Ивановский форум Спутниковой и Компьютерной тематики

Форум сайта www.SaleSat.ru <-> Ивановские Телесистемы & IT
Перейти на сайт www.SaleSat.ru

Мобильная версия

Текущее время: 09 авг 2020 06:43

Часовой пояс: UTC + 3 часа [ Летнее время ]




Начать новую тему Ответить на тему  [ Сообщений: 2 ] 
Автор Сообщение
 Заголовок сообщения: Вирус в загрузочном секторе просит пополнить Web Money
СообщениеДобавлено: 11 окт 2011 10:57 
Не в сети
Аватар пользователя

Зарегистрирован: 20 мар 2010 22:00
Сообщений: 190
Откуда: Иваново
Благодарил (а): 26 раз.
Поблагодарили: 19 раз.
Пункты репутации: 13
Вчера наконец-то увидел нашумевший руткит, который подменяет загрузочную запись windows, MBR. Точнее поймал не я, а мой знакомый. А я как первоиспытатель, решил его полечить. Уж больно жутко про него написал сам "мелкософт". По их уверениям, даже необходимо переустанавливать систему! Жуть. Может конечно это и не тот, который был у меня, хотя похож.
При запуске происходит следующее:

БИОС проверяет настройки, переходит к загрузочной записи, но вместо загрузки системы, выводит предложение пополнить счет Web Money. И еще "кричит", типа вы просматривали порно ресурсы, запрещенные российским законодательством и тд. и тп.
Сложность заключается в том, что эта дрянь вылезает до загрузки самой системы и средствами Windows ничего не сделать. Поможет только диск с системой восстановления Windows, или сторонний LiveCD например Hirens Boot.
Для меня оказалось все просто.
Взял LiveCd с Hirens Boot, запустил с него "Work MBR" и восстановил загрузочную запись, точнее сделал разметку по умолчанию для Windows7, ибо MBR для Vista там не оказалось, было только для XP и Windows7.

И все.
Потом спросил у товарища, как он его поймал. Оказалось банально. Пришло письмо с предложением познакомиться от "блондинки". Ну вот и познакомился.

Люди, не ведитесь на такие нелепые разводы. То как, посмотри мою голенькую попку, или вам перевели миллион долларов. Будьте умней!

_________________
Ивановские телесистемы & IT


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Вирус в загрузочном секторе просит пополнить Web Money
СообщениеДобавлено: 28 дек 2011 12:26 
Не в сети
Аватар пользователя

Зарегистрирован: 20 мар 2010 22:00
Сообщений: 190
Откуда: Иваново
Благодарил (а): 26 раз.
Поблагодарили: 19 раз.
Пункты репутации: 13
Итак.

Как же от них избавится. Иногда просто, а иногда не очень.
Я распределяю этих троянов на три класса.

1. Простые, которые дают загрузиться системе, но не дают открыть проводник(explorer.exe), но дают войти в безопасном режиме, по F8. Их удалить очень просто.
Заходим по F8, выбираем "Безопасный режим", загружаемся и запускаем программку "AUTORUN". Удаляем из автозагрузки подозрительные файлы, особенно обращаем внимание на название файлов состоящее из латинских букв и цифр. Можно обойтись и без этой программки, открываем "Пуск"->"Выполнить" набираем msconfig и жмем "Ок", переходим на вкладку "Автозагрузка" и производим манипуляции, описанные выше. Если у вас включено "Восстановление системы", можно просто "откатить" систему на день-два.

2. Средние, которые дают загрузиться системе, не дают открыть проводник(explorer.exe) и не дают войти в безопасном режиме, по F8. Их удалять немного сложнее.
В этом случае необходим загрузочный диск. Лично я использую Live CD от LEX. В нем есть "обрезанная" система, которая загружается в оперативную память. Так-же там есть Hiren's Boot, в котором указываем папку Windows. Потом можно либо "откатить" систему назад, если конечно у вас было включено "Восстановление системы". Я обычно так и делаю. Либо войти в автозагрузку и проделать операции из пункта №1.

3. Более продвинутые трояны. Система не загружается, окно с предложениями выслать деньги, или пополнить счет, вылезает сразу после запуска BIOS. Троян переписывает начальный загрузчик windows на свой. Метод борьбы с этим вымогателем, немного попроще, чем в номере два. Но пять-же необходим загрузочный диск. Можно воспользоваться загрузочным диском windows. Загрузить систему восстановления и восстановить загрузочный сектор командой fixmbr. Я пользуюсь все тем-же диском с Hiren's Boot. Запускаю утилиту FixMBR и просто кликаю на Restore MBR. Если у вас vista или windows7, то кликаем на Restore MBR for Vista.

_________________
Ивановские телесистемы & IT


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 2 ] 

Часовой пояс: UTC + 3 часа [ Летнее время ]


Кто сейчас на форуме

Зарегистрированные пользователи: MailRu [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron

Форум сайта Ивановские телесистемы & IT

Мобильная версия



Яндекс.Метрика