Руткит сидит в MBR. Буду переустанавливать ОС. Как его удалить гарантированно? Windows 7 Профессиональная.
» Руткит сидит в MBR. Буду переустанавливать ОС.
ужасы. лучше гарантировано удалить антивирус.
вот бутисом перепиши - гарантировано
http://bomz-co.narod.ru/BOOTICE.0.81.zip
Добавлено:
перед перезаписью сделай копию, и давай его сюда, побайтно его сравним. должны только таблицы отличаться
Добавлено:
руткит - это какой то особенный ЗЛОВРЕД.
Добавлено:
Добавлено:
тыкнешь в PROCESS MBR, точку надо переставить напротив Windows NT 6.x MBR , и нажать Install Config , там еще ввопрос вылезет ты ниче не меняй ОК жми, а может и не вылезет. а перед этим сделай BACKUP MBR и давай его сюда. для смеху
нет, при форматировании только пбр перепишеться.
вот бутисом перепиши - гарантировано
http://bomz-co.narod.ru/BOOTICE.0.81.zip
Добавлено:
перед перезаписью сделай копию, и давай его сюда, побайтно его сравним. должны только таблицы отличаться
Добавлено:
руткит - это какой то особенный ЗЛОВРЕД.
Добавлено:
Добавлено:
тыкнешь в PROCESS MBR, точку надо переставить напротив Windows NT 6.x MBR , и нажать Install Config , там еще ввопрос вылезет ты ниче не меняй ОК жми, а может и не вылезет. а перед этим сделай BACKUP MBR и давай его сюда. для смеху
нет, при форматировании только пбр перепишеться.
У программки нет цифровой подписи - палево запускать, вдруг там троян.
bootrec /fixmbr - убьёт его, как полагаешь?
bootrec /fixmbr - убьёт его, как полагаешь?
а вдруг зловреды в bootrec.exe тоже забрались 
У меня установочный диск лицензионный.
ну видимо под восстановлением мбр имееться вииду что он перезапишеться. конечно убьет
bomzzz
Когда Windows 7 переустанавливаешь заново - MBR автоматом перезаписывается?
Когда Windows 7 переустанавливаешь заново - MBR автоматом перезаписывается?
если ты ставишь на активный раздел, и там уже записан семерочный мбр, может и не переписывается. врочем если и на оснвой то может просто активный раздел переназначается а весь мбр не переписывается. а если там действиетльно, что то встроилось, то еще зависит от того, определит ли его система как свой или нет.
Добавлено:
сомневаюсь что кто то тебе ответит, кроме того кто винду делал. и проверить в приципе не так просто.
Добавлено:
хотя она может хеш проверять, исключив таблицу разделов. тогда трудно его так изменить чтоб хеш не изменился.
Добавлено:
скорее всего переписывает, но точно нельзя сказать.
Добавлено:
сомневаюсь что кто то тебе ответит, кроме того кто винду делал. и проверить в приципе не так просто.
Добавлено:
хотя она может хеш проверять, исключив таблицу разделов. тогда трудно его так изменить чтоб хеш не изменился.
Добавлено:
скорее всего переписывает, но точно нельзя сказать.
Цитата:
Когда Windows 7 переустанавливаешь заново - MBR автоматом перезаписывается?
Да, по крайней мере если отличается от шаблоного в дистрибутиве.
bomzzz
Цитата:
если ты ставишь на активный раздел, и там уже записан семерочный мбр
Активный MBR? Это нечто..
9285 - идиот
bomzzz
Я понял что ты идиот и противопоставляешь себе.
А по делу будет что либо?
Я понял что ты идиот и противопоставляешь себе.
А по делу будет что либо?
Ну, во-первых, руткита в MBR быть не может, он туда просто физически не поместиться. Есть приватные руткиты (у Рутковской, кажется), стартующие на уровне ядра системы (до начала загрузки самого ядра), но никак не из MBR. В MBR может засесть бут-вирь, но в таком случае до загрузки системы вообще как правило не доходит.
Во - вторых, в бутайсе троянов нет, юзай смело. Наличие или отсутствие цифровой подписи у программы вообще ничего не гарантирует, ИМХО, т.к. далеко не весь софт подписывают и левый ЦП научились лепить, вплоть до Майкрософтовских. Если не нравиться бутайс, юзай другие, их куча (как консольных, так и гуями). Кстати, bootrec /fixmbr вполне сработает.
К переустановке винды в данном случае (как и в большинстве других) лучше относится как к крайней мере и без особой нужды не делать.
Вообще, надо пить успокоительное, новопассит или пустырник, например, а то от компа нервы расшатываются, скрытые угрозы начинают мерещиться везде.
Во - вторых, в бутайсе троянов нет, юзай смело. Наличие или отсутствие цифровой подписи у программы вообще ничего не гарантирует, ИМХО, т.к. далеко не весь софт подписывают и левый ЦП научились лепить, вплоть до Майкрософтовских. Если не нравиться бутайс, юзай другие, их куча (как консольных, так и гуями). Кстати, bootrec /fixmbr вполне сработает.
К переустановке винды в данном случае (как и в большинстве других) лучше относится как к крайней мере и без особой нужды не делать.
Вообще, надо пить успокоительное, новопассит или пустырник, например, а то от компа нервы расшатываются, скрытые угрозы начинают мерещиться везде.
Цитата:
Руткит (англ. rootkit, т.е. «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.
Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, снифферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.
должно качаться. даунлоад мастер качает напрямую. а если в мазиле открывать почему то сначала на страницу бросаетю может ты менеджер используешь который юзер агент мазилы использует?
а может тебя просто на народ не пускает по какой то причине, или днс сервер барахлит или днс кеш...
Добавлено:
никто раньше на народ не жаловался. можно софсатйа скачать там тоже ссылка прямая, только из за иероглифов не понятно куда тыкать. вот ифолдир
http://films-onep.ifolder.ru/21475674
Добавлено:
http://www.ipauly.com/
а может тебя просто на народ не пускает по какой то причине, или днс сервер барахлит или днс кеш...
Добавлено:
никто раньше на народ не жаловался. можно софсатйа скачать там тоже ссылка прямая, только из за иероглифов не понятно куда тыкать. вот ифолдир
http://films-onep.ifolder.ru/21475674
Добавлено:
http://www.ipauly.com/
Оперой качаю.
При нажатии на ссылку - рефреш страницы и все.
На народ пускают без проблем.
Добавлено:
Забрал с ипапки. Спасибо.
При нажатии на ссылку - рефреш страницы и все.
На народ пускают без проблем.
Добавлено:
Забрал с ипапки. Спасибо.
в теме груба новые версии сразу выкладывают обычно.
http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=32855&start=2300#lt
Добавлено:
кстати новый бутис
BOOTICEV0.8.2010.1228.ZIP 132 КБ (135 890 байт)
http://films-onep.ifolder.ru/21476452
http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=32855&start=2300#lt
Добавлено:
кстати новый бутис
BOOTICEV0.8.2010.1228.ZIP 132 КБ (135 890 байт)
http://films-onep.ifolder.ru/21476452
SeyLo
Что препятствует иметь начальный загрузчик в MBR а тело уже в любом другом месте?
Собствено примерно такой как то был отловлен.
Что препятствует иметь начальный загрузчик в MBR а тело уже в любом другом месте?
Собствено примерно такой как то был отловлен.
9285
Цитата:
Сомнительно. Не знаю, как там в *nix-ах, а NT-базирующиеся Виндузы выбьют загрузчик из оперативки при своей загрузке.
Цитата:
Что препятствует иметь начальный загрузчик в MBR а тело уже в любом другом месте?
Сомнительно. Не знаю, как там в *nix-ах, а NT-базирующиеся Виндузы выбьют загрузчик из оперативки при своей загрузке.
BVV63
Не сильно углубляясь в поисках.
http://www.xakep.ru/post/49043/default.asp
http://www.anti-malware.ru/pda/index.php?showtopic=9689
Не сильно углубляясь в поисках.
http://www.xakep.ru/post/49043/default.asp
http://www.anti-malware.ru/pda/index.php?showtopic=9689
9285
Хм... и впрямь. А разработчики легендарного отладчика SoftIce так и не смогли добиться загрузки его перед NT.
Хм... и впрямь. А разработчики легендарного отладчика SoftIce так и не смогли добиться загрузки его перед NT.
programfiles
Цитата:
Загрузиться с какого-нибудь линукса и в терминале
dd if=/dev/zero of=/dev/hda1 bs=512 count=1
забьёт нулями загрузочный сектор или
dd if=/dev/zero of=/dev/hda bs=446 count=1
можно так, при этом сохранится таблица разделов
dd if=/dev/hda of=bootloader.mbr bs=1 count=512
создаст бекап загрузочного сектора
Цитата:
Руткит сидит в MBR. Буду переустанавливать ОС. Как его удалить гарантированно? Windows 7 Профессиональная.
Загрузиться с какого-нибудь линукса и в терминале
dd if=/dev/zero of=/dev/hda1 bs=512 count=1
забьёт нулями загрузочный сектор или
dd if=/dev/zero of=/dev/hda bs=446 count=1
можно так, при этом сохранится таблица разделов
dd if=/dev/hda of=bootloader.mbr bs=1 count=512
создаст бекап загрузочного сектора
9285
Цитата:
Видимо я как - то непонятно выразился.
По ссылкам в общем то голимые теоретические выкладки. Прерывание 13h используется для посекторного чтения/записи диска средствами БИОС. Не углубляясь в детали скажу, что Винда не использует при загрузке всех своих компонентов, начиная с загрузки ядра, векторы прирываний БИОС (обнуляет таблицу векторов прерываний в начале загрузки и игнорирует ее в дальнейшем) и ей пофигу, перехватили или не перехватили прерывания БИОС до начала загрузки. Единственное, что можно сделать посредством прерывания 13h - прочитать или перезаписать произвольный сектор на диске до загрузки операционной системы.
Практически, на примере Sinowal/Stoned, любой нормальный (в смысле правильно и качественно сделаный) руткит - это совокупность нескольких компонентов - драйвера уровня ядра, DLL или EXE файла (возможно, но не обязательно), и, в случае буткита - модификации MBR.
Таким образом, при заражении буткитом в MBR сидит минимальный загрузочный код, выполняющий некоторый произвольный код (записанный в любом пригодном месте диска), патчащий загрузчик системы с той целью, чтобы загрузился дров , расположенный в произвольном месте диска, с функционалом виря (и/или руткита в совокупности).
В итоге, такой буткит почти не удалить из целевой (зараженной системы) потому что он не оформлен в виде файла, перезаписать из нее MBR рутинными средствами тоже скорее всего не удастся, т.к. модифицированную копию загрузочной записи защищает дров уровня ядра руткита.
Стало быть методы лечения такой руткитной болезни - частичная прямая перезапись (патч) MBR из под какого нибудь LiveCd (лучше линуксовского) хекс - редактором (пример _http://cr4sh-0x48k.livejournal.com/40243.html), портящая загрузку руткита, полная перезапись MBR из той же среды редактором загрузочных разделов и т.п.(оба случая могут кончится нерабочей системой), посекторный анализ диска с целью выявить код руткита (если шаришь), или попытаться использовать какую - нибудь тулзу против буткитов (GMER, Antiboot, Bootkit remover и т.д или что нибудь от известных производителей) из среды LiveCd или даже из целевой системы (т.к. методы индикации буткитов разные, нужно смотреть рекомендации производителей).
Цитата:
Не сильно углубляясь в поисках.
http://www.xakep.ru/post/49043/default.asp
http://www.anti-malware.ru/pda/index.php?showtopic=9689
Видимо я как - то непонятно выразился.
По ссылкам в общем то голимые теоретические выкладки. Прерывание 13h используется для посекторного чтения/записи диска средствами БИОС. Не углубляясь в детали скажу, что Винда не использует при загрузке всех своих компонентов, начиная с загрузки ядра, векторы прирываний БИОС (обнуляет таблицу векторов прерываний в начале загрузки и игнорирует ее в дальнейшем) и ей пофигу, перехватили или не перехватили прерывания БИОС до начала загрузки. Единственное, что можно сделать посредством прерывания 13h - прочитать или перезаписать произвольный сектор на диске до загрузки операционной системы.
Практически, на примере Sinowal/Stoned, любой нормальный (в смысле правильно и качественно сделаный) руткит - это совокупность нескольких компонентов - драйвера уровня ядра, DLL или EXE файла (возможно, но не обязательно), и, в случае буткита - модификации MBR.
Таким образом, при заражении буткитом в MBR сидит минимальный загрузочный код, выполняющий некоторый произвольный код (записанный в любом пригодном месте диска), патчащий загрузчик системы с той целью, чтобы загрузился дров , расположенный в произвольном месте диска, с функционалом виря (и/или руткита в совокупности).
В итоге, такой буткит почти не удалить из целевой (зараженной системы) потому что он не оформлен в виде файла, перезаписать из нее MBR рутинными средствами тоже скорее всего не удастся, т.к. модифицированную копию загрузочной записи защищает дров уровня ядра руткита.
Стало быть методы лечения такой руткитной болезни - частичная прямая перезапись (патч) MBR из под какого нибудь LiveCd (лучше линуксовского) хекс - редактором (пример _http://cr4sh-0x48k.livejournal.com/40243.html), портящая загрузку руткита, полная перезапись MBR из той же среды редактором загрузочных разделов и т.п.(оба случая могут кончится нерабочей системой), посекторный анализ диска с целью выявить код руткита (если шаришь), или попытаться использовать какую - нибудь тулзу против буткитов (GMER, Antiboot, Bootkit remover и т.д или что нибудь от известных производителей) из среды LiveCd или даже из целевой системы (т.к. методы индикации буткитов разные, нужно смотреть рекомендации производителей).
а собственно перезаписать мбр с диска?
ранее было что-то вроде fdisk /mbr
в вин7 - не имею понятия, как именно.
ранее было что-то вроде fdisk /mbr
в вин7 - не имею понятия, как именно.
bootrec /fixmbr ?
SeyLo
Я разве писал про то, что весь руткит сидит в MBR?
Как раз таки наоборот.
Даже более того, не факт что перезапись MBR может вылечить систему. Не буду утверждать, но как то в одной системе был буткит, а в винде заражён один экзешник.
Лечение по отдельности не дало эффекта. Когда убил обоих сразу, то всё пропало. В хорошем смысле.
Я разве писал про то, что весь руткит сидит в MBR?
Как раз таки наоборот.
Даже более того, не факт что перезапись MBR может вылечить систему. Не буду утверждать, но как то в одной системе был буткит, а в винде заражён один экзешник.
Лечение по отдельности не дало эффекта. Когда убил обоих сразу, то всё пропало. В хорошем смысле.
обьясните чайнику. у меня наверное такая же беда. я даже жесткий поменял но когда
установил его ноут попросил поставить на жесткий какие-то дрова ну я и нажал ОК
и все вернулось на круги своя все щимится в инет пытаешся бороться комп виснет
при попытки форматнуть сторонними прогами ноут уходит в перегруз или проги зависали
я наделал скринов может они помогут
установил его ноут попросил поставить на жесткий какие-то дрова ну я и нажал ОК
и все вернулось на круги своя все щимится в инет пытаешся бороться комп виснет
при попытки форматнуть сторонними прогами ноут уходит в перегруз или проги зависали
я наделал скринов может они помогут
didok20 - Помощь при лечении компьютера от вирусов (читайте шапку темы и следуйте написанным в ней инструкциям).
в той теме у меня все есть
А старый добрый fdisk /mbr тоже не помогает?
Вообще согласен, руткиту тупо не хватит места в MBR. Туда и бут-вири с трудом влезают, а тут целый оверрайдер.
Вообще согласен, руткиту тупо не хватит места в MBR. Туда и бут-вири с трудом влезают, а тут целый оверрайдер.
Предыдущая тема: Синий экран смерти
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.