10 ответов в этой теме

[l.e.e.]

Ситуация такая
1.ПК реально заражён, грузим DrWeb LiveUSB сразу делаем багрепорт и копируем в нужное место.
2.Сканируем с DrWeb LiveUSB drweb -path=/mnt/disk/sda1 -cu
3. Проверка через время останавливается по соображениям ,что загрузочный сектор проверяется сразу (?)
4.Перезагрузка = результат 0
из лога сканера
>>/mnt/disk/sda1/bugreport_0c2f8538fad1327ad7482bed1d45d4fe_1338496209.tar.gz/gziped.gz/./mbr-sda.bin infected with Trojan.MBRlock.14
то есть наш архив он нашёл с заражённым сектором. А сам сектор диска ? Почему нет параметров для проверки мбр ? Что надо сделать, что бы нашёл ?

Курейт успешно справился с ...ского диска и ПК загрузился. (повторное заражение исключил для простоты)
 cure-mbrlock14.png   119,17К   3 Скачано раз

Сообщение было изменено Partizan: 31 Май 2012 - 21:18

[userr]

Partizan,

из лога сканера...

ну и где же лог сканера ? детальный.

[l.e.e.]

Могу и весь bugreport_0c2f8538fad1327ad7482bed1d45d4fe_1338496209.tar.gz 53 мб. (надо?)
 drweb.7z   108,62К   2 Скачано раз

Сообщение было изменено Partizan: 31 Май 2012 - 21:35

[mrbelyash]

Давно говорил-вынести проверку мбр в самое начало и не проверять самого себя на сд.
Что имеем, то имеем

[mrbelyash]

Да и ярлык на рабочий стол нужно сделать-Изьять флешку.

Т.к. нормально скопированые логи там не сохранятся.

В Lindows 5/0 это еще ого-го когда было сделано!

[l.e.e.]

>>/mnt/disk/sda1 - лог я перенёс в корень диска. флэшка sdc1
Если не производились действия по перенастройке программы,
то по умолчанию (то есть без отдельного указания параметров)
Сканер запускается с параметрами:
-ar -ha -fl- -ml -sd

Сообщение было изменено Partizan: 31 Май 2012 - 21:47

[userr]

Могу и весь bugreport_0c2f8538fad1327ad7482bed1d45d4fe_1338496209.tar.gz 53 мб. (надо?)

пока нет.
сколько у Вас логических и физических дисков и сколько ОС на этой машине?

[userr]

Partizan,
попробуйте почитать ftp://ftp.drweb.com/pub/drweb/unix/doc/drweb-linuxcc-602-ru.pdf в части, относящейся к сканеру. стр. 97 особенно.

[l.e.e.]

Нашёл ! Спасибо.

Если в параметрах запуска путь задан с
префиксом:
disk://<путь к файлу устройства>,
то будет проверен загрузочный сектор
соответствующего устройства и при
необходимости произведено его лечение.

Сообщение было изменено Partizan: 31 Май 2012 - 22:34

[l.e.e.]

disk://<путь к файлу устройства> кто это расшифрует ? Какой формат строки для проверки секторов ? Почему аварийный диск сконфигурирован для проверки линуксоидных типов файлов ? (-EX) - что бы проверить типы для виндовс надо писать целый список или вообще все проверять (по-русски) ? Пропуск архивов замедляет саму процедуру сканирования чисто технически.

Сообщение было изменено Partizan: 02 Июнь 2012 - 18:58

[l.e.e.]

 vstaldr.rar   177,02К   8 Скачано раз

Spoiler

timeout 10
default 2
fallback 1
title Vista Loader
map --mem (hd0,0)/vstaldr.img (fd0)
map --hook
chainloader (fd0)+1
rootnoverify (fd0)title Windows Vista/Win7
find --set-root /bootmgr
chainloader /bootmgr
title Windows XP
find --set-root /ntldr
chainloader /ntldr

Вот это реально обходит зараженный сектор и грузит систему собственно с загрузчика (bootmgr, ntldr - их пока не заражали).
(в архиве образ дискеты используемый на Vista, GRUB загрузчик. Мне осталось лишь дописать в меню ХР)
Надо записать диск ,указав этот файл загрузочным (UltraISO, NERO). Или на дискету. А далее просто сканировать и лечить.