieuwen kan het virus verwijdert worden. De PC wordt ge-boot van het installatieschijfje van de Windows Vista. We kiezen “Uw computer herstellen”.
In opties voor systeemherstel kiezen we “opdrachtprompt”.
In het opdrachtprompt scherm geven 2 opdrachten in namelijk:
bootrec.exe /FixMbr
Met dit commando wordt de MBR overschreven met een nieuwe MBR die compatibel is met de geïnstalleerde Windows Vista aangezien we het installatieschijfje van de geïnstalleerde Windows Vista gebruiken.
bootrec.exe /Fixboot
Met dit commando wordt de opstartsector vervangen door een nieuwe opstartsector die compatibel is met Windows Vista.
Wanneer we de PC vervolgens opnieuw opstarten start Windows Vista opnieuw normaal op en wanneer we de Norton 360 opnieuw laten scannen bevestigd deze dat de infectie verwijdert is. Na het verwijderen van een boot virus raden we wel aan van het systeem voor de zekerheid nog eens grondig te scannen met de geïnstalleerde virusscanner. Naast een grondige scan raden we ook een scan aan met een programma gespecialiseerd in het detecteren van malware zoals bijvoorbeeld Malwarebytes.
Deze techniek werkt ook voor Windows 7 en Windows 8. De vensters zien er misschien anders uit maar de opdrachten in de command prompt zijn identiek.
