Boot вирус что делать
Видать у вас уже очень старая мама -- в новые такую защиту, насколько помню, не встраивают.
Поэтому при установке операционки оно у вас тоже появится: ведь установка операционки принципиально связана с изменением загрузочного сектора. И если вы запретите это делать, среагировав на вопрос про вирус как на реальную угрозу -- с нормальной установкой у вас ничего не выйдет.
Лучше вообще отключить эту защиту -- по крайней мере на время установки: иногда наблюдались проблемы даже при положительном ответе на вопрос (возможно что связано с нерасчётно большим интервалом времени, в течение которого юзер реагирует на этот вопрос).
Добавление от 28.11.2008 11:24:
Ну а про PM вам уже сказали. Откройте окно, и запустите его как летающую тарелочку, хоть какая польза будет: очень красиво.
| 4. Roxx2000 , 28.11.2008 12:19 | ||
| 5. Егор , 28.11.2008 12:21 |
| Долго искал ваш ответ, но нашел. Для всех, он в последнем абзаце.
Добавление от 28.11.2008 12:23: Roxx2000 |
| 6. Roxx2000 , 28.11.2008 12:24 |
Не, на самом-то деле, есть один вариант написания бутового вируса для Windows. Но, насколько я знаю, этот вариант ещё никто не реализовал.
| 8. AYM , 28.11.2008 13:04 |
| Джамаль Под Windows бут-вирусы не живут. Поэтому сказки про заражённый бут-сектор можете пересказывать детишкам как Вы самоуверены))) живут. на прошлой недели ловили кто ломится черз прокси на левые сайти, которых в природе нет. в результате выловлен BACKDoor.MaosBoot судя по антивию именно в бутблоке он и проживал |
| 10. Roxx2000 , 28.11.2008 13:41 |
| 11. Antech , 29.11.2008 17:02 |
| Бутовые вирусы до сих пор существуют. Сравнительно недавно восстанавлиал я кому-то разделы, в MBR был вирус. Подробности не помню. То, что вирус загрузочный, это 100%. Собственно, об этом сказано в описании вируса, которое было найдено в сети. И то, что я увидел на диске, описанию соответствовало. Вирус пишется в MBR вместо обычного загрузчика. Оригинальную MBR он копирует в один из неиспользуемых начальных секторов. Что характерно, вирус создает раздел с типом 0E (не путать с 0F) или изменяет тип на 0E существующему разделу, я точно не помню. Что происходит с функционированием вируса после загрузки Винды - это другой вопрос, но, так или иначе, вирус был словлен на компе с Виндой, и вирус сделал свое дело. Так что не перевелись еще загрузочные тараканы. |
Добавление от 13.01.2009 03:30:
Victoria 4.3 Windows Хотел закачать но Avast червя не захотел
| 13. mwz , 13.01.2009 09:35 |
| Фарамир
WinHex хотя бы. |
| 14. Antech , 13.01.2009 12:42 |
| Фарамир WinHex, DMDE, HxD, Tiny Hexer. |
| 15. Argogo , 13.01.2009 22:50 |
| Я так понимаю, что безусловная перезапись MBR при помощи одной из команд консоли восстановления (кажется FIXMBR) не рассматривается? (Для осей до win2k- FDISK /MBR) |
| 17. Antech , 16.01.2009 14:16 |
| Argogo Надежнее посмотреть/исправить редактором. Тем более, это очень просто. |
| 18. Sergonian , 26.06.2009 22:35 |
| Такая же проблема. Товарищ принес бук, тупо виснет виста при загрузке. Удалил. Начал ставить ХР, синее окно при установке. Вобщем раз пять пробовал и все разные ошибки выскакивают, то файл скопирован неверно , то хард неисправен. Викторией прошел, диск нормальный, да и буку год всего и немного пользуются. Решил винт на комп поставить, начал винду грузить и у меня синее окно. Проверил нод-32 обнаружил вирус в загрузочном секторе на его диске и у меня на флешке. Я его сразу убрал, а флешку форматнул PeToUSB- прога для загрузки винды с флеш. На флешке вирус пропал, на моих дисках его нет, а как здесь избавиться не знаю. Да у товарища бук был нете, тупо завис. Он выключил, а запуститься больше не смог. Можно ли как-то форматировать загрузочный сектор? Как можно с командной строки форматнуть его? |
| 19. Antech , 26.06.2009 22:46 |
| Sergonian Magic Boot Disk - MHDD - CLRMBR. (Разделы будут удалены.) Если надо сохранить таблицу разделов. WinHex, HxD или DMDE; открыть физический диск и обнулить байты 0. 1BDh. Можно также в консоли восстановления FIXMBR, вроде должно сработать. Но если при установке ошибки разные, врядли это вирус. Вы ведь грузитесь с установочного компакта, вирусу не передается управление. А установщик переписывает загрузчик в MBR и вирус улетает. |
Компания Symantec сообщила об обнаружении нового образца хакерского программного обеспечения, способного изменять загрузочный сектор главного жесткого диска компьютера. В компании отмечают, что обнаруженное ПО относится к средствам удаленного администрирования (руткит) и предназначено для работы с Windows.
По словам экспертов Symantec, обнаруженный код - это принципиально новая разработка, которая не использует какие-либо ранее задействованные вредоносные коды, поэтому на сегодня далеко не все антивирусы способны обнаруживать новый руткит.
Руткит модифицирует код главного загрузочного сектора (master boot record), где хранится информация об операционной системе или системах (если их несколько), которой следует передать управление компьютером после проверки BIOS.
"Традиционные руткиты инсталлируются в системе как драйверы, примерно также как и остальное программное обеспечение и файлы. Эти драйверы грузятся вместе с операционной системой на этапе включения компьютера, но новый руткит записывает себя еще до операционной системы и начинает выполнятся до старта ОС", - говорит Оливер Фредрих, руководитель антивирусного подразделения Symantec.
"Такой метод дает беспрецедентный контроль над компьютером, фактически код прячется там, где ни один руткит до него не прятался", - говорит он.
По данным исследователей из института SANS, статистический анализ показал, что на сегодня данным руткитом заражены несколько тысяч компьютеров по всему миру, а первые признаки нового вредоносного кода появились в середине декабря 2007 года. Кроме того, в SANS сообщили, что обнаружили несколько сайтов, при помощи которых руткит распространяется.
"Это очень серьезная угроза и она показывает навыки ряда компьютерных преступников. Несмотря на то, что концепция несанкционированного модифицирования не нова, примененный подход ранее почти не использовался. Очевидно, что здесь поработали профессионалы, которые в последствии на базе этого кода могут создать и дополнительные схемы похищения данных и получения контроля над пользовательским компьютером", - говорят в Symantec.
В Verisign отметили, что первая волна атак нового руткита, судя по данным траффика, была 12 декабря, вторая - 19 декабря 2007 года. По словам Мэтью Ричардса, директора VeriSign iDefense Labs, на сегодня около 5 000 компьютеров заражены руткитом.
В Symantec говорят, что полученные на данный момент сведения свидетельствуют о том, что код работает только в Windows XP, пользователи Windows Vista пока находятся вне опасности, так как для своей работы руткит требует административных привилегий, а Vista при подобных обращениях выводит запрос на выполнение.
Еще одна опасность кода заключается в том, что из-за нахождения в главной загрузочной записи его крайне трудно обнаружить из операционной системы средствами антивируса. "Единственный верный способ удалить этот код - запуск консоли восстановления Windows c инсталляционного диска, также следует воспользоваться командой fixmbr в командной строке. В ряде BIOS есть функций для запрещения записи в загрузочный сектор, сейчас эта функциональность может оказаться полезной", - говорит Элия Флорио, антивирусный аналитик Symantec.
Более подробные данные о рутките можно получить по адресу gmer.net/
mbr/
| 21. Sergonian , 26.06.2009 23:39 |
| Antech! Благодарю что откликнулся. Нно я не силен с доспрогами. Скачал Magic Boot Disk v2.0, загрузил, диск опредилился. C:\MHDD> Здесь что напечатать, чтоба весь диск форматнуть с загрузочным сектором или загрузочный? |
| 23. Sergonian , 27.06.2009 01:19 |
| Я не на шутку озадачился. У меня дисковод пропал. В оборудовании совсем его нет. Час назад нарезал Magic Boot Disk v2.0, сейчас хотел нарезать mhdd32ver4.6, а дисковода нет |
C:\MHDD> Здесь что напечатать
MHDD.EXE
Shift+F3 - Выбрать диск
ID (EID) - Проверить, что выбран нужный диск
CLRMBR - Очистить MBR (с записью копии в сектор 1)
Не забывайте, что таблица разделов будет удалена. Чтобы вернуть разделы:
TOF
Filename: mbr.img
Start LBA: 1
End LBA: 1
FF
Filename: mbr.img
Start LBA: 0
End LBA: 0
Естественно, это также вернет и гипотетический вирус.
Вы память проверили? MBR'ные вирусы до сих пор бывают, я как-то видел один, но это очень редко. Чаще обычные черви..
| 25. Sergonian , 02.07.2009 17:40 |
| в Диспетчере Устройств, в Управлении Дисками Только виртуальные созданные Alcohol 120%
Добавление от 02.07.2009 17:47: В ноутбуке виндовс стал, но все проги при установке дают различные ошибки. Бывает просто выключу бук через меню пуск, после включения тоже пишет, что виндовс восстановлен после серьезной ошибки. Чем можно просканировать память и дисковод? Подозрение что с дисковода все с ошибками грузится. Нод 32 обновленный поставил вирусы не находит, но сейчас при очередном сканировании диска бук завис напрочь, даже диспетчер задач не вызывается и индикатор дисковода не горит и не мигает. |
| 26. Walen , 06.08.2011 23:04 |
| Привет всем! У меня вирус в шестнадцатиричном секторе как мне удалить его форматирование и удаление не помогает только если уничтожение файлов помогает, но я уже не смогу востоновить файлы, а они мне нужны помогите пожалуста?
Антивирусы Firewal не советовать тоже не поможет! Спасибо! |
| 27. AYM , 07.08.2011 00:10 | ||||||||||||||||
| Walen меня вирус в шестнадцатиричном секторе где-где? форматирование и удаление не помогает только если уничтожение файлов помогает
|
