77 ответов в этой теме

[lady]

http://rghost.ru/32511231

[mrbelyash]

Вероятно произошло несколько раз заражение. Загрузитесь с livecd. Затем откройте консоль(terminal)
наберите там
cd /tmp
dd if=/dev/sda of=./sectors.dmp bs=512 count=127
И выложите на rghost полученный файл (/tmp/sectors.dmp)

у себя сделал http://rghost.ru/32511121

Сообщение было изменено mrbelyash: 29 Ноябрь 2011 - 16:10

[k.nikolenko]

Lady,
Теперь, находясь в Livecd скачайте в папку TMP этот файл
http://rghost.ru/32511871

После этого в консоли наберите
cd /tmp
dd if=./good.dmp of=/dev/sda bs=512 count=1 seek=0 conv=notrunc

Для тебя mrbelyash немного проще. Чистый mbr лежит сразу за вирусным. В том же WinHex перейди на смещение 200h, выдели 200h байт(512), жми ctrl+shift+c. Потом перейди на 0 смещение и нажми ctrl+b вот и все

Сообщение было изменено k.nikolenko: 29 Ноябрь 2011 - 16:18

[lady]

Сделала, что дальше?

[k.nikolenko]

Перезагружайтесь

Upd:
Да в обычном =)

Сообщение было изменено k.nikolenko: 29 Ноябрь 2011 - 16:27

[lady]

В обычном режиме?

[mrbelyash]

Для тебя mrbelyash немного проще.

та мне не надо...то ж я с логов запилил дамп на виртуалку.

[lady]

УРА-А-А-А!!!!!!! ЗАГРУЗИЛСЯ РОДНЕНЬКИЙ!!!!!!
k.nikolenko ЧМОК!ЧМОК!ЧМОК!ЧМОК!ЧМОК!ЧМОК!ЧМОК!ЧМОК!
mrbelyash ЧМОК!ЧМОК!ЧМОК!ЧМОК!ЧМОК!ЧМОК!ЧМОК!ЧМОК!

Мельком DrWeb сообщил о каком-то зараженном файле. Теперь прогнать свежий сканер?

[k.nikolenko]

Да, желательно просканировать компьютер свежими базами

[lady]

Вы представить себе не можете как я ВАМ благодарна!!!!! Огромный мой РЕСПЕКТ!!!!!!

Не забудьте мою помаду с лица стереть!))))

Сообщение было изменено lady: 29 Ноябрь 2011 - 16:50

[lady]

Добрый день!
Сегодня, когда эмоции немного улеглись, хотелось еще раз обратиться а проблеме. Я была бы признательна, если бы мне в двух словах объяснили, что мы вчера сделали. Это для общего развития.))
Я так поняла, что Вы заменили MBR. Т.к. я с Linux не знакома, то могу только подозревать, что Вы нашли где-то в файле sectors.dmp чистую MBR, записали ее в файл good.dmp, который я уже вернула на место по Вашей инструкции. Правильно? Если я сохраню копию файла good.dmp, он может мне пригодиться в будущем, если возникнет похожая ситуация?

[k.nikolenko]

И Вам доброго дня. Да, Вы все верно поняли. Командой dd мы сделали копию первых 64кб жесткого диска, в которых был найден оригинальный MBR и его вернули на свое законное место. Этот mbr будет валидным до тех пор, пока не решите поменять разбиение жесткого диска, или поменять систему на отличную от windows. Если пользуетесь антивирусом от DrWeb, то советую зайти в меню Инструменты->Настройки, дальше в разделе Расширенные установить галочку "Запрещать приложениям низкоуровневую запись на жесткий диск"

[lady]

Спасибо. Так и сделаю. У меня лицензионный DrWeb по всей локальной сети. Запрет на низкоуровневую запись на диск не будет мешать установке какого-либо ПО по моему желанию?

[Borka]

Спасибо. Так и сделаю. У меня лицензионный DrWeb по всей локальной сети. Запрет на низкоуровневую запись на диск не будет мешать установке какого-либо ПО по моему желанию?

Насколько помню, скандиск может обломиться.

[SergM]

Спасибо. Так и сделаю. У меня лицензионный DrWeb по всей локальной сети. Запрет на низкоуровневую запись на диск не будет мешать установке какого-либо ПО по моему желанию?

Некоторые дефрагментаторы, использующие низкоуровневое дефрагментирование тоже не будут работать.

[Serguey Shabashkevich]

Спасибо. Так и сделаю. У меня лицензионный DrWeb по всей локальной сети. Запрет на низкоуровневую запись на диск не будет мешать установке какого-либо ПО по моему желанию?

И не менее важно, дабы пользователи работали под пользователями в системе, а не под Администратором. "Простые вещи спасают жизнь" (с) / из рекламы /

[lady]

Всем спасибо. Попробую, там видно будет.))

[mrbelyash]

Ну тогда включите и защиту критических обьектов.