
#1
Отправлено 18 Ноябрь 2011 - 04:16
Загрузки LivеCD DrWeb, Nod32, Касперского не привели ни к чему: то есть распознается и проверяется только дисковод, флешка, и некий диск В на который загружается сам Live.
Поиск в интернете привел к нахождению некой программы Universal Virus Sniffer - http://dsrt.dyndns.org/uvs.htm для лечения загрузочных вирусов. с ее помощью был удален файл начинающийся на MBR#0. Правда не с диска С, а с некого диска X на котором был запущен Alkid LivеCD и из под которого была открыта флешка с UVS.
Текст с требованием денег при загрузке исчез но появилось следующее: Reboot and Select proper Boot device or Insert Boot Media in selected Boot device and press key.
Повторные загрузки LivеCD DrWeb, Nod32, Касперского опять бесполезны (распознается и проверяется только дисковод, флешка, и некий диск В на который загружается сам Live).
Решил переустановить Виндос, благо у меня три логических диска на винчестере: С (рабочая винда),D (резервная,не раз спасала когда на рабочей вирусы заводились),E (информация)
В начале переустановки вижу сообщение о неразмеченной области объемом с весь винчестер, естественно паника. Получается что гадский вирус разрушил всю файловую систему на винчестере? Помогите советом!!!!
#3
Отправлено 18 Ноябрь 2011 - 12:00
А без сервиса, может кто посоветует что попробывать?
#4
Отправлено 18 Ноябрь 2011 - 12:03
#5
Отправлено 18 Ноябрь 2011 - 19:53
Не пойму, а почему это часто помогает?Перевести дату в биосе на 1 год вперед
#6
Отправлено 18 Ноябрь 2011 - 20:04
Не пойму, а почему это часто помогает?Перевести дату в биосе на 1 год вперед
Вазонез не разобрался в чужом коде и натупил при написании бюлдера

#7
Отправлено 19 Ноябрь 2011 - 08:12

Просит положить 500 р. на счет абонента МТС 89161988713.
При загрузке EDR Commander жестких дисков не видно. При загрузке ОС Ubuntu с usb flash я тоже не увидел жестких дисков. Запустив GParted я увидел неразмеченую область на весь жесткий диск. Что с этим можно сделать? И где находиться сам вирус?
#8
Отправлено 19 Ноябрь 2011 - 14:15
Борис А. Чертенко aka Borka.
#9
Отправлено 19 Ноябрь 2011 - 17:34
Я так и думал. Просто хотел удостоверитсяНе пойму, а почему это часто помогает?Перевести дату в биосе на 1 год вперед
Вазонез ... .....бюлдера
#10
Отправлено 19 Ноябрь 2011 - 21:58
Перевод даты не помогает. Проблему я уже решил. Если кому надо, могу рассказать как.Вирус сидит MBR. Перевод даты веред-назад не помогает?
#11
Отправлено 20 Ноябрь 2011 - 14:54
Сообщение было изменено alexawka: 20 Ноябрь 2011 - 14:54
#12
Отправлено 20 Ноябрь 2011 - 16:07
#14
Отправлено 21 Ноябрь 2011 - 22:37
то есть Вы пробовали загрузку с различных LivеCD и не можете получить при этом доступ к жесткому диску?
#15
Отправлено 21 Ноябрь 2011 - 22:50
#16
Отправлено 21 Ноябрь 2011 - 22:52
dd if=/dev/sda of=/dev/sda bs=512 count=1 skip=1 seek=0 conv=notrunc
Это копирует второй сектор диска (где лежит оригинальный mbr) на место первого.
Если это был Trojan.MBRLock.6, то после перезагрузки компьютер запустится. Если 14, то mbr этот зашифрован и тогда заново загрузившись с livecd укажите of=./mbr.bin и выложите здесь аттачем
P.S.
Важно! Я бы не советовал применять сразу указанный выше способ, тк можно затереть нужные данные (ключ для дешифрации оригинального mbr). Сначала следует выполнить следубщее
1)Загрузившись с livecd/liveusb drweb запустите сканер и проверьте им MBR. Если он в базе есть, то и вылечить он сам сможет
2)Если не смог, то для начала сделайте backup первого и второго сектора
sudo dd if=/dev/sda of=./mbr_backup.bin bs=512 count=2 skip=0
И скопируйте этот файл на флэш-накопитель, или на файло-обменнике
3)Проверяем а есть ли во втором секторе чистый оригинальный MBR
sudo dd if=/dev/sda of=./sector2.bin bs=1 count=2 skip=1022
cat ./sector2.bin | hexdump -x
Если вывелась последовательность 0x55 0xAA, то можно копировать, как указано в начале
Сообщение было изменено k.nikolenko: 22 Ноябрь 2011 - 15:06
дополнение инструкции
#17
Отправлено 21 Ноябрь 2011 - 22:53
боюсь не поможет...скажет что у вас нет установленых систем и диск не форматирован.Совершенно верно. Bart PE, KAV, Ubuntu бесполезны). Думаю попробовать родной диск с командами fixboot, fixmbr
нужно аналитиков спрашивать...что и где и как в секторе исправлять руками
#18
Отправлено 21 Ноябрь 2011 - 23:00
Т.к. у вас после всех манипуляций затерт MBR и таблица разделов, то соответственно смонтировать linux их не может. Поэтому грузитесь с livecd drweb, открывайте консоль и пишите
dd if=/dev/sda of=/dev/sda bs=512 count=1 skip=1 seek=0 conv=notrunc
Это копирует второй сектор диска (где лежит оригинальный mbr) на место первого.
Если это был Trojan.MBRLock.6, то после перезагрузки компьютер запустится. Если 14, то mbr этот зашифрован и тогда заново загрузившись с livecd укажите of=./mbr.bin и выложите здесь аттачем
А с live usb получится тоже самое? На нетбуке привода нет...(
#19
Отправлено 21 Ноябрь 2011 - 23:03
sudo dd...
#20
Отправлено 21 Ноябрь 2011 - 23:08

Борис А. Чертенко aka Borka.