А я делаю так: Загружаюсь с WinERD CD открываю автозагрузки и просматриваю загрузки всех учетных записей, удаляю все ссылки на временные папки и загрузки без подписи, потом перезагружаю комп с родного жесткого и проверяю combofix-ом (www.combofix.org). Результат 100 % ный,кроме последних блокеров, меняющих mbr на жестком диске. В этом случае грузимся с установочного диска, в процессе загрузки выбираю восстановление с помощью консоли (кнопка R), вхожу в нужную систему, и восстанавливаю mbr (fix mbr)
» Windows заблокирован!
bublik0
Цитата:
И теряешь все данные на HDD и "радуешь" хазяина машины - не все так просто под луной в свете последних локеров MBR.
Цитата:
и восстанавливаю mbr (fix mbr)
И теряешь все данные на HDD и "радуешь" хазяина машины - не все так просто под луной в свете последних локеров MBR.
Herzz
Цитата:
почему теряешь?
Разве в 4 байтах МБР еще и информация обо всех разделах?
Цитата:
И теряешь все данные на HDD
почему теряешь?
Разве в 4 байтах МБР еще и информация обо всех разделах?
теряешь потому что таблица разделов в мбр находится. и весит мбр далеко не 4 байта
Как бороться с последними mbr-локерами, которые шифруют или изменяют MBR? При загрузке с лайвсд разделы жесткого диска не видны, после FIXMBR получаем испорченную таблицу разделов.
Присоединяюсь к вопросу выше. Приоритет - программно.
Цитата:
Как бороться с последними mbr-локерами, которые шифруют или изменяют MBR?
неполный, но очень действенный.
есть такая программа Malware Defender ,
очень толковая в своем роде, правда только для х86, так вот.
все mbr-loker'ы палятся обращением \device\harddisk0\dr0
то есть собственно на доступ в мбр и загрузочную область. проверял долго и упорно, спалились на этом все все.
шанс обойти MD, прописавшись только после перезагрузки, но таких еще не встречал, хотя в реестр авторана многие себя пишут.
ставите MD, так как она настолько неприхотливая и незаметная, вы даже удивитесь, меньше ест ресурсов чем process explorer. вобщем, не скажу, захотите, сами посмотрите. она есть и портабельная.
далее.
можете просто отключить все правила (часть файловые, реестровые, сетевые), если хотите чистый ловец мбров.
в правиле приложений
- * (то есть для всех)
на вкладке свойства\разрешения - все разрешаете, только выставляете
запись на физический диск - спросить
все. окошко действия (то есть обращение на запись физического диска вне разделов) будет выскакивать очень редко, но метко. если не пользуете такими программами как bootice, то все попавшие в выскочившее окно - нечисть мбрного или загрузочного толка.
либо обучаете программу, включая режим обучения, чтобы она вас не нервировала по каждому запросу файла.
вобщем все нынешние mbr-loker'ы ею ловятся. если у вас есть пробегающий мимо или описанный, как:
Цитата:
При загрузке с лайвсд разделы жесткого диска не видны
киньте в тему вирусов.
Цитата:
Как бороться с последними mbr-локерами, которые шифруют или изменяют MBR? При загрузке с лайвсд разделы жесткого диска не видны, после FIXMBR получаем испорченную таблицу разделов.
В шапке AntiSMS.
simplix
уже лечит подобное? каким образом?
уже лечит подобное? каким образом?
arvidos, а вы по ссылке его пройдите и описание AntiSMS почитайте.
не дурак. о утилите знаю все что нужно.
но речь идет об изменениях в таблице раздела - несколько дней назад simplix писал что утилита этого не умеет.
Добавлено:
simplix
Цитата:
есть подобные локеры, но которые помимо изменений в таблице разделов не просто делает невозможным загрузить ОС, а требует деньгу
но речь идет об изменениях в таблице раздела - несколько дней назад simplix писал что утилита этого не умеет.
Добавлено:
simplix
Цитата:
вирус просто портит загрузочный сектор и не вымогает денег, поэтому разблокировать нечего и вылечить невозможно, нужно восстанавливать таблицу разделов специализированными утилитами
есть подобные локеры, но которые помимо изменений в таблице разделов не просто делает невозможным загрузить ОС, а требует деньгу
arvidos
Цитата относится к конкретному вредоносному ПО, которое просто портит таблицу разделов. Это не MBR-локер, его невозможно вылечить.
AntiSMS лечит все известные MBR-локеры, так что загрузочный сектор вместе с таблицей разделов восстанавливается в том виде, каким был до заражения.
Цитата относится к конкретному вредоносному ПО, которое просто портит таблицу разделов. Это не MBR-локер, его невозможно вылечить.
AntiSMS лечит все известные MBR-локеры, так что загрузочный сектор вместе с таблицей разделов восстанавливается в том виде, каким был до заражения.
А не у кого нет mbr-локера, который шифрует таблицу размещения дисков? Мне для экспериментов. Вчера нарвался на такой локер, так ничего с ним сделать и не смог, переразметил винт и переустановил windows (
анти смс под вин 7 неработает, а жаль, разбивка дисков слетела, вот как лечить никто подсказать немогет
Добавлено:
ни анти смс ни МД не помог диск разбит у всех одинаково, правильную разбивку восстановить неполучилось, виндовс 7, и нотбуки леново, самсунг, и НР.
Добавлено:
ни анти смс ни МД не помог диск разбит у всех одинаково, правильную разбивку восстановить неполучилось, виндовс 7, и нотбуки леново, самсунг, и НР.
amber748, а вы запустите её с загрузочного диска, и всё у вас заработает и исправит.
Добавлено:
Или что ли не умеете образы CD на болванку записывать?
Добавлено:
Или что ли не умеете образы CD на болванку записывать?
Насчёт лечения незнаю , а вот восстанавливает разделы отлично утилита DMDE http://dmde.ru/ и Active@ Partition Recovery.
после партишин рековери с харда загрузки ввообще нет, повреждена таблица, загрузочный диск готов, и флешка загрузочная, но результат один и тот же, смесник просто не видит что лечить, таблица дисков повреждена, это вин ? а не ХР, вирус переписал МБР, и стоит вопрос как его убить и восстановить старую разбивку дисков. повторюсь - дрянь новая, за неделю два случая (друзья и клиенты) ничего из выше сказанного не подходит.
Добавлено:
Цитата:
Добавлено:
Или что ли не умеете образы CD на болванку записывать?
и на болванку и на флешку, ..... я задаю вопрос о возможности возобновить старые разделы, и повторяю,AntiSMS Быстрая автоматическая разблокировка компьютера, загрузочный диск - 30 МБ. нихрена не видит под системой ВИНДОВС 7, там бред с партициями. уважаемый Neon2 - вирус локер нового образца, делает гадости с диском, проблема есть, а решения пока нет
Появилась новая версия мбрлока c кодом разблокировки из 8 символов с кодом 07.Да вот только в коде mbrlock'а любой символ, вне диапазона 20h-7eh является не корректным.
Поэтому даже если попытаться с альтом ввести код-все равно машина не будет разблокирована.
однако из под любого линукса можно все исправить
http://mrbelyash.blogspot.com/2012/05/trojanmbrlock6-drweb-livecd.html
Поэтому даже если попытаться с альтом ввести код-все равно машина не будет разблокирована.
однако из под любого линукса можно все исправить
http://mrbelyash.blogspot.com/2012/05/trojanmbrlock6-drweb-livecd.html
Цитата:
Появилась новая версия мбрлока
Зверя в студию пожалуста
называется дрянь так -- trojan.MBRlock.33-- решение для вин 7 перезаливкой 512 байт нулевой дорожки
Цитата:
называется дрянь так -- trojan.MBRlock.33-- решение для вин 7 перезаливкой 512 байт нулевой дорожки
AntiSMS и TDDSKiller на виртуалке вылечили эту гадость успешно.
Прогой testdisk-6.14-WIP успешно удаляется.
amber748
Цитата:
А это не помогает? http://forum.ru-board.com/topic.cgi?forum=62&topic=16770&start=2760#16
Или это другая модификация?
Цитата:
вирус локер нового образца, делает гадости с диском, проблема есть, а решения пока нет
А это не помогает? http://forum.ru-board.com/topic.cgi?forum=62&topic=16770&start=2760#16
Или это другая модификация?
Цитата:
та нате...10 минут назад раздавали
http://rghost.ru/38099712
пасс 2012
Скачал это творение ради эксперимента. Запустил на старом компьютере с винтом 40Гб. Win7Максимальная.
На редкость отвратительная, коварная гадость.Портит загрузочную таблицу и даже не в одном а в нескольких местах.
Пришлось повозится часа два пока разобрался что к чему.
Ни Dr.Web ни Каспер не справились, не помог и XPLIVE CD. Так же нет и кодов разблокировки.
Цитата:
Прогой testdisk-6.14-WIP успешно удаляется
Да действительно справляется на ура.Даже Windows переустанавливать не потребывалось. Но использовал версию 6.10 в составе Hiren's BootCD который был в наличии.
Спасибо милый человек за подсказку.
Цитата:
На редкость отвратительная, коварная гадость.Да это фуфел какой-то. Я за минуту удалил. Загрузил winpe, открыл hex редактором хард, увидел что вирус переписал оригинал 0-го сектора в 1-й сектор. Я просто скопировал 1-й сектор в 0-й и всё. До кучи ещё можно остатки вируса нулями забить.
Цитата:
однако из под любого линукса можно все исправитьТам тупо описано копирование 1-го сектора в 0-й через dd. А если оригинал MBR не в 1-м секторе?
Цитата:
Появилась новая версия мбрлока c кодом разблокировки из 8 символов с кодом 07При просмотре завирусованного 0-го сектора, там явно видны 8 символов 07h, меняем их на такие, чтобы с клавы можно было ввести и всё.
Народ, что-то последние дни участились вызовы на винлокенра, который ms.exe в папке юзера. Синеватый такой, пробивает браузеры через связку эксплоитов. Прям эпидемия. Убирается через безопасный режим с CMD.
В принципе теже яйца, только сбоку. Ничего выдающегося нет.
Как в других регионах?
В принципе теже яйца, только сбоку. Ничего выдающегося нет.
Как в других регионах?
Цитата:
Как в других регионах?
В "наших" краях, (на "моих" системах, только "маячёк" (уже 5 случаев). Защита отрабатывает (и то при "детальных разборах"выесняется, что "разрешили" запись в "автозагрузку"), но остается "хвост" в виде DNSa 127.0.0.1 (решается по "телефону")
Из других (не моих) систем, в основном "примитив" (файлов операционки не "портится" и МВР локеров, тож нет) + редко "блокировки" из dllок(типа "соцпомоек" или "типапроксисерверов").
Цитата:
Да это фуфел какой-то. Я за минуту удалил. Загрузил winpe, открыл hex редактором хард, увидел что вирус переписал оригинал 0-го сектора в 1-й сектор. Я просто скопировал 1-й сектор в 0-й и всё. До кучи ещё можно остатки вируса нулями забить.
Sphinx114,
Хорошо научиться ещё бы им пользоваться...Я один раз открыл и.... нифига не понял что там должно быть а чего не должно.Это Вам всё просто, а для обычного пользователя к коим я отношусь - тёмный лес с партизанами.
Загадили мой компьютер (вин7), приехал разобраться, ситуация - комп словил: mbrlock (похожий на этот img)
Я никогда и не сталкивался с винлоками, мбрлоками, вообщем сделал наверно все не правильно:
1. Подключил второй хард (хард2) и с загрузочной флешки установил на него убунту (первый фейл т.к. затер загрузочные сектора на хдд1)
2. Подключился к инету, скачал др.веб лайвсиди, загрузился сделал так:
Цитата:
не грузится с хдд1 ось
3. Вытащил хдд1, установил на хдд2 вин7, обратно всунул хдд1, запустил тдскилер - ничего не видет, в управление дисками хдд1 виден как: "хдд1 - диск не распределен"
4. Запустил Partition find and mount, он нашел мой логический диск д, а диск ц не увидел.
Потом я еще помучался с помощью testdisk (он говорит "no partition is bootable" + увидел мой линукс img)
5. вытащил ххд2, загрузился с флешки "установка вин7" - выбрал восстановить систему, в консоле сделал: bootrec /fixmbr
на выходе везде ноль
Вообщем диск ц меня не интересует, диск д я удачну маунтю так что забэкапить смогу, но подскажите как сделать так чтоб диск д был доступен не с помощью "файд эн маунт" а нормально через проводник?
Добавлено:
Врубил bootice через partition mager виден снова только мой линукс img,
Видимо патишн тейбл слетел, как бы его восстановить?
Добавлено:
disk Editor (acronis)
http://img443.imageshack.us/img443/10/789uhz.png
Я никогда и не сталкивался с винлоками, мбрлоками, вообщем сделал наверно все не правильно:
1. Подключил второй хард (хард2) и с загрузочной флешки установил на него убунту (первый фейл т.к. затер загрузочные сектора на хдд1)
2. Подключился к инету, скачал др.веб лайвсиди, загрузился сделал так:
Цитата:
dd if=/dev/sda1 of=$HOME/good.dmp bs=512 count=1 skip=1(с)
dd if=$HOME/good.dmp of=/dev/sda bs=512 count=1 seek=0 conv=notrunc,noerror
не грузится с хдд1 ось
3. Вытащил хдд1, установил на хдд2 вин7, обратно всунул хдд1, запустил тдскилер - ничего не видет, в управление дисками хдд1 виден как: "хдд1 - диск не распределен"
4. Запустил Partition find and mount, он нашел мой логический диск д, а диск ц не увидел.
Потом я еще помучался с помощью testdisk (он говорит "no partition is bootable" + увидел мой линукс img)
5. вытащил ххд2, загрузился с флешки "установка вин7" - выбрал восстановить систему, в консоле сделал: bootrec /fixmbr
на выходе везде ноль
Вообщем диск ц меня не интересует, диск д я удачну маунтю так что забэкапить смогу, но подскажите как сделать так чтоб диск д был доступен не с помощью "файд эн маунт" а нормально через проводник?
Добавлено:
Врубил bootice через partition mager виден снова только мой линукс img,
Видимо патишн тейбл слетел, как бы его восстановить?
Добавлено:
disk Editor (acronis)
http://img443.imageshack.us/img443/10/789uhz.png
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115
Предыдущая тема: "svchost.exe... память не может быть "read"&q
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.