Trojan.mbrlock
#1
Отправлено 22 Май 2011 - 11:54
Соседка поймала вчера где-то на "Одноклассниках" (так говорит), вот эту заразу вроде-как разновидностьTrojan.MBRlock.x: IMGP0366.JPG 2,69Мб 93 Скачано раз
Появляется до загрузки ОС. Пробовал Live CD от DrWeb (от 20.05.2011) - произвёл 2 раза полное сканирование жёсткого диска - ничего не обнаружил. Искал в разделе http://www.drweb.com/unlocker/index/, тоже ничего нет. Есть похожая проблема на http://forum.drweb.com/index.php?showtopic=292921&st=180 от мистера Беляша (сообщения от 20.05.2011), но те коды не подходят.
Подскажите, пожалуйста, как удалить заразу (и честно говоря, не понятно как можно прописать в среде DOS выполнение этой программы до старта загрузки ОС).
#2
Отправлено 22 Май 2011 - 14:10
http://forum.drweb.com/index.php?showtopic=302448
Как восстановить поврежденную основную загрузочную запись (Master Boot Record или сокращенно - MBR)?
1. Hаиболее правильный подход - загрузиться в Recovery Console и дать команду FIXMBR. При некорректной MBR она будет скорректирована в соответствии с ключем реестра KEY_LOCAL_MACHINE\SYSTEM\MountedDevices, в котором хранятся сигнатуры смонтированных запоминающих устройств. Сама сигнатура (или GUID - Globally Unique Identifiers )находится в MBR по смещению 01B8 и занимает 4 байта.
на свой страх и риск
Сообщение было изменено John Sway: 22 Май 2011 - 14:15
#3 Guest_Artem Baranov_*
Отправлено 22 Май 2011 - 15:22
А как fixmbr найдет сигнатуру для восстановления системы из вышеуказанного раздела реестра, если вирус стер mbr своим телом (включая таблицу разделов). Наверное здесь может помочь только восстановление оригинальной mbr, которую вирус сохранил где-то на диске.
#4
Отправлено 22 Май 2011 - 15:39
To John Sway,
А как fixmbr найдет сигнатуру для восстановления системы из вышеуказанного раздела реестра, если вирус стер mbr своим телом (включая таблицу разделов). Наверное здесь может помочь только восстановление оригинальной mbr, которую вирус сохранил где-то на диске.
Так как же её можно восстановить, многоуважаемый Артём?
#5
Отправлено 22 Май 2011 - 15:46
точно, реестр тут ни при чем ... но какие гарантии что данные сохранятся когда мы перепишем mbr?
#6
Отправлено 22 Май 2011 - 15:52
У Dr.Web Staff, как и у всех остальных - выходной.Как я понял, идей у Dr.Web Staff больше нет ... тогда зовём всех вирус аналитиков
За гарантированным ответом - в техподдержку. Форум - дело добровольное.
#7 Guest_Artem Baranov_*
Отправлено 22 Май 2011 - 15:58
Когда появился первый мбрлокер, я помню как мы натолкнулись на эту базу данных в реестре и гуид из mbr, на основе этих данных ядро пытается найти раздел, с которого нужно грузиться. Произошло это знакомство из-за того, что если при восстановлении mbr повреждалась эта 4-байтовая, по-моему, сигнатура, то os категорически отказывалась грузиться и показывала в stop-код.
Речь о том, что если такой локер затирает собой таблицу разделов и эту сигнатуру, спасти его можно, только найдя оригинальный сектор, во всяком случае для Windows 7.
#8
Отправлено 22 Май 2011 - 21:34
#9
Отправлено 22 Май 2011 - 21:42
#10
Отправлено 23 Май 2011 - 00:09
ИМХО: скорее всего в этой проге встроенный счётчик загрузок...хотя может я ошибаюсь...
Жду с нетерпением комменты профи....
Ещё раз низкий поклон Форуму!!!
#11
Отправлено 23 Май 2011 - 00:38
#12
Отправлено 23 Май 2011 - 08:33
Да, это просто необходимо сделать, спасибо!Проверьте сканером всё, троян остается как минимум в \Documents and Settings\user\local Settings\Temp
#13 Guest_Artem Baranov_*
Отправлено 23 Май 2011 - 10:32
#14
Отправлено 23 Май 2011 - 10:56
Сообщение было изменено SergM: 23 Май 2011 - 10:57
#15 Guest_Artem Baranov_*
Отправлено 23 Май 2011 - 11:04
#16
Отправлено 23 Май 2011 - 11:10
В смысле для этого конкретного локера?
Зачем для конкретиного?Борьба с ветряными мельницами.
Можно в Livecd вложить все вариации mbr и по желанию восстанавливать до оригинального.
#17
Отправлено 23 Май 2011 - 11:31
Так не пойдет. Если троян перепишет таблицу разделов в МБР своим кодом, то оригинал лоудера ничем не поможет.Зачем для конкретиного?Борьба с ветряными мельницами.В смысле для этого конкретного локера?
Можно в Livecd вложить все вариации mbr и по желанию восстанавливать до оригинального.
Борис А. Чертенко aka Borka.
#18
Отправлено 23 Май 2011 - 11:31
Восстановить MBR можно с помощью fixmbr. А таблицу разделов для каждого пользователя в livecd не вложишь.Можно в Livecd вложить все вариации mbr и по желанию восстанавливать до оригинального.
#19 Guest_Artem Baranov_*
Отправлено 23 Май 2011 - 11:56
#20
Отправлено 23 Май 2011 - 12:07
Речь шла про мбрлокер, который замещает собой оригинальную mbr, никакой fixmbr или что-то еще тут не поможет, ибо таблицы разделов нет, а вместо нее вирусный код. Лечение здесь одно, найти оригинальный mbr-сектор и перезаписать им mbr. В случае, если сканер нашел его, он это сделает сам. В противном случае можно попытаться найти в начале диска, если она не зашифрована и руками восстановить. Еще лучше отправить такой mbr (который не находится сканером) на анализ в вируслаб.
Дааааа?
А это видео утверждает обратное http://rghost.ru/7215991
И почему-то у людей это срабатывает.
Сообщение было изменено mrbelyash: 23 Май 2011 - 12:08
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых