73 ответов в этой теме

[k.nikolenko]

k.nikolenko, есть предложение на всякий случай сохранить оригинал мастер-бута. На всякий случай

Там нечего сохранять, раз пишет что не найдено устройство для загрузки, а таблица разделов потерта, то значит mbr не валиден (как минимум метку 0x55AA не находит). А без таблицы от такого mbr толку 0, т.к. сам код можно отдельно накатить.

Если хотите сохранить, то в первой командой of=./mbr_backup.bin skip=0 и сохраните на флешке, тк файловая система в памяти после ребута исчезнет

Сообщение было изменено k.nikolenko: 21 Ноябрь 2011 - 23:15
бэкап параметры

[dukeflid]

Друзья, чудо свершилось.
Зверек ожил, спасибо огромное.

Особая благодарность k.nikolenko.
Пойду сносит Nod32, ставит что нить другое.

[mrbelyash]

боюсь после прочтения будут и копию затирать

[Al_Sawas]

HELP ME!!! PLEASE помогите...и не знаю что терь делать((( раньше попадал на подобную хрень, только в свое время здесь на сайте был целый перечень кодов, отключающих паразита и у меня была возможность распечатать коды, теперь возможности нет, пока, слава Богу, ничего не нажимал. Вопрос... Можно ли сейчас, пока я не уходил со страницы - паразита, что-то предпринять, чтобы не было последствий?
При попытке закрыть страницу выдает сообщение - "Вы действительно хотите уйти с этой страницы? ПРИ НАЖАТИИ ОК К ВАМ АВТОМАТИЧЕСКИ БУДЕТ ЗАГРУЖЕН ВИРУС, ПРИ НАЖАТИИ ОТМЕНА И ПЕРЕХОДЕ НА ЛЮБОЙ ИЗ ПРЕДЛОЖЕННЫХ СТРАНИЦ, ВЫ ОБЕЗОПАСИТЕ СВОЙ КОМПЬЮТЕР Чтобы продолжить, нажмите "Ок". Чтобы остаться на данной странице, нажмите "Отмена".

Скажите, пожалуйста, что делать, чтобы не заблокировалось ничего????

[mrbelyash]

можете кинуть ссылку на этот сайт?

[Al_Sawas]

плиз, помогите... спасете мне жизнь, прям

[mrbelyash]

плиз, помогите... спасете мне жизнь, прям

http://wiki.drweb.com/index.php/Лечение_удаленной_машины

[Al_Sawas]

загрузил тим вьюер, что дальше?

[mrbelyash]

запустить..написать id и пароль

[chgcity]

Т.к. у вас после всех манипуляций затерт MBR и таблица разделов, то соответственно смонтировать linux их не может. Поэтому грузитесь с livecd drweb, открывайте консоль и пишите

dd if=/dev/sda of=/dev/sda bs=512 count=1 skip=1 seek=0 conv=notrunc

Это копирует второй сектор диска (где лежит оригинальный mbr) на место первого.
Если это был Trojan.MBRLock.6, то после перезагрузки компьютер запустится. Если 14, то mbr этот зашифрован и тогда заново загрузившись с livecd укажите of=./mbr.bin и выложите здесь аттачем

P.S.
Я бы не советовал применять сразу этот способ, тк можно затереть нужные данные (ключ для дешифрации оригинального mbr)
1)Загрузившись с livecd/liveusb drweb запустите сканер и проверьте им MBR. Если он в базе есть, то и вылечить он сам сможет
2)Если не смог, то для начала сделайте backup первого и второго сектора
sudo dd if=/dev/sda of=./mbr_backup.bin bs=512 count=2 skip=0
И скопируйте этот файл на флэш-накопитель, или на файло-обменнике
3)Проверяем а есть ли во втором секторе чистый оригинальный MBR
sudo dd if=/dev/sda of=./sector2.bin bs=1 count=2 skip=1022
cat ./sector2.bin | hexdump -x
Если вывелась последовательность 0x55 0xAA, то можно копировать, как указано в начале

Добрый день!
Сделал все по вашей инструкции, текст о выслать денег пропал, но теперь при загрузке мигает вверху слева курсор и ничего не происходит. Лайв СД и т.д. все равно не видят ШДД.
Делал следующее:
dd if=/dev/sda of=/dev/sda bs=512 count=1 skip=1 seek=0 conv=notrunc
Подскажите, что еще попробовать?
Заранее спасибо!

[k.nikolenko]

Подскажите, что еще попробовать?

Надеюсь вторую часть инструкции Вы читали и сделал бэкап секторов. А следовательно можете выложить его здесь аттачем, либо на rghost

[chgcity]

Подскажите, что еще попробовать?

Надеюсь вторую часть инструкции Вы читали и сделал бэкап секторов. А следовательно можете выложить его здесь аттачем, либо на rghost

А если не сделал? %)

[k.nikolenko]

А если не сделал?

То теперь будет сложней. Тк пока показывал свой текст можно было определить что за версия мбрлокера и ключ.
Опишите примерно что выдавал вирус, каким цветом текст.

А сейчас попробуйте
sudo dd if=/dev/sda of=./sector2.bin bs=512 count=1 skip=1
и выложить полученный файл

[chgcity]

Выдавал точно такую же картинку как в начале этого топика, с тем же сотовым номером.
Сейчас попробую

[chgcity]

Пишет sudo: command not found

[k.nikolenko]

Если прав достаточно, то можно и без sudo, сразу начиная с dd

[chgcity]

Сделал, а куда записался сам bin?

[k.nikolenko]

наберите pwd - узнаете текущий каталог. Скорей всего это /root или /home/%username%

[mrbelyash]

k.nikolenko
?
dd if=/dev/hda of=/mnt/disk/hda1/sector1 bs=512 count=1
http://mrbelyash.blogspot.com/2011/05/trojanmbrlock.html

[k.nikolenko]

k.nikolenko
?
dd if=/dev/hda of=/mnt/disk/hda1/sector1 bs=512 count=1
http://mrbelyash.blo...janmbrlock.html

Чистое совпадение. Т.к. dd довольно удобен для копирования секторов, потому и предложил такой способ