Ивановский форум Спутниковой и Компьютерной тематики

Форум сайта www.SaleSat.ru <-> Ивановские Телесистемы & IT
Перейти на сайт www.SaleSat.ru

Мобильная версия

Текущее время: 24 фев 2020 03:14

Часовой пояс: UTC + 3 часа [ Летнее время ]




Начать новую тему Ответить на тему  [ Сообщений: 2 ] 
Автор Сообщение
 Заголовок сообщения: Вирус в загрузочном секторе просит пополнить Web Money
СообщениеДобавлено: 11 окт 2011 10:57 
Не в сети
Аватар пользователя

Зарегистрирован: 20 мар 2010 22:00
Сообщений: 190
Откуда: Иваново
Благодарил (а): 26 раз.
Поблагодарили: 19 раз.
Пункты репутации: 13
Вчера наконец-то увидел нашумевший руткит, который подменяет загрузочную запись windows, MBR. Точнее поймал не я, а мой знакомый. А я как первоиспытатель, решил его полечить. Уж больно жутко про него написал сам "мелкософт". По их уверениям, даже необходимо переустанавливать систему! Жуть. Может конечно это и не тот, который был у меня, хотя похож.
При запуске происходит следующее:

БИОС проверяет настройки, переходит к загрузочной записи, но вместо загрузки системы, выводит предложение пополнить счет Web Money. И еще "кричит", типа вы просматривали порно ресурсы, запрещенные российским законодательством и тд. и тп.
Сложность заключается в том, что эта дрянь вылезает до загрузки самой системы и средствами Windows ничего не сделать. Поможет только диск с системой восстановления Windows, или сторонний LiveCD например Hirens Boot.
Для меня оказалось все просто.
Взял LiveCd с Hirens Boot, запустил с него "Work MBR" и восстановил загрузочную запись, точнее сделал разметку по умолчанию для Windows7, ибо MBR для Vista там не оказалось, было только для XP и Windows7.

И все.
Потом спросил у товарища, как он его поймал. Оказалось банально. Пришло письмо с предложением познакомиться от "блондинки". Ну вот и познакомился.

Люди, не ведитесь на такие нелепые разводы. То как, посмотри мою голенькую попку, или вам перевели миллион долларов. Будьте умней!

_________________
Ивановские телесистемы & IT


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Вирус в загрузочном секторе просит пополнить Web Money
СообщениеДобавлено: 28 дек 2011 12:26 
Не в сети
Аватар пользователя

Зарегистрирован: 20 мар 2010 22:00
Сообщений: 190
Откуда: Иваново
Благодарил (а): 26 раз.
Поблагодарили: 19 раз.
Пункты репутации: 13
Итак.

Как же от них избавится. Иногда просто, а иногда не очень.
Я распределяю этих троянов на три класса.

1. Простые, которые дают загрузиться системе, но не дают открыть проводник(explorer.exe), но дают войти в безопасном режиме, по F8. Их удалить очень просто.
Заходим по F8, выбираем "Безопасный режим", загружаемся и запускаем программку "AUTORUN". Удаляем из автозагрузки подозрительные файлы, особенно обращаем внимание на название файлов состоящее из латинских букв и цифр. Можно обойтись и без этой программки, открываем "Пуск"->"Выполнить" набираем msconfig и жмем "Ок", переходим на вкладку "Автозагрузка" и производим манипуляции, описанные выше. Если у вас включено "Восстановление системы", можно просто "откатить" систему на день-два.

2. Средние, которые дают загрузиться системе, не дают открыть проводник(explorer.exe) и не дают войти в безопасном режиме, по F8. Их удалять немного сложнее.
В этом случае необходим загрузочный диск. Лично я использую Live CD от LEX. В нем есть "обрезанная" система, которая загружается в оперативную память. Так-же там есть Hiren's Boot, в котором указываем папку Windows. Потом можно либо "откатить" систему назад, если конечно у вас было включено "Восстановление системы". Я обычно так и делаю. Либо войти в автозагрузку и проделать операции из пункта №1.

3. Более продвинутые трояны. Система не загружается, окно с предложениями выслать деньги, или пополнить счет, вылезает сразу после запуска BIOS. Троян переписывает начальный загрузчик windows на свой. Метод борьбы с этим вымогателем, немного попроще, чем в номере два. Но пять-же необходим загрузочный диск. Можно воспользоваться загрузочным диском windows. Загрузить систему восстановления и восстановить загрузочный сектор командой fixmbr. Я пользуюсь все тем-же диском с Hiren's Boot. Запускаю утилиту FixMBR и просто кликаю на Restore MBR. Если у вас vista или windows7, то кликаем на Restore MBR for Vista.

_________________
Ивановские телесистемы & IT


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 2 ] 

Часовой пояс: UTC + 3 часа [ Летнее время ]


Кто сейчас на форуме

Зарегистрированные пользователи: нет зарегистрированных пользователей


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron

Форум сайта Ивановские телесистемы & IT

Мобильная версия



Яндекс.Метрика