47 ответов в этой теме

[sailor1247]

Доброго времени суток.
Соседка поймала вчера где-то на "Одноклассниках" (так говорит), вот эту заразу вроде-как разновидностьTrojan.MBRlock.x:  IMGP0366.JPG   2,69Мб   93 Скачано раз
Появляется до загрузки ОС. Пробовал Live CD от DrWeb (от 20.05.2011) - произвёл 2 раза полное сканирование жёсткого диска - ничего не обнаружил. Искал в разделе http://www.drweb.com/unlocker/index/, тоже ничего нет. Есть похожая проблема на http://forum.drweb.com/index.php?showtopic=292921&st=180 от мистера Беляша (сообщения от 20.05.2011), но те коды не подходят.
Подскажите, пожалуйста, как удалить заразу (и честно говоря, не понятно как можно прописать в среде DOS выполнение этой программы до старта загрузки ОС).

[S.F.]

http://forum.drweb.com/index.php?showtopic=302397

http://forum.drweb.com/index.php?showtopic=302448

Как восстановить поврежденную основную загрузочную запись (Master Boot Record или сокращенно - MBR)?

1. Hаиболее правильный подход - загрузиться в Recovery Console и дать команду FIXMBR. При некорректной MBR она будет скорректирована в соответствии с ключем реестра KEY_LOCAL_MACHINE\SYSTEM\MountedDevices, в котором хранятся сигнатуры смонтированных запоминающих устройств. Сама сигнатура (или GUID - Globally Unique Identifiers )находится в MBR по смещению 01B8 и занимает 4 байта.

на свой страх и риск

Сообщение было изменено John Sway: 22 Май 2011 - 14:15

[sailor1247]

To John Sway,
А как fixmbr найдет сигнатуру для восстановления системы из вышеуказанного раздела реестра, если вирус стер mbr своим телом (включая таблицу разделов). Наверное здесь может помочь только восстановление оригинальной mbr, которую вирус сохранил где-то на диске.

Так как же её можно восстановить, многоуважаемый Артём?

[S.F.]

To Artem Baranov,

точно, реестр тут ни при чем ... но какие гарантии что данные сохранятся когда мы перепишем mbr?

[maxic]

Как я понял, идей у Dr.Web Staff больше нет ... тогда зовём всех вирус аналитиков

У Dr.Web Staff, как и у всех остальных - выходной.
За гарантированным ответом - в техподдержку. Форум - дело добровольное.

[Alexey_P]

Пробуйте 281056

[Alexey_P]

для более новых 6920567

[sailor1247]

Спасибо большое всем за отзывчивость и помощь в решении проблемы. Решил отписаться и рассказать что проблема разрешилась сама собой в буквальном смысле этого слова. А именно: перепробовав практически все возможные коды, выложенные здесь на форуме в похожих темах, решил испытать решение предложенное выше (загрузиться с диска с установочным дистрибутивом и попробовать перезаписать основную загрузочную запись MBR). Но перед тем как загружать установочный CD, решил испытать закачанный давно с оф. сайта DrWeb - drweb-600-livecd.iso (от 06.04.2010). Как и положено записал исошник на болванку, загрузился - тот же самый реаниматор, что и drweb-livecd-600.iso - никаких дополнительных функций, кроме тех которые есть и в более лёгкой версии, только весит в 4 раза больше. Но суть не в этом. Подумав, что возможность остаётся одна (попробовать перезаписать основную загрузочную запись MBR), выхожу в шатдаун с перезагрузкой и извлечением диска и вижу, что грузится ОС W7. Вот такие вот пироги...
ИМХО: скорее всего в этой проге встроенный счётчик загрузок...хотя может я ошибаюсь...
Жду с нетерпением комменты профи....
Ещё раз низкий поклон Форуму!!!

[Alexey_P]

Проверьте сканером всё, троян остается как минимум в \Documents and Settings\user\local Settings\Temp

[sailor1247]

Проверьте сканером всё, троян остается как минимум в \Documents and Settings\user\local Settings\Temp

Да, это просто необходимо сделать, спасибо!

[SergM]

Вот еще бы выяснить: подобное лечение реализовано?

Сообщение было изменено SergM: 23 Май 2011 - 10:57

[mrbelyash]

В смысле для этого конкретного локера?

Зачем для конкретиного?Борьба с ветряными мельницами.


Можно в Livecd вложить все вариации mbr и по желанию восстанавливать до оригинального.

[Borka]

В смысле для этого конкретного локера?

Зачем для конкретиного?Борьба с ветряными мельницами.
Можно в Livecd вложить все вариации mbr и по желанию восстанавливать до оригинального.

Так не пойдет. Если троян перепишет таблицу разделов в МБР своим кодом, то оригинал лоудера ничем не поможет.

[HHH]

Можно в Livecd вложить все вариации mbr и по желанию восстанавливать до оригинального.

Восстановить MBR можно с помощью fixmbr. А таблицу разделов для каждого пользователя в livecd не вложишь.

[mrbelyash]

Речь шла про мбрлокер, который замещает собой оригинальную mbr, никакой fixmbr или что-то еще тут не поможет, ибо таблицы разделов нет, а вместо нее вирусный код. Лечение здесь одно, найти оригинальный mbr-сектор и перезаписать им mbr. В случае, если сканер нашел его, он это сделает сам. В противном случае можно попытаться найти в начале диска, если она не зашифрована и руками восстановить. Еще лучше отправить такой mbr (который не находится сканером) на анализ в вируслаб.

Дааааа?


А это видео утверждает обратное http://rghost.ru/7215991

И почему-то у людей это срабатывает.

Сообщение было изменено mrbelyash: 23 Май 2011 - 12:08