Вирус в MBR? рецепт by_slava!

[slava_tor]

Итак, появилась новая разновидность вируса, избавляемся он него - руководство в картинках

первий скрин:

Shot at 2012-04-28

второй скрин:

Shot at 2012-04-28
сделал из двух частей так как нечитабельно с одной!

Никакое форматирование и простая переустановка винды не катит - проще пойти покурить

Итак по порядку:

Запускаем акронис (полную версию) для недоверчивых
Скрин прилагаеться:

Shot at 2012-04-28

запускаем акронис (безопасную версию):

Shot at 2012-04-28

что же дальше... акронис в безопасной версии показывает информацыю:

Shot at 2012-04-28

Shot at 2012-04-28

что бы не эксперементировать с файловой системой (это моё мнение), идём следующим путём:
запускаем из под оси прогу мдд (идём уверено и гордо к победе над мошенниками) 

Shot at 2012-04-28
выбираем порт диска - в даном случае это пункт №6

Shot at 2012-04-28
дальше набираем таинственную комбинацыю  CLRMBR:

Shot at 2012-04-28
в позитивном действии вам пишет ДОНЕ  :

Shot at 2012-04-28
снова пробуем зайти акронисом (полной версией):

Shot at 2012-04-28
пробуем запустить ОС с HDD и видим не ВИРУС, а кое-что уже познакомей и куде безопасней :

Shot at 2012-04-28
дальше достаем большую пушку верный диск с прогой:

Shot at 2012-04-28
запускаем прогу и с неразмеченой области воскрешаем свою инфу:

Shot at 2012-04-28
выглядеть будеть наглядно где-то так:

Shot at 2012-04-28
затем воскрешаем/востанавливаем раздел за разделом, после всего ОС запуститься как родная - до вируса (для профилактики можно воспользоваться винанлокером сд - для безопасности проекта 
а дальше запуститься ваша родная ОСЬ и всё будет на месте, даже порнозакладки где по-большому счёту и подхватываете енту хрень (это моё субективное мнение ), если будут дополнительные вопросы пишите, поможет - благодарите  , не поможет - пишите в теме помогу чем смогу, (если что-то некоректно - это модерам, исправте ошибки  НО не ломайте тему - СПС).

Эпиграф: выложил свой путь решения проблемы для простых пользователей, (если кто читает тему кто относиться к тем пид...сам редискам кто делает этот хлам - желаю не срать простым людям, а делать как робин гут - тоесть Вы меня поняли.) за тему не обезсудьте.
Прошу простить и понять    

[GA-EV3]

дальше достаем большую пушку верный диск с прогой:

№2?

запускаем из под оси прогу мдд (идём уверено и гордо к победе над мошенниками)

№8?
Вероятно, на фото, из-за подсвечивания их не видно? Надо было в графическом редакторе вручную написать, или пояснить этот момент. А за информацию спасибо, щас что-нить подцеплю и проверю!

[Hryak]

выложил свой путь решения проблемы для простых пользователей,

Тут и с высшым компьютерным не разобраться, плюс оформление никакое

Этот вирус не нов, возможно уже есть решение в сети более простое?

Вместо того, чтобы писать подобные простыни, надо было найти эту падаль и указать где оно находится. Если знать, где этот файлик, то (ИМХО) сделать проще. Запустить комп с загрузочного линукса и del.

(если кто читает тему кто относиться к тем пид...сам редискам кто делает этот хлам - желаю не срать простым людям, а делать как робин гут - тоесть Вы меня поняли

1 Пишется как "Робин Гуд"
2 Он отнимал у богатых и отдавал бедным (красивая выдумка) и потому
3 не понял

[GA-EV3]

и указать где оно находится.

Никакое форматирование и простая переустановка винды не катит - проще пойти покурить

Сюдя по выше сказаному,  вирусняк модифицирует MBR. Или можно просто прочитать название темы.

Вместо того, чтобы писать подобные простыни, надо было найти эту падаль и указать где оно находится. Если знать, где этот файлик, то (ИМХО) сделать проще. Запустить комп с загрузочного линукса и del.

Отличная мысль, но она не противоречит выше описаному методу.
Да и Каспер об этом пишет:
http://www.kaspersky.ru/support/viruses/solutions?qid=208638485
http://forum.kaspersky.com/index.php?showforum=186

[Hryak]

Сюдя по выше сказаному,  вирусняк модифицирует MBR. Или можно просто прочитать название темы.

Причём, если я правильно понял, он прописывается во все загрузочные области, во всех разделах. Вот поэтому просто так его не достать. Но то, что описано выше, довольно сложная процедура, и. я уверен. есть пути попроще

[slava_tor]

№2? -> Номер 1
№8? -> Номер 9
это я строкой так отделил от остальных программ, а то в строке засвечивает.

Вероятно, на фото, из-за подсвечивания их не видно?
Надо было в графическом редакторе вручную написать, или пояснить этот момент. -> уже обьяснил.

А за информацию спасибо, щас что-нить подцеплю и проверю!

пжл.

Тут и с высшым компьютерным не разобраться, плюс оформление никакое -> в картинках все же!

Этот вирус не нов, возможно уже есть решение в сети более простое? -> поверь, его там нет

Вместо того, чтобы писать подобные простыни, надо было найти эту падаль и указать где оно находится. Если знать, где этот файлик, то (ИМХО) сделать проще. Запустить комп с загрузочного линукса и del. -> просто имменно так я сам и разобрался, как описал више, предлагайте другие способы я только за!

1 Пишется как "Робин Гуд"
2 Он отнимал у богатых и отдавал бедным (красивая выдумка) и потому
3 не понял

это писал вчера после окончания рабочей недели - простая усталость.

[Hryak]

это писал вчера после окончания рабочей недели - простая усталость.

Если я правильно понял, ты подцепил, потом долго возился и после решения этой проблемы, решил сразу поделиться с нами

[slava_tor]

Если я правильно понял, ты подцепил, потом долго возился и после решения этой проблемы, решил сразу поделиться с нами

ай маладец шутник однако
подцепил - нет, работаю в СЦ, и три компа принесли с ентой хренью за несколько дней.
долго возился - да, но вышел побидителем и победой делюсь с вами - что бы Вы возились меньше не робин гут - не?

[Hryak]

долго возился - да, но вышел побидителем и победой делюсь с вами - что бы Вы возились меньше

Ха! Это на три дня работы

не робин гут - не?

Не.

[slava_tor]

Ха! Это на три дня работы

не на три, а на день или два - это напрямую зависит от дискового пространства, чем больше тем дольше.

Не.

а Гаев так не думает
спс за респект

[GA-EV3]

Хе, вот статья, и в ней внизу дополнение с "твоим" скрином:
http://www.1st.rv.ua/2011/08/mbr-winlock-remove/

[slava_tor]

Хе, вот статья, и в ней внизу дополнение с "твоим" скрином:
http://www.1st.rv.ua/2011/08/mbr-winlock-remove/

UPD (26.04.2012): Свежая разновидность вируса -> вот и я первый раз столкнулся немного раньше, а фото материал рецепта готовил 27-го, а вчера опубликовал


Ситуация с обнаружением данной
разновидности антивирусами пока
что очень печальна. -> уже нет

[GA-EV3]

уже нет

Ну, судя по этой теме, для многих "продвинутых" пользователей, умеющих преустанавливать Винду и даже форматировать диск( !), она по-прежнему будет печальной, что меня не может не радовать - пора доставать куздюм и лететь на помощь!

Вибачте, але ви не маєте права на перегляд спойлерів.

[фред]

акрониксом сделайте слепки МБР всех ваших дисков и всё, чуть-что: лив СД, здравствуй бекап...
а вообще я уже давно делаю копии системного раздела, чуть что не так, вирус, посыпалась система, прочие бяки.
лив СД кнопка "восстановить" всё...

[DMX]

Таку ж заразу цапанула знайома. Правда номер інший і сума 920грн. Довго мозг не парив, так як вилічити за допомогою Dr.Web® LiveUSB, Kaspersky Rescue Disk, AntiWinLocker не вийшло, підключив вінт до старого вінта де була ОС убив гада і за допомогою R-Studio витягнув всю важливу інфу, далі формат і нова ось.

[slava_tor]

Таку ж заразу цапанула знайома. Правда номер інший і сума 920грн.

i де вони iх ловлять 

р.s. i кажуть що дiвчата не дивляться hоmе vidео